Решение №1577/19.02.2025 г. по дело №3682/2021 г. на ВАС
1. Исторически контекст и предходни решения
Делото е свързано с масовото изтичане на лични данни от Националната агенция за приходите (НАП) на 15 юли 2019 г., в резултат на нерегламентиран достъп (т.нар. “хакерска атака”). В последствие множество засегнати лица предявиха искове срещу НАП за обезщетение за неимуществени вреди, претърпени вследствие на изтичането на техните лични данни. Съдебната практика по този тип дела се формира в контекста на приложението на Регламент (ЕС) 2016/679 (Общ регламент за защита на данните – ОРЗД) и Законa за отговорността на държавата и общините за вреди (ЗОДОВ).
Първоинстанционното решение на Административен съд София-град (АССГ) е постановено на 27 януари 2021 г. и отхвърля иска на ищцата за обезщетение в размер на 1000 лв., като приема, че:
• Няма доказано противоправно бездействие от страна на НАП, тъй като са били предприети мерки за защита.
• Липсват доказателства за реално претърпени неимуществени вреди.
• Претендираното обезщетение е необосновано.
Касационната жалба е подадена от ищцата, а делото стига до Върховния административен съд (ВАС), Пето отделение, което отменя първоинстанционното решение в частта му, в която е отхвърлен искът за 200 лв. и вместо него постановява присъждане на 200 лв. обезщетение.
2. Основни въпроси по делото
ВАС разглежда три основни предпоставки за отговорността на НАП съгласно чл. 82 от ОРЗД:
1. Нарушение на правата на субекта на данни по ОРЗД – дали НАП не е спазило задълженията си да защити личните данни?
2. Претърпяна материална или нематериална вреда – дали ищцата е претърпяла неимуществени вреди (страх, притеснение и др.)?
3. Причинна връзка между нарушението и вредата – дали вредата е пряк резултат от изтичането на личните данни?
ВАС приема, че:
• НАП не е доказала, че е предприела адекватни организационни и технически мерки за защита на личните данни, поради което отговаря за причинените вреди (по аргумент от чл. 24 и 32 от ОРЗД).
• Притесненията и опасенията на ищцата за евентуални злоупотреби с нейните лични данни могат сами по себе си да представляват нематериална вреда (съгласно практика на Съда на ЕС, дело С-340/2021).
• Съществува пряка причинно-следствена връзка между неправомерното разкриване на личните данни и претърпените негативни последици.
3. Систематизация на съдебната практика
ВАС се позовава на Решение на Съда на ЕС по дело С-340/2021, което потвърждава, че:
• За да бъде ангажирана отговорността на администратора на лични данни, не е необходимо да се доказва пряк финансов ущърб – достатъчни са емоционалните последици от нарушението.
• Администраторът (НАП) носи доказателствената тежест да докаже, че е приложил ефективни мерки за защита, което не е било сторено в случая.
Практиката на ВАС по този и сходни казуси показва:
1. Държавните институции носят обективна отговорност за защита на личните данни и не могат да се позовават единствено на хакерски атаки, ако не са осигурили адекватна защита.
2. Размерът на присъдените обезщетения за неимуществени вреди е сравнително нисък – в конкретния случай от 1000 лв. първоначално претендирани, са уважени само 200 лв..
3. Съдът отчита конкретните доказателства за преживени негативни емоции и тяхното въздействие върху ищеца, но присъждането на по-високи обезщетения изисква по-сериозни доказателства (напр. експертни оценки за психически стрес).
