Страхът от възможна злоупотреба с лични данни може сам по себе си да представлява нематериална вреда. Това е становището на Съда на Европейския съюз по повод казуса с теча на лични данни от Националната агенция за приходите у нас.
От съдебната институция, базирана в Люксембург, отбелязват, че НАП е към министъра на финансите, като той отговаря за идентифицирането, обезпечаването и възстановяването на публични дългове. В този контекст той е администратор на лични данни.
Припомня се, че на 15 юли 2019 г. българските медии съобщиха за проникване в системата на НАП, като вследствие на кибератаката в интернет бяха публикувани личните данни на милиони хора. Много лица заведоха дела срещу Приходната агенция с искане на обезщетение за неимуществени вреди, причинени от страх, че с техните данни може да бъде злоупотребено.
В тази връзка Върховният административен съд на България сезира Съда на ЕС с няколко преюдициални въпроса относно тълкуването на Общия регламент относно защитата на данните (GDPR).
ВКС поиска разясняване на условията за присъждане на обезщетение за неимуществени вреди на субект, чиито лични данни, съхранявани от публична агенция, са публикувани в интернет след атака от киберпрестъпници.
В своето решение Съдът на ЕС отговаря на поставените въпроси, както следва:
- В случай на неоторизирано разкриване на лични данни или неоторизиран достъп до тези данни, съдилищата не могат да направят извод само от този факт, че защитните мерки, приложени от администратора, не са били подходящи. Съдилищата трябва да преценят целесъобразността на тези мерки по конкретен начин.
- Администраторът трябва да докаже, че въведените защитни мерки са били подходящи.
- В случай че неоторизирано разкриване на лични данни или неоторизиран достъп до тези данни е извършено от "трета страна" (като киберпрестъпници), администраторът може да бъде задължен да компенсира субектите на данни, които са претърпели вреди, освен ако може да докаже, че по никакъв начин не носи отговорност за тези щети.
- Страхът, изпитван от даден субект по отношение на възможна злоупотреба с неговите или нейните лични данни от трети страни в резултат на нарушение на GDPR, може сам по себе си да представлява "нематериални щети".