Медия без
политическа реклама

Казусът с теча на личните данни стигна до Съда на ЕС

Над 100 дела ще бъдат блокирани в очакване на отговорите на магистратите в Люксембург

Илияна Кирилова
През юли 2019 г. изтекоха данните на общо 6 074 140 физически лица.

Запитване на Върховния административен съд до Съда на ЕС в Люксембург блокира всички дела, воденени в България, за обезщетения заради изтеклите от НАП лични данни. Те ще може да продължат, след като се произнесат европейските съдии. В момента във ВАС, който е втора и последна инстанция по тези казуси, висят над 100 процеса по Закона за отговорността на държавата. Решенията на първата инстанция по тях са различни - някои искове са отхвърлени, други са уважени изцяло или частично. Обезщетенията са различни - 200, 300, 940 лв.

ВАС сезира съда на ЕС, след като до него стига делото на С.С. Тя обжалва пред върховните съдии отказа на Административния съд в София (АССГ) да й присъди обезщетение за вреди заради изтеклите й лични данни. Жената настоява да получи 1000 лв. заради бездействието на НАП. Първата инстанция приема, че неразрешеният достъп до базата данни на НАП е извършен чрез хакерска атака, за която разследването още не е приключило. 

Според АССГ приходната агенция не може да осигури такава защита на базата си данни, така че да не може да бъде пробита по никакъв начин, от никого и с никакви средства. Ищцата С.С. е трябвало да посочи какви технически действия е следвало да извърши НАП, но не го е направила, или го е направила лошо, така че е настъпил или е допринесено за настъпване на пробива. Първата инстанция смята също, че има доказателства, че НАП не е бездействала. А С.С. не е претърпяла неимуществени вреди, които да подлежат на обезщетяване. Преживеният емоционален дискомфорт, който предизвиква новината за неоторизиран достъп до информационните масиви на НАП, е нормален, но не представлява реално настъпила вреда по смисъла на закона, обяснява съдът. Освен това жената не е проявила интерес какви точно нейни лични данни са изтекли, т.е. не е била в силен емоционален стрес. И публичното оповестяване на хакерската атака не се е отразило върху живота на С.С. - самочувствие, самооценка, работа, отношения с близки хора, здравословно състояние.

Питането на ВАС до Люксембург е в пет точки. Те се въртят около това дали e нарушен Регламентът за защита на личните данни (GDPR), ако разкриването им не е станало от служител на администратора, т.е. НАП. Това достатъчно ли е да се приеме, че не са положени адекватни грижи за личните данни, пита ВАС. И още: GDPR може ли да се тълкува, че изтичането на лични данни, в случая чрез хакерска атака, от лица, които не са служители в НАП, е събитие, за което агенцията по никакъв начин не е отговорна? Трябва ли да е настъпила друга вреда за хората с изтеклите данни освен притеснението им, за да имат право те да получат обезщетение, пита още ВАС.

По делата, по които ВАС досега е отсъждал в полза на хората с изтекли лични данни, магистратите приемат, че НАП е бездействала, не е изпълнила задълженията си по Регламента за защита на личните данни и не е доказал, че е въвел подходящи технически мерки, които трябва да осигурят подходящо ниво на сигурност. Прието е, че действието на лицето, проникнало в информационната система на НАП, не освобождава агенцията от отговорност за вреди, тъй като не е представила доказателства, че е взела мерки за сигурността на информацията. Затова и изпитаните от гражданите притеснения, страх и несигурност са в причинна връзка с поведението на НАП.

Една от жертвите на теча на изтичането на лични данни от НАП през лятото на 2019 г. окончателно осъди приходната агенция да й плати обезщетение от 500 лв. Това се вижда от решение на Върховния административен съд (ВАС) от 10 май.

 

Още по темата