Генерален адвокат по питането на ВАС:
За да не плаща за големия теч на данни, НАП трябва да докаже, че по никакъв начин не е отговорна за него
Националната агенция за приходите (НАП) не може да се освободи от отговорност за големия теч на данни през 2019 г., с мотива, че е хакната от трето лице. За да не носи отговорност, агенцията трябва да докаже с висок стандарт на доказване, че по никакъв начин не е отговорна за събитието, причинило вредата. Това заявява генералният адвокат Giovanni Pitruzzella.
Заключението му е по делото в Съда на Европейския съюз (СЕС) по преюдициално запитване на Върховния административен съд (ВАС). Българските върховни съдии се обърнаха към СЕС с няколко въпроса, свързани с тълкуването на Общия регламент за защита на данните, след като десетки граждани, чиито лични данни изтекоха преди почти 4 години, заведоха дела за обезщетения (повече за питането на ВАС виж тук).
Както „Лекс“ писа, преди два месеца Административния съд – София-град постанови, че НАП е можела да предотврати изтичането на данните на над 6 млн. граждани и юридически лица през 2019 г., но е бездействала (повече за решението виж тук).
Конкретното дело, по което ВАС отправи преюдициалното запитване, е на жена, която иска обезщетение за изтичането на данните ѝ – за неимуществени вреди, които се изразяват в притеснения и опасения, че с тях може да бъде злоупотребено в бъдеще. Първоинстанционният съд отхвърля иска ѝ, като приема, че НАП не е отговорна за разкриването на данните и че доказателствената тежест за подходящия характер на мерките, които е трябвало да бъдат предприети за опазването им, е на жената, както и че няма неимуществени вреди, които да подлежат на обезщетяване.
В заключението си пред СЕС генералният адвокат първо се спира на задължението на администратора да прилага подходящи технически и организационни мерки, за да гарантира, че обработването на лични данни е в съответствие с регламента. Той сочи, че подходящият характер на мерките се определя с оглед на естеството, обхвата, контекста и целите на обработването, както и вероятността и тежестта за правата и свободите на физическите лица, въз основа на оценка за всеки отделен случай.
На първо място, генералният адвокат приема, че настъпването на „нарушение на сигурността на личните данни“ само по себе си е достатъчно, за да се заключи, че прилаганите от администратора технически и организационни мерки не са „подходящи“ за осигуряване на защитата на данните. „Когато избира мерките, администраторът трябва да вземе предвид редица фактори, сред които „достиженията на техническия прогрес“, което позволява ограничаване на технологичното ниво на мерките, до разумно възможното в момента на приемането им, включително с оглед на разходите за прилагане“, се посочва в заключението. Т.е. самият факт, че някой е успял да хакне НАП, показва, че мерките, които е взела, не са достатъчни, за да опазят данните на хората. Тя е длъжна да актуализира защитата си, но все пак като се съобразява с разходите за това. Съдът пък ще трябва да търси баланс между интересите на субекта на данните и икономическите интереси и технологичния капацитет на администратора.
На второ място, генералният адвокат уточнява, че българският съд ще трябва да вземе предвид не само наличието на кодекси за поведение, а и НАП трябва да докаже, че е приложила конкретните мерки, предвидени в тези документи. Ако обаче агенцията е сертифицирана, то самото сертифициране е доказателство за съответствие с ОРЗД на извършените операции по обработване.
Giovanni Pitruzzella е категоричен, че доказателствената тежест за подходящия характер на мерките е на администратора, т.е. на НАП.
И заявява: „Фактът, че нарушението на Регламента е извършено от трето лице, сам по себе си не представлява причина за освобождаване на администратора от отговорност. За да бъде освободен от отговорност, администраторът трябва да докаже с висок стандарт на доказване, че по никакъв начин не е отговорен за събитието, причинило вредата. Случаят на неправомерно обработване на лични данни в действителност има характер на утежнена отговорност за предполагаема вина. От това произтича възможността администраторът да представи доказателство за освобождаване от отговорност“.
Генералният адвокат коментира и че „вредата, състояща се в страх от потенциална бъдеща злоупотреба с личните данни, чието съществуване заинтересованата страна е доказала, може да представлява неимуществена вреда, която дава право на обезщетение“. Но поставя важно условие – само ако става въпрос за реална и сигурна емоционална вреда, а не просто за безпокойство или неудобство.
20
Коментирайте
Интересно как НАП ще докаже, че е приложила конкретните мерки.
При тези системи защитата е от изключително голямо значение.
И все пак някой трябва да поеме отговорността за разкриването на данните.
Само един въпрос – за кое от казаното от Giovanni Pitruzzella съдиите от Върховния административен съд не можеха да се сетят сами.
Или „тупкаме топката“, не поемаме отговорност, щото по-малко сме учили и знаем по-малко правото от италианеца….пък ако може и междувременно еврото да бъде прието в БГ, да видим с превалутираме на сумите как ще се оправим. Или после и затова ще питаме СЕС – мъка, мъка…..
абсолютно
Да видим ще го докаже ли, защото не виждам как ще стане.
Глобите ще ги плащат лично от джоба си директорите на НАП ли?
Не е редно да плащаме ние з агрешките на НАП, но НАП не е частно дружество. То има пари ако събира данъци от фирми и физически лица.
В крайна сметка и тези пари ще трябва да ги плаща държавата. Тоест ние, като ги дадем на НАП.
Добре, че ви го каза и италианеца
Голяма мизерия стана тогава, така е.
И за мен НАП, както всяка уважаваща се държавна институция, просто е бездействала. Това е.
От ясно по-ясно е, че НАП не са си мръднали пръста, какво толкова има да се бистри?
Да, пазенето на база данни в криптиран вид е едно от изискванията на GDPR и е много евтино и просто решение. Но някой трябва да се сети да го направи.
Даже не трябва да се сеща, а да изпълни изискванията на закона.
За мен е споделена отговорността
Да де, но кой е виновен?
Излиза, че няма виновници.
Е много ясно
Тад Груп е отговорна за кражбата.
Откраднаха от детето парите за закуската му.
Откраднаха чистачките на Тодор Колев, светла му памет.
Откраднаха незаключено колело.
Откраднаха на просяка подаянието.
Отврат !!!