РЕПУБЛИКА
БЪЛГАРИЯ
АДМИНИСТРАТИВЕН СЪД ПАЗАРДЖИК
РЕШЕНИЕ
№ 73/5.2.2021г.
В И М Е Т О
Н А Н А Р
О Д А
АДМИНИСТРАТИВЕН СЪД ПАЗАРДЖИК, ІІ състав в открито заседание на осми януари през
две хиляди двадесет и първата година в състав:
СЪДИЯ : ГЕОРГИ ПЕТРОВ
при секретаря АНТОАНЕТА МЕТАНОВА, и прокурора
СТАНКА ДИМИТРОВА, като разгледа докладваното от съдията докладчик Петров адм.
дело №565 по описа на съда за 2020 год.,
за да се произнесе взе предвид следното:
I. За характера на производството, исковете и
становищата на страните:
1. Производството е по реда на Глава
Единадесета от Административно процесуалния кодекс във връзка, във връзка с
чл.1, ал. 2 от Закона за отговорността на държавата и общините за вреди, във
връзка с чл. 39, ал. 2 от Закона за защита на личните данни.
2. Образувано е по искови претенции, заявени от С.П.С.,
ЕГН :**********,***, с посочен съдебен адрес *** адв. А.П., да бъде установено
по отношение на ответника Национална агенция за приходите, ЕИК *********, гр. София,
бул. “Княз Ал. Дондуков“ № 52, че администрацията е осъществила противоправно и
виновно поведение в периода до 16.07.2019г., от което С.П.С., като физическо
лице от определяем кръг лица - всички те субекти на данни - граждани на
Република България, чиито лични данни се намират в станалите общодостъпни
файлове - изтекли от НАП и да бъде осъдена Национална агенция за проходите, ЕИК
по БУЛСТАТ *********, гр. София, бул. „Княз Ал. Дондуков“, № 52, да заплати на
ищцата сумата от 1200,00лв., представляваща обезщетение за неимуществени вреди,
изразяващи се в страх и притеснение от евентуална злоупотреба с неправомерно
разпространени лични данни, както и от физически нападения, заплахи,
изнудвания, отвличания, притеснения, че неограничен и неизвестен брой трети
лица имат достъп до нейни лични данни, в това число адрес и финансова
информация, претърпени в резултат на незаконосъобразно бездействие на служители
Национална агенция за приходите, състоящо се в неполагане на достатъчно грижа и
неприлагане на ефективни мерки за защита на сигурността на съхраняваните от нея
данни, в резултат на което са разкрити лични данни за С.С., както и обезщетение
за забавено плащане на същата парична сума съразмерно на законната лихва за
периода от датата на увреждането, тоест 15.07.2019г. до окончателното ѝ изплащане.
Иска се да бъдат присъдени и сторените по делото
разноски за държавна такса и адвокатско възнаграждение.
3. Сочи се, че на 16.07.2019 г. на официалната
интернет страница на Национална агенция за приходите е публикувано съобщение,
оповестяващо, че е осъществен неоторизиран достъп до около 3% от личните данни,
обработвани от агенцията. Тези данни стават публично достояние, като съдържат
три имена и ЕГН. В този насока се иска да бъде установено противоправно и
виновно поведение на ответната Национална агенция за приходите, осъществено в
периода до 16.07.2019г., от което С., като физическо лице от определяем кръг
лица - всички те субекти на данни - граждани на Република България, чиито лични
данни се намират в станалите общодостъпни файлове изтекли от НАП, е претърпяла неимуществени
вреди, представляващи
притеснения, произтичащи от основателни съмнения за възможни злоупотреби с
лични данни; липса на официална информация в продължение на 10 дни относно това
какви нейни лични данни не са били опазени въпреки достъпността им в интернет
пространството; загубено време в промяна на пароли, пин кодове на дебитни и
кредитни карти, консултации със специалисти в сферата на сигурността;
притеснения, че неограничен и неизвестен брой трети лица имат достъп до нейни лични
данни, в това число адрес и финансова информация и други, който вреди са пряка
и непосредствена последица от увреждането, независимо дали са причинени виновно
от длъжностно лице.
Поддържа се, че Регламент (ЕС) 2016/679 на Европейския
парламент и на съвета от 27 април 2016 год., поставя в задължение на
администраторите, каквато е и НАП, да въведат и прилагат подходящи технически и
организационни мерки за защита на личните данни, които са съобразени с
естеството, обхвата и контекста на обработването на лични данни и най-вече с
рисковете за правата на субектите на данни. Това е свързано с един от основните
принципи на обработване на лични данни по чл. 5, § 1, б. „е“ от Регламента -
цялостност и поверителност на данните. Според ищцата, администраторът трябва да
може да докаже във всеки един момент не само, че е изпълнил задълженията си за
въвеждане на такива мерки, но и за това, че спазва и всички останали принципи
по чл. 5, § 1 от Регламента.
Счита се за безспорен факта, че ответната НАП не
е приложила адекватни мерки за информационна сигурност, което е довело до „теча“
на лични данни, поради което, непозволено увреждане е нанесено не само на
ищцата, но и на всеки един от почти 5 000 000 български граждани, като вредите
от него могат да бъдат репарирани единствено по съдебен ред.
4. В отговор на исковата молба е постъпило
писмено становище от Началник отдел „Правен“ в Териториална дирекция на НАП,
Пловдив като представител на ответната Национална агенция за приходите. Поддържа се възражение
за недопустимост на исковата претенция, което се основава на твърдението, че
отговорността на агенцията е ангажирана не в качеството ѝ на публично правен
субект, орган на изпълнителната власт, а като администратор на лични данни, т.
е. не е налице административен орган, който да отговаря по реда на ЗОДОВ.
Възразява се, че в случая е налице специален иск
по чл. 39, ал. 1 от ЗЗЛД, поради което отговорността на агенцията не може да
бъде осъществена по реда на ЗОДОВ.
Исковата претенция е недопустима според
ответника и доколкото ищеца не е обжалвал, като незаконосъобразни действията на
ответника, изразяващо се в предоставянето на неправомерен достъп и разпространение на лични данни, като „…Не се иска изрично отмяна на действията или
бездействията, ако въобще има такива спрямо ищцата от страна на
администратора….“.
Недопустимостта на иска се свързва още с изискването на чл.
39, ал. 4 от ЗЗЛД, да не е налице висящо производство пред комисията за същото
нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло
в сила решение на съда.
В представените по делото писмени бележки са
развити съображения за неоснователност на предявения иск. Счита се за
неоснователно възражението за неполагане на достатъчна грижа и неприлагане на
ефективни мерки за сигурността на данните от страна на НАП. Твърди се, че
нерегламентираният достъп до информационната система на НАП е в следствие на
злоумишлено посегателство, като след узнаването за този неоторизиран достъп,
Агенцията е предприела необходимите технически и организационни мерки за
сигурност и защита на личните данни. Счита, че не са налице основания да се
твърди, че този неоторизиран достъп е резултат от действия или бездействия на
НАП или нейни органи/служители, като и че не ставало ясно с кое конкретно свое
действие/бездействие НАП е довела до описаното психическо и емоционално
състояние на ищеца.
Възразява се, че по делото не е доказано, лични
данни за ищцата да са станали публично известни по вина на агенцията, не е
доказано ищцата да е узнала за неоторизиран достъп по отношение на нейни лични
данни, не е доказано тя да е претърпяла сочените в исковата молба вреди.
Иска се претенциите на С. да бъдат отхвърлени,
като се присъди юрисконсулско възнаграждение в полза на администрацията.
5. Участвалия в производството прокурор,
представител на Окръжна прокуратура Пазарджик, дава заключение, че исковата
претенция е неоснователна и недоказана. Сочи се, че е налице само първата от
предпоставките предвидени в чл. 1 от ЗОДОВ, като проявлението на останалите не
е доказано по делото.
ІІ. За допустимостта :
6. Според
чл. 8, § 1 и § 2 от Хартата на основните права на Европейския Съюз, всеки има право на защита на неговите лични
данни, като тези данни трябва да бъдат обработвани добросъвестно, за точно
определени цели и въз основа на съгласието на заинтересованото лице или по
силата на друго предвидено от закона легитимно основание. Това са възведените в
Хартата принципи и правила относно защитата на физическите лица във връзка с обработването
на личните им данни.
Според чл. 79, § 1 от Регламент (ЕС) 2016/679 на
Европейския парламент и на Съвета от 27 април 2016 г., относно защитата на
физическите лица във връзка с обработването на лични данни и относно свободното
движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент
относно защитата на данните), без да се засягат които и да било налични
административни или несъдебни средства за защита, включително правото на
подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има
право на ефективна съдебна защита, когато счита, че правата му по настоящия
регламент са били нарушени в резултат на обработване на личните му данни, което
не е в съответствие с настоящия регламент. Според чл. 82, § 1 от Регламента, всяко
лице, което е претърпяло материални или нематериални вреди в резултат на
нарушение на настоящия регламент, има право да получи обезщетение от
администратора или обработващия лични данни за нанесените вреди.
Съобразно чл. 288, ал. 2 от ДФЕС, регламентът е
акт с общо приложение, който е задължителен в своята цялост и се прилага пряко
във всяка една държава-членка.
Ето защо, не може да се приеме, че нормите на
чл. 38 и чл. 39 от ЗЗЛД, установяват някакво особено, специфично право на
защита и на обезщетение на физическите лица във връзка с обработването на
личните им данни, доколкото тези права произтичат от пряко приложимото
общностно право. Нормите на чл. 38 и чл. 39 от ЗЗЛД, трябва да бъдат възприемани
само като национална правна уредба на производствата, в които тези права да се
реализират.
На следващо място, за разлика от съдебното, административното
производство пред националния надзорен орган е регламентирано подробно в ЗЗЛД.
Закона не създава специални процесуални правила за защитата пред съд. По своята
характеристика, текста на чл. 39, ал. 1 от ЗЗЛД представлява препращаща правна
норма, с която се установява един единствен процесуален ред за отговорността на
всички администратори на лични данни независимо от тяхната правосубектност и статус
(публични органи или частноправни субекти). Според въпросния чл. 39 от ЗЗЛД при
нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон субектът на
данни може да обжалва действия и актове на администратора и на обработващия
лични данни пред съда по реда на АПК като в това производство субектът на данни
може да иска обезщетение за претърпените от него вреди вследствие на
неправомерно обработване на лични данни от страна на администратора или на
обработващия лични данни. Тази регламентация не се различава от общите правила,
съдържащи се в АПК относно защитата срещу актове, действия или бездействия на
административни органи, включително и тези по Глава единадесета на АПК „Производства
за обезщетение“, като съответно, според чл. 203, ал. 2 от АПК, за неуредените
въпроси за имуществената отговорност по ал. 1 се прилагат разпоредбите на
Закона за отговорността на държавата и общините за вреди или на Закона за
изпълнение на наказанията и задържането под стража.
Действително използваната законодателна техника
създава затруднения при тълкуването на закона, но при съобразяване с принципа
за ефективност и равностойност се налага извод, че правото на обезщетение се
упражнява по правилата на АПК, а ако администраторът на лични данни е и
административен орган или длъжностно лице на държавата и общините и съобразно
тези по ЗОДОВ. На практика чл. 39 от ЗЗЛД има за цел да уеднакви правилата за
упражняване на правото на съдебна защита и право на обезщетение на физическите
лица от обработване на личните им данни от всички администратори на лични данни
без значение от тяхната правосубектност (държавен орган, длъжностно лице или
частноправен субект). Този подход е оправдан и обясним с изискването за
предоставяне на ефективно средство за защита, защото създава яснота и
предвидимост за физическите лица, но явно представлява затруднение при
тълкуването на закона с оглед несинхронната регламентация на отговорността на
държавата и общините за вреди. Закона за отговорността на държавата и общините
за вреди е нормативен акт, който установява облекчен ред за защита на правните
субекти, които искат обезщетение за вреди от държавата или общините, в
отклонение от правилата на чл. 45 и следващите от Закона за задълженията и
договорите. Разпоредбата на чл. 1 от ЗОДОВ, съдържа най-общото правило, че
държавата и общините отговорят по този закон за вредите, причинени на граждани
и юридически лица от незаконосъобразни актове, действия или бездействия на
техни органи и длъжностни лица при или по повод изпълнение на административна
дейност, като исковете по ал. 1 се разглеждат по реда, установен в АПК. Явно е
при това положение, че съществува само един общ процесуален ред за разглеждане
на искове за обезщетение на вреди, причинени от органи на държавата и общините
при или по повод изпълнение на административна дейност. В зависимост от
конкретната проява на тази дейност е установен различен ред за защита срещу
индивидуалните, общите или нормативни административни актове, действия или
бездействия, но имуществената отговорност за настъпили вреди от тези актове
(ако те представляват непозволено увреждане) се упражнява чрез предявяване на
осъдителен иск, подлежащ на разглеждане от административните съдилища по реда
на АПК с препращане за неуредените въпроси към ЗОДОВ и ГПК. В този смисъл
нормата чл. 39 от ЗЗЛД не създава специален начин на обезщетение по смисъла на
чл. 8, ал. 3 от ЗОДОВ, за да бъде игнорирано приложението на описаните общи
правила.
7. С осъдителният иск, ищецът иска от съда да
установи със сила на пресъдено нещо, че в негова полза срещу ответника
съществува неудовлетворено гражданско притезание и да допусне принудителното му
удовлетворяване. Именно по тази причина чл. 204, ал. 4 от АПК предвижда, че
незаконосъобразността на действието или бездействието на администрацията се
установява от съда, пред който е предявен искът за обезщетението, защото именно
тези факти и обстоятелства са правопораждащи и определящи съществуването на
притезанието, чието удовлетворение се иска, чрез предявяване на осъдителен иск.
Възможността в отделен процес самостоятелно да иска установяване на тази
противоправност не може да бъде разглеждана като процесуална пречка за
предявяване на осъдителен иска за обезщетение. В този смисъл разпоредбата на
чл. 39, ал. 2 от ЗЗЛД не следва да бъде разглеждана като препятстваща
упражняването на право на иск, а като допълнителна процесуална възможност за
съединяване на претенцията със защитата по чл. 39, ал. 1 от ЗЗЛД. Всяко
различно тълкуване не кореспондира със задължението по Общия регламент за
защита на личните данни лицата да разполагат с ефективно средство за защита, включително
и да бъдат обезщетени за твърдените от тях претърпени вреди от обработване на
личните им данни( Изложеното до тук е по
Определение № 2492 от 17.02.2020 г. на ВАС по адм. д. № 1796/2020 г., V о.,
докладчик съдията Донка Чакърова, мотивите на което се споделят изцяло от
настоящия съдебен състав).
8. В конкретния случай по делото, не се твърди и
не се установява ищцата да е упражнила правото си на защита по друг
процесуален ред, поради което не е възможно да ѝ бъде отречено правото
да предяви осъдителен иск за обезщетение само защото не е поискала и
установяване на твърдяното от нея нарушение. Наличието на други
административни/съдебни производства без нейно участие не могат да обусловят
процесуална пречка за ефективно упражняване на нейното лично право на достъп до
съд, гарантирано от Общия регламент за защита на личните данни.
Ето защо, Съдът счита исковите претенции за
ДОПУСТИМИ.
ІІІ. За фактите :
9. Във връзка с предприетите действия относно
защита на личните данни, от страна на ответния административен орган се
представиха(л.
33 и сл.) :
Заповед на изпълнителния директор на НАП
№ЗЦУ-586 от 30.04.2014 г. за внедряване на СУСИ по стандарт БДС/ ISO*IEC 27001;
Заповед на изпълнителния директор на НАП №3-ЦУ-1436 от 15.10.2018 г. за
утвърждаване на Указания за обозначаване и работа с информацията, версия 3.1; Заповед
на изпълнителния директор на НАП №ЗЦУ-733 от 17.06.2016 г. за утвърждаване на
процедури към отдел „Превенция на финансовата и информационната система“ в
Инспекторат относно информационната сигурност, Вътрешни правила за мрежовата и
информационната сигурност и Политика по информационната сигурност на НАП,
версия 3.0: Утвърдени процедури към отдел „Превенция на финансовата и
информационната система“ в Инспекторат: извършване на действия при съмнение за
инцидент, касаещ информационната сигурност; извършване на проверка за спазване
изискванията на системата за управление на информационната сигурност;
извършване на преглед от ръководството за ефикасността на системата за
управление на информационната сигурност; оценка на риска за информационната
сигурност с четири ; приложения; извършване на наблюдение и отчитане на
резултатността на внедрените механизми за контрол на информационната сигурност
в НАП; извършване на коригиращи действия по СУ ИС; Правила за ползване на
електронната поща и Интернет в Националната агенция за приходите, версия 3.0; Правила за ползване на мрежови файлови
ресурси в Националната агенция за приходите, версия 2.0; Правила за правата и
задълженията на потребителите, ползващи информационните активи в Националната
агенция за приходите, версия 2.0; Правила за работа от разстояние в
Националната агенция за приходите, версия 2.0; Правила за работа с преносими
информационни активи в Националната агенция за приходите, версия 2.0; Правила
за управление на достъпа до информационни активи и услуги в Националната
агенция за приходите, версия 2.0; Заповед на изпълнителния директор на НАП
№3-ЦУ-1236 от 21.08.2019 г. за утвърждаване на процедура ИС 17 Администриране
на информационна система в НАП, версия В, ведно с процедурата; Заповед на
изпълнителния директор на НАП №3-ЦУ-482 от 01.04.2019 г. за определяне на
служители с администраторски достъп до информационните активи и услуги на НАП; Заповед
на изпълнителния директор на НАП №ЗЦУ-83 от 23.01.2013 г. за определяне на
вида, съдържанието, реда за създаване, поддържане и достъп до регистъра на НАП
и базите данни за задължените лица, формата и елементите на
данъчно-осигурителната сметка и сроковете за съхранение на архивираната
информация; Списък на видовете операции по обработване на лични данни, за които
се изисква извършване на оценка на въздействието върху защитата на данните
съгласно чл.
35, § 4 от Регламент (ЕС) 2016/679 ; Заповед №ЗЦУ - 1596 от 29.11.2017 г., с
която са утвърдени Указания за унищожаване на информация и информационни
носители в НАП, заедно с приложенията към него, както следва: Препоръчителен
софтуер за изтриване на информация и верификационна проверка (Приложение №1); Описание
на методите и минимални препоръки за санитарна обработка (саниране) на данни и
софтуер (Приложение .№2); Образец
на Протокол за унищожаване на информация и/или информационен носител
(Приложение №3); Вътрешните правила за оборот на електронни документи и
документи на хартиен носител в НАП(л. 95), утвърдени със Заповед ЖЩУ-535 от 11.05.2016 г.
на изпълнителния директор на НАП; Инструкция №2 от 08.05.2019 г. за мерките и
средствата за защита на лични данни, обработвани в Националната агенция за
приходите и реда за движение на преписки и заявяване на регистри(л. 125); Политика по
информационна сигурност на НАП(л. 135); Предложение на изпълнителния директор на НАП до
Управителния съвет на НАП, относно одобряване на организационно – управленска
структура на Централното управление на НАП; Решение на Управителния съвет на
НАП № РМФ-56 от 28.09.2010 г. за създаване на дирекция „Превенция на
финансовата и информационна сигурност”, на пряко подчинение на изпълнителния
директор на НАП.
Представено е също така, Удостоверение на изпълняващ
функцията Изпълнителен директор на НАП(л. 150), за това, че във връзка с извършения
неоторизиран достъп до база данни на агенцията и последвалото неправомерно
разпространение на лични данни, от НАП е разработено специално приложение,
активно от 25.07.2019г., налично на електронен адрес https://check.nra.bg, чрез което всеки
български гражданин, може да провери дали негови лични данни са станали обект
на неоторизиран достъп.
10. Към исковата молба е приложена разпечатка на
хартиен носител от електронна информация от сайта на НАП, според която „….За подадения идентификатор има разпространени данни…“, които включват ЕГН и имена, данни
от справка за изплатени доходи на физически лица(чл. 73 от ЗДДФЛ) за 2008г. Във
въпросния документ не е посочено конкретно физическо лице с индивидуализиращите
го белези, в каквато насока се направи възражение от страна на процесуалния
представител на административния орган.
По делото се представи също така, Писмо изх. №
19329 от 14.10.2020г. на НАП(л. 174), в което е посочено, че С.П.С. е подала първоначално
заявление за ползване на електронни услуги/ПИК/ с вх. № 134542001881921 от
26.05.2020г.
Представи се и Удостоверение изх. № 94-А-1174#5
от 27.10.2020г., издадено от Изпълнителния директор на НАП, в което е посочено,
че има осъществен неоторизиран достъп до данни от информационните масиви на НАП
на 15.07.2019г. относно С.П.С., като
тези данни включват : ЕГН и имена ; данни от справка за изплатени доходи на
физически лица(чл. 73 от ЗДДФЛ) за 2008г.
11. В съдебно заседание на 08.10.2020г. е
разпитан свидетеля Пейчо Г. Калайджиев – син на ищцата. Свидетеля твърди,
че през
предходната 2019г., през лятото майка му разбрала, че личните ѝ данни, намиращи се в
НАП са публикувани в интернет. Калайджиев сочи, че майка му е възрастен човек и
с баща му имат по 200,00 лева пенсии. Двамата много се притеснили от това, че
имената им са обявени в интернет. Те живеели в с. Динката. Притеснявали се поради това, което се чувало
и за телефонни измами и се уплашили, че някой може с техните данни да изтегли
заем и да връщат пари, които не са изтеглили. Много били притеснени и поради
това, че те живеели на село, а Калайджиев в града, той ходел редовно при тях.
Сега се били успокоили малко, но тогава
били много притеснени и наплашени.
Свидетеля твърди, че неговите данни също били
източени и той също бил много притеснен. Той уведомил майка си, че и нейните
данни са изтекли и я пратил в НАП да си изкара ПИК и да провери. Ходили с
нейния съпруг до НАП и проверили, като се оказало, че техните данни са „изтекли“
в интернет. Тези притеснения при майка му
продължили около месец. Свидетеля си спомня, че били публикувани ЕГН и други
лични данни, които не може да конкретизира.
12. От описаните до тук данни е видно, че
Национална агенция за приходите е въвела вътрешни правила, процедури, технически
и организационни мерки за осигуряване на сигурността на информацията, която се
събира и обработва от агенцията. Доколко тези документално оповестени мерки са приложени
и осъществени фактически в дейността на администрацията, по делото не се
заявиха и не се представиха конкретни доказателства.
Като несъмнено проявени факти, по делото ще
следва да бъдат приети, осъществения достъп от трето, неоторизирано лице до личните
данни на данъчните субекти, събирани и обработвани от ответната администрация,
както и публичното обявяване на част от тези данни в интернет.
Представеното от ответната страна Удостоверение
изх. № 94-А-1174#5 от 27.10.2020г., налага да се приемат за проявени,
твърдените от ищцата факти, че има осъществен неоторизиран достъп до данни от
информационните масиви на НАП на 15.07.2019г. относно С.П.С., като добитите по
този начин и обявени публично данни включват единния граждански номер и трите
имена на ищцата, както и данни от справка за изплатени доходи на физически
лица(чл. 73 от ЗДДФЛ) за 2008г.
За установено по делото, ще следва да бъде
прието, че считано от 25.07.2019г. е било разработено и активно, специално
приложение, налично на електронен адрес https://check.nra.bg, чрез което всеки
български гражданин, може да провери дали негови лични данни са станали обект
на неоторизиран достъп.
Несъмнено е също така, че С.П.С. е подала
първоначално заявление за ползване на електронни услуги/ПИК/ с вх. №
134542001881921 от 26.05.2020г.
13. Данните по делото са еднозначни за това, че
ищцата Стоянова е разбрала относно достъпа на третото лице до личните ѝ данни
и тяхното
публично оповестяване през 2019г. Бидейки към този момент на възраст над 70
години, тя е изпитала притеснения от факта, че евентуално, посредством публично
известните вече лични данни, тя може да бъде субект на телефонни измами или пък
трето лице да използва личните и данни да получи паричен заем от нейно име и за
нейна сметка. Тези притеснения при С. продължили около месец.
ІV. За правото :
14. Според чл. 4, § 7 от Регламент (ЕС) 2016/679
на Европейския парламент и на съвета от 27 април 2016 год., „администратор“ означава физическо или
юридическо лице, публичен орган, агенция или друга структура, която сама или
съвместно с други определя целите и средствата за обработването на лични данни;
когато целите и средствата за това обработване се определят от правото на Съюза
или правото на държава членка, администраторът или специалните критерии за
неговото определяне могат да бъдат установени в правото на Съюза или в правото
на държава членка.
Според чл. 80, ал. 1 от ДОПК, Националната
агенция за приходите създава и поддържа регистър и бази данни за задължените лица,
като според чл. 81, ал. 1, т. 2, т. 3 и т . 4 от ДОПК, регистърът съдържа данни
относно името и единния граждански номер на задължените лица, както и техните адресите
по чл. 8 и 28 от ДОПК. Тази информация съставлява „лични данни“ по смисъла на
определението, съдържащо се в чл. 4, § 1 от Регламент (ЕС) 2016/679.
Описаните в предходния раздел на решението данни
и цитираните нормативни текстове, налагат да се приеме, че Национална агенция
за приходите е администратор на данни по смисъла на чл. 4, § 7 от Регламент
(ЕС) 2016/679 и в качеството си на такъв е имала достъп до лични данни относно
ищцата С..
15. Според
основния принцип „Цялостност и поверителност“, установен в чл. 5, § 1, б. „е“
от Регламент (ЕС) 2016/679, личните данни се обработват по начин, който
гарантира подходящо ниво на тяхната сигурност, включително защита срещу
неразрешено или незаконосъобразно обработване и срещу случайна загуба,
унищожаване или повреждане, като се прилагат подходящи технически или
организационни мерки.
В чл. 24
„Отговорност на администратора“, § 1 от Регламент (ЕС) 2016/679 е възведено
общото задължение, като
взема предвид естеството, обхвата, контекста и целите на обработването, както и
рисковете с различна вероятност и тежест за правата и свободите на физическите
лица, администраторът въвежда подходящи технически и организационни мерки, за
да гарантира и да е в състояние да докаже, че обработването се извършва в
съответствие с настоящия регламент. Тези мерки се преразглеждат и при
необходимост се актуализират.
Това изискване е впълнота, възпроизведено в чл.
59, ал. 1 от националния Закон за защита на личните данни.
Явно е, че отговорност на администратора с оглед
предотвратяване на рискове с различна вероятност и тежест за правата и
свободите на физическите лица е не само въвеждането на организационни мерки, в
каквато насока по делото се представиха изобилие от писмени документи, но и въвеждане
подходящи технически разрешения, хардуер и софтуер, които да предотвратят
използването или достъпа до данни извън установения за това нормативен ред.
Като конкретизация на това общо задължение, в чл.
32 „Сигурност на обработването“, § 1 и § 2 от Регламент (ЕС) 2016/679 е
указано, че като се имат предвид достиженията на техническия прогрес, разходите
за прилагане и естеството, обхватът, контекстът и целите на обработването,
както и рисковете с различна вероятност и тежест за правата и свободите на
физическите лица, администраторът и обработващият лични данни прилагат
подходящи технически и организационни мерки за осигуряване на съобразено с този
риск ниво на сигурност, включително, inter alia, когато е целесъобразно: a)
псевдонимизация и криптиране на личните данни; б) способност за гарантиране на
постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите
за обработване; в) способност за своевременно възстановяване на наличността и
достъпа до личните данни в случай на физически или технически инцидент; г)
процес на редовно изпитване, преценяване и оценка на ефективността на
техническите и организационните мерки с оглед да се гарантира сигурността на
обработването. При
оценката на подходящото ниво на сигурност се вземат предвид по-специално
рисковете, които са свързани с обработването, по-специално от случайно или
неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до
прехвърлени, съхранявани или обработени по друг начин лични данни.
В чл. 66, ал. 2, т.1, т. 2, т. 3, т. 4 и т. 5 от
ЗЗЛД е предвидено, по отношение на автоматизираното обработване администраторът
или обработващият лични данни след оценка на рисковете да прилага мерки, имащи
за цел: 1. контрол върху достъпа до оборудване – да се откаже достъп на
неоправомощени лица до оборудването, използвано за обработване на лични данни; 2.
контрол върху носителите на данни – да се предотврати четенето, копирането(курсивът мой), изменянето или
отстраняването на носители на данни от неоправомощени лица; 3. контрол върху
съхраняването – да се предотврати въвеждането на лични данни от неоправомощени
лица, както и извършването на проверки, изменянето или изтриването на
съхранявани лични данни от неоправомощени лица; 4. контрол върху потребителите
– да се предотврати използването на
автоматизирани системи за обработване от неоправомощени лица чрез използване на
оборудване за предаване на данни(курсивът мой).
16. Цитираните до тук нормативни текстове освен,
че установяват конкретни задължения за администратора на лични данни, да
предприеме не само подходящи организационни мерки, но да въведе и необходимите технически
разрешения, софтуер и хардуер, като тези мерки следва да са от такова естество,
че да гарантират и администратора на лични данни да е в състояние да докаже, че обработването се извършва в
съответствие с изискванията на Регламент (ЕС) 2016/679 и националната правна
уредба, регулираща
обществените отношения, свързани със защитата на правата на физическите лица
при обработване на личните им данни.
В хода на настоящото производство не се установи
това да е сторено от ответния административен орган, който не доказа да е
предприел действия по въвеждането на необходимите и подходящи технически мерки,
за да гарантира, че обработването на лични данни се извършва в съответствие с
изискванията на Регламент (ЕС) 2016/679 и националната правна уредба.
В контекста на изложеното до тук, следва да се
констатира, че ответния административен орган не представи предвидените в организационните
документи, доклади за резултати от проведена оценката на риска, или
доказателства за изготвени планове за въздействие, нито доказателства такива
документи да са били предоставяни на разположение на надзорния съвет по
информационна сигурност, нито пък доказателства този надзорен съвет да е
провеждал заседания и/или обсъждал въпроси, свързани с очаквани заплахи за
информационната сигурност и да е вземал решения в тази връзка, включително и в
месеците, непосредствено преди процесното неправомерно извличане на данни от
информационната система на НАП.
Както се посочи, в чл. 32, § 1 б. „г“ от Регламент
(ЕС) 2016/679, като част от необходимите мерки е изискването, да се осъществява
процес на редовно изпитване, преценяване и оценка на ефективността на
техническите и организационните мерки с оглед да се гарантира сигурността на
обработването. В конкретния случай, от доказателствата по делото, подобни
действия от страна на ответника не се установи да са предприети, независимо, че
такива са подробно описани в представените по делото документи. Това е имало като
краен резултат, невъзможност за констатиране на слабите места в системата за
информационна сигурност и съответно извършване на адекватни промени и
усъвършенстване, съобразно с новите тенденции в развитието на политиките за
информационна сигурност.
17. При това положение, следва да се приеме за
налична пряка причинна връзка между така установеното противоправно бездействие,
свързано с несъобразяване на ответника със задълженията му по чл. 32 от Регламент
(ЕС) 2016/679 за защита на личните данни и констатираното нерегламентирано
достъпване, копиране и разпространение на лични данни, обработвани от НАП, в
качеството ѝ
на
администратор на лични данни или казано с други думи, бездействието на
ответника по изпълнение на вменени му съгласно Регламент (ЕС) 2016/679 конкретни
задължения за активно поведение, е довело до неблагоприятните последици,
свързани с разпространение в интернет пространството на лични данни на
множество лица, включително и на ищцата. В тази насока, възраженията на
ответника, че извличането на данни е резултат на престъпно посегателство, не изключва
отговорността на администратора на лични данни по чл. 4, ал. 1 от ЗОДОВ,
доколкото възможността да се достъпят противоправно личните данни от трето лице
е предпоставена от пасивното поведение на ответника, който е бил длъжен,
съгласно чл. 32, § 2 от Регламент (ЕС) 2016/679, да съобрази при оценката на
подходящото ниво на сигурност рисковете, които са свързани с обработването, не
само от случайно, но и от неправомерно унищожаване, загуба, промяна, както и
неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по
друг начин лични данни, като в тази връзка предприеме и всички необходими предпазни
мерки.
18. Според чл. 82, § 1 и § 2 от Регламент (ЕС)
2016/679, всяко лице, което е претърпяло материални или нематериални вреди в
резултат на нарушение на регламента, има право да получи обезщетение от
администратора или обработващия лични данни за нанесените вреди.
Администраторът, участващ в обработването на лични данни, носи отговорност за
вреди, произтичащи от извършеното обработване, което нарушава настоящия
регламент. Обработващият лични данни носи отговорност за вреди, произтичащи от
извършеното обработване, само когато не е изпълнил задълженията по регламента,
конкретно насочени към обработващите лични данни, или когато е действал извън
законосъобразните указания на администратора или в противоречие с тях. Освобождаването
от отговорност на администратора е допустимо съобразно чл. 82, § 3 от Регламент (ЕС)
2016/679, само ако той докаже, че по
никакъв начин не е отговорен за събитието, причинило вредата. В случая
ответника не доказа, че е предприел всички необходими и възможни технически и
организационни действия за да предотврати противоправния достъп до събираните,
обработвани и съхранявани от него лични данни. При това положение, предприетият
неправомерен достъп и разпространение на тези данни от страна трето
неоторизирано лице, не освобождава ответника от отговорност за причинените
вреди.
19. В случая, няма причина да не се приеме, че
ищцата действително е претърпяла, твърдените в исковата молба притеснения от факта, че
евентуално, посредством публично известните вече лични данни, тя може да бъде
субект на телефонни измами или пък трето лице да използва личните и данни да
получи паричен заем от нейно име и за нейна сметка, като тези притеснения при С.
са продължили около месец.
Действително, данни в тази насока се съдържат
единствено в показанията на синът на ищцата. Този факт обаче, сама по себе си
не е основание показанията на Калайджиев да бъдат изцяло игнорирани. Те са
дадени под страх от наказателна отговорност за потвърждаване на неистина, като
не противоречат на останалите събрани по делото доказателства. Следва също така
да се съобрази, че е логично, най близките до ищцата хора, да са най-добре
запознати с претърпените от нея негативни психически състояния.
20. Въз основа на изложеното до тук, следва да
се приеме, че е налице причинна връзка между установеното бездействие от страна
на ответника и причинените на ищцата неимуществени вреди.
Относно размера на исканото обезщетение, следва
да се съобрази, че описаните негативни психически състояния не се отличават с
някакъв особен интензитет, доколкото те са свързани единствено с предположения
на ищцата за възможни противоправни действия от трети лица, които евентуално
биха били подпомогнати за това от публично оповестените лични данни. Нито в
обстоятелствената част на исковата молба, нито пък в хода на делото се заявиха
и установиха конкретни данни, че са били налице някакви индиции относно
реалната възможност такива действия да бъдат предприети от трети лица по
отношения на ищцата. Следва също така да се констатира, че притесненията на
ищцата в тази насока са продължили не повече от един месец.
При това положение и с оглед правилото на чл. 52
от Закона за задълженията и договорите, исковата претенция следва да бъде
уважена в размер на 200,00лв.
V. За разноските :
21. При условията на чл. 10, ал. 3 от ЗОДОВ, на
ищцата се дължат сторените разноски по производството, които съобразно
уважената част на иска се констатираха в размер на 60,83лв.
При условията на чл. 10, ал. 4 от ЗОДОВ, на ответника
се дължи възнаграждение за осъществена процесуална защита, която съобразно отхвърлената
част и правилата на чл. 37 от Закона за адвокатурата във връзка с чл. 24 и чл.
25, ал. 1 от Наредбата за заплащането на правната помощ, при минимален
нормативно определен размер от 100,00лв., с оглед размера на исковата
претенция, се констатира на стойност от 83,33лв.
Ето защо, Съдът
РЕШИ :
ПРИЗНАВА ЗА УСТАНОВЕНО по отношение на С.П.С., ЕГН :**********,***,
че Национална агенция за приходите не е извършила необходимите действия,
съобразно изискването на чл. 32, § 1 от Регламент
(ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г., относно
защитата на физическите лица във връзка с обработването на лични данни и
относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО
(Общ регламент относно защитата на данните) и на чл. 59, ал. 1 от Закона за
защита на личните данни, като отчита естеството, обхвата, контекста и целите на
обработването, както и рисковете за правата и свободите на физическите лица, да
прилага подходящи технически и организационни мерки, за да гарантира и да е в
състояние да докаже, че обработването се извършва в съответствие с този закон,
като при необходимост тези мерки се преразглеждат и актуализират.
ОСЪЖДА Национална агенция за приходите, ЕИК
*********, гр. София, бул. “Княз Ал. Дондуков“ № 52, да заплати на С.П.С., ЕГН
:**********,*** сумата от 200,00(двеста) лева, представляваща обезщетение за
неимуществени вреди, изразяващи се в страх и притеснение от евентуална
злоупотреба с неправомерно разпространени лични данни, както и притеснения, че
неограничен и неизвестен брой трети лица имат достъп до нейни лични данни, в
това число единен граждански номер и финансова информация, претърпени в
резултат на незаконосъобразно бездействие на Национална агенция за приходите, като
отчита естеството, обхвата, контекста и целите на обработването на лични данни,
както и рисковете за правата и свободите на физическите лица, да прилага
подходящи технически и организационни мерки, за да гарантира и да е в състояние
да докаже, че обработването се извършва в съответствие с европейското и
национално законодателство, в резултат на което са разкрити лични данни за С.П.С.,
както и обезщетение за забавено плащане на същата парична сума съразмерно на
законната лихва за периода от 15.07.2019г. до окончателното ѝ изплащане.
ОТХВЪРЛЯ исковите претенции на С.П.С., ЕГН : **********,***,
да бъде осъдена Национална агенция за приходите, ЕИК *********, гр. София, бул.
“Княз Ал. Дондуков“ № 52, да ѝ заплати сумата, за разликата
от 200,00лв. до пълния заявен размер от
1200,00лв., представляваща обезщетение за неимуществени вреди, изразяващи се в
страх и притеснение от евентуална злоупотреба с неправомерно разпространени
лични данни, както и притеснения, че неограничен и неизвестен брой трети лица
имат достъп до нейни лични данни, в това число единен граждански номер и
финансова информация, претърпени в резултат на незаконосъобразно бездействие на
Национална агенция за приходите, като отчита естеството, обхвата, контекста и
целите на обработването на лични данни, както и рисковете за правата и
свободите на физическите лица, да прилага подходящи технически и организационни
мерки, за да гарантира и да е в състояние да докаже, че обработването се
извършва в съответствие с европейското и национално законодателство, в резултат
на което са разкрити лични данни за С.П.С., както и обезщетение за забавено
плащане на същата парична сума съразмерно на законната лихва за периода от
15.07.2019г. до окончателното ѝ изплащане.
ОСЪЖДА Национална агенция за приходите, ЕИК
*********, гр. София, бул. “Княз Ал. Дондуков“ № 52, да заплати на С.П.С., ЕГН
:**********,*** сумата от 60,83лв (шестдесет лв. и осемдесет и три ст.),
представляващи извършени от последната разноски по делото, съобразно уважената
част на иска.
ОСЪЖДА С.П.С., ЕГН : **********,***, да заплати
на Национална агенция за приходите, ЕИК *********, гр. София, бул. “Княз Ал.
Дондуков“ № 52, сумата от 83,33лв лв.(осемдесет и три лв. и тридесет и три ст.),
представляваща възнаграждение за осъществено процесуално представителство по
отношение на администрацията.
Решението
подлежи на обжалване с касационна жалба пред Върховния административен съд в
четиринадесет дневен срок от съобщаването на страните за неговото изготвяне.
Административен съдия : /П/