Производството е по реда на чл. 208 и сл. от Административнопроцесуалния кодекс (АПК).

Образувано е по касационна жалба на Т. Ш., чрез процесуален представител, против решение №7022/07.12.2020г. постановено по адм. дело №3731/2020г. на Административен съд София-град/АССГ/, с което в производство по чл. 203-207 АПК вр. чл. 1, ал. 1 ЗОДОВ, е отхвърлен иск на Т. Ш. от гр. Д., против Национална агенция за приходите/НАП/ с искане за заплащане на обезщетение за претърпени неимуществени вреди в размер на 1000лв. от незаконосъобразно бездействие, предявен на осн. чл. 203 АПК, вр. чл. 82, §1 от Общ регламент за защита на личните данни/ЕС/ 2016/679 на Европейския парламент и на Съвета от 27.04.2016г./ОРЗД, Регламента/, вр. чл. 39, ал. 2 ЗЗЛД, вр. чл. 1, ал. 1 ЗОДОВ, като неоснователен.

Касаторът навежда доводи неправилност на обжалваното решение като постановено в нарушение на материалния закон, съществено нарушение на съдопроизводствените правила и необосновано – отменително основание съгласно чл. 209, т. 3 от АПК. Моли решението да бъде отменено. Подробни съображения излага в касационната жалба. Претендира разноски.

Ответникът - Национална агенция за приходите, чрез процесуален представител оспорва касационната жалба. Съображения излага в писмен отговор. Претендира разноски.

Прокурорът от Върховна административна прокуратура дава становище за основателност на касационната жалба.

Касационната жалба е подадена в срок и е допустима, а разгледана по същество, е основателна.

За да постанови обжалваното решение АССГ е квалифицирал предявения иск по чл. 1, ал. 1 ЗОДОВ като иск за обезщетение за неимуществени вреди от незаконосъобразно бездействие на длъжностни лица на НАП при изпълнение на административна дейност, с който иск се претендират вреди от незаконосъобразно бездействие, изразяващо се в неизпълнение на задължението за обработване на личните данни по начин, който да гарантира подходящо ниво на сигурност като се приложат подходящи технологии и организационни мерки и неизвършване на оценка на въздействието на предвидените операции по обработване на личните данни върху тяхната защита, в нарушение разпоредбите на чл. 24 и чл. 32 Регламент (ЕС) 2016/679 (ОРЗД) и чл. 59, ал. 1 ЗЗЛД, чл. 45, ал. 1, т. 6 ЗЗЛД, чл. 64 ЗЗЛД, чл. 66, ал. 1 и ал. 2 ЗЗЛД, чл. 67 и чл. 68 ЗЗЛД.

Съдът е приел за безспорно, че поради нерегламентиран достъп, в следствие на умишлени престъпни действия от страна на неизвестно лице, осъществен на 15.07.2019г., е изтекла информация от информационните масиви на НАП, съдържаща лични данни на общо 6074140 физически лица, от които 4104786 живи ФЛ, български и чужди граждани, и 1989598 починали ФЛ, а ответника неоспорва факта, че по отношение на ищцата Ш. са налице неправомерно разкрити лични данни, които са ЕГН, имена, данни за изплатени доходи на ФЛ за 2007г.

АССГ е приел за установено, че със Заповед №З-ЦУ-1436/15.10.2018г. на ИД на НАП са утвърдени „Указания за разработване, попълване и/или зареждане с данни на образци на документи и приложения, утвърдени на осн. чл. 10, ал. 1, т. 5 и т. 7 ЗНАП; указания за обозначаване на работа с информация; указания за попълване на образци на процедура; указания за попълване на образеца на инструкция и др. С. З №ЗЦУ-746/25.05.2018г. на ИД на НАП у утвърдена „Политика за защита на личните данни в НАП“. С. З №ЗЦУ-83/23.01.2013г. на ИД на НАП е определен вида, съдържанието, реда за създаване, поддържане и достъп до регистър на НАП и базите данни на задължените лица, формата и елементите на данъчно-осигурителната сметка и сроковете за съхранение на архивираната информация. Със заповед №ЗЦУ-733/17.06.2016г. на ИД на НАП са утвърдени процедури с приложения към тях на отдел „Превенция на финансовата и информационната система“ в инспекторат на НАП, както и вътрешни правила за мрежовата и информационната сигурност. С. З №ЗЦУ-1596/29.11.2017г. на ИД на НАП са утвърдени Указания за унищожаване на информация и информационни носители в НАП. Със заповед №ЗЦУ-535/11.05.2016г. на ИД на НАП са утвърдени Вътрешни правила за оборот на електронни документи и документи на хартиен носител в НАП. Изработена е и утвърдена със Заповед №ЗЦУ-586/30.04.2014г. на ИД на НАП Методика за оценка на риска, версия 1, месец декември 2013г., както и методика за анонимизиране на индивидуални данни, Версия 1, м. януари 2017г.. Утвърдена е Политика по информационна сигурност на НАП-версия 3.0, м. май 2016г., Указания за обозначаване и работа с информация - версия 3.0, и Инструкция №2/08.05.2019г. за мерките и средствата за защита на личните данни, обработвани в НАП и реда за движение на преписки и заявяване на регистри.

Приел е за установено, че с писмо от 17.07.2019г. ИД на НАП уведомява СГП за извършено престъпление по чл. 319а и сл. от НПК чрез извършване на неправомерно осъществен достъп до информационната система на НАП, а с писмо от 16.07.2019г. ИД на НАП уведомява КЗЛД за неправомерно осъществен достъп до информационната система на НАП на 15.07.2019г.

По делото е разпитан свидетел, от показанията на който се установява, че след изтичане на личните й данни ищцата се е притеснила изключително много и изпаднала в лек шок, като станала много по-нервна и неспокойна, постоянно говорела за това нещо с нейни близки, като започнала да се притеснява да не би да вземат кредит на нейно име.

При тези факти АССГ е приел, че в проведеното съдебно производство не са установени по категоричен начин елементите от фактическия състав на ЗОДОВ(чл. 1, ал. 1), които според съда са –незаконни бездействия, извършени от длъжностни лица на ответника, които са свързани с изпълнение на административна дейност, претърпяна от ищеца вреда и причинна връзка между незаконните бездействия и вредата, за да може да се ангажира отговорността по отношение на ответника-НАП, при конкретизирано от ищеца твърдяно бездействие от НАП като неполагане на достатъчна грижа и не прилагане на ефективни мерки за защита сигурността на данните, с което не са изпълнени задължения, произтичащи от чл. 24 и чл. 26 Регламент (ЕС) 2016/679 (ОРЗД) и чл. 59, ал. 1 ЗЗЛД, както и чл. 45, ал. 1, т. 6 ЗЗЛД, чл. 64 ЗЗЛД, чл. 66, ал. 1 и ал. 2 ЗЗЛД, чл. 67 и чл. 68 ЗЗЛД.

Съдът е счел, че по делото безспорно се установява, че е налице противоправно деяние, което обаче само по себе си не обосновава извод, че е следствие от незаконосъобразно бездействие на ответника да изпълни произтичащи от сочените от ищеца разпоредби на Регламента и закона задължения да осигури достатъчна надеждност и сигурност на информационната си система и да защити ФЛ във вр. с обработването на личните им данни, и че не е резултат от престъпно деяние по см. на НПК, както и който резултат е настъпил въпреки положените усилия за предотвратяването му.

Извел е заключение, че в случая безспорно е налице противоправно поведение на трети лица, довело до негативния резултат-неоторизиран достъп до базата данни на НАП, но този негативен резултат не презюмира противоправно поведение на администратора на лични данни, изразяващо се в бездействие на последния да приложи подходящи технически и организационни мерки за осигуряване защитата на базата данни така, че срещу нея по никакъв начин, от никого и с никакви средство да не може да бъде достъпено. Според съда ответника е представил по делото множество доказателства, които доказват, че не е налице противоправно бездействие на НАП.

АССГ е достигнал до извод, че в процесния случай не е доказано наличието на претендираните вреди, както и каквато и да било причинна връзка с претендираните от ищеца неимуществени вреди, които да са пряка и непосредствена последица от увреждането, а по причинно-следствената верига са налице опосредстващи факти, които изключват пряката причинна връзка между деянието и вредите. Решението е неправилно.

АССГ неправилно е определил правното основание на предявения иск, в следствие на което неправилно е разпределил доказателствената тежест между страните, извел е несъответни на установената фактическа обстановка заключения относно липсата на вреда, липсата на нарушени разпоредби от приложимата материалноправна уредба, и липса на причинна връзка между претърпяната вреда и нарушените разпоредби. В резултат решаващия съд е достигнал до незаконосъобразни правни изводи.

Противно на възприетото от първостепенния съд, правното основание на предявения иск е чл. 82 Регламент (ЕС) 2016/679 (ОРЗД) „Право на обезщетение и отговорност за причинени вреди“ ( виж посоченото от ищеца на стр. 14 от исковата молба), според който (чл. 82, §1 ОРЗД) 1. Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.

Съгласно чл. 82, §§ 2, 3, 4, 5, 6 Регламент (ЕС) 2016/679 (ОРЗД) 2. Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. Обработващият лични данни носи отговорност за вреди, произтичащи от извършеното обработване, само когато не е изпълнил задълженията по настоящия регламент, конкретно насочени към обработващите лични данни, или когато е действал извън законосъобразните указания на администратора или в противоречие с тях.; 3. Администраторът или обработващият лични данни се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата.; 4. Когато в една и съща операция по обработване участват повече от един администратор или обработващ лични данни или участват и администратор, и обработващ лични данни, и когато те са отговорни по параграфи 2 и 3 за вреда, причинена от обработването, всеки администратор или обработващ лични данни носи отговорност за цялата вреда, за да се гарантира действително обезщетение на субекта на данни.; 5. Когато администратор или обработващ лични данни е изплатил съгласно параграф 4 пълното обезщетение за причинената вреда, той има право да поиска от другите администратори или обработващи лични данни, участвали в същата операция по обработване на лични данни, да му възстановят част от платеното обезщетение, съответстваща на тяхната част от отговорността за причинената вреда в съответствие с условията по параграф 2.; 6. Съдебните производства във връзка с упражняването на правото на обезщетение се образуват пред съдилища, компетентни съгласно правото на държавата членка, посочена в член 79, параграф 2.

С оглед посоченото правно основание, три са изискуемите компоненти, съдържими в предмета на доказване за реализиране правото на обезщетение и отговорност за причинени вреди по чл. 82 Регламент (ЕС) 2016/679 (ОРЗД) претърпяна от лице материална или нематериална вреда; нарушение на Регламент (ЕС) 2016/679 извършено от администратор или обработващ лични данни/ по см. на чл. 4, §7 и §8 от Регламента/, доказано по съответния процесуален ред; причинна връзка между претърпяната вреда и нарушението на Регламент (ЕС) 2016/679. Доказателствената тежест в процесното съдебно исково (а не административно) производство, съгласно разпоредбата на чл. 82, §3 Регламент (ЕС) 2016/679 (ОРЗД) при възражение за освобождаване от отговорност за причинени вреди в резултат на нарушаване на Регламента, поради това, че администратор на лични данни не е осигурил и не е приложил подходящи технически и организационни мерки, е изцяло в тежест на администратора и обработващия лични данни–НАП, ответна по делото пред АССГ страна, който следва да докаже, че обработването на личните данни се извършва в съответствие с Регламента. Съответно доказателствената тежест за доказване на настъпилата неимуществена вреда е изцяло за ищеца. В този смисъл не се спори, че НАП има качеството на администратор на лични данни по см. на чл. 4, т. 7 от Регламент (ЕС) 2016/679 (ОРЗД) като за доказване изпълнение задълженията си в това му качество, произтичащи от Регламента и ЗЗЛД, ответника е представил по делото посочените по-горе писмени доказателства за предприети мерки.

В конкретния казус първоинстанционния съд съобразно установените факти по делото неправилно е приел, че не е налице нарушение на Регламента от Национална агенция за приходите в качеството й на администратор на лични данни, спрямо правата на ищцата, в качеството и на субект на лични данни, при тяхната обработка.

Нарушението според настоящия състав, е осъществено чрез бездействие, което се изразява в неосигуряване(невъвеждане) на подходящи организационни и технически мерки, които в необходимата степен да гарантират защитата на личните данни на ищцата Т. Ш., и като последица неосигуряване подходящо ниво на сигурност на тези лични данни, което бездействие по същество представлява неточно изпълнение задълженията на администратора на лични данни -НАП по чл. 24 и чл. 32 от Регламент (ЕС) 2016/679 (ОРЗД)

Предвид твърденията на ищеца в исковата молба, при условията на пълно насрещно доказване ответника в процеса Национална агенция за приходи не е установила по делото факти, за доказването на които същата носи доказателствена тежест, а такива факти в случая следва да са мерки(различни по вид с организационен и технически характер), които да са предприети, но и не само-трябва да са осъществени, т. е. въведени по см. на Регламента и да са подходящи, водещи до еднозначен резултат-сигурна обработка на личните данни, което практически означава изградено ниво на сигурност, чиято степен минимизира риска от неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни.

Ответната страна е проявила недостатъчна процесуална активност, представяйки пред първата инстанция единствено писмени доказателства, от прочита на които не може да се обоснове освобождаване от отговорност на администратора на лични данни по см. на чл. 82, §3 Регламент (ЕС) 2016/679 (ОРЗД) т. е. не е доказано в процеса, че администратора на лични данни по никакъв начин не е отговорен за събитието, причинило вредата.

Необоснован и противоречащ на приетите по делото доказателства е извода на първостепенния съд за липса на конкретни неимуществени вреди понесени от ищцата. Този извод категорично се опровергава от показанията на допуснатия и разпитан по делото свидетел В. К.-Х. (сестра на съпруга на ищцата), според които ищцата е изпаднала в лек шок, станала е много по-нервна и неспокойна, изключително много се е притеснявала, вкл. да не вземат кредит от нейно име.

Противно на възприетото от АССГ, в случая предвид характера на събитието, не се касае за необходимост от предизвикване на някакви „реални“ промени в качеството на живот на ищеца, които според съда са промени в поведението на ищеца - да направи нещо, за да установи, какви са конкретните лични данни, които са разкрити, да прояви заинтересованост да установи какво точно по отношение на него е разкрито и евентуално как би могъл да предотврати негативните последици от това, и да направи всичко зависещо от него, за да установи какво е разкрито и как би могло това, което е разкрито, да бъде променено, за да се предпази от злонамерено посегателство.

Не е необходимо и каквото и да е активно поведение на пострадалото лице. Обратният извод - за необходимост от някакви действия на субекта налични данни, противоречи на характера на обществените отношения по обработването на лични данни, динамиката на тези данни в обществото и със самия характер на личните данни като дълбоко свързани с персоналната идентичност на субекта, която свързаност е до степен, че дори вероятността за тяхното разкриване, възприета от личността, винаги има за резултат чувствително засягане психическото и емоционално състояние на субекта. Това засягане е с преимуществено негативен характер защото последицата от неправомерното обработване е засягане правата и свободите на личността. В този смисъл доказани от ищцата в случая са понесени от нея болки, страдания и неудобства от категорията на обичайната дистресова реакция, т. е. налице е негативно засягане на личността от неправомерното развитие на процесните обществени отношения.

Неправилно е заключението на АССГ относно липсата на причина връзка между претърпяната вреда и нарушението на Регламент (ЕС) 2016/679. Следва да се отбележи, че в производството по чл. 82 от Регламента предмет на изследване е поведението на администратора/обработващия личните данни, т. е. неговото деяние-действие или бездействие, и именно то трябва да е условието, което необходимо е предизвикало отрицателната последица в сферата на засегнатото лице-субект на лични данни. В конкретиката на казуса поведението на ответника –бездействие(неизпълнение задължение по Регламента), като първо по време събитие, е релевантния факт, проявил се като условие за последващия факт - неразрешено разкриване и достъп до съхранени данни(събитие, елемент от причинно-следствената верига), при което цитираното първо по време събитие закономерно е довело до процесните болки и страдания, т. е. доказания в производството отрицателен резултат в сферата на ищцата. Казано по друг начин, неимуществените вреди като резултат произтичат от бездействието на ответника, като трябва изрично да се подчертае, че това поведение е практически годно, т. е. създаващо реална възможност да предизвика крайния резултат, защото неправилната преценка на значимостта на риска от пробив в електронната база данни(съдържаща и лични данни) и проявеното бездействие, предвид техническото ниво на развитие, обезпечеността, знанията и уменията, необходими за осъществяването на такъв пробив, води до повишаване този риск до ниво, което поддържа вероятността за настъпване събитие от изброените в чл. 32, §2 от Регламента в достатъчно продължителен интервал от време над определена критична величина.

В обобщение –по делото са доказани всички необходими елементи за реализиране правото на обезщетение и отговорност за причинени вреди по чл. 82 Регламент (ЕС) 2016/679 (ОРЗД) на ищцата Т. Ш..

При заявената от ищцата претенция за присъждане обезщетение в размер на 1000лв. и предвид установения по делото интензитет на негативно увреждане(претърпените неимуществени вреди), подлежащи на обезщетяване, жизненият стандарт и инфлационните процеси в страната, настоящият съдебен състав приема, че справедливият размер на дължимото обезщетение е 500 лева.

Решението на АССГ като неправилно-постановено при наличие на касационното основание по чл. 209, т. 3, предл. първо и трето, следва да се отмени, като вместо това се постанови друго по съществото на спора, с което Национална агенция за приходите, в качеството й на администратор на лични данни бъде осъдена на основание чл. 82, §1 и §2 от Регламент (ЕС) 2016/679, да заплати на Т. Ш. обезщетение за нанесени неимуществени вреди в размер на 500 лева. Исковата претенция за разликата над 500лв. до пълния предявен размер от 1000 лв. следва да се отхвърли като неоснователна и недоказана.

С оглед претендираната законна лихва върху размера на обезщетението, такава следва да се присъди от датата на завеждане на исковата молба-16.09.2019г. до окончателното заплащане на обезщетението.

При този изход на спора и направеното искане за присъждане на разноски на ищцата, и съдържащата се в искането претенция за присъждане адвокатско възнаграждение предвид представителството на същата от адвокат по реда на чл. 38, ал. 2 вр. ал. 1, т. 3 ЗА, в полза на адвокат С. Ю. от Софийска адвокатска колегия следва да определи възнаграждение съразмерно с уважената част на иска и съобразно чл. 8, ал. 1, т. 2 от Наредба №1 от 09.07.2004г. за минималните размери на адвокатските възнаграждения, в размер на 150лв., платимо от администрацията на ответника, а Национална агенция за приходите бъде осъдена да заплати на Т. Ш. сума в размер на 15 лева - платена от ищцата държавна такса за две съдебни инстанции.

Водим от горното и на основание чл. 221, ал. 2, изр. първо, предложение второ от АПК, Върховният административен съд, състав на Пето отделение

РЕШИ:

ОТМЕНЯ решение №7022/07.12.2020г. постановено по адм. дело №3731/2020г. на Административен съд София-град, и вместо него ПОСТАНОВЯВА:

ОСЪЖДА Националната агенция за приходите да заплати на Т. Ш. ЕГН [ЕГН], на основание чл. 82, §1 от Регламент (ЕС) 2016/679 на Е. П и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните), обезщетение в размер на 500 (петстотин) лева, ведно със законната лихва върху размера на обезщетението от датата на завеждане на исковата молба-16.09.2019г. до окончателното му заплащане.

ОТХВЪРЛЯ предявения от Т. Ш. иск за разликата от 500лв. до пълния му предявен размер от 1000 лв. като неоснователен.

ОСЪЖДА Националната агенция за приходите да заплати на Т. Ш. ЕГН [ЕГН] сума в размер на 15 (петнадесет) лева-разноски по делото.

ОСЪЖДА Националната агенция за приходите да заплати на адвокат С. С.–Ю. от Софийска адвокатска колегия, адвокатско възнаграждение в размер на 150 (сто и петдесет) лева.

Решението не подлежи на обжалване.