Решение №5009/22.04.2024 по адм. д. №1037/2021 на ВАС, V о., докладвано от председателя Йовка Дражева

РЕШЕНИЕ № 5009 София, 22.04.2024 г. В ИМЕТО НА НАРОДА

Върховният административен съд на Р. Б. - Пето отделение, в съдебно заседание на шести март две хиляди двадесет и четвърта година в състав: Председател: Й. Д. Членове: ВИОЛЕТА ГЛ. Н. при секретар Н. А. и с участието на прокурора А. Г. изслуша докладваното от председателя Й. Д. по административно дело № 1037/2021 г. Производството е по чл. 208 и сл. от АПК.

Образувано е по касационната жалба на С. С. против решение № 6800/ 27.11.2020 г. по адм. д.№ 11217/2019 г. по описа на Административен съд София - град. С касационната жалба са наведени доводи за неправилност на решението поради необоснованост, материална незаконосъобразност и съществено нарушение на съдопроизводствените правила. Твърди, че разпределението на доказателствената тежест е неправилно, защото ищецът не е длъжен да доказва незаконно бездействие от ответника, което представлява отрицателен факт. Позовава се на неизпълнение на чл. 59, ал.1, чл. 64 и чл. 66, ал. 2 от ЗЗЛД от ответника относно прилагане на подходящи технически и организационни мерки по чл. 24 и чл. 32 от Регламент (ЕО/ 2016/679 / ОРЗД), което е нарушава сигурността на личните данни по смисъла на пар. 1, т. 10 от ДР на ЗЗЛД. Задължение на НАП е да докаже, че мерките са ефективни и са подходящи за защита на личните данни. Твърди, че притесненията от възможни злоупотреби не са хипотетични, а реални неимуществени вреди. Без правно значение за случая е точно какви лични данни са изтекли. Първоначално НАП е предоставила възможност за проверка със SMS дали има разкриване на лични данни спрямо конкретния субект, като не е давала информация за вида и обема на разкритите лични данни. Твърди, че ищецът не може да бъде отговорен за начина, по който ответникът предоставя възможност за проверка. НАП е въвела способ за по-конкретна справка, но жалбоподателката твърди, че за нея не съществува задължение да направи такава, нито е имала желание, поради загубено доверие в държавна институция. Относно вредите следва да се прилага практиката на ВКС - решение по гр. д.№ 5124/ 2015 г., трето отд, което е в смисъл, че за обичайните неимуществени вреди, които не се описват в исковата молба, не са нужни формални, външни доказателства за установяване на тези обичайни вреди, "тъй като те настъпват винаги в резултат на наказателно производство", а размерът се определя според стандарта на живот (гр. д.№ 288/2015 г. на ВКС, трето отд.) Иска отмяна на решението и уважаване на иска в пълен размер от 1000 лв., както и присъждане на направените разноски. В съдебно заседание преди спиране на съдебното производство до произнасяне по С-340/2021 г. СЕС и след възобновяване на същото, касаторът не се явява и не изпраща процесуален представител.

Ответната страна Национална агенция за приходите оспорва касационната жалба като неоснователна с развити подробни съображения в писмения отговор. Твърди, че тежестта на доказване правилно е разпределена, предвид ТР № 6/ 15.07.2014 г. по т. д. №6/2013 г. на ОСГК на ВКС. Представени са доказателства за предприети редица технически и организационни мерки за защита при обработването на лични данни, които са обсъдени от съда и следователно няма бездействие. Ищцата не е доказала факта да са изтекли нейни лични данни, нито какви точно лични данни. НАП е предоставила услуга по подадено заявление по чл. 37б от ЗЗЛД да даде информация за вида на личните данни, но жалбоподателката не се е възползвала. Остават недоказани и твърденията за притеснения от "физически нападения, заплахи, изнудвания, отвличания и т. н." Ако лицето не знае и не е наясно какви негови лични данни са достъпени от трети лица, от това незнание не може да се породят негативни емоции. Върху ищеца лежи доказателствената тежест да установи съществуването на факти и обстоятелства, от които черпи благоприятни за себе си последици. Иска оставяне в сила на решението и претендира присъждане на юрисконсултско възнаграждение по чл. 143, ал. 4 АПК вр. с чл. 78, ал. 8 от ГПК.

Представителят на Върховната прокуратура в последното съдебно заседание дава заключение за основателност на касационната жалба, тъй като администраторът на лични данни не е доказал, че неразрешеният достъп до лични данни не може по никакъв начин да му бъде вменен по чл. 82, пар. 1 и 2 от Регламент № 2016/679 .

Върховният административен съд, пето отделение, като взе предвид, че касационната жалба е подадена в срока по чл. 211 от АПК от лице, за което съдебното решение е неблагоприятно, намира същата за допустима. Разгледана по същество е неоснователна по следните съображения:

За да отхвърли иска на С. С. против НАП с правно основание чл. 82, ал.1 от Регламент /ЕО/ 2016/679 вр. с чл. 39, ал. 2 от ЗЗЛД, вр. с чл. 1 от ЗОДОВ за неизпълнение в достатъчна степен на задължение на ответника по чл. 59, ал. 1 от ЗЗЛД, чл. 24 и чл. 32 от Регламент №2016/679 на ЕП и Съвета с цена 1000 лв. като обезщетение за претърпени от незаконосъобразно бездействие на НАП неимуществени вреди, изразяващи се в притеснения, страх от възможни злоупотреби с лични данни поради достъпването им от трети лица, съдът излага следните съображения:

1.В тежест на ищцата е да докаже какво е задължението за извършване на определени действия от страна на НАП, произтичащо от конкретен нормативен акт, както и всички факти, произтичащи от твърдяното задължение, т. е. в какво се изразява противоправното поведение, довело до неоторизиран достъп до лични данни чрез "хакерска атака" на 15.07.2019 г. от трети лица. Такива твърдения не са наведени от ищцата с цел установяване и доказването им. Неоснователно е твърдението на ищцата, че изтичането на лични данни презумира бездействие от страна на администратора на лични данни да приложи подходящи технически и организационни мерки за осигуряване защитата на личните данни, така че по никакъв начин, от никого и с никакви средства данните да не могат да бъдат достъпени. Представените доказателства от НАП доказват извършени действия с оглед защита на личните данни. Ищцата не е доказала, че тези писмени доказателства не установяват изпълнение на мерките, въпреки разпределената доказателствена тежест.

2. Недоказано е твърдението за настъпили неимуществени вреди. Представеният скрийншот от кратко текстово съобщение от 26.07.2019 г. от НАП, че по заявка 5122 има неправомерно разкрити лични данни, не носи информация за телефонния номер, на който е получено съобщението, нито кой е направил заявката и следователно няма индивидуализация на търсещия информация. Свидетелката, която е разпитана, свидетелства за преживени притеснения от ищцата, защото имала голяма сума пари след продажба на апартамент. Тази свидетелка узнала от ищцата, че нейни данни са изтекли, но не знае какви, нито дали са правени други справки в НАП за вида и обема на изтеклите лични данни. Съдът приема, че няма доказателства ищцата да е предприела действия за установяване на кои конкретни нейни лични данни са станали обект на посегателство, нито дали и как установеният неправомерен достъп до базата данни на НАП се е отразил върху живота на ищцата. Посочва също, че няма реално настъпили неимуществени вреди, защото притесненията, стресът не трябва да са хипотетични. Човек, който се притеснява би направил всички възможно да узнае какви точно негови лични данни са разкрити, а в случая ищцата не е проверила това и това внася съмнение за степента на нейната тревожност и ангажираност.

3. Не е обсъждана причинна връзка, поради недоказаност на първите два елемента от фактическия състав. По изложените съображения е отхвърлен иск за присъждане на обезщетение за претърпени неимуществени вреди в размер на 1000 лева, ведно с искането за присъждане на лихви.

Решението е правилно и следва да бъде оставено в сила с промени в мотивите на съдебния акт.

По настоящото дело е направено преюдициално запитване до Съда на Европейския съюз с определение от 14.05.2021 г. След постановяване на решение от 14.12.2023 г. по С-340/21 г., съдебното производство е възобновено.

Правното основание на иска е чл. 82, пар.1 и 2 от Регламент №2016/679. Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. От съображение 146 от ОРЗД става ясно, че чл. 82 от този регламент въвежда собствен режим на отговорност в областта на защитата на личните данни. В чл. 82, пар. 2 от ОРЗД са посочени трите необходими условия, за да възникне право на обезщетение: обработване на лични данни в нарушение на разпоредбите на този регламент, вреди, нанесени на субекта на данните и причинно-следствена връзка между това незаконосъобразно обработване и вредите. ОРЗД не препраща към правото на държавите членки относно смисъла и понятията на термините, съдържащи се в чл. 82 от ОРЗД, по-специално до понятията "материални и нематериални вреди", "обезщетение за нанесени вреди" и за целите на прилагането на посочения регламент тези термини трябва да се разглеждат като самостоятелни понятия на правото на Съюза, които трябва да се тълкуват еднакво във всички държави членки (виж Решение от 4 май 2023 г. по С-300/21 на СЕС).

Самото нарушение на разпоредбите на този регламент не е достатъчно, за да се приеме, че приложените технически и организационни мерки не са подходящи по смисъла на членове 24 и 32 и да бъде присъдено право на обезщетение. Това означава, че изтичането на лични данни в публичното пространство в резултат на неправомерно поведение на трети лица не презумираq приложените технически и организационни мерки за защита на лични данни по членове 24 и 32 от ОРЗД са неподходящи. Третите лица са различни от тези, които имат право да обработват лични данни под прякото ръководство на администратора или обработващия лични данни. Администраторът обаче не се освобождава от отговорност само поради факта, че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от "трета страна" по смисъла на чл. 4, т. 10 от ОРЗД. Принципът на отчетност на администратора, закрепен в чл. 5, пар. 2 и конкретизиран в чл. 24 от ОРЗД, трябва да се тълкува в смисъл, че в исково производство за обезщетение по чл.82 от този регламент администраторът на лични данни носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурността по чл. 32 от посочения регламент са подходящи (Решение от 14.12.2023 г. по С-340/21 на СЕС. по С-340/21).

В случая първоинстанционният съд неправилно е разпределил тежестта на доказване относно първия елемент от фактическия състав за ангажиране отговорността на администратора на лични данни, като е указал на субекта на лични данни да представи доказателства. Спорът по делото не е дали администраторът на лични данни е извършил действия или е бездействал при осъществяване защитата на личните данни, а дали избраните и приложени от него организационни и технически мерки са подходящи, за да препятстват неоторизиран достъп до лични данни и тяхното незаконно обработване. По настоящото дело обаче допуснатото нарушение на съдопроизводствените правила не се отразява на резултата по делото.

Не е доказан вторият елемент от фактическия състав на отговорността. Понятието "вреди" се тълкува в по-широк смисъл в контекста на съдебната практика на СЕС по начин, който отразява напълно целите на регламента, поради което обезщетението за нематериални вреди не се поставя в зависимост от определен праг на значимост на вредите. Пълното и действително обезщетение по съображение 146 от ОРЗД е цел на този правен институт, без да е необходимо за целите на такова пълно обезщетяване да се налага изплащане на наказателно обезщетение. Опасенията, които субект на лични данни изпитва, вследствие на нарушение на този регламент, от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват "нематериална вреда" по смисъла на чл. 82 от Регламент 2016/679 / виж решение по С-340/21 на СЕС/. Тежестта на доказване е на ищцата, съгласно чл. 154, ал.1 от ГПК вр. с чл.144 от АПК.

В исковата молба ищцата посочва, че вследствие на публично оповестените й лични данни е претърпяла вреди, които се изразявали в притеснение да не бъде отчуждено имуществото й, да бъде изтеглен влога й или кредит от нейно име, да бъде променено гражданското й състояние, да бъде открадната самоличността й и др. Твърди още, че изтеклите лични данни са имена, ЕГН, документ за самоличност, телефонни номера, информация за доходи, адрес, на който живее със семейството си. С разпореждане от 19.06.2020 г. на ищцата е указано да посочи и докаже кои нейни лични данни са изтекли и в какво се изразяват вредните последици. С молба от 25 юни 2020 г. ищцата описва вредите като опасения и страх от злоупотреба с личните й данни и повтаря вече изложеното в исковата молба. Представя удостоверение, че няма висящо дело пред КЗЛД. С разпореждане от 26.06.2020 г. съдът е указал на страните, че могат да сочат доказателства за установяване на факти и обстоятелства, от които черпят благоприятни за тях правни последици, като ищецът носи доказателствена тежест да докаже вредата в правната му сфера. НАП в отговор на исковата молба от 7.07.2020 г. оспорва иска и твърдението, че лични данни на ищцата са изтекли. В справките, които НАП e изпращала със SMS по заявка на телефон не се конкретизират личните данни, които са изтекли. Затова НАП е организирала предоставянето на услуга в специално разработен сайт, чрез който по искане на субекта на лични данни уведомява засегнатите лица за типа на личните данни, които са били неправомерно разпространени. Посочва също, че ищцата не е потърсила информация от НАП и съответно не доказва кои нейни лични данни са станали публично известни, с което да са застрашени права и законни интереси. Освен това в НАП няма данни лицето да е поискало по чл. 37б от ЗЗЛД (нов – ДВ, бр. 17 от 2019) предоставяне на информация относно наличието на неоторизиран достъп до конкретни негови лични данни. Следователно по делото е имало спор дали и какви лични данни на ищцата са достъпени неправомерно.

Ищцата е ангажирала само гласни доказателства - свидетелката А. М.. Тя свидетелства, че от ищцата знае, че същата е проверила чрез SMS изтичането на нейни лични данни, но това не е станало пред свидетелката. Свидетелката не знае какви точно лични данни са достъпени. Маринкова свидетелства за притесненията на ищцата, че има пари от продажбата на апартамент, които могат да бъдат неправомерно изтеглени от банковата й сметка. И с касационната жалба С. С. не доказва какви нейни лични данни са достъпени неправомерно. Твърди, че не е длъжна да прави това и признава, че не е направила справка, защото е изгубила доверие в НАП. Защитната теза е, че дори да не е знаела точния обем на разкритите лични данни, това не означава, че не е претърпяла вреди.

Настоящата инстанция споделя правните изводи на съда относно недоказаност на втория елемент от фактическия състав на отговорността по чл. 82 от ОРЗД. Представената снимка на SMS нито доказва заявителят до НАП, нито телефона, на който е получено съобщението, нито вида на разпространените лични данни. За да може да се приложи принципа на равностойност и ефективност (виж решение по С-300/21) ищцата следва да посочи и докаже какви нейни лични данни са публично оповестени, за да може да се прецени притеснението и страха като неимуществени вреди и да се определи адекватно парично обезщетение. Разпитаният свидетел нито е виждал публично оповестени лични данни на ищцата, нито е присъствал на получаване на съобщение от НАП от ищцата, нито знае какъв вид лични данни са изтекли. Липсата на доказателства в посочения смисъл, които касационната жалбоподателка признава, че не е ангажирала, имат за правна последица недоказаност на втория елемент от фактическия състав на отговорността. Тъй като трите елемента са кумулативно дадени в чл.82 от ОРЗД, липсата на доказаност на който и да е от тях има за правна последица неоснователност на иска, в какъвто смисъл е решението на съда. Съдът не е допуснал съществено нарушение на съдопроизводствените правила спрямо ищцата, защото тежестта на доказване правилно е разпределена и дадените й указания по отношение на втория елемент от фактическия състав са правилни. Вредите не се презумират и съдебната практика на ВКС е неотносима към спора. Предвид принципа на процесуална автономия във вътрешния правов ред на всяка държава членка, настоящият състав приема, че правилата за доказателствена тежест на иск по чл. 82 от ОРЗД не са по-неблагоприятни от правилата, които уреждат подобни вътрешноправни положения за други искове и следователно е спазен принципа на равностойност. Освен това правилото на чл.154, ал.1 от ГПК, всяко страна да установява фактите, на които основава своите искания и възражения, не прави практически невъзможно или прекомерно трудно упражняването на правата, предоставени от правото на Съюза и следователно е спазен принципа на ефективност.

Правилно е отхвърлен предявения иск на правно основание чл. 59, ал.1 от ЗЗЛД. Тази правна норма е неотносима към задълженията на НАП като администратор на лични данни, защото се намира в Глава осма от ЗЗЛД "Правила за защита на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване" и транспонира изискванията на Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г.

Решението следва да се остави в сила, като се вземат предвид мотивите в настоящото съдебно решение. Предвид изхода на спора е основателна претенцията на процесуалния представител на НАП да бъде присъдено юрисконсултско възнаграждение. Размерът на възнаграждението с правно основание чл. 78, ал. 8 вр. с чл. 37 от ЗПП и чл. 24 от Наредбата за заплащане на правната помощ, предвид правната и фактическа сложност на делото, представеният подробен отговор на касационна жалба и процесуално представителство в две открити съдебни заседания, следва да се бъде определена в размер на 200 лв.

На основание чл.221, ал.2 от АПК, Върховният административен съд, пето отделение

РЕШИ:

ОСТАВЯ В СИЛА решение № 6800/27.11.2020 г. по адм. д. 11217/2019 г. по описа на Административен съд София - град.

ОСЪЖДА С. С., гр. София, ж. к. "Връбница, [адрес], да заплати на НАЦИОНАЛНАТА АГЕНЦИЯ ЗЗД ПРИХОДИТЕ, гр. СОФИЯ, направените по делото разноски за процесуално представителство от юрисконсулт в размер на 200 (двеста) лв., представляващи юрисконсултско възнаграждение.

Решението е окончателно.

Вярно с оригинала,

Председател:

/п/ ЙОВКА ДРАЖЕВА

секретар:

Членове:

/п/ В. Г. п/ МАРИЯ НИКОЛОВА

Дело
  • Йовка Дражева - председател и докладчик
  • Мария Николова - член
  • Виолета Главинова - член
Дело: 1037/2021
Вид дело: Касационно административно дело
Отделение: Пето отделение
Страни:
Достъпно за абонати.
Цитирани ЮЛ:
Достъпно за абонати.
Ключови думи
право на есдоказателствена тежестинформационно праволични данниотговорност за вреди причинени от администрацията
Цитирани разпоредби
чл. 208 АПКчл. 66, ал. 2 ЗЗЛДчл. 24 Регламент (ЕС) 2016/679§ 1, т. 10 ЗЗЛДчл. 37б ЗЗЛДчл. 143, ал. 4 АПКчл. 78, ал. 8 ГПКчл. 82 Регламент (ЕС) 2016/679чл. 211 АПКчл. 39, ал. 2 ЗЗЛДчл. 1 ЗОДОВчл. 82, ал. 1 Регламент (ЕС) 2016/679чл. 59, ал. 1 ЗЗЛДчл. 4, т. 10 Регламент (ЕС) 2016/679чл. 154, ал. 1 ГПКчл. 144 АПКчл. 37 ЗППчл. 221, ал. 2 АПК
Цитирани тълкувателни актове
ТЪЛКУВАТЕЛНО РЕШЕНИЕ № 6 ОТ 11.01.2013 Г. ПО ТЪЛК. Д. № 6/2012 Г., ОСГК НА ВКС
Цитирана практика на ЕС
Решение от 14.12.2023 по дело C-0340/2021 на СЕС Решение от 04.05.2023 по дело C-0300/2021 на СЕС
Информация за акта
Маркиране
Зареждане ...
Зареждане...