Административен съд гр. Русе потвърди: НАП дължи обезщетение за претърпени неимуществени вреди от изтичането на лични данни през 2019-та
Свилен Максимов (гр. Русе) първи успя да осъди Националната агенция по приходите за претърпени неимуществени вреди, възникнали при неправомерното изтичане на лични данни след хакерския пробив на сървърите на НАП миналата година.
Ищецът трябва да получи обезщетение за претърпените от него „унижение, срам, безпокойство и притеснения и опасения за възможна злоупотреба с личните му данни“, като делото е спечелено още на първа инстанция – Административен съд гр. Русе. Искът е за символичната сума от 1 лев. Според Свилен Максимов обществото трябва да търси правата си, като за него положителния изход на делото е една голяма морална победа.
Делото е водено от адв. Андрей Желязков от АК Русе, който счита защитата на личните данни на физическите лица за основно право. Според него, такава защита следва да бъде осигурена на всички граждани, без значение от тяхното гражданство или местопребиваване и да бъде съобразена с техните права и свободи.
Съгласно чл. 59 ал. 1 от ЗЗЛД, администраторът на лични данни следва да прилага подходящи технически и организационни мерки, за да гарантира безопасното им обработване. В настоящия случай съдът установява, че безспорно има неправомерно разпространение на данни, като това се дължи именно на липсата на надеждност и сигурност на информационната система на приходната агенция. Освен това, бездействието от страна на НАП е незаконосъобразно и противоречи на нормативните изисквания по чл. 24 и чл. 32 от Общия регламент относно защитата на лични данни ЕС 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. /GDPR/.
Свилен Максимов отбелязва още, че явно Национална агенция по приходите има нужда да бъде официално призната за виновна от съда, тъй като такова признание от тях самите не е направено.
В решението съдът излага следните мотиви:
Настоящият съдебен състав приема, че именно техническата уязвимост и липсата на адекватна защита на информационната система на НАП е довела до нерегламентирано разкриване и разпространение на личните данни на ищеца, а тя е вследствие от неприлагането на подходящи мерки за защита.
При условие, че системата беше ефективно и надеждно защитена, то не би се стигнало до пробива ѝ, довел до разкриване на личните данни на ищеца.
НАП е следвало да гарантира запазване и предотвратяване на изтичането на личните данни на ищеца.
Фактът, че е извършен нерегламентиран достъп в информационната система на НАП, безспорно доказва, че не са предприети подходящи технически, софтуерни, както и организационни мерки, чрез които да се осигури защитата на обработването на личните данни на ищеца, което е достатъчно, за да бъде направен извод за незаконосъобразно бездействието на НАП.
НАП, в качеството си на администратор на лични данни по смисъла на чл.4, т.7 от Регламент ЕС 2016/679, при осъществяване на дейността си, е следвало да предприеме ефективни мерки за предотвратяване на нерегламентиран достъп до личните данни на ищеца и последващото им разпространение. В процесния случай това не е постигнато. Ответникът не е изпълнил задължението си по предотвратяване на нерегламентиран достъп и опазване изтичането на лични данни, като от незаконосъобразното му бездействие следва твърдения от ищеца увреждащ резултат.
Бездействието на НАП е незаконосъобразно, противоречи на нормативните изисквания на чл.59, ал.1 ЗЗЛД, чл.24 и чл.32 от Общия регламент относно защита на личните данни /ЕС/ 2016/ 679 на Европейския парламент и на Съвета от 27.04.2016 /GDPR/.