ВАС пита съда в Люксембург заради теча на данни от НАП, спират всички дела за вреди
Само във върховния съд висящите производства са над 100
Върховният административен съд (ВАС) отправи преюдициално запитване до Съда на Европейския съюз заради дело, свързано с теча на лични данни от Националната агенция за приходите (НАП) преди две години.
Десетки граждани заведоха дела по Закона за отговорността на държавата и общините за вреди (ЗОДОВ), като се позовават и на Общия регламент за защита на данните (ОРЗД, GDPR), за да търсят обезщетение за изтеклите им лични данни.
С отправеното днес преюдициално запитване на практика се спират производствата по всички такива дела в страната до произнасянето на съда в Люксембург, обясниха от ВАС.
Само във върховния съд има над 100 дела по ЗОДОВ във връзка с изтичането на личните данни от НАП. Като от ВАС обясниха, че те са приключили на първа инстанция с противоречиви резултати. Исковете или са отхвърляни като неоснователни, или са уважавани изцяло или частично. „Нормативната уредба е тълкувана и прилагана противоречиво по всички елементи на отговорността на администратора на лични данни“, изтъкват от ВАС.
Конкретното дело, по което е отправено преюдициалното запитване, е по иск за 1000 лв. обезщетение на Снежана Сиракова срещу НАП. Административен съд София – град го е отхвърлил като неоснователен. Тя претендира компенсация за незаконосъобразно бездействие на приходната агенция като администратор на лични данни, изразяващо се в неизпълнение в достатъчна степен на задължения по чл. 59, ал. 1 от Закона за защита на личните данни, чл. 24 и чл. 32 от Регламент(ЕС) 2016/679, с правно основание чл. 1, ал. 1 от ЗОДОВ.
До момента са влезли в сила пет осъдителни решения срещу НАП. По две ВАС е потвърдил първоинстанционните решения, а по три ги е отменил изцяло или частично и са присъдени обезщетения от по 200, 300 и 940 лв.
За да осъди НАП, ВАС приема, че тя е бездействала и не е изпълнила задълженията си по ОРЗД (чл. 24 и чл. 32 от Регламент (ЕС) 2016/679) и не е доказала, че е въвела технически мерки, които трябва да осигурят подходящо ниво на сигурност. В мотивите на осъдителните решения се сочи, че безспорно установеният факт на изтекли данни от информационната система на НАП вследствие на неправомерен достъп обуславя извод за бездействие от страна на агенцията да осигури надеждност и сигурност на личните данни. Прието е, че действието на хакера, проникнал в информационната система на НАП, не освобождава агенцията от отговорност за вреди, доколкото не е доказала, че е взела изискуемите се по ОРЗД подходящи технически мерки, които да гарантират сигурността на данните. „Изпитаните от субекта на лични данни негативни емоции, притеснения, страх, несигурност са в причинна връзка с поведението на администратора на лични данни и представляват реално претърпени неимуществени вреди, свързани с реален страх от реална заплаха за увреждане“, приемат върховните съдии.
Сега състав с председател Йовка Дражева и членове Диана Добрева и Виолета Главинова е отправил следните въпроси до съда в Люксембург:
- Разпоредбите на чл. 24 и чл. 32 от Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че е достатъчно да е осъществено неразрешено разкриване или достъп до лични данни по смисъла на чл. 4, т. 12 от Регламент (ЕС) 2016/679 от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, за да се приеме, че приложените технически и организационни мерки не са подходящи?
- Ако отговорът на първия въпрос е отрицателен, какъв следва да е предметът и обхватът на съдебния контрол за законосъобразност при проверка дали приложените от администратора на лични данни технически и организационни мерки по чл. 32 от Регламент (ЕС) 2016/679 са подходящи?
- Ако отговорът на първия въпрос е отрицателен, принципът на отчетност в чл. 5, пар. 2 и чл. 24 във връзка със Съображение 74 от Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че в исковото производство по чл. 82, пар.1 от Регламент (ЕС) 2016/679 администраторът на лични данни носи доказателствена тежест относно обстоятелството, че приложените по чл. 32 от регламента технически и организационни мерки са подходящи? Назначаването на съдебна експертиза може ли да се приеме като необходимо и достатъчно доказателствено средство, с което да се установи дали приложените от администратора на лични данни технически и организационни мерки са подходящи в хипотеза като настощящата, в която неразрешеният достъп и разкриване на лични данни е резултат от „хакерска атака“?
- Нормата на чл. 82, пар. 3 от от Регламент (ЕС) 2016/679 може ли да се тълкува в смисъл, че неразрешено разкриване или достъп до лични данни по смисъла на чл. 4, т. 12 от Регламент (ЕС) 2016/679, в случая чрез „хакерска атака“, от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, е събитие, за което администраторът на лични данни по никакъв начин не е отговорен и е основание за освобождаване от отговорност?
- Нормите на чл. 82, пар.1 и пар. 2 във връзка със Съображения 85 и 146 от преамбюла на Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че в хипотеза като настоящата на нарушение на сигурността на личните данни, изразяващо се в неразрешен достъп и разпространение на лични данни, осъществено чрез „хакерска атака“, само преживените от субекта на лични данни опасения, притеснения и страх от евентуална, бъдеща злоупотреба с лични данни, без да е установена такава злоупотреба и/или да е настъпила друга вреда за субекта на данните, попадат в широкия смисъл на понятието нематериални вреди и е основание за обезщетение?
Определението на състава все още не е публикувано.
19
Коментирайте
Ами като сме си продали гъза на американците, така ще е! Майкрософтска операционна система за сървър, това е не олигофрения, а чиста корупция, при положение, че са налице свободните линукс и БСД.
Кога ще започнем у нас да търсим лична отговорност за това, което държавата, респективно органите й, плащат за законови нарушения?
Горките хорица. Има да си почакат.
А, така! Не стига, че толкова време ни мотаят, ами сега и спират делата.
Това бе жесток скандал впрочем.
Умните се светнаха поне да извлекат максимума от създалата се ситуация с теча на данни и дори да имат техни данни изтекли в мрежата, то поне да спечелят някой лев.
И сега какво правим?
Чакаме, защото нашите отново не знаят какво да правят.
Абе всичко точно де, амаа и от Фейсбук излязоха милиони данни на потребители и те са пуснати в някакъв сайт да си ги вземат хакерите ако им вършат работа. 200 000 потребителя са само от България мисля, а иначе бяха нещо от рода на 6 милиона или подобно.
И кой точно ще осъди Фейсбук? Всеки потребител да получи по 20 000 долара обезщетение!
Проблемът е, че Фейсбук вероятно имат доста високо ниво на сигурност и въпреки това са били хакнати. Те и пентагона са хаквали и са изтичали данни и засекретена военна инфорамция. Въпросът е, че НАП едва ли са имали адекватно ниво на защита и всеки втори самоук „хакер“ е можел да им пробие сървърите. Иначе 100% никъде няма.
Кое му е неоснователното на това, че са ти изтекли личните данни?
Пълна излагация. Аз защо не вярвам на „модерните технологии“. Ако си внасям пари в банка винаги в клон. И да ми пробутват онлайн услуги там, не ги искам.
В кой век живееш? Като имаш свободно време-разхождай се 🙂
НАП копае пари в полето и от тях ще плаща глобите ли ?
Не ги копае. Ние им ги даваме.
Да де. Не ги копаят, а ние им ги даваме. Следователно ще вземат парите на някакво количество хора в тая страна и ще ги дадат на тия дето все пак са завели дела. А последните са абсолютно в правото си де. Но това плащане няма по никакъв начин да се отрази на служителите на НАП предполагам. Или поне на тия дето са виновни за теча. Защото и обикновените служители на НАП и чиновници не са виновни, че е имало теч.
Именно за това трябваше да се потърси персонална отговорност от служителите им.
Въпросите на ВАС сами по себе си разкриват колко отчаяно се опитват да измъкнат НАП от отговорност. Докога ВАС ще бъде слуга на изпълнителната власт? Докога ояденото прасе, което му е председател, ще държи на каишка всички върховни съдии в таз държавица?