Върховният административен съд на Р. Б. - Трето отделение, в съдебно заседание на десети юни в състав: ПРЕДСЕДАТЕЛ:П. Г. ЧЛЕНОВЕ:Л. П. . КИРОВ при секретар С. М. и с участието на прокурора Нели Христозоваизслуша докладваното от съдиятаЛ. П. по адм. дело № 11279/2020

Производството е по реда на чл. 208 от Административнопроцесуалния кодекс (АПК).

Образувано е по касационна жалба, подадена от В. Ч. чрез адвокат С. Ю. против решение № 4767/02.09.2020 г. по адм. дело № 11180/2019 г. на Административен съд - София-град. С него са отхвърлени, като неоснователни обективно и субективно съединените искове с правно основание чл. 1, ал. 1 от ЗОДОВ против Националната агенция за приходите /НАП/ за присъждане на обезщетение за претърпени неимуществени вреди в размер на 1 000 лева и законната лихва върху претендираното обезщетение, считано от 15.07.2019г. до окончателното изплащане на вземанията.

В касационната жалба се поддържа становище, че обжалваното решение е неправилно поради постановяването му при наличието на всички касационни основания по чл. 209, т. 3 АПК – допуснати от съда съществени нарушения на съдопроизводствените правила, нарушение на материалния закон и поради неговата необоснованост. Твърди се, че в процеса не е установено предписаните от закона за мерки за защита на личните данни да са конкретно изпълнявани. Сочи се, че съдът неправилно е приел за недоказана претърпяната от ищцата вреда. Претендират се и съдебни разноски за двете съдебни инстанции.

В съдебното заседание пред настоящия съд не се явява и не се представлява.

Ответната страна - Националната агенция за приходите, изразява чрез юрисконсулт Г. И. становище за неоснователност на касационната жалба. Счита за правилни изводите на първоинстанционния съд при отхвърляне на исковата претенция за вреди. Сочи, че представените и приети по делото доказателства безспорно доказват полагането на необходимата грижа и прилагане на ефективни мерки за защита сигурността на информацията. В подкрепа на твърденията си допълнително представя 1. Писмо и Протокол № ЕП-2339/12.12.2018 г. от председателя на ДАЕУ до изпълнителния директор на НАП, удостоверяващи извършена проверка в НАП, съгласно чл. 60 от ЗЕУ; Писмо № ЕП-2339#1/19.12.2018 г. от изпълнителния директор на НАП до председателя на ДАЕУ, с което се изисква разяснение и конкретизиране на направените препоръки с писмото и протокола по т.1. Изтъква, че ищцата не е ангажирала доказателства в производството в подкрепата на твърденията за претърпени неимуществени вреди и в този смисъл претенцията ѝ се явява недоказана. По същество моли оставяне в сила на съдебното решение. Претендира юрисконсултско възнаграждение.

В съдебно заседание оспорва касационната жалба, като поддържа подадения отговор. Не сочи допълнителни доказателства.

Участвалият в настоящото производство прокурор от Върховната административна прокуратура дава заключение за неоснователност на касационната жалба. Счита, че съдът правилно е приел за неосъществени всички предпоставки за реализиране на отговорността по чл. 1, ал. 1 от ЗОДОВ. Липсвали са доказателства за реално претърпени неимуществени вреди.

Настоящата инстанция като взе предвид становището на страните и извърши проверка на обжалваното решение на посочените касационни основания, съгласно разпоредбата на чл. 218, ал. 1 от АПК, и след служебна проверка за допустимостта, валидността и съответствието на решението с материалния закон по реда на чл. 218, ал. 2 от АПК, намира за установено от фактическа и правна страна следното:

Касационната жалба е подадена от надлежна страна в срока по чл. 211, ал. 1 АПК и е процесуално допустима, а разгледана по същество е основателна, но по различни от изложените в нея аргументи.

Производството пред административния съд е образувано по искова молба, подадена В. Ч., с която срещу Националната агенция за приходите /НАП/ е предявен иск, заявен с правно основание чл.203 АПК, вр. чл.82, ал.1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО /Общ регламент относно защитата на данните/ /GDPR/ /по-надолу наричан за краткост Регламентът или Общият регламент/, вр. чл.39, ал.2 ЗЗЛД, вр. чл.1, ал.1 ЗОДОВ, за присъждане на сумата в размер на 1 000 лева, представляваща обезщетение на ищцата за причинените й неимуществени вреди, изразяващи се в притеснения, страх и опасения за възможна злоупотреба с личните му данни, станали достъпни вследствие т. нар. „хакерска атака“, при която от електронните масиви на НАП неправомерно е била изтеглена информация в голям обем, съдържаща множество лични данни на български граждани. Отговорността на НАП е ангажирана в качеството на администратор на лични данни, с твърдение, че е допуснала нарушения на чл.24 и чл.32 Регламент (ЕС) 2016/679 (GDPR) и чл.59, ал.1 ЗЗЛД, нарушила е и разпоредбите на чл.45, ал.1, т.6 ЗЗЛД като не е обработила личните данни по начин, който да гарантира подходящо ниво на сигурност като се приложат подходящи технологии и организационни мерки. Наведено е и твърдение за нарушения на чл.64 ЗЗЛД, т. е. не е изпълнено задължението за извършване на оценка на въздействието на предвидените операции по обработване на личните данни върху тяхната защита; чл.66, ал.1 и, ал. 2 ЗЗЛД; чл.67 и чл.68 ЗЗЛД. Претендира се и законната лихва върху сумата на обезщетението, считано от 15.07.2019г. до окончателното му изплащане.

С обжалваното решение съдът от първата инстанция е отхвърлил предявения от В. Ч. срещу НАП иск, с който се претендира на основание чл. 1, ал. 1 ЗОДОВ сума в размер на 1 000 лева, ведно със законната лихва върху тази сума, считано от 15.07.2021 г. до настоящия момент и сторените в съдебното производство разноски.

Въз основа на събрания доказателствен материал, Административен съд – София град е изложил приетите за установени факти и е направил правните си изводи. Приел е за безспорно установено от фактическа страна, че поради нерегламентиран достъп, в следствие на умишлени престъпни действия, осъществени на 15.07.2019 г., от страна на неизвестно лице е изтекла информация от информационните масиви на НАП съдържаща лични данни на голям брой български граждани, поради което. Извършил е преглед на предприетите мерки за защита на сигурността на информацията в НАП на база представените от ответника указания, вътрешни правила, методики, политики, инструкции. Посочил е, че от страна на ищцата не са ангажирани доказателства, свидетелстващи за реално претърпени на вреди.

От правна страна Административният съд е приел, че искът е с правно основание чл. 1, ал. 1 ЗОДОВ за присъждане на ищцата на обезщетение за претърпени неимуществени вреди, вследствие на незаконосъобразно бездействие от страна на ответника, изразяващо се в неизпълнение в достатъчна степен на задълженията по чл. 59 ЗЗЛД и по чл. 24 и чл. 32 от Регламента. Квалифицирайки иска като такъв по чл. 1, ал. 1 от ЗОДОВ е посочил, че основателността му предполага кумулативното наличие на следните предпоставки: незаконосъобразно бездействие на орган или длъжностно лице на държавата, при или по повод изпълнение на административна дейност; вреда от такова бездействие и причинна връзка /пряка и непосредствена/между незаконосъобразното бездействие и настъпилия вредоносен резултат.

Въз основата на установеното от фактическа страна съдът е приел, че в случая липсват и трите предпоставки на чл. 1, ал. 1 от ЗОДОВ, за да бъде ангажирана отговорността на държавата, в лицето на Националната агенция за приходите.

Решението е неправилно. Постановено е при съществено нарушение на процесуалните правила довели до неговата необоснованост, поради което ще следва да се отмени, а делото – да се върне за ново разглеждане от друг състав на същия съд по следните съображения:

Административният съд правилно е разгледал делото по реда, предвиден в националното право за реализиране отговорността на държавата за причинени вреди, но е дал неточна правна квалификация на предявения иск, в резултат на което се е стигнало до неточни указания по доказателствената тежест, които са препятствали установяването на относимите към спора факти.

Предмет на делото е претенция за изплащане на обезщетение за неимуществени вреди в размер на 1 000 лв., причинени от административен деликт и по-точно незаконосъобразното бездействие на Националната агенция за приходите.

Относно правната рамка, в която се развива спора трябва да имаме предвид следното:

Съгласно чл. 4, ал. 2 от КРБ, Р. България участва в изграждането и развитието на Европейския съюз, а по силата на чл. 5, ал. 4 от същата международните договори, ратифицирани по конституционен ред, обнародвани и влезли в сила за Р. Б. са част от вътрешното право на страната и имат предимство пред противоречащите им норми на националното законодателство.

Европейският съюз полага целенасочени и последователни усилия за хармонизиране на националните правни системи по отношение на защитата и администрирането на личните данни. Основната цел е уеднаквяване на прилаганите стандарти за защита на основните права и свободи на физическите лица досежно дейностите по обработване на данни и осигуряване свободното движение на лични данни между държавите членки. За да се гарантира необходимото високо равнище защитата на физическите лица, както и за улесняване на движението на лични данни в рамките на Съюза, степента на защита на правата и свободите на физическите лица по отношение на тези данни следва да бъде еднакво във всички държави членки. Нужно е и осигуряването в рамките на ЕС на последователно и еднозначно прилагане на общите правила за защита на основните права и свободи на физическите лица, свързани с администрирането на лични данни.

Отчитайки обаче необходимостта, за изпълнение на задача от обществен интерес или при упражняване на официалните правомощия, предоставени на администратора на лични данни, ЕС дава възможност на държавите членки да запазят или да въведат национални разпоредби, които да уточняват по-нататък реда за прилагане на въведените с Регламента правила. Във връзка с това Регламентът оставя и известна свобода на действие на държавите членки да конкретизират съдържащите се в него правила, включително по отношение на обработването на специални категории лични данни („чувствителни данни“). Така, наред с общоевропейските актове относно защитата на данните, държавите членки имат и специално законодателство, какъвто в България се явява ЗЗЛД. Националният ни закон адаптира прилагането на разпоредбите на Регламента в области, които се нуждаят от по-специфични разпоредби.

В контекста на изложеното административният съд неправилно и в нарушение на процесуалния закон е квалифицирал образуваното пред него производство като такова по реда на чл. 1, ал. 1 ЗОДОВ. Макар да е вярно, че не се изключва националното право на държавите членки на ЕС, което адаптира прилагането на разпоредбите на Регламента, по аргумент от чл. 288 от Договора за Европейския съюз, по отношение на защита на личните данни ще се приложи в цялост Регламентът. Предявения иск следва да намери основанието си именно в неговия чл. 82 § 1, който предвижда, че всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на Регламента има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.

Стъпвайки отново на чл. 82 § 6 от Регламента, съдебните производства във връзка с упражняването на правото на обезщетение се образуват пред съдилища, компетентни съгласно правото на държавата членка, посочена в член 79, параграф 2 от същия.

На национално ниво, обществените отношения, свързани със защитата на правата на физическите лица при обработване на личните им данни, доколкото същите не са уредени в Регламента намират уредбата си в ЗЗЛД. Последният, в своя чл. 39, ал. 1 препращайки към разпоредбите на АПК, дава процесуалния ред за реализиране на отговорността на всички администратори на лични данни, независимо от правосубектността им и притежаваните качества. Съгласно чл. 203 АПК исковете за обезщетения за вреди, причинени на граждани или юридически лица от незаконосъобразни актове, действия или бездействия на административни органи и длъжностни лица, се разглеждат по реда на Глава единадесета от АПК. Именно това е релевантния правен ред за разглеждане на исково производство с правно основание чл. 82 § 1 от Регламента. Фактическият състав, при осъществяването на който възниква правото на обезщетение за вреди, произтичащо пряко от член 82, § 1 от Общия регламент, включва претърпени материални или нематериални вреди настъпили в причинна връзка с (в резултат на) нарушение на регламента. В конкретния случай този фактически състав на практика съвпада с изискуемия за възникване право на обезщетение по чл. 1 ЗОДОВ - незаконосъобразно бездействие (в случая), вреда и причинна връзка между тях. Това обаче не означава, че искът е следвало да се квалифицира като такъв с правно основание чл. 1, ал. 1 ЗОДОВ, както е сторил това първоинстанционният съд.

Първоинстанционният съд не е изпълнил едно от основните си задължения свързани с принципите на служебното начало (чл. 9АПК) и установяване на истината (чл. 7 АПК). Погрешно квалифициране на въведените по делото факти са довели до съществени нарушения на съдопроизводствените правила. На страните с определение от 28.04.2020 г. са дадени неточни указания относно фактите, които подлежат на доказване от всяка от тях процеса, в резултат на което делото е останало непопълнено с релевантни за спора факти. Допуснатите процесуални нарушения препятстват преценката относно наличието или липсата на предпоставки за ангажиране на отговорността на НАП.

За да се ангажира отговорността по отношение на ответника - Националната агенция за приходите на основание чл. 82 от О. Р. по делото следва да се установи кумулативното наличие на следните елементи от фактическия състав на цитираната разпоредба: наличие на материална или нематериална вреда; доказано нарушение на някое от задълженията на администратора на данни по Общия регламент; причинна връзка между претърпяната вреда и нарушението на Регламента.

Неправилно административният съд е указал на ищеца, че следва да докаже наличието на незаконосъобразно бездействие от страна на ответника, изразяващо се в неполагане на необходимата грижа по опазване на личните данни, като на практика му е прехвърлил цялата доказателствена тежест във връзка с установяване на всички релевантни за спора факти. Напротив, именно администраторът на лични данни, в лицето на Националната агенция за приходите следва да установи, че са били приложени всички подходящи мерки за технологична защита като докаже изпълнение на задълженията, които Регламентът създава.

Изпълнението на задълженията за опазване на личните данни предполага въвеждането на ефективни процедури и механизми, които да са насочени към онези видове операции по обработване, които има вероятност да доведат до висок риск за правата и свободите на физическите лица поради своето естество, обхват, контекст и цели. Предвид предмета на делото, основният спорен въпрос е, дали са предприети цитираните или други подходящи мерки, които да доведат до подсигуряване на достатъчно ниво на защита. След като е налице задължение за администратора на лични данни да въведе подобни подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването на личните данни се извършва при спазване на чл. 24, § 1 §2 и чл. 32 от Регламента, тежестта на доказване, че не е нарушил това свое задължение лежи именно върху него. В тази връзка следва да се преценят и допълнително представените пред настоящата инстанция от касационния ответник доказателства - 1. Писмо и Протокол от 12.12.2018 г. от председателя на ДАЕУ до изпълнителния директор на НАП, удостоверяващи извършена проверка в НАП, съгласно чл. 60 от ЗЕУ; Писмо № ЕП-2339#1/19.12.2018 г. от изпълнителния директор на НАП до председателя на ДАЕУ, с което се изисква разяснение и конкретизиране на направените препоръки с писмото и протокола по т.1.

Въпросът за видовете подходящи и необходими технически и организационни мерки не е правен и обсъждането му би могло да стане едва след изслушване на специалист в областта чрез назначаване на съдебнотехническа експертиза и изготвянето на мотивирано заключение.

За пълнота следва да се посочи, че всички останали въпроси относно наличието на съпричиняване във връзка с евентуалното освобождаване от отговорност на ответника, съгласно правилата на Регламента, също трябва да бъдат отчетени при новото разглеждане на делото.

По изложените съображения, съдебното решение, предмет на проверка, следва да бъде отменено, делото да бъде върнато за ново разглеждане от друг състав на АССГ. Предявеният от В. Ч. иск следва да бъде квалифициран като такъв по чл. 82 от Регламента, а доказателствената тежест в процеса - разпределена при съобразяване на мотивите на настоящото решение.

С оглед резултата от касационното обжалване разноски на страните за настоящата инстанция не следва да се присъждат. Всички направени в производството разноски, включително и тези пред касационната инстанция, върнала делото за ново разглеждане, следва да се съобразят от съда, който се произнася по съществото на спора, при новото разглеждане на делото, на основание чл. 226, ал. 3 АПК..

Воден от горното и на основание чл. 221, ал. 2 във вр. с чл. 222, ал. 1, т. 1 от АПК, Върховният административен съд - Трето отделение,

РЕШИ:

ОТМЕНЯ решение № 4767/02.09.2020 г. по адм. дело № 11180/2019 г. на Административен съд - София-град, Второ отделение, 28 състав.

ВРЪЩА делото на същия съд за ново разглеждане от друг състав.

Решението не подлежи на обжалване.

Вярно с оригинала, ПРЕДСЕДАТЕЛ:/п/ Панайот Генков

секретар: ЧЛЕНОВЕ:/п/ Любка Петрова

/п/ Юлиян Киров