Приходната агенция беше осъдена и трябва да плати обезщетения

ВАС пита съда в Люксембург за изтеклите от НАП лични данни

2355 | 14 май 2021 | 13:08

На практика с него се спират производствата по всички такива дела в страната до произнасянето на европейския съд


Върховният административен съд отправя преюдициално запитване до Съда на Европейския съюз по казус, свързан с теча на лични данни от НАП. Запитването е отправено във връзка с административно дело №1037 от 2021 г. на ВАС, но на практика с него се спират производствата по всички такива дела в страната до произнасянето на европейския съд. Това съобщиха от пресцентъра на Върховния административен съд.

Административното дело пред ВАС е образувано по жалба на физическо лице срещу решение № 6800 от 27.11.2020 г. по адм. дело № 11217 от 2019 г. на Административен съд София - град, с което е отхвърлен като неоснователен иска й за присъждане на обезщетение в размер на 1000 лв. за претърпени неимуществени вреди от незаконосъобразно бездействие на НАП като администратор на лични данни, изразяващо се в неизпълнение в достатъчна степен на задължения по чл. 59, ал.1 от Закона за защита на личните данни, чл. 24 и чл. 32 от Регламент(ЕС) 2016/679, с правно основание чл.1, ал.1 от Закона за отговорността на държавата и общините за вреди (ЗОДОВ).

Във ВАС като касационна инстанция има постъпили над 100 дела по ЗОДОВ във връзка с изтичането на личните данни от НАП. Съдебните производства срещу НАП са приключили на първа инстанция с противоречиви резултати. Исковете или са отхвърляни като неоснователни или са уважавани изцяло или частично. Нормативната уредба е тълкувана и прилагана противоречиво по всички елементи на отговорността на администратора на лични данни.

СЛЕД ТЕЧА НА ДАННИ: Над 150 души с колективен иск срещу НАП

Към настоящия момент са налице влезли в сила следните осъдителни решения по идентични казуси: № 4981/25.09.2020 г. по адм.д.№ 11258/ 2019 г. по описа на АССГ, оставено в сила с решение № 5587/10.05.2021 г. по адм.д.№ 12911/2020 г. по описа на ВАС, решение № 4978/ 25.09.2020 г. по адм.д.№ 11174/2019 г. по описа на АССГ, оставено в сила с решение № 5646/11.05.2021 г. по адм.д.№ 12915/ 2020 г. по описа на ВАС. С решение № 5635/ 11.05.2021 г. по адм.д.№ 12799/2020 г., решение №5719/12.05.2021 г. по адм.д. №12380/ 2020 г. и решение № 5756/13.05.2021 г. по адм.д. №971/ 2021 г. по описа на ВАС, са отменени първоинстанционните решения изцяло или частично, като вместо това са присъдени обезщетения в размери по 200, 300 и 940 лв.

ВАС приема, че НАП е бездействала, не е изпълнила задълженията си по чл. 24 и чл. 32 от Регламент (ЕС) 2016/679 и не е доказала, че е въвела подходящи технически мерки, които трябва да осигурят подходящо ниво на сигурност. Безспорно установеният факт на изтекла информация от информационната система на НАП вследствие на неправомерен достъп обуславя извод за бездействие от страна на агенцията да осигури надеждност и сигурност на личните данни.

Прието е, че действието на лицето, проникнало в информационната система на НАП, не освобождава администратора на лични данни от отговорност за вреди по чл. 82, пар. 3 от Регламент (ЕС) 2016/679, доколкото не е ангажирал доказателства, че е взел изискуемите се по регламента подходящи технически мерки, които да гарантират сигурността на съдържащите се в информационната му система лични данни. Изпитаните от субекта на лични данни негативни емоции, притеснения, страх, несигурност са в причинна връзка с поведението на администратора на лични данни и представляват реално претърпени неимуществени вреди, свързани с реален страх от реална заплаха за увреждане.

Преюдициалното запитване до Съда на Европейския съюз, съгласно член 267, първи параграф, буква „б” от Договора за функционирането на ЕС, е със следните въпроси:

1. Разпоредбите на чл. 24 и чл. 32 от Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че е достатъчно да е осъществено неразрешено разкриване или достъп до лични данни по смисъла на чл. 4, т. 12 от Регламент (ЕС) 2016/679 от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, за да се приеме, че приложените технически и организационни мерки не са подходящи?

2. Ако отговорът на първия въпрос е отрицателен, какъв следва да е предметът и обхватът на съдебния контрол за законосъобразност при проверка дали приложените от администратора на лични данни технически и организационни мерки по чл. 32 от Регламент (ЕС) 2016/679 са подходящи?

3. Ако отговорът на първия въпрос е отрицателен, принципът на отчетност в чл. 5, пар. 2 и чл. 24 във връзка със Съображение 74 от Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че в исковото производство по чл. 82, пар.1 от Регламент (ЕС) 2016/679 администраторът на лични данни носи доказателствена тежест относно обстоятелството, че приложените по чл. 32 от регламента технически и организационни мерки са подходящи? Назначаването на съдебна експертиза може ли да се приеме като необходимо и достатъчно доказателствено средство, с което да се установи дали приложените от администратора на лични данни технически и организационни мерки са подходящи в хипотеза като настощящата, в която неразрешеният достъп и разкриване на лични данни е резултат от „хакерска атака“?

4. Нормата на чл. 82, пар. 3 от от Регламент (ЕС) 2016/679 може ли да се тълкува в смисъл, че неразрешено разкриване или достъп до лични данни по смисъла на чл. 4, т. 12 от Регламент (ЕС) 2016/679, в случая чрез „хакерска атака“, от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, е събитие, за което администраторът на лични данни по никакъв начин не е отговорен и е основание за освобождаване от отговорност?

5. Нормите на чл. 82, пар.1 и пар. 2 във връзка със Съображения 85 и 146 от преамбюла на Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че в хипотеза като настоящата на нарушение на сигурността на личните данни, изразяващо се в неразрешен достъп и разпространение на лични данни, осъществено чрез „хакерска атака", само преживените от субекта на лични данни опасения, притеснения и страх от евентуална, бъдеща злоупотреба с лични данни, без да е установена такава злоупотреба и/или да е настъпила друга вреда за субекта на данните, попадат в широкия смисъл на понятието нематериални вреди и е основание за обезщетение?

 


От категорията

Цацаров: За разследване на магистрати и политици с имоти в чужбина трябват още доказателства

-1614327728.png

Има две справки, които съдържат информация за общо 38 лица, заемащи висши ...

21 юни 2021 | 14:17

Общински съветници от ДБ в София дават Боршош на главния прокурор за злоупотреби в НДК

Общински съветници от ДБ в София дават Боршош на главния прокурор за злоупотреби в НДК-1624271837.jpg

Те са подали сигнал до главния прокурор, Агенцията за държавна финансова ...

21 юни 2021 | 13:24

На 2 юли започва делото срещу ЛиЛана и още шестима за незаконно усвояване на евросредства

-1618314232.jpg

От спецпрокуратурата съобщават, че според събраните доказателства за времето ...

21 юни 2021 | 21:14

Сагата "Златен век" - административен тормоз върху една българска компания

Сагата "Златен век" - административен тормоз върху една българска компания-1624284777.jpg

В крайна сметка АССГ отмени забраната на ДНСК. Но тя обжалва. И се стигна до ...

21 юни 2021 | 17:11