Производството е по чл. 208 и сл. от Административнопроцесуалния кодекс /АПК/.

Образувано е по касационна жалба от С. И. против решение № 4644/18.08.2020 г. по адм. д. № 11327/2019 г. на Административен съд – София град.

Касаторът, чрез процесуалния си представител, твърди, че решението е неправилно, поради нарушение на материалния закон, съществени нарушения на съдопроизводствените правила и необоснованост. Подържа, че доказателствената тежест не е правилно разпределена от съда. Изтъква, че ответникът не е изпълнил задължения, предвидени в закон, като именно той следва да доказва изпълнението на тези задължения. Като неправилна се оспорва преценката на съда за предприети технически и организационни мерки за осигуряване ефективна защита на данните, съдържащи се в информационните масиви на НАП. Неправилна била и констатацията на съда за липса на претърпени неимуществени вреди в причинна връзка с твърдяното незаконосъобразно бездействие. Касаторът моли да бъде отменено решението и предявеният иск да бъде уважен. Претендира заплащане на разноските по делото.

Ответникът - Национална агенция за приходите /НАП, агенцията/ оспорва касационната жалба. Претендира разноски.

Представителят на Върховна административна прокуратура дава заключение, че касационната жалба е допустима и неоснователна.

Върховният административен съд, трето отделение, като взе предвид становището на страните и извърши проверка на обжалваното решение на посочените касационни основания, намира за установено от фактическа и правна страна следното:

Производството пред административния съд е образувано по искова молба на С. И. против Националната агенция за приходите /НАП/ за обезщетение в размер на 1000 /хиляда/ лева за причинени неимуществени вреди, вследствие на неизпълнение в достатъчна степен на задължението по чл. 59, ал. 1 от ЗЗЛД и по чл. 24 и чл. 32 от Регламент /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г., ведно със законната лихва от 15.07.2019 г. /алтернативно от датата на завеждане на исковата молба/ до окончателното изплащане на сумата.

Съдът е отхвърлил предявения иск, като е посочил, че не са налице елементите на фактическия състав на отговорността по чл. 1, ал. 1 ЗОДОВ. Приел е за осъществен нерегламентиран достъп, вследствие на умишлени престъпни действия от страна на неизвестно лице, осъществен на 15.07.2019 г., в резултат на което е изтекла информация от информационните масиви на НАП. Според съда обаче този резултат не презумира противоправно поведение на органи и длъжностни лица на НАП, нито такова е било доказано от ищцата.

Съдът е извършил преглед на предприетите мерки за защита на сигурността на информацията в НАП, на база представените от касатора заповеди на изпълнителния директор на НАП, методика за анонимизиране на индивидуални данни, утвърдена политика по информационна сигурност, Инструкция № 2/08.05.2019 г. за мерките и средствата за защита на личните данни, обработвани в НАП и реда за движение на преписки и заявяване на регистри. На агенцията е издадено наказателно постановление от страна на КЗЛД, за нарушение на чл. 32, § 1,б. Б от Регламент /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година. С решение № ППН-02-399/22.08.2019 г. по описа на КЗЛД, на НАП е издадено и разпореждане за предприемане на подходящи технически и организационни мерки. Решението също е оспорено пред АССГ и не е влязло в сила.

От правна страна съдът е приел, че искът е с правно основание чл. 1, ал. 1 за присъждане на обезщетение за претърпени неимуществени вреди, вследствие на незаконосъобразно бездействие от страна на служители на НАП, изразяващо се неизпълнение на задължения, произтичащи от чл. 59, ал. 1 от ЗЗЛД, чл. 24 и чл. 32 от Регламент относно защита на личните данни /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27.04.2016 /GDPR/.

Според съда, липсва незаконосъобразно бездействие от страна на държавен орган да изпълни вменени му от чл. 59, ал. 1 ЗЗЛД, чл. 24 и чл. 32 от Общия регламент относно защита на личните данни /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27.04.2016 /GDPR/ задължения, довело до изтеклата на 15.07.2019 г., вследствие нерегламентиран достъп и престъпно деяние от неизвестно лице, от електронните масиви на НАП, информация, съдържаща лични данни на ищцата. Самото обстоятелство, че е изтекла информация от сървърите на НАП - безспорен факт по делото, не е прието за противоправно бездействие на ответника да изпълни произтичащи от посочените разпоредби задължения да осигури достатъчна надеждност и сигурност на информационната си система, да защити физическите лица във връзка с обработването на личните им данни, в т. ч. правото на защита на личните им данни. Не е установено и ищцата да е изживяла, в резултат на такова незаконосъобразно бездействие, стрес, безпокойство, притеснения. По тези съображения искът е изцяло отхвърлен.

Решението е неправилно поради нарушение на материалния закон, съществено нарушение на съдопроизводствените правила и необоснованост. Относимите към спора факти не са изяснени, което е пречка за надлежна проверка за правилно приложение на материалния закон.

Настоящият състав счита, че административният съд не е дал подробни и конкретни указания по доказателствената тежест, поради което е изложил необосновани изводи за наличието на предпоставките на отговорността по чл. 1, ал. 1 ЗОДОВ. Неправилно съдът приема, че пред него са доказани предпоставките за присъждане на обезщетение за причинените на ищцата неимуществени вреди.

Неправилно е определена правната квалификация на предявения иск. Съгласно чл. 4, ал. 3 от Конституцията, Р. Б участва в изграждането и развитието на Европейски съюз, а по силата на чл. 5, ал. 4 от Конституцията, международните договори, ратифицирани по конституционен ред, обнародвани и влезли в сила за Р. Б, са част от вътрешното право на страната. Те имат предимство пред тези норми на вътрешното законодателство, които им противоречат. С оглед на това разпоредбите в Договора за Европейския съюз и в ДФЕС (Договора за фунцкиониране на Европейския съюз) /ДФЕС/, регламентиращи права на правните субекти имат предимство пред норми на вътрешното право, които им противоречат. Същото важи и за Хартата на основните права на Европейския съюз (Хартата, ХОПЕС), която по силата на член 6, параграф 1 ДФЕС има същата юридическа сила като договорите.

Член 8, параграф 1 от Хартата и член 16, параграф 1 от ДФЕС предвиждат, че всеки има право на защита на личните му данни. Защитата на физическите лица във връзка с обработването на лични данни е основно право. Правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни, както и защитата на основни права и свободи на физическите лица и по-специално тяхното право на защита на личните данни, са определени в Регламент (ЕС) 2016/679. На основание член 288, параграф 2 ДФЕС регламентът е акт с общо приложение, който е задължителен в своята цялост и се прилага пряко във всяка една държава членка.

Правото на обезщетение и отговорността за причинени вреди е уредено в член 82, параграф 1 от Общия регламент, съгласно който всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на регламента, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава регламента. Съгласно член 82, параграф 6, съдебните производства във връзка с упражняването на правото на обезщетение се образуват пред съдилища, компетентни, съгласно правото на държавата членка, посочена в член 79, параграф 2.

Националната нормативна уредба за защита правата на физическите лица при обработване на личните им данни, доколкото същите не са уредени в Регламент (ЕС) 2016/79, се съдържа в ЗЗЛД (ЗАКОН ЗЗД ЗАЩИТА НА ЛИЧНИТЕ ДАННИ) - чл. 1, ал. 1 ЗЗЛД. Съгласно чл. 39, ал. 1 ЗЗЛД, при нарушаване на правата му по Регламент (ЕС) 2016/679 и по закона субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на Административнопроцесуалния кодекс. В производството по ал. 1 субектът на данни може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора или на обработващия лични данни - чл. 39, ал. 2 ЗЗЛД.

В чл. 39, ал. 1 ЗЗЛД не се съдържа специална процесуална уредба относно реда за упражняване на правото на субекта да сезира съда за нарушените му права при обработване на личните му данни, а се препраща към общия административнопроцесуален закон за търсене на отговорност на всички администратори на лични данни, независимо от тяхната правосубектност и притежавани качества. Процесуалният ред, по който засегнатият субект може да търси обезщетение и отговорност за причинените вреди поради неправомерно обработване на личните му данни, е уреден в глава единадесета "Производство за обезщетения" на Административнопроцесуалния кодекс.

Както вече се посочи, по силата на член 82 от Общия регламент относно защитата на личните данни, всеки засегнат частноправен субект може да предяви иск за обезщетение ако са нарушени правата му по този регламент и е налице пряка причинно-следствена връзка между нарушението и вредите. Материалноправните предпоставки на отговорността на държавата за вреди, причинени от нарушение на правото на ЕС, произтичат директно от наднационалния правен ред.

Предметът на доказване по чл. 82 от Общия регламент изисква следните задължителни елементи: 1. Наличие на материална или нематериална вреда ; 2. Доказано нарушение на Регламент /ЕС/ 2016/679. 3. Причинна връзка между претърпяната вреда и нарушението на Регламента. Фактическият състав, при осъществяването на който възниква правото на обезщетение за вреди, произтичащо пряко от член 82, параграф 1 от Общия регламент, включва претърпени материални или нематериални вреди настъпили в причинна връзка /в резултат на/ нарушение на регламента. Изложените от ищеца факти, изрично сочещи на допуснати от администратора на лични данни нарушения на задължения, които произтичат от чл. 24 и чл. 32 от Регламента за защита на данни, обуславят правна квалификация на иска по чл. 82, § 1 вр. § 2 от Регламента.

Следва да се посочи, че дадените от С. И. правни квалификации, било то под формата на сочени от нея правни разпоредби или под формата на правните термини /например действие и бездействие по смисъла на закона/ не обвързват съда. От значение са само фактическите твърдения на ищцата, въз основа на които съдът дава вярната правна квалификация на иска, съобразявайки от кой нормативен акт произтичат претендираните от нея правни последици и какво е мястото му в йерархията на източниците на правото. В случая се твърдят нарушения на задължения, произтичащи пряко от чл. 24 и чл. 32 от Регламента и именно тези нарушения следва да бъдат разгледани от съда. След като правната квалификация на иска не е чл. 1 ЗОДОВ, безпредметно е съдът да обсъжда наличието на бездействие по смисъла на чл.1 ЗОДОВ. В случая се претендира, че вредите са претърпени в резултат на нарушение на Регламента, поради което това нарушение следва да се индивидуализира като една от операциите във връзка с обработването на лични данни, дефинирани в чл. 4, т. 2 от Регламента, или от нарушаване на личните данни, съгласно определението в чл. 4, т. 12 от Регламента.

Разпоредбата на чл. 24 „Отговорност на администратора“ от Общия регламент относно защита на личните данни /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27.04.2016 /GDPR/, предвижда, че като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствия с регламента. В допълнение, в чл. 32 са предвидени конкретните мерки които следва да се предприемат, а именно: "Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно: a) псевдонимизация и криптиране на личните данни; б) способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване; в) способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент; г) процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

Неправилно съдът е обсъждал разпоредбата на чл. 59 ЗЗЛД, тъй като тази норма се намира в Глава осма от закона, която регламентира правилата за защита на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване, и поради това са неотносими към настоящия правен спор.

Действително, НАП е администратор на лични данни по см. на чл. 4, § 7 от Регламент (ЕС) 2016/679 (ОРЗД) и при обработването на личните данни, следва да спазва принципите за законосъобразност и добросъвестност, залегнали в чл. 5, § 1 б. "а", както и по б. "е", а именно: личните данни трябва да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки ("цялостност и поверителност"). При тези правни квалификации, съдът е следвало да съобрази и нормата на чл. 82, § 3 от Регламента, съгласно която администраторът или обработващият лични данни се освобождава от отговорност съгласно § 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата. Посочената разпоредба очертава границите на отговорността на администратора.

Разсъждавайки върху елементите на възникване на отговорността на държавата, съдът следва да има предвид, че изразът „нарушение на настоящия регламент“ има широко съдържание и нарушението на сигурността на личните данни е само едно негово проявление, но не го изчерпва. Понятието „нарушение на настоящия регламент“ обхваща всяко отклонение от неговите изисквания, а не се свързва само с разпоредбите, които визират конкретни задължения на администратора или обработващия при нарушение на сигурността на личните данни. Тълкуването на чл. 82, пар. 1 от Регламент (ЕС) 2016/679 дава основание отговорността на администратора или обработващия да се ангажира за по-широк кръг нарушения, обхващащ всяко неизпълнение на изисквания, произтичащи от Регламент (ЕС) 2016/679.

Настоящият състав счита, че при постановяване на решението първоинстанционият съд не е обосновал наличието и на трите елемента, обуславящи възникване отговорност на държавата. Доказателствената тежест между страните не е разпределена, съобразно разпоредбата на чл. 154, ал. 1 ГПК, вр. чл. 204, ал. 5 АПК, а в съдебния процес всяка страна е длъжна да установи фактите, на които основава своите искания или възражения. В случая, ищцата следва да установи наличието на свое защитимо право, засегнато от правния спор, като докаже фактите, от които то произтича, а НАП следва да докаже изпълнението на действията, дължими от него по силата на закона. Предвид изричната норма на чл. 82, § 3 от Регламента, администраторът на лични данни следва да докаже, при условията на пълно и главно доказване, че е приел подходящи технически и организационни мерки в съответствие с регламента, така че да изключи всяка своя отговорност за събитието, причинило вредата.

На страните не са дадени указания по тежестта на доказване, съобразно техните конкретни твърдения, конкретния спор и конкретната нормативна уредба. На ответника по иска не е указано, че в негова тежест е да установи, че не е отговорен за събитието, причинило вредата, тоест, че липсва нарушение, в причинна връзка с което са претърпени вредите, нито че съгласно чл. 24, § 2 и § 3 и чл. 32 администраторът на лични данни следва да доказва наличието на подходящи политики за защита на данните и придържането към одобрени кодекси за поведение или одобрени механизми за сертифициране, както и прилагането на конкретни подходящи технически и организационни мерки, съобразени с конкретните рискове. Съдът не е съобразил служебното начало в съдебния процес по административни дела, включително необходимостта от специални знания за изясняване на съществен въпрос по делото, а именно какъв е техническият механизъм на неоторизирания достъп до лични данни, осъществен на 15.07.2019 г.

При липса на дадени указания по доказателствената тежест, както и на събрани относими към спора доказателства, изводът на административния съд за бездействие, от което са причинени вредите е формиран при съществени процесуални нарушения и е необоснован. Противно на възприетото от съда, по делото не е установено дали именно техническата уязвимост на информационната система е довела до нерегламентирано разкриване и разпространение личните данни на ищцата и че то е следствие от неприлагането на подходящи мерки за защита. Напълно необоснован, неподкрепен с никакви доказателства по делото, а и неотносим към спора е изводът, че има достатъчно данни, че е извършено деяние по чл. 319а от НК, от което само по себе си следвало, че НАП не е изпълнил по изискуемия се ефективен начин задължението по предотвратяване изтичането на лични данни. Не е необходимо нарушението, пораждащо отговорността по чл. 82 от Регламента, да съставлява престъпление, а и изводът за наличие на престъпно деяние е изцяло извън компетентността на административния съд. Нарушението на регламента, респективно липсата на такова нарушение е това, което следва да бъде установено в съдебния процес пред административния съд. Нарушението не може да се презюмира въз основа на други данни, по-конкретно въз основа на това, че има неразрешено разкриване или достъп до лични данни. Неразрешеното разкриване и достъп може да е следствие от нарушението, но това следствие, както и самото нарушение, респективно тяхната липса, трябва да бъдат доказани и това изисква използване на специални знания.

Не на последно място, изводите на съда за нарушение на чл. 24 и чл. 32 от Общия регламент относно защита на личните данни /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. са формирани при липса на обсъждане на представените от касационния жалбоподател писмени доказателства след отмяната на хода по същество, особено в светлината на чл. 24, § 3 от Регламента.

По изложените съображения, обжалваното решение следва да бъде отменено, а делото – върнато на друг състав на административния съд за ново разглеждане. При новото разглеждане в подробен доклад по делото съдът следва да посочи относимите към спора факти, като отсее спорните от безспорните. След определяне на спорните факти, на страните следва да бъдат дадени подробни указания по тежестта на доказване, съобразени с техните конкретни твърдения и с нормата на чл. 82, § 3 от Регламента, включително, но не изчерпателно, за необходимостта от специалния знания за изясняване на въпросите при какви конкретни обстоятелства е допуснато изтичането на данни, има ли нерегламентиран достъп, по какъв технически начин е осъществен и до какви конкретно устройства или системи, съхраняващи данни, изцяло на външна намеса ли се дължи достъпът и възможно ли е той да се дължи изцяло на външна намеса, какви технически мерки са предприети, за да предотвратят достъпа, достатъчни ли са те, предвид достиженията на техническия прогрес и различните рискове, технически възможно ли е било предотвратяването на изтичането на данни. Следва да се укаже на ответника по иска, че негова е тежестта да докаже с всички допустими доказателствени средства, че нерегламентираният достъп не се дължи на нарушение по смисъла на регламента, включително, че такова нарушение липсва, тъй като всички негови задължения по регламента са изпълнени, респективно, че е направил всичко възможно да предотврати нарушението, предвид достиженията на техническия прогрес и различните рискове.

Съдът следва да изложи и изрични мотиви по въпроса за определянето на неимуществените вреди по справедливост. В случая не се касае за преценка по усмотрение на съда, която почива само на абстрактните представи на решаващия орган, тъй като тогава мотивите не биха могли да бъдат контролирани от по-горестоящата инстанция. Затова съдът трябва да посочи конкретни факти, които според него са установени по делото и обосновават интензитета на неимуществените вреди и размера на обезщетението.

При новото разглеждане съдът следва да се произнесе по разноските, съгласно чл. 226, ал. 3 АПК.

Водим от горното и на основание чл. 221, ал. 3 АПК, Върховният административен съд, трето отделение,

РЕШИ:

ОТМЕНЯ решение № 4644/18.08.2020 г. по адм. д. № 11327/2019 г. на Административен съд – София град.

ВРЪЩА делото на друг състав на Административен съд София град за ново разглеждане, съобразно дадените указания по тълкуване и прилагане на закона.

Решението е окончателно.