Върховният административен съд на Р. Б. - Пето отделение, в съдебно заседание на втори март в състав: ПРЕДСЕДАТЕЛ:Д. Ч. ЧЛЕНОВЕ:ЕМАНОИЛ М. Д. при секретар М. Д. и с участието на прокурора Георги Камбуровизслуша докладваното от председателяД. Ч. по адм. дело № 11394/2021

Производството е по реда на чл. 208 и сл. от Администартивнопроцесуалния кодекс (АПК).

Образувано е по касационна жалба на Комисия за защита на личните данни (Комисията/КЗЛД) срещу решение № 5310/02.09.2021 г. постановено по адм. д. 3060/2021 г. по описа на Административен съд София-град (АССГ).

Касационният жалбоподател обжалва съдебното решение като неправилно поради нарушение на материалния закон, съществено нарушение на съдопроизводствените правила и необоснованост - касационни основания за отмяна по смисъла на чл. 209, т. 3 от АПК. Иска да бъде отменено обжалваното съдебното решение и да бъде постановено друго, с което да се потвърди и остави в сила Решение № ПАИКД-13-80/04.03.21 г. на КЗЛД. Подробни съображения в подкрепа на твърденията и исканията са изложени в касационната жалба. Претендира разноски за юрисконсултско възнаграждение.

Ответникът „Банка ДСК“АД оспорва касационната жалба по подробни съображения в писмен отговор. Претендира разноски за юрисконсултско възнаграждение.

Прокурорът от Върховна административна прокуратура заявява становище за неоснователност на касационната жалба.

Върховният административен съд, пето отделение, намира, че касационната жалба е подадена от надлежна страна, в срок и е процесуално допустима, а разгледана по същество е неоснователна по следните съображения:

С обжалваното решение № 5310/02.09.2021 г. постановено по адм. д. 3060/2021 г. по описа на АССГ по жалба на „Банка ДСК“АД е отменено Решение № ПАИКД-13-80/04.03.21 г. на КЗЛД, с което се разпорежда на „Банка ДСК“ АД да предприеме необходимите технически и организационни мерки в следните насоки: 1. При изготвяне на задания за сключване на договори с контрагенти, предоставящи пощенски услуги, да се включи изискване за прилагане на подходящи мерки, като например, без същите да са изчерпателно изброени: да се изисква повишено ниво на сигурност на използваните автомобили, което би могло до включва специализирано оборудване — наличие на отделение за съхранение на пратки само на „Банка ДСК“ АД и/или физическо разделение на кабината на водача от частта на автомобила за пренос на товари и други; доставката на пратките на банката при липса на физическо разделяне на товара от кабината на куриера (водача на МПС), да се извършва от двама служители, като единият да е постоянно в автомобила; да се провежда специализиран инструктаж на служителите относно защитата на лични данни при застъпване на смяна за разнасяне на пратки, които съдържат лични данни; 2. Да приеме правила/процедури/система за наблюдение и контрол по спазването на договорените мерки за сигурност при пренос на пратки, съдържащи лични данни чрез пощенски услуги, като е указан срок от 6 месеца от влизане в сила на решението за изпълнение на разпореждането, след което в едномесечен срок да се уведоми КЗЛД за изпълнението с представяне на доказателства.

Административният съд е приел, че оспореното пред него решение е действителен акт, издаден от компетентен орган, но при неспазване на изискването за форма и допуснати съществени процесуални нарушения, съставляващи основания по чл. 146, т. 2-3 от АПК.

Така постановеното съдебно решение е валидно, допустимо и правилно.

Законосъобразно и в съответствие със събраните по делото доказателства, АССГ е приел за установено, че „Банка ДСК“АД е администратор на лични данни по смисъла на чл. 4, т. 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), който е уведомил специализирания надзорен орган (КЗЛД) за нарушение на сигурността на личните данни. Обосновано съдът е приел, че Комисията се е съобразила само с уведомлението по чл. 33 от Общия регламент относно защитата на данните, за да счете, че то е подадено в срок, а въз основа на допълнително изисканата информация относно предприетите действия за информиране на лицата, засегнати от нарушението и мерките за защита на данните, е констатирала, че засегнатите лица са уведомени, а техните имуществени интереси не са увредени. В административното производство не са събирани други доказателства и не са извършвани други фактически установявания, поради което законосъобразно решаващият съд е направил извод, че не е установено по несъмнен начин извършването на нарушение на сигурността на данните и не е налице повторност на нарушението, както е отразено в решението от 04.03.2021 г.

Действително по делото има данни за предходно уведомление в КЗЛД с вх. № ПАИКД-13-24/01.06.2020г., но издаването на конкретен акт по отношение на него е заявено и доказано за първи път в съдебната фаза на производството, което правилно е оценено от АССГ като нарушение както защото е нарушено правото на защита на страната в административното производство, така и защото не е обосновано как това обстоятелство се отразява върху съдържанието на решението на Комисията и вида на наложените мерки по повод второто уведомление. В касационната жалба е посочено, че повторността е възприета както като утежняващо обстоятелство за определяне на нивото на риск, така и като отделен елемент при формиране на волята на колективния орган. Следователно и на този етап от производството остава неясно ато какъв точно елемент при формиране на волята на КЗЛД е участвало обстоятелството, че се произнася по второ уведомление от един администратор. Изрично трябва да бъде посочено, че в решението на КЗЛД липсват ясни мотиви относно значението на поредността на уведомлението, а по делото не е представен доклад на дирекция „Правно-аналитична, информационна и контролна дейност“, изготвен в административното производство, за да се прецени евентуално приложението на Тълкувателно решение №16/1975 г. Общото събрание на Гражданска колегия на Върховния съд. Аргументите в касационната жалба относно обвързващата сила на този доклад са неотносими към констатираното от АССГ нарушение във формата на акта, а именно липса на описание на фактическите основания за издаването му, които не се установяват и от други документи, изготвени в административното производство.

Неоснователно е оплакването в касационната жалба, според което само наличието на уведомление от „Банка ДСК“АД е достатъчно, за да се приеме, че е извършено нарушение. При правилно разпределение на доказателствената тежест в процеса АССГ обосновано е приел, че в административното производство не са събрани достатъчно доказателства за нарушение на сигурността на данните, а констатациите на КЗЛД са само въз основа на информацията, получена от заинтересованото лице.

В касационната жалба е отбелязано, че наложената ПАМ е с възможно най-ниската степен на санкционен характер и е приложена единствено само с оглед повторността на нарушението на администратора. Това изявление не е възможно да бъде отнесено към нито едно от наведените касационни основания за отмяна на обжалваното съдебно решение, но е показателно за липсата на ясно разбиране от страна на Комисията относно същността на предоставените й правомощия по повод уведомления по чл. 33 от Общия регламент за защита на данните и изискванията към тяхното упражняване, което е довело и до неспазване на изискванията за форма и процедура при издаване на оспореното пред АССГ решение.

Налага се извод, че при правилно установени факти по делото съдът е достигнал до правилен извод за наличие на основания за отмяна на атакуваното пред него решение на КЗЛД поради липса на ясно изложени фактически основания в акта и допуснато съществено нарушение на административнопроизводствените правила.

По изложените съображения касационната жалба е неоснователна, а обжалваното решение като действително, допустимо, правилно, постановено при отсъствието на наведените касационни основания, трябва да бъде оставено в сила на основание чл. 221, ал. 2 от АПК.

По водене на делото пред настоящата инстанция ответната страна не е направила разноски, но е представляван от юрисконсулт, поради което с оглед изхода на спора и направеното искане има право на разноски за юрисконсултско възнаграждение в размер на 100 лв.

По изложените съображения, Върховният административен съд, пето отделение РЕШИ:

ОСТАВЯ В СИЛА решение № 5310/02.09.2021 г. постановено по адм. д. 3060/2021 г. по описа на Административен съд София-град.

ОСЪЖДА Комисията за защита на личните данни, гр. София, бул. „Проф. Ц. Л. № 2 да заплати на „Банка ДСК“АД, гр. София, ул. „Московска“№ 19 сумата 100 (сто) лева, юрисконсултско възнаграждение за касационната инстанция.

РЕШЕНИЕТО не подлежи на обжалване.

Вярно с оригинала, ПРЕДСЕДАТЕЛ:/п/ Донка Чакърова

секретар: ЧЛЕНОВЕ:/п/ Е. М. п/ Емил Димитров