Решение №7258/12.06.2024 по адм. д. №4931/2021 на ВАС, V о., докладвано от съдия Румен Йосифов

РЕШЕНИЕ № 7258 София, 12.06.2024 г. В ИМЕТО НА НАРОДА

Върховният административен съд на Р. Б. - Пето отделение, в съдебно заседание на двадесет и втори май две хиляди двадесет и четвърта година в състав: Председател: Д. Ч. Членове: ЕМИЛ Д. Й. при секретар М. В. и с участието на прокурора Н. Н. изслуша докладваното от съдията Р. Й. по административно дело № 4931/2021 г.

Производството е по чл. 208 и сл. от Административнопроцесуалния кодекс (АПК).

Образувано е по две касационни жалби срещу решение № 73 от 05.02.2021 г., постановено по адм. дело № 565/2020 г. по описа на Административен съд Пазарджик.

Първата по време касационна жалба е подадена от Националната агенция за приходите (НАП, Агенцията), чрез пълномощника Д. И. - началник-отдел „Правен“ при ТД на НАП - Пловдив, срещу частта от решението с която НАП е осъдена да заплати на С. П. С. обезщетение в размер на 200 лева за претърпени неимуществени вреди, вследствие на разкрити лични данни, както и в частта за разноските, с искане за неговата отмяна в тези части. Развитите доводи са за неправилност на атакуваното решение поради нарушение на материалния закон, съществено нарушение на съдопроизводствените правила и необоснованост - отменителни основания по чл. 209, т. 3 АПК. Заявява се, че съдът не е обсъдил всички доказателства. Не е установено кога ищцата е узнала за изтичането на нейни лични данни и не са доказани претърпени неимуществени вреди. Твърди се, че Агенцията е привела операциите по обработване на лични данни в съответствие с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Регламент (ЕС) 2016/679, Общ регламент относно защитата на данните, ОРЗД, Регламента) и Закона за защита на личните данни (33ЛД). Предприела е всички необходими технически и организационни мерки за защита на личните данни, за което са представени по делото съответни документи. Неоторизираният достъп до информационната система на НАП и последвалото разпространение на лични данни е резултат на престъпно деяние, поради което Агенцията не следва да носи отговорност за настъпилите вредоносни последици. Заявява се, че не е налице пряка причинно-следствена връзка между твърдените от ищцата вреди и неоторизирания достъп до данните на НАП. В съдебно заседание претендира разноски.

Втората касационна жалба е подадена от С. П. С., чрез пълномощника адвокат А. П. срещу осъдителната и отхвърлящата иска част от решението, както и в частта за разноските, като се иска уважаването на исковата претенция в пълния предявен размер от 1200 лева. Изложените оплаквания се квалифицират като твърдения за неправилност на решението поради нарушение на материалния закон - чл. 209, т. 3, предл. 1 АПК. С. описва показанията на разпитания по делото свидетел и счита, че с тях се установяват изпитаните от нея страхове, което обосновава цялостна основателност на иска. С допълнителна молба претендира разноски за настоящата инстанция.

Представителят на Върховна прокуратура дава мотивирано заключение за неоснователност на двете касационни жалби.

Върховният административен съд, състав на пето отделение, след като прецени данните по делото и обсъди доводите на страните констатира, че касационните жалби са подадени от надлежни страни в срока по чл. 211, ал. 1 АПК, което ги прави процесуални допустими. Разгледани по същество и с оглед разпоредбата на чл. 218, ал. 1 АПК, те са основателни.

Производството пред Административен съд Пазарджик е образувано по предявен от С. С. иск с посочено правно основание чл. 1, ал. 1 от Закона за отговорността на държавата и общините за вреди (ЗОДОВ), за присъждане на обезщетение в размер на 1200 лева за претърпени неимуществени вреди в резултат на неизпълнение от НАП на задължението й по чл. 59, ал. 1 от 33ЛД и чл. 32 от Регламент (ЕС) 2016/679, довело до неразрешено разкриване на нейните лични данни, ведно със законната лихва, считано от 15.07.2019 г. до окончателното изплащане.

Първоинстанционният съд е приел, че са налице всички елементи на фактическия състав на отговорността – противоправно бездействие на административния орган, претърпени от ищцата неимуществени реди и причинна връзка между тях. Установил е наличието на неоторизиран достъп до информационните масиви на НП, осъществен на 15.07.2019 г., в резултат на което е изтекла информация, съдържаща личните данни на множество български граждани. По отношение на ищцата е установено, че са изтекли ЕГН, данни от справка за изплатени доходи на физически лица за 2008 г. Съдът е извършил преглед на предприетите мерки за защита на сигурността на информацията в НАП, на база представените от Агенцията заповеди на изпълнителния й директор, с които са одобрени процедури, правила, политики, инструкции, указания и методики. След като е обсъдил съдържанието на приложими норми от Регламент (ЕС) 2016/679 и ЗЗЛД е извел извод, че НАП не е доказала да е предприела действия по въвеждането на необходими и подходящи технически мерки, за да гарантира, че обработването на лични данни се извършва в съответствие с нормативната уредба. По отношение възражението, че изтичането на данни е резултат на престъпно посегателство е преценено, че това не изключва отговорността на Агенцията, тъй като не е изпълнила задълженията си по чл. 32 от ОРЗД.

По отношение твърдените от ищцата неимуществени вреди, съдът е приел, че такива са настъпили, тъй като евентуално посредством изтеклите й данни, тя е можела да бъде субект на телефонни измами или трето лице да получи паричен заем от нейно име и за нейна сметка, като тези притеснения на ищцата са продължили около месец. Изводите са направени на основание показанията на разпитания свидетел - син на ищцата. Прието е наличието и на причинна връзка между установеното бездействие на НАП причинените на ищцата имуществени вреди. Уваженият размер на претенцията от 200 лева е определен на основание чл. 52 от Закона за задълженията и договорите (ЗЗД).

По тези съображения Административен съд Пазарджик е постановил атакуваното решение в три отделни диспозива - установителен, осъдителен и отхвърлителен. С първия диспозитив съдът е признал за установено по отношение на ищцата, че НАП не е извършила необходимите действия по чл. 32, 1 от ОРЗД и чл. 59, ал. 1 ЗЗЛД, да гарантира, че обработването на лични данни се извършва в съответствие с нормативните изисквания. С втория диспозитив - е осъдил НАП да заплати на ищцата сумата от 200 лева, представляваща обезщетение за неимуществени вреди, изразяващи се в страх и притеснение от евентуална злоупотреба с неправомерно разпространени нейни лични данни, ведно със законната лихва върху тази сума от 15.07.2019 г. до окончателното изплащане. С третия диспозитив - е отхвърлил останалата част от исковата претенция до пълния предявен размер от 1200 лева, както и за лихвата. Произнесъл се е и по разноските.

Решението е неправилно поради допуснати от първоинстанционния съд съществени нарушения на съдопроизводствените правила, станали причина за неговата необоснованост. Във връзка с допуснатите нарушения, относимите към спора факти са останали неизяснени, което е пречка за извършването на проверка за правилното приложение на материалния закон. Административният съд неправилно е определил правното основание на иска, дал е погрешни и непълни указания по разпределението на доказателствената тежест с оглед изискванията на Регламент (ЕС) 2016/679, не е установил относими към спора факти, необходими за правилното решаване на правния спор, неправилно е структурирал диспозитива на решението си при произнасянето по предявения осъдителен иск - с осъдителна и отхвърлителна част.

Правилно предявеният от С. С. иск за присъждане на обезщетение за твърдените неимуществени вреди е разгледан по реда на чл. 203, ал. 1 АПК, въпреки че дадената от съда правна квалификация не е точна.

Правото на ефективна съдебна защита срещу администратор или обработващ лични данни е уредено в чл. 79, 1 от ОРЗД, който предвижда, че без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно чл. 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по Регламента са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с него. Производствата срещу даден администратор или обработващ лични данни се образуват пред съдилищата на държавата членка, в която администраторът или обработващият лични данни има място на установяване - чл. 79, 2.

Правото на обезщетение и отговорност за причинени вреди е предвидено в чл. 82, 1 от ОРЗД, съгласно който всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на регламента, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава Регламента - 2. Съгласно член 82, 6 от него съдебните производства във връзка с упражняването на правото на обезщетение се образуват пред съдилища, компетентни, съгласно правото на държавата членка, посочена в член 79, 2.

Националната нормативна уредба за защита правата на физическите лица при обработване на личните им данни, доколкото същите не са уредени в Регламент (ЕС) 2016/79, се съдържа в чл. 1, ал. 1 ЗЗЛД. Съгласно чл. 39, ал. 1 ЗЗЛД при нарушаване на правата му по Регламент (ЕС) 2016/679 и по закона субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на АПК. В производството по ал. 1 субектът на данни може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора или на обработващия лични данни - чл. 39, ал. 2 ЗЗЛД.

В чл. 39, ал. 1 ЗЗЛД не се съдържа специална процесуална уредба относно реда за упражняване на правото на субекта да сезира съда за нарушените му права при обработване на личните му данни, а се препраща към общия административнопроцесуален закон за търсене на отговорност на всички администратори на лични данни, независимо от тяхната правосубектност - публични органи или частноправни субекти. Процесуалният ред, по който засегнатият субект може да търси обезщетение и отговорност за причинените вреди поради неправомерно обработване на личните му данни, е уреден в глава единадесета „Производство за обезщетения“ на АПК. Съгласно разпоредбата на чл. 203, ал. 1 АПК исковете за обезщетения за вреди, причинени на граждани или юридически лица от незаконосъобразни актове, действия или бездействия на административни органи и длъжностни лица, се разглеждат по реда на глава единадесета.

Фактическият състав, при осъществяването на който възниква правото на обезщетение за вреди, произтичащо пряко от чл. 82, 1 от ОРЗД, включва претърпени материални или нематериални вреди настъпили в причинна връзка с нарушение на Регламента. В конкретния случай посоченият фактически състав действително съвпада с този по възникване право на обезщетение по чл. 1 ЗОДОВ - незаконосъобразно бездействие, вреда и причинна връзка между тях. Това обаче не означава, че искът е следвало да се квалифицира като такъв с правно основание чл. 1, ал. 1 ЗОДОВ, както е преценил първоинстанционният съд.

Изложените от С. С. факти, изрично сочещи на допуснати от администратора на лични данни нарушения на задължения, които произтичат от чл. 24 и чл. 32 от ОРЗД, обуславят правна квалификация на иска по чл. 82, 1, вр. 2 от Регламента. Този извод не се променя от обстоятелството, че предвидените в посочените текстове задължения са преповторени, съответно в чл. 59 и чл. 66 ЗЗЛД, както и че С. се позовава както на тези норми, така и на чл. 1 ЗОДОВ.

Всъщност неотносимо е позоваването на чл. 59 и чл. 66 ЗЗЛД, тъй като тези разпоредби се намират в глава Осма от ЗЗЛД, регламентираща правилата за защита на физическите лица във връзка с обработването на лични данни от компетентните органи, но само за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване.

Освен това дадените от ищцата правни квалификации не обвързват съда. От значение са само фактическите й твърдения, въз основа на които съдът следва да даде вярната правна квалификация на иска, съобразявайки от кой нормативен акт произтичат претендираните от нея правни последици и какво е мястото му в йерархията на източниците на правото. В случая се твърдят нарушения на задължения, произтичащи пряко от чл. 24 и чл. 32 от ОРЗД.

Разпоредбата на чл. 24 „Отговорност на администратора“ от Регламент (ЕС) 2016/79 предвижда, че като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствия с Регламента. В допълнение, в чл. 32 са предвидени конкретните мерки които следва да се предприемат, а именно: „Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно: a) псевдонимизация и криптиране на личните данни; б) способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване; в) способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент; г) процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

От значение за предмета на правния спор е решението на Съда на европейския съюз (СЕС) по дело С-340/21 г., до постановяването на което производството по настоящото дело беше спряно. Съгласно това решение, издадено на 14.12.2023 г., чл. 24 и чл. 32 ОРЗД трябва да се тълкуват в смисъл, че неоторизираното разкриване на лични данни не е достатъчно за да се приеме, че техническите и организационни мерки, приложени от администратора, не са били подходящи. Предприетите мерки от него трябва да бъдат оценявани за всеки конкретен случай, като се преценят рисковете свързани със съответното обработване, както и дали съдържанието и изпълнението на мерките са подходящи за тези рискове. При предявен иск за обезщетение по чл. 82 ОРЗД, администраторът носи тежестта на доказване, че прилаганите от него мерки за сигурност са подходящи съгласно чл. 32 от Регламента. Той не може да бъде освободен от отговорност, само защото вредата е резултат от неразрешено разкриване от трета страна, а трябва да докаже, че по никакъв начин не е отговорен за събитието, довело до съответните щети. Страхът, изпитван от субект на данни по отношение на възможна злоупотреба с неговите лични данни от трети страни в резултат на нарушение на ОРЗД, може да се квалифицира като неимуществена вреда.

Няма съмнение, че НАП е администратор на лични данни по смисъла на чл. 4, т. 7 от Регламента и при обработване на личните данни, следва да спазва принципите за законосъобразност и добросъвестност, залегнали в чл. 5, 1, б. „а“, както и по б. „е"“ а именно: личните данни трябва да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“). При тези правни квалификации, първоинстанционният съд е следвало да съобрази и разпоредбата на чл. 82, 3 от ОРЗД, съгласно която администраторът или обработващият лични данни се освобождава от отговорност съгласно 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата. Посочената разпоредба касае доказателствената тежест в процеса, като възлага на ответника по иска да докаже липсата на два от елементите от фактическия състав на отговорността за вреди, а именно липсата на нарушение по смисъла на Регламента и липсата на причинна връзка. За ищеца по иска с правно основание чл. 82, 1, вр. 2 от Регламента остава да докаже настъпването на вредите, както и в какво конкретно се изразява бездействието на администратора на лични данни. Това понастоящем, макар и след постановяването на обжалваното съдебно решение, е установено и в решение на СЕС по дело С-340/21 г.

В процеса пред първоинстанционния съд са дадени неточни указания по тежестта на доказване с определение № 900 от 19.06.2020 г., тъй като само от ищцата е изискано да докаже твърдение вреди, както и че те са в резултат на бездействие на служители на НАП, изразяващо се в неполагане достатъчна грижа и неприлагане на ефективни мерки за защита на съхраняваните данни в резултат на което те са били разкрити. От НАП е изискано да установи дали, кога и какви данни на ищцата са били разкрити. Съдът не е очертал правилно спорните между страните факти, които следва да бъдат доказани, съответно липсва разграничаване на безспорните факти. На страните не са дадени съответни указания по тежестта на доказване, съобразно техните твърдения, конкретния спор и приложимата нормативна уредба. На НАП не е указано, че именно в нейна тежест е да установи, че не е отговорна за събитието, причинило вредата, тоест, че липсва нарушение, в причинна връзка с което са претърпени вредите, нито че съгласно чл. 24, 2 и 3 и чл. 32 от ОРЗД администраторът на лични данни следва да доказва наличието на подходящи политики за защита на данните и придържането към одобрени кодекси за поведение или одобрени механизми за сертифициране, както и прилагането на конкретни подходящи технически и организационни мерки, съобразени с конкретните рискове.

При неправилността и липсата на дадени указания по разпределението на доказателствената тежест в горния смисъл и на събрани относими към спора доказателства, крайният извод на административния съд е формиран при съществени процесуални нарушения и е необоснован. Освен това при постановяването на решението съдът не е включил установителната част от претенцията в осъдителния си диспозитив, а се е произнесъл отделно по нея.

По изложените съображения, обжалваното съдебно решение следва да бъде отменено, а делото върнато за ново разглеждане от друг състав на административния съд. При новото разглеждане в подробен доклад по делото съдът следва да посочи освен приложимото правно основание на иска, също относимите към спора факти, като разграничи спорните от безспорните. След определяне на спорните факти, на страните следва да бъдат дадени подробни указания по разпределението на доказателствената тежест, съобразени с техните конкретни твърдения и с нормата на чл. 82, 3 от ОРЗД включително, но не изчерпателно, за изясняване на въпросите при какви конкретни обстоятелства е допуснато изтичането на данни, има ли нерегламентиран достъп, по какъв технически начин и до какви конкретно устройства или системи, съхраняващи данни е осъществен, изцяло на външна намеса ли се дължи достъпът и възможно ли е това, какви технически мерки са предприети, за да бъде предотвратен такъв достъп, достатъчни ли са те, предвид достиженията на техническия прогрес и различните рискове, и технически възможно ли е било предотвратяването на изтичането на данни. Следва да се укаже на НАП, че негова е тежестта да докаже с всички допустими доказателствени средства, че нерегламентираният достъп не се дължи на нарушение по смисъла на Регламента, включително, че такова нарушение липсва или че е направено всичко възможно за неговото предотвратяване, предвид достиженията на техническия прогрес и различните рискове. С. С. от своя страна следва да установи наличието на конкретни неимуществени вреди претърпени от нея, както и причинна връзка между вредата и нарушението. Освен това при произнасянето с окончателния съдебен акт следва да бъде формиран коректен на предявения осъдителен иск диспозитив.

Предвид изложеното и доколкото допуснатите от съда нарушения на съдопроизводствените правила са съществени, те са основание за отмяна на обжалваното решение и връщане на делото за ново разглеждане от друг състав на първоинстанционния съд при съобразяване на изложеното в мотивите на настоящото решение.

По разноските ще се произнесе съдът при новото разглеждане на делото на основание чл. 226, ал. 3 АПК.

Ето защо и на основание чл. 221, ал. 2, изр. първо, предл. второ и чл. 222, ал. 2, т. 1 АПК, Върховният административен съд, пето отделение

РЕШИ:

ОТМЕНЯ решение № 73 от 05.02.2021 г., постановено по адм. дело № 565/2020 г. по описа на Административен съд Пазарджик.

ВРЪЩА делото за ново разглеждане от друг състав на Административен съд Пазарджик, при съобразяване на изложеното в мотивите на настоящото съдебно решение.

Решението е окончателно.

Вярно с оригинала,

Председател:

/п/ ДОНКА ЧАКЪРОВА

секретар:

Членове:

/п/ Е. Д. п/ РУМЕН ЙОСИФОВ

Дело
  • Румен Йосифов - докладчик
  • Донка Чакърова - председател
  • Емил Димитров - член
Дело: 4931/2021
Вид дело: Касационно административно дело
Отделение: Пето отделение
Страни:
Достъпно за абонати.
Цитирани ЮЛ:
Достъпно за абонати.
Ключови думи
право на есделиктинформационно праволични даннинеимуществени вредиотговорност за вреди причинени от администрацията
Цитирани разпоредби
чл. 208 АПКчл. 209, т. 3 АПКчл. 211, ал. 1 АПКчл. 218, ал. 1 АПКчл. 32 Регламент (ЕС) 2016/679чл. 52 ЗЗДчл. 59, ал. 1 ЗЗЛДчл. 203, ал. 1 АПКчл. 79 Регламент (ЕС) 2016/679чл. 82 Регламент (ЕС) 2016/679чл. 1, ал. 1 ЗЗЛДчл. 39, ал. 1 ЗЗЛДчл. 39, ал. 2 ЗЗЛДчл. 1 ЗОДОВчл. 1, ал. 1 ЗОДОВчл. 24 Регламент (ЕС) 2016/679чл. 59 ЗЗЛДчл. 226, ал. 3 АПКчл. 222, ал. 2, т. 1 АПК
Цитирана практика на ЕС
Решение от 14.12.2023 по дело C-0340/2021 на СЕС
Информация за акта
Маркиране
Зареждане ...
Зареждане...