Над 100 дела срещу НАП остават блокирани

Над 100 дела срещу Националната агенция за приходите (НАП) по казуса с безпрецедентния теч на лични данни на над 6 млн. физически лица през 2018 г. остават блокирани. Причината е, че Висшият административен съд реши да се допита до Съда на Европейския съюз. Искането за тълкуване на закона е по повод една от многото жалби за обезщетение, за които ВАС се явява втора и последна инстанция в България.

Съдът вече е отсъждал обезщетения в полза на граждани, засегнати от изтичането на лични данни, като един от последните такива случи е от май тази година. До втора инстанция обаче достигат много такива дела и явно че някои от тях предизвикват противоречия. Такова е и делото на ищцата С.С., заради което от Висшия съд са са стигнали до извода, че е по-добре:

за правилното разрешаване на спора е необходимо тълкуване на относими норми на общностното право, за което е необходимо да отправи по своя инициатива запитване до Съда на Европейския съюз.“

Жалбата на С.С. е отхвърлена на първа инстанция от Административния съд в София с мотива, че НАП няма как да осигури 100-процентова защита на системите си, а за гражданката пък липсват „реално настъпили вреди“. Съдът изтъква още, че базите данни са достъпени в резултат на неразрешена хакерска атака, а от страна на приходната агенция „не е налице бездействие“. В мотивите си той изхожда от защитата на приходната агенция, която фокусира вниманието върху предприетите след случая действия, добавяйки отдолу, че информационните ѝ системи се разработват, тестват и внедряват според вътрешни процедури.

Припомняме, че случаят с теча на данни от НАП повдигна основателния въпрос дали и на какъв принцип се правят одити на тези системи.

По делата, по които досега ВАС е осъждал в полза на хората, това се е случвало след заключението за бездействие от страна на НАП, тъй като не е изпълнила задълженията си по Регламента за защита на личните данни (GDPR) и че не е доказала наличието на подходящи технически мерки, които трябва да осигурят подходящо ниво на сигурност. Посочва се още, че въпреки хакерския пробив, Агенцията не е доказала, че е взела превантивни мерки за сигурността на информацията.

Сега от ВАС обръщат внимание, че съдебните производства срещу НАП са приключили на първа инстанция с противоречиви резултати, а исковете или са отхвърляни като неоснователни, или са уважавани изцяло или частично.

Нормативната уредба е тълкувана и прилагана противоречиво по всички елементи на отговорността на администратора на лични данни“, се посочва в запитването на ВАС.

Българският съд отправя запитване до Люксембург в пет точки, свързани с GDPR и това какви са последствията, ако разкриването на данните не е станало от служител на администратора, т.е. НАП. Това достатъчно ли е да се приеме, че не са положени адекватни грижи за личните данни, пита ВАС. И още: GDPR може ли да се тълкува, че изтичането на лични данни, в случая чрез хакерска атака, от лица, които не са служители в НАП, е събитие, за което агенцията по никакъв начин не е отговорна? Трябва ли да е настъпила друга вреда за хората с изтеклите данни освен притеснението им, за да имат право те да получат обезщетение, пита още ВАС.