Една от жертвите на теча на изтичането на лични данни от НАП през лятото на 2019 г. окончателно осъди приходната агенция да й плати обезщетение от 500 лв. Това се вижда от решение на Върховния административен съд (ВАС) от 10 май.
Казусът стига до ВАС, тъй като НАП обжалва решение на долната инстанция от септември 2020 г. Административният съд – София град (АССГ) гледа иск по Закона за отговорността на държавата, свързан с Европейския регламент за защита на личните данни (GDPR). Делото е заведено от К.С., която претендира за 1000 лв. неимуществени вреди, настъпили от неправомерното бездействие на НАП да изпълни задължението си да защити по сигурен начин данните й като гражданин. Пробивът в информационната система на НАП е довел до публичното разкриване на личните й данни, твърди жалбоподателката. Съдът приема, че тя не е пострадала повече от обичайното и оценява вредите й на 500 лв. Върховните съдии Марина Михайлова (председател на състава и докладчик), Здравка Шуменска и Донка Чакърова се съгласяват с аргументите на първата инстанция.
Прокурорът по делото – Тодор Мерджанов, заема страната на НАП и настоява искът на К.С. да бъде отхвърлен.
В решението на АССГ се припомня, че на 15 юли 2019 г. се разбира, че са изтекли данните на общо 6 074 140 физически лица – 4 104 786 живи български и чужди граждани, и 1 989 598 починали. Сред хората с разкрити лични данни е и К.С. Съдът обяснява, че всеки, който е претърпял материални или нематериални вреди в резултат на нарушение на регламента за личните данни, има право да получи обезщетение от администратора или обработващия данните. АССГ предлага на НАП да бъде назначена експертиза и специалист по киберсигурност да отговори на поставени от агенцията задачи. НАП обаче отказва. Така съдът приема, че приходната агенция не е доказала, че е предприела всички нужни мерки, за да защити данните на хората. Магистратите приемат за доказано, че К.С. се е почувствала притеснена и несигурна, тъй като личните й данни са станали общодостъпни и злоупотребите с тях не са изключени и в бъдеще.
К.С. не е единствената, която съди НАП за вреди. Преди време се разбра, че 7 души са спечелили на първа инстанция дела срещу агенцията.
НАП не се предава
Комисията за защита на личните данни прие, че НАП не е приложила подходящи технически и организационни мерки, в резултат на което е осъществен неоторизиран достъп, неразрешено разкриване и разпространение на лични данни на физически лица. За това НАП бе глобена с 5,1 млн. лв., но обжалва наказателното постановление и делото още виси в Софийския районен съд.
Отделно от това КЗЛД издава на НАП разпореждане за предприемане на подходящи технически и организационни мерки. Разпореждането е оспорено пред АССГ, който още не е се е произнесъл по спора и поредното заседание по делото е идната седмица.
Наказателното дело
Прокуратурата все още не е приключила разследването за скандала „НАП-лийкс“. В края на юли 2019 г. по делото бе арестуван шефът на фирмата за киберсигурност „Тад Груп“ Иван Тодоров. Той бе обвинен за кибертероризъм заедно с 20-годишния си служител Кристиян Бойков. Търговският директор на дружеството Георги Янков получи обвинение за подбудителство. Тодоров изкара в ареста до февруари 2020 г., когато бе пуснат под гаранция от 100 000 лв.
Източник: Сега