site.btaСъд на Европейския съюз: Заключение на генералния адвокат по дело C-340/21

ПРЕССЪОБЩЕНИЕ № 67/23

Люксембург, 27 април 2023 г.
Заключение на генералния адвокат по дело C-340/21     | Национална агенция за приходите

Неразрешеният достъп до лични данни от трети лица води до отговорност поради предполагаема вина на администратора и може да бъде основание за подлежащи на обезщетение неимуществени вреди

За да бъде освободен от отговорност, администраторът трябва да докаже, че по никакъв начин не е отговорен за вредоносното събитие. Страхът от бъдещо неправомерно използване на личните данни може да представлява подлежаща на обезщетение неимуществена вреда само при условие, че става въпрос за реални и сигурни емоционални вреди, не просто за безпокойство или неудобство.

На 15 юли 2019 г. българските медии съобщават, че е имало неоторизиран достъп до информационната система на Националната агенция за приходите (НАП) и, че различна данъчна и осигурителна информация на милиони хора, както български граждани, така и чужденци, е публикувана в интернет. Много лица, включително V.B. завеждат дела срещу НАП, за да получат обезщетение за неимуществени вреди, които се изразяват в притеснения и опасения, че с личните й данни може да бъде злоупотребено в бъдеще. Според V.B. НАП е нарушила националното право, както и задължението да приеме подходящи мерки, за да гарантира подходящо ниво на сигурност при обработката на личните данни в качеството си на администратор. Първоинстанционният съд отхвърля иска, като приема, че агенцията не е отговорна за разкриването на данните, че доказателствената тежест на подходящия характер на мерките е на V.B. и, че няма неимуществени вреди, които да подлежат на обезщетяване. Сезиран с жалба Върховният административен съд отправя няколко преюдициални въпроса до Съда за тълкуване на Общия регламент относно защитата на данните[I], за да определи условията за обезщетение за неимуществени вреди на лице, чиито лични данни, съхранявани от публична агенция, са били публикувани в интернет вследствие на хакерска атака.

В днешното си заключение генерален адвокат Giovanni Pitruzzella прави уточнението, че администраторът има задължението да прилага подходящи технически и организационни мерки, за да гарантира, че обработването на лични данни е в съответствие с регламента. Подходящият характер на тези мерки се определя с оглед на естеството, обхвата, контекста и целите на обработването, както и вероятността и тежестта за правата и свободите на физическите лица, въз основа на оценка за всеки отделен случай.

На първо място, генералният адвокат приема, че настъпването на „нарушение на сигурността на личните данни“ само по себе си е достатъчно, за да се заключи, че прилаганите от администратора техническите и организационни мерки не са „подходящи“ за осигуряване на защитата на данните. Когато избира мерките, администраторът трябва да вземе предвид редица фактори, сред които „достиженията на техническия прогрес“, което позволява ограничаване на технологичното ниво на мерките, до разумно възможното в момента на приемането им, включително с оглед на разходите за прилагане. Изборът на администратора все още подлежи на евентуален съдебен контрол на съответствието. Оценката на подходящия характер на такива мерки трябва да се основава на баланс между интересите на субекта на данните и икономическите интереси и технологичния капацитет на администратора, при спазване на изискванията на общия принцип на пропорционалност.

На второ място, генералният адвокат уточнява, че когато проверява подходящия характер на мерките, националният съд трябва да извърши проверка, която обхваща конкретен анализ както на съдържанието на тези мерки, така и на начина, по който са били приложени, и на техните практически ефекти. Съдебният контрол следователно ще трябва да вземе предвид всички фактори, съдържащи се в регламента. Сред тях, приемането на кодекси за поведение или системи за сертифициране може да представлява полезен елемент за оценка за целите на изпълнението на доказателствената тежест и свързания съдебен контрол с уточнението, че администраторът трябва да докаже, че е приложил конкретно предвидените мерки в кодекса да поведението, докато сертифицирането представлява само по себе си доказателство за съответствие с регламента на извършените операции по обработване. Тъй като тези мерки трябва да бъдат преразглеждани и при необходимост актуализирани, това също ще бъде предмет на оценка от страна на националния съд.

На трето място, генералният адвокат уточнява, че доказателствената тежест относно подходящия характер на мерките е на администратора. В съответствие с принципа на процесуална автономия вътрешният правен ред на всяка държава членка определя допустимите методи за доказване и тяхната доказателствена стойност, включително следствените действия.

На четвърто място, фактът, че нарушението на Регламента е извършено от трето лице, сам по себе си не представлява причина за освобождаване на администратора от отговорност. За да бъде освободен от отговорност администраторът, трябва да докаже с висок стандарт на доказване, че по никакъв начин не е отговорен за събитието, причинило вредата. Случаят на неправомерно обработване на лични данни в действителност има характер на утежнена отговорност за предполагаема вина. От това произтича възможността администраторът да представи доказателство за освобождаване от отговорност.

На последно място, според генералния адвокат вредата, състояща се в страх от потенциална бъдеща злоупотреба с личните данни, чието съществуване заинтересованата страна е доказала, може да представлява неимуществена вреда, която дава право на обезщетение. Това при условие че става въпрос за реална и сигурна емоционална вреда, а не просто за безпокойство или неудобство.

ЗАБЕЛЕЖКА: Заключението на генералния адвокат не обвързва Съда. Задачата на генералните адвокати е да предложат на Съда, при пълна независимост, правно разрешение на делото, което им е поверено. Съдиите от Съда пристъпват към разисквания по делото. Съдебното решение ще бъде постановено на по- късна дата.

ЗАБЕЛЕЖКА: Преюдициалното запитване позволява на юрисдикциите на държавите членки, в рамките на спор, с който са сезирани, да се обърнат към Съда с въпрос относно тълкуването на правото на Съюза или валидността на акт на Съюза. Съдът не решава националния спор. Националната юрисдикция трябва да се произнесе по делото в съответствие с решението на Съда. Това решение обвързва по същия начин останалите национални юрисдикции, когато са сезирани с подобен въпрос.

 
[I] Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (ОВ L 119, 2016 г., стр. 1).