Блокирани са делата, воденени в България за обезщетение заради теча на лични данни от НАП

ВАС сезира съда на ЕС, след като до него стига делото на С.С. Тя обжалва пред върховните съдии отказа на Административния съд в София (АССГ) да й присъди обезщетение за вреди заради изтеклите й лични данни. Жената настоява да получи 1000 лева заради бездействието на НАП. Първата инстанция приема, че неразрешеният достъп до базата данни на НАП е извършен чрез хакерска атака, за която разследването още не е приключило.

Окончателно: Осъдиха НАП за теча на лични данни през 2019 г.

Осъдиха НАП за теча на лични данни след хакерската атака от лятото на 2019 г. Приходната агенция трябва да плати 500 лева обезщетение з...

Прочети повече

Според АССГ приходната агенция не може да осигури такава защита на базата си данни, че да не може да бъде пробита по никакъв начин, от никого и с никакви средства. Ищцата С.С. е трябвало да посочи какви технически действия е следвало да извърши НАП, но не го е направила, или го е направила лошо, така че е настъпил или е допринесено за настъпване на пробива. Първата инстанция смята също, че има доказателства, че НАП не е бездействала. А С.С. не е претърпяла неимуществени вреди, които да подлежат на обезщетяване. Преживеният емоционален дискомфорт, който предизвиква новината за неоторизиран достъп до информационните масиви на НАП, е нормален, но не представлява реално настъпила вреда по смисъла на закона, обяснява съдът. Освен това жената не е проявила интерес какви точно нейни лични данни са изтекли, т.е. не е била в силен емоционален стрес. И публичното оповестяване на хакерската атака не се е отразило върху живота на С.С. - самочувствие, самооценка, работа, отношения с близки хора, здравословно състояние.

Питането на ВАС до Люксембург е в пет точки. Те се въртят около това дали e нарушен Регламентът за защита на личните данни (GDPR), ако разкриването им не е станало от служител на администратора, т.е. НАП. Това достатъчно ли е да се приеме, че не са положени адекватни грижи за личните данни, пита ВАС. И още: GDPR може ли да се тълкува, че изтичането на лични данни, в случая чрез хакерска атака, от лица, които не са служители в НАП, е събитие, за което агенцията по никакъв начин не е отговорна? Трябва ли да е настъпила друга вреда за хората с изтеклите данни освен притеснението им, за да имат право те да получат обезщетение, пита още ВАС.

По делата, по които ВАС досега е отсъждал в полза на хората с изтекли лични данни, магистратите приемат, че НАП е бездействала, не е изпълнила задълженията си по Регламента за защита на личните данни и не е доказал, че е въвел подходящи технически мерки, които трябва да осигурят подходящо ниво на сигурност. Прието е, че действието на лицето, проникнало в информационната система на НАП, не освобождава агенцията от отговорност за вреди, тъй като не е представила доказателства, че е взела мерки за сигурността на информацията. Затова и изпитаните от гражданите притеснения, страх и несигурност са в причинна връзка с поведението на НАП.