Генералният адвокат: НАП не може да се оправдава с хакерска атака за теча на данни

За да се освободи от отговорност, агенцията трябва да докаже, че по никакъв начин не е отговорна за събитието, причинило вредата

Бюлетин Легал Компас Легал Компас

Научавайте най-важното от правния свят и съдебната система всяка седмица на мейла си

Самият факт, че имало теч на лични данни от информационната система на Националната агенция по приходите (НАП), е достатъчно основание, за да се заключи, че прилаганите от агенцията технически и организационни мерки не са подходящи за осигуряване на защитата на данните. За да бъде освободен от отговорност, администраторът на лични данни трябва да докаже, че по никакъв начин не е отговорен за вредоносното събитие.

Това заявява генералният адвокат Джовани Питруцела в заключение по дело C-340/21 в Съда на Европейския съюз (СЕС), образувано по преюдициално запитване на Върховния административен съд (ВАС) във връзка със стотиците дела, заведени от граждани срещу НАП заради теча на лични данни през юли 2019 г. Претенциите на засегнатите са за обезщетение за неимуществени вреди, които се изразяват в притеснения и опасения, че с личните им данни може да бъде злоупотребено в бъдеще. В този контекст от ВАС искат тълкуване на Общия регламент за защитата на данните като основа за определяне на обезщетенията за изтеклите в интернет лични данни, съхранявани в НАП.

Самият факт, че имало теч на лични данни от информационната система на Националната агенция по приходите (НАП), е достатъчно основание, за да се заключи, че прилаганите от агенцията технически и организационни мерки не са подходящи за осигуряване на защитата на данните. За да бъде освободен от отговорност, администраторът на лични данни трябва да докаже, че по никакъв начин не е отговорен за вредоносното събитие.

Това заявява генералният адвокат Джовани Питруцела в заключение по дело C-340/21 в Съда на Европейския съюз (СЕС), образувано по преюдициално запитване на Върховния административен съд (ВАС) във връзка със стотиците дела, заведени от граждани срещу НАП заради теча на лични данни през юли 2019 г. Претенциите на засегнатите са за обезщетение за неимуществени вреди, които се изразяват в притеснения и опасения, че с личните им данни може да бъде злоупотребено в бъдеще. В този контекст от ВАС искат тълкуване на Общия регламент за защитата на данните като основа за определяне на обезщетенията за изтеклите в интернет лични данни, съхранявани в НАП.

Възражението на НАП по тези дела е, че тя няма вина за теча на данни, доколкото той е резултат от хакерска атака. От своя страна по делото, станало конкретен повод за сезиране на СЕС, първоинстанционният Административен съд - София-град (АССГ), приема, че доказателствената тежест за това какъв е трябвало да бъде подходящият характер на мерките трябва да е на засегнатото лице, което претендира за обезщетяване, а не на агенцията. АССГ приема също така, че НАП не е бездействала и не може да носи отговорност.

В заключението на генералния адвокат се казва, че администраторът има задължение да прилага "подходящи технически и организационни мерки", за да гарантира, че обработването на лични данни е в съответствие с регламента. Дали тези мерки са подходящи се преценява с оглед на естеството, обхвата, контекста и целите на обработването, както и вероятността и тежестта за правата и свободите на гражданите, въз основа на оценка за всеки отделен случай. Настъпването на "нарушение на сигурността на личните данни" само по себе си е достатъчно, за да се заключи, че прилаганите от администратора технически и организационни мерки не са "подходящи" за осигуряване на защитата на данните.

В този смисъл, когато избира мерките, администраторът трябва да вземе предвид и "достиженията на техническия прогрес", като оценката на съда за това дали тези мерки са били подходящи трябва да се основава на баланс между интересите на субекта на данните и икономическите интереси и технологичния капацитет на администратора при спазване на изискванията на общия принцип на пропорционалност. Същевременно проверката на съда трябва да включва не само съдържанието на тези мерки, но и на начина, по който са били приложени, както и техните практически ефекти.

Важен акцент в заключението на генералния адвокат е, че доказателствената тежест за подходящия характер на мерките е на администратора, т.е. в случая - на НАП. Фактът, че нарушението е извършено от трето лице (хакери), сам по себе си не е причина за освобождаване на администратора от отговорност. За да бъде освободена от отговорност, НАП трябва да докаже с висок стандарт на доказване, че по никакъв начин не е отговорна за събитието, причинило вредата. Случаят на неправомерно обработване на лични данни в действителност има характер на утежнена отговорност за предполагаема вина. От това произтича възможността администраторът да представи доказателство за освобождаване от отговорност, се казва в заключението.

Когато се оценява вредата от теча на данни, трябва да се има предвид, че страхът от бъдещо неправомерно използване на личните данни може да представлява подлежаща на обезщетение неимуществена вреда само при условие, че става въпрос за реални и сигурни емоционални вреди, не просто за безпокойство или неудобство, се казва в заключението.

Все още няма коментари
Нов коментар