Върховният административен съд (ВАС) отправи преюдициално запитване до Съда на Европейския съюз заради дело, свързано с теча на лични данни от Националната агенция за приходите (НАП) преди две години.

Десетки граждани заведоха дела по Закона за отговорността на държавата и общините за вреди (ЗОДОВ), като се позовават и на Общия регламент за защита на данните (ОРЗД, GDPR), за да търсят обезщетение за изтеклите им лични данни.

С отправеното днес преюдициално запитване на практика се спират производствата по всички такива дела в страната до произнасянето на съда в Люксембург, обясниха от ВАС.

Само във върховния съд има над 100 дела по ЗОДОВ във връзка с изтичането на личните данни от НАП. Като от ВАС обясниха, че те са приключили на първа инстанция с противоречиви резултати. Исковете или са отхвърляни като неоснователни, или са уважавани изцяло или частично. „Нормативната уредба е тълкувана и прилагана противоречиво по всички елементи на отговорността на администратора на лични данни“, изтъкват от ВАС.

Конкретното дело, по което е отправено преюдициалното запитване, е по иск за 1000 лв. обезщетение на Снежана Сиракова срещу НАП. Административен съд София – град го е отхвърлил като неоснователен. Тя претендира компенсация за незаконосъобразно бездействие на приходната агенция като администратор на лични данни, изразяващо се в неизпълнение в достатъчна степен на задължения по чл. 59, ал. 1 от Закона за защита на личните данни, чл. 24 и чл. 32 от Регламент(ЕС) 2016/679, с правно основание чл. 1, ал. 1 от ЗОДОВ.

До момента са влезли в сила пет осъдителни решения срещу НАП. По две ВАС е потвърдил първоинстанционните решения, а по три ги е отменил изцяло или частично и са присъдени обезщетения от по 200, 300 и 940 лв.

За да осъди НАП, ВАС приема, че тя е бездействала и не е изпълнила задълженията си по ОРЗД  (чл. 24 и чл. 32 от Регламент (ЕС) 2016/679) и не е доказала, че е въвела технически мерки, които трябва да осигурят подходящо ниво на сигурност. В мотивите на осъдителните решения се сочи, че безспорно установеният факт на изтекли данни от информационната система на НАП вследствие на неправомерен достъп обуславя извод за бездействие от страна на агенцията да осигури надеждност и сигурност на личните данни. Прието е, че действието на хакера, проникнал в информационната система на НАП, не освобождава агенцията от отговорност за вреди, доколкото не е доказала, че е взела изискуемите се по ОРЗД подходящи технически мерки, които да гарантират сигурността на данните. „Изпитаните от субекта на лични данни негативни емоции, притеснения, страх, несигурност са в причинна връзка с поведението на администратора на лични данни и представляват реално претърпени неимуществени вреди, свързани с реален страх от реална заплаха за увреждане“, приемат върховните съдии.

Сега състав с председател Йовка Дражева и членове Диана Добрева и Виолета Главинова е отправил следните въпроси до съда в Люксембург:

  1. Разпоредбите на чл. 24 и чл. 32 от Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че е достатъчно да е осъществено неразрешено разкриване или достъп до лични данни по смисъла на чл. 4, т. 12 от Регламент (ЕС) 2016/679 от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, за да се приеме, че приложените технически и организационни мерки не са подходящи?
  2. Ако отговорът на първия въпрос е отрицателен, какъв следва да е предметът и обхватът на съдебния контрол за законосъобразност при проверка дали приложените от администратора на лични данни технически и организационни мерки по чл. 32 от Регламент (ЕС) 2016/679 са подходящи?
  3. Ако отговорът на първия въпрос е отрицателен, принципът на отчетност в чл. 5, пар. 2 и чл. 24 във връзка със Съображение 74 от Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че в исковото производство по чл. 82, пар.1 от Регламент (ЕС) 2016/679 администраторът на лични данни носи доказателствена  тежест относно обстоятелството, че приложените по чл. 32 от регламента технически и организационни мерки са подходящи? Назначаването на съдебна експертиза може ли да се приеме като необходимо и достатъчно доказателствено средство, с което да се установи дали приложените от администратора на лични данни технически и организационни мерки са подходящи в хипотеза като настощящата, в която неразрешеният достъп и разкриване на лични данни е резултат от „хакерска атака“?
  4. Нормата на чл. 82, пар. 3 от от Регламент (ЕС) 2016/679 може ли да се тълкува в смисъл, че неразрешено разкриване или достъп  до лични данни по смисъла на чл. 4, т. 12 от Регламент (ЕС) 2016/679, в случая чрез „хакерска атака“, от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, е събитие, за което администраторът на лични данни по никакъв начин не е отговорен и  е основание за освобождаване от отговорност?
  5. Нормите на чл. 82, пар.1 и пар. 2 във връзка със Съображения 85 и 146 от преамбюла на  Регламент (ЕС) 2016/679  могат ли да се тълкуват в смисъл, че в хипотеза като настоящата  на нарушение на сигурността на личните данни, изразяващо се в неразрешен достъп и разпространение на лични данни, осъществено чрез „хакерска атака“, само преживените от субекта на лични данни опасения, притеснения и страх от евентуална, бъдеща злоупотреба с лични данни, без да е установена такава злоупотреба и/или да е настъпила друга вреда за субекта на данните, попадат в широкия смисъл на понятието нематериални вреди и е основание за обезщетение?

Определението на състава все още не е публикувано.

19
Коментирайте

avatar
нови хронологично най-добре оценени
Анонимен
Анонимен
17 май 2021 8:29
Гост

Въпросите на ВАС сами по себе си разкриват колко отчаяно се опитват да измъкнат НАП от отговорност. Докога ВАС ще бъде слуга на изпълнителната власт? Докога ояденото прасе, което му е председател, ще държи на каишка всички върховни съдии в таз държавица?

Анонимен
Анонимен
16 май 2021 21:01
Гост

Ами като сме си продали гъза на американците, така ще е! Майкрософтска операционна система за сървър, това е не олигофрения, а чиста корупция, при положение, че са налице свободните линукс и БСД.

Питам
Питам
14 май 2021 15:18
Гост

Кога ще започнем у нас да търсим лична отговорност за това, което държавата, респективно органите й, плащат за законови нарушения?

Лили
Лили
14 май 2021 13:32
Гост

Горките хорица. Има да си почакат.

Хриси
Хриси
14 май 2021 13:28
Гост

А, така! Не стига, че толкова време ни мотаят, ами сега и спират делата.

Севделина D.
Севделина D.
14 май 2021 13:20
Гост

Това бе жесток скандал впрочем.

Анонимен
Анонимен
14 май 2021 13:18
Гост

Умните се светнаха поне да извлекат максимума от създалата се ситуация с теча на данни и дори да имат техни данни изтекли в мрежата, то поне да спечелят някой лев.

Анонимен
Анонимен
14 май 2021 13:18
Гост

И сега какво правим?

Spiridon
Spiridon
14 май 2021 13:29
Гост

Чакаме, защото нашите отново не знаят какво да правят.

Temelko
Temelko
14 май 2021 13:18
Гост

Абе всичко точно де, амаа и от Фейсбук излязоха милиони данни на потребители и те са пуснати в някакъв сайт да си ги вземат хакерите ако им вършат работа. 200 000 потребителя са само от България мисля, а иначе бяха нещо от рода на 6 милиона или подобно.

Севделина D.
Севделина D.
14 май 2021 13:20
Гост

И кой точно ще осъди Фейсбук? Всеки потребител да получи по 20 000 долара обезщетение!

Просто казвам
Просто казвам
14 май 2021 17:27
Гост

Проблемът е, че Фейсбук вероятно имат доста високо ниво на сигурност и въпреки това са били хакнати. Те и пентагона са хаквали и са изтичали данни и засекретена военна инфорамция. Въпросът е, че НАП едва ли са имали адекватно ниво на защита и всеки втори самоук „хакер“ е можел да им пробие сървърите. Иначе 100% никъде няма.

Джош
Джош
14 май 2021 13:17
Гост

Кое му е неоснователното на това, че са ти изтекли личните данни?

Daniel
Daniel
14 май 2021 13:16
Гост

Пълна излагация. Аз защо не вярвам на „модерните технологии“. Ако си внасям пари в банка винаги в клон. И да ми пробутват онлайн услуги там, не ги искам.

Симо
Симо
14 май 2021 13:30
Гост

В кой век живееш? Като имаш свободно време-разхождай се 🙂

Nina
Nina
14 май 2021 13:16
Гост

НАП копае пари в полето и от тях ще плаща глобите ли ?

Кирилова
Кирилова
14 май 2021 13:17
Гост

Не ги копае. Ние им ги даваме.

Nina
Nina
14 май 2021 13:20
Гост

Да де. Не ги копаят, а ние им ги даваме. Следователно ще вземат парите на някакво количество хора в тая страна и ще ги дадат на тия дето все пак са завели дела. А последните са абсолютно в правото си де. Но това плащане няма по никакъв начин да се отрази на служителите на НАП предполагам. Или поне на тия дето са виновни за теча. Защото и обикновените служители на НАП и чиновници не са виновни, че е имало теч.

Кики
Кики
14 май 2021 13:31
Гост

Именно за това трябваше да се потърси персонална отговорност от служителите им.