Общо 700 лв. трябва да изплати Агенцията като обезщетение на пострадали граждани

НАП е осъдена да плати обезщетение за теча на лични данни

1886 | 12 май 2021 | 13:15

Според съда изпитването на притеснения, тревога и безпокойство представляват неимуществени вреди, които подлежат на обезщетение


Националната агенция за приходите (НАП) загуби още две дела пред Върховния административен съд (ВАС) заради теча на лични данни на над 5 млн. души през лятото на 2019 година, вследствие на хакерска атака. Това съобщава "Правен свят".

 

Решенията на съставите на съда са от 11 май (вторник) и ясно доказват, че Агенцията носи вина за последвали неимуществени вреди, вследствие на допуснатия пробив.

В подобен смисъл бе и друго решение на ВАС, постановено в понеделник, с което осъдителните решения срещу Агенцията само за тази седмица вече стават три.

Първото решение на ВАС, постановено във вторник, е може би и образец за това, което на практика се е случило в правния мир, вследствие на допуснатите от Агенцията неправомерни действия по отношение на личните данни на милиони български граждани, съхранявани именно от нея.

В решение на тричленния състав на ВАС, до което се е стигнало след обжалване от страна на Агенцията на предходно осъдително решение на Административен съд София-град, на първо място се посочва, че въпреки дадената й възможност, НАП в крайна сметка не е поискала и не е успяла да докаже, че не носи вина за незаконосъобразно бездействие. Според ВАС, е напълно неоснователно оплакването в касационната жалба за неправилно разпределение на доказателствената тежест в процеса, в резултат на което спорът е разрешен при неизяснена фактическа обстановка и неяснота относно обстоятелствата, в които се изразява бездействието на НАП без индивидуализирането му чрез конкретно фактическо или правно дължимо действие, което не е извършено. „Според чл. 154 от ГПК всяка страна е длъжна да установи фактите, на които основава своите искания или възражения, като на основание чл. 153 и чл. 155 от ГПК на доказване подлежат спорните факти от значение за решаване на делото и връзките между тях, но не общоизвестните и служебно известните на съда факти, за които съдът е длъжен да съобщи на страните. Въз основа на тези доказателствени правила АССГ дава указания на НАП, че в негова тежест е да бъде установено, че мерките, които са предприети са в съответствие със задълженията на администратор на лични данни, произтичащи от Общия регламент за защита на данните и ЗЗЛД“, казва съдът.

Оказва се още, че изрично и въпреки липсата на задължение за нарочни указания относно вида на допустимите доказателствени средства, в указанията си пъровинстанционният съд посочва, че спецификата на подлежащите на доказване обстоятелства изискват специални знания, с които съдът не разполага, но процесуалният представител на НАП отказва да ангажира съдебна експертиза. С извършените процесуални действия, на практика насочва НАП, че писмените доказателства, които са представени по делото за установяване на предприетите от администратора на лични данни действия по законосъобразното им събиране, обработване и съхраняване не са достатъчни, за да се приеме изпълнение на законовите изисквания към тази дейност. „Независимо от положените усилия от решаващият съд за изясняване на делото от фактическа страна, по делото не са събрани доказателства, от които да се установява, че предприетите от НАП мерки са подходящите технически и организационни мерки с оглед естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица“, приема ВАС.

На второ място касационната инстанция приема за доказано, че неустановяването на причината за нерегламентирания достъп до личните данни на жалбоподателката Д. М. не представлява неизясняване на спора от фактическа страна поради допуснато процесуално нарушение, респективно основание за отмяна на съдебното решение, а неустановяване на факт, освобождаващи от отговорност администратора на личните й данни. „Обосновано и в съответствие с трайната съдебна практика в областта на непозволеното увреждане, АССГ приема, че изпитването на притеснения, тревога и безпокойство представляват неимуществени вреди, които подлежат на обезщетение. Не е възможно да бъде споделено обратното становище, че изпитването само на неприятни емоции от описания вид не е достатъчно, за да бъдат определени като неимуществени вреди, ако не са свързани с реален страх от реална заплаха от увреждане на имущество или не са довели до продължително психично разстройство (дълбока депресия). Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз (Хартата/ХОПЕС) и член 16, параграф 1 от Договора за функционирането на Европейския съюз (ДФЕС) предвиждат, че всеки има право на защита на личните му данни. Принципите и правилата относно защитата на физическите лица във връзка с обработването на личните им данни следва, независимо от тяхното гражданство или местопребиваване, да са съобразени с техните основни права и свободи, и по-конкретно — с правото на защита на личните им данни. В този смисъл всяко нарушение спрямо основно право трябва да се разглежда като особено съществено“, заключва съставът на ВАС и присъжда обезщетение на ищцата в размер на 500 лв., като осъжда НАП да плати и 100 лв. адвокатски разноски.

Второто решение на ВАС от вторник също признава грешки в осигуряването на сигурността за личните данни на гражданите от страна на НАП. Разлика тук е, че в случая се отменя решение на АССГ, с което не е присъдено обезщетение на конкретния ищец.

В този случай, съставът от върховни съдии е категоричен, че правата на субекта на лични данни – ищеца по делото са били нарушени при обработката им от администратора НАП, който при неосигуряване на технически мерки, гарантиращи защитата на личните му данни е допуснал широкото им огласяване, при което Г. е изпитал притеснения свързани с евентуалното им неправомерно използване – възможни измами.

„Изложеното обосновава извод за настъпило непозволено от ЗЗЛД и Регламента увреждане на ищеца, в качеството му на субект на лични данни от администратора на същите - неизпълнение на задълженията му посочени по-горе по чл. 24 от Регламента и чл. 59, ал. 1 ЗЗЛД да предприеме подходящи технически мерки за защитата им, съобразени с отчитане естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица, а още по-малко предвидените допълнителни такива в чл. 32 от Регламента, в случая настъпилите в правната сфера на ищеца неимуществени вреди произтичат от бездействието на администратора в тази насока. Като администратор на лични данни по смисъла на чл. 4, § 7 от Регламента при обработването на тези данни НАП е следвало да спазва принципите за законосъобразност и добросъвестност по чл. 5, § 1, б. „а“ и б. „е“ – същите да бъдат обработвани по начин, гарантиращ подходящо ниво на сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като прилага подходящи технически и организационни мерки“, пише ВАС.

Върховните съдии са на мнение и, че обстоятелството, че е извършена хакерска атака – осъществен неправомерен достъп до информационната система на НАП обуславя еднозначен извод, че не са предприети необходимите технически мерки за защитата на личните данни на ищцата, тъй като ответникът в качеството му на администратор на лични данни има задължението периодично да преценява техническата надеждност и да осигури високо ниво на сигурност, а неизпълнението на това задължение води до извод, че противоправното му бездействие е довело до увреждане на лицата, чийто лични данни са обработвани от него.

„Настоящият състав намира, че в случая предявеният иск е такъв по чл. 82, § 1 от Регламента, който предвижда, че всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди и с оглед на установеното по-горе е основателен“, приема накрая ВАС и присъжда 200 лв. обезщетение на ищеца.


ОЗК

От категорията

Проверката срещу шефа на НАП тече, но все още няма резултати

Проверката срещу шефа на НАП тече, но все още няма резултати-1624168764.jpg

Премиерът Стефан Янев определи като нормално политическо говорене плановете на ...

20 юни 2021 | 08:58

Тихомир Безлов: Законът "Магнитски" може да изтрие до 50% от приходите на някои клубове

-1616048946.png

По повод на ситуацията във ФК "Левски" и обещанията на ...

19 юни 2021 | 19:25

Финансовото министерство предлага закон за покритите облигации

-1422538798.jpg

БНБ ще бъде институцията, която ще надзирава пазара на покрити облигации, става ...

19 юни 2021 | 17:31

Отново скок на цените на тока и парното - до 14%

-1621058347.jpg

По-високите цени на енергоносителите може да оскъпят хранителните стоки и ...

19 юни 2021 | 08:48