Не само злоупотребата с лични данни, но и потенциалната опасност нея може да представлява морална вреда за пострадалия. Това приема Съдът на Европейския съюз по преюдициалното питане на Върховния административен съд във връзка с делата срещу Националната агенция по приходите с предмет голямото изтичане на лични данни през 2019 г. Десетки такива производства бяха спрени до произнасянето на съда в Люксембург и сега предстои да бъдат възобновени. Жалбоподатели по тях свързват претенциите си както с изтеклите вече данни, така и опасенията си за вероятност от бъдещ пробив поради нарушения на Регламент 2016/679 (Общ регламент за защита на данните).
„Член 82, параграф 1 от Регламент 2016/679 трябва да се тълкува в смисъл, че опасенията, които субект на данни изпитва, вследствие на нарушение на този регламент, от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериална вреда“ по смисъла на тази разпоредба“, пише съдът в подкрепа на утвърденото с регламента високо ниво на защита на физическите лица във връзка с обработването на лични данни в рамките на Съюза.
Разширеното приложение на тази защита е обаче на свой ред ограничено с поставянето на условието „сезираната национална юрисдикция да провери дали тези опасения може да се считат за основателни с оглед на обстоятелствата в конкретния случай и на субекта на данни“. Това означава, че по всяко конкретно дело българският съд ще трябва да се съобрази с основателността на страховете у жалбоподателите от бъдещо изтичане на личните им данни. Същевременно Съдът на ЕС посочва, че отговорното за изтичането лице не може да се освободи от отговорност, само поради факта, че е било жертва на хакерска атака.
„Член 82, параграф 3 от Регламент 2016/679 трябва да се тълкува в смисъл, че администраторът не се освобождава от задължението си по член 82, параграфи 1 и 2 от този регламент за обезщетяване на претърпените от дадено лице вреди само поради факта че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на член 4, точка 10 от посочения регламент, като посоченият администратор трябва тогава да докаже, че причинилият съответните вреди факт не може по никакъв начин да му бъде вменен“.
И в тази насока обаче има ограничителен критерий, че самият факт на изтичането не е достатъчен, за да се приеме че приложените от администратора мерки не са подходящи по смисъла на Регламента. Съдът на ЕС указва, че „преценката дали приложените от администратора технически и организационни мерки по този член са подходящи трябва да бъде направена от националните юрисдикции конкретно, като се вземат предвид рисковете, свързани със съответното обработване, и като се прецени дали естеството, обхватът и прилагането на тези мерки са съобразени с тези рискове“.
Еднозначна е постановката, че администраторът носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурност са подходящи. В тази връзка Съдът на ЕС отговаря и на въпроса за ролята на съдебната експертиза при доказване на нарушението, посочвайки че назначаването й не може да представлява доказателствено средство, което системно е необходимо и достатъчно. Именно допуснатите експертизи са в основата на решението на първоинстанционното решение на Административен съд София-град, с което беше прието че НАП е можела да предотврати изтичането на данните за над 6 млн. граждани и юридически лица, но е бездействала.
Приходната агенция обжалва както това решение, така и акта на Комисията за защита на личните данни, с който й беше наложена сумарно глоба в размер на 5,1 млн. лева. Той също беше потвърден на първа инстанция от състав на Софийския районен съд, но НАП обжалва и е почти сигурно че след отминаване на шума по казуса санкцията ще бъде редуцирана. Отделно приходната агенция оспори и 6-месечния срок за изпълнение на потвърдените от съда препоръки на КЗЛД.
За огромното изтичане на данни в НАП се разбра в средата на 2019 г., когато до медии бяха изпратени имейли от „анонимен руски хакер“, обявил се за автор на атаката. Той твърдеше, че е женен за българка и родителите на съпругата му живеят у нас и затова със собствените си очи е виждал „колко прецакана е държавата“. Впоследствие обвинения в тероризъм и образуване и ръководене на престъпна група с користна цел бяха повдигнати срещу собственика на „Тад груп“ Иван Тодоров, служителят във фирмата Кристиян Бойков и търговският директор Георги Янков.
Според разследващите Тодоров и Янков подбудили Бойков да извърши кибератаката с цел създаване на смут и страх в населението. След това от прокуратурата надгради с твърдението, че действията им били насочени срещу действащата политическа система и форма на управление. От държавното обвинение публикуваха множество чатове между обвиняемите, в които Тодоров се заканва да свали тогавашното правителство на ГЕРБ. Иван Тодоров остана в ареста повече от половин година, след което го пуснаха под гаранция от 100 хил. лв. и вече четвърта година не е внесен обвинителен акт по делото.
