Административното дело пред ВАС е образувано по жалба на физическо лице срещу решение № 6800 от 27.11.2020 г. по адм. дело № 11217 от 2019 г. на Административен съд София - град, с което е отхвърлен като неоснователен иска й за присъждане на обезщетение в размер на 1000 лв. за претърпени неимуществени вреди от незаконосъобразно бездействие на НАП като администратор на лични данни, изразяващо се в неизпълнение в достатъчна степен на задължения по чл. 59, ал.1 от Закона за защита на личните данни, чл. 24 и чл. 32 от Регламент(ЕС) 2016/679, с правно основание чл.1, ал.1 от Закона за отговорността на държавата и общините за вреди (ЗОДОВ).
Във ВАС като касационна инстанция има постъпили над 100 дела по ЗОДОВ във връзка с изтичането на личните данни от НАП. Съдебните производства срещу НАП са приключили на първа инстанция с противоречиви резултати. Исковете или са отхвърляни като неоснователни или са уважавани изцяло или частично. Нормативната уредба е тълкувана и прилагана противоречиво по всички елементи на отговорността на администратора на лични данни.
Към настоящия момент са налице влезли в сила следните осъдителни решения по идентични казуси: № 4981/25.09.2020 г. по адм.д.№ 11258/ 2019 г. по описа на АССГ, оставено в сила с решение № 5587/10.05.2021 г. по адм.д.№ 12911/2020 г. по описа на ВАС, решение № 4978/ 25.09.2020 г. по адм.д.№ 11174/2019 г. по описа на АССГ, оставено в сила с решение № 5646/11.05.2021 г. по адм.д.№ 12915/ 2020 г. по описа на ВАС. С решение № 5635/ 11.05.2021 г. по адм.д.№ 12799/2020 г., решение №5719/12.05.2021 г. по адм.д. №12380/ 2020 г. и решение № 5756/13.05.2021 г. по адм.д. №971/ 2021 г. по описа на ВАС, са отменени първоинстанционните решения изцяло или частично, като вместо това са присъдени обезщетения в размери по 200, 300 и 940 лв.
ВАС приема, че НАП е бездействал, не е изпълнил задълженията си по чл. 24 и чл. 32 от Регламент (ЕС) 2016/679 и не е доказал, че е въвел подходящи технически мерки, които трябва да осигурят подходящо ниво на сигурност. Безспорно установеният факт на изтекла информация от информационната система на НАП вследствие на неправомерен достъп обуславя извод за бездействие от страна на агенцията да осигури надеждност и сигурност на личните данни. Прието е, че действието на лицето, проникнало в информационната система на НАП, не освобождава администратора на лични данни от отговорност за вреди по чл. 82, пар. 3 от Регламент (ЕС) 2016/679, доколкото не е ангажирал доказателства, че е взел изискуемите се по регламента подходящи технически мерки, които да гарантират сигурността на съдържащите се в информационната му система лични данни. Изпитаните от субекта на лични данни негативни емоции, притеснения, страх, несигурност са в причинна връзка с поведението на администратора на лични данни и представляват реално претърпени неимуществени вреди, свързани с реален страх от реална заплаха за увреждане.
Преюдициалното запитване до Съда на Европейския съюз, съгласно член 267, първи параграф, буква „б” от Договора за функционирането на ЕС, е със следните въпроси:
1. Разпоредбите на чл. 24 и чл. 32 от Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че е достатъчно да е осъществено неразрешено разкриване или достъп до лични данни по смисъла на чл. 4, т. 12 от Регламент (ЕС) 2016/679 от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, за да се приеме, че приложените технически и организационни мерки не са подходящи?
2. Ако отговорът на първия въпрос е отрицателен, какъв следва да е предметът и обхватът на съдебния контрол за законосъобразност при проверка дали приложените от администратора на лични данни технически и организационни мерки по чл. 32 от Регламент (ЕС) 2016/679 са подходящи?
3. Ако отговорът на първия въпрос е отрицателен, принципът на отчетност в чл. 5, пар. 2 и чл. 24 във връзка със Съображение 74 от Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че в исковото производство по чл. 82, пар.1 от Регламент (ЕС) 2016/679 администраторът на лични данни носи доказателствена тежест относно обстоятелството, че приложените по чл. 32 от регламента технически и организационни мерки са подходящи? Назначаването на съдебна експертиза може ли да се приеме като необходимо и достатъчно доказателствено средство, с което да се установи дали приложените от администратора на лични данни технически и организационни мерки са подходящи в хипотеза като настощящата, в която неразрешеният достъп и разкриване на лични данни е резултат от „хакерска атака“?
4. Нормата на чл. 82, пар. 3 от от Регламент (ЕС) 2016/679 може ли да се тълкува в смисъл, че неразрешено разкриване или достъп до лични данни по смисъла на чл. 4, т. 12 от Регламент (ЕС) 2016/679, в случая чрез „хакерска атака“, от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, е събитие, за което администраторът на лични данни по никакъв начин не е отговорен и е основание за освобождаване от отговорност?
5. Нормите на чл. 82, пар.1 и пар. 2 във връзка със Съображения 85 и 146 от преамбюла на Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че в хипотеза като настоящата на нарушение на сигурността на личните данни, изразяващо се в неразрешен достъп и разпространение на лични данни, осъществено чрез „хакерска атака", само преживените от субекта на лични данни опасения, притеснения и страх от евентуална, бъдеща злоупотреба с лични данни, без да е установена такава злоупотреба и/или да е настъпила друга вреда за субекта на данните, попадат в широкия смисъл на понятието нематериални вреди и е основание за обезщетение?