Решение №9229/25.07.2024 по адм. д. №6018/2021 на ВАС, V о., докладвано от председателя Еманоил Митев

РЕШЕНИЕ № 9229 София, 25.07.2024 г. В ИМЕТО НА НАРОДА

Върховният административен съд на Р. Б. - Пето отделение, в съдебно заседание на двадесет и трети май две хиляди двадесет и четвърта година в състав: Председател: Е. М. Членове: ЮЛИЯ КОВА. Д. при секретар М. Д. и с участието на прокурора А. И. изслуша докладваното от председателя Е. М. по административно дело № 6018/2021 г. Производството е по реда на чл. 208 и сл. от АПК.

Образувано е по касационната жалба на Г. К. Х. , чрез адв. С. Ю. против решение № 2591 от 19.04.2021г. по адм. д. № 11290/2019 г. по описа на Административен съд София - град/АССГ/. Иска отмяна на решението като неправилно, поради допуснато съществено нарушение на съдопроизводствените правила, противоречие с материалния закон и необоснованост.Твърди, че съдът неправилно е разпределил доказателствената тежест по делото като е дал указания на ищеца да докаже незаконосъобразно бездействие на ответника. Неправилно е указано на ищеца да докаже какви конкретни задължения от страна на служители на НАП не са изпълнени, тъй като законово задължение на ответника е да приложи ефективни мерки за защита на личните данни.Счита, че представените от ответника писмени доказателства - указания, вътрешни правила, методики, политики, инструкции не доказват изпълнение на предписаните мерки, още по - малко тяхната ефективност. Твърди, че съдът не е изпълнил задължението си по чл.146, ал.2 ГПК, приложим на осн. чл.144 от АПК да укаже на ищеца за кои от твърдените факти не сочи доказателства.Иска се отмяна на оспореното решение е постановяване на решение по същество на спора, с което се уважи изцяло предявения срещу НАП иск за присъждане на обезщетение за неимуществени вреди в размер на 1000лв., ведно със законната лихва. Претендира присъждане на разноски за двете съдебни инстанции, съгласно списък.

Ответната страна - Национална агенция по приходите, чрез процесуален представител главен юрисконсулт Маринова в представен по делото писмен отговор и в съдебно заседание оспорва касационната жалба. Иска решението като правилно да бъде оставено в сила. Претендира присъждане на юрисконсултско възнаграждение.

Представителят на Върховна прокуратура дава мотивирано писмено заключение за неоснователност на касационната жалба.

Върховният административен съд, пето отделение, като взе предвид, че касационната жалба е подадена в срока по чл. 211 от АПК, намира същата за допустима. Разгледана по същество е основателна по следните съображения.

Производството пред административния съд е образувано по предявен иск от Г. Х. срещу НАП за присъждане на обезщетение за претърпени неимуществени вреди в размер на 1000 лв. от бездействия на НАП, довели до неправомерно придобиване и разпространение на личните му данни, от което ищецът претърпял неимуществени вреди, представляващи психически страдания, страх от злоупотреба с изтеклите данни, физически нападения, заплахи, изнудвания, отвличания и др.

С обжалваното съдебно решение АССГ е отхвърли изцяло така предявения от Х. срещу НАП иск по чл.1, ал.1 от ЗОДОВ като неоснователен.

За да достигне до този правен резултат, съдът е приел, че искът е със заявено правно основание чл. 39,ал.2 от ЗЗЛД и чл.1,л.1 ЗОДОВ като приема, че визираните от ищеца норми не регламентират конкретни задължения, респективно действия на НАП, свързани с опазване на личните данни, неизпълнението на които да съставлява незаконосъобразно бездействие по смисъла на чл.257 от АПК. Приел е за безспорно, че на 15.07.2019г. е осъществен неоторизиран достъп до обработваните от НАП база данни с лични данни, вследствие на хакерска атака, за което е образувано и досъдебно производство и няма данни да е приключило, както и че се касае за противоправно поведение от страна на трети лица, което е довело до негативния резултат. Според АССГ липсва каквато и да е презумпция за противоправно поведение, включително действие или бездействие/ на администратора на лични данни - НАП, което да е довело или съпричинило за така установеното деяние. Съдът е извършил преглед на предприетите мерки за защита на сигурността на информацията в НАП на база представените от ответника писмени доказателства за мерките и средствата за защита на личните данни, обработвани в НАП и реда за движение на преписки и заявяване на регистри и въз основа на представените доказателства е стигнал до извод, че не е налице твърдяното незаконосъобразно бездействие на НАП, което да обоснове наличието на първата предпоставка за възникване на правото на обезщетение в хипотезата на чл.1, ал.1 от ЗОДОВ. Предвид липсата на твърдяното от ищеца незаконосъобразно бездействие, съдът е счел, че не е налице и пряка причинно - следствена връзка между него и настъпилите неимуществени вреди.

Решението е неправилно като постановено при съществени нарушения на съдопроизводствените правила и необоснованост, което е касационно основание за отмяната му и връщане на делото за ново разглеждане.

Правилно искът е разгледан по реда, предвиден в националното право за реализиране отговорността на държавата за причинени вреди, макар че дадената правна квалификация не е точната. Като страна – членка на Европейския съюз, Р. Б. е длъжна да прилага пряко първичното право на Общността. Правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни, както и защитата на основни права и свободи на физическите лица и по-специално тяхното право на защита на личните данни, са определени в Регламент (ЕС) 2016/679. На основание член 288, параграф 2 ДФЕС регламентът е акт с общо приложение, който е задължителен в своята цялост и се прилага пряко във всяка една държава -членка.

Правото на обезщетение и отговорността за причинени вреди са предвидени в чл. 82, 1 от Общия регламент, съгласно който всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на регламента, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава регламента. Съгласно член 82, параграф 6, съдебните производства във връзка с упражняването на правото на обезщетение се образуват пред съдилища, компетентни, съгласно правото на държавата -членка, посочена в член 79, параграф 2.

Националната нормативна уредба за защита правата на физическите лица при обработване на личните им данни, доколкото същите не са уредени в Регламент (ЕС) 2016/79, се съдържа в Закона за защита на личните данни - чл. 1, ал. 1 ЗЗЛД. Съгласно чл. 39, ал. 1 ЗЗЛД, при нарушаване на правата им по Регламент (ЕС) 2016/679 и по закона субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на Административнопроцесуалния кодекс. В производството по ал. 1 субектът на данни може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора или на обработващия лични данни - чл. 39, ал. 2 ЗЗЛД.

В чл. 39, ал. 1 ЗЗЛД не се съдържа специална процесуална уредба относно реда за упражняване на правото на субекта да сезира съда за нарушените му права при обработване на личните му данни, а се препраща към общия административнопроцесуален закон за търсене на отговорност на всички администратори на лични данни, независимо от тяхната правосубектност и притежавани качества (публични органи или частноправни субекти), по аргумент от 1, т. 1 АПК. Процесуалният ред, по който засегнатият субект може да търси обезщетение и отговорност за причинените вреди поради неправомерно обработване на личните му данни, е уреден в Глава единадесета "Производство за обезщетения" на Административнопроцесуалния кодекс.

Съгласно разпоредбата на чл. 203, ал. 1 АПК, исковете за обезщетения за вреди, причинени на граждани или юридически лица от незаконосъобразни актове, действия или бездействия на административни органи и длъжностни лица, се разглеждат по реда на Глава единадесета.

С оглед гореизложеното и по силата на член 82, параграф 1 от Общия регламент относно защитата на личните данни, всеки засегнат частноправен субект може да предяви иск за обезщетение, ако са нарушени правата му по този регламент и е налице пряка причинно-следствена връзка между нарушението и вредите. Материалноправните предпоставки на отговорността на държавата за вреди, причинени от нарушение на правото на ЕС, произтичат директно от наднационалния правен ред. Член 203, ал. 1 АПК, в редакцията ДВ, бр. 77 от 2018 г. определя подсъдност на спора на административния съд, когато вредите имат за причина нарушение на правото на ЕС с акт, действие или бездействие на административен орган или на длъжностно лице от неговата администрация. Съгласно чл. 203, ал. 2 АПК, за неуредените въпроси за имуществената отговорност по ал. 1 се прилагат разпоредбите на Закона за отговорността на държавата и общините за вреди.

Предметът на доказване по чл. 82 от Общия регламент изисква следните задължителни елементи: 1. Наличие на материална или нематериална вреда; 2. Доказано нарушение на Регламент /ЕС/ 2016/679; 3. Причинна връзка между претърпяната вреда и нарушението на Регламента. Изложените от ищеца факти, изрично сочещи на допуснати от администратора на лични данни нарушения на задължения, които произтичат от чл. 24 и чл. 32 от Регламента за защита на данни, обуславят правна квалификация на иска по чл. 82, 1 вр. 2 от Регламента.

Следва изрично да се посочи, че дадените от ищеца правни квалификации принципно не обвързват съда. От значение са само фактическите твърдения на ищеца, въз основа на които съдът е длъжен да определи вярната правна квалификация на иска, съобразявайки от кой нормативен акт произтичат претендираните от ищеца правни последици и какво е мястото му в йерархията на източниците на правото. В случая се твърдят нарушения на задължения, произтичащи пряко от чл. 24 и чл. 32 от Регламента.

Неправилно първоинстанционният съд е обсъждал разпоредбата на чл. 59 ЗЗЛД, тъй като тази норма се намира в Глава осма от закона, която регламентира правилата за защита на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване, и поради това е неотносима към настоящия правен спор.

Извън съмнение е, че касаторът е администратор на лични данни по см. на чл. 4 7 от ОРЗД и при обработване на личните данни следва да спазва принципите за законосъобразност и добросъвестност, залегнали в чл. 5 1 б. "а", както и по б. "е", а именно: личните данни трябва да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки ("цялостност и поверителност"). При тези правни квалификации, съдът е следвало да съобрази и нормата на чл.82, 3 от Регламента, съгласно която администраторът или обработващият лични данни се освобождава от отговорност съгласно 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата. Посочената разпоредба очертава границите на отговорността на администратора.

Тълкуването на чл. 82, пар. 1 от Регламент (ЕС) 2016/679 дава основание отговорността на администратора или обработващия да се ангажира за по-широк кръг нарушения, обхващащи всяко неизпълнение на изисквания, произтичащи от Регламент (ЕС) 2016/679. В тази връзка нарушението на Регламент (ЕС) 2016/679 може да се извърши с акт, действие или бездействие на администратора.

В конкретния случай доказателствената тежест между страните не е разпределена правилно от съда. В съдебния процес всяка страна е длъжна да установи фактите, на които основава своите искания или възражения. Ищецът следва да установи наличието на свое защитимо право, засегнато от правния спор, като докаже фактите, от които то произтича. Ответникът следва да докаже изпълнението на действията, дължими от него по силата на закона. Предвид изричната норма на чл. 82, 3 от Регламента, администраторът на лични данни следва да докаже, при условията на пълно и главно доказване, че е приел подходящи технически и организационни мерки в съответствие с регламента, така че да изключи всяка своя отговорност за събитието, причинило вредата.

В процеса пред първоинстанционния съд са давани указания по тежестта на доказване единствено на ищеца, с което на практика цялата доказателствена тежест е възложена върху него, без да се съобрази вида на нарушението. В нарушение на чл.171, ал.5 от АПК съдът не е указал на ищеца, че не сочи доказателства, относно твърдяното в исковата молба обстоятелство, относно неправомерно разкрити лични данни, както и какви точно лични данни са били оповестени.

На ответника по иска не е указано, че в негова тежест е да установи, че съгласно чл. 24 2 и 3 и чл.32 е положил всички усилия и е осъществил всички подходящи политики, взел е всички подходящи мерки за защита на личните данни на всички физически и юридически лица, които притежава и обработва в служебно качество, както и че се придържа към одобрените кодекси за поведение или одобрени механизми за сертифициране, както и че прилага конкретни подходящи технически и организационни мерки, съобразени с конкретните рискове. Съдът не е съобразил и служебното начало в съдебния процес по административни дела, включително необходимостта от специални знания за изясняване на съществен въпрос по делото, а именно какъв е техническият механизъм на неоторизирания достъп до лични данни, осъществен на 15.07.2019г.

Допуснато е съществено нарушение на чл. 154 от ГПК, което се е отразило на правилността на решението. Липсва указание до ответника да докаже релевантните за спора факти, т. е. изпълнението на задълженията по чл. 24 и чл. 32 от Регламента /а не по Глава осма от ЗЗЛД/ за предприети подходящи технически и организационни мерки. Такова изпълнение може да се установи чрез проверка на представените писмени доказателства със съдебен експерт. НАП е представила доказателства за създадени правила, организации и предприети мерки, но дали те са били подходящи, за да гарантира и докаже администратора на лични данни, че те съответстват на регламента, е факт, останал недоказан, поради липсата на указания от съда в съответствие с чл.154 от ГПК.

Съдебното производство е спряно до произнасяне с решение от 14.12.2023 г. на СЕС по дело С-340/21. Към момента на произнасяне по съществото на спора е налице и Решение от 4.05.2023 г. по дело С-300/ 21 на СЕС. Двете решения дават разяснения по прилагането на чл. 82 от Регламент /ЕС/ 2016/679. В решение от 14.12.2023г. по дело С -340/21 е направено тълкуване на членове 24 и 32 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г., относно защитата на физическите лица във връзка с обработването на лични данни в смисъл, че неразрешено разкриване на лични данни и неразрешен достъп до такива данни от "трета страна" по смисъла на чл.4, точка 10 от този регламент сами по себе си не са достатъчни, за да се приеме, че приложените от съответния администратор технически и организационни мерки не са "подходящи" по смисъла на тези членове 24 и 32. Според даденото тълкуване в т.40 до т.52 от решението, принципът на отчетност на администратора, закрепен в чл.5, параграф 2 и конкретизиран в чл.24 от Регламент 2016/679 трябва да се тълкува в смисъл, че в исковото производство за обезщетение по чл.82 от този регламент, разглежданият администратор носи тежестта на доказване на обстоятелството, че приложените от него мерки за сигурност по чл.32 от посочения регламент са подходящи.

При липса на дадени конкретни указания по доказателствената тежест и на събрани относими към спора доказателства, изводът на административния съд за неоснователност на иска е формиран при съществени процесуални нарушения, които водят и до необоснованост на съдебното решение. По делото не е установена причината, довела до нерегламентирано разкриване и разпространение личните данни на ищеца и не е осъществен контрол дали то не е следствие от неприлагането на подходящи мерки за защита. Нарушението на регламента, респективно липсата на такова нарушение е това, което следва да бъде установено в съдебния процес пред административния съд. Нарушението действително не може да се презюмира въз основа на други данни, по-конкретно въз основа на това, че има неразрешено разкриване или достъп до лични данни. Неразрешеното разкриване и достъп може да е следствие от нарушението, но това следствие, както и самото нарушение, респективно тяхната липса, трябва да бъдат доказани и това изисква използване на специални знания.

Предвид изложеното е налице касационно основание за отмяна на решението и връщане на делото за ново разглеждане от друг съдебен състав, който да разпредели правилно доказателствената тежест за установяване на релевантни за спора факти по чл. 82 от Регламента и да изложи мотиви при спазване на чл.172а, ал. 2 от АПК и при съобразяване на практиката на СЕС, цитирана по-горе.

При новото разглеждане съдът следва да се произнесе по отношение на разноските, съгласно чл.226, ал.3 АПК.

На основание чл. 222, ал. 2 от АПК Върховният административен съд, пето отделение

РЕШИ:

ОТМЕНЯ решение № 2591 от 19.04.2021г. по адм. д. № 11290/2019 г. по описа на Административен съд София - град.

ВРЪЩА делото на друг състав на Административен съд София - град за ново разглеждане, съобразно дадените от ВАС указания по тълкуване и прилагане на закона.

Решението е окончателно.

Вярно с оригинала,

Председател:

/п/ ЕМАНОИЛ МИТЕВ

секретар:

Членове:

/п/ Ю. К. п/ ВЕРГИНИЯ ДИМИТРОВА

Дело
  • Еманоил Митев - председател и докладчик
  • Юлия Ковачева - член
  • Вергиния Димитрова - член
Дело: 6018/2021
Вид дело: Касационно административно дело
Отделение: Пето отделение
Страни:
Достъпно за абонати.
Цитирани ЮЛ:
Достъпно за абонати.
Ключови думи
право на есдоказателствена тежестдоклад по делотоинформационно праволични данниотговорност за вреди причинени от администрацията
Цитирани разпоредби
чл. 208 АПКчл. 146, ал. 2 ГПКчл. 144 АПКчл. 211 АПКчл. 1, ал. 1 ЗОДОВчл. 39, ал. 2 ЗЗЛДчл. 1 ЗОДОВчл. 257 АПКчл. 288 ДФЕСчл. 1, ал. 1 ЗЗЛДчл. 39, ал. 1 ЗЗЛДчл. 203, ал. 1 АПКчл. 203, ал. 2 АПКчл. 59 ЗЗЛДчл. 4 Регламент (ЕС) 2016/679чл. 82 Регламент (ЕС) 2016/679чл. 171, ал. 5 АПКчл. 154 ГПКчл. 172а, ал. 2 АПКчл. 226, ал. 3 АПКчл. 222, ал. 2 АПК
Цитирана практика на ЕС
Решение от 14.12.2023 по дело C-0340/2021 на СЕС
Информация за акта
Маркиране
Зареждане ...
Зареждане...