НАП е осъдена да плати обезщетение на лице, засегнато от теча на лични данни от 2019 г.

Една от жертвите на изтичането на лични данни от системата на НАП, което се случи през лятото на 2019 г., окончателно осъди приходната агенция за сумата от 500 лева. Това гласи решението на Върховния административен съд (ВАС) от 10 май.

Казусът стигна до ВАС, след като НАП обжалва решение на долната инстанция от септември 2020 г. Административен съд София – град (АССГ) гледа иск по Закона за отговорността на държавата, свързан с Европейския регламент за защита на личните данни (GDPR). Делото беше заведено от лицето К. С., която претендира 1 000 лева неимуществени вреди, причинени от приходната агенция. Според жалбоподателя НАП не е изпълнила задължението си да защити по сигурен начин данните ѝ като гражданин и пробивът в системата е довел до публичното им разкриване. Съдът приема, че тя не е пострадала повече от обичайното, а вредите са оценени на 500 лева. Прокурорът по делото – Тодор Мерджанов, заема страната на НАП и настоява искът на жалбоподателя да бъде отхвърлен.

К. С. не е единственото лице, съдило приходната агенция за вреди. До момента общо 7 лица са спечелили на първа инстанция дела срещу НАП във връзка с теча на лични данни от 2019 г.

Припомняме, че на 15 юли 2019 г. стана ясно, че са изтекли личните данни на общо 6 074 140 физически лица (4 104 786 живи български и чуждестранни граждани и 1 989 598 починали). В решението на АССГ се посочва, че всеки, който е претърпял материални или нематериални вреди в резултат на нарушение на регламента за лични данни, има право да получи обезщетение от администратора или от обработващия данните. Съдът предложи на НАП да се назначи експертиза и специалист по киберсигурност да отговори на поставени от агенцията задачи. От НАП обаче отказаха. Така съдът стигна до заключението, че приходната агенция не е доказала, че е предприела всички необходими мерки, за да защити данните на лицата. Комисията за защита на личните данни също прие, че НАП не е положила подходящи технически и организационни мерки, в резултат на което е осъществен неоторизиран достъп, неразрешено разкриване и разпространение на лични данни на физически лица. Поради това приходната агенция получи глоба в размер на 5,1 млн. лева, но впоследствие обжалва наказателното постановление и делото все още е висящо в Софийския районен съд.

Комисията по защита на личните данни издаде на НАП и разпореждане за предприемане на подходящи технически и организационни мерки, което беше оспорено пред АССГ. Съдът все още не се е произнесъл по спора, а поредното заседание по делото ще се проведе през следващата седмица.