Решение №7816/25.06.2024 по адм. д. №2822/2021 на ВАС, V о., докладвано от съдия Румен Йосифов

РЕШЕНИЕ № 7816 София, 25.06.2024 г. В ИМЕТО НА НАРОДА

Върховният административен съд на Р. Б. - Пето отделение, в съдебно заседание на пети юни две хиляди двадесет и четвърта година в състав: Председател: Д. Ч. Членове: Е. Д. Р. Й. при секретар М. В. и с участието на прокурора Н. Н. изслуша докладваното от съдията Р. Й. по административно дело № 2822/2021 г.

Производството е по чл. 208 и сл. от Административнопроцесуалния кодекс (АПК).

Образувано е по касационна жалба на Националната агенция за приходите (НАП, Агенцията), подадена чрез пълномощника юрисконсулт Л. Т., срещу решение № 7207 от 11.12.2020 г., постановено по адм. дело № 10466/2019 г. по описа на Административен съд София - град (АССГ), в частта му с която НАП е осъдена да заплати на Е. А. И. сумата от 200 лева, представляваща обезщетение за причинени му неимуществени вреди, ведно със законната лихва, считано от 16.09.2019 г. до окончателното изплащане на сумата, по предявен иск с правно основание чл. 39, ал. 2 от Закона за защита на личните данни (ЗЗЛД), вр. чл. 82, 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Регламент (ЕС) 2016/679, Общ регламент относно защитата на данните, ОРЗД, Регламента), в резултат от незаконосъобразно фактическо бездействие на НАП да изпълни задълженията си по чл. 24 и чл. 32 от Регламент (ЕС) 2016/679 и по чл. 45 ал. 1 т. 6, чл. 59 ал. 1, чл. 64, чл. 66 ал. 1 и ал. 2, чл. 67 и чл. 68 ЗЗЛД, довело до нарушение на сигурността на личните данни по смисъла на 1 т. 10 от ДР на ЗЗЛД, вр. чл. 4 т. 12 от Регламент (ЕС) 2016/679 и допуснат пробив в информационната система на НАП с резултат - публично разгласяване на личните данни на около 5 000 000 граждани, станало публично известно чрез медиите на 15.07.2019 г.

С решението съдът е отхвърлил иска за разликата до пълния му предявен размер от 1000 лева, като неоснователен. В тази част то не е обжалвано и е влязло в сила, съответно не е предмет на касационен контрол.

В касационната жалба са развити доводи за неправилност на атакуваното решение поради нарушение на материалния закон, съществено нарушение на съдопроизводствените правила и необоснованост - отменителни основания по чл. 209, т. 3 АПК. Касаторът счита по отношение вмененото му незаконосъобразно фактическо бездействие, че цитираните от него приложими норми на ОРЗД, ЗЗЛД и Закона за отговорността на държавата и общините за вреди (ЗОДОВ) има предвид такова по чл. 256 АПК и очертания от не го предмет на доказване. Твърди, че НАП е предприела редица технически и организационни мерки за защита при обработването на лични данни, за което е представила доказателства, поради което необосновано АССГ е приел, че е налице твърдяното незаконосъобразно бездействие на Агенцията. Заявява, че съдът не е взел предвид образуваното пред Софийски районен съд административно наказателно дело № 14811/2019 г. по повод обжалването от НАП на наказателно постановление № 004 от 28.08.2019 г., издадено от председателя на Комисията за защита на лични данни (КЗЛД) във връзка с осъществен неоторизиран достъп до информационната система на НАП, което към тогавашния момент не е било приключило с влязъл в сила съдебен акт. Счита, че не е установено какви лични данни са изтекли по отношение на ищеца и действията които той е предприел в тази насока. Възразява по отношение приемане показанията на разпитания свидетел, тъй като същият е пристрастен - живее на семейни начала с ищеца. Оспорва приетите като претърпени неимуществени вреди от ищеца под формата на стрес, безпокойство и притеснение, които съответно да са в причинна връзка с твърдяното неправомерно бездействие на администратора на лични данни. Въз основа на изложените оплаквания иска отмяна на атакуваното съдебно решение и постановяване на друго, с което предявеният иск бъде отхвърлен изцяло. Претендира юрисконсултско възнаграждение.

Ответникът по касация - Е. А. И., чрез адвокати С. Ю. и И. Ю., в представени писмен отговор, молба и писмена защита, оспорва жалбата и моли съда да постанови решение, с което да я остави без уважение. Иска присъждане на съдебно-деловодни разноски, съгласно приложен списък по чл. 80 от Гражданския процесуален кодекс (ГПК).

Представителят на Върховна прокуратура дава мотивирано заключение за неоснователност на касационната жалба.

Върховният административен съд, състав на пето отделение, след като прецени данните по делото и обсъди доводите на страните констатира, че касационната жалба е подадена от надлежна страна в срока по чл. 211, ал. 1 АПК, което я прави процесуално допустима. Разгледана по същество и с оглед разпоредбата на чл. 218, ал. 1 АПК, тя е неоснователна.

Предмет на разглеждане пред АССГ е предявен иск с правно основание чл. 82, 1 от ОРЗД, разгледан по реда на чл. 203 АПК, вр. чл. 39, ал. 2 ЗЗЛД, като се претендира обезщетение за неимуществени вреди в размер на 1000 лева, настъпили от неправомерното бездействие на НАП да изпълни задължението си да защити по сигурен начин данните на ищеца като гражданин, станало причина да бъде допуснат пробив в информационната система на НАП, довело до публичното разкриване на личните му данни. С молба от 04.11.2019 г. ищецът е уточнил периода на претенцията и е конкретизирал, че оспорва бездействието на НАП да защити личните му данни, като едновременно с това предявява иск за обезщетение на причинените от това бездействие и предизвикано от ответника разпространение на личните му данни неимуществени вреди.

От фактическа страна е прието, че поради нерегламентиран достъп на неизвестно лице, публично оповестен на 15.07.2019 г., е изтекла информация от информационните масиви на НАП, съдържаща лични данни на общо над 5 000 000 български граждани.

По делото е приложена извадка от получен SMS от дата 03.08.2019 г., без номер, на който е изпратена, със следното съдържание: НАП: По заявка номер 2663 ИМА неправомерно разкрити лични данни. От справка на НАП от 19.11.2019 г. е видно, че за идентификатор [номер ](ЕГН на ищеца Е. И.) са разкрити лични данни, които включват ЕГН.

По делото са приети писмени доказателства, от които се установява, че след изтичането на лични данни от информационните масиви на НАП, последната е информирала за това Софийска градска прокуратура и КЗЛД.

Във връзка с предприети мерки за правомерно обработване и съхранение на личните данни от НАП са представени издадени от нейния директор актове, както следва: Политика по информационната сигурност на НАП - версия 3.0 от м. 05.2016 г.; Методика за оценка на риска - версия 1.1, към м. 11.2015 г.; Инструкция № 2/08.05.2019 г. за мерките и средствата за защита на лични данни, обработвани в НАП и реда за движение на преписки и заявяване на регистри; заповед № ЗЦУ-1436/15.10.2018 г. с която са утвърдени Указания за разработване, попълване и/или зареждане с данни на образци на документи и приложения, Указания за обозначаване и работа с информацията, Указания за попълване на образеца на процедура, Указания за попълване на образеца на инструкция; заповед № ЗЦУ-746/25.05.2018 г. за утвърждаване на Политика за защита на личните данни в НАП; Политика за защита на личните данни в НАП; Процедура за оценка на риска за информационната сигурност; заповед № ЗЦУ-586/30.04.2014 г. за внедряване на Система за управление на сигурността на информацията; Указания за обозначаване и работа с информацията - версия 3.1; Методика за анонимизиране на индивидуални данни - версия 1, към м. 01.2017 г.

От КЗЛД е предоставена информация, че е извършила проверка за изтеклата информация от информационните масиви на НАП, при която е установено, че при осъществяване на дейността си НАП не е приложила подходящи технически и организационни мерки, в резултат на което е осъществен неоторизиран достъп, неразрешено разкриване и разпространение на лични данни на физически лица, в различен обем. За така установеното, председателят на КЗЛД е издал наказателно постановление против НАП за нарушение на чл. 32, 1, б. б от ОРЗД. Наказателното постановление е обжалвано пред Софийския районен съд и не е влязло в сила.

С определение № 3558/18.05.2020 г., постановено в закрито заседание, съдът е посочил, че предявеният иск следва да се квалифицира с правно основание чл. 39, ал. 2 ЗЗЛД, оставил е без движение исковата молба и е разпределил доказателствената тежест между страните. Указал е на ответника, че следва да установи изпълнението (и то в достатъчна степен) на задълженията на администратор на лични данни - по чл. 24 и чл. 32 от Регламент (ЕС) 2016/679 и по чл. 59 ал. 1, чл. 45 ал. 1 т. 6, чл. 64, чл. 66 ал. 1 и ал. 2, чл. 67 и чл. 68 ЗЗЛД и т. н.

Събрани са гласни доказателства, чрез разпит на свидетеля В. Н., живееща на съпружески начала с ищеца. Според показанията й, Е. И. е изпитвал притеснения когато научил за изтеклите му лични данни, да не бъде изтеглен кредит на негово име или да не се разпореди някой с имота му. Поведението му се променило, станал мълчалив и угрижен.

При тези така установената фактическа обстановка АССГ е приел предявеният иск за допустим и частично основателен, като го е уважил за сумата от 200 лева.

Решението е правилно.

Съгласно чл. 82, 6 от Регламент (ЕС) 2016/679, съдебните производства във връзка с упражняването на правото на обезщетение при нарушаване на правата на субекта на лични данни, произтичащи от Регламента, се образуват пред съдилища, компетентни, съгласно правото на държавата членка, посочена в чл. 79, 2. Националната нормативна уредба за защита правата на физическите лица при обработване на личните им данни, доколкото същите не са уредени в Регламент (ЕС) 2016/79, се съдържа в Закона за защита на личните данни - чл. 1, ал. 1. Съгласно чл. 39, ал. 1 ЗЗЛД, при нарушаване на правата му по Регламент (ЕС) 2016/679 и по закона субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на АПК. В производството по ал. 1 субектът на данни може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора или на обработващия лични данни - чл. 39, ал. 2 ЗЗЛД. В чл. 39, ал. 1 ЗЗЛД не се съдържа специална процесуална уредба относно реда за упражняване на правото на субекта да сезира съда за нарушените му права при обработване на личните му данни, а се препраща към общия административнопроцесуален закон за търсене на отговорност на всички администратори на лични данни, независимо от тяхната правосубектност - публични органи или частноправни субекти. Предмет на проверка по съществото на спора е установяването дали актът, действието или бездействието на администратора на лични данни е съответно на ОРЗД. Незаконосъобразността на същите, което е в пряка причинна връзка с претендираната вреда е основание за ангажиране на отговорността на извършителя и в този контекст чл. 39, ал. 2 ЗЗЛД дава правна възможност на субекта на данни да предяви и претенцията за обезщетение, която да бъде разгледана в същото производство. Процесуалният ред, по който засегнатият субект може да търси обезщетение и отговорност за причинените вреди поради неправомерно обработване на личните му данни, е уреден в глава единадесета Производство за обезщетения на АПК. Следователно, правото да се претендира обезщетение за вреди, причинени от администратор на лични данни при или по повод обработване на лични данни на засегнатия субект се упражнява чрез предявяване на осъдителен иск, подлежащ на разглеждане от административните съдилища по реда на АПК с препращане за неуредените въпроси към ЗОДОВ и ГПК.

Правилно АССГ е приел от правна страна, че предявеният иск е с правно основание чл. 79, 1 и чл. 82, 1 от ОРЗД. Първата от тези разпоредби предвижда, че без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно чл. 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по регламента са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с регламента. Производствата срещу даден администратор или обработващ лични данни се образуват пред съдилищата на държавата членка, в която администраторът или обработващият лични данни има място на установяване чл. 79, 2. Правото на обезщетение и отговорност за причинени вреди е предвидено в чл. 82, 1, съгласно който всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на регламента, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава регламента.

Неотносимо е позоваването на чл. 45, чл. 59, чл. 64 и чл. 66 ЗЗЛД, тъй като тези разпоредби се намират в глава 8 ЗЗЛД, регламентираща правилата за защита на физическите лица във връзка с обработването на лични данни от компетентните органи, но само за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване. Тази неточност не променя същността на останалите правни изводи на АССГ.

Не може да бъде възприето възражението на касационния жалбоподател, че не е установено по отношение на ищеца да са разкрити лични данни, тъй като справката за това какви данни са изтекли за ищеца изхожда от НАП и тя правилно е била възприета от АССГ като установяваща наличието на този факт.

От значение за разрешаването на правния спор е решението на Съда на европейския съюз (СЕС) по дело С-340/21 г., като производството по настоящото дело беше спряно до постановяването му. Съгласно това решение, издадено на 14.12.2023 г., чл. 24 и чл. 32 ОРЗД трябва да се тълкуват в смисъл, че неоторизираното разкриване на лични данни не е достатъчно за да се приеме, че техническите и организационни мерки, приложени от администратора, не са били подходящи. Предприетите мерки от него трябва да бъдат оценявани за всеки конкретен случай, като се преценят рисковете свързани със съответното обработване, както и дали съдържанието и изпълнението на мерките са подходящи за тези рискове. При предявен иск за обезщетение по чл. 82 ОРЗД, администраторът носи тежестта на доказване, че прилаганите от него мерки за сигурност са подходящи съгласно чл. 32 от Регламента. Той не може да бъде освободен от отговорност, само защото вредата е резултат от неразрешено разкриване от трета страна, а трябва да докаже, че по никакъв начин не е отговорен за събитието, довело до съответните щети. Страхът, изпитван от субект на данни по отношение на възможна злоупотреба с неговите лични данни от трети страни в резултат на нарушение на ОРЗД, може да се квалифицира като неимуществена вреда.

Предвид дадените указания от СЕС, при правилност на определеното от АССГ правно основание на предявения иск - чл. 82 ОРЗД и разпределение на доказателствената тежест, решаващият съд е достигнал до законосъобразни правни изводи.

От доказателствата по делото може да се направи категоричен извод за наличие трите предпоставки за основателност на иска по чл. 82 ОРЗД - допуснато от администратора на данни нарушение на Регламент (ЕС) 2016/679, наличие на материална или нематериална вреда и причинна връзка между претърпяната вреда и нарушението на Регламента.

Първоинстанционният съд обосновано на установените факти по делото е приел, че е налице първата предпоставка - нарушение на Регламент (ЕС) 2016/679 от НАП в качеството й на администратор на лични данни спрямо правата на ищеца, в качеството му на субект на лични данни при тяхната обработка. Нарушението е осъществено чрез бездействие, изразяващо се в неприлагане на подходящи организационни и технически мерки, които в необходимата степен да гарантират защитата на личните данни на ищеца и като последица - неосигуряване подходящо ниво на сигурност на тези данни. С бездействието си НАП не е изпълнила в цялост задълженията си като администратор на лични данни по чл. 24 и чл. 32 ОРЗД.

С оглед на очертаната в решението на СЕС по дело С-340/21 г. тежест на доказване, която следва пряко и от приложението на чл. 82, 3 ОРЗД, НАП не доказва в хода на производството да е предприела подходящи мерки за сигурна обработка на личните данни, с което да минимизира риска от нерегламентиран достъп на трети лица. Независимо от правилно разпределената тежест на доказване от АССГ, Приходната агенция не е установила, че техническите мерки взети преди нерегламентирания достъп до личните данни на ищеца са били достатъчни съобразно рисковете в Интернет при обработването на лични данни. При условията на пълно насрещно доказване НАП не е установила факта, който е в нейна тежест на доказване, а именно, че взетите от нея мерки са подходящите и по този начин обосновано АССГ е приел за установено твърдението на ищеца за бездействие от страна на НАП.

Следователно администраторът не е възможно да се освободи от отговорност по смисъла на чл. 82, 3 ОРЗД, защото не доказва, че по никакъв начин не е отговорен за събитието, причинило вредата, независимо, че се позовава на образуваното наказателно производство срещу третите лица, които са осъществили нерагламентирания достъп до личните данни на ищеца и останалите физически лица.

По изложените съображения касационният състав намира за правилен извода на АССГ, че НАП не е изпълнила задължението си да предприеме ефективни мерки за предотвратяване на злоумишлен достъп до личните данни на ищеца. Обосновано на доказателствата по делото съдът е намерил, че са налице също втората и третата предпоставка за основателност на исковата претенция. Защитата на физическите лица във връзка с обработването на лични данни е основно право. Чл. 8, 1 от Хартата на основните права на Европейския съюз и чл. 16, 1 от ДФЕС (Договора за фунцкиониране на Европейския съюз) (ДФЕС) предвиждат, че всеки има право на защита на личните му данни. В случая действително е накърнено основно право на ищеца - физическо лице, от ответника като администратор на лични данни поради извършеното обработване на личните му данни, което нарушава Регламент (ЕС) 2016/679. В резултат на нарушението, ищецът е изпитал притеснения и страх да не бъде извършено посегателство на имуществото му. Съдът правилно е кредитирал показанията на свидетеля като достоверни, както и че същите сочат за отрицателни преживявания и негативно емоционално състояние на ищеца, което е провокирано от нарушението на Регламента при обработване на личните му данни от касационния жалбоподател, в качеството му на администратор на лични данни.

С оглед спецификата на непозволеното увреждане в резултат на неправомерно обработване на лични данни на засегнатия субект, следва да се обезщетят причинените неимуществени вреди, изразяващи се в притеснението от бъдещи евентуални злоупотреби с личните данни на ищеца. АССГ правилно е отхвърлил възраженията на ответника в обратна насока, поддържани и в касационната жалба. Следва да се споделят съображенията, че ищецът може да претендира обезщетение за неимуществените вреди от бездействието на ответника да изпълни задължението си да защити по сигурен начин данните му като физическо лице. Нематериалните вреди настъпват в резултат от нарушаването сигурността на данните, като в съображения 146 от Регламента е посочено, че понятието вреда следва да се тълкува в по-широк смисъл в контекста на съдебната практика на Съда по начин, който отразява напълно целите на настоящия регламент. Нематериални вреди са налице и при преживени отрицателни, негативни състояния, свързани с притеснения от допуснатия пробив в сигурността на обработване на личните данни, като същите не са хипотетични и евентуални, както поддържа НАП, нито е необходимо да бъде доказан реален страх от реална съществуваща заплаха от увреждане на имущество или претърпяна реална вреда. Причиняването на усещане за тревога от нарушената сигурността на защитимото благо - личните данни, е достатъчно, за да се ангажира отговорност на администратора на лични данни, който има задължение да я гарантира и да не позволи нарушения на гарантирани от европейското право основни права.

При положение, че по делото е установено, че в резултат на изтичане на личните му данни, ищецът е преживял стрес и изпитвал негативни емоции, съдът обосновано е намерил, че е налице причинна връзка между нарушението по чл. 82, 1 от ОРЗД и претърпените нематериални вреди, следователно е изпълнен фактическият състав, обуславящ основателността на иска за присъждане на обезщетение за претърпените вреди в резултат на нарушението на правилата за защита на личните данни.

Правилно е преценен интензитетът на претърпените неимуществени вреди, като обуславящ извод за частична основателност на претенцията. Обезщетението за неимуществени вреди се присъжда по справедливост, съгласно чл. 52 от Закона за задълженията и договорите (ЗЗД). Размерът му се определя с оглед характера на вредите, трайността на търпенето им, негативните преживявания и отражението върху общото психическо състояние на субекта. Също така, размерът на обезщетението не следва да бъде и източник на обогатяване за пострадалия, т. е. следва да бъде съобразен със стандарта на живот в обществото. В този контекст, съдът обосновано е приел, че обезщетение в размер на 200 лева е съразмерно на претърпените неимуществени вреди, отговаря на конкретните факти по делото и е в съответствие с обществените представи за справедливост.

Неоснователни са доводите на НАП във връзка с производството пред Софийския районен съд по обжалване на наказателното постановление, издадено от председателя на КЗЛД, за нарушение на чл. 32, 1, б. б от ОРЗД. Понастоящем същото е отменено с влязло в сила решение № 1247/26.02.2024 г. по дело № 12334/2023 г. по описа на АССГ, но отмяната не е поради липса или недоказаност на нарушението, а на основание изтекла абсолютна погасителна давност.

Предвид на изложените съображения настоящият касационен състав приема, че обжалваното решение е правилно, не са налице касационни основания по чл. 209, т. 3 АПК, поради което то следва да бъде оставено в сила.

С оглед изхода на спора и своевременно отправеното искане, на адвокат С. Ю. следва да бъдат присъдени разноски за касационната инстанция, представляващи адвокатско възнаграждение. В договора за правна помощ е посочено, че представителството е безплатно на основание чл. 38, ал. 1, т. 3, предл. второ от Закона за адвокатурата - защита на близки или на друг юрист и на това основание са поискани от съда. Съдът определя възнаграждението в размер не по-нисък от предвидения в наредбата по чл. 36, ал. 2 и осъжда другата страна да го заплати. Размерът е регламентиран в Наредба № 1 от 9.07.2004 г. за минималните размери на адвокатските възнаграждения, като приложимата разпоредба е тази на чл. 8, ал. 1, вр. чл. 7, ал. 2, т. 1, съгласно която за процесуално представителство, защита и съдействие по административни дела с такъв материален интерес е 400 лева. Съобразно уважената част от иска, дължимото адвокатско минимално възнаграждение е 80 лева.

По изложените съображения и на основание чл. 221, ал. 2, АПК, Върховният административен съд, пето отделение

РЕШИ:

ОСТАВЯ В СИЛА решение № 7207 от 11.12.2020 г., постановено по адм. дело № 10466/2019 г. по описа на Административен съд София - град.

ОСЪЖДА Националната агенция за приходите да заплати на адвокат С. Ю. от Софийска адвокатска колегия, адвокатско възнаграждение в размер на 80 (осемдесет) лева.

Решението е окончателно.

Вярно с оригинала,

Председател:

/п/ ДОНКА ЧАКЪРОВА

секретар:

Членове:

/п/ ЕМИЛ ДИМИТРОВ

/п/ РУМЕН ЙОСИФОВ

Дело
  • Румен Йосифов - докладчик
  • Донка Чакърова - председател
  • Емил Димитров - член
Дело: 2822/2021
Вид дело: Касационно административно дело
Отделение: Пето отделение
Страни:
Достъпно за абонати.
Цитирани ЮЛ:
Достъпно за абонати.
Ключови думи
право на есделиктинформационно праволични даннинеимуществени вредисписък на разноските
Цитирани разпоредби
чл. 208 АПКчл. 82 Регламент (ЕС) 2016/679чл. 24 Регламент (ЕС) 2016/679чл. 4, т. 12 Регламент (ЕС) 2016/679чл. 67 ЗЗЛДчл. 209, т. 3 АПКчл. 256 АПКчл. 80 ГПКчл. 211, ал. 1 АПКчл. 218, ал. 1 АПКчл. 203 АПКчл. 39, ал. 2 ЗЗЛДчл. 32 Регламент (ЕС) 2016/679чл. 39, ал. 1 ЗЗЛДчл. 64 ЗЗЛДчл. 16 ДФЕСчл. 52 ЗЗДчл. 38, ал. 1, т. 3 ЗАдвчл. 221, ал. 2 АПК
Цитирана практика на ЕС
Решение от 14.12.2023 по дело C-0340/2021 на СЕС
Информация за акта
Маркиране
Зареждане ...
Зареждане...