В решението си по дело C‑340/21 Съдът на Европейския съюз (СЕС) приема, че опасенията, които субект на данни изпитва, вследствие на теч на данни, т. е. при нарушение на регламент 679/2016 (ОРЗД или GDPR), от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „неимуществена вреда“, за която се дължи обезщетение.
Помните ли #НАПЛийкс?
През лятото на 2019 г. България осъмна с новината, че сигурността на данните в Националната агенция за приходите (НАП) е компрометирана и личните данни на над 5 милиона български граждани „изтекоха“ в интернет. Този казус придоби печална известност като „#НАПлийкс„.
Решение на КЗЛД
Инцидентът предизвиква Комисията за защита на лични данни (КЗЛД) да предприеме действия:
Налага имуществена санкция
С Наказателно постановление 004 0т 28.08.2019 г. и Решение №ППН-02-399/2019 от 22.08.2019 г. (непубликувано) КЗЛД приема, че е извършено нарушение на чл. 32, параграф 1, буква „б“ от Общия регламент за защита на данните (GDPR), поради което на НАП е наложена рекордната имуществена санкция от над 5 милиона лева.
Дава задължителни предписания
Със същото решение на КЗЛД на приходната агенция освен това са дадени 20 предписания за въвеждане и поддържане на адекватни технически и организационни мерки с оглед защитата на личните данни на българските данъкоплатци.
Решения на АССГ и ВАС по задължителните предписания
НАП обжалва дадените ѝ предписания пред Административен съд София – град (АССГ). Този съд с решение по административно дело 10477/2019 отменя 3 от 20-те предписания и отхвърля жалбата на НАП в останалата ѝ част. Решението на АССГ е обжалвано пред Върховния административен съд (ВАС), където е образувано адм. дело № 3781/2023 г., разгледанo в открито заседание на 14.12.2023 г. и обявено за решаване (протокол).
Решение на СРС по имуществената санкция
НАП обжалва наложеното наказание пред Софийски районен съд (СРС). За производството пред този съд е известно само че СРС е потвърдил решението на КЗЛД. Това решение не е окончателно и може да бъде обжалвано пред Софийски градски съд.
Дела за обезщетения пред административните съдилища
Изтичането на личните данни на милиони граждани води до завеждането на дела срещу НАП за обезщетение пред административните съдилища.
В своята практика ВАС приема, че всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент като ако е претърпял материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.
Правното основание за тази защита е в чл. 79, параграф 1 и чл. 82, параграф 1 от Общия регламент относно защитата на данни (GDPR), като процесуалният ред за реализирането на това право на защита се определя от националното законодателство на всяка държава-членка. Така в българското законодателство обезщетението за вреди, причинени от органи на държавата и общините при или по повод изпълнение на административна дейност, се упражнява чрез предявяване на осъдителен иск, подлежащ на разглеждане от административните съдилища по реда на Административнопроцесуалния кодекс (АПК) с препращане за неуредените въпроси към Закона за отговорност на държавата и общините за вреди (ЗОДОВ) и Гражданския процесуален кодекс (ГПК).
Преюдициално запитване до Съда на Европейския съюз
Тъкмо в такова производство, при което първоинстанционният съд е отхвърлил иска за обезщетение, съдебен състав на ВАС е приел да отправи преюдициално запитване до Съда на ЕС.
В същото ВАС задава следните въпроси:
1) Разпоредбите на член 24 и член 32 от [ОРЗД] могат ли да се тълкуват в смисъл, че е достатъчно да е осъществено неразрешено разкриване или достъп до лични данни по смисъла на член 4, точка 12 от [ОРЗД] от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, за да се приеме, че приложените технически и организационни мерки не са подходящи?
2) Ако отговорът на първия въпрос е отрицателен, какъв следва да е предметът и обхватът на съдебния контрол за законосъобразност при проверка дали приложените от администратора на лични данни технически и организационни мерки по член 32 от [ОРЗД] са подходящи?
3) Ако отговорът на първия въпрос е отрицателен, принципът на отчетност в член 5, параграф 2 [от ОРЗД] и член 24 [от този регламент] във връзка със съображение 74 от [него] могат ли да се тълкуват в смисъл, че в исковото производство по член 82, параграф 1 от [посочения регламент] администраторът на лични данни носи доказателствена тежест относно обстоятелството, че приложените по член 32 от [същия регламент] технически и организационни мерки са подходящи? Назначаването на съдебна експертиза може ли да се приеме като необходимо и достатъчно доказателствено средство, с което да се установи дали приложените от администратора на лични данни технически и организационни мерки са подходящи в хипотеза като настоящата, в която неразрешеният достъп и разкриване на лични данни е резултат от „хакерска атака“?
4) Нормата на член 82, параграф 3 от [ОРЗД] може ли да се тълкува в смисъл, че неразрешено разкриване или достъп до лични данни по смисъла на член 4, точка 12 от [ОРЗД], в случая чрез „хакерска атака“, от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, е събитие, за което администраторът на лични данни по никакъв начин не е отговорен и е основание за освобождаване от отговорност?
5) Нормите на член 82, параграф 1 и параграф 2 [от ОРЗД] във връзка със съображения 85 и 146 от преамбюла на [този регламент] могат ли да се тълкуват в смисъл, че в хипотеза като настоящата на нарушение на сигурността на личните данни, изразяващо се в неразрешен достъп и разпространение на лични данни, осъществено чрез „хакерска атака“, само преживените от субекта на лични данни опасения, притеснения и страх от евентуална, бъдеща злоупотреба с лични данни, без да е установена такава злоупотреба и/или да е настъпила друга вреда за субекта на данните, попадат в широкия смисъл на понятието нематериални вреди и [това] е основание за обезщетение?“.
Решение на Съда на ЕС
В решението си Съдът отговаря, както следва:
1) Самият факт, че се е стигнало до неразрешено разкриване на лични данни или достъп до такива данни не е достатъчно, за да се заключи, че предприетите от администратора на лични данни мерки за защита не са били подходящи. Националните съдилища трябва да преценят доколко тези мерки са били подходящи във всеки конкретен случай.
2) Администраторът на данни носи тежестта на доказване, че предприетите мерки за защита са били подходящи.
3) В случай на неразрешено разкриване на лични данни или неразрешен достъп до тях от „трети лица“ (като например киберпрестъпници) администраторът може да бъде задължен да плати обезщетение на лицата, които са претърпели вреди, освен ако не докаже, че по никакъв начин не носи отговорност за вредите.
4) Самият факт, че субектът на данни се опасява, че неговите лични данни могат да бъдат използвани неправомерно от трети лица в резултат на нарушение на ОРЗД, може да представлява „неимуществена вреда“.
От това следва, че Съдът на ЕС укрепва правата на субектите на данни и завишава стандарта на дължимата от администраторите на лични данни грижа при тяхното опазване, включително и вследствие на кибератаки.
След така постановеното решение на Съда на ЕС българският Върховен административен съд много вероятно ще върне делото на друг състав на първоинстанционния АССГ, който да разпредели на НАП доказателствената тежест, че предприетите от приходната агенция мерки за защита на данните на данъкоплатците са били адекватни. Този съдебен състав ще трябва да цени и доказателствата за претърпяното от ищеца-субект на лични данни „опасение“. Доколкото по други дела вече е установявано, че НАП е предприела редица защитни мерки едва след настъпването на НАПлийкс и съответно след дадените ѝ от КЗЛД предписания, остава да видим как това ще бъде ценено от решаващите предизвикалото преюдициалното запитване дело съдии.
Повече за добрите практики при въвеждане и поддържане на подходящи технически и организационни мерки можете да прочетете тук.
Имате ли въпроси, свързани с обработването на лични данни? Просто ни се обадете!