Производството е по чл. 208 и сл. от Административнопроцесуалния кодекс /АПК/.

Образувано е по касационна жалба от В. М. от гр. С., чрез пълномощника си адв. Ю., против Решение № 4045/21.07.2020 г. по адм. дело № 11218/2019 г. на Административен съд – София-град, с което е отхвърлен изцяло предявения от нея иск с правно основание чл. 1, ал. 1 ЗОДОВ (ЗАКОН ЗА ОТГОВОРНОСТТА НА ДЪРЖАВАТА И ОБЩИНИТЕ ЗА ВРЕДИ), (ЗОДОВ) против Национална агенция за приходите (НАП) за присъждане на обезщетение за претърпени неимуществени вреди в размер на 1000 лева, ведно със законната лихва върху претендираното обезщетение, считано от 15.07.2019 г. до окончателното изплащане на вземането, като са присъдени и съдебни разноски в полза на НАП в размер на 100 лева.

Касаторът, чрез процесуалния си представител, твърди, че решението е неправилно, поради съществени нарушения на съдопроизводствените правила, необоснованост и нарушение на материалния закон – касационни основания по чл. 209, т. 3 АПК. Претендира разноски и за двете съдебни инстанции.

Ответникът по касационната жалба – Национална агенция за приходите в представен по делото отговор на касационната жалба, чрез процесуалния си представител гл. юрк. И. излага съображения за неоснователност на касационната жалба. Претендира разноски.

Представителят на Върховна административна прокуратура дава заключение, че касационната жалба е допустима и по същество е неоснователна, като предлага обжалваното решение да бъде оставено в сила.

Върховният административен съд, трето отделение, като взе предвид становището на страните и извърши проверка на обжалваното решение на посочените касационни основания, съгласно разпоредбата на чл. 218, ал. 1 АПК, и след служебна проверка за допустимостта, валидността и съответствието на решението с материалния закон по реда на чл. 218, ал. 2 АПК, намира за установено от фактическа и правна страна следното:

Производството пред административния съд е образувано по искова молба на В. М. срещу НАП за присъждане на обезщетение за претърпени неимуществени вреди в размер на 1000 лв. от действия и бездействия, довели до нарушение на сигурността на личните му данни по смисъла на § 1, т. 10 от ДР на ЗЗЛД вр. чл. 4, т. 12 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО/Общ регламент относно защитата на данните/, като от същите ищцата е претъпяла неимуществени вреди, представляващи особено безпокойство, психически стрес, притеснение от възможността да се злоупотреби с тези данни, поради което и претендира обезщетение на тези вреди, ведно със законната лихва от 15.07.2019 г. или от датата на завеждане на исковата молба до окончателното изплащане на сумата.

Административен съд – София-град е приел за установено от фактическа страна, че поради нерегламентиран достъп, вследствие на умишлени престъпни действия от страна на неизвестно лице, осъществен на 15.07.2019 г. е изтекла информация от информационните масиви на НАП, съдържаща лични данни в частност и за ищцата. Съдът е базирал правните си изводи на събрани в производството гласни доказателства на един свидетел и приел за установено противоправно бездействие на ответника да изпълни задължения произтичащи от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година. Ответникът не бил изпълнил задължението си за предотвратяване на престъпление и опазване изтичането на лични данни. Съдът не приема за установено, че техническата уязвимост на информационната система е причина за нерегламентираното разкриване и разпространение на личните данни на ищцата, което да е вследствие на неприлагане на подходящи мерки от НАП.

Съдът е извършил подробен преглед на предприетите мерки за защита на сигурността на информацията в НАП, на база представените от касатора писмени доказателства. Събрани са свидетелски показания във връзка с доказване на твърдените неимуществени вреди.

От правна страна е прието, че искът е с правно основание чл. 1, ал. 1 от ЗОДОВ за присъждане на обезщетение за претърпени неимуществени вреди, вследствие на незаконосъобразно бездействие от страна на служители на НАП, изразяващо се неизпълнение на задължения, произтичащи от Общия регламент относно защита на личните данни /ЕС/ 2016/ 679 на Европейския парламент и на Съвета от 27.04.2016 /GDPR/.

Самото обстоятелство, че е изтекла информация от сървърите на НАП – безспорен факт по делото, е прието за осъществено, но не и от противоправно бездействие на ответника да изпълни произтичащи от посочените разпоредби задължения да осигури достатъчна надеждност и сигурност на информационната си система, да защити физическите лица във връзка с обработването на личните им данни. Въз основа на така приетото, административният съд е направил извод, че в случая не е налице твърдяното незаконосъобразно бездействие на НАП, което да обоснове първата предпоставка за възникване на правото на обезщетение по чл. 1, ал. 1 от ЗОДОВ.

По тези съображения съдът е отхвърлил иска като неоснователен. Касационната жалба е основателна.

Решението е постановено при съществени процесуални нарушения и е необосновано. Относимите към спора факти не са изяснени, което е пречка за надлежна проверка за правилно приложение на материалния закон.

Административният съд не е дал подробни и конкретни указания по доказателствената тежест, съответно не е установил относими към спора факти. Правилно искът е разгледан по реда, предвиден в националното право за реализиране отговорността на държавата за причинени вреди, макар че дадената правна квалификация не е точната. Съгласно чл. 4, ал. 3 от Конституцията, Р. Б участва в изграждането и развитието на Европейски съюз, а по силата на чл. 5, ал. 4 от Конституцията, международните договори, ратифицирани по конституционен ред, обнародвани и влезли в сила за Р. Б, са част от вътрешното право на страната. Те имат предимство пред тези норми на вътрешното законодателство, които им противоречат. С оглед на това регламентираните в Договора за Европейския съюз и в ДФЕС (Договора за фунцкиониране на Европейския съюз) права на правните субекти имат предимство пред норми на вътрешното право, които им противоречат. Същото важи и за Хартата на основните права на Европейския съюз (Хартата), която по силата на член 6, параграф 1 ДФЕС има същата юридическа сила като договорите.

Член 8, параграф 1 от Хартата на основните права на Европейския съюз (Хартата/ХОПЕС) и член 16, параграф 1 от ДФЕС (Договора за фунцкиониране на Европейския съюз) (ДФЕС) предвиждат, че всеки има право на защита на личните му данни. Защитата на физическите лица във връзка с обработването на лични данни е основно право. Правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни, както и защитата на основни права и свободи на физическите лица и по-специално тяхното право на защита на личните данни, са определени в Регламент (ЕС) 2016/679. На основание член 288, параграф 2 ДФЕС регламентът е акт с общо приложение, който е задължителен в своята цялост и се прилага пряко във всяка една държава членка.

Правото на ефективна съдебна защита срещу администратор или обработващ лични данни е уредено в член 79, параграф 1 от Общия регламент, който предвижда, че без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по регламента са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с регламента. Производствата срещу даден администратор или обработващ лични данни се образуват пред съдилищата на държавата членка, в която администраторът или обработващият лични данни има място на установяване - член 79, параграф 2.

Правото на обезщетение и отговорност за причинени вреди е предвидено в член 82, параграф 1 от Общия регламент, съгласно който всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на регламента, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава регламента. Съгласно член 82, параграф 6, съдебните производства във връзка с упражняването на правото на обезщетение се образуват пред съдилища, компетентни, съгласно правото на държавата членка, посочена в член 79, параграф 2. Националната нормативна уредба за защита правата на физическите лица при обработване на личните им данни, доколкото същите не са уредени в Регламент (ЕС) 2016/79, се съдържа в ЗЗЛД (ЗАКОН ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ) - чл. 1, ал. 1 ЗЗЛД. Съгласно чл. 39, ал. 1 ЗЗЛД, при нарушаване на правата му по Регламент (ЕС) 2016/679 и по закона субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на Административнопроцесуалния кодекс. В производството по ал. 1 субектът на данни може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора или на обработващия лични данни – чл. 39, ал. 2 ЗЗЛД. В чл. 39, ал. 1 от ЗЗЛД не се съдържа специална процесуална уредба относно реда за упражняване на правото на субекта да сезира съда за нарушените му права при обработване на личните му данни, а се препраща към общия административнопроцесуален закон за търсене на отговорност на всички администратори на лични данни, независимо от тяхната правосубектност и притежавани качества (публични органи или частноправни субекти), по аргумент от § 1, т. 1 АПК. Процесуалният ред, по който засегнатият субект може да търси обезщетение и отговорност за причинените вреди поради неправомерно обработване на личните му данни, е уреден в глава единадесета "Производство за обезщетения" на Административнопроцесуалния кодекс.

Съгласно разпоредбата на чл. 203, ал. 1 АПК, исковете за обезщетения за вреди, причинени на граждани или юридически лица от незаконосъобразни актове, действия или бездействия на административни органи и длъжностни лица, се разглеждат по реда на глава единадесета.

Както вече се посочи, по силата на член 82, параграф 6 от Общия регламент относно защитата на личните данни, всеки засегнат частноправен субект може да предяви иск за обезщетение ако са нарушени правата му по този регламент, ако нарушението е "достатъчно съществено" и е налице пряка причинно-следствена връзка между нарушението и вредите. Материалноправните предпоставки на отговорността на държавата за вреди, причинени от нарушение на правото на ЕС, произтичат директно от наднационалния правен ред. Член 203, ал. 1 АПК, в редакцията ДВ, бр. 77 от 2018 г., го поставя в подведомственост на административния съд, когато вредите имат за причина нарушение на правото на ЕС с акт, действие или бездействие на административен орган или на длъжностно лице от неговата администрация. Съгласно чл. 203, ал. 2 АПК, за неуредените въпроси за имуществената отговорност по ал. 1 се прилагат разпоредбите на ЗОДОВ (ЗАКОН ЗА ОТГОВОРНОСТТА НА ДЪРЖАВАТА И ОБЩИНИТЕ ЗА ВРЕДИ).

Фактическият състав, при осъществяването на който възниква правото на обезщетение за вреди, произтичащо пряко от член 82, параграф 1 от Общия регламент, включва претърпени материални или нематериални вреди настъпили в причинна връзка /в резултат на/ нарушение на регламента. В конкретния случай този фактически състав на практика съвпада с изискуемия за възникване право на обезщетение по чл. 1 от ЗОДОВ – незаконосъобразно бездействие /в случая/, вреда и причинна връзка между тях. Това обаче не означава, че искът е следвало да се квалифицира като такъв с правно основание чл. 1 от ЗОДОВ. Изложените от ищеца факти, изрично сочещи на допуснати от администратора на лични данни нарушения на задължения, които произтичат от чл. 24 и чл. 32 от Регламента за защита на данни, обуславят правна квалификация на иска по чл. 82, § 1, вр. § 2 от Регламента. Този извод не се променя от обстоятелството, че предвидените в посочените текстове задължения са „преписани“ съответно в чл. 59 и чл. 66 от ЗЗЛД, както и че ищецът се позовава и на тези норми, и на чл. 1 ЗОДОВ. Дадените от ищеца правни квалификации не обвързват съда. От значение са само фактическите твърдения на ищеца, въз основа на които съдът дава вярната правна квалификация на иска, съобразявайки от кой нормативен акт произтичат претендираните от ищеца правни последици и какво е мястото му в йерархията на източниците на правото. В случая се твърдят нарушения на задължения, произтичащи пряко от чл. 24 и чл. 32 от Регламента, поради което тяхното преповтаряне в националното законодателство може да има само информационен характер.

Разпоредбата на чл. 24 „Отговорност на администратора“ от Общия регламент относно защита на личните данни /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27.04.2016 /GDPR/, предвижда, че като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствия с регламента. В допълнение, в чл. 32 са предвидени конкретните мерки които следва да се предприемат, а именно: "Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно: a) псевдонимизация и криптиране на личните данни; б) способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване; в) способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент; г) процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

Извън съмнение е, че касаторът е администратор на лични данни по см. на чл. 4, § 7 от Регламент (ЕС) 2016/679 (ОРЗД) и при обработване на личните данни, следва да спазва принципите за законосъобразност и добросъвестност, залегнали в чл. 5, § 1, б. "а", както и по б. "е", а именно: личните данни трябва да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки ("цялостност и поверителност"). При тези правни квалификации, съдът е следвало да съобрази и нормата на чл. 82, § 3 от Регламента, съгласно която администраторът или обработващият лични данни се освобождава от отговорност съгласно § 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата. Посочената норма касае доказателствената тежест в процеса, като възлага на ответника по иска да докаже липсата на два от елементите от фактическия състав на отговорността за вреди, а именно липсата на нарушение по смисъла на регламента и липсата на причинна връзка. За ищеца по иска с правно основание чл. 82, § 1, вр. § 2 от Регламента остава да докаже настъпването на вредите, както и в какво конкретно се изразява бездействието на администратора на лични данни.

В процеса пред първоинстанционния съд са давани указания по тежестта на доказване с определение от 05.05.2020 г. Липсва нарочно определение на съда за разпределяне на доказателствената тежест между страните, което съответно да възлагат доказателствена тежест на ответника за установяване липса на нарушение, а на ищеца да установи по категоричен начин в какво конкретно се изразява бездействието на ответника да изпълни задължения, произтичащи от Общия регламент относно защитата на личните данни да осигури достатъчна надеждност и сигурност на информационната си система, да защити физическите лица във връзка с обработването на личните им данни.

Докладът по делото повтаря твърденията на страните в исковата молба и в отговора по нея. Липсва очертаване на спорните между страните факти, които следва да бъдат доказани, съответно липсва разграничаване на безспорните факти. На страните не са дадени указания по тежестта на доказване, съобразно техните конкретни твърдения, конкретния спор и конкретната нормативна уредба. На ответника по иска не е указано, че в негова тежест е да установи, че не е отговорен за събитието, причинило вредата, тоест, че липсва нарушение, в причинна връзка с което са претърпени вредите, нито че съгласно чл. 24, § 2 и § 3 и чл. 32 администраторът на лични данни следва да доказва наличието на подходящи политики за защита на данните и придържането към одобрени кодекси за поведение или одобрени механизми за сертифициране, както и прилагането на конкретни подходящи технически и организационни мерки, съобразени с конкретните рискове. Съдът не е съобразил и служебното начало в съдебния процес по административни дела, включително необходимостта от специални знания за изясняване на съществен въпрос по делото, а именно какъв е техническият механизъм на неоторизирания достъп до лични данни, осъществен на 15.07.2019 г.

При липса на дадени указания по доказателствената тежест и на събрани относими към спора доказателства, изводът на административния съд, че неоторизираният достъп сочи на противоправно бездействие на ответника да изпълни произтичащи от посочените разпоредби задължения да осигури достатъчна техническа надеждност и сигурност на информационната си система, за да защити физическите лица във връзка с обработването на личните им данни, е формиран при съществени процесуални нарушения и е необоснован. Противно на възприетото от съда, по делото не е установено по категоричен начин, че именно техническата уязвимост на информационната система е довела до нерегламентирано разкриване и разпространение личните данни на ищеца и че то е следствие от неприлагането на подходящи мерки за защита. Следва да се подчертае, че понятието за нарушение по смисъла на Регламента е автономно и се съдържа в чл. 4, § 12 от Регламента. Нарушението на сигурността, респективно липсата на такова нарушение, са факти, които следва да бъдат установени в процеса. Нарушението не може да се презюмира въз основа на други данни, по-конкретно въз основа на това, че има неразрешено разкриване или достъп до лични данни. Неразрешеното разкриване и достъп може да е следствие от нарушението, но това следствие, както и самото нарушение, респективно тяхната липса, трябва да бъдат доказани и това изисква използване на специални знания.

По изложените съображения, обжалваното решение следва да бъде отменено, а делото – върнато на друг състав на административния съд за ново разглеждане. При новото разглеждане в подробен доклад по делото съдът следва да посочи относими към спора факти, като разграничи спорните от безспорните. След определяне на спорните факти, на страните следва да бъдат дадени подробни указания по тежестта на доказване, съобразени с техните конкретни твърдения и с нормата на чл. 82, § 3 от Регламента, включително, но не изчерпателно, за необходимостта от специалния знания за изясняване на въпросите при какви конкретни обстоятелства е допуснато изтичането на данни, има ли нерегламентиран достъп, по какъв технически начин е осъществен и до какви конкретно устройства или системи, съхраняващи данни, изцяло на външна намеса ли се дължи достъпът и възможно ли е той да се дължи изцяло на външна намеса, какви технически мерки са предприети, за да предотвратят достъпа, достатъчни ли са те, предвид достиженията на техническия прогрес и различните рискове, технически възможно ли е било предотвратяването на изтичането на данни.

При новото разглеждане, съдът следва да се произнесе по разноските, съгласно чл. 226, ал. 3 АПК.

Водим от горното и на основание чл. 221, ал. 3 АПК, Върховният административен съд, трето отделение,

РЕШИ:

ОТМЕНЯ Решение № 4045 от 21.07.2020 г. по адм. дело № 11218/2019 г. на Административен съд – София-град.

ВРЪЩА делото на друг състав на Административен съд – София-град за ново разглеждане, съобразно дадените указания по тълкуване и прилагане на закона.

Решението е окончателно.