СЕС за делата на граждани срещу НАП: Основателните опасения от бъдеща злоупотреба с изтекли лични данни се обезщетяват
Опасенията от потенциална злоупотреба с лични данни, породени от нарушение на Общия регламент за защита на данните (ОРЗД), могат сами по себе си да представляват нематериална вреда. Това прие Съдът на Европейския съюз (СЕС), който отговори на серия от въпроси на Върховния административен съд (ВАС), свързани с големия теч на данни от Националната агенция за приходите (НАП) през 2019 г. (пълния текст на решението виж тук).
Във ВАС са спрени десетки дела по искове на граждани, които търсят обезщетение, след като личните им данни изтекоха от приходната агенция. Немалко от тях претендират неимуществени вреди, които обосновават със страха си, че може тепърва някой да злоупотреби с данните им. Затова един от въпросите, които върховните съдии отправиха до СЕС, беше именно дали тези опасения може да се приемат за неимуществени вреди (повече за преюдициалното запитване виж тук).
„Член 82, параграф 1 от Регламент 2016/679 трябва да се тълкува в смисъл, че опасенията, които субект на данни изпитва, вследствие на нарушение на този регламент, от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериална вреда“ по смисъла на тази разпоредба“, отговори днес съдът в Люксембург.
И заяви, че тълкуване на чл. 82, параграф 1 от ОРЗД, според което понятието „нематериални вреди“ по смисъла на тази разпоредба не включва положенията, в които даден субект на данни се позовава само на опасенията си, че в бъдеще с данните му ще бъде злоупотребено от трета страна, не е в съответствие с гарантирането на високо ниво на защита на физическите лица във връзка с обработването на лични данни в рамките на Съюза, което се цели с този инструмент.
В решението си той обаче прави важно уточнение: „По-конкретно, когато лице, което иска обезщетение на това основание, се позовава на опасенията, че в бъдеще с неговите лични данни ще бъде злоупотребено поради наличието на такова нарушение, сезираната национална юрисдикция трябва да провери дали тези опасения може да се считат за основателни с оглед на обстоятелствата в конкретния случай и на субекта на данни“.
Освен това СЕС посочва в решението си, че НАП не може да се освободи от отговорност, само поради факта, че е била жертва на хакерска атака. „Член 82, параграф 3 от Регламент 2016/679 трябва да се тълкува в смисъл, че администраторът не се освобождава от задължението си по член 82, параграфи 1 и 2 от този регламент за обезщетяване на претърпените от дадено лице вреди само поради факта че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на член 4, точка 10 от посочения регламент, като посоченият администратор трябва тогава да докаже, че причинилият съответните вреди факт не може по никакъв начин да му бъде вменен“, заяви съдът.
Той обаче подчертава, че самият факт на изтичането на данните не е достатъчен, за да се приеме, че приложените от НАП или всеки друг администратор мерки не са подходящи по смисъла на ОРЗД.
„…преценката дали приложените от администратора технически и организационни мерки по този член са подходящи трябва да бъде направена от националните юрисдикции конкретно, като се вземат предвид рисковете, свързани със съответното обработване, и като се прецени дали естеството, обхватът и прилагането на тези мерки са съобразени с тези рискове“, постанови СЕС.
Освен това съдът в Люксембург е категоричен, че тежестта на доказване дали мерките са подходящи е на НАП. В решението се заявява: „Принципът на отчетност на администратора, закрепен в член 5, параграф 2 и конкретизиран в член 24 от Регламент 2016/679, трябва да се тълкува в смисъл, че в исково производство за обезщетение по член 82 от този регламент разглежданият администратор носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурност по член 32 от посочения регламент са подходящи“.
Един от въпросите, които ВАС постави пред съда в Люксембург, беше дали назначаването на съдебна експертиза може да се приеме като необходимо и достатъчно доказателствено средство, с което да се установи дали приложените мерки са подходящи. Той получава отрицателен отговор в решението. В него СЕС постановява: „Член 32 от Регламент 2016/679 и принципът на ефективност на правото на Съюза трябва да се тълкуват в смисъл, че за да се прецени дали са подходящи мерките за сигурност, приложени от администратора на основание на този член, назначаването на съдебна експертиза не може да представлява доказателствено средство, което системно е необходимо и достатъчно“.
След произнасянето днес на Съда на ЕС, ВАС ще възобнови разглеждането на десетките спрени дела.
Както „Лекс“ писа, в началото на година Административен съд – София-град категорично прие, че НАП е можела да предотврати изтичането на данните за над 6 млн. граждани и юридически лица, но е бездействала (повече виж тук).
А преди месец Софийският районен съд потвърди глобата от 5,1 млн. лв., която Комисията за защита на личните данни наложи на агенцията (повече виж тук).
16
Коментирайте
Браво на адвокатска кантора „Юрукови и партньори“ – за упоритостта, смелостта и интелигентността.
Няма лошо да се търси отговорност от администраторите на лични данни, но тази част с неимуществените вреди ме смущава лекично, не че се учудвам на решението на СЕС де.
Жълтопаветните смятат, че така възпитават институциите, защото са виждали, че и в Западна Европа и САЩ е така. Националистите смятат, пе са ги „обрали“ и викат що да не изкарам макар и 100 лв на гърба на „НАП“ (което си е на личен си гръб де). Изобщо думи нямам
Много ще забогатее всеки съдещ НАП
Надали!
Определено има основание да ги съдиш, да. Но май се превръща в златен шанс да изкараме малко пари.
Факт е, че трябва да има последици за тази нвкомпетентност
ПотресаЮщу.
Мисля, че изтекоха данни на всички българи. От мой да кажем 15 приятели и един няма да съди НАП. Хайде моля ви се. Много ще прокопсаме, като ги съдим. За какви суми? Ще ви платят 5000 лв примерно. А ако някой злоупотреби с данните ви може да е и за 500 000 лева. И? Тия 5000 ще ви оправят ли?
А разходите по делото?
Обезщетенията едвс ли ще са под формата на паричен превод. Просто ще имат облекчения от данъците известно време
Фактически съдещите НАП ше си вземат пари от себе си
Видяха някакви хора шанс да изкарат пари от немърливоста на НАП. Но НАП тия пари ще ги вземе от данъците ни.
Прави са
Това е интересно, може да има печалба за адвокатите, това е добра новина.
Касае се за ниско-рисково дело, при което – може да си развиеш свободно оплакванията.
Наблюдавам – рестрикция – тоест – връщане на съвсем ниски обезщетения, което е нормалното.
Все пак – е възможност, както казват. Има елемент на скептицизъм, относно размерите, съдиите не се връзват много – на „дамнуси“ и „емергенсии“. Както и на „бона мореси“.
🍓Здравейте) Аз съм на 23 години и се казвам Паула) Аз съм млад, амбициозен еротичен модел 18+) Обичам да правя голи снимки) Моля, разгледайте, оценете работата ми на линка ➤ https://da.gd/id383096