ВАС пита Съда на ЕС за теча на лични данни от хакерската атака на НАП
Временно стопират 100 каузи по тъжби на наранени
Върховният административен съд изпрати питане до Съда на Европейския съюз в Люксембург, обвързвано с отговорността на операторите на персонални данни при случаи на разгласяването им след хакерски офанзиви. Поводът за въпроса е както съответно дело, обвързвано с теча на данни от Национална агенция за приходите, по този начин и още 100 сходни каузи, които се гледат по тъжби на наранени и сега са на разнообразни инстанции.
Производствата по тях се стопират краткотрайно до произнасянето на Съда на Европейски Съюз, оповестиха от Върховен административен съд:
Върховният административен съд насочва преюдициално питане до Съда на Европейския съюз по проблем, обвързван с теча на персонални данни от Национална агенция за приходите. Запитването е отправено по отношение на административно дело №1037 от 2021 година на Върховен административен съд, само че на процедура с него се стопират производствата по всички такива каузи в страната до произнасянето на европейския съд.
Административното дело пред Върховен административен съд е формирано по тъжба на физическо лице против решение № 6800 от 27.11.2020 година по адм. дело № 11217 от 2019 година на Административен съд София - град, с което е отритнат като безпочвен желае й за отсъждане на обезщетение в размер на 1000 лева за претърпени неимуществени вреди от незаконосъобразно безучастие на Национална агенция за приходите като админ на персонални данни, изразяващо се в несъблюдение в задоволителна степен на отговорности по член 59, ал.1 от Закона за отбрана на персоналните данни, член 24 и член 32 от Регламент(ЕС) 2016/679, с правно съображение чл.1, ал.1 от Закона за отговорността на страната и общините за вреди (ЗОДОВ).
Във Върховен административен съд като касационна инстанция има постъпили над 100 каузи по ЗОДОВ по отношение на приключването на персоналните данни от Национална агенция за приходите. Съдебните производства против Национална агенция за приходите са завършили на първа инстанция с спорни резултати. Исковете или са отхвърляни като неоснователни или са уважавани напълно или отчасти. Нормативната уредба е тълкувана и прилагана спорно по всички детайли на отговорността на админа на персонални данни.
Към сегашния миг са налице влезнали в действие следните неоправдателни решения по идентични проблеми: № 4981/25.09.2020 година по адм.д.№ 11258/ 2019 година по разказа на АССГ, оставено в действие с решение № 5587/10.05.2021 година по адм.д.№ 12911/2020 година по разказа на Върховен административен съд, решение № 4978/ 25.09.2020 година по адм.д.№ 11174/2019 година по разказа на АССГ, оставено в действие с решение № 5646/11.05.2021 година по адм.д.№ 12915/ 2020 година по разказа на Върховен административен съд. С решение № 5635/ 11.05.2021 година по адм.д.№ 12799/2020 година, решение №5719/12.05.2021 година по адм.д. №12380/ 2020 година и решение № 5756/13.05.2021 година по адм.д. №971/ 2021 година по разказа на Върховен административен съд, са анулирани първоинстанционните решения напълно или отчасти, като вместо това са присъдени компенсации в размери по 200, 300 и 940 лева
Върховен административен съд приема, че Национална агенция за приходите е бездействал, не е извършил отговорностите си по член 24 и член 32 от Регламент (ЕС) 2016/679 и не е потвърдил, че е въвел подобаващи механически ограничения, които би трябвало да обезпечат уместно равнище на сигурност. Безспорно откритият факт на изтекла информация от осведомителната система на Национална агенция за приходите в резултат на непозволен достъп обуславя извод за безучастие от страна на организацията да обезпечи надеждност и сигурност на персоналните данни. Прието е, че действието на лицето, проникнало в осведомителната система на Национална агенция за приходите, не освобождава админа на персонални данни от отговорност за вреди по член 82, пар. 3 от Регламент (ЕС) 2016/679, доколкото не е заел доказателства, че е взел изискуемите се по регламента подобаващи механически ограничения, които да подсигуряват сигурността на съдържащите се в осведомителната му система персонални данни. Изпитаните от субекта на персонални данни отрицателни страсти, терзания, боязън, неустановеност са в причинна връзка с държанието на админа на персонални данни и съставляват действително претърпени неимуществени вреди, свързани с действителен боязън от действителна опасност за увреждане.
Преюдициалното питане до Съда на Европейския съюз, според член 267, първи параграф, писмен знак „ б” от Договора за действието на Европейски Съюз, е със следните въпроси:
1. Разпоредбите на член 24 и член 32 от Регламент (ЕС) 2016/679 могат ли да се поясняват в смисъл, че е задоволително да е осъществено неразрешено откриване или достъп до персонални данни по смисъла на член 4, т. 12 от Регламент (ЕС) 2016/679 от лица, които не са чиновници в администрацията на админа на персонални данни и не са под негов надзор, с цел да се одобри, че приложените механически и организационни ограничения не са подобаващи?
2. Ако отговорът на първия въпрос е негативен, какъв следва да е предметът и обсегът на правосъдния надзор за правомерност при инспекция дали приложените от админа на персонални данни механически и организационни ограничения по член 32 от Регламент (ЕС) 2016/679 са подобаващи?
3. Ако отговорът на първия въпрос е негативен, правилото на отчетност в член 5, пар. 2 и член 24 във връзка със Съображение 74 от Регламент (ЕС) 2016/679 могат ли да се поясняват в смисъл, че в исковото произвеждане по член 82, пар.1 от Регламент (ЕС) 2016/679 админът на персонални данни носи доказателствена тежест по отношение на събитието, че приложените по член 32 от регламента механически и организационни ограничения са подобаващи? Назначаването на правосъдна експертиза може ли да се одобри като належащо и задоволително доказателствено средство, с което да се откри дали приложените от админа на персонални данни механически и организационни ограничения са подобаващи в догадка като настощящата, в която неразрешеният достъп и откриване на персонални данни е резултат от „ хакерска офанзива “?
4. Нормата на член 82, пар. 3 от от Регламент (ЕС) 2016/679 може ли да се пояснява в смисъл, че неразрешено откриване или достъп до персонални данни по смисъла на член 4, т. 12 от Регламент (ЕС) 2016/679, в тази ситуация посредством „ хакерска офанзива “, от лица, които не са чиновници в администрацията на админа на персонални данни и не са под негов надзор, е събитие, за което админът на персонални данни по никакъв метод не е виновен и е съображение за освобождение от отговорност?
5. Нормите на член 82, пар.1 и пар. 2 във връзка със Съображения 85 и 146 от преамбюла на Регламент (ЕС) 2016/679 могат ли да се поясняват в смисъл, че в догадка като актуалната на нарушаване на сигурността на персоналните данни, изразяващо се в забранен достъп и разпространяване на персонални данни, осъществено посредством „ хакерска офанзива ", единствено претърпените от субекта на персонални данни опасения, терзания и боязън от възможна, бъдеща корист с персонални данни, без да е открита такава корист и/или да е настъпила друга щета за субекта на данните, попадат в необятния смисъл на понятието нематериални вреди и е съображение за обезщетение?
Върховният административен съд изпрати питане до Съда на Европейския съюз в Люксембург, обвързвано с отговорността на операторите на персонални данни при случаи на разгласяването им след хакерски офанзиви. Поводът за въпроса е както съответно дело, обвързвано с теча на данни от Национална агенция за приходите, по този начин и още 100 сходни каузи, които се гледат по тъжби на наранени и сега са на разнообразни инстанции.
Производствата по тях се стопират краткотрайно до произнасянето на Съда на Европейски Съюз, оповестиха от Върховен административен съд:
Върховният административен съд насочва преюдициално питане до Съда на Европейския съюз по проблем, обвързван с теча на персонални данни от Национална агенция за приходите. Запитването е отправено по отношение на административно дело №1037 от 2021 година на Върховен административен съд, само че на процедура с него се стопират производствата по всички такива каузи в страната до произнасянето на европейския съд.
Административното дело пред Върховен административен съд е формирано по тъжба на физическо лице против решение № 6800 от 27.11.2020 година по адм. дело № 11217 от 2019 година на Административен съд София - град, с което е отритнат като безпочвен желае й за отсъждане на обезщетение в размер на 1000 лева за претърпени неимуществени вреди от незаконосъобразно безучастие на Национална агенция за приходите като админ на персонални данни, изразяващо се в несъблюдение в задоволителна степен на отговорности по член 59, ал.1 от Закона за отбрана на персоналните данни, член 24 и член 32 от Регламент(ЕС) 2016/679, с правно съображение чл.1, ал.1 от Закона за отговорността на страната и общините за вреди (ЗОДОВ).
Във Върховен административен съд като касационна инстанция има постъпили над 100 каузи по ЗОДОВ по отношение на приключването на персоналните данни от Национална агенция за приходите. Съдебните производства против Национална агенция за приходите са завършили на първа инстанция с спорни резултати. Исковете или са отхвърляни като неоснователни или са уважавани напълно или отчасти. Нормативната уредба е тълкувана и прилагана спорно по всички детайли на отговорността на админа на персонални данни.
Към сегашния миг са налице влезнали в действие следните неоправдателни решения по идентични проблеми: № 4981/25.09.2020 година по адм.д.№ 11258/ 2019 година по разказа на АССГ, оставено в действие с решение № 5587/10.05.2021 година по адм.д.№ 12911/2020 година по разказа на Върховен административен съд, решение № 4978/ 25.09.2020 година по адм.д.№ 11174/2019 година по разказа на АССГ, оставено в действие с решение № 5646/11.05.2021 година по адм.д.№ 12915/ 2020 година по разказа на Върховен административен съд. С решение № 5635/ 11.05.2021 година по адм.д.№ 12799/2020 година, решение №5719/12.05.2021 година по адм.д. №12380/ 2020 година и решение № 5756/13.05.2021 година по адм.д. №971/ 2021 година по разказа на Върховен административен съд, са анулирани първоинстанционните решения напълно или отчасти, като вместо това са присъдени компенсации в размери по 200, 300 и 940 лева
Върховен административен съд приема, че Национална агенция за приходите е бездействал, не е извършил отговорностите си по член 24 и член 32 от Регламент (ЕС) 2016/679 и не е потвърдил, че е въвел подобаващи механически ограничения, които би трябвало да обезпечат уместно равнище на сигурност. Безспорно откритият факт на изтекла информация от осведомителната система на Национална агенция за приходите в резултат на непозволен достъп обуславя извод за безучастие от страна на организацията да обезпечи надеждност и сигурност на персоналните данни. Прието е, че действието на лицето, проникнало в осведомителната система на Национална агенция за приходите, не освобождава админа на персонални данни от отговорност за вреди по член 82, пар. 3 от Регламент (ЕС) 2016/679, доколкото не е заел доказателства, че е взел изискуемите се по регламента подобаващи механически ограничения, които да подсигуряват сигурността на съдържащите се в осведомителната му система персонални данни. Изпитаните от субекта на персонални данни отрицателни страсти, терзания, боязън, неустановеност са в причинна връзка с държанието на админа на персонални данни и съставляват действително претърпени неимуществени вреди, свързани с действителен боязън от действителна опасност за увреждане.
Преюдициалното питане до Съда на Европейския съюз, според член 267, първи параграф, писмен знак „ б” от Договора за действието на Европейски Съюз, е със следните въпроси:
1. Разпоредбите на член 24 и член 32 от Регламент (ЕС) 2016/679 могат ли да се поясняват в смисъл, че е задоволително да е осъществено неразрешено откриване или достъп до персонални данни по смисъла на член 4, т. 12 от Регламент (ЕС) 2016/679 от лица, които не са чиновници в администрацията на админа на персонални данни и не са под негов надзор, с цел да се одобри, че приложените механически и организационни ограничения не са подобаващи?
2. Ако отговорът на първия въпрос е негативен, какъв следва да е предметът и обсегът на правосъдния надзор за правомерност при инспекция дали приложените от админа на персонални данни механически и организационни ограничения по член 32 от Регламент (ЕС) 2016/679 са подобаващи?
3. Ако отговорът на първия въпрос е негативен, правилото на отчетност в член 5, пар. 2 и член 24 във връзка със Съображение 74 от Регламент (ЕС) 2016/679 могат ли да се поясняват в смисъл, че в исковото произвеждане по член 82, пар.1 от Регламент (ЕС) 2016/679 админът на персонални данни носи доказателствена тежест по отношение на събитието, че приложените по член 32 от регламента механически и организационни ограничения са подобаващи? Назначаването на правосъдна експертиза може ли да се одобри като належащо и задоволително доказателствено средство, с което да се откри дали приложените от админа на персонални данни механически и организационни ограничения са подобаващи в догадка като настощящата, в която неразрешеният достъп и откриване на персонални данни е резултат от „ хакерска офанзива “?
4. Нормата на член 82, пар. 3 от от Регламент (ЕС) 2016/679 може ли да се пояснява в смисъл, че неразрешено откриване или достъп до персонални данни по смисъла на член 4, т. 12 от Регламент (ЕС) 2016/679, в тази ситуация посредством „ хакерска офанзива “, от лица, които не са чиновници в администрацията на админа на персонални данни и не са под негов надзор, е събитие, за което админът на персонални данни по никакъв метод не е виновен и е съображение за освобождение от отговорност?
5. Нормите на член 82, пар.1 и пар. 2 във връзка със Съображения 85 и 146 от преамбюла на Регламент (ЕС) 2016/679 могат ли да се поясняват в смисъл, че в догадка като актуалната на нарушаване на сигурността на персоналните данни, изразяващо се в забранен достъп и разпространяване на персонални данни, осъществено посредством „ хакерска офанзива ", единствено претърпените от субекта на персонални данни опасения, терзания и боязън от възможна, бъдеща корист с персонални данни, без да е открита такава корист и/или да е настъпила друга щета за субекта на данните, попадат в необятния смисъл на понятието нематериални вреди и е съображение за обезщетение?
Източник: trud.bg
КОМЕНТАРИ