Приходната агенция дължи обезщетение за неимуществени вреди, доводите за теч заради „хакерска атака“ са неотносими, категоричен е Върховният административен съд
Окончателно гражданин спечели дело срещу НАП за теча на лични данни от лятото на 2019 г., засегнал над 4 милиона българи.
С решение от 10 май върховните съдии от ВАС Марина Михайлова – председател и докладчик, Здравка Шуменска и Донка Чакърова осъдиха НАП да плати 500 лева обезщетение за изтеклите данни на К.С., както и разноските й по делото.
Делото е по чл. 1, ал. 1 от Закона за отговорността на държавата и общините за вреди (ЗОДОВ), искът е и с правно основание еврорегламента за защита на личните данни (GDPR). Текстът на ЗОДОВ гласи:
Чл. 1. (1) (Доп. – ДВ, бр. 105 от 2005 г., в сила от 01.01.2006 г., изм. – ДВ, бр. 30 от 2006 г., в сила от 12.07.2006 г., доп. – ДВ, бр. 94 от 2019 г.) Държавата и общините отговарят за вредите, причинени на граждани и юридически лица от незаконосъобразни актове, действия или бездействия на техни органи и длъжностни лица при или по повод изпълнение на административна дейност, както и за вредите, причинени от действието на отменени като незаконосъобразни или обявени за нищожни подзаконови нормативни актове.
На първа инстанция съдия Антоанета Аргирова от АССГ също приема, че в случая НАП носи отговорност за бездействие да защити по сигурен начин данните на гражданите, довело до тяхното публично разкриване. Изводите на първата инстанция са правилни, постановява Върховният административен съд. На обратното мнение е била Върховната административна прокуратура, пледирала за отхвърлянето на иска.
А развоят е важен за всички, чиито лични данни изтекоха онова лято. Част от пострадалите внесоха искове пред съдилищата в страната, някои от тях бяха уважени, други отхвърлени на първа инстанция, имаше дори спор за подсъдност по колективни искове (реши се, че и те са подсъдни на административните, не на общите съдилища).
Налице са всички предпоставки за допускане и уважаване на иска, заявяват сега върховните съдии. И сочат, че ищцата не е водила други дела по повод теча, а висящият казус с оспореното от приходната агенция наказателно постановление на КЗЛД (за рекордната глоба от 5,1 милиона лв) не е пречка за упражняване на личното право на гражданина на достъп до съд.
Първоинстанционният съд правилно е приел, че материалноправното основание за предявявавето на иска е в разпоредбите на GDPR, включително че „администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент“. А предметът на доказване в тези случаи има три задължителни елемента:
- Наличие на материална или нематериална вреда ;
- Доказано нарушение на Регламент /ЕС/ 2016/679.
- Причинна връзка между претърпяната вреда и нарушението на Регламента.
И трите в случая са налице, заявява ВАС.
Обосновано е прието, че по повод твърдяното бездействие на НАП да защити по сигурен начин обработваните лични данни, гражданинът трябва да установи свое защитимо право, засегнато от правния спор, като докаже фактите, от които то произтича. Но единствено ответникът (НАП) ще е длъжен да доказва изпълнението на действията, дължими от него и обезпечаващи защитимото право на ищеца.
„Съдът правилно е разпределил доказателствената тежест между страните, като по отношение установяването на първия елемент от фактическия състав на предявения иск е указал на ответника, че за установяване изпълнението на задълженията му са необходими специални знания от специалност „киберсигурност“, с които съдът не разполага, и му е дал възможност да формулира задачи за вещото лице по допусната служебно СТЕ. Ответникът /касатор в настоящето производство/ обаче с молба от 06.07.2020 г. изрично е отказал да формулира задачи към вещо лице. Поради това с определение от 09.07.2020 г. АССГ е отменил определението си за допускане извършването на СТЕ от вещо лице със специалност „киберсигурност“. Като се е позовал на изричния отказ на касационния жалбоподател /ответник в първоинстанционното производство/, АССГ е изложил съображения в насока, че „администраторът на лични данни“ не е установил, че извършените от него действия /за които са представени само писмени доказателства/, са били подходящи технически за осигуряване на съобразено с риска ниво на сигурност на личните данни на ищцата“, пишат върховните съдии. И още: „Тежестта на доказване, при възражение за освобождаване от отговорност за причинени вреди в резултат на нарушаване на регламента, което има за последица неосигуряване на неприлагане на подходящи технически и организационни мерки, за да докаже че обработването на личните данни се извършва в сътоветствие с настоящия регламент, е на администратора и обработващия лични данни“.
Обосновани са и мотивите на първата инстанция за нанесените вреди на К.С.: „Накърнени са легитимните й очаквания спрямо държавата за сигурност в личната и имуществената й сфера, предвид общодостъпната информация за възможни злоупотреби с личните й данни в момента на разкриването им и за в бъдеще„, приема ВАС.
„При установяване на този вид обичайни неимуществени вреди не бива да се изхожда само от формалните, външни доказателства и да се приеме обратното и да се изисква формално пълно доказване на причинените неимуществени вреди, изразяващи се притеснението от всевъзможни бъдещи евентуални злоупотреби с личните данни на ищцата, означава да се отрече необходимостта от защитата на обществените отношения, свързани с обработването на лични данни, дадена с Общия регламент и ЗЗЛД“, категорични са върховните съдии.
От ВАС отхвърлят като неотносими защитните твърдения на НАП, че пробивът е резултат на хакерска атака и извършено престъпление. „Правилни са и изводите, че въпросът дали това неразрешено разкриване е станало възможно от успешно проведената хакерска атака и дали тя осъществява състав на престъпление е ирелевантен по делото. Изложени са съображения, че не може да се приравнява априори настъпилия противоправен резултат на противоправно бездействие на ответника, а следва да бъдат съобразени процесуалните последици от непроведеното от него успешно пълно доказване на надлежно изпълнение на задължението му за сигурност на обработването.
Законосъобразен е изводът на първоинстанционния съд за основателност на претенцията за обезщетение за обичайните неимуществени вреди от бездействието на ответника да изпълни задължението си да защити по сигурен начин данните й като физическо лице, без да са нужни формални, външни доказателства за установяване на тези обичайни вреди, тъй като те настъпват винаги в резултат от нарушаването сигурността на данните. Раззмерът на обезщетението е определен съобразно стандарта на живот, при недоказаност на вреди над обичайните. При съобразяване с естеството на увреждането и стандарта на живот / вкл.минимално установената работна заплата за страната за 2019 г.-560 лева/, съдът е приел за справедливото обезщетение за причинените обичайни 500 лева и е уважил иска иска до този размер, а в останалата му част- до пълния му предявен размер от 1000 лева-искът е отхвърлен. Тези изводи се споделят от касационната инстанция по изложените от АССГ правни изводи“, заявява ВАС.
Пълният текст на решението тук.