ВАС отправи запитване до съда в Люксембург за теча на лични данни от НАП

Върховният административен съд (ВАС) отправи преюдициално запитване до Съда на Европейския съюз по казуса с теча на лични данни от Националната агенция за приходите (НАП), съобщиха висшите магистрати. Така на практика се спират производствата по всички подобни дела в страната до произнасянето на съда в Люксембург.

Административното дело пред ВАС е образувано по жалба на физическо лице срещу решение от 27 ноември 2020 г. по дело на Административен съд София - град, с което е отхвърлен като неоснователен иск за присъждане на обезщетение в размер на 1000 лв. за претърпени неимуществени вреди от незаконосъобразно бездействие на НАП като администратор на лични данни. 

Във ВАС като касационна инстанция има постъпили над 100 дела във връзка с изтичането на личните данни от НАП. Съдебните производства срещу НАП са приключили на първа инстанция с противоречиви резултати. Исковете или са отхвърляни като неоснователни, или са уважавани изцяло или частично. Нормативната уредба е тълкувана и прилагана противоречиво по всички елементи на отговорността на администратора на лични данни.

Припомняме, че миналата година 7 души успяха да осъдят НАП да им заплати по 200 лв. обезщетение за нанесените вреди след хакерската атака. Исковете на всички те бяха за по 1000 лв., но получиха само по 200 лв., от които реално бяха усвоени по 100 лв., а останалите 100 бяха за разноски по делото. Преди няколко дни друго лице осъди данъчните да му платят 500 лв., отново при иск за 1000 лв. Има и едно присъдено обезщетение в размер на 940 лв.

ВАС приема, че НАП е бездействала и не е изпълнила задълженията си относно личните данни на гражданите, както и че не е доказала, че е въвела подходящи технически мерки, които трябва да осигурят подходящо ниво на сигурност.

Преюдициалното запитване до Съда на Европейския съюз цели да установи достатъчно ли е да е осъществено неразрешено разкриване или достъп до лични данни от хора, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, за да се приеме, че приложените технически и организационни мерки не са подходящи.

„Ако отговорът на първия въпрос е отрицателен, какъв следва да е предметът и обхватът на съдебния контрол за законосъобразност при проверка дали приложените от администратора на лични данни технически и организационни мерки по чл. 32 от Регламент (ЕС) 2016/679 са подходящи“, питат висшите магистрати.

Те искат тълкуване и ако отговорът на първия въпрос е отрицателен и да се конкретизира дали администраторът на лични данни носи доказателствена тежест относно обстоятелството, че приложените по чл. 32 от регламента технически и организационни мерки са подходящи.

Магистратите питат и дали „хакерска атака“ от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, е събитие, за което администраторът на лични данни по никакъв начин не е отговорен и е основание за освобождаване от отговорност.

Друг въпрос е дали само преживените от субекта на лични данни опасения, притеснения и страх от евентуална, бъдеща злоупотреба с лични данни, без да е установена такава злоупотреба и/или да е настъпила друга вреда за субекта на данните, попадат в широкия смисъл на понятието нематериални вреди и са основание за обезщетение.