Производството е по чл. 208 и сл. от Административнопроцесуалния кодекс /АПК/.

Образувано е по касационна жалба от Д. Г., чрез адв. С. Ю., против Решение № 4941 от 23.09.2020 г. по адм. дело № 2782/2020 г. на Административен съд – София град, с което е отхвърлен иска на Д. Г. да бъде осъдена Национална агенция за приходите да й заплати обезщетение в размер на 1000 лв. за претърпени неимуществени вреди в периода 15.07.2019 г. - 16.09.2019 г., вследствие на незаконосъобразно бездействие от страна на ответника, изразяващо се в неизпълнение в достатъчна степен на задължение по чл. 59, ал. 1 от ЗЗЛД (ЗАКОН ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ) /ЗЗЛД/ и по чл. 24 и чл. 32 от Общия регламент относно защитата на лични данни /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г., а именно да гарантира достатъчно ниво на сигурност на обработваните от него лични данни на ищеца, довело до неразрешено разкриване на личните данни на ищеца, ведно със законната лихва върху тази сума, считано от 15.07.2019 г. до окончателното изплащане на задължението, както и е осъден касатора да заплати на Национална агенция за приходите съдебни разноски в размер на 100 лева.

В касационната жалба се поддържат доводи за неправилност на съдебното решение, поради съществени нарушения на съдопроизводствените правила, необоснованост и нарушение на материалния закон – касационни основания по чл. 209, т. 3 от АПК. Претендира се отмяна на съдебното решение и уважаване на предявения иск, както и присъждане на разноски пред две съдебни инстанции, съгласно приложен списък по чл. 80 от ГПК във вр. с чл. 144 от АПК.

Ответникът – Национална агенция за приходите /НАП/, редовно призован, чрез процесуални си представител юрк. Р. М., изразява становище за неоснователност на касационната жалба по съображения, изложени в писмен отговор. Претендира присъждане на юрисконсултско възнаграждение за две съдебни инстанции.

Представителят на Върховна административна прокуратура дава заключение, че касационната жалба е допустима и по същество е неоснователна.

Върховният административен съд, трето отделение, като взе предвид становището на страните и извърши проверка на обжалваното решение на посочените касационни основания, съгласно разпоредбата на чл. 218, ал. 1 от АПК, и след служебна проверка за допустимостта, валидността и съответствието на решението с материалния закон по реда на чл. 218, ал. 2 от АПК, намира за установено от фактическа и правна страна следното:

Производството пред административния съд е образувано по искова молба на Д. Г. срещу НАП за присъждане на обезщетение за претърпени неимуществени вреди в размер на 1000 лева от незаконосъобразно бездействие – нарушение на разпоредбите на чл. 24 и чл. 32 от Общия регламент относно защита на личните данни /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27.04.2016 /Регламент /ЕС/ 2016/679/ и чл. 59, ал. 1 от ЗЗЛД, чл. 45, ал. 1, т. 6 от ЗЗЛД, чл. 64 от ЗЗЛД, чл. 66, ал. 1 и ал. 2 от ЗЗЛД, чл. 67 и чл. 68 от ЗЗЛД – неизпълнение на задължението за обработване на личните данни по начин, който да гарантира подходящо ниво на сигурност като се приложат подходящи технологии и организационни мерки и неизвършване на оценка на въздействието на предвидените операции по обработване на личните данни върху тяхната защита. В резултат на незаконосъобразно бездействия ищецът е претъпял неимуществени вреди, представляващи притеснения, страх и опасения за възможна злоупотреба с личните му данни, поради което претендира обезщетение на тези вреди, ведно със законната лихва, считано от 15.07.2019 г. до окончателното изплащане на сумата.

Административен съд – София град е приел за установено от фактическа страна, че поради нерегламентиран достъп, вследствие на умишлени престъпни действия от страна на неизвестно лице, осъществен на 15.07.2019 г. е изтекла информация от информационните масиви на НАП, съдържаща лични данни на общо 6 074 140 физически лица, от които 4 104 786 живи физически лица, български и чужди граждани, и 1 989 598 починали физически лица, в частност и на ищеца. Съдът е извършил подробен преглед на предприетите мерки за защита на сигурността на информацията в НАП, на база представените от ответника писмени доказателства. Събрани са свидетелски показания във връзка с доказване на твърдяните неимуществени вреди.

От правна страна е прието, че искът е с правно основание чл. 1 от ЗОДОВ за присъждане на обезщетение за претърпени неимуществени вреди, вследствие на незаконосъобразно бездействие от страна на служители на НАП, изразяващо се неизпълнение на задължения, произтичащи от чл. 59, ал. 1 от ЗЗЛД, чл. 24 и чл. 32 от Регламент /ЕС/ 2016/679, чл. 45, ал. 1, т. 6 от ЗЗЛД, чл. 64 от ЗЗЛД, чл. 66, ал. 1 и ал. 2 от ЗЗЛД, чл. 67 и чл. 68 от ЗЗЛД.

За реализирана е счетена първата предпоставка на отговорността на държавата, представляваща незаконосъобразно бездействие от страна на държавен орган по предприемане на по предприемане на необходимите и ефективни действия, произтичащи от чл. 59, ал. 1 от ЗЗЛД и чл. 24 и чл. 32 от Регламент /ЕС/ 2016/679. Прието е от съда, че извършената хакерска атака, с която е пробита информационната система на НАП, доказва, че не са предприети подходящи технически и организационни мерки за защита на обработването на личните данни на ищеца, което е достатъчно да бъде направен извод за незаконосъобразно бездействието на НАП, както и че НАП, в качеството си на администратор на лични данни по смисъла на чл. 4, т. 7 от Регламент /ЕС/ 2016/679, при осъществяване на дейността си, е следвало да предприеме ефективни мерки за предотвратяване злоумишлен достъп до личните данни на ищеца, което в процесния случай не е постигнато. Според първоинстанционният съд НАП не е изпълнил задължението си по предотвратяване на престъпление и опазване изтичането на лични данни, като от незаконосъобразното му бездействие следва твърдения от ищеца увреждащ резултат.

Прието е от съда също така, че установеното чрез свидетелски показания емоционално състояние на ищеца безспорно представлява вид неимуществени вреди, но то не е пряка и непосредствена последица от изтичането на личните данни на ищеца, а е обусловено от евентуално бъдещо извършване на злоупотреба, която е слабо вероятна, както и субективните преживявания на ищцата не са съответни на резултата от бездействието на ответника.

Касационната жалба е основателна. Решението е постановено при съществени процесуални нарушения и е необосновано. Относимите към спора факти не са изяснени, което е пречка за надлежна проверка за правилно приложение на материалния закон.

Административният съд не е дал подробни и конкретни указания по доказателствената тежест, съответно не е установил относими към спора факти и е изложил необосновани изводи за наличието на предпоставките на деликтната отговорност. Поради това неправилно и при липса на доказателства съдът приема, че пред него не са доказани предпоставките за присъждане на обезщетение за причинените на ищеца неимуществени вреди.

Правилно искът е разгледан по реда, предвиден в националното право за реализиране отговорността на държавата за причинени вреди, макар че дадената правна квалификация не е точната. Съгласно чл. 4, ал. 3 от Конституцията, Р. Б участва в изграждането и развитието на Европейски съюз, а по силата на чл. 5, ал. 4 от Конституцията, международните договори, ратифицирани по конституционен ред, обнародвани и влезли в сила за Р. Б, са част от вътрешното право на страната. Те имат предимство пред тези норми на вътрешното законодателство, които им противоречат. С оглед на това разпоредбите в Договора за Европейския съюз и в ДФЕС (Договора за фунцкиониране на Европейския съюз) /ДФЕС/, регламентиращи права на правните субекти имат предимство пред норми на вътрешното право, които им противоречат. Същото важи и за Хартата на основните права на Европейския съюз /Хартата, ХОПЕС/, която по силата на член 6, параграф 1 от ДФЕС има същата юридическа сила като договорите.

Член 8, параграф 1 от Хартата и чл. 16, параграф1 от ДФЕС предвиждат, че всеки има право на защита на личните му данни. Защитата на физическите лица във връзка с обработването на лични данни е основно право. Правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни, както и защитата на основни права и свободи на физическите лица и по-специално тяхното право на защита на личните данни, са определени в Регламент /ЕС/ 2016/679. На основание чл. 288, параграф 2 от ДФЕС регламентът е акт с общо приложение, който е задължителен в своята цялост и се прилага пряко във всяка една държава членка.

В решение на Съда на Европейския съюз /СЕС/ от 29 юли 2019 година по дело С-40/17 г. и цитираната в него практика, с предмет преюдициално запитване по тълкуване на разпоредби от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободно движение на тези данни, която е отменена и заменена, считано от 25 май 2018 г. с Регламент /ЕС/2016/679, изрично се посочва, че " една от заложените в Директива 95/46 цели е да се осигури ефикасна и пълна защита на основните права и свободи на физическите лица, и в частност на правото им на личен живот при обработването на лични данни /така и решенията по делата Google Spain и Google, Puskar/. В съображение 10 от нея се уточнява, че сближаването на приложимите в тази област национални законодателства не трябва да доведе до намаляване степента на защита, която те осигуряват, а обратно — да има за цел гарантиране на висока степен на защита в Съюза. Същевременно, съдът е уточнил, че Директива 95/46 съдържа правила, които са относително общи, тъй като трябва да се прилага за голям брой много различни случаи. Тези правила се характеризират с известна гъвкавост и в много случаи оставят на държавите членки грижата за приемане на подробна уредба или за избор на някоя от възможностите, така че държавите членки в много отношения имат свобода на действие при транспонирането на посочената директива /вж. в този смисъл решения от 6 ноември 2003 г., Lindqvist, C-101/01,, т. 83, 84 и 97 и от 24 ноември 2011 г., Asociacion Nacional de Establecimientos Financieros de Credito, C-468/10 и C-469/10, т. 35/. Правото на ефективна съдебна защита срещу администратор или обработващ лични данни е уредено в член 79, параграф 1 от Общия регламент, който предвижда, че без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по регламента са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с регламента. Производствата срещу даден администратор или обработващ лични данни се образуват пред съдилищата на държавата членка, в която администраторът или обработващият лични данни има място на установяване - член 79, параграф 2.

Правото на обезщетение и отговорността за причинени вреди са предвидени в чл. 82, параграф 1 от Общия регламент, съгласно който всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на регламента, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава регламента. Съгласно член 82, параграф 6, съдебните производства във връзка с упражняването на правото на обезщетение се образуват пред съдилища, компетентни, съгласно правото на държавата членка, посочена в член 79, параграф 2.

Националната нормативна уредба за защита правата на физическите лица при обработване на личните им данни, доколкото същите не са уредени в Регламент /ЕС/ 2016/79, се съдържа в ЗЗЛД (ЗАКОН ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ) - чл. 1, ал. 1 от ЗЗЛД. Съгласно чл. 39, ал. 1 от ЗЗЛД, при нарушаване на правата му по Регламент /ЕС/ 2016/679 и по закона субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на АПК. В производството по ал. 1 субектът на данни може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора или на обработващия лични данни - чл. 39, ал. 2 от ЗЗЛД. В чл. 39, ал. 1 ЗЗЛД не се съдържа специална процесуална уредба относно реда за упражняване на правото на субекта да сезира съда за нарушените му права при обработване на личните му данни, а се препраща към общия административнопроцесуален закон за търсене на отговорност на всички администратори на лични данни, независимо от тяхната правосубектност и притежавани качества (публични органи или частноправни субекти), по аргумент от § 1, т. 1 от АПК. Процесуалният ред, по който засегнатият субект може да търси обезщетение и отговорност за причинените вреди поради неправомерно обработване на личните му данни, е уреден в глава единадесета „Производство за обезщетения” на АПК.Съгласно разпоредбата на чл. 203, ал. 1 от АПК, исковете за обезщетения за вреди, причинени на граждани или юридически лица от незаконосъобразни актове, действия или бездействия на административни органи и длъжностни лица, се разглеждат по реда на глава единадесета.

Както вече се посочи, по силата на член 82, параграф 1 от Регламент /ЕС/ 2016/679, всеки засегнат частноправен субект може да предяви иск за обезщетение, ако са нарушени правата му по този регламент и е налице пряка причинно-следствена връзка между нарушението и вредите. Материално-правните предпоставки на отговорността на държавата за вреди, причинени от нарушение на правото на ЕС, произтичат директно от наднационалния правен ред. Член 203, ал. 1 от АПК /в редакцията ДВ, бр. 77 от 2018 г./ определя подсъдност на спора на административния съд, когато вредите имат за причина нарушение на правото на ЕС с акт, действие или бездействие на административен орган или на длъжностно лице от неговата администрация. Съгласно чл. 203, ал. 2 от АПК, за неуредените въпроси за имуществената отговорност по ал. 1 се прилагат разпоредбите на ЗОДОВ (ЗАКОН ЗА ОТГОВОРНОСТТА НА ДЪРЖАВАТА И ОБЩИНИТЕ ЗА ВРЕДИ).

Предметът на доказване по чл. 82 от Регламент /ЕС/ 2016/679 изисква следните задължителни елементи: 1. наличие на материална или нематериална вреда; 2. доказано нарушение на Регламент /ЕС/ 2016/679; 3. причинна връзка между претърпяната вреда и нарушението на Регламента. Изложените от ищеца факти, изрично сочещи на допуснати от администратора на лични данни нарушения на задължения, които произтичат от чл. 24 и чл. 32 от Регламент /ЕС/ 2016/679 за защита на данни, обуславят правна квалификация на иска по чл. 82, параграф 1, вр. параграф 2 от Регламента. В тази връзка следва изрично да се посочи, че дадените от ищеца правни квалификации не обвързват съда. От значение са само фактическите твърдения на ищеца, въз основа на които съдът дава вярната правна квалификация на иска, съобразявайки от кой нормативен акт произтичат претендираните от ищеца правни последици и какво е мястото му в йерархията на източниците на правото. В случая се твърдят нарушения на задължения, произтичащи пряко от чл. 24 и чл. 32 от Регламент /ЕС/ 2016/679.

Разпоредбата на чл. 24 „Отговорност на администратора“ от Регламент /ЕС/ 2016/679, предвижда, чe като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с регламента. В допълнение, в чл. 32 са предвидени конкретните мерки които следва да се предприемат, а именно: "Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно: a) псевдонимизация и криптиране на личните данни; б) способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване; в) способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент; г) процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

Неправилно първоинстанционният съд е обсъждал разпоредбата на чл. 59 ЗЗЛД, тъй като тази норма се намира в Глава осма от закона, която регламентира правилата за защита на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване, и поради това е неотносима към настоящия правен спор.

Извън съмнение е, че касаторът е администратор на лични данни по смисъла на чл. 4, т. 7 от Регламент /ЕС/ 2016/679 и при обработване на личните данни, следва да спазва принципите за законосъобразност и добросъвестност, залегнали в чл. 5, параграф 1, б. "а", както и по б. "е", а именно: личните данни трябва да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки /"цялостност и поверителност"/. При тези правни квалификации, съдът е следвало да съобрази и нормата на чл. 82, параграф 3 от Регламент /ЕС/ 2016/679, съгласно която администраторът или обработващият лични данни се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата. Посочената разпоредба очертава границите на отговорността на администратора.

Разсъждавайки върху елементите на възникване на отговорността на държавата, съдът следва да има предвид, че изразът „нарушение на настоящия регламент“ има широко съдържание и нарушението на сигурността на личните данни е само едно негово проявление, но не го изчерпва. Понятието „нарушение на настоящия регламент“ обхваща всяко отклонение от неговите изисквания, а не се свързва само с разпоредбите, които визират конкретни задължения на администратора или обработващия при нарушение на сигурността на личните данни.

Тълкуването на чл. 82, параграф 1 от Регламент /ЕС/ 2016/679 дава основание отговорността на администратора или обработващия да се ангажира за по-широк кръг нарушения, обхващащ всяко неизпълнение на изисквания, произтичащи от Регламент /ЕС/ 2016/679. В тази връзка нарушението на Регламент /ЕС/ 2016/679 може да се извърши с акт, действие или бездействие на администратора.

В конкретния случай доказателствената тежест между страните не е разпределена от съда, съобразно разпоредбата на чл. 154, ал. 1 от ГПК, вр. чл. 204, ал. 5 от АПК. В съдебния процес всяка страна е длъжна да установи фактите, на които основава своите искания или възражения. Ищецът следва да установи наличието на свое защитимо право, засегнато от правния спор, като докаже фактите, от които то произтича. Ответникът следва да докаже изпълнението на действията, дължими от него по силата на закона. Предвид изричната норма на чл. 82, параграф 3 от Регламент /ЕС/ 2016/679, администраторът на лични данни следва да докаже, при условията на пълно и главно доказване, че е приел подходящи технически и организационни мерки в съответствие с регламента, така че да изключи всяка своя отговорност за събитието, причинило вредата.

На следващо място е видно, че по делото липсва доклад, както и липсва очертаване на спорните между страните факти, които следва да бъдат доказани, съответно липсва разграничаване на безспорните факти. На страните не са дадени указания по тежестта на доказване, съобразно техните конкретни твърдения, конкретния спор и конкретната нормативна уредба. На ответника по иска не е указано, че в негова тежест е да установи, че не е отговорен за събитието, причинило вредата, тоест, че липсва нарушение, в причинна връзка с което са претърпени вредите, нито че съгласно чл. 24, параграф 2 и параграф 3 и чл. 32 от Регламент /ЕС/ 2016/679 администраторът на лични данни следва да доказва наличието на подходящи политики за защита на данните и придържането към одобрени кодекси за поведение или одобрени механизми за сертифициране, както и прилагането на конкретни подходящи технически и организационни мерки, съобразени с конкретните рискове. Съдът не е съобразил и служебното начало в съдебния процес по административни дела, включително необходимостта от специални знания за изясняване на съществен въпрос по делото, а именно какъв е техническият механизъм на неоторизирания достъп до лични данни, осъществен на 15.07.2019 г.

При липса на дадени указания по доказателствената тежест и на събрани относими към спора доказателства, изводът на административния съд за неоснователност на иска е формиран при съществени процесуални нарушения и е необоснован. По делото не е установена причината, довела до нерегламентирано разкриване и разпространение на личните данни на ищеца и не е осъществен контрол дали то не е следствие от неприлагането на подходящи мерки за защита.

При формиране на изводи за наличие или липса на нарушение на чл. 24 и чл. 32 от Регламент /ЕС/ 2016/679, съдът следва подробно да обсъди представените от НАП писмени доказателства, особено в светлината на чл. 24, параграф 3 от Регламент /ЕС/ 2016/679.

По изложените съображения, обжалваното решение следва да бъде отменено, а делото – върнато на друг състав на административния съд за ново разглеждане. При новото разглеждане в подробен доклад по делото съдът следва да посочи относимите към спора факти, като отсее спорните от безспорните. След определяне на спорните факти, на страните следва да бъдат дадени подробни указания по тежестта на доказване, съобразени с техните конкретни твърдения и с нормата на чл. 82, параграф 3 от Регламент /ЕС/ 2016/679, включително, но не изчерпателно, за необходимостта от специалния знания за изясняване на въпросите при какви конкретни обстоятелства е допуснато изтичането на данни, има ли нерегламентиран достъп, по какъв технически начин е осъществен и до какви конкретно устройства или системи, съхраняващи данни, изцяло на външна намеса ли се дължи достъпът и възможно ли е той да се дължи изцяло на външна намеса, какви технически мерки са предприети, за да предотвратят достъпа, достатъчни ли са те, предвид достиженията на техническия прогрес и различните рискове, технически възможно ли е било предотвратяването на изтичането на данни. Следва да се укаже на ответника по иска, че негова е тежестта да докаже с всички допустими доказателствени средства, че нерегламентираният достъп не се дължи на нарушение по смисъла на регламента, включително, че такова нарушение липсва, тъй като всички негови задължения по регламента са изпълнени, респективно, че е направил всичко възможно да предотврати нарушението, предвид достиженията на техническия прогрес и различните рискове.

На следващо място, настоящата инстанция счита, че негативните преживявания на ищцата следва да бъдат преценени въз основа на обективни данни по делото, както и след преценка на евентуалната заплаха за посегателство при нормалния жизнен стандарт и отражението на тази заплаха върху обичайното психическо състояние на засегнатото лице, като се съобразят и данните, които могат да доведат до по-високо от обичайното влошаване на това състояние, като например особена тежест на нарушението или по-висока уязвимост на конкретното лице с оглед на неговото здравословно състояние. Съдът следва да изложи изрични мотиви по въпроса за определянето на неимуществените вреди по справедливост. В случая не се касае за преценка по усмотрение на съда, която почива само на абстрактните представи на решаващия орган, тъй като тогава мотивите не биха могли да бъдат контролирани от по-горестоящата инстанция. Затова съдът трябва да посочи конкретни факти, които според него са установени по делото и обосновават интензитета на неимуществените вреди и размера на обезщетението, като има предвид и обема на разкритите лични данни и към кой период се отнасят те.

Предвид изложеното и доколкото допуснатите от съда нарушения на съдопроизводствените правила са съществени, те са основание за отмяна на обжалваното решение и връщане на делото за ново разглеждане от друг състав на Административен съд – София град при съобразяване на изложеното в мотивите на настоящото решение.

При новото разглеждане съдът следва да се произнесе по разноските, съгласно чл. 226, ал. 3 от АПК.

Водим от горното и на основание чл. 221, ал. 2, предл. второ и чл. 222, ал. 2, т. 1 от АПК, Върховният административен съд, трето отделение,

РЕШИ:

ОТМЕНЯ Решение № 4941 от 23.09.2020 г. по адм. дело № 2782/2020 г. на Административен съд – София град.

ВРЪЩА делото на друг състав на Административен съд – София град за ново разглеждане, съобразно дадените указания по тълкуване и прилагане на закона.

Решението е окончателно.