Решение №5672/09.05.2024 по адм. д. №2895/2021 на ВАС, V о., докладвано от съдия Мария Николова

РЕШЕНИЕ № 5672 София, 09.05.2024 г. В ИМЕТО НА НАРОДА

Върховният административен съд на Р. Б. - Пето отделение, в съдебно заседание на двадесети март две хиляди двадесет и четвърта година в състав: Председател: В. Г. Членове: МАРИЯ НИ. Г. при секретар Н. А. и с участието на прокурора А. И. изслуша докладваното от съдията М. Н. по административно дело № 2895/2021 г.

Производството е по реда на чл. 208 и сл. от Административнопроцесуалния кодекс (АПК).

Образувано е по касационна жалба на Национална агенция за приходите срещу Решение № 5534/16.10.2020 г. на Административен съд – София-град (АССГ), постановено по адм. дело № 11292/2019 г., в частта, в която Национална агенция за приходите е осъдена да заплати на Е. Магрисо сумата от 300 (триста) лева, за периода 15.07.2019 г. – 16.09.2019 г., заедно със законната лихва, считано от 16.09.2019 г. до окончателното изплащане, на основание чл. 1, ал. 1 от Закона за отговорността на държавата и общините за вреди (ЗОДОВ) и в частта, в която НАП е осъдена да заплати разноски по делото.

Решението, в частта, в която е отхвърлен предявеният от Е. Магрисо срещу НАП иск с правно основание чл. 1, ал. 1 ЗОДОВ за разликата до пълния претендиран размер на сумата от 1000 (хиляда) лева, като необжалвано е влязло в сила и не е предмет на касационната проверка.

Касационният жалбоподател счита, че обжалваното решение е неправилно поради нарушение на материалния закон, съществено нарушение на съдопроизводствените правила и необосновано – отменителни основания по чл. 209, т. 3 АПК. Излага съображения в подкрепа на твърденията си, че първоинстанционният съд е постановил решението си при неизяснена фактическа обстановка – не била ясна датата на неосъществения неоторизиран достъп до сървърите на НАП, не било ясно кое е незаконосъобразното бездействие на НАП. Сочи, че съдът е направил изводи в специализирана област извън сферата на правото, за която се изискват специални знания – неправилно бил приел, че след като е извършена хакерска атака, с която е пробита информационната система на НАП, то това доказвало, че не са предприети подходящи технически и организационни мерки за защита на обработването на личните данни на ищеца. Твърди, че съдът не е отчел, че ищецът е научил за неоторизирания достъп до неговите лични данни от интернет, но така и не е поискал официална справка от НАП, от която да става ясно изтекли ли са негови лични данни и ако са изтекли то тогава кои данни, в какъв обем. Излага и съображения, че първоинстанционният съд е извел неправилни и незаконосъобразни заключения, че е реализиран фактическият състав на отговорността по реда на ЗОДОВ. Моли решението в обжалваната му част да се отмени и се постанови ново, с което се отхвърли изцяло иска на Е. Магрисо. Претендира юрисконсултско възнаграждение. Касационният жалбоподател се представлява от юрк. М..

Ответникът по касация – Е. Магрисо оспорва касационната жалба по съображения изложени в писмен отговор. Моли решението в обжалваната му част да се остави в сила. Претендира разноски за настоящата инстанция. Представя писмена защита. Претендира заплащане на адвокатско възнаграждение при условията на чл. 38 от Закона за адвокатурата (ЗЗД). Ответникът по касация се представлява от адв. Ю. и адв. Ю..

Представителят на Върховната прокуратура дава мотивирано заключение за неоснователност на касационната жалба.

Върховният административен съд, състав на пето отделение, като прецени данните по делото, доводите и възраженията на страните, намира, че касационната жалба е процесуално допустима като подадена в законния срок, от надлежна страна и срещу подлежащ на оспорване съдебен акт.

Разгледана по същество касационната жалба е основателна по следните съображения:

Производството пред АССГ е образувано по предявен иск от Е. Магрисо срещу НАП за присъждане на обезщетение за неимуществени вреди, подробно описани в исковата молба, претърпени за периода 15.07.2019 г.- 16.09.2019 г., в резултат на неизпълнение в достатъчна степен от страна на ответника на задължението по чл. 59, ал. 1 от Закона за защита на личните данни (ЗЗЛД), чл. 24 и чл. 32 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), наричан по-нататък „Регламент (ЕС) 2016/679“ или „ОРЗД“ заедно със законната лихва върху тази сума, считано от 16.09.2019 г. до окончателното ѝ изплащане.

Първоинстанционният съд е приел от фактическа страна, че между страните не се спори, че на 15.07.2019 г. за ищеца Е. Магрисо са изтекли лични данни в публичното пространство, за удостоверяването на който факт е представена един брой справка от дата 27.07.2019 г. В отговора на изпратеното текстово съобщение не са конкретизирани вида лични данни на ищеца.

Издадено е Наказателно постановление № 004/28.08.19 г., за нарушение на чл. 32, параграф 1 б. „б“ от Регламент (ЕС) 2016/679.

От Комисията за защита на личните данни (КЗЛД) е издадено Решение № ППН-02-399/22.08.19 г., с което на НАП са дадени 20 броя разпореждания да съобрази операциите по обработването на личните данни на физическите лица. Този административен акт не е влязъл в сила.

В хода на съдебното следствие са събрани гласни доказателства – показанията на свидетеля Д. В.-Магрисо, които съдът е кредитирал и посочил какво е установил от тях.

Въз основа на така установените факти съдът е приел, че искът е допустим и частично основателен.

След анализ на предпоставките за основателност на иска по чл. 1, ал. 1 ЗОДОВ е посочил, че Е. Магрисо е извел своята претенция за обезщетение от твърдението, че вредите му са причинени от незаконосъобразно бездействие на ответника – НАП да изпълни произтичащи от чл. 59, ал. 1 ЗЗЛД, чл. 24 и чл. 32 от Регламент (ЕС) 2016/679 задължения. Посочил е, че ответната страна е администратор на лични данни по смисъла на чл. 4, параграф 7 от Регламент (ЕС) 2016/679 и при обработване на личните данни следва да спазва принципите на законосъобразност и добросъвестност залегнали в чл. 5, параграф 1, б. „а“ и б. „е“ от ОРЗД. Посочил е какви задължения на администратора на лични данни вменяват чл. 59 ЗЗЛД и чл. 24 и чл. 32 от Регламент (ЕС) 2016/679. Приел е, че обстоятелството, че на 15.07.2019 г. е изтекла информация от сървърите на НАП, вследствие неоторизиран достъп безспорно, сочи на противоправно бездействие на ответника да изпълни произтичащи от посочените разпоредби задължения да осигури достатъчна техническа надеждност и сигурност на информационната си система, за да защити физическите лица във връзка с обработването на личните им данни. Извел е извод, че именно техническата уязвимост на информационната система е довела до нерегламентирано разкриване и разпространение на личните данни на ищеца Е. Магрисо, която е следствие от неприлагането на подходящи мерки за защита. Обстоятелството, че е извършена хакерска атака, осъществен е неправомерен достъп до информационната система на НАП е неоспоримо доказателство, че не са предприети подходящи технически и организационни мерки за защита при обработване на личните данни на ищеца, което е достатъчно да бъде направен извод за противоправност на бездействието на НАП.

Приел е, че в резултат на неправомерно осъществения на 15.07.2019 г. достъп до сървъра на НАП, съдържащ информация относно личните данни на ищеца и разпространението им в интернет, са се създали притеснения и опасения у последния, да не бъде злоупотребено с тях. Той е преживял стрес, безпокойство, тревожност, негативни емоции, загрижен за имуществото на своето семейство и търговската си дейност. Позовавайки се на чл. 52 от Закона за задълженията и договорите (ЗЗД) и изхождайки от времетраенето на увреждането, съдът е приел, че справедливият размер на дължимото обезщетение за неимуществени вреди възлиза на 300 лв. Предвид уважаване на акцесорния иск е приел, че следва да се уважи и акцесорният такъв с правно основание чл. 86, ал. 1 ЗЗД за присъждане на законната лихва върху сумата, считано от 16.09.2019 г. (датата на предявяване на иска) до окончателното изплащане на вземането.

С оглед изхода на спора и предвид разпоредбата на чл. 10 ЗОДОВ е присъдил разноски, съразмерно на уважената/отхвърлената част от иска.

Обжалваното решение е валидно и допустимо като постановено от надлежен съдебен състав, в писмен вид и подписано от разгледалия делото съдия, при наличие на положителните и липса на отрицателните предпоставки за упражняване на правото на иск.

Решението е неправилно по следните съображения:

Предявеният иск е с правно основание чл. 82, параграф 1 от Регламент (ЕС) 2016/679, във връзка с чл. 39 ЗЗЛД, чл. 203 АПК, вр. чл. 1, ал. 1 ЗОДОВ.

Предвид чл. 82 от Регламент (ЕС) 2016/679 предметът на доказване изисква установяване на: 1. нарушение на правата на субекта на данни по Регламент (ЕС) 2016/679 в резултат на обработване на личните му данни, което не е в съответствие с регламента; 2. причинена материална или нематериална вреда; 3. причинна връзка между нарушението на правата по регламента и причинената вреда.

В съображение 36 на Решение от 14 декември 2023 г. по дело С-340/21 на СЕС е посочено че от текста на член 82, параграф 1 от ОРЗД ясно следва, че наличието на „вреди“, които са били „нанесени“, е едно от условията за правото на обезщетение, предвидено в посочената разпоредба, както и наличието на нарушение на този регламент и на причинно-следствена връзка между тези вреди и това нарушение, като тези три условия са кумулативни.

Първоинстанционният съд правилно е приел, че е налице първата предпоставка за ангажиране отговорността на администратора на лични данни. Неправилно първоинстанционният съд е обсъждал нарушения от страна на НАП като администратор на лични данни на чл. 59, ал. 1 ЗЗЛД. Член 59 ЗЗЛД е неотносим към задълженията на НАП като администратор на лични данни. Разпоредбата се намира в Глава осма на ЗЗЛД, която регламентира правилата за защита на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване.

Защитата на физическите лица във връзка с обработването на личните им данни е основно право. Съгласно чл. 8, параграф 1 от Харта на основните права на Европейския съюз (ХОПЕС) всеки има право на защита на неговите лични данни. Регламент (ЕС) 2016/679 предвижда задължения за администраторите на лични данни и обработващите лични данни да осигурят необходимата защита на тези данни, така че да се гарантира тяхното законосъобразно обработване, в съответствие с принципите определени в чл. 5 ОРЗД.

Членове 24 и 32 от Регламент (ЕС) 2016/679 задължават администратора на лични данни (какъвто се явява НАП) да вземе подходящите технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с регламента и със закона. Същите не са конкретно посочени, защото подходът, който е възприет, е всеки администратор сам да определи кои да бъдат тези мерки. С оглед чл. 82, параграф 3 от ОРЗД предвиждащ, че администраторът или обработващият лични данни се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата, тежестта да докаже, че са взети подходящите организационни и технически мерки, е на администратора/обработващия, а не на лицето, което твърди, че в резултат на липсата на такива мерки, е претърпяло вреда. Поради това изложените в касационната жалба съображения, че съдът не е обосновал кое нормативно задължение НАП не е изпълнила, са неоснователни. Разпоредбата ясно възлага тежестта на доказване върху администратора на лични данни, при възражение от негова страна за освобождаване от отговорност за причинени вреди в резултат на нарушаване на регламента, да установи по несъмнен начин, че е предприел подходящите и ефективни организационни и технически мерки, така че по никакъв начин не е отговорен за изтичането на личните данни на ищеца в интернет пространството, в резултат на извършения неправомерен пробив в информационната система на НАП.

В т. 3 от диспозитива на Решение от 14 декември 2023 г. по дело С-340/21 на СЕС изрично е посочено, че принципът на отчетност на администратора, закрепен в член 5, параграф 2 и конкретизиран в член 24 от Регламент 2016/679, трябва да се тълкува в смисъл, че в исково производство за обезщетение по член 82 от този регламент разглежданият администратор носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурност по член 32 от посочения регламент са подходящи.

В процесния случай ответникът не е представил доказателства, от които да се установи, че същият е приложил подходящите мерки за сигурност. Правилно решаващият съд е посочил, че доводите на ответника, че след 15.07.2019 г., когато е осъществен нерегламентираният достъп, е предприел мерки за защита на данните са ирелевантни. В първоинстанционното производство ответникът не е ангажирал никакви доказателства, вкл. и писмени, за да докаже, че е взел подходящите технически и организационни мерки за защита на личните данни. Доказателствената тежест за установяване на този факт е била в тежест на НАП.

Не се споделят от настоящата инстанция доводите на съда, че извършената хакерска атака, с която е осъществен неправомерен достъп до информационната система на НАП е неоспоримо доказателство, че не са предприети подходящи технически и организационни мерки за защита при обработване на личните данни на ищеца, което е достатъчно да бъде направен извод за противоправност на бездействието на НАП, като възраженията в тази връзка в касационната жалба са основателни. В т. 1 от диспозитива на Решение от 14 декември 2023 г. по дело С-340/21 на СЕС, е прието, че членове 24 и 32 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) трябва да се тълкуват в смисъл, че неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на член 4, точка 10 от този регламент сами по себе си не са достатъчни, за да се приеме, че приложените от съответния администратор технически и организационни мерки не са „подходящи“ по смисъла на тези членове 24 и 32. В т. 5 от диспозитива на Решение от 14 декември 2023 г. по дело С-340/21 на СЕС е прието, че член 82, параграф 3 от Регламент 2016/679 трябва да се тълкува в смисъл, че администраторът не се освобождава от задължението си по член 82, параграфи 1 и 2 от този регламент за обезщетяване на претърпените от дадено лице вреди само поради факта, че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на член 4, точка 10 от посочения регламент, като посоченият администратор трябва тогава да докаже, че причинилият съответните вреди факт не може по никакъв начин да му бъде вменен.

Именно това обстоятелство е останало недоказано от ответника в производството, че причинилият съответните вреди факт не може по никакъв начин да му бъде вменен. Това е резултат от несправянето на ответника да докаже благоприятните факти, които са били в негова тежест. В съображение 74 от ОРЗД е предвидено, че администраторът следва да е длъжен да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с настоящия регламент, включително ефективността на мерките. Тези мерки следва да отчитат естеството, обхвата, контекста и целите на обработването, както и риска за правата и свободите на физическите лица. А в съображение 146 е предвидено, че администраторът или обработващият лични данни следва да бъде освободен от отговорност, ако докаже, че по никакъв начин не е отговорен за вредите.

Ответникът не е ангажирал доказателства, за да докаже, че е приложил подходящи организационни и технически мерки за осигуряване на нивото на риска, предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица. Ответникът е следвало да докаже такова изградено ниво на сигурност, което свежда до минимум риска от неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, но същият не се е справил с доказателствената тежест. Не е доказал, че по никакъв начин не е отговорен са събитието причинило вредата.

Неправилно съдът е приел, че е налице втората предпоставка за основателност на исковата претенция. Ищецът твърди причинена неимуществена вреда, подробно описана в исковата молба. В т. 6 от диспозитива на Решение от 14 декември 2023 г. по дело С-340/21 на СЕС е посочено, че член 82, параграф 1 от Регламент 2016/679 трябва да се тълкува в смисъл, че опасенията, които субект на данни изпитва, вследствие на нарушение на този регламент, от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериална вреда“ по смисъла на тази разпоредба. Тежестта на доказване е на ищеца.

В Решение от 4 май 2023 г. по дело С-300/21 на СЕС е предвидено, че член 82, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) трябва да се тълкува в смисъл, че самото нарушение на разпоредбите на този регламент не е достатъчно, за да се присъди право на обезщетение (т. 1). Член 82, параграф 1 от Регламент 2016/679 трябва да се тълкува в смисъл, че не допуска национална разпоредба или практика, която поставя поправянето на нематериални вреди по смисъла на тази разпоредба в зависимост от условието нанесените на субекта на данните вреди да са достигнали определена степен на значимост (т. 2). Член 82 от Регламент 2016/679 трябва да се тълкува в смисъл, че за да се определи размерът на обезщетението, дължимо на основание на закрепеното в този член право, националните съдилища трябва да приложат вътрешните правила на всяка държава членка относно обхвата на паричното обезщетение, стига да са спазени принципите на равностойност и ефективност на правото на Съюза.

В случая независимо, че ищецът е ангажирал доказателства за преживени негативни емоции, подробно описани в исковата молба, същият не е доказал какви негови лични данни са достъпени неправомерно. За доказване изтичането на лични данни ищецът е ангажирал, както е наименувано в исковата молба „копие от потвърдителните СМС-и, справки от интернет портала на НАП и извадки от публично оповестени таблици с лични данни, с които сме уведомени, че по отношение на нас е налице неправомерно разкриване на личните ни данни“. В кориците на първоинстанционното дело, на лист 16 и лист 18, се съдържат идентични извадки, вероятно от потвърдителни SMS, в който е отразено: „НАП: По заявка номер 9408 ИМА неправомерно разкрити лични данни“ (точен цитат). Няма никаква яснота кой е направил заявката и дали тя касае Е. Магрисо, т. е. не е ясно, че са изтекли именно данните на г-н Магрисо. Неправилно съдът е приел, че за удостоверяването на изтичането на лични данни е представена един брой справка от дата 27.07.2019 г. Цитираните по-горе извадки не са справка. Върху същите не е отразена датата 27.07.2019 г., а само „7-27 19:06“. За да може да се приложи принципа на равностойност и ефективност, съобразно посоченото в цитираното Решение от 4 май 2023 г. по дело С-300/21 на СЕС, ищецът следва да посочи и докаже какви негови лични данни са публично оповестени, за да може да се прецени притестнението и страха като неимуществени вреди и да се определи адекватно парично обезщетение. Липсата на доказателства какви точно лични данни са изтекли и че изтеклите лични данни са именно на ищеца имат за последица недоказаност на втория елемент от фактическия състав на отговорността. Правилата за доказателствената тежест на иск по чл. 82 ОРЗД не са по-неблагоприятни, от правилата, които уреждат подобни вътрешноправни положения за други искове. Правилото на чл. 154, ал. 1 ГПК изисква всяка страна да установи фактите, на които основава своите искания и възражения. Следователно принципа на равностойност и принципа на ефективност ще са спазени, като е необходимо ищецът да докаже, че именно негови конкретни лични данни са изтекли. Тъй като трите елемента следва да са кумулативно налице, липсата на един от тях има за последица неоснователност на иска и не следва се обсъжда дали е налице и третата предпоставка за основателност на иска.

По изложените съображения решението в обжалваната част като неправилно ще следва да се отмени и се постанови ново, с което предявеният от Е. Магрисо иск се отхвърли и в останалата му част.

Предвид изхода на спора основателна е претенцията на процесуалния представител на НАП да бъде присъдено юрисконсултско възнаграждение. Размерът на възнаграждението с правно основание чл. 78, ал. 8, вр. с чл. 37 от Закона за правната помощ и чл. 24 от Наредбата за заплащане на правната помощ, предвид правната и фактическа сложност на делото, следва да се бъде определена в размер на 100 лв.

Воден от горното и на основание чл. 221, ал. 2, изр. първо, предл. второ АПК, Върховният административен съд, пето отделение

РЕШИ:

ОТМЕНЯ Решение № 5534/16.10.2020 г. на Административен съд – София-град (АССГ), постановено по адм. дело № 11292/2019 г., в частта, в която Национална агенция за приходите е осъдена да заплати на Е. Магрисо сумата от 300 (триста) лева, за периода 15.07.2019 г. – 16.09.2019 г., заедно със законната лихва, считано от 16.09.2019 г. до окончателното изплащане, на основание чл. 1, ал. 1 от Закона за отговорността на държавата и общините за вреди (ЗОДОВ) и в частта, в която Национална агенция за приходите е осъдена да заплати на Е. Магрисо сумата от 340 (триста и четиридесет) лева разноски по делото, на основание чл. 10, ал. 3 от Закона за отговорността на държавата и общините за вреди и ВМЕСТО НЕГО ПОСТАНОВАВЯ:

ОТХВЪРЛЯ предявения от Е. Магрисо иск срещу Национална агенция за приходите с правно основание чл. 82 от Регламент (ЕС) 2016/679 за заплащане на сумата от 300 (триста) лева представляваща обезщетение за претърпените неимуществени вреди за периода 15.07.2019 г. – 16.09.2019 г., ведно със законната лихва върху тази сума, считано от 16.09.2019 г. до окончателното изплащане.

ОСЪЖДА Е. Магрисо, [ЕГН] да заплати на Национална агенция за приходите сумата от 100 (сто) лева разноски по делото.

Решението е окончателно.

Вярно с оригинала,

Председател:

/п/ ВИОЛЕТА ГЛАВИНОВА

секретар:

Членове:

/п/ М. Н. п/ МИРЕЛА ГЕОРГИЕВА

Дело
  • Мария Николова - докладчик
  • Виолета Главинова - председател
  • Мирела Георгиева - член
Дело: 2895/2021
Вид дело: Касационно административно дело
Отделение: Пето отделение
Страни:
Достъпно за абонати.
Цитирани ЮЛ:
Достъпно за абонати.
Ключови думи
право на есделиктдоказателствена тежестинформационно праволихвалични даннинеизпълнение на облигационно задължениенеимуществени вредиотговорност за вреди причинени от администрацията
Цитирани разпоредби
чл. 208 АПКчл. 1, ал. 1 ЗОДОВчл. 209, т. 3 АПКчл. 38 ЗАдвчл. 24 Регламент (ЕС) 2016/679чл. 32, ал. 1 Регламент (ЕС) 2016/679чл. 59, ал. 1 ЗЗЛДчл. 4, ал. 7 Регламент (ЕС) 2016/679чл. 59 ЗЗЛДчл. 52 ЗЗДчл. 86, ал. 1 ЗЗДчл. 10 ЗОДОВчл. 39 АПКчл. 203 АПКчл. 39 ЗЗЛДчл. 82, ал. 1 Регламент (ЕС) 2016/679чл. 82 Регламент (ЕС) 2016/679чл. 8 Хартата на основните права на ЕСчл. 5 Регламент (ЕС) 2016/679чл. 82, ал. 3 Регламент (ЕС) 2016/679чл. 154, ал. 1 ГПКчл. 78, ал. 8 ЗПрПчл. 10, ал. 3 ЗОДОВ
Цитирана практика на ЕС
Решение от 14.12.2023 по дело C-0340/2021 на СЕС Решение от 04.05.2023 по дело C-0300/2021 на СЕС
Информация за акта
Маркиране
Зареждане ...
Зареждане...