Гражданка осъди НАП за теча на лични данни, какво чакате?

Гражданка осъди НАП за теча на лични данни, какво чакате?

Националната агенция по приходите (НАП) дължи обезщетение за теча на лични данни през лятото на 2019 година. Това става ясно от решение на Върховния административен съд по жалба на един конкретен гражданин, което обаче е знаково по въпроса за отговорността на Агенцията след пробива и означава, че още хиляди нашенци могат да осъдят бюрократите.

Конкретното дело е образувано във ВАС по касационна жалба на НАП против решение на Административния съд София-град (АССГ), с което е признато, че Агенцията носи отговорност за причинени щети на жалбоподателката, като е накърнила легитимните й очаквания спрямо държавата за сигурност в личната и имуществената й сфера, предвид общодостъпната информация за възможни злоупотреби с личните й данни в момента на разкриването им и за в бъдеще. В резултат на това първата инстанция присъжда 500 лв. обезщетение на ищцата, предаде „Правен свят“.

Тричленен състав на ВАС, чието решение в случая се явява окончателно, обаче приема жалбата на НАП за неоснователна и потвърждава решението на АССГ по няколко съображения.

На първо място – върховните съдии отбелязват, че АССГ е констатирал поредица от заповеди, указания и политики, приети от НАП в областта на информационната сигурност, които служителите й е следвало да спазват, в това число и тези, които са отговаряли за личните данни на 4 104 786 живи физически лица, български и чужди граждани, и 1 989 598 починали физически лица, изтекли по време на хакерската атака.

Първоинстанционният съд е установил и, че в Комисията за защита на личните данни /КЗЛД/ не е налице висящо или приключило производство, инициирано от ищцата. Установено е също така, че в хода на извършена от страна на КЗЛД проверка за изтеклата информация от информационните масиви на НАП, е прието, че при осъществяване на дейността си, НАП в качеството си на администратор на лични данни, не е приложила подходящи технически и организационни мерки, в резултат на което е осъществен неоторизиран достъп, неразрешено разкриване и разпространение на лични данни на физически лица, в различен обем. За така установеното, председателят на КЗЛД е издал наказателно постановление против НАП за нарушение на чл. 32, § 1, б. „б“ от Общия регламент относно защитата на личните данни в размер на 5 100 000 лева. Последното не е влязло в сила, предвид оспорването му пред Софийския районен съд.

Така ВАС приема за правилен извода на първата инстанция, че искът на жалбоподателката срещу НАП е допустим. „Обосновани са правните изводи на АССГ относно допустимостта на предявения иск. Съдът се е съобразил с непротиворечивата практика на ВАС, /например определение, постановено по адм.дело № 1796/20 година, а много други в същия смисъл/. Съгласно чл. 79, параграф 1 и чл. 82, параграф 1 от Общия регламент относно защитата на данни без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент като ако е претърпял материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.

Процесуалният ред за реализирането на това право на защита се определя от националното законодателство на всяка държава-членка. В българското законодателство обезщетението за вреди, причинени от органи на държавата и общините при или по повод изпълнение на административна дейност се упражнява чрез предявяване на осъдителен иск, подлежащ на разглеждане от административните съдилища по реда на АПК с препращане за неуредените въпроси към ЗОДОВ и ГПК“, пишат върховните съдии.

На второ място – ВАС приема, че администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. „Обработващият лични данни носи отговорност за вреди, произтичащи от извършеното обработване, само когато не е изпълнил задълженията по настоящия регламент, конкретно насочени към обработващите лични данни, или когато е действал извън законосъобразните указания на администратора или в противоречие с тях.“ от Регламент /ЕС/ 2016/679 на Европейския парламент и на Съветаот 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)“, казват съдиите.

Правилни са, според ВАС, и изводите, че въпросът дали това неразрешено разкриване е станало възможно от успешно проведената хакерска атака и дали тя осъществява състав на престъпление е ирелевантен по делото. Изложени са съображения, че не може да се приравнява априори настъпилия противоправен резултат на противоправно бездействие на ответника, а следва да бъдат съобразени процесуалните последици от непроведеното от него успешно пълно доказване на надлежно изпълнение на задължението му за сигурност на обработването. Ирелевантен за спора и е доводът за наличие на висящо производство пред АССГ срещу решение на КЗЛЛ, предвид липсата на идентичност на предмета на двете производства, както на преюдициалност на прозиводството пред регулаторния орган и претенцията за обезщетение, предявена пред съда.

Законосъобразен е изводът на първонистанционния съд за основателност на претенцията за обезщетение за обичайните неимуществени вреди от бездействието на ответника да изпълни задължението си да защити по сигурен начин данните й като физическо лице, без да са нужни формални, външни доказателства за установяване на тези обичайни вреди, тъй като те настъпват винаги в резултат от нарушаването сигурността на данните. „Размерът на обезщетението е определен съобразно стандарта на живот, при недоказаност на вреди над обичайните. При съобразяване с естеството на увреждането и стандарта на живот / вкл. минимално установената работна заплата за страната за 2019 г.-560 лева/, съдът е приел за справедливото обезщетение за причинените обичайни 500 лева и е уважил иска до този размер, а в останалата му част- до пълния му предявен размер от 1000 лева-искът е отхвърлен. Тези изводи се споделят от касационната инстанция по изложените от АССГ правни изводи“, казват още от ВАС.