Съдът призна, че течът на лични данни нанася неимуществени вреди

Адвокат Ясен Крайчев разказва за делото си срещу Националната агенция за приходите, спечелено във Върховния административен съд.

© Юлия Лазарова

Адвокат Ясен Крайчев разказва за делото си срещу Националната агенция за приходите, спечелено във Върховния административен съд.



Две години след скандала с изтичането на данни от системата на Националната агенция за приходите (НАП), станал известен и като НАПleaks, излезе решението на Върховния касационен съд (ВАС), което е окончателно и с което се потвърждава решението на Административния съд в Пловдив, с което беше уважена претенцията ми за присъждане на обезщетение в размер от 1 лев за претърпени неимуществени вреди вследствие нарушената сигурност на личните данни. Решението е № 6209/25.05.2021г. по адм.д. № 2602/2021г., Върховен административен съд, V отделение.


За широката публика би трябвало вече да е ясно какъв бе смисълът на тази борба. Той не беше нито в това да започнат адвокати да водят масово дела срещу НАП и "да забогатеят" по този начин, нито аз да си правя евтина реклама. На второто бе посветена повече от половината от касационната жалба на НАП до Върховния административен съд. Отбелязвам и тук, както направих и в отговора ми на касационната жалба, и в открито съдебно заседание, че намирам подобни твърдения за проява на доста лош вкус. Ето защо в тази кратка статия ще се спра на някои детайли и защо всъщност това дело е практически полезно и ще бъде полезно в бъдеще по подобни казуси.


1. Изпълнението на изискванията на GDPR не се състои в копи-пейст на правила и политики.




Това би следвало да е ясно на всеки човек, занимаващ се с лични данни, защитата и обработването им. Въвеждането на тази общоевропейска регулация не целеше просто всички администратори да държат по един топ хартия и/или виртуално мастило и да обясняват на субектите на данни какво означава "право да бъдеш забравен". Смисълът на регулацията е тя да бъде ефективно приложена и да дава съответните резултати. С делото срещу НАП стана ясно, че в приходната агенция именно това не е направено.


Да, налице са десетки страници с политики, протоколи и процедури, но те са останали по-скоро "пожелателни" за лицата, боравещи с данни в тази административна структура. В този смисъл са и изводите на Върховния административен съд: "нарушението според настоящия състав, е осъществено чрез бездействие, което се изразява в неосигуряване (невъвеждане) на подходящи организационни и технически мерки, които в необходимата степен да гарантират защитата на личните данни на ищеца Я.К., и като последица неосигуряване подходящо ниво на сигурност на тези лични данни".


Просто казано, не е важно какви политики има разписани на хартия, а кои от тях са реално въведени чрез адекватни организационни и технически мерки.


2. Неимуществени вреди могат да бъдат пряка и непосредствена последица от нарушение на сигурността на лични данни.


Без съмнение е добре, че има съдебна практика, и то на Върховния административен съд, потвърждаваща тезата, че чрез нарушената сигурност на личните данни един субект може да понесе неимуществени вреди. В коментираното решение съдът е категоричен, че: "неимуществените вреди като резултат произтичат от бездействието на ответника, като трябва изрично да се подчертае, че това поведение е практически годно, т.е. създаващо реална възможност да предизвика крайния резултат".


Тази съдебна практика е правилна и би следвало да се възприеме и в бъдещи казуси, което само по себе си ще осигури ефективна съдебна защита на субектите на данни.


3. "Хакерската атака не е аргумент.


Основният аргумент в защитата на НАП и пред двете инстанции бе, че в случая ставало дума за хакерска атака, срещу дадено лице имало образувано досъдебно производство, което освобождавало администратора от отговорност. Изводът на съда в тази насока е категоричен: "ирелевантно за спора е изследване на деянието хакерска атака ли е или друго и неговият характер". Той следва да се разглежда в контекста на събраните доказателства, "от прочита на които не може да се обоснове освобождаване от отговорност на администратора на лични данни по смисъла на чл. 82, пар. 3 от Общия регламент за защита на данните (ОРЗД), т.е. не е доказано в процеса, че администратора на лични данни по никакъв начин не е отговорен за събитието, причинило вредата".


Иначе казано, хакерската атака би била аргумент, ако е бил налице адекватен анализ на риска, както и ако са били въведени подходящи организационни и технически мерки за защита на личните данни от страна на НАП.


Съдът изобщо не изследва причината за теча, тъй като НАП в качеството си на администратор не е извършила ефективно дори първия етап от въвеждането на една цялостна система за информационна сигурност. Това бе потвърдено и от приетата по делото пред Административен съд - Пловдив експертиза.


Като заключение - така проведената съдебна битка безспорно показа редица слабости на администрацията в областта на информационната сигурност. Оттук нататък би следвало основна задача на самите администратори на лични данни, контролния орган, както и на гражданското общество, да бъде вкарване в ред на дейността по обработка и съхранение на личните данни от страна на администрацията.


Само чрез тези съвместни усилия, включващи граждански и институционален контрол, би могло да се осигури адекватно приложение на разпоредбите на ОРЗД, което от своя страна да доведе до по-ефективна защита на личните данни на гражданите. А тази защита ще става все по-важна, ако действително приоритет на България в следващите години е въвеждане на електронно управление. Преминаването на администрацията "в 21-и век" няма как да се осъществи, без да има адекватно ниво на информационна сигурност и защита на личните данни.


Всичко, което трябва да знаете за:

Рубриката “Анализи” представя различни гледни точки, не е задължително изразените мнения да съвпадат с редакционната позиция на “Дневник”.
Коментари (11)
  1. Подредба: Сортирай
  1. 1 Профил на Vlado Nikolov
    Vlado Nikolov
    Рейтинг: 3973 Неутрално

    Това се знаеше и без съдебно решение. Но, НАП са упорити. Такъв теч може да доведе и до имуществени вреди.

  2. 2 Профил на Чърчил
    Чърчил
    Рейтинг: 930 Неутрално

    Освен заключението на адвокат Ясен Крайчев ,основния извод е че нормите приети не само от ЕС а и други институции с които България работи и е законодателно синхронизирала се прилагат на хартия ,а бюрократите там са най силни. Но има и нещо друго и това е ,че обучението по тази материя е на ниво " да вземем едни пари за ГДПР"

    ЗАВИСТТА ТРЯБВА ДА Я ЗАСЛУЖИШ.СЪЖАЛЕНИЕ ПОЛУЧАВАШ БЕЗПЛАТНО
  3. 3 Профил на gigabyte
    gigabyte
    Рейтинг: 595 Неутрално

    От тъпите калинки какво да очакваш? Тъпоумно бездействие, тогавашната шефка на НАП е била тотално некомпетентна дори да разбере какъв е проблемът. Както се казва: Гарантирано от ГЕРБ!

    master
  4. 4 Профил на meteowrite
    meteowrite
    Рейтинг: 1130 Неутрално

    Адвокатче уонаби съди държавата в дело, което е кристално ясно, че ще спечели. Както е кристално ясно, че гдпр в държавни институции на практика няма.

    You don't know what you don't know.
  5. 5 Профил на Боян Таксиров
    Боян Таксиров
    Рейтинг: 1768 Неутрално

    Незконното подслушване дали би могло да се окачестви като теч на лични данни?

    ХАКНАТИЯТ МОЗЪК: https://unbrain.eu/?bg
  6. 6 Профил на hope
    hope
    Рейтинг: 3025 Неутрално

    Тази “защита на личните данни” е още една измислица за харчене на пари.

    Любовта ще спаси света!!!
  7. 7 Профил на diq55699032
    diq55699032
    Рейтинг: 1823 Неутрално

    Още един гений?

    Поканен ли е утре на дрането на рубашки?

    09 Jun '20 — Радев: Смущаващо е, че Божков звучи по-убедително от неговите обвинители 13 May '19 — Tео Ушев: Президентът и жена му са чудовищно прости. 01 Sep '21 — Кирил Петков: С две ръце гласувам за президента Радев
  8. 8 Профил на pro_bono
    pro_bono
    Рейтинг: 1223 Неутрално

    Теча на лични данни нарушава човешкото право за личното пространство . Да не говорим , че може и да има и открадване на идентичност и свързани с нея престъпления.

  9. 9 Профил на Гражданин
    Гражданин
    Рейтинг: 1716 Неутрално

    Още по голяма кочина е в Градска мобилност! Там за получаване на винетка за паркиране се изискват и съхраняват копия на нотариални актове. Един пробив който, както виждаме, е лесна работа и имущесто за колосални суми може да смени собственика си. И това само заради едната винетка, че гражданите имат право да паркират по местоживеене!

  10. 10 Профил на samoedin
    samoedin
    Рейтинг: 4255 Неутрално

    " Основният аргумент в защитата на НАП и пред двете инстанции бе, че в случая ставало дума за хакерска атака, срещу дадено лице имало образувано досъдебно производство, което освобождавало администратора от отговорност. Изводът на съда в тази насока е категоричен: "ирелевантно за спора е изследване на деянието хакерска атака ли е или друго и неговият характер". Той следва да се разглежда в контекста на събраните доказателства, "от прочита на които не може да се обоснове освобождаване от отговорност на администратора на лични данни по смисъла на чл. 82, пар. 3 от Общия регламент за защита на данните (ОРЗД), т.е. не е доказано в процеса, че администратора на лични данни по никакъв начин не е отговорен за събитието, причинило вредата"."

    Нашите калинки се скрили зад " хакерска атака" ! Смях ! Съдът ги е наврял да не казвам къде и напълно основателно при това ! Лошото е, че обезщетенията ще ги плащаме дефакто пак всички ние, данъкоплатците, в тази държава ! А такива като наскоро осовободената началничка на НАП, герберската прелест, ще отидат да си харчат.....заработеното в някой замък из милата ни родина.....

  11. 11 Профил на ivanpopov
    ivanpopov
    Рейтинг: 2387 Неутрално

    Браво! И за обосновката на делото и за статията! И особено за това, че се преборихте до край.





За да коментирате, е нужно да влезете в профила си или да се регистрирате.
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK