Решение по дело №807/2024 на Административен съд - Пазарджик

Производството е по реда на чл. 203 и сл. от Административнопроцесуалния кодекс (АПК) във връзка с чл. 1, ал. 1 от Закона за отговорността на държавата и общините за вреди (ЗОДОВ).

Образувано е по искова молба на К. С. К., [ЕГН], подадена чрез процесуален представител адвокат А. П., против Националната агенция за приходите (НАП), с правно основание чл. 82 § 1 от Общия регламент относно защитата на личните данни (ЕС) 2016/679 на Европейския парламент и на Съвета (GDPR/ОРЗД) във вр. чл. 39, ал. 1 и ал. 2 от Закона за защита на личните данни (ЗЗЛД). Иска се НАП да бъде осъдена да заплати на ищеца сумата от 2 000 лв., представляваща обезщетение за претърпени неимуществени вреди за периода от 16.07.2019 г. до 15.07.2024 г., вследствие на неправомерно обработване на лични данни от страна на администратора или на обработващия лични данни нарушения на задълженията, които произтичат от чл. 24 и чл. 32 GDPR. С главния иск е съединен и иск за заплащане на законната лихва върху претендираното обезщетение, считано от 15.07.2019 г. до окончателното изплащане на вземанията.

В исковата молба са изложени съображения за това, че вследствие на неправомерно изтичане на лични данни от базата данни на НАП, сред които и такива на ищеца, за него са възникнали и е претърпял неимуществени вреди, изразяващи се в притеснения, страх и опасения от евентуална злоупотреба с тези данни, както и от физически нападения, заплахи, изнудвания, отвличания, притеснения, че неограничен и неизвестен брой трети лица имат достъп до неговите лични данни, в това число адрес и финансова информация и други, които са в пряка и непосредствена последица от увреждането. Твърди, че пробивът в електронната система на НАП от 16.07.2019 г. е вследствие на недостатъчна грижа и мерки за защита сигурността на обработваните лични данни от НАП, в качеството  на администратор на лични данни в нарушение на чл. 32 от Регламент (ЕС) 2016/679. В съдебно заседание процесуалният представител поддържа исковата молба и претендира присъждане на разноски.

Ответникът – Националната агенция за приходите, чрез процесуалните си представители, изразяват становище за недопустимост, алтернативно за неоснователност и недоказаност на исковата претенция. Претендират присъждане на юрисконсултско възнаграждение.

Представителят на Окръжна прокуратура-Пазарджик представя заключение за основателност на исковата претенция като счита, че размерът на претендираното обезщетение е завишен.

Административен съд-Пазарджик, след като обсъди доводите на страните и прецени по реда на чл. 235, ал. 2 ГПК във вр. чл. 144 АПК приетите по делото писмени доказателства, приема за установено от фактическа страна следното:

Искът е допустим. Исковата молба отговаря на всички формални изисквания на чл. 127 и чл. 128 ГПК. Правото на обезщетение се упражнява по правилата на чл. 203 и сл. от АПК, и тъй като администраторът на лични данни е и административен орган и съобразно тези по ЗОДОВ. Разпоредбата на чл. 39 ЗЗЛД не създава специален начин на обезщетение по смисъла на чл. 8, ал. 3 ЗОДОВ. В тази връзка е неоснователно твърдението на ответника за недопустимост на иска, доколкото в петитума на исковата молба и уточнението към нея изрично е посочено, че се иска да бъде установено по отношение на ответника НАП противоправно и виновно поведение в периода со 16.07.2019 г., от което ищецът е претърпял неимуществени вреди. В обстоятелствената част на иска подробно са развити доводи, в които се твърди неправомерно обработване на лични данни и нарушения на задълженията, които произтичат от чл. 24 и чл. 32 във вр. чл. 82, § 1 от ОРЗД.

Неоснователно е и твърдението на ответника за погасяване на исковата претенция по давност. Съгласно чл. 110 ЗЗД, във вр. § 1 ЗОДОВ давността за предявяване на иск по чл. 1 ЗОДОВ, с оглед липсата на специална разпоредба в самия закон, е 5 години. В Тълкувателно решение № 3/22.04.2004 г. по Тълкувателно дело № 3/2004 г. на ОСГК на ВКС е прието кой е началният момент на погасителната давност при исковете за обезщетение от причинени вреди от незаконни действия, респективно бездействия на административния орган. По закон давността не се прилага служебно, поради което длъжникът трябва да възрази и да заяви изрично пред съответния орган, че задължението му е погасено по давност. В конкретния случай, след като от ответника е направено изрично възражение за погасяване по давност на исковата претенция, в съответствие с разпоредбата на чл. 120 ЗЗД, следва да се приеме, че погасителната давност е започнала да тече от 15.07.2019 г. – датата на изтичане на лични данни от системата на НАП (съгласно общоизвестна информация, както и потвърждението на датата в представените писмени бележки), като петгодишният период изтича на 15.07.2024 г. Искът, видно от датата на изпрашане чрез ССЕВ е предявен на 12.07.2024 г., т.е. в установения срок.

Предявеният иск е с правно основание чл. 79, § 1 и чл. 82, § 1 от Регламент (ЕС) 2016/679, във вр. чл. 39 ЗЗЛД, чл. 203 АПК, във вр. чл. 1, ал. 1 ЗОДОВ. Предвид качеството на администратора на лични данни – специализиран държавен орган към министъра на финансите за установяване, обезпечаване и събиране на публични вземания и определени със закон частни държавни вземания (чл. 2, ал. 1 ЗНАП), правото да се претендира обезщетение за причинените вреди, се упражнява чрез предявяване на осъдителен иск, подлежащ на разглеждане от административните съдилища по реда на АПК, с препращане за неуредените въпроси към ЗОДОВ и ГПК. Предмет на проверка е установяването дали актът, действието или бездействието на администратора, е съответно на Регламент (ЕС) 2016/679. За да е основателен предявеният иск за обезщетение предвид разпоредбата на чл. 82 от ОРЗД следва да са налице следните предпоставки: 1. нарушаване на правата на субекта на данни по Регламент (ЕС) 2016/679 в резултат на обработване на личните му данни, което не е в съответствие с регламента; 2. причинена материална или нематериална вреда и 3. причинна връзка между нарушението на правата по регламента и причинената вреда.

Съгласно чл. 8, § 1 от Хартата на основните права на Европейския съюз (ХОПЕС) всеки има право на защита на неговите лични данни. С разпоредбите на Регламент (ЕС) 2016/679 са предвидени задължения за администраторите на лични данни и обработващите лични данни да осигурят необходимата защита на тези данни, така че да се гарантира тяхното законосъобразно обработване, в съответствие с принципите, определени в чл. 5 от ОРЗД. Чл. 24 и 32 от Регламент (ЕС) 2016/679 задължават администратора на лични данни, в случая НАП, да вземе подходящите технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с регламента и със закона.

Според чл. 82, § 3 от ОРЗД администраторът или обработващият лични данни се освобождава от отговорност съгласно § 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата. Тежестта да докаже, че са взети подходящите организационни и технически мерки, е на администратора/обработващия, а не на лицето, което твърди, че в резултат на липсата на такива мерки, е претърпяло вреда. Администраторът/обработващият следва да установи по несъмнен начин, че е предприел подходящите и ефективни организационни и технически мерки, така че по никакъв начин не е отговорен за изтичането на личните данни на ищеца в интернет пространството, в резултат на извършения неправомерен пробив в информационната система на НАП.

В т. 74 от преамбюла на ОРЗД е предвидено, че администраторът е длъжен да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с този регламент, включително ефективността на мерките. Тези мерки следва да отчитат естеството, обхвата, контекста и целите на обработването, както и риска за правата и свободите на физическите лица. А в т. 146 от преамбюла е предвидено, че администраторът или обработващият лични данни следва да бъде освободен от отговорност, ако докаже, че по никакъв начин не е отговорен за вредите.

Страните не спорят, че са предприети мерки за незабавно уведомяване на обществеността чрез онлайн и други медии, както и са предприети мерки за преустановяване на нерегламентирания достъп. Следователно са спазени разпоредбите на чл. 33 и чл. 34 от Регламента, като е проведено предписаното в тях уведомяване.

Приложени са доказателства, че в НАП са разработени и утвърдени документи, както следва: Издадена е Заповед № ЗЦУ-586/30.04.2014 г. на изпълнителния директор на НАП за внедряване на СУСИ по стандарт БДС ISO/IEC 27001:2006; Заповед № З-ЦУ-1436/15.10.2018 г. на изпълнителния директор за утвърждаване на различни указания, включително и „Указания за обозначаване и работа с информацията“, с които се цели да се определи и обозначи нивото на мерките по сигурност, изисквани за защита на информацията, в съответствие на класификацията по отношение чувствителност и критичност за НАП; Заповед № ЗЦУ-733/17.06.2016 г. за утвърждаване на процедури на отдел „Превенция на финансовата и информационна система“ и вътрешни правила за мрежовата и информационната сигурност; Заповед № ЗЦУ-83/23.01.2013 г. за вида съдържанието, реда за създаване, поддържане и достъп до регистъра на НАП; Списък на видовете операции по обработване на лични данни, за които се изисква извършване на оценка на въздействието върху защитата на данните съгласно чл. 35, § 4 от Регламент (ЕС) 2016/679; Заповед № ЗЦУ-1596/29.11.2017 г. за утвърждаване на указания за унищожаване на информация и информационни носители в НАП; Заповед № ЗЦУ-535/11.05.2016 г. за утвърждаване на вътрешни правила за оборот на електронни документи и документи на хартиен носител; Инструкция № 2/08.05.2019 г. за мерките и средствата за защита на личните данни, обработвани в НАП и реда за движение на преписки и заявяване на регистри; Политика за информационна сигурност от м. май 2016 г.

Представените писмени доказателства доказват вземането на организационни мерки от страна на НАП, назад във времето. Същевременно липсват доказателства, от които да се направи извод, че тези организационни мерки са подходящи, за да гарантират защита на данните, както и че същите са актуализирани. С наличните доказателства не може да се установи, че предприетите организационни мерки, са били в такава степен подходящи и ефективни, че да гарантират обработването на личните данни в съответствие с изискванията на Регламент (ЕС) 2016/679. Ответникът не сочи и взетите конкретни технически мерки за защита на личните данни, които обработва, от неправомерен достъп. Действително която и да е информационна система не може да бъде напълно защитена от хакерски атаки, но в случая администраторът на лични данни не сочи взети подходящи мерки за защита на личните данни, които обработва.

Предвид твърдяното накърнено право на ищеца от неправомерния достъп до личните му данни и разпространяването им в интернет пространството и липсата на доказателства, установяващи, че ответникът по никакъв начин не е отговорен за вредите, следва да се приеме, че първата предпоставка за уважаване на иска за обезщетение е налице.

Съдът счита, че не са налице втората и третата предпоставка за основателност на исковата претенция. Ищецът твърди причинена неимуществена вреда, подробно описана в исковата молба. В т. 6 от диспозитива на Решение от 14 декември 2023 г. по дело С-340/21 на СЕС е посочено, че чл. 82, § 1 от Регламент 2016/679 трябва да се тълкува в смисъл, че опасенията, които субект на данни изпитва, вследствие на нарушение на този регламент, от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериална вреда“ по смисъла на тази разпоредба, като тежестта на доказване е на ищеца.

Според Решение от 4 май 2023 г. по дело С-300/21 на СЕС, чл. 82, § 1 от Регламент (ЕС) 2016/679 трябва да се тълкува в смисъл, че самото нарушение на разпоредбите на този регламент не е достатъчно, за да се присъди право на обезщетение (т. 1). Чл. 82, §1 не допуска национална разпоредба или практика, която поставя поправянето на нематериални вреди по смисъла на тази разпоредба в зависимост от условието нанесените на субекта на данните вреди да са достигнали определена степен на значимост (т. 2). Чл. 82 от Регламента трябва да се тълкува и в смисъл, че за да се определи размерът на обезщетението, дължимо на основание на закрепеното в този член право, националните съдилища трябва да приложат вътрешните правила на всяка държава членка относно обхвата на паричното обезщетение, стига да са спазени принципите на равностойност и ефективност на правото на Съюза.

В случая ищецът не ангажира доказателства какви негови лични данни са достъпени неправомерно. Към исковата молба е представена справка от електронната страница на НАП, в която е посочено: „За подадения идентификатор има разпространени данни. Разпространените данни включват:…“. Никъде в справката не е индивидуализирано лицето, на което са изтекли данните. Липсват имена и ЕГН, от които може да се направи извод, че тази справка касае ищеца, нито кой е направил заявката.

По делото е разпитан свидетелят Х. Б. С., който заявява, че се познава с ищеца повече от 30 години. Посочва, че м. август 2019 г. ищецът му се е обадил и го помолил да извърши справка от негово име в Централен кредитен регистър във връзка с „теча“ на данни. Твърди, че е направил няколко справки, от които не се виждало да са му използвани данните. Посочва, че ищецът се притеснявал някой да не „изтегли нещо“ и че пие някакви лекарства на билкова основа.

Съдът кредитира показанията на свидетеля, но същите не доказват, че представената с исковата молба справка касае изтичане на лични данни на ищеца. Напротив, свидетелят посочи, че още през 2019 г. е направил справка за К. К. само в Централния кредитен регистър, като такива доказателства не са представени по делото.

За да може да се приложи принципът на равностойност и ефективност, съобразно решение по дело С-300/21 на СЕС, ищецът следва да посочи и докаже какви негови лични данни са публично оповестени, за да може да се прецени притестнението и страха като неимуществени вреди и да се определи адекватно парично обезщетение. Липсата на доказателства какви точно лични данни са изтекли и че изтеклите лични данни са именно на ищеца имат за последица недоказаност на втория елемент от фактическия състав на отговорността. Тъй като трите елемента следва да са кумулативно налице, липсата на един от тях има за последица неоснователност на иска и не следва да се обсъжда дали е налице и третата предпоставка за основателност на иска.

Във връзка с изложеното, исковата претенция следва да бъде отхвърлена като неоснователна и недоказана. Неоснователността на главния иск обуславя отхвърлянето и на акцесорния иск за законна лихва.

С оглед изхода на спора и предявеното от процесуалния представител на ответника, искане за присъждане на юрисконсултско възнаграждение, ищецът следва да бъде осъден да заплати на НАП сумата от 100 (сто) лв., представляваща юрисконсултско възнаграждение в определен от съда размер на основание чл. 10, ал. 4 ЗОДОВ във вр. с Наредбата за заплащането на правната помощ.

Водим от гореизложеното, Административен съд-Пазарджик, IХ-ти състав

РЕШИ:

ОТХВЪРЛЯ исковите претенции на К. С. К. против Националната агенция за приходите за присъждане на обезщетение за нанесени неимуществени вреди в размер на 2000 лв., предявени на основание чл. 82 § 1 от Общия регламент относно защитата на личните данни (ЕС) 2016/679 на Европейския парламент и на Съвета във вр. чл. 39, ал. 1 и ал. 2 от Закона за защита на личните данни (ЗЗЛД), ведно с дължимата законна лихва върху сумата, считано от 15.07.2019 г. до окончателното й изплащане.

ОСЪЖДА К. С. К., [ЕГН], гр. Пазарджик, [улица], да заплати на Националната агенция за приходите сумата от 100 (сто) лева, представляваща юрисконсултско възнаграждение.

Решението подлежи на обжалване с касационна жалба пред Върховния административен съд в 14-дневен срок от съобщаването му.

На основание чл. 138, ал. 3 АПК препис от решението да се изпрати на страните по реда на чл. 137 АПК.