Производството е по чл. 208 и сл. от Административнопроцесуалния кодекс.
Образувано е по касационна жалба на Националната агенция за приходите срещу решение № 6032 от 03.11.2020 г. по адм. дело № 3533/2020 г. на Административен съд – София-град.
С обжалваното решение Административен съд – София-град е отхвърлил жалбата на Национална агенция за приходите срещу решение № ППН-01-337/2019 г. от 19.11.2019 г. на Комисията за защита на личните данни, с което е обявена жалба на № ППН-01-337/03.04.2019 г., подадена от Т.Н срещу Националната агенция за приходите за основателна за нарушение на разпоредбата на член 32, параграф 4 от Регламент (ЕС) № 2016/679 и на основание член 58, параграф 2, буква и) във връзка с член 83, параграф 4, буква а) от Общия регламент за защита на данните е наложил на Националната агенция за приходите, в качеството й на администратор на лични данни, имуществена санкция в размер на 2000лв. за нарушение на член 32, параграф 4 от Регламент (ЕС) 2016/679.
Касационният жалбоподател поддържа, че обжалваното решение е неправилно поради постановяването му при неправилно приложение на материалния закон и е необосновано – касационни основания за отмяната му по чл. 209, т. 3 АПК. Излага доводи, че съдът е установил коректно фактическите обстоятелства по делото, но ги е обсъдил едностранно и непълно, поради което е достигнал до погрешни правни изводи. Сочи, че съдът не е отчел, че в Националната агенция за приходите има приети инструкции за мерките и средствата за защита на личните данни, обработвани от служителите в агенцията и съблюдаването им е задължително условие за законосъобразно провеждане на служебните задължения. Поради това счита, че съдът неправилно е приел, че до нерегламентираното разкриване и разпространение на лични данни се е стигнало вследствие на непредприети стъпки от НАП спрямо служителя Д.Н да обработва данни само по указание на администратора на лични данни и неправомерното достъпване на данни е в резултат на неизпълнена от НАП задача по предотвратяване на самоволно и злоумишлено поведение на нейния служител. При тези съображения, изложени в касационната жалба, писмени бележки и пледоария по същество, иска да се отмени обжалваното решение и се уважи първоначалната жалба срещу решението на Комисията за защита на личните данни. Претендира присъждане на разноски и прави възражение за прекомерност на разноските за адвокатско възнаграждение на касационните ответници.
Ответникът по касационната жалба – Комисията за защита на личните данни, изразява становище, че обжалваното решение е правилно и не са налице касационни основания за отмяната му. Претендира разноски за юрисконсултско възнаграждение за касационната инстанция.
Т.П и Д.Н – ответници по касационната жалба, не са изразили становище по нея.
Прокурорът от Върховната административна прокуратура дава мотивирано заключение за неоснователност на касационната жалба.
Върховният административен съд, състав на пето отделение, като прецени данните по делото, доводите и възраженията на страните, намира, че касационната жалба е процесуално допустима като подадена в законния срок и от надлежна страна. Разгледана по същество е неоснователна, по следните съображения:
Съдът е установил следните фактически обстоятелства по делото:
Производството пред Комисията за защита на личните данни е образувано по жалба вх. № ППН 01-337 от 3.04.2019 г. на Т.Н (Пеева) с твърдения, че служител на ТД на НАП - Пловдив, Д.Н, с когото била в съпружески отношения, неправомерно се е възползвал от служебното си положение, даващо му право на достъп до личните й данни, като е изнесъл информация, свързана с трудовите й правоотношения и осигурителния й доход, за което е научила от получен препис от исковата молба за прекратяване на брака им.
Комисията за защита на личните данни е провела административно производство, в хода на което е установила, че Д.Н, в качеството си на служител на ТД на НАП - Пловдив е достъпил данните на Т. в периода 02.01.2019 г. – 04.02.2019 година. Личните данни на жалбоподателката пред Комисията (сега касационен ответник), съхранявани и обработвани в НАП, са обработени от Д.Н без доказана служебна необходимост. При това положение комисията е приела, че администраторът на лични данни не е предприел необходимите технически и организационни мерки за защита на личните данни на жалбоподателката от неправомерен достъп или предприетите такива са явно недостатъчни предвид факта, че същите са достъпвани без доказана служебна необходимост.
С обжалваното решение пред административния съд Комисията за защита на лични данни, при преценка на фактическите и правни обстоятелства, е приела, че за допуснатото нарушение по член 32, параграф 4 Регламент (ЕС) 2016/679 (ОРЗД) следва да наложи на администратора на лични данни имуществена санкция в размер на 2000лв., на основание член 58, параграф 2, буква и) във връзка с член 83, параграф 4, буква а).
Съдът с оглед изложените фактически установявания, които изцяло кореспондират с доказателствения материал по делото, правилно е приел, че оспореното решение на административния орган е законосъобразно и не са налице основания за отмяната му.
Правилно съдът е приел, че решението е издадено от компетентния административен орган, в предписаната от закона форма и съдържание и при спазване на административнопроизводствените правила.
Правилни са изводите на съда за материална законосъобразност на обжалваното решение.
Съгласно член 32, параграф 4 от Регламент (ЕС) 2016/679, администраторът и обработващият лични данни предприемат стъпки всяко физическо лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до лични данни, да обработва тези данни само по указание на администратора, освен ако от въпросното лице не се изисква да прави това по силата на правото на Съюза или правото на държава членка. В случая е безспорно установено, че служителят на администратора на лични данни е обработил личните данни на Т.П без да е налице служебна необходимост. Съдът е достигнал до верен извод, че администраторът на лични данни не е доказал, че е предприел всички необходими мерки с оглед предотвратяване на достъп до личните данни на лицата, които съхранява и обработва, без да е налице служебна необходимост. Представените доказателства по делото в тази връзка са обсъдени от съда, който обосновано е приел, че от същите не следва обратен извод. По отношение на приложените по делото Инструкция № 2 от 11.06.2013 г. за мерките и средствата за защита на лични данни, обработвани в Националната агенция за приходите и реда за движение на преписки и заявяване на регистри и Инструкция № 2 от 08.05.2019 г., на които се позовава администраторът на лични данни като доказателство, че е предприел всички необходими мерки за регламентирано обработване на личните данни от служителите на агенцията, на първо място по делото няма данни същите да са доведени до знанието на служителя. Не е представена и попълнена декларация от същия, образец на която е приложен към двете инструкции. На следващо място, трябва да се посочи, че Инструкция № 2 от 08.05.2019 г., която е издадена при действието и в изпълнение на разпоредбите на Регламент (ЕС) 2016/679, е приета след осъществяване на неправомерния достъп на служителя на администратора на лични данни и в този смисъл е неотносима към преценката изпълнил ли е същият задълженията си по член 32, параграф 4 Регламент (ЕС) 2016/679 (ОРЗД) Поради това, съдът правилно е преценил, че независимо от обстоятелствата, че служителят самоволно и в личен интерес е нарушил изискванията за работа с информационните системи на Националната агенция за приходите, за неправомерните действия следва да бъде ангажирана отговорността на администратора на лични данни. В съответствие с фактите по делото и приложимата нормативна уредба, съдът обосновано е отхвърлил доводите и възраженията на касационния жалбоподател срещу наложената имуществена санкция по реда и на основание член 58 Регламент (ЕС) 2016/679 (ОРЗД) Размерът на същата е съобразен с тежестта на нарушението и отговаря на преследваната цел за преустановяване и предотвратяване на нарушенията, свързани с обработване на личните данни на лицата. Ето защо наведените доводи в касационната жалба за неправилност на съдебното решение са неоснователни.
Изложените съображения от касатора по отношение персоналната отговорност на лицето, извършило неправомерния достъп до личните данни на Т.П, са релевантни към преценката за ангажиране на отговорността му за нарушение на служебните задължения, но не обуславят основание за освобождаване на администратора на лични данни от отговорността му за неспазване на изискванията по член 32, параграф 4 от Общия регламент за защита на данните.
Предвид изложеното, обжалваното решение е правилно и следва да се остави в сила.
С оглед изхода на спора и своевременно направеното искане от Комисията за защита на лични данни за присъждане на разноски, Националната агенция за приходите следва да й заплати сумата 100лв. разноски за юрисконсултско възнаграждение, съгласно чл. 78, ал. 8 ГПК във вр. чл. 144 АПК. Останалите касационни ответници не са направили разноски и не са претендирали заплащане на такива.
Водим от горното, Върховният административен съд, пето отделение, РЕШИ:
ОСТАВЯ В СИЛА решение № 6032 от 03.11.2020 г. по адм. дело № 3533/2020 г. на Административен съд – София-град.
ОСЪЖДА Националната агенция за приходите да заплати на Комисията за защита на личните данни сумата 100лв. разноски за касационната инстанция. Решението не подлежи на обжалване.