ВАС отправи преюдициално запитване до Съда на ЕС във връзка с изтичането на лични данни от НАП през 2019 г.

Върховният административен съд (ВАС) отправи преюдициално запитване до Съда на Европейския съюз (СЕС) за тълкуване на разпоредби от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (GDPR) във връзка с изтичането на лични данни от Националната агенция по приходите (НАП).

Напомняме, че на 15 юли 2019 г. от медиите в страната стана известно, че е осъществен нерегламентиран достъп до информационните масиви на НАП. Беше публикувана и информация, която съдържа личните данни, включително и данни за данъчното и осигурителното състояние, на милиони граждани. Впоследствие бяха заведени стотици дела от лица, чиито данни са изтекли, за обезщетение за претърпени вреди от изтичането на данните. Резултатът по делата на първа инстанция е противоречив – те биват отхвърляни като неоснователни или биват уважавани изцяло или частично. Към настоящия момент с краен акт са приключили едва пет дела – по две от тях ВАС е потвърдил първоинстанционните решения, а по останалите е осъдил НАП да заплати парични обезщетения.

За да уважи исковете ВАС приема, че НАП, като администратор на лични данни, не е изпълнила задълженията си по GDPR и не е доказала, че е въвела подходящи технически мерки, които да гарантират необходимото ниво на сигурност на личните данни. Този извод се доказва от неправомерния достъп до информационните масиви на НАП и последвалото го изтичане на лични данни.

Въпросите, на които СЕС следва да отговори, са следните:

1. Разпоредбите на чл. 24 и чл. 32 от Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че е достатъчно да е осъществено неразрешено разкриване или достъп до лични данни по смисъла на чл. 4, т. 12 от Регламент (ЕС) 2016/679 от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, за да се приеме, че приложените технически и организационни мерки не са подходящи?

2. Ако отговорът на първия въпрос е отрицателен, какъв следва да е предметът и обхватът на съдебния контрол за законосъобразност при проверка дали приложените от администратора на лични данни технически и организационни мерки по чл. 32 от Регламент (ЕС) 2016/679 са подходящи?

3. Ако отговорът на първия въпрос е отрицателен, принципът на отчетност в чл. 5, пар. 2 и чл. 24 във връзка със Съображение 74 от Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че в исковото производство по чл. 82, пар.1 от Регламент (ЕС) 2016/679 администраторът на лични данни носи доказателствена тежест относно обстоятелството, че приложените по чл. 32 от регламента технически и организационни мерки са подходящи? Назначаването на съдебна експертиза може ли да се приеме като необходимо и достатъчно доказателствено средство, с което да се установи дали приложените от администратора на лични данни технически и организационни мерки са подходящи в хипотеза като настоящата, в която неразрешеният достъп и разкриване на лични данни е резултат от „хакерска атака“?

4. Нормата на чл. 82, пар. 3 от Регламент (ЕС) 2016/679 може ли да се тълкува в смисъл, че неразрешено разкриване или достъп до лични данни по смисъла на чл. 4, т. 12 от Регламент (ЕС) 2016/679, в случая чрез „хакерска атака“, от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, е събитие, за което администраторът на лични данни по никакъв начин не е отговорен и е основание за освобождаване от отговорност?

5. Нормите на чл. 82, пар.1 и пар. 2 във връзка със Съображения 85 и 146 от преамбюла на Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че в хипотеза като настоящата на нарушение на сигурността на личните данни, изразяващо се в неразрешен достъп и разпространение на лични данни, осъществено чрез „хакерска атака", само преживените от субекта на лични данни опасения, притеснения и страх от евентуална бъдеща злоупотреба с лични данни, без да е установена такава злоупотреба и/или да е настъпила друга вреда за субекта на данните, попадат в широкия смисъл на понятието нематериални вреди и е основание за обезщетение?“.