Производството е по реда на чл. 208 - 228 от Административнопроцесуалния кодекс (АПК).
Образувано е по касационна жалба, подадена от С. Г. чрез процесуален представител срещу решение № 5037 от 29.09.2020 г., постановено по административно дело № 11312/2019 г. от Административен съд София-град (АССг), с което е отхвърлен предявеният от него иск в размер на 1000 лв. за нанесени му неимуществени вреди в периода 15.07.2019 г. до 16.09.2019 г. (датата на предявяване на иска) от незаконосъобразно бездействие на Националната агенция за приходите. По наведени доводи за неправилност на решението, като неправилно на всички основания по чл. 209, т. 3 АПК се иска отмяната му и постановяване на ново по съществото на спора, с което предявеният от него иск бъде уважен. Претендира присъждане на деловодни разноски по приложен списък.
Ответникът по касационната жалба – Национална агенция за приходите (НАП), чрез процесуален представител и в представен от последния писмен отговор оспорва същата и моли съда да постанови решение, с което да я отхвърли като неоснователна.
Прокурорът от Върховната административна прокуратура дава мотивирано заключение за неоснователност на касационната жалба.
Върховният административен съд (ВАС), състав на Пето отделение при извършената служебно проверка на атакуваното решение по реда на чл. 218, ал. 2 АПК и предвид наведените в касационната жалба доводи, приема за установено следното:
Обжалваното решение е валидно и допустимо – постановено е от компетентен съд след предявен иск по реда на чл. 203, ал. 2 във вр. с ал. 1 АПК от лице, имащо право на защита по чл. 79, §. 1 от Регламент (ЕС) 2016/679 на Е. П и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (Регламента), като съгласно § 2 на цитирания текст производствата се образуват пред съдилищата в държавата – членка, в която администраторът или обработващият лични данни има място на установяване. В тази насока е и разпоредбата на чл. 39 ЗЗЛД, предвиждаща, че при нарушаване на правата му по Регламента и по този закон субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на Административнопроцесуалния кодекс, като в това производство субектът на данни (какъвто е ищеца) може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора или на обработващия лични данни.
Неоснователен е наведеният довод за постановяване на решението при допуснати нарушения на съдопроизводствените правила.
С разпореждания от 18.11.2019 г. и от 20.05.2020 г. първоинстанционният съд е указал на страните доказателствената тежест, която имат в това производство, същите са били надлежно представлявани в хода му и са имали възможност да защитят правата си в пълен обем.
Съдът е изяснил спора по същество, като в хода на развилото се пред него исково производство е събрал и обсъдил представените от страните писмени и гласни доказателства, въз основа на които е установил правилно установената по делото фактическа обстановка, а именно, че ответника – НАП е администратор на лични данни, който в това му качество е обработвал лични данни на ищеца. Установено е и обстоятелството, че на 15.07.2019 г. е огласена по общодостъпен начин информация за това, че от електронните масиви на НАП неправомерно е била изтеглена информация с голям обем, съдържаща лични данни за множество български граждани, при осъществен неоторозиран достъп до базата данни на НАП и неразрешено разкриване, за което няма спор между страните.
По отношение на жалбодателя е установено със справка от НАП, че е осъществен неоторозиран достъп и разкриване на неговите имена, ЕГН, данни от данъчна декларация за облагане с патентен данък (по чл. 43 ЗОДФЛ) за 2003 г., идентификационни данни за лице от подадена декларация за дължими данъци по чл. 55, ал. 1 от ЗДДФЛ и чл. 201, ал. 1 от ЗКПО за 2013 г., които попадат в категорията лични данни по определението на чл. 4, т. 1 от Регламента, за което също няма спор между страните.
По делото са представени доказателства за предприетите от НАП организационни мерки в изпълнение на задълженията си в качеството си на администратор на лични данни по смисъла на § 1, т. 2 от ДР ЗЗЛД във вр. с чл. 4, т. 7 от Регламента по чл. 59, ал. 1 от ЗЗЛД (ЗАКОН ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ) (ЗЗЛД) и аналогичните такива, предвидени в чл. 24 от Регламента, като са представени утвърдени Политика по информационната сигурност на НАП от 2016 г. и Политика по защита на личните данни в НАП, утвърдени от Изпълнителния директор на НАП. Представена е и заповед на Изпълнителния директор на НАП от 15.10.2018 г., с която в изпълнение на изисквания на Наредба за общите изисквания за мрежова и информационна сигурност са утвърдени указания за разработване, попълвани и/|или зареждане с данни на образци на документи и приложения, утвърдени въз основа на ЗНАП и други указания във връзка с обозначаване и работа с информацията, попълване на образи и др.
Липсват обаче доказателства относно предприетите от НАП технически мерки, предвидени в цитираните по –горе разпоредби на ЗЗЛД и Регламента, предвиждащи – при отчитане естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица да прилага подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с този закон, респективно на Регламента, като и в двата случая е предвидено е предвидено, че при необходимост тези мерки се преразглеждат и актуализират.
По делото е разпитан един свидетел, който е установил, че ищецът след установяване на факта, че личните му данни обработвани от НАП са огласени, въз основа на получено от НАП кратко текстово съобщение е имал притеснения относно възможни измами при използване на тези данни с оглед характера на работата, макар да не е имал притеснения, че ще бъде отвлечен в следствие на това.
В решението си първоинстанционният съд е изложил подробно установената с доказателства фактическа обстановка, въз основа на която е формирал изводите си, като същите са изложени подробно и аргументирано.
Решението е неправилно като постановено при неправилно приложение на материалния закон.
От доказателствата по делото безспорно е установено, че правата на субекта на лични данни – ищеца по делото са били нарушени при обработката им от администратора НАП, който при неосигуряване на технически мерки, гарантиращи защитата на личните му данни е допуснал широкото им огласяване, при което Г. е изпитал притеснения свързани с евентуалното им неправомерно използване – възможни измами.
Изложеното обосновава извод за настъпило непозволено от ЗЗЛД и Регламента увреждане на ищеца, в качеството му на субект на лични данни от администратора на същите - неизпълнение на задълженията му посочени по-горе по чл. 24 от Регламента и чл. 59, ал. 1 ЗЗЛД да предприеме подходящи технически мерки за защитата им, съобразени с отчитане естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица, а още по-малко предвидените допълнителни такива в чл. 32 от Регламента, в случая настъпилите в правната сфера на ищеца неимуществени вреди произтичат от бездействието на администратора в тази насока. Като администратор на лични данни по смисъла на чл. 4, § 7 от Регламента при обработването на тези данни НАП е следвало да спазва принципите за законосъобразност и добросъвестност по чл. 5, § 1, б. „а“ и б. „е“ – същите да бъдат обработвани по начин, гарантиращ подходящо ниво на сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като прилага подходящи технически и организационни мерки. В случая безспорно установения факт на изтекла информация от сървърите на НАП на 15.07.2019 г. в следствие на неоторизиран достъп безспорно обуславя извод за наличие на бездействие на НАП да осигури надеждност и сигурност на личните данни, при което в случая е осъществено нарушение на сигурността им по смисъла на чл. 4, §12 от Регламента. Обстоятелството, че е извършена хакерска атака – осъществен неправомерен достъп до информационната система на НАП обуславя еднозначен извод, че не са предприети необходимите технически мерки за защитата на личните данни на ищцата, тъй като ответникът в качеството му на администратор на лични данни има задължението периодично да преценява техническата надеждност и да осигури високо ниво на сигурност, а неизпълнението на това задължение води до извод, че противоправното му бездействие е довело до увреждане на лицата, чийто лични данни са обработвани от него.
Ето защо, макар правилно в обжалваното решение да е прието, че в случая е налице бездействие от страна на администратора на лични данни по отношение на осигуряване на подходящи и адекватни технически мерки за защитата на обработваните от него лични данни, неправилно искът е приет за неоснователен, предвид нормативно установеното правило, че всеки и длъжен да поправи вредите, които е причинил.
Настоящият състав намира, че в случая предявеният иск е такъв по чл. 82, § 1 от Регламента, който предвижда, че всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди и с оглед на установеното по-горе е основателен.
Неимуществените вреди са неизмерими с пари и затова следващото се за тях обезщетение, се определят на принципа на справедливостта.
Неоснователен е наведеният довод, че установените по делото като вид и интензитет неимуществени вреди, не следва да бъдат обезщетява, тъй като не е установено по делото ищецът да е преживял силен стрес и не е установен размера на имуществото, което притежава. Неотносими към предмета на спора са наведените доводи, че за злоупотреба с лични данни е необходимо трети недобросъвестни лица да разполагат освен с тях и със съответните идентифициращи документи, доколкото в случая искът е с правно основание чл. 82, § 1 от Регламента и твърдените вреди са в пряка причинна връзка с бездействие на органа да осигури технически защитата на личните данни, обработвани от него и подлежат на обезщетяване.
В конкретния случай, предвид установените като вид и интензитет претърпени неимуществени вреди от ищеца, които следва да бъдат обезщетени, настоящият състав намира, че справедливият размер на дължимото обезщетение е в размер на 200 лв.
Така изложеното обосновава извод, че обжалваното решение е неправилно и следва да бъде отменено, вместо което следва да бъде постановено ново, с което НАП в качеството й на администратор на лични данни следва да бъде осъдена да заплати на С. Г. обезщетение за нанесени неимуществени вреди в размер на 200 лв. на основание чл. 82, ал. 1 и ал. 2 от Регламента, а предявеният иск за разликата над 200 лв. до пълния му предявен размер от 1000 лв. следва да бъде отхвърлен като неоснователен и недоказан.
При този изход на делото и при своевременно направено искане за присъждане на деловодни разноски администрацията на ответника следва да бъде осъдена да заплати на ищеца, съобразно уважената част на иска деловодни разноски в размер на 3 лева, представляващи съответната част на заплатената от него държавна такса общо в размер на 15 лв. – 10 лв. за първа инстанция и 5 лева за касационната инстанция, а на адвокат С. Ю. – възнаграждение в размер на 60 лв., представляваща съответната част, съобразно уважената част от иска от възнаграждението, определено по реда на чл. 8, ал. 1, т. 2 от Наредба №1 от 09.07.2004 за минималните размери на адвокатските възнаграждения.
По изложените съображения и на основание чл. 221, ал. 2 АПК, Върховният административен съд, Пето отделение РЕШИ:
ОТМЕНЯ решение № 5037 от 29.09.2020г., постановено по административно дело № 11312/2019 г. от Административен съд София-град, вместо което ПОСТАНОВЯВА:
ОСЪЖДА Националната агенция за приходите да заплати на С. Г., с ЕГН [ЕГН] на основание чл. 82, ал. 1 от Регламент (ЕС) 2016/679 на Е. П и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) обезщетение в размер на 200 (двеста) лева.
ОТХВЪРЛЯ предявения от С. Г. иск за разликата над уважения до пълния му предявен размер от 1000 лв. като неоснователен.
ОСЪЖДА Националната агенция за приходите да заплати на С. Г., с ЕГН [ЕГН] деловодни разноски в размер на 3 (три) лева.
ОСЪЖДА Националната агенция за приходите да заплати на адвокат С. С. – Ю., гр. С., [адрес] хонорар в размер на 60 (шестдесет) лева.
Решението е окончателно.