Решение по дело №808/2024 на Административен съд - Пазарджик

 

Производството е по реда на чл. 39 от Закона за защита на личните данни (ЗЗЛД) и е образувано по искова молба на Д. И. К. от [населено място] срещу Националната агенция за приходи (НАП) за присъждане на обезщетение за претърпени неимуществени вреди в размер на 2 000 лева, за периода от 16.07.2019 г. до 15.07.2024 г., които са следствие от неизпълнение от страна на НАП в достатъчна степен на задължението й, произтичащи пряко от чл. 24 и чл. 32 от Общия регламент относно защитата на личните данни (ЕС) 2016/679 на Европейския парламент и на Съвета (GDPR).

В исковата молба и уточнението й по повод оставянето й без движение са изложени съображения за това, че ищецът е бил субект на обработка на лични данни от страна на ответника. Твърди се, че правото на иск за Д. К., в качеството му на физическо лице, чиито лични данни са станали известни и публично достъпни, вследствие от пробив в електронната система на НАП от 16.07.2019 г., възниква следствие от недостатъчна грижа и мерки за защита на сигурността на обработваните лични данни от ответника НАП, в качеството му на администратор на лични данни или нарушение на чл. 32 от Регламент /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. Претърпените неимуществените вреди се изразяват в страх и притеснение от евентуална злоупотреба с тези данни, както и от физически нападения, заплахи, изнудвания, отвличания, притеснения, че неограничен и неизвестен брой трети лица имат достъп до негови лични данни, в това число адрес и финансова информация и други, които вреди са пряка и непосредствена последица от увреждането. Правното основание на предявения иск, посочено в исковата молба, е чл. 39, ал. 1 и ал. 2 от ЗЗЛД и чл. 82, § 1 от ОРЗД. С главния иск е съединен иск за заплащане на законната лихва върху претендираното обезщетение, считано от 15.07.2019 г. до окончателното изплащане. Моли за постановяване на осъдително решение. Претендира разноски.

В съдебно заседание ищецът се представлява от адв. А. П. от АК - Пазарджик, който поддържа исковата молба и предявените с нея претенции.

Ответникът - Национална агенция за приходите – София, чрез надлежно упълномощен юрисконсулт устно и в писмени бележки оспорва предявения иск. Твърди, че са предприети адекватни мерки за защита на личните данни на субектите. Излага съображения, че не са представени доказателства за претърпени вреди от страна на ищеца. Акцентира на постановеното окончателно съдебно решение на АССГ, XVI Касационен състав № 1247 от 26.02.2024 г., с което е отменено наказателно постановление, издадено от Председателя на Комисията за защита на личните данни, с което на НАП е наложена санкция за извършения неоторизиран достъп. Счита за неоснователно възражението за неполагане на достатъчна грижа от страна на НАП за защита сигурността на данните. Твърди, че нерегламентираният достъп до информационната система на НАП е в резултат от злоумишлени действия, обявени за престъпни. Веднага след узнаването за този нерегламентиран достъп, НАП е предприела незабавни мерки за сигурност и преустановяването му. Счита, че не са налице данни да се приеме, че този неоторизиран достъп е резултат от действия или бездействия на НАП или нейни органи/служители. По тези съображения моли за отхвърляне на исковите претенции. Претендира юрисконсултско възнаграждение.

Участващият в делото прокурор изразява становище за неоснователност на исковите претенции. Обосновава становището си с факта, че в исковата молба не е посочен периода на твърдените претърпени неимуществени вреди, без да държи сметка, че това е сторено с уточняваща молба в изпълнение на указанията на съда, дадени в разпореждане № 3153 от 12.08.2024 г. за оставяне на исковата молба без движение.

Административен съд - Пазарджик, като прецени събраните по делото доказателства в тяхната съвкупност и обсъди доводите на страните, приема за установено следното:

С оглед изложените твърдения в исковата молба и отговора на исковата молба, съдът намира, че е сезиран с иск с правно основание чл. 82, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните - ОРЗД), във връзка с чл. 39 от ЗЗЛД.

По делото е безспорно, че вследствие нерегламентиран достъп до информационните масиви на НАП, осъществен на 15.07.2019 г., неправомерно са разкрити и разпространени лични данни на множество физически лица, български и чужди граждани (над 6 000 000 субекти на данни). От представеното Удостоверение изх. № 54-13-1927/20.05.2025 г. (л.240 в делото) се установява, че на ищеца са разкрити лични данни, съставляващи ЕГН и имена, данни за изплатени доходи за 2007 г. и 2008 г., данни от ГДД по чл. 41 от ЗОДФЛ за 2003 г., 2004 г., 2006 г., данни от ГДД по чл. 50 от ЗДДФЛ за 2010 г., данни от справка за изплатени доходи по чл.73 от ЗДДФЛ за 2008 г., 2010 г., 2014 г. и 2017 г., данни от финансови отчети за 2008 г., идентификационни данни в качеството на представляващ юридическо лице от подадена ГДД за данъчния финансов резултат и дължимия годишен корпоративен данък по чл.92 от ЗКПО за 2014г., 2017 г. и 2018 г. и идентификационни данни в качеството на представляващ юридическо лице от подадена декларация по чл.51 от ЗКПО за 2006 г.

Съгласно представените по делото доказателства, със Заповед № ЗЦУ-586/30.04.2014 г. на изпълнителния директор на НАП е наредено да се внедри СУСИ по стандарт БДС ISO/IEC 27001: 2006 в НАП.

Със Заповед № ЗЦУ-1436/15.10.2018 г. на изпълнителния директор на НАП са утвърдени „Указания за разработване, попълване и/или зареждане с данни на образци на документи и приложения, утвърдени на основание чл. 10, ал. 1, т. 5 и т. 7 ЗНАП“, „Указания за обозначаване и работа с информация“, „Указания за попълване на образци на процедура“, „Указания за попълване на образеца на инструкция“ и др.

Със Заповед № ЗЦУ-733/17.06.2016 г. на изпълнителния директор на НАП са утвърдени процедура и вътрешни правила за мрежовата и информационната сигурност.

Със Заповед № ЗЦУ-1236/21.08.2019 г. на изпълнителния директор на НАП е утвърдена процедура ИС17 „Администриране на информационна система в НАП“, версия В. Със Заповед № ЗЦУ-482/01.04.2019 г. на изпълнителния директор на НАП са определени служители от НАП с администраторски достъп до информационните активи и услуги на НАП.

Със Заповед № ЗЦУ-83/23.01.2013 г. на изпълнителния директор на НАП са определени вида, съдържанието, реда за създаване, поддържане и достъп до регистъра на НАП и базите данни за задължените лица, формата и елементите на данъчно-осигурителната сметка и сроковете за съхранение на архивираната информация.

Със Заповед № ЗЦУ-1596/29.11.2017 г. на изпълнителния директор на НАП са утвърдени „Указания за унищожаване на информация и информационни системи в НАП“.

Със Заповед № ЗЦУ-535/11.05.2016 г. на изпълнителния директор на НАП са утвърдени вътрешни правила за оборот на електронни документи и документи на хартиен носител в НАП. Утвърдена е политика по информационна сигурност на НАП, Версия 3.0, действаща към май 2016 г.

Не са представени доказателства, а и не се твърди да е висящо дело между ищеца Д. К. и НАП пред КЗЛД.

В хода на делото е разпитан като свидетел К. К., чиито показания съдът кредитира в пълна степен като ясни, точни, безпротиворечиви и дадени от лице, което не е заинтересовано от крайния изход на делото.

Св.К. твърди, че познава ищеца от 1997г. – 1998 г. Виждали се всеки ден, тъй като офисите им били близко един до друг. Известно му било, че през 2019 г. - 2020 г. К. имал големи притеснения от това, че са му изтекли данните от НАП. Чувствал се много зле. Притеснявал се дали няма да му бъдат откраднати клиентите и имотите. Страхувал се да не загуби бизнеса си. Вследствие на притесненията, които изпитвал, отслабнал физически.

Въз основа на тези факти, съдът счита предявения иск за допустим.

Разгледан по същество искът е частично основателен.

Предявеният иск е с правно основание чл. 82, § 1 от Регламент (ЕС) 2016/679, във връзка с чл. 39 ЗЗЛД вр. с чл. 203 АПК.

Предвид чл. 82 от Регламент (ЕС) 2016/679 предметът на доказване изисква установяване на: 1. нарушение на правата на субекта на данни по Регламент (ЕС) 2016/679 в резултат на обработване на личните му данни, което не е в съответствие с регламента; 2. причинена материална или нематериална вреда; 3. причинна връзка между нарушението на правата по регламента и причинената вреда. При липсата на който и да е от елементите на този фактически състав не може да се реализира отговорността.

В случая исковата претенция се основава на незаконосъобразно бездействие - неполагане на достатъчно грижа и неприлагане на ефективни мерки за защитата на сигурността на данните, с което са нарушени разпоредбите на чл. 24 и чл. 32 от ОРЗД. Следователно предпоставка за ангажиране на отговорността на ответника е установяване на незаконосъобразността на твърдяното от ищеца бездействие.

На първо място следва да се посочи, че НАП притежава качество на администратор на лични данни по смисъла чл. 4, т. 7 от ОРЗД, както и че осъществява дейности по обработване на лични данни по смисъла на чл. 4, т. 2 от ОРЗД. С оглед на това качество НАП има задължение да прилага подходящи технически и организационни мерки с цел гарантиране, че обработването е в съответствие с чл. 24 и чл. 32 от ОРЗД.

Отговорността на ответника НАП произтича от специфичния характер на дейността му по обработване на лични данни, включваща създаване, поддържане и актуализация на регистъра и базата данни, както и архивиране и съхраняване на съдържащата се в тях информация и контролирания достъп до нея. Неоторизираният достъп е причината за неправомерно разкриване и разпространение на лични данни, като самото осъществяване на неоторизирания достъп категорично сочи, че е вследствие на противоправно бездействие (пропуски) на ответника да изпълни произтичащи от нормативната рамка задължения да обезпечи достатъчна надеждност и сигурност на информационната си система, да защити физическите лица във връзка с обработването на личните им данни по смисъла на § 1, т. 4 от ДР на ЗЗЛД, във вр. чл. 4, т. 2 от Регламент (ЕС) 2016/679.

В съображение 36 на Решение от 14 декември 2023 г. по дело С-340/2021 на СЕС, VB, ECLI:EU:C:2023:986, е посочено че от текста на член 82, § 1 от ОРЗД ясно следва, че наличието на „вреди“, които са били „нанесени“, е едно от условията за правото на обезщетение, предвидено в посочената разпоредба, както и наличието на нарушение на този регламент и на причинно-следствена връзка между тези вреди и това нарушение, като тези три условия са кумулативни.

Налице е първата предпоставка за ангажиране отговорността на администратора на лични данни. Защитата на физическите лица във връзка с обработването на личните им данни е основно право. Съгласно чл. 8, §1 от Харта на основните права на Европейския съюз (ХОПЕС) всеки има право на защита на неговите лични данни. Регламент (ЕС) 2016/679 предвижда задължения за администраторите на лични данни и обработващите лични данни да осигурят необходимата защита на тези данни, така че да се гарантира тяхното законосъобразно обработване, в съответствие с принципите определени в чл. 5 от ОРЗД. По делото не се оспорва от процесуалния представител на ответната страна, че до личните данни на ищцата е имало неправомерен достъп. Точно обратното, посредством нарочно издадено удостоверение изх. № 54-13-1927/20.05.2025 г. (л.240 в делото) се установява, че до лични данни на ищеца - ЕГН и имена, данни за изплатени доходи за 2007 г. и 2008 г., данни от ГДД по чл. 41 от ЗОДФЛ за 2003 г., 2004 г., 2006 г., данни от ГДД по чл. 50 от ЗДДФЛ за 2010 г., данни от справка за изплатени доходи по чл.73 от ЗДДФЛ за 2008 г., 2010 г., 2014 г. и 2017 г., данни от финансови отчети за 2008 г., идентификационни данни в качеството на представляващ юридическо лице от подадена декларация по чл.51 от ЗКПО за 2006 г. и ГДД за данъчния финансов резултат и дължимия годишен корпоративен данък по чл.92 от ЗКПО за 2014г., 2017 г. и 2018 г., е осъществен нерегламентиран достъп.

Следователно ищецът е доказал твърдението си за наличието на нарушено негово право – на защита на личните му данни от администратора на тези лични данни, което право е накърнено от неправомерния достъп до тези данни и разпространяването им в интернет пространството.

Членове 24 и 32 от Регламент (ЕС) 2016/679 задължават администратора на лични данни (какъвто се явява НАП) да вземе подходящите технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с регламента и със закона. Същите не са конкретно посочени, защото подходът, който е възприет, е всеки администратор сам да определи кои да бъдат тези мерки. С оглед чл. 82, § 3 от ОРЗД предвиждащ, че администраторът или обработващият лични данни се освобождава от отговорност съгласно § 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата, тежестта да докаже, че са взети подходящите организационни и технически мерки, е на администратора/обработващия, а не на лицето, което твърди, че в резултат на липсата на такива мерки, е претърпяло вреда. В случая такива указания са дадени на ответника с Определение № 3436/04.09.2024 г., във връзка с което са представени писмени доказателства за въведени системи за управление на сигурността на информацията. В открито съдебно заседание, проведено на 08.04.2025 г. страните изрично са заявили, че за изясняване на спора не са необходими специални знания, поради което съдът е отменил определението си, с което е допуснал съдебна техническа експертиза с конкретно поставени въпроси. Това процесуално действие на съда е съобразено и с изявлението на вещото лице, че към момента продуктът е надеждно защитен и е съмнително че може да бъде проверена сигурността на защита в периода на изтичане на информацията, както и с актуалната практика на Върховния административен съд по идентични дела, които се решават без да бъдат ползвани специални знания.

Разпоредбата на чл. 82, § 3 от ОРЗД ясно възлага тежестта на доказване върху администратора на лични данни, при възражение от негова страна за освобождаване от отговорност за причинени вреди в резултат на нарушаване на регламента, да установи по несъмнен начин, че е предприел подходящите и ефективни организационни и технически мерки, така че по никакъв начин не е отговорен за изтичането на личните данни на ищеца в интернет пространството, в резултат на извършения неправомерен пробив в информационната система на НАП.

В т. 3 от диспозитива на Решение от 14 декември 2023 г. по дело С-340/21 на СЕС, VB, ECLI:EU:C:2023:986, изрично е посочено, че принципът на отчетност на администратора, закрепен в чл. 5, § 2 и конкретизиран в чл. 24 от Регламент 2016/679, трябва да се тълкува в смисъл, че в исково производство за обезщетение по чл. 82 от този регламент разглежданият администратор носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурност по чл. 32 от посочения регламент са подходящи. В процесния случай ответникът не е представил доказателства, от които да се установи, че същият е приложил подходящите мерки за сигурност. Представените писмени доказателства не доказват, че приложените мерки са подходящи за защита при обработване на личните данни. Същите съставляват разработена система за управление сигурността на информацията и указания как да се процедура с документооборота в НАП и от кои служители.

В т. 1 от диспозитива на Решение от 14 декември 2023 г. по дело С-340/21 на СЕС, VB, ECLI:EU:C:2023:986, е прието, че чл. 24 и чл. 32 от Регламент (ЕС) 2016/679 трябва да се тълкуват в смисъл, че неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на чл. 4, т. 10 от този регламент сами по себе си не са достатъчни, за да се приеме, че приложените от съответния администратор технически и организационни мерки не са „подходящи“ по смисъла на тези по чл. 24 и чл. 32.

В т. 5 от диспозитива на Решение от 14 декември 2023 г. по дело С-340/21 на СЕС, VB, ECLI:EU:C:2023:986, е прието, че член 82, § 3 от Регламент 2016/679 трябва да се тълкува в смисъл, че администраторът не се освобождава от задължението си по член 82, § 1 и § 2 от този регламент за обезщетяване на претърпените от дадено лице вреди само поради факта, че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на чл. 4, т. 10 от посочения регламент, като посоченият администратор трябва тогава да докаже, че причинилият съответните вреди факт не може по никакъв начин да му бъде вменен.

Именно това обстоятелство е останало недоказано от ответника в производството, че причинилият съответните вреди факт не може по никакъв начин да му бъде вменен. Това е резултат от несправянето на ответника да докаже благоприятните факти, които са били в негова тежест. В съображение 74 от ОРЗД е предвидено, че администраторът е длъжен да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с настоящия регламент, включително ефективността на мерките. Тези мерки следва да отчитат естеството, обхвата, контекста и целите на обработването, както и риска за правата и свободите на физическите лица. А в съображение 146 е предвидено, че администраторът или обработващият лични данни следва да бъде освободен от отговорност, ако докаже, че по никакъв начин не е отговорен за вредите.

Ответникът не е ангажирал доказателства, за да докаже, че е приложил подходящи организационни и технически мерки за осигуряване на нивото на риска, предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица. Ответникът е следвало да докаже такова изградено ниво на сигурност, което свежда до минимум риска от неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, но същият не се е справил с доказателствената тежест. Не е доказал, че по никакъв начин не е отговорен за събитието причинило вредата. Представените писмени доказателства не доказват прилагане на подходящи организационни и технически мерки за осигуряване защита на личните данни.

Предвид горните съображения следва да се приеме, че са налице втората и третата предпоставка за основателност на исковата претенция. Събраните по делото доказателства установяват, че ищецът е претърпял неимуществени вреди – негативни емоции и притеснение да не бъде злоупотребено с личните му данни. В тази връзка следва да се кредитират изцяло показанията на свидетеля К., който установява че ищецът имал големи притеснения от това, че са изтекли данните му от НАП и се страхувал от това че може да загуби бизнеса си, че ще бъдат откраднати клиентите, както и имотите му.

Следва да се отбележи, че в случая предвид характера на събитието не е необходимо каквото и да е активно поведение на пострадалото лице. В т. 6 от диспозитива на Решение от 14 декември 2023 г. по дело С-340/21 на СЕС, VB, ECLI:EU:C:2023:986, е посочено, че член 82, §1 от Регламент 2016/679 трябва да се тълкува в смисъл, че опасенията, които субект на данни изпитва, вследствие на нарушение на този регламент, от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериална вреда“ по смисъла на тази разпоредба.

С оглед изложените съображения следва да се заключи, че е налична причинна връзка между претърпяната вреда и нарушението на Регламент (ЕС) 2016/679, като следва да се отбележи, че в производството по чл. 82 от Регламента предмет на изследване е поведението на администратора/обработващия личните данни, т. е. неговото деяние - действие или бездействие, и именно то трябва да е условието, което е предизвикало отрицателната последица в сферата на засегнатото лице - субект на лични данни. Неимуществените вреди като резултат произтичат от бездействието на ответника, като трябва изрично да се подчертае, че това поведение е практически годно, т. е. създаващо реална възможност да предизвика крайния резултат, защото неправилната преценка на значимостта на риска от пробив в електронната база данни (съдържаща и лични данни) и проявеното бездействие, предвид техническото ниво на развитие, обезпечеността, знанията и уменията, необходими за осъществяването на такъв пробив, води до повишаване този риск до ниво, което поддържа вероятността за настъпване на събитие от изброените в чл. 32, § 2 от Регламента. Ето защо съдът приема за доказани всички необходими елементи за реализиране правото на обезщетение за причинени вреди на ищеца. Същите обаче са претендирани в завишен размер. Обезщетенията за неимуществени вреди се присъждат за конкретно претърпени физически и психически болки, страдания и неудобства, които са пряка и непосредствена последица, в случая от незаконосъобразното бездействие на ответника. На обезщетяване подлежат и вътрешните, душевни състояния тогава, когато справедливостта налага същите да бъдат възмездени, какъвто е настоящия случай. В правната теория е прието, че обезщетението за неимуществени вреди е с компенсаторна функция, доколкото е възможно да бъдат компенсирани вредите в техния паричен еквивалент. Тъй като няма утвърдена формула за тяхното пресмятане, размерът на обезщетението за неимуществени вреди се определя от съда по справедливост при съобразяване на всички конкретни обективно съществуващи обстоятелства и практиката на съдилищата. Вътрешните душевни страдания и чувството за тревожност и несигурност следва да бъдат овъзмездени. Съгласно чл. 52 ЗЗД, обезщетение за неимуществени вреди се определя от съда по справедливост. Понятието „справедливост“ не е абстрактно понятие, а е свързано с преценка на редица конкретни, обективно съществуващи обстоятелства, имащи значение за правилното определяне на размера на обезщетението. Законът е категоричен, че размерът на обезщетението за неимуществени вреди се формира по справедливост по реда на чл.52 от ЗЗД единствено от степента и характера на преживените болки и страдания от ищеца. Макар посочените вреди да нямат паричен еквивалент, съдът приема, че претендираната от ищеца сума в размер на 2000 лв. е завишена. Справедливият размер на обезвредата следва да почива на обективни критерии и да бъде адекватен на претърпените вреди. Обезщетението трябва е съразмерно с вредите и да отговаря както на конкретните данни по делото, така и на обществените представи за справедливост. В съдебното производство по присъждане на обезщетение посочените неимуществени вреди следва да намерят материален израз, който законът в нормата на чл. 52 ЗЗД определя „по справедливост“, макар неимуществените вреди да нямат стойностно изражение и да не подлежат на аритметично изчисляване. Изхождайки от характера на претърпените вреди, интензитета на породените страдания и негативни преживявания, без налице да бъде конкретно увреждане на физическото здраве на ищеца, без да са се осъществили неговите притеснения от загуба на бизнеса и злоупотреба с имуществените му права, доказаните душевни страдания и общото му психическо състояние като следствие от търпени морални вреди и тяхната дълготрайност, съдът намира, че справедливия размер на дължимото обезщетение за неимуществени вреди възлиза в размер на 300 лв. по смисъла на чл. 52 от ЗЗД за причиненото състояние на безпокойство и притеснение. Исковата претенция до пълния предявен размер от 2000 лв. следва да се отхвърли. При тази установеност на фактите, съдът прави извод за осъществен фактическия състав на отговорността по чл. 82, параграф 1 от Регламент (ЕС) 2016/679 във вр. с чл. 39 от ЗЗЛД, като приема, че е налице незаконосъобразно бездействие, реално увреждане на ищеца и пряка причинна връзка между увреждането и бездействието, поради което и при условията на чл. 52 ЗЗД, съдът следва да овъзмезди по справедливост неимуществените вреди, причинени на ищеца.

В горния смисъл е практиката на Върховния административен съд на Република България, като например Решение № 2548 от 12.03.2025 г., постановено по адм. д. № 10559/2024 г., Решение № 3577 от 04.04.2025 г., постановено по адм. д. № 10561/2024 г. , Решение № 954 от 06.02.2025 г., постановено по адм. д. № 3066/2021 г., Решение № 950 от 06.02.2025 г., постановено по адм. д. № 2295/2021 г.

Предвид уважаване на главния иск в размер на 300 лв., следва да бъде уважен и акцесорния такъв във връзка със законната лихва върху присъдената сума, считано от датата на увреждането – 16.07.2019 г. до окончателното изплащане на сумата. Тъй като лихвата се претендира, считано от 15.07.2019 г., то искът следва да бъде отхвърлен за тази дата.

При този изход на делото, частично основателна се явява и претенцията за разноски на ищеца, инкорпорирана още в исковата молба. Представени са доказателства за заплатено адвокатско възнаграждение в размер на 500 лева и държавна такса в размер на 10 лева. С оглед уважената част от иска, разноски на ищеца се дължат в размер на 76,50 лева.

С оглед изхода на делото ответникът също има право на разноски за юрисконсултско възнаграждение, което съдът определя в размер на 100 лева, преценявайки фактическата и правна сложност на делото. Юрисконсултското възнаграждение следва да бъде присъдено в размер на 85 лева съобразно размера на отхвърлената част от иска.

Воден от горното, Административен съд Пазарджик,

Р Е Ш И:

ОСЪЖДА Национална агенция за приходите гр. София да заплати на Д. И. К., [ЕГН], с постоянен адрес: [населено място], [улица] , ***, ***, обезщетение в размер на 300 (триста) лева за това, че в периода от 16.07.2019 г. до 15.07.2024 г. е претърпял неимуществени вреди от публично оповестяване на личните му данни - ЕГН и имена, данни за изплатени доходи за 2007 г. и 2008 г., данни от ГДД по чл. 41 от ЗОДФЛ за 2003 г., 2004 г., 2006 г., данни от ГДД по чл. 50 от ЗДДФЛ за 2010 г., данни от справка за изплатени доходи по чл.73 от ЗДДФЛ за 2008 г., 2010 г., 2014 г. и 2017 г., данни от финансови отчети за 2008 г., идентификационни данни в качеството на представляващ юридическо лице от подадена декларация по чл.51 от ЗКПО за 2006 г. и ГДД за данъчния финансов резултат и дължимия годишен корпоративен данък по чл.92 от ЗКПО за 2014г., 2017 г. и 2018 г., станали общодостъпни и публични вследствие на пробив в сигурността на електронната система на НАП, поради неизпълнение на задължението за защита на личните данни на ищеца по Общия регламент относно защита на личните данни, ведно със законната лихва върху главницата от 300 лв., считано от 16.07.2019 г. до окончателното изплащане на сумата, като ОТХВЪРЛЯ иска до пълния му предявен размер над 300 лв. до 2000 лв., както и иска за лихви за дата 15.07.2019 г.

ОСЪЖДА Национална агенция за приходите гр. София да заплати на Д. И. К., [ЕГН], с постоянен адрес: [населено място], [улица] , ***, ***, разноски по съразмерност в размер на 76,50 лв. (седемдесет и шест лева и петдесет стотинки).

ОСЪЖДА Д. И. К., [ЕГН], с постоянен адрес: [населено място], [улица] , ***, ***, да заплати на Национална агенция за приходите гр. София юрисконсултско възнаграждение по съразмерност в размер на 85 лв. (осемдесет и пет лева).

Решението подлежи на обжалване с касационна жалба пред Върховен административен съд на Република България в 14-дневен срок от съобщаването му на страните.