Стана известно заключението на Генералния адвокат по дело C‑340/21 V.B.срещу Национална агенция за приходите.
На 15 юли 2019 г. българските медии съобщават, че е имало неоторизиран достъп до информационната система на Националната агенция за приходите (НАП) и, че различна данъчна и осигурителна информация на милиони хора, както български граждани, така и чужденци, е публикувана в интернет. Много лица, включително V.B. завеждат дела срещу НАП, за да получат обезщетение за неимуществени вреди, които се изразяват в притеснения и опасения, че с личните ѝ данни може да бъде злоупотребено в бъдеще. Според V.B. НАП е нарушила националното право, както и задължението да приеме подходящи мерки, за да гарантира подходящо ниво на сигурност при обработката на личните данни в качеството си на администратор.
Първоинстанционният съд отхвърля иска, като приема, че агенцията не е отговорна за разкриването на данните, че доказателствената тежест на подходящия характер на мерките е на V.B. и, че няма неимуществени вреди, които да подлежат на обезщетяване. Сезиран с жалба Върховният административен съд отправя няколко преюдициални въпроса до Съда за тълкуване на Общия регламент относно защитата на данните, за да определи условията за обезщетение за неимуществени вреди на лице, чиито лични данни, съхранявани от публична агенция, са били публикувани в интернет
вследствие на хакерска атака.
Може ли незаконното разпространение на съхранявани от публична агенция лични данни поради „хакерска атака“ да доведе до обезщетение за неимуществени вреди в полза на субекта на данните единствено на основание, че последният се страхува от бъдеща злоупотреба с тях? Какви са критериите за вменяване на отговорност на администратора? Как се разпределя доказателствената тежест в рамките на производството? Какъв е обхватът на проверката от страна на съда?
Заключението:
Предлагам на Съда да отговори на поставените преюдициални въпроси по следния начин:
„Членове 5, 24, 32 и 82 от Регламент 2016/679 трябва да се тълкуват в смисъл, че:
самото наличие на „нарушение на сигурността на личните данни“, както е определено в член 4, параграф 12, само по себе си не е достатъчно, за да се заключи, че техническите и организационните мерки, приложени от администратора, не са били „подходящи“, за да гарантират защитата на въпросните данни;
когато проверява подходящия характер на техническите и организационните мерки, прилагани от администратора на лични данни, сезираният национален съд трябва да извърши проверка, която обхваща конкретен анализ както на съдържанието на тези мерки, така и на начина, по който са били приложени, и на техните практически ефекти;
в контекста на иск за обезщетение съгласно член 82 от GDPR, администраторът на лични данни има задължението да докаже, че мерките, които е приложил съгласно член 32 от настоящия регламент, са подходящи;
в съответствие с принципа на процесуална автономия вътрешният правен ред на всяка държава членка определя допустимите методи за доказване и тяхната доказателствена стойност, включително следствените действия, които националните съдилища могат или трябва да разпоредят, за да преценят дали администраторът на лични данни е приложил подходящи мерки съгласно настоящия регламент, в съответствие с принципите на равностойност и ефективност, определени от правото на Съюза;
фактът, че нарушението на този регламент, което е причинило въпросната вреда, е извършено от трето лице, сам по себе си не представлява причина за освобождаване на администратора от отговорност и за да се възползва от предвиденото в разпоредбата освобождаване, той трябва да докаже, че по никакъв начин не е отговорен за нарушението;
вредата, състояща се в страх от потенциална бъдеща злоупотреба с личните данни на заинтересованата страна, чието съществуване тя е доказала, може да представлява неимуществена вреда, която дава право на обезщетение, при условие че заинтересованата страна докаже, че е претърпяла индивидуално реална и сигурна емоционална вреда, а задача на сезираната национална юрисдикция е да провери това във всеки отделен случай“.
Финансовият министър Владислав Горанов имаше друго мнение – “ако си оставиш колата отключена и някой ти я открадне, това не те прави виновен”, според него.
