Съдът призна, че течът на лични данни нанася неимуществени вреди

Съдът призна, че течът на лични данни нанася неимуществени вреди

Адвокат Ясен Крайчев разказва за делото си срещу Националната агенция за приходите, спечелено във Върховния административен съд.
Адвокат Ясен Крайчев разказва за делото си срещу Националната агенция за приходите, спечелено във Върховния административен съд.
Две години след скандала с изтичането на данни от системата на Националната агенция за приходите (НАП), станал известен и като НАПleaks, излезе решението на Върховния касационен съд (ВАС), което е окончателно и с което се потвърждава решението на Административния съд в Пловдив, с което беше уважена претенцията ми за присъждане на обезщетение в размер от 1 лев за претърпени неимуществени вреди вследствие нарушената сигурност на личните данни. Решението е № 6209/25.05.2021г. по адм.д. № 2602/2021г., Върховен административен съд, V отделение.
За широката публика би трябвало вече да е ясно какъв бе смисълът на тази борба. Той не беше нито в това да започнат адвокати да водят масово дела срещу НАП и "да забогатеят" по този начин, нито аз да си правя евтина реклама. На второто бе посветена повече от половината от касационната жалба на НАП до Върховния административен съд. Отбелязвам и тук, както направих и в отговора ми на касационната жалба, и в открито съдебно заседание, че намирам подобни твърдения за проява на доста лош вкус. Ето защо в тази кратка статия ще се спра на някои детайли и защо всъщност това дело е практически полезно и ще бъде полезно в бъдеще по подобни казуси.
1. Изпълнението на изискванията на GDPR не се състои в копи-пейст на правила и политики.
Това би следвало да е ясно на всеки човек, занимаващ се с лични данни, защитата и обработването им. Въвеждането на тази общоевропейска регулация не целеше просто всички администратори да държат по един топ хартия и/или виртуално мастило и да обясняват на субектите на данни какво означава "право да бъдеш забравен". Смисълът на регулацията е тя да бъде ефективно приложена и да дава съответните резултати. С делото срещу НАП стана ясно, че в приходната агенция именно това не е направено.
Да, налице са десетки страници с политики, протоколи и процедури, но те са останали по-скоро "пожелателни" за лицата, боравещи с данни в тази административна структура. В този смисъл са и изводите на Върховния административен съд: "нарушението според настоящия състав, е осъществено чрез бездействие, което се изразява в неосигуряване (невъвеждане) на подходящи организационни и технически мерки, които в необходимата степен да гарантират защитата на личните данни на ищеца Я.К., и като последица неосигуряване подходящо ниво на сигурност на тези лични данни".
Просто казано, не е важно какви политики има разписани на хартия, а кои от тях са реално въведени чрез адекватни организационни и технически мерки.
2. Неимуществени вреди могат да бъдат пряка и непосредствена последица от нарушение на сигурността на лични данни.
Без съмнение е добре, че има съдебна практика, и то на Върховния административен съд, потвърждаваща тезата, че чрез нарушената сигурност на личните данни един субект може да понесе неимуществени вреди. В коментираното решение съдът е категоричен, че: "неимуществените вреди като резултат произтичат от бездействието на ответника, като трябва изрично да се подчертае, че това поведение е практически годно, т.е. създаващо реална възможност да предизвика крайния резултат".
Тази съдебна практика е правилна и би следвало да се възприеме и в бъдещи казуси, което само по себе си ще осигури ефективна съдебна защита на субектите на данни.
3. "Хакерската атака не е аргумент.
Основният аргумент в защитата на НАП и пред двете инстанции бе, че в случая ставало дума за хакерска атака, срещу дадено лице имало образувано досъдебно производство, което освобождавало администратора от отговорност. Изводът на съда в тази насока е категоричен: "ирелевантно за спора е изследване на деянието хакерска атака ли е или друго и неговият характер". Той следва да се разглежда в контекста на събраните доказателства, "от прочита на които не може да се обоснове освобождаване от отговорност на администратора на лични данни по смисъла на чл. 82, пар. 3 от Общия регламент за защита на данните (ОРЗД), т.е. не е доказано в процеса, че администратора на лични данни по никакъв начин не е отговорен за събитието, причинило вредата".
Иначе казано, хакерската атака би била аргумент, ако е бил налице адекватен анализ на риска, както и ако са били въведени подходящи организационни и технически мерки за защита на личните данни от страна на НАП.
Съдът изобщо не изследва причината за теча, тъй като НАП в качеството си на администратор не е извършила ефективно дори първия етап от въвеждането на една цялостна система за информационна сигурност. Това бе потвърдено и от приетата по делото пред Административен съд - Пловдив експертиза.
Като заключение - така проведената съдебна битка безспорно показа редица слабости на администрацията в областта на информационната сигурност. Оттук нататък би следвало основна задача на самите администратори на лични данни, контролния орган, както и на гражданското общество, да бъде вкарване в ред на дейността по обработка и съхранение на личните данни от страна на администрацията.
Само чрез тези съвместни усилия, включващи граждански и институционален контрол, би могло да се осигури адекватно приложение на разпоредбите на ОРЗД, което от своя страна да доведе до по-ефективна защита на личните данни на гражданите. А тази защита ще става все по-важна, ако действително приоритет на България в следващите години е въвеждане на електронно управление. Преминаването на администрацията "в 21-и век" няма как да се осъществи, без да има адекватно ниво на информационна сигурност и защита на личните данни.