Съдът призна, че течът на лични данни нанася неимуществени вреди

Адвокат Ясен Крайчев разказва за делото си срещу Националната агенция за приходите, спечелено във Върховния административен съд.

© Юлия Лазарова

Адвокат Ясен Крайчев разказва за делото си срещу Националната агенция за приходите, спечелено във Върховния административен съд.



Две години след скандала с изтичането на данни от системата на Националната агенция за приходите (НАП), станал известен и като НАПleaks, излезе решението на Върховния касационен съд (ВАС), което е окончателно и с което се потвърждава решението на Административния съд в Пловдив, с което беше уважена претенцията ми за присъждане на обезщетение в размер от 1 лев за претърпени неимуществени вреди вследствие нарушената сигурност на личните данни. Решението е № 6209/25.05.2021г. по адм.д. № 2602/2021г., Върховен административен съд, V отделение.


За широката публика би трябвало вече да е ясно какъв бе смисълът на тази борба. Той не беше нито в това да започнат адвокати да водят масово дела срещу НАП и "да забогатеят" по този начин, нито аз да си правя евтина реклама. На второто бе посветена повече от половината от касационната жалба на НАП до Върховния административен съд. Отбелязвам и тук, както направих и в отговора ми на касационната жалба, и в открито съдебно заседание, че намирам подобни твърдения за проява на доста лош вкус. Ето защо в тази кратка статия ще се спра на някои детайли и защо всъщност това дело е практически полезно и ще бъде полезно в бъдеще по подобни казуси.


1. Изпълнението на изискванията на GDPR не се състои в копи-пейст на правила и политики.




Това би следвало да е ясно на всеки човек, занимаващ се с лични данни, защитата и обработването им. Въвеждането на тази общоевропейска регулация не целеше просто всички администратори да държат по един топ хартия и/или виртуално мастило и да обясняват на субектите на данни какво означава "право да бъдеш забравен". Смисълът на регулацията е тя да бъде ефективно приложена и да дава съответните резултати. С делото срещу НАП стана ясно, че в приходната агенция именно това не е направено.


Да, налице са десетки страници с политики, протоколи и процедури, но те са останали по-скоро "пожелателни" за лицата, боравещи с данни в тази административна структура. В този смисъл са и изводите на Върховния административен съд: "нарушението според настоящия състав, е осъществено чрез бездействие, което се изразява в неосигуряване (невъвеждане) на подходящи организационни и технически мерки, които в необходимата степен да гарантират защитата на личните данни на ищеца Я.К., и като последица неосигуряване подходящо ниво на сигурност на тези лични данни".


Просто казано, не е важно какви политики има разписани на хартия, а кои от тях са реално въведени чрез адекватни организационни и технически мерки.


2. Неимуществени вреди могат да бъдат пряка и непосредствена последица от нарушение на сигурността на лични данни.


Без съмнение е добре, че има съдебна практика, и то на Върховния административен съд, потвърждаваща тезата, че чрез нарушената сигурност на личните данни един субект може да понесе неимуществени вреди. В коментираното решение съдът е категоричен, че: "неимуществените вреди като резултат произтичат от бездействието на ответника, като трябва изрично да се подчертае, че това поведение е практически годно, т.е. създаващо реална възможност да предизвика крайния резултат".


Тази съдебна практика е правилна и би следвало да се възприеме и в бъдещи казуси, което само по себе си ще осигури ефективна съдебна защита на субектите на данни.


3. "Хакерската атака не е аргумент.


Основният аргумент в защитата на НАП и пред двете инстанции бе, че в случая ставало дума за хакерска атака, срещу дадено лице имало образувано досъдебно производство, което освобождавало администратора от отговорност. Изводът на съда в тази насока е категоричен: "ирелевантно за спора е изследване на деянието хакерска атака ли е или друго и неговият характер". Той следва да се разглежда в контекста на събраните доказателства, "от прочита на които не може да се обоснове освобождаване от отговорност на администратора на лични данни по смисъла на чл. 82, пар. 3 от Общия регламент за защита на данните (ОРЗД), т.е. не е доказано в процеса, че администратора на лични данни по никакъв начин не е отговорен за събитието, причинило вредата".


Иначе казано, хакерската атака би била аргумент, ако е бил налице адекватен анализ на риска, както и ако са били въведени подходящи организационни и технически мерки за защита на личните данни от страна на НАП.


Съдът изобщо не изследва причината за теча, тъй като НАП в качеството си на администратор не е извършила ефективно дори първия етап от въвеждането на една цялостна система за информационна сигурност. Това бе потвърдено и от приетата по делото пред Административен съд - Пловдив експертиза.


Като заключение - така проведената съдебна битка безспорно показа редица слабости на администрацията в областта на информационната сигурност. Оттук нататък би следвало основна задача на самите администратори на лични данни, контролния орган, както и на гражданското общество, да бъде вкарване в ред на дейността по обработка и съхранение на личните данни от страна на администрацията.


Само чрез тези съвместни усилия, включващи граждански и институционален контрол, би могло да се осигури адекватно приложение на разпоредбите на ОРЗД, което от своя страна да доведе до по-ефективна защита на личните данни на гражданите. А тази защита ще става все по-важна, ако действително приоритет на България в следващите години е въвеждане на електронно управление. Преминаването на администрацията "в 21-и век" няма как да се осъществи, без да има адекватно ниво на информационна сигурност и защита на личните данни.


Всичко, което трябва да знаете за:

Рубриката “Анализи” представя различни гледни точки, не е задължително изразените мнения да съвпадат с редакционната позиция на “Дневник”.
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK