Върховният административен съд на Р. Б. - Пето отделение, в съдебно заседание на петнадесети февруари две хиляди и двадесет и четвърта година в състав: Председател: Й. Д. Членове: АННА ДИМ. С. при секретар М. Д. и с участието на прокурора Ц. Б. изслуша докладваното от съдията А. Д. по административно дело № 4889/2023 г.

Производството е чл. 208 и сл. от Административнопроцесуалния кодекс (АПК).

Образувано по касационна жалба на Национална агенция за приходите (НАП), чрез процесуален представител, срещу частите от решение №1591/13.03.2023 г. по адм. дело №5048/2021 г. на Административен съд - София - град (АССГ), с които е осъдена НАП, по иска с правно основание по чл.79, пар.1 и чл.82, пар.1 от Общия регламент относно защитата на данните(ОРЗД) да заплати на В. П., с адрес в гр. София, сума в в размер на 500 (петстотин) лева, представляваща обезщетение за неимуществени вреди за периода 15.07.2019 г. - 16.09.2019 г. , настъпили от бездействие от страна на НАП, изразяващо се в неизпълнение в достатъчна степен на задължения по чл.59, ал.1 от Закона за защита на личните данни и по чл.24 и чл.32 ОРЗД, да гарантира достатъчно ниво на сигурност на обработваните от него лични данни на В. П., ведно със законната лихва върху тази сума, считано от 16.09.2019 г. до окончателното й изплащане; НАП е осъдена да заплати 10 лева разноски на ищеца и 200 лева адвокатско възнаграждение на адв. С. Ю.. Касаторът поддържа в касационната жалба, че решението в обжалваните части е неправилно - поради нарушение на материалния закон, съществено нарушение на съдопроизводствените правила и необоснованост, иска отмяната му, отхвърляне на исковете за обезщетение и лихви, присъждане на юрисконсултско възнаграждение за касационното производство.

Ответникът по касационна жалба - В. П., в писмен отговор чрез адв. Ю. иска оставяне на решението в сила и претендира заплащане разноски, включително и адвокатско възнаграждение на адв. Ю. съгласно приложен списък. Постъпила е и писмена молба от ответника и чрез друг процесуален представител, преупълномощен в първата първа инстанция от адв. Ю., в която се поддържат направените искания в отговора.

Представителят на Върховна прокуратура изразява становище за неоснователност на касационната жалба.

Върховният административен съд, пето отделение, като прецени допустимостта на касационната жалба и наведените в нея отменителни касационни основания, съгласно чл. 209 от АПК, приема касационната жалба за процесуално допустима, като подадена в срок и от надлежна страна. За да се произнесе по същество, съдът взе предвид следното:

С решение №6129/20.05.2021 г. по адм. дело №11280/2020 г. на Върховния административен съд, трето отделение е отменено решение №4773/02.09.2020 г. по адм. дело №11247/2019 г. на АССГ и делото е върнато за ново разглеждане на друг състав на същия съд със задължителни указания по тълкуване и прилагане на закона. Посочил е, че предметът на доказване по чл. 82 от Общия регламент изисква следните задължителни елементи: 1. Наличие на материална или нематериална вреда; 2. Доказано нарушение на Регламент (ЕС) 2016/679; 3. Причинна връзка между претърпяната вреда и нарушението на Регламента. Изложените от ищеца факти, изрично сочещи на допуснати от администратора на лични данни нарушения на задължения, които произтичат от чл. 24 и чл. 32 от Регламента за защита на данни, обуславят правна квалификация на иска по чл. 82, 1 вр. 2 от Регламента. Разяснил е, нормата на чл.59 ЗЗЛД е неправилно обсъждана от първоинстанционния съд, тъй като се намира в глава 8 ЗЗЛД, която регламентира правилата за защита на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване, и поради това е неотносима към настоящия правен спор. ВАС е посочил, че НАП има кочество на администратор на лични данни по смисъла на чл.4, т.7 ОРЗД, дал е указания и за правилно разпределение на доказателствената тежест между страните и в частност какво следва да бъде указано на ответника и как да бъдат преценени негативните преживявания на ищеца.

За да постанови обжалваната част от решението, АССГ е изложил доводи, че предявеният иск е с правно основание чл.79, ал.1, чл.82, пар.1 във връзка с пар.2 от Регламент (ЕС) 2016/679. Посочил е, че след неоторизирания достъп до базата с лични данни на НАП, станал обществено известен от медиите на 15.07.2019 г. е установено и и разпространяването на личните данни на ищеца, видно от представената справка, издадена от НАП. Според нея са разпространени имената му и ЕГН и са посочените. данните от кои негови декларации, справки за изплатени доходи и идентификационни данни като лице, представляващо друг субект по подадени декларации по ЗКПО. АССГ е обсъдил представените от НАП доказателства за взети организационни мерки преди установения неправомерен достъп до личните данни на ищеца и множество други физически лица, но е приел, че липсват доказателства, от които да се направи извод, че тези организационни мерки са подходящи, за да гарантират защита на данните и че същите са актуализирани. С тези доказателства не може да се установи, че предприетите организационни мерки, са били до такава степен подходящи и ефективни, че да гарантират обработването на личните данни в съответствие с изискванията на Регламент (ЕС) 2016/679. НАП не е посочила и взетите конкретни технически мерки за защита на личните данни, които обработва, като е разбрала за неправомерния достъп до данните й от медиите, тоест администраторът на личните данни не е следил за неправомерен достъп и не го е установил посредством техническите си мерки. Съдът се е позовал на изслушаната по делото компютърно - техническа експертиза и е приел за установено, че достъпът до личните данни е осъществен през вътрешната система VATREFUND за възстановяване на ДДС от друга държава членка на ЕС, която система комуникира с други вътрешни системи на НАП, от които са извлечени данните. VATREFUND не изисква оторизация с електронен подпис и неоторизираният достъп е осъществен чрез предоставен от системата на НАП линк за изтегляне на изискан документ от трето лице. Според заключението при подходящо техническо, софтуерно и кадрово обезпечение е възможно рискът от нерегламентиран достъп да бъде сведен до минимум. АССГ се е позовал на събраните в първата първа инстанция гласни доказателства, според които ищецът е изживял много тежко разкриването на личните му данни, бил неспокоен за продължителен период от време, инсталирал СОТ в жилището си. АССГ е приел, че са налице и трите предпоставки за уважаване на иска - нарушение на администратора на лични данни на задължението му по чл.24 и 32 от Регламент (ЕС) 2016/679 и чл.59 ЗЗЛД за вземане на подходящи технически и организационни мерки от администратора на лични данни, за да гарантира обработване на данните в съответствие с регламент и закона чрез възможността за достъп без оторизация с електронен подпис и предоставен линк за изтегляне на документ при този достъп. Ищецът е преживял негативни емоции, представляващи неимуществени вреди и е налице причинна връзка между тях и незаконосъобразното бездействие на ответника по иска за вземане на подходящи технически и организационни мерки. АССГ на основание чл.52 от Закона за задълженията и договорите е определил обезщетение по справедливост в размер на 500 лева, като е отчел възрастта на ищеца, стандарта на живот и размера на минималната работна заплата към момента на узнаване на неправомерния достъп до личните данни. Обезщетението се дължи от момента на узнаване за неправомерния достъп - 15.07.2019 г. до датата на подаване на исковата молба -16.09.2019 г. С оглед изхода на спора са присъдени заплатените от ищеца разноски за държавна такса и адвокатско възнаграждение на оказалата безплатна правна помощ адв. Ю. в размер съобразен с уважената част от иска.

Решението е неправилно в частта, в която е посочен като правно основание на уважения иск чл.59 ЗЗЛД.

Както е указала и първата касационна инстанция тази разпоредба е неотносима към задълженията на НАП като администратор на лични данни, тъй като се намира в глава 8 ЗЗЛД, която регламентира правилата за защита на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване, и поради това решението следва да бъде отменено в частта, сочеща за правно основание на уважената част от иска чл.59 ЗЗЛД.

Решението е правилно като краен резултат в останалата обжалвана част.

Правилна и в съответствие със задължителните указания на първата касационна инстанция е преценката на АССГ за правна квалификация на иска по чл.82, пар.1 във връзка с пар.2 от Регламент (ЕС) 2016/679, както и за предмета на доказване. Твърдяното от касатора качество на НАП на административен орган е неточно, доколкото НАП не е колективен административен орган, а е администрация към административни органи. Тези твърдения обаче са правно ирелевантни при преценка на отговорността на НАП като администратор на лични данни и материалноправните предпоставки по чл.4 ЗОДВ и чл.256 АПК са неотносими към правен спор относно отговорността на администратор на лични данни по чл.82, пар.1 във връзка с пар.2 от Регламент (ЕС) 2016/679 за допуснати от него нарушения по л.24 и 32 от същия Регламент. Чл. 24 , пар.1 от Регламент (ЕС) 2016/679 изисква администраторът на лични данни да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с регламента и взетите от него технически мерки с оглед естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица. Чл. 32 Регламент (ЕС) 2016/679 изисква тези мерки да са в съответствие с достиженията на техническия прогрес и да осигуряват ниво на сигурност съобразно рисковете на обработването. Независимо от правилно разпределената тежест на доказване от АССГ, съответстваща и на приетото впоследствие с решение на СЕС от 14.12.2023 г. по дело С -340/21 и ангажираната компютърно - техническа експертиза НАП не е доказал техническите мерки, които е взел преди нерегламентирания достъп до личните данни на ищеца, нито че те са достатъчни съобразно рисковете в Интернет от обработването на личните данни. При условията на пълно насрещно доказване НАП не е установила факта, който е в нейна тежест на доказване, а именно, че взетите от нея мерки са подходящите и по този начин обосновано АССГ е приел за доказано твърдението на ищцата за бездействие от страна на НАП. В случая са установени и конкретни недостатъци на взетите технически мерки, способствали неоторизирания достъп на трето лице до личните данни на ищеца. Следователно администраторът не е възможно да се освободи от отговорност по смисъла на чл. 82, 3 от Общия регламент за защита на данните, защото не доказва, че по никакъв начин не е отговорен за събитието, причинило вредата, независимо, че се позовава на образуваното наказателно производство срещу третите лица, които са осъществили нерагламентирания достъп до личните данни на ищеца и останалите физически лица.

Извършените от НАП действия след неправомерния достъп до личните данни на Павлов на 15.09.2023 г. в изпълнение на изискванията на Регламент (ЕС) 2016/679 не санират предходното бездействие и не водят до освобождаване от отговорност за неимуществени вреди. Обосновани са изводите на АССГ за наличието на претърпени неимуществени вреди от ищеца, които според решение на СЕС от 14.12.2023 г. по дело С -340/21 могат да бъдат и само опасения за потенциална злоупотреба с личните му данни, и причинната връзка между тях и допуснатото от администратора на лични данни нарушение на Регламент (ЕС) 2016/679.

Решението като правилно като краен резултат в тази му част следва да бъде оставено в сила. С оглед изхода на делото пред ВАС не могат да се присъжда юрисконсултско възнаграждение на касатора. Няма правна възможност за присъждане на разноски за предходни съдебни инстанции на ответника по касация, който не е искал изменение на решението на втората първа инстанция, произнасяща се на основание чл.226 ал.3 АПК по разноските за предходните производство, в частта за разноските, нито го е обжалвал в тази му част. В настоящето производство ответникът по касация не е направил разноски и съответно касаторът няма да бъде осъден да заплати разноски, поради което липсва кумулативно необходима предпоставка за присъждане на адвокатско възнаграждение по чл.38, ал.2 ЗЗД на оказалата безплатна адвокатска помощ адв. Ю., независимо от изхода на делото.

С оглед изложеното и на основание чл.221, ал.2 АПК Върховният административен съд, пето отделение

РЕШИ:

ОТМЕНЯ частта от решение №1591/13.03.2023 г. по адм. дело №5048/2021 г. на Административен съд - София - град, с която поради неизпълнение на задължение по чл.59, ал.1 от Закона за защита на личните данни е осъдена Национална агенция за приходите да заплати обезщетение на В. П..

ОСТАВЯ В СИЛА решението в останалите обжалвани части, с които е осъдена Национална агенция за приходите, по иска с правно основание по чл.79, пар.1 и чл.82, пар.1 от Общия регламент относно защитата на данните(ОРЗД) да заплати на В. П., с адрес в гр. София, сума в в размер на 500 (петстотин) лева, представляваща обезщетение за неимуществени вреди за периода 15.07.2019 г. - 16.09.2019 г. , настъпили от бездействие от страна на НАП, изразяващо се в неизпълнение в достатъчна степен на задължения по по чл.24 и чл.32 ОРЗД, да гарантира достатъчно ниво на сигурност на обработваните от него лични данни на В. П., ведно със законната лихва върху тази сума, считано от 16.09.2019 г. до окончателното й изплащане; Национална агенция за приходите е осъдена да заплати 10 лева разноски на В. П. и 200 лева адвокатско възнаграждение на адв. С. Ю..

Решението е окончателно и не подлежи на обжалване.

Вярно с оригинала,

Председател:

/п/ ЙОВКА ДРАЖЕВА

секретар:

Членове:

/п/ А. Д. п/ ИЛИАНА СЛАВОВСКА