Последни новини
Home / Законът / ВАС отправи преюдициално запитване до Съда на ЕС по делото срещу НАП за теча на лични данни  

ВАС отправи преюдициално запитване до Съда на ЕС по делото срещу НАП за теча на лични данни  

Defakto.bg

 

Върховният административен съд отправя преюдициално запитване до Съда на Европейския съюз по казус, свързан с теча на лични данни от НАП. Запитването е отправено във връзка с  административно дело №1037 от 2021 г. на ВАС, но на практика с него се спират производствата по всички такива дела в страната до произнасянето на европейския съд, съобщиха оттам.

Административното дело пред ВАС е образувано по жалба на физическо лице срещу решение № 6800 от 27.11.2020 г. по адм. дело № 11217 от 2019 г. на Административен съд София – град, с което е отхвърлен като неоснователен иска й за присъждане на обезщетение в размер на 1000 лв. за претърпени неимуществени вреди от незаконосъобразно бездействие на НАП като администратор на лични данни, изразяващо се в неизпълнение в достатъчна степен на задължения по чл. 59, ал.1 от Закона за защита на личните данни, чл. 24 и чл. 32 от Регламент(ЕС) 2016/679, с правно основание чл.1, ал.1 от Закона за отговорността на държавата и общините за вреди (ЗОДОВ).

Във ВАС като касационна инстанция има постъпили над 100 дела по ЗОДОВ във връзка с изтичането на личните данни от НАП. Съдебните производства срещу НАП са приключили на първа инстанция с противоречиви резултати. Исковете или са отхвърляни като неоснователни или са уважавани изцяло или частично. Нормативната уредба е тълкувана и прилагана противоречиво по всички елементи на отговорността на администратора на лични данни.

Към настоящия момент са налице влезли в сила следните осъдителни решения по идентични казуси: № 4981/25.09.2020 г. по адм.д.№ 11258/ 2019 г. по описа на АССГ, оставено в сила с решение № 5587/10.05.2021 г. по адм.д.№ 12911/2020 г. по описа на ВАС,  решение № 4978/ 25.09.2020 г. по адм.д.№ 11174/2019 г. по описа на АССГ, оставено в сила с решение  № 5646/11.05.2021 г. по адм.д.№ 12915/ 2020 г. по описа на ВАС.  С решение № 5635/ 11.05.2021 г. по адм.д.№ 12799/2020 г., решение №5719/12.05.2021 г. по адм.д. №12380/ 2020 г. и решение № 5756/13.05.2021 г. по адм.д. №971/ 2021 г. по описа на ВАС, са отменени първоинстанционните решения изцяло или частично, като вместо това са присъдени обезщетения в размери по 200, 300 и 940 лв.

ВАС приема, че НАП е бездействал, не е изпълнил задълженията си по чл. 24 и чл. 32 от Регламент (ЕС) 2016/679 и не е доказал, че е въвел подходящи технически мерки, които трябва да осигурят подходящо ниво на сигурност. Безспорно установеният факт на изтекла информация от информационната система на НАП вследствие на неправомерен достъп обуславя извод за бездействие от страна на агенцията да осигури надеждност и сигурност на личните данни. Прието е, че действието на лицето, проникнало в информационната система на НАП, не освобождава администратора на лични данни от отговорност за вреди по чл. 82, пар. 3 от  Регламент (ЕС) 2016/679, доколкото не е ангажирал доказателства, че е взел изискуемите се по регламента подходящи технически мерки, които да гарантират сигурността на съдържащите се в информационната му система лични данни. Изпитаните от субекта на лични данни негативни емоции, притеснения, страх, несигурност са в причинна връзка с поведението на администратора на лични данни и представляват реално претърпени неимуществени вреди, свързани с реален страх от реална заплаха за увреждане.

            Преюдициалното запитване до Съда на Европейския съюз, съгласно член 267, първи параграф, буква „б” от Договора за функционирането на ЕС, е със следните въпроси:

  1. Разпоредбите на чл. 24 и чл. 32 от Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че е достатъчно да е осъществено неразрешено разкриване или достъп до лични данни по смисъла на чл. 4, т. 12 от Регламент (ЕС) 2016/679 от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, за да се приеме, че приложените технически и организационни мерки не са подходящи?
  2. Ако отговорът на първия въпрос е отрицателен, какъв следва да е предметът и обхватът на съдебния контрол за законосъобразност при проверка дали приложените от администратора на лични данни технически и организационни мерки по чл. 32 от Регламент (ЕС) 2016/679 са подходящи?
  3. Ако отговорът на първия въпрос е отрицателен, принципът на отчетност в чл. 5, пар. 2 и чл. 24 във връзка със Съображение 74 от Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че в исковото производство по чл. 82, пар.1 от Регламент (ЕС) 2016/679 администраторът на лични данни носи доказателствена  тежест относно обстоятелството, че приложените по чл. 32 от регламента технически и организационни мерки са подходящи? Назначаването на съдебна експертиза може ли да се приеме като необходимо и достатъчно доказателствено средство, с което да се установи дали приложените от администратора на лични данни технически и организационни мерки са подходящи в хипотеза като настощящата, в която неразрешеният достъп и разкриване на лични данни е резултат от „хакерска атака“?
  4. Нормата на чл. 82, пар. 3 от от Регламент (ЕС) 2016/679 може ли да се тълкува в смисъл, че неразрешено разкриване или достъп  до лични данни по смисъла на чл. 4, т. 12 от Регламент (ЕС) 2016/679, в случая чрез „хакерска атака“, от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, е събитие, за което администраторът на лични данни по никакъв начин не е отговорен и  е основание за освобождаване от отговорност?
  5. Нормите на чл. 82, пар.1 и пар. 2 във връзка със Съображения 85 и 146 от преамбюла на  Регламент (ЕС) 2016/679  могат ли да се тълкуват в смисъл, че в хипотеза като настоящата  на нарушение на сигурността на личните данни, изразяващо се в неразрешен достъп и разпространение на лични данни, осъществено чрез „хакерска атака”, само преживените от субекта на лични данни опасения, притеснения и страх от евентуална, бъдеща злоупотреба с лични данни, без да е установена такава злоупотреба и/или да е настъпила друга вреда за субекта на данните, попадат в широкия смисъл на понятието нематериални вреди и е основание за обезщетение?

 

 

 

About De Fakto

Проверете също

Ивайло Дерменджиев, председател на ВАдС: Адвокатурата е длъжна да заеме мястото, което Конституцията й е възложила 

На първото заседание на новия ВАдС Даниела Доковска е избрана за председател на новия УС …

Съдът: Кристиан Николов остава под домашен арест

Тричленен състав на Апелативен съд – София с председател Калин Калпакчиев и членове Весислава Иванова …

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

Този сайт използва Akismet за намаляване на спама. Научете как се обработват данните ви за коментари.