Върховният административен съд отправя преюдициално запитване до Съда на Европейския съюз по казуса с теча на лични данни от НАП.

Запитването е отправено във връзка с дело на ВАС, но на практика с него се спират производствата по всички такива дела в страната до произнасянето на европейския съд.

Административното дело пред ВАС е образувано по жалба на физическо лице срещу решение от 27 ноември 2020 г. по дело от 2019 г. на Административен съд София - град, с което е отхвърлен като неоснователен иска за присъждане на обезщетение в размер на 1000 лв. за претърпени неимуществени вреди от незаконосъобразно бездействие на НАП като администратор на лични данни, изразяващо се в неизпълнение в достатъчна степен на свои задължения.

Във ВАС като касационна инстанция има постъпили над 100 дела във връзка с теча на личните данни от НАП. От съда посочват, че съдебните производства срещу Приходната агенция са приключили на първа инстанция с противоречиви резултати - исковете или са отхвърляни като неоснователни, или са уважавани изцяло или частично. Нормативната уредба е тълкувана и прилагана противоречиво по всички елементи на отговорността на администратора на лични данни.

По данни на ВАС към момента има влезли в сила следните осъдителни решения по идентични казуси. По тях са отменени първоинстанционните решения изцяло или частично, като вместо това са присъдени обезщетения в размери по 200, 300 и 940 лв.

ВАС приема, че НАП е бездействал, не е изпълнил задълженията си и не е доказал, че е въвел подходящи технически мерки, които трябва да осигурят подходящо ниво на сигурност. "Безспорно установеният факт на изтекла информация от информационната система на НАП вследствие на неправомерен достъп обуславя извод за бездействие от страна на агенцията да осигури надеждност и сигурност на личните данни. Прието е, че действието на лицето, проникнало в информационната система на НАП не освобождава администратора на лични данни от отговорност за вреди по чл. 82, пар. 3 от Регламент (ЕС) 2016/679, доколкото не е ангажирал доказателства, че е взел изискуемите се по регламента подходящи технически мерки, които да гарантират сигурността на съдържащите се в информационната му система лични данни. Изпитаните от субекта на лични данни негативни емоции, притеснения, страх, несигурност са в причинна връзка с поведението на администратора на лични данни и представляват реално претърпени неимуществени вреди, свързани с реален страх от реална заплаха за увреждане", посочва се в позицията на съда.

Осъдиха НАП за теча на данни от 2019 г.

Осъдиха НАП за теча на данни от 2019 г.

Решението на ВАС по едно от първите дела е окончателно

В тази връзка отправеното преюдициално запитване до Съда на ЕС е със следните въпроси:

- Разпоредбите на чл. 24 и чл. 32 от Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че е достатъчно да е осъществено неразрешено разкриване или достъп до лични данни по смисъла на чл. 4, т. 12 от Регламент (ЕС) 2016/679 от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, за да се приеме, че приложените технически и организационни мерки не са подходящи?

- Ако отговорът на първия въпрос е отрицателен, какъв следва да е предметът и обхватът на съдебния контрол за законосъобразност при проверка дали приложените от администратора на лични данни технически и организационни мерки по чл. 32 от Регламент (ЕС) 2016/679 са подходящи?

- Ако отговорът на първия въпрос е отрицателен, принципът на отчетност в чл. 5, пар. 2 и чл. 24 във връзка със Съображение 74 от Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че в исковото производство по чл. 82, пар.1 от Регламент (ЕС) 2016/679 администраторът на лични данни носи доказателствена тежест относно обстоятелството, че приложените по чл. 32 от регламента технически и организационни мерки са подходящи? Назначаването на съдебна експертиза може ли да се приеме като необходимо и достатъчно доказателствено средство, с което да се установи дали приложените от администратора на лични данни технически и организационни мерки са подходящи в хипотеза като настощящата, в която неразрешеният достъп и разкриване на лични данни е резултат от "хакерска атака"?

- Нормата на чл. 82, пар. 3 от от Регламент (ЕС) 2016/679 може ли да се тълкува в смисъл, че неразрешено разкриване или достъп до лични данни по смисъла на чл. 4, т. 12 от Регламент (ЕС) 2016/679, в случая чрез "хакерска атака", от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, е събитие, за което администраторът на лични данни по никакъв начин не е отговорен и е основание за освобождаване от отговорност?

- Нормите на чл. 82, пар.1 и пар. 2 във връзка със Съображения 85 и 146 от преамбюла на Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че в хипотеза като настоящата на нарушение на сигурността на личните данни, изразяващо се в неразрешен достъп и разпространение на лични данни, осъществено чрез "хакерска атака", само преживените от субекта на лични данни опасения, притеснения и страх от евентуална, бъдеща злоупотреба с лични данни, без да е установена такава злоупотреба и/или да е настъпила друга вреда за субекта на данните, попадат в широкия смисъл на понятието нематериални вреди и е основание за обезщетение?

В НАП изобщо нямало разписани правила за защита на личните данни

В НАП изобщо нямало разписани правила за защита на личните данни

Това установи проверката на Комисията за защита на личните данни

Припомняме, вчера стана ясно, че BAC е ocъдил Haциoнaлнaтa aгeнция пo пpиxoдитe дa плaти oбeзщeтeниe нa eдин oт милиoнитe пoтъpпeвши oт бeзпpeцeдeнтния тeч нa лични дaнни пpeз 2019 г. Решението е окончателно и е първото от заведените около 100 граждански дела зa нaнeceни нeмaтepиaлни щeти вcлeдcтвиe нa дoпycнaтия пpoбив в cиcтeмaтa и бездействие за осигуряване на сигурността.

По случая с теча на лични данни от НАП проверка направи "Информационно обслужване", която установи редица пропуски в системите на НАП, включително и това, че системите за сигурност не са обновявани в последните десет години, а и изобщо няма разписани правила за защита на личните данни.

Течът на данни предизвика проверка на Комисията за защита на личните данни, която завърши с решение за глоба от 5.1 млн.лв. От НАП заявиха, че ще обжалват решението.

Държавата можеше бъде още по-убедителна в своята суровост и безкомпромисност към недъзите на обществото, като накаже НАП с трилионна глоба. Или квадрилионна, или квинтилионна. И всъщност, разсъждава Иван Стамболов - Сула, това ще е все едно

Bъпpeĸи тoвa cфopмиpaнaтa пo cлyчaя в Народното събрание Bpeмeннa aнĸeтнa ĸoмиcия пo-ĸъcнo пocтaнoви, чe пepcoнaлнo винoвни лицa в peдицитe нa HAΠ нямa. Двaмa дyши oт ІТ eĸипa на НАП бяxa yвoлнeни, но диpeĸтopът нa aгeнциятa Гaля Димитpoвa, ĸoятo въпреки хакерската атака и срива в paзгapa нa лятото, peши дa ocтaнe в oтпycĸ. Тя бе напълно оневинена от тогавашния финансов министър Владислав Горанов, а нейната заплата също така бе увеличена следващата година.

По случая с източването на лични данни са обвинени трима души собственикът на ТАД груп Иван Тодоров, обявен за издирване с европейска заповед за арест, изпълнителният директор на фирмата Янков и служителят Кристиян Бойков. От прокуратурата заявиха, че нямат съмнение, че Кристиян Бойков е отговорен за атаката срещу НАП. Развитие обвинението и делото на този етап няма.

Глобяването на НАП

Глобяването на НАП

Държавата можеше бъде още по-убедителна в своята суровост и безкомпромисност към недъзите на обществото, като накаже НАП с трилионна глоба. Или квадрилионна, или квинтилионна. И всъщност, разсъждава Иван Стамболов - Сула, това ще е все едно