Генералният адвокат: НАП не може да се оправдава с хакерска атака за теча на данни
Самият факт, че имало теч на персонални данни от осведомителната система на Националната организация по приходите (НАП) е задоволително съображение, с цел да се заключи, че прилаганите от организацията механически и организационни ограничения не са подобаващи за обезпечаване на отбраната на данните. За да бъде освободен от отговорност, админът на персонални данни би трябвало да потвърди, че по никакъв метод не е виновен за вредоносното събитие.Това декларира генералният юрист Джовани Питруцела в умозаключение по дело C-340/21 в Съда на Европейския съюз (СЕС), (ВАС) във връзка със стотиците каузи, заведени от жители против Национална агенция за приходите поради теча на персонални данни през юли 2019 година Претенциите на засегнатите са за обезщетение за неимуществени вреди, които се показват в терзания и опасения, че с персоналните им данни може да бъде злоупотребено в бъдеще. В този подтекст от Върховен административен съд желаят пояснение на Общия правилник за отбраната на данните, като основа за установяване на компенсациите за изтеклите в интернет персонални данни, съхранявани в Национална агенция за приходите.
Самият факт, че имало теч на персонални данни от осведомителната система на Националната организация по приходите (НАП) е задоволително съображение, с цел да се заключи, че прилаганите от организацията механически и организационни ограничения не са подобаващи за обезпечаване на отбраната на данните. За да бъде освободен от отговорност, админът на персонални данни би трябвало да потвърди, че по никакъв метод не е виновен за вредоносното събитие.
Това декларира генералният юрист Джовани Питруцела в умозаключение по дело C-340/21 в Съда на Европейския съюз (СЕС), (ВАС) във връзка със стотиците каузи, заведени от жители против Национална агенция за приходите поради теча на персонални данни през юли 2019 година Претенциите на засегнатите са за обезщетение за неимуществени вреди, които се показват в терзания и опасения, че с персоналните им данни може да бъде злоупотребено в бъдеще. В този подтекст от Върховен административен съд желаят пояснение на Общия правилник за отбраната на данните, като основа за установяване на компенсациите за изтеклите в интернет персонални данни, съхранявани в Национална агенция за приходите.
Възражението на Национална агенция за приходите по тези каузи е, че тя няма виновност за теча на данни, доколкото той е резултат от хакерска офанзива. От своя страна, по делото, станало съответен мотив за сезиране на Съд на Европейския съюз, първоинстанционният Административен съд - София град (АССГ), приема, че доказателствената тежест за това какъв е трябвало да бъде подобаващият темперамент на ограниченията, би трябвало да е на засегнатото лице, което претендира за обезщетяване, а не на организацията. АССГ приема също по този начин, че Национална агенция за приходите не е бездействала и не може да носи отговорност.
В заключението на генералния юрист се споделя, че админът има обвързване да ползва " подобаващи механически и организационни ограничения ", с цел да подсигурява, че обработването на персонални данни е в сходство с регламента. Дали тези ограничения са подобаващи се преценя предвид на естеството, обсега, подтекста и задачите на обработването, както и вероятността и тежестта за правата и свободите на жителите, въз основа на оценка за всеки обособен случай. Настъпването на " нарушаване на сигурността на персоналните данни " единствено по себе си е задоволително, с цел да се заключи, че прилаганите от админа механически и организационни ограничения не са " подобаващи " за обезпечаване на отбраната на данните.
Реклама
В този смисъл, когато избира ограниченията, админът би трябвало да вземе поради и " достиженията на техническия напредък ", като оценката на съда за това дали тези ограничения са били подобаващи, би трябвало да се основава на баланс сред ползите на субекта на данните и икономическите ползи и софтуерния потенциал на админа, при съблюдаване на условията на общия принцип на пропорция. Същевременно инспекцията на съда би трябвало да включва освен наличието на тези ограничения, само че и на метода, по който са били приложени, както и техните на практика резултати.
Важен акцент в заключението на генералния юрист е, че доказателствената тежест за подобаващия темперамент на ограниченията е на админа, т.е. в тази ситуация - на Национална агенция за приходите. Фактът, че нарушаването е осъществено от трето лице (хакери), самичък по себе си не е причина за освобождение на админа от отговорност. За да бъде освободена от отговорност, Национална агенция за приходите би трябвало да потвърди с висок стандарт на доказване, че по никакъв метод не е виновна за събитието, предизвикало вредата . Случаят на непозволено култивиране на персонални данни в реалност има темперамент на усложнена отговорност за хипотетична виновност. От това произтича опцията админът да показа доказателство за освобождение от отговорност, се споделя в заключението.
Когато се прави оценка вредата от теча на данни, би трябвало да се има поради, че страхът от бъдещо непозволено потребление на персоналните данни може да съставлява подлежаща на обезщетение неимуществена щета единствено при изискване, че става въпрос за действителни и сигурни прочувствени вреди, не просто за безпокойствие или стеснение, се споделя в заключението.
Свързани публикации Всичко тече: по какъв начин персоналните данни в България станаха публични през 2019 година 21 декември 2019, 16:20 Какви са рисковете за корист с персоналните данни от Национална агенция за приходите 2 август 2019, 12:02 От пръскачки до застраховки - казусът с Национална агенция за приходите вкара страната в информативен безпорядък 31 юли 2019, 18:31 Национална агенция за приходите: нищо персонално 19 юли 2019, 12:51 Държавата с най-отворените данни в света 19 юли 2019, 12:20 От Национална агенция за приходите са изтекли персонални данни на милиони български жители и компании 15 юли 2019, 17:38
Самият факт, че имало теч на персонални данни от осведомителната система на Националната организация по приходите (НАП) е задоволително съображение, с цел да се заключи, че прилаганите от организацията механически и организационни ограничения не са подобаващи за обезпечаване на отбраната на данните. За да бъде освободен от отговорност, админът на персонални данни би трябвало да потвърди, че по никакъв метод не е виновен за вредоносното събитие.
Това декларира генералният юрист Джовани Питруцела в умозаключение по дело C-340/21 в Съда на Европейския съюз (СЕС), (ВАС) във връзка със стотиците каузи, заведени от жители против Национална агенция за приходите поради теча на персонални данни през юли 2019 година Претенциите на засегнатите са за обезщетение за неимуществени вреди, които се показват в терзания и опасения, че с персоналните им данни може да бъде злоупотребено в бъдеще. В този подтекст от Върховен административен съд желаят пояснение на Общия правилник за отбраната на данните, като основа за установяване на компенсациите за изтеклите в интернет персонални данни, съхранявани в Национална агенция за приходите.
Възражението на Национална агенция за приходите по тези каузи е, че тя няма виновност за теча на данни, доколкото той е резултат от хакерска офанзива. От своя страна, по делото, станало съответен мотив за сезиране на Съд на Европейския съюз, първоинстанционният Административен съд - София град (АССГ), приема, че доказателствената тежест за това какъв е трябвало да бъде подобаващият темперамент на ограниченията, би трябвало да е на засегнатото лице, което претендира за обезщетяване, а не на организацията. АССГ приема също по този начин, че Национална агенция за приходите не е бездействала и не може да носи отговорност.
В заключението на генералния юрист се споделя, че админът има обвързване да ползва " подобаващи механически и организационни ограничения ", с цел да подсигурява, че обработването на персонални данни е в сходство с регламента. Дали тези ограничения са подобаващи се преценя предвид на естеството, обсега, подтекста и задачите на обработването, както и вероятността и тежестта за правата и свободите на жителите, въз основа на оценка за всеки обособен случай. Настъпването на " нарушаване на сигурността на персоналните данни " единствено по себе си е задоволително, с цел да се заключи, че прилаганите от админа механически и организационни ограничения не са " подобаващи " за обезпечаване на отбраната на данните.
Реклама
В този смисъл, когато избира ограниченията, админът би трябвало да вземе поради и " достиженията на техническия напредък ", като оценката на съда за това дали тези ограничения са били подобаващи, би трябвало да се основава на баланс сред ползите на субекта на данните и икономическите ползи и софтуерния потенциал на админа, при съблюдаване на условията на общия принцип на пропорция. Същевременно инспекцията на съда би трябвало да включва освен наличието на тези ограничения, само че и на метода, по който са били приложени, както и техните на практика резултати.
Важен акцент в заключението на генералния юрист е, че доказателствената тежест за подобаващия темперамент на ограниченията е на админа, т.е. в тази ситуация - на Национална агенция за приходите. Фактът, че нарушаването е осъществено от трето лице (хакери), самичък по себе си не е причина за освобождение на админа от отговорност. За да бъде освободена от отговорност, Национална агенция за приходите би трябвало да потвърди с висок стандарт на доказване, че по никакъв метод не е виновна за събитието, предизвикало вредата . Случаят на непозволено култивиране на персонални данни в реалност има темперамент на усложнена отговорност за хипотетична виновност. От това произтича опцията админът да показа доказателство за освобождение от отговорност, се споделя в заключението.
Когато се прави оценка вредата от теча на данни, би трябвало да се има поради, че страхът от бъдещо непозволено потребление на персоналните данни може да съставлява подлежаща на обезщетение неимуществена щета единствено при изискване, че става въпрос за действителни и сигурни прочувствени вреди, не просто за безпокойствие или стеснение, се споделя в заключението.
Свързани публикации Всичко тече: по какъв начин персоналните данни в България станаха публични през 2019 година 21 декември 2019, 16:20 Какви са рисковете за корист с персоналните данни от Национална агенция за приходите 2 август 2019, 12:02 От пръскачки до застраховки - казусът с Национална агенция за приходите вкара страната в информативен безпорядък 31 юли 2019, 18:31 Национална агенция за приходите: нищо персонално 19 юли 2019, 12:51 Държавата с най-отворените данни в света 19 юли 2019, 12:20 От Национална агенция за приходите са изтекли персонални данни на милиони български жители и компании 15 юли 2019, 17:38
Източник: capital.bg
КОМЕНТАРИ