Върховният административен съд на Р. Б. - Пето отделение, в съдебно заседание на десети април две хиляди двадесет и четвърта година в състав: Председател: Д. Ч. Членове: ЕМИЛ Д. Й. при секретар М. В. и с участието на прокурора Н. Х. изслуша докладваното от съдията Е. Д. по административно дело № 6020/2021 г.

Производството е по чл. 208 и сл. от Административнопроцесуалния кодекс (АПК).

Образувано е по касационна жалба на Л. С. П., чрез процесуален представител, против решение № 2594/19.04.2021 г. постановено по адм. д. № 3456/2020 г. по описа на Административен съд София-град (АССГ), с което в производство по чл. 203 АПК вр. чл. 1, ал. 1 Закона за отговорността на държавата и общините за вреди (ЗОДОВ), е отхвърлен като неоснователен иск на Л. С. П., против Национална агенция за приходите (НАП) с искане за заплащане на обезщетение за претърпени неимуществени вреди през периода от 15.07.2019 г. до 16.09.2019 г., в размер на 1000 лева, вследствие на незаконосъобразно бездействие от страна на НАП, изразяващо се в неизпълнение в достатъчна степен на задълженията по чл. 59, ал. 1 от Закона за защита на личните данни (33ЛД) и по чл. 24 и чл. 32 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Регламент (ЕС) 2016/679, Общ регламент относно защитата на данните, ОРЗД, Регламента), ведно със законната лихва, считано от 15.07.2019 г. до окончателното изплащане на обезщетението.

Касаторът навежда доводи неправилност на обжалваното решение като постановено в нарушение на материалния закон, съществено нарушение на съдопроизводствените правила и необоснованост – отменителни основания съгласно чл. 209, т. 3 от АПК. Моли решението да бъде отменено. Подробни съображения излага в касационната жалба и в писмена защита. Претендира разноски.

О. Н. агенция за приходите, чрез процесуален представител, оспорва касационната жалба. Съображения излага в писмен отговор. Претендира разноски.

Прокурорът от Върховна прокуратура дава мотивирано заключение за неоснователност на касационната жалба.

Върховният административен съд, пето отделение, намира, че касационната жалба е процесуално допустима. Разгледана по същество е основателна.

Производството пред Административен съд София-град е образувано по предявен от Л. П. иск за присъждане на обезщетение в размер на 1000 лева за претърпени неимуществени вреди в резултат на неизпълнение от страна на НАП в достатъчна степен на задължението й по чл. 59, ал. 1 от 33ЛД и по чл. 24 и чл. 32 от Регламент (ЕС) 2016/679, а именно да гарантира достатъчно ниво на сигурност на обработваните лични данни, довело до неразрешено разкриване или достъп до нейните лични данни, ведно със законната лихва, считано от 15.07.2019 г. до окончателното изплащане.

С определение от 05.06.2020 г. АССГ конституира страните както следва: ищец Л. П. и ответник НАП. Указва на ищеца, че в негова тежест е да докаже наличието на незаконосъобразно бездействие, изразяващо се в неполагане на необходимата грижа по опазване на неговите личните данни, на орган или длъжностно лице на държавата, при или по повод изпълнението на административна дейност, задължението на ответния орган за извършване на действие, изразяващо се в обработване на личните данни по начин, който да гарантира подходящо ниво на сигурност на личните данни, настъпване на неимуществени вреди от незаконосъобразно бездействие на ответника (страх и притеснение от евентуална злоупотреба с личните данни на ищеца, която би могло да доведе до отчуждаване на имуществото, изтегляне на влогове и кредити, промяна на гражданското състояние, кражба на самоличност, физически нападения, заплахи, изнудвания и отвличания), размера на вредите, както и причинната връзка между незаконосъобразните бездействия и настъпилия вредоносен резултат. Указва на ответника, че в негова тежест е доказването на фактите и обстоятелствата, от които черпи изгодни за себе си правни последици.

В открито съдебно заседание, проведено на 30.09.2020 г., ищецът възразява срещу разпределението на доказателствената тежест между страните с доводи, че доказването на твърдяното обстоятелство за бездействие от страна на администратора е отрицателен факт, поради което доказването на този факт следва да е в тежест на ответника НАП. Съдът оставя без уважение искането за преразпределяне на доказателствената тежест на ищеца с доводи, че целта не е установяване на отрицателни факти, а доказване от страна на ищеца какви конкретни задължения е следвало да бъдат изпълнени от ответника, в кой нормативен акт са разписани задълженията, както и фактът, че същите не са били изпълнени. По искане на ищеца е допуснат разпит на свидетел в следващо заседание.

В хода на съдебното производство съдът е приел представените писмени доказателства от страните (основно относно организацията на работа на НАП като администратор на лични данни), включително извадка от получен SMS от дата 25.08.2019 г., със съдържание „НАП: По заявка номер 8799 ИМА неправомерно разкрити лични данни“, без да са налични данни за телефонния номер или други данни за идентификация на лицето. Разпит на свидетел не е проведен и протоколното определение по допускането му е отменено, с оглед невъзможността ищцовата страна да доведе такъв и направено искане делото да бъде решено без свидетел.

При постановяване на атакуваното решение АССГ е приел за безспорно установен факт по делото разпространената на 15.07.2019 г. информация чрез медиите за установен неоторизиран достъп до обработваните от НАП бази данни, съдържащи лични данни на български и чуждестранни граждани. Неоторизирания достъп до базите данни на НАП е осъществен от трето лице по см. на чл. 4, т. 10 от ОРЗД. Вследствие на това съдът е приел, че спрямо НАП, като обект на противоправно действие от страна на трети лица, не следва да бъде търсена отговорност въз основа на факта на осъществения неоторизиран достъп. С тези доводи първоинстанционния съд е аргументирал дадените указания на ищцата, че е в нейна тежест посочването на онези конкретни деяния (реализирани чрез фактически, технически или правни действия), който е следвало да бъде извършени от НАП или нейни служители, но същите не са извършени или са извършени лошо, с което да е допринесено за осъществяване на неоторизирания достъп. АССГ е приел за установено, че от страна на ищцата не са ангажирани доказателства в тази насока. С оглед ангажираните доказателства от страна на ответника НАП и предприети от него действия след неправомерния достъп (уведомяване на обществеността и компетентните държавни органи), административният съд е приел за недоказано наличието на първия елемент за реализиране на отговорността на НАП – незаконосъобразно бездействие, вследствие на което съдът е направил извод и за липсата на пряка причинно-следствена връзка между бездействието и твърдените от ищцата претърпени неимуществени вреди.

Решението е постановено при допуснати от първоинстанционния съд съществени нарушения на съдопроизводствените правила.

Административният съд неправилно е определил правното основание на иска и не е дал подробни и конкретни указания по разпределението на доказателствената тежест с оглед изискванията на Регламент (ЕС) 2016/679, съответно не е установил относими към спора факти, необходими за правилното решаване на правния спор.

Правилно предявеният от Л. П. иск за присъждане на обезщетение за твърдените неимуществени вреди е разгледан по реда на глава единадесета „Производства за обезщетения“ от АПК, въпреки че дадената от съда правна квалификация не е точна.

Правото на ефективна съдебна защита срещу администратор или обработващ лични данни е уредено в чл. 79, пар. 1 от ОРЗД, който предвижда, че без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно чл. 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по Регламента са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с него. Производствата срещу даден администратор или обработващ лични данни се образуват пред съдилищата на държавата членка, в която администраторът или обработващият лични данни има място на установяване - чл. 79, пар. 2 ОРЗД.

Правото на обезщетение и отговорност за причинени вреди е предвидено в чл. 82, пар. 1 от ОРЗД, съгласно който всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на регламента, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава Регламента – пар. 2, чл. 82. Съгласно чл. 82, пар. 6 от ОРЗД съдебните производства във връзка с упражняването на правото на обезщетение се образуват пред съдилища, компетентни, съгласно правото на държавата членка, посочена в чл. 79, пар. 2.

Съгласно чл. 39, ал. 1 от ЗЗЛД при нарушаване на правата му по Регламент (ЕС) 2016/679 и по закона субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на АПК. В производството по ал. 1 субектът на данни може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора или на обработващия лични данни - чл. 39, ал. 2 от ЗЗЛД.

В чл. 39, ал. 1 от ЗЗЛД не се съдържа специална процесуална уредба относно реда за упражняване на правото на субекта да сезира съда за нарушените му права при обработване на личните му данни, а се препраща към общия административнопроцесуален закон за търсене на отговорност на всички администратори на лични данни, независимо от тяхната правосубектност - публични органи или частноправни субекти. Процесуалният ред, по който засегнатият субект може да търси обезщетение и отговорност за причинените вреди поради неправомерно обработване на личните му данни, е уреден в глава единадесета „Производство за обезщетения“ на АПК. Съгласно разпоредбата на чл. 203, ал. 1 АПК исковете за обезщетения за вреди, причинени на граждани или юридически лица от незаконосъобразни актове, действия или бездействия на административни органи и длъжностни лица, се разглеждат по реда на глава единадесета.

Фактическият състав, при осъществяването на който възниква правото на обезщетение за вреди, произтичащо пряко от чл. 82, пар. 1 от ОРЗД, включва претърпени материални или нематериални вреди настъпили в причинна връзка с нарушение на Регламента. За реализиране на отговорността е необходимо да са налице всички предпоставки от фактическия състав, поради което съдът е длъжен да се произнесе за наличието/липсата на всяка една от тях. В конкретния случай посоченият фактически състав действително съвпада с този по възникване право на обезщетение по чл. 1 от ЗОДОВ - незаконосъобразно бездействие, вреда и причинна връзка между тях. Това обаче не означава, че искът е следвало да се квалифицира като такъв с правно основание чл. 1, ал. 1 от ЗОДОВ, както е преценил първоинстанционният съд.

Изложените от Л. П. факти, изрично сочещи за допуснати от администратора на лични данни нарушения на задължения, които произтичат от чл. 24 и чл. 32 от ОРЗД, обуславят правна квалификация на иска по чл. 82, пар. 1, вр. пар. 2 от Регламента. Този извод не се променя от обстоятелството, че предвидените в посочените текстове задължения са преповторени, съответно в чл. 59 и чл. 66 ЗЗЛД, както и че ищеца се позовава както на тези норми, така и на чл. 1 от ЗОДОВ.

Неотносимо е позоваването на чл. 59 от ЗЗЛД, тъй като тези разпоредби се намират в глава 8 ЗЗЛД, регламентираща правилата за защита на физическите лица във връзка с обработването на лични данни от компетентните органи, но само за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване.

Следва да се посочи, че дадените от ищцата правни квалификации не обвързват съда. От значение са само фактическите й твърдения, въз основа на които съдът следва да даде вярната правна квалификация на иска, съобразявайки от кой нормативен акт произтичат претендираните от нея правни последици и какво е мястото му в йерархията на източниците на правото. В случая се твърдят нарушения на задължения, произтичащи пряко от чл. 24 и чл. 32 от ОРЗД.

Разпоредбата на чл. 24 „Отговорност на администратора“ от Регламент (ЕС) 2016/79 предвижда, че като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствия с Регламента. В допълнение, в чл. 32 са предвидени конкретните мерки които следва да се предприемат, а именно: „Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно: a) псевдонимизация и криптиране на личните данни; б) способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване; в) способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент; г) процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

От значение за предмета на правния спор е решението на Съда на европейския съюз (СЕС) по дело С-340/2021, VB, ECLI:EU:C:2023:986, до постановяването на което производството по настоящото дело беше спряно. Съгласно това решение, издадено на 14.12.2023 г., чл. 24 и чл. 32 ОРЗД трябва да се тълкуват в смисъл, че неоторизираното разкриване на лични данни не е достатъчно за да се приеме, че техническите и организационни мерки, приложени от администратора, не са били подходящи. Предприетите мерки от него трябва да бъдат оценявани за всеки конкретен случай, като се преценят рисковете свързани със съответното обработване, както и дали съдържанието и изпълнението на мерките са подходящи за тези рискове. При предявен иск за обезщетение по чл. 82 ОРЗД, администраторът носи тежестта на доказване, че прилаганите от него мерки за сигурност са подходящи съгласно чл. 32 от Регламента. Той не може да бъде освободен от отговорност, само защото вредата е резултат от неразрешено разкриване от трета страна, а трябва да докаже, че по никакъв начин не е отговорен за събитието, довело до съответните щети. Страхът, изпитван от субект на данни по отношение на възможна злоупотреба с неговите лични данни от трети страни в резултат на нарушение на ОРЗД, може да се квалифицира като неимуществена вреда.

По делото не е спорно, че НАП е администратор на лични данни по смисъла на чл. 4, т. 7 от Регламента и при обработване на личните данни, следва да спазва принципите за законосъобразност и добросъвестност, залегнали в чл. 5, пар. 1, б. „а“, както и по б. „е"“ а именно: личните данни трябва да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“).

При тези правни квалификации, първоинстанционният съд е следвало да съобрази и разпоредбата на чл. 82, пар. 3 от ОРЗД, съгласно която администраторът или обработващият лични данни се освобождава от отговорност съгласно пар. 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата. Посочената разпоредба касае доказателствената тежест в процеса, като възлага на ответника по иска да докаже липсата на два от елементите от фактическия състав на отговорността за вреди, а именно липсата на нарушение по смисъла на Регламента и липсата на причинна връзка.

В конкретния казус в проведеното първоинстанционно съдебно производство, съдът с определение 05.06.2020 г. неправилно е разпределил доказателствената тежест между страните. Съдът не е очертал спорните между страните факти, които следва да бъдат доказани, съответно липсва разграничаване на безспорните факти. На страните не са дадени указания по тежестта на доказване, съобразно техните твърдения, конкретния спор и приложимата нормативна уредба. На НАП не е указано, че в нейна тежест е да установи, че не е отговорна за събитието, причинило вредата, тоест, че липсва нарушение, в причинна връзка с което са претърпени вредите, нито че съгласно чл. 24, пар. 2 и пар. 3 и чл. 32 от ОРЗД администраторът на лични данни следва да доказва наличието на подходящи политики за защита на данните и придържането към одобрени кодекси за поведение или одобрени механизми за сертифициране, както и прилагането на конкретни подходящи технически и организационни мерки, съобразени с конкретните рискове. При липса на дадени указания по разпределението на доказателствената тежест в горния смисъл и на събрани относими към спора доказателства, крайният извод на административния съд е формиран при съществени процесуални нарушения и е необоснован, а това е пречка за осъществяване на касационен контрол за прилагането на материалния закон( чл.220 АПК).

Горното налага отмяна на обжалваното съдебно решение и връщане на делото за ново разглеждане от друг състав на административния съд.

При новото разглеждане в подробен доклад по делото съдът следва да посочи освен приложимото правно основание на иска, също относимите към спора факти, като разграничи спорните от безспорните. След определяне на спорните факти, на страните следва да бъдат дадени подробни указания по разпределението на доказателствената тежест, съобразени с техните конкретни твърдения и с нормата на чл. 82, пар. 3 от ОРЗД включително, но не изчерпателно, за изясняване на въпросите при какви конкретни обстоятелства е допуснато изтичането на данни, има ли нерегламентиран достъп, по какъв технически начин и до какви конкретно устройства или системи, съхраняващи данни е осъществен, изцяло на външна намеса ли се дължи достъпът и възможно ли е това, какви технически мерки са предприети, за да бъде предотвратен такъв достъп, достатъчни ли са те, предвид достиженията на техническия прогрес и различните рискове, и технически възможно ли е било предотвратяването на изтичането на данни. Следва да се укаже на НАП, че нейна е тежестта да докаже с всички допустими доказателствени средства, че нерегламентираният достъп не се дължи на нарушение по смисъла на Регламента, включително, че такова нарушение липсва или че е направено всичко възможно за неговото предотвратяване, предвид достиженията на техническия прогрес и различните рискове. Л. П. от своя страна трябва да установи наличието на конкретни неимуществени вреди претърпени от нея, както и причинна връзка между вредата и нарушението. Указанията до страните трябва да са съобразени с Решение на Съда на Европейския съюз (СЕС) от 14 декември 2023г. по дело С-340/2021, VB, ECLI:EU:2023:986.

При този изход на спора не се възлагат разноски за производството пред настоящата инстанция. Възлагането им следва да бъде осъществено съгласно чл.226, ал.3 АПК при новото разглеждане на делото.

По изложените съображения и на основание чл.221, ал.2, предложение последно вр. чл.222, ал.2, т.1 АПК, Върховният административен съд, състав на пето отделение

РЕШИ:

ОТМЕНЯ решение № 2594/19.04.2021 г. постановено по адм. д. 3456/2020 г. по описа на Административен съд София-град.

ВРЪЩА делото за ново разглеждане от друг състав на Административен съд София-град.

РЕШЕНИЕТО не подлежи на обжалване.

Вярно с оригинала,

Председател:

/п/ ДОНКА ЧАКЪРОВА

секретар:

Членове:

/п/ Е. Д. п/ РУМЕН ЙОСИФОВ