Определение по адм. дело №1643/2025 на Административен съд - Варна

Производството е по реда на чл.39, ал.1 от Закона за защита на личните данни /ЗЗЛД/, вр. чл. 145 и сл. от Административнопроцесуалния кодекс /АПК/.

Образувано е по жалба на И. Н. Р., гр. Варна, чрез адв. С. К., срещу изричен отказ от 10.07.2025 г. на „ВИВА КРЕДИТ“ АД, [ЕИК], в качеството му на правоприемник на „ВИВА КРЕДИТ“ ЕООД, [ЕИК] и администратор на лични данни, за предоставяне на информация за това дали личните му данни са обработвани от дружеството, както и на копия на лични данни съгласно чл.15, ал.3 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г.

В хода на производството, настоящият състав на Административен съд – Варна преценява, че в контекста на приложимите национални разпоредби от Глава седма на ЗЗЛД (чл. 37а – чл. 39 вкл.), член 8, параграф 2 от Хартата на основните права на ЕС и на постановените вече решения на Съда на ЕС по дела C-487/21 и С-307/22, за разрешаване на спорния между страните въпрос - дали при подадено редовно заявление по чл. 37б, ал. 1 ЗЗЛД администраторът на лични данни дължи да предостави на субекта освен копие на обработваните лични данни и пълно копие на сключените договори за заем – е необходимо тълкуване на разпоредбите на член 12, параграф 1, член 13, параграф 4, член 14, параграф 5, буква а), член 15, параграфи 1 и 3, и член 20, параграф 1 от Регламент (ЕС) 2016/679, в светлината на съображения 58, 60, 61, 62 и 63 от същия регламент. Отделно, доколкото администраторът признава, че субектът е бил подложен на профилиране по смисъла на член 22, параграф 1 от Регламента, във връзка със съображение 71, е уместно да се провери как това обстоятелство следва да се интерпретира в контекста на правото на достъп по член 15, параграф 3 и на правото на преносимост по член 20, параграф 1 от Регламента.

Във връзка с това, Варненският административен съд, в настоящия съдебен състав, счита за уместно да отправи до Съда на Европейския съюз запитване относно тълкуването на приложимите към спора разпоредби и правила, като формулира съдържанието на преюдициалното запитване, както следва:

I. СТРАНИ ПО ДЕЛОТО:

1. Жалбоподател – И. Н. Р..

2. Ответник – „ВИВА КРЕДИТ“ АД.

II. ПРЕДМЕТ НА ДЕЛОТО:

3. Производството е образувано по жалба на И. Н. Р. против отказ от 10.07.2025г. на „ВИВА КРЕДИТ“ АД – правоприемник на „ВИВА КРЕДИТ“ ООД и администратор на лични данни по смисъла на член 12 от Регламент (ЕС) 2016/679, за предоставяне на информация относно това дали личните му данни са обработвани от дружеството, както и на копия на лични данни съгласно член 15, параграф 3 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. Конкретно се оспорва отказа на администратора да предостави на субекта на данните пълно копие от Договор за паричен заем от 09.09.2023 г., както и копие на всички носители на негови лични данни за периода 01.01.2020 г. до 22.04.2025 г.

4. В контекста на доводите на страните, спорът, който трябва да бъде разрешен в настоящото производство, е формиран по следните въпроси:

— При упражняване на правата по член 15 – 22 от Регламент (ЕС) 2016/679 чрез писмено заявление по чл. 37б, което изпълнява изискванията на чл. 37в, ал. 1 ЗЗЛД, администраторът на лични данни длъжен ли е винаги да предоставя освен „копие“ от обработваните данни и пълно копие на договора за заем, послужил за основание за събиране, а впоследствие и за обработване на данните, при условие че отношенията по договора са приключени и данните се съхраняват за целите и срока по Закона за мерките срещу изпирането на пари?

— Как следва да се тълкува и от значение ли е факта, че субектът на данните вече разполага с пълно копие от договора за заем и администраторът доказва това обстоятелство;

— Отказът на администратора да предостави пълно копие на договора за заем, възпрепятства ли и как упражняването на правото на субекта по член 8, параграф 2 от Хартата на основните права на ЕС – да получи ясна представа за това дали данните му са обработвани добросъвестно, за точно определени цели и въз основа на съгласието му или по силата на друго предвидено от закона легитимно основание?

III. ФАКТИЧЕСКА ОБСТАНОВКА:

5. На 09.09.2023 г. И. Р. и „ВИВА КРЕДИТ“ АД сключили договор за паричен заем Standart 30 с № 5959121 - 09.03.2023 г. за сумата от 2300,00 лв., със срок на заема – 12 месеца. От представеното по делото пълно копие от договора за заем се установява, че в същия са посочени: датите на погасителните вноски; фиксираният годишен лихвен процент по заема; лихвеният процент на ден, приложим при отказ от договора до 14-тия ден; годишният процент на разходите. Предвидено е цялата сума по заема да се усвоява чрез Easy Pay („Изипей“ АД) – лицензиран оператор на система за платежни услуги, която позволява в реално време да се извършват парични преводи и плащания до всяка точка на страната.

6. Пълното съдържание на договора за заем се установява от копието, приложено от И. Р. към негова искова молба срещу „ВИВА КРЕДИТ“ АД, с която са предявени: 1. иск за установяване нищожност на клаузата в чл.4, ал.2 от договора за неустойка за непредставяне на гаранция; 2. осъдителен иск за неоснователно обогатяване. Във връзка с исковата молба пред Районен съд – Варна е образувано гр.д. № 10026/2024г.

Исковата молба на Р., приложеното към нея копие от договор за заем№ 5959121 - 09.03.2023 г., ведно със съобщение за образуваното пред РС-Варна гражданско дело, са представени в настоящото производство от „ВИВА КРЕДИТ“ АД с отговора по жалбата.

7. С жалбата до съда жалбоподателят представя извлечение от лична партида, от което се установява, че през системата на Easy Pay Р. е усвоявал и предходни заеми, предоставени от „Вива Кредит“ ООД – съответно на 29.09.2021 г. в размер на 792,00 лв. и на 04.07.2022 г. в размер на 2376,00 лв.

8. По данни от Търговския регистър към Агенция по вписванията, считано от 12.04.2023 г. „ВИВА КРЕДИТ“ ООД е заличен търговец – поради промяна на правната форма, с правоприемник „ВИВА КРЕДИТ“ АД.

9. На 22.04.2025 г., на основание член 15 и член 20 от Регламент (ЕС) 2016/679 И. Р. подал до „ВИВА КРЕДИТ“ АД заявление за предоставяне на следната информация:

— дали личните му данни са обработвани от дружеството в качеството му на администратор на лични данни, както и да посочи целите за обработване, категориите обработвани лични данни, получателите и категориите получатели, пред които са разкрити тези данни, както и копие на личните данни, които са в процес на обработване;

— данните, както и копията на всички носители на лични данни да бъдат предоставени за периода 01.01.2020 г. до 17.04.2025 г.;

— всички носители на лични данни (договори, анекси, погасителни планове, стандартни европейски формуляри и др.) да бъдат предоставени, за да се извърши справка на обработваните данни, включително по вече погасени и неактивни към момента правоотношения между страните;

10. Във връзка със заявлението, на 29.05.2025 г. „ВИВА КРЕДИТ“ АД изготвило до Р. У., в което посочило следната информация:

— че е финансова институция, вписана в регистъра на Българската народна банка /БНБ/ по чл. 3а, ал. 1 от Закона за кредитните институции и обработва личните данни на субекта във връзка с прекратени договорни отношения по потребителски кредит;

— съхраняваните данни са ограничени до минимално необходимия обем, съгласно нормативно установените задължения;

— обработването на личните данни е извършвано с основна цел изпълнение на договор за потребителски кредит, на основание член 6, параграф 1, буква б) от Регламент (ЕС) 2016/679;

10.1. В отговора са посочени категориите обработвани лични данни – три имена, единен граждански номер /ЕГН/, данни от документ за самоличност – лична карта, постоянен и настоящ адрес; мобилен телефон; имейл адрес; данни от справки в регистри на държавни органи (Регистър на Български документи за самоличност към МВР за данните от лична карта; Регистър на Националния осигурителен институт за данни за трудови правоотношения; Централен кредитен регистър /ЦКР/ към БНБ за данни за наличие на кредитни задължения); информация, дали е видна политическа личност и има свързаност с такава информация; за произход на средства по смисъла на Закона за мерките срещу изпиране на пари /ЗМИП/; подпис. Посочено е също, че ако в качеството си на потребител субектът на данни е посетил интернет страницата на дружеството, то е събирана информация от „бисквитки“ и аналитична информация, която касае предпочитания на база посетените сайтове, както и IP адрес.

10.2. С цел пълно удовлетворяване на правото на достъп по член 15, параграф 3 от Регламента, е издадено и Удостоверение от 29.05.2025 г. относно предоставяне на лични данни в полза на заявителя И. Р., с потвърждение, че:

— Предоставената информация, състояща се от личните данни и информацията в Приложение № 1 към удостоверението е вярна и отразява точно копие на всички лични данни, които се обработват от администратора;

— Освен посочените в Приложение № 1 лични данни и информация, за И. Р. не се обработват никакви други лични данни;

10.3. Към Удостоверението са приложени:

— „Приложение – Копие на лични данни“, извлечение от информационната база данни и извадки от документи, които съдържат актуалните лични данни, обработвани от администратора съгласно решение С-487/21 на Съда на Европейския съюз;

— „Детайли на клиента“, съдържащи данни за: рождена дата; проверка на лична карта; адреси; телефони за връзка; e-mail; месторабота; разполагаем доход;

— Извадки от документи към договора за кредит, съдържащи лични данни на субекта, включително копие на лична карта;

— Договор за паричен заем Standart 30 от 09.09.2023г. (извадка - в частите, съдържащи лични данни);

— Декларация по чл.42, ал.2, т.2 от ЗМИП;

— Данни от снимки на лице (тип селфи) и лична карта, събрани по време на процес по електронна идентификация и верификация на самоличността;

— Основни данни за сумите по кредита: размер на кредита, общо платена сума, оставаща сума за плащане;

10.4. Направени са и следните уточнения във връзка с предоставените данни:

— Договорът е подписан с електронен подпис, чрез въвеждане на код, изпратен към мобилен телефон на клиента чрез SMS, по процедура описана в Общите условия, приложими към договора за предоставяне на финансови услуги;

— Предоставените документи включват само извадки от договора, съдържащи лични данни на субекта. Останалите страници от документите не съдържат лични данни на субекта и са извън обхвата на Регламента;

— Личните данни са получени по време на кандидатстване за кредит, както и от съответните компетентни органи, включително МВР (по данни от Регистъра на българските документи за самоличност), НОИ (по данни, свързани с трудови правоотношения), ЦКР (по данни за други кредити) и БНБ (по данни от Регистъра на банковите сметки и сейфове);

— Възможно е личните данни да бъдат предадени и на други категории получатели, подробно описани в Информационни права на субектите на лични данни, налични в договорната документация, предоставена при кандидатстването и/или сключване на договора, както и на уеб сайта на дружеството;

— Личните данни са предоставени на Националния осигурителен институт и на Централния кредитен регистър за целите на изпълнение на законово задължение на дружеството за обявяване на информация относно актуализиране на кредитна задлъжнялост, както и на Регистър Български документи за самоличност на Министерство на вътрешните работи, посредством който е извършена и справка за валидност на документа за самоличност в базата данни на МВР;

— Използваният от субекта на данни Браузър може да споделя информация относно посетените от него сайтове и това да се отразява на информацията, която се обработва приоритетно от предпочитаната от него търсачка. Аналогично, ако е използвал различни браузъри, това може да се отнася за всеки един от тях. Следва текст: „Обърнете се към помощната функция на браузъра за информация какви са текущите настройки на „бисквитките“ и как може да ги промените и/или изтриете „бисквитките“;

— Личните данни се съхраняват за времето, предвидено от съответното законодателство, както и за периода, необходим за изпълнение на целта, за която са били събрани. След изтичането на тези срокове или при изпълнение на целта, за която са били събрани, данните се изтриват или анонимизират в съответствие с политиките на дружеството за защита на личните данни;

— Кредитът е отпуснат по стандартна процедура на Дружеството, при която субектът на данни е подложен на профилиране и оценка на кредитоспособността и подходящия размер на кредита. Процесът включва анализ на лични данни за статистически връзки с рискови събития като неплащане и измама, чрез алгоритми за машинно обучение, които оценяват вероятността за тези рискове. Основанието за обработката е чл. 16 от Закона за потребителския кредит, който изисква оценка на кредитоспособността преди одобрение на кредита;

— По отношение на информационната инфраструктура, всички данни се съхраняват на сървърни пространства в Европейския съюз и Европейското икономическо пространство;

— Подробности за обработването на данните и правата на субекта по ОРЗД може да се намерят в Политиката за защита на личните данни на сайта на дружеството;

— Допълнително следва да се има предвид, че правото на преносимост е приложимо основно в ситуации, при които данните се прехвърлят между администратори с еднаква или съпоставима дейност (например между доставчици на електронни съобщителни услуги), какъвто не е настоящият случай;

— В допълнение на горната информация, Дружеството обработва личните данни, предоставени във връзка с разглеждането на настоящото искане и пълномощно. Обработката се осъществява, както следва: цели и основание – законови задължения за идентификация и разглеждане на искането; категории данни – три имена, ЕГН, данни от документ за самоличност, постоянен адрес и подпис; получатели – лица, които обработват искането и поддържат системите на Дружеството; трети лица за трансфер – данните няма да се оповестяват на трети лица или трансферират извън ЕС; срок на съхранение – най-малко две години, след което ще бъдат унищожени, освен ако няма друго основание за съхранение;

10.5. Дадени са указания за:

— правото да се иска от администратора коригиране или изтриване на личните данни, или ограничаване на обработването им, или да се направи възражение срещу такова обработване;

— правото на жалба в 14-дневен срок пред административен съд или пред Комисията за защита на личните данни.

11. На 09.06.2025 г. Р. подал до „ВИВА КРЕДИТ“ АД ново искане за предоставяне на изисканата информация, в това число пълно копие на договор за паричен заем от 09.09.2023 г., както и на всички носители на лични данни за периода 01.01.2020 г. до 22.04.2025 г.

11.1. Второто искане е подадено по съображения, че отговорът от 29.04.2025г. е непълен, тъй като е предоставена единствено информация за целите на обработването, категориите лични данни в процес на обработка, получателите и категориите получатели на личните данни, както и само две страници от договор за заем от 09.09.2023 г., поради което субектът е в невъзможност да се увери дали само предоставените страници от договора съдържат негови лични данни и дали всички лични данни се обработват, съхраняват и предоставят от оператора на данни законосъобразно.

12. Във връзка с допълнителното искане, „ВИВА КРЕДИТ“ АД изготвило Допълнително уведомление от 10.07.2025г., в което посочило следната информация:

— дружеството обработва личните му данни във връзка с прекратени договорни отношения по договор за потребителски кредит, сключен на 09.09.2023 г.;

— в отговор на първоначалното искане са предоставени: копие от договора и приложенията към него, включително декларация по ЗМИП, копие лична карта, съдържащи данните на Р., снимки на Р., направени в процеса на клиентска верификация, извлечения от вътрешната база данни, отразяващи начина, по който личните данни на субекта се обработват във вътрешната система на дружеството;

— всички договорни отношения към момента са прекратени и единствената операция по обработване на личните данни е по тяхното съхранение;

— съхраняваните лични данни и техните носители са ограничени до минимално необходимия обем, в съответствие със законовите изисквания и срокове, предвидени в ЗМИП и съобразно принципа за минимализиране на данните, регламентирани в член 5, параграф 1, буква в) от Регламент (ЕС) 2016/679;

— данните са поддържани в съответствие с принципа на точност по член 5, параграф 1, буква д) от Регламента;

— всички предоставени до момента данни съответстват на реално и актуално съхраняваната от дружеството информация и изчерпват обема на личните данни, подлежащи на предоставяне;

12.1. Изразено е и становище, че дружеството счита за изпълнено задължението си по член 15, параграф 3 от Регламента - предоставено е едно безплатно копие от всички обработвани актуални лични данни, вкл. носители – договорни документи, съдържащи лични данни, верификационни лицеви изображения и данни от вътрешни бази, и няма задължение многократно да предоставя едни и същи носители, освен при настъпили промени в обхвата или характера на обработваните данни. Независимо от това повторно са предоставени копия на съответните документи към договора за кредит – като част от материалите от съдебни производства с Р. – Приложение № 1 и № 2 към Уведомлението;

13. На 21.07.2025 г. в Административен съд – Варна е постъпила жалбата на Р. срещу изричен отказ на „ВИВА КРЕДИТ“ АД от 10.07.2025 г. за предоставяне на информация за това дали личните му данни са обработвани, както и на копия на личните данни, вкл. пълно копие от договор за заем.

14. На 26.09.2025 г. по делото е постъпил отговор от Комисия за защита на личните данни, в който е посочено, че при извършена служебна справка на 25.09.2025 г. не е установено наличието на висящо или приключило производство пред Комисията, инициирано от И. Н. Р. срещу „Вива Кредит“ АД.

ІV. ПРИЛОЖИМИ НОРМАТИВНИ РАЗПОРЕДБИ

А. НАЦИОНАЛНО ПРАВО

15. Закон за защита на личните данни /ЗЗЛД/:

15.1. Чл. 37б. (Нов – ДВ, бр. 17 от 2019 г.) (1) Субектът на данни упражнява правата по чл. 15 – 22 от Регламент (ЕС) 2016/679 чрез писмено заявление до администратора на лични данни или по друг определен от администратора начин.

(2) Заявление може да се подаде и по електронен път при условията на Закона за електронния документ и електронните удостоверителни услуги, Закона за електронното управление и Закона за електронната идентификация.

…

15.2. Чл. 37в. (Нов – ДВ, бр. 17 от 2019 г.) (1) Заявлението по чл. 37б съдържа:

1. име, адрес, единен граждански номер или личен номер на чужденец или друг аналогичен идентификатор, или други идентификационни данни на физическото лице, определени от администратора, във връзка с извършваната от него дейност;

2. описание на искането;

3. предпочитана форма за получаване на информация при упражняване на правата по чл. 15 – 22 от Регламент (ЕС) 2016/679;

4. подпис, дата на подаване на заявлението и адрес за кореспонденция.

(2) При подаването на заявление от упълномощено лице към заявлението се прилага и пълномощното.

…

15.3. Чл. 39. (1) (Изм. - ДВ, бр. 103 от 2005 г., бр. 30 от 2006 г., в сила от 1.03.2007 г., бр. 91 от 2006 г., бр. 17 от 2019 г.) При нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на Административнопроцесуалния кодекс.

…

(4) (Изм. - ДВ, бр. 103 от 2005 г., отм., бр. 91 от 2006 г., предишна ал. 3, бр. 81 от 2011 г., изм., бр. 17 от 2019 г.) Субектът на данни не може да сезира съда, когато има висящо производство пред комисията за същото нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда. По искане на субекта на данни или на съда комисията удостоверява липсата на висящо производство пред нея по същия спор.

…

16. Закон за мерките срещу изпирането на пари /ЗМИП/:

16.1. Чл. 3. (Доп. - ДВ, бр. 94 от 2019 г.) Мерките за превенция на използването на финансовата система за целите на изпирането на пари са:

1. комплексна проверка на клиентите;

2. събиране и изготвяне на документи и друга информация при условията и по реда на този закон;

3. съхраняване на събраните и изготвените за целите на този закон документи, данни и информация;

4. (доп. - ДВ, бр. 94 от 2019 г.) оценка на риска от изпиране на пари и финансиране на тероризма;

5. разкриване на информация относно съмнителни операции, сделки и клиенти;

6. разкриване на друга информация за целите на този закон;

16.2. Чл. 4 – Задължени субекти (Изм. и доп. - ДВ, бр. 42 от 2019 г., в сила от 28.05.2019 г.; изм. и доп., бр. 94 от 2019 г.; изм., бр. 69 от 2020 г.; изм., бр. 7 от 2021 г.; доп., бр. 17 от 2021 г.; изм. и доп., бр. 21 от 2021 г.; изм. и доп., бр. 84 от 2023 г.; доп., бр. 50 от 2025 г., в сила от 20.06.2025 г.; изм. и доп., бр. 54 от 2025 г.) Мерките по чл. 3, т. 1 – 6 са задължителни за:

1. (доп. - ДВ, бр. 21 от 2021 г.) Българската народна банка, когато извършва операции и сделки с неограничен кръг лица, и кредитните институции, които извършват дейност на територията на Република България по смисъла на Закона за кредитните институции;

…

16.3. Чл. 11. (Доп. - ДВ, бр. 60 от 2023 г., в сила от 14.07.2023 г.; доп., бр. 84 от 2023 г.; изм., бр. 70 от 2024 г., в сила от датата, определена в Решение на Съвета на Европейския съюз за приемането на еврото от Република България, прието в съответствие с чл. 140, параграф 2 от ДФЕС, и Регламент на Съвета на Европейския съюз, приет в съответствие с чл. 140, параграф 3 от ДФЕС; изм., бр. 54 от 2025 г.)

(1) (Изм. - ДВ, бр. 70 от 2024 г., в сила от датата, определена в Решение на Съвета на Европейския съюз за приемането на еврото от Република България, прието в съответствие с чл. 140, параграф 2 от ДФЕС, и Регламент на Съвета на Европейския съюз, приет в съответствие с чл. 140, параграф 3 от ДФЕС) Лицата по чл. 4 прилагат мерките за комплексна проверка на клиента при:

1. установяване на делови взаимоотношения, в т. ч. при откриване на сметка, когато с откриването на сметката се установяват делови взаимоотношения;

…

16.4. Чл. 67. (Доп. - ДВ, бр. 42 от 2019 г., в сила от 28.05.2019 г.; изм. и доп., бр. 94 от 2019 г.; изм. и доп., бр. 60 от 2023 г., в сила от 14.07.2023 г.; изм., бр. 84 от 2023 г.)

(1) (Доп. - ДВ, бр. 94 от 2019 г.; изм., бр. 84 от 2023 г.) Лицата по чл. 4 съхраняват за срок 5 години всички събрани и изготвени по реда на този закон и правилника за прилагането му документи, данни и информация, включително данните и информацията, получени съгласно чл. 53, ал. 8 и чл. 54, ал. 9.

(2) (Изм. - ДВ, бр. 94 от 2019 г.) В случаите на установяване на делови взаимоотношения с клиенти, както и в случаите на встъпване в кореспондентски отношения срокът по ал. 1 започва да тече от датата на прекратяването на отношенията.

17. Закон за кредитните институции /ЗКИ/:

17.1. Чл. 3а. (Нов - ДВ, бр. 24 от 2009 г., в сила от 31.03.2009 г.; изм. и доп., бр. 105 от 2011 г.; изм. и доп., бр. 27 от 2014 г.; изм., бр. 50 от 2015 г.; изм. и доп., бр. 59 от 2016 г.; доп., бр. 12 от 2021 г., в сила от 12.02.2021 г.; доп., бр. 51 от 2022 г.; изм. и доп., бр. 65 от 2023 г.; доп., бр. 50 от 2025 г., в сила от 20.06.2025 г.) (1) (Изм. - ДВ, бр. 27 от 2014 г.; изм., бр. 59 от 2016 г.; изм., бр. 65 от 2023 г.; доп., бр. 50 от 2025 г., в сила от 20.06.2025 г.) За извършване по занятие на дейност по финансов лизинг, гаранционни сделки, придобиване на вземания по кредити или дейност, представляваща друга форма на финансиране (факторинг, форфетинг и други) във връзка с кредити извън такива, които попадат в приложното поле на Закона за лицата, обслужващи кредити, и купувачите на кредити, придобиване на дялови участия в кредитни и финансови институции и отпускане на кредити със средства, които не са набрани чрез публично привличане на влогове или други възстановими средства, е необходимо лицето да бъде вписано в публичен регистър на БНБ, ако една или повече от тези дейности е съществена за него. Критериите за определяне на съществена дейност се определят с наредба на БНБ.

18. Закон за потребителския кредит /ЗПК/:

18.1. Чл. 9. (1) Договорът за потребителски кредит е договор, въз основа на който кредиторът предоставя или се задължава да предостави на потребителя кредит под формата на заем, разсрочено плащане и всяка друга подобна форма на улеснение за плащане, с изключение на договорите за предоставяне на услуги или за доставяне на стоки от един и същи вид за продължителен период от време, при които потребителят заплаща стойността на услугите, съответно стоките, чрез извършването на периодични вноски през целия период на тяхното предоставяне.

(2) Страни по договора за потребителски кредит са потребителят и кредиторът.

(3) Потребител е всяко физическо лице, което при сключването на договор за потребителски кредит действа извън рамките на своята професионална или търговска дейност.

(4) Кредитор е всяко физическо или юридическо лице, което предоставя или обещава да предостави потребителски кредит в рамките на своята професионална или търговска дейност.

18.2. Чл. 10. (Изм. и доп. - ДВ, бр. 35 от 2014 г., в сила от 23.07.2014 г.) (1) (Изм. - ДВ, бр. 35 от 2014 г., в сила от 23.07.2014 г.) Договорът за потребителски кредит се сключва в писмена форма, на хартиен или друг траен носител, по ясен и разбираем начин, като всички елементи на договора се представят с еднакъв по вид, формат и размер шрифт - не по-малък от 12, в два екземпляра - по един за всяка от страните по договора.

…

18.3. Чл. 16. (1) Преди сключване на договор за кредит кредиторът оценява кредитоспособността на потребителя въз основа на достатъчно информация, в т. ч. информация, получена от потребителя, и ако е необходимо, извършва справка в Централния кредитен регистър или в друга база данни, използвана в Република България за оценка на кредитоспособността на потребителите.

(2) При вземане на решение относно предоставянето на потребителски кредити кредиторът може да използва Централния кредитен регистър или друга база данни, използвана в Република България за оценка на кредитоспособността на потребителите, и да вземе предвид информацията, съдържаща се в регистъра, при управление на риска, свързан с предоставянето на кредита.

Б. ПРИЛОЖИМО ПРАВО НА ЕВРОПЕЙСКИЯ СЪЮЗ

19. Харта на основните права на Европейския съюз

Член 8 - Защита на личните данни

1. Всеки има право на защита на неговите лични данни.

2. Тези данни трябва да бъдат обработвани добросъвестно, за точно определени цели и въз основа на съгласието на заинтересованото лице или по силата на друго предвидено от закона легитимно основание. Всеки има право на достъп до събраните данни, отнасящи се до него, както и правото да изиска поправянето им.

….

20. Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) /ОРЗД/.

20.1. Съображения 4, 9, 10, 39, 58 - 63, 71 и 74 от ОРЗД гласят следното:

(4) … Правото на защита на личните данни не е абсолютно право, а трябва да бъде разглеждано във връзка с функцията му в обществото и да бъде в равновесие с другите основни права съгласно принципа на пропорционалност ….

…

(9) … Разликите в осигуреното в държавите членки ниво на защита на правата и свободите на физическите лица, по-специално на правото на защита на личните данни, във връзка с обработването на лични данни в държавите членки, могат да възпрепятстват свободното движение на лични данни в рамките на Съюза. Поради това тези разлики може да представляват препятствие за осъществяването на икономически дейности на равнището на Съюза, да нарушават конкуренцията и да възпрепятстват органите при изпълнението на техните отговорности съгласно правото на Съюза. Различието в нивата на защита се дължи на съществуването на разлики при въвеждането и прилагането на Директива 95/46/ЕО.

(10) За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в Съюза, нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. …

….

(39) Всяко обработване на лични данни следва да бъде законосъобразно и добросъвестно. За физическите лица следва да е прозрачно по какъв начин отнасящи се до тях лични данни се събират, използват, консултират или обработват по друг начин, както и в какъв обхват се извършва или ще се извършва обработването на данните. Принципът на прозрачност изисква всяка информация и комуникация във връзка с обработването на тези лични данни да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки. …

….

(58) Принципът на прозрачност изисква всяка информация както за обществеността, така и за субекта на данните да бъде в кратка, прозрачна, разбираема и лесно достъпна форма и да се използват ясни и недвусмислени формулировки, а в допълнение когато е необходимо, да се използва и визуализация. ….

(59) Следва да бъдат предвидени ред и условия за улесняване на упражняването на правата на субектите на данни съгласно настоящия регламент, включително механизми за искане, и ако е приложимо – получаване, без заплащане, по-специално на достъп до, коригиране или изтриване на лични данни и упражняване на правото на възражение. ….

(60) Принципите на добросъвестно и прозрачно обработване изискват субектът на данни да бъде информиран за съществуването на операция по обработване и за нейните цели. Администраторът следва да предостави на субекта на данните всяка допълнителна информация, която е необходима, за да се гарантира добросъвестно и прозрачно обработване на данните, като се вземат предвид конкретните обстоятелства и контекст, в които се обработват личните данни. ….

(61) Информацията за обработването на лични данни, свързани със субекта на данните, следва да му бъде предоставена в момента на събирането й от субекта на данните или ако личните данни са получени от друг източник – в рамките на разумен срок, в зависимост от обстоятелствата на конкретния случай. ….

(62) Не е необходимо обаче да се налага задължение за предоставяне на информация, когато субектът на данни вече разполага с информацията, когато записването или разкриването на личните данни е изрично предвидено със закон или когато предоставянето на информация на субекта на данни се окаже невъзможно или изисква непропорционално големи усилия. Такъв би бил случаят по-специално когато обработването се извършва за целите на архивирането в обществен интерес, за целите на научни или исторически изследвания, или за статистически цели. В този контекст следва да бъде взет предвид броят на субектите на данни, актуалността на данните и съответните установени гаранции.

(63) Всяко физическо лице следва да има право на достъп до събраните лични данни, които го засягат, и да упражнява това право лесно и на разумни интервали, за да бъде осведомено за обработването и да провери законосъобразността му. ….. Поради това всеки субект на данни следва да има правото да е запознат и да получава информация, по-специално относно целите, за които се обработват личните данни, когато е възможно – срока, за който се обработват личните данни, получателите на личните данни, логиката на автоматизираното обработване на личните данни и последствията от такова обработване, най-малкото когато се извършва на основата на профилиране. … Това право не следва да влияе неблагоприятно върху правата или свободите на други лица, включително върху търговската тайна или интелектуалната собственост, и по-специално върху авторското право за защита на софтуера. Тези съображения обаче не следва да представляват отказ за предоставяне на цялата информация на съответния субект на данни. ….

…

(71) Субектът на данни следва да има право да не бъде обект на решение, което може да включва мярка, за оценка на свързани с него лични аспекти единствено въз основа на автоматично обработване, и което поражда правни последствия за него или го засяга също толкова значително, като например автоматичен отказ на онлайн искания за кредит или електронни практики за набиране на персонал без човешка намеса. Това обработване включва „профилиране“, което се състои от всякакви форми на автоматизирано обработване на лични данни за оценка на личните аспекти във връзка с дадено физическо лице, по-специално анализирането или прогнозирането на различни аспекти, имащи отношение към резултатите в работата на субекта на данни, икономическото състояние, здравето, личните предпочитания или интереси, благонадеждността или поведението, местоположението или движенията, когато то поражда правни последствия по отношение на лицето или го засяга също толкова значително. … Във всеки случай такова обработване следва да подлежи на подходящи гаранции, които следва да включват конкретна информация за субекта на данните и правото на човешка намеса, на изразяване на мнение, на получаване на обяснение за решението, взето в резултат на такава оценка и на обжалване на решението. …“.

…

(74) Следва да бъдат установени отговорностите и задълженията на администратора за всяко обработване на лични данни, извършено от администратора или от негово име. По-специално, администраторът следва да е длъжен да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с настоящия регламент, включително ефективността на мерките. Тези мерки следва да отчитат естеството, обхвата, контекста и целите на обработването, както и риска за правата и свободите на физическите лица“.

20.2. Член 1 от ОРЗД, озаглавен „Предмет и цели“, предвижда в параграф 2:

„С настоящия регламент се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни“.

20.3. Член 4 от ОРЗД, озаглавен „Определения“, дава основни дефиниции за целите на регламента, включително за:

1) „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); …;

2) „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

…;

4) „профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение“.

7) „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

20.4. 20.4. Член 5 от ОРЗД е озаглавен „Принципи, свързани с обработването на лични данни“ и предвижда:

1. Личните данни са:

a) обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

б) събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно член 89, параграф 1, за несъвместимо с първоначалните цели („ограничение на целите“);

в) подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

г) точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);

д) съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в настоящия регламент с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);

е) обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);

2. Администраторът носи отговорност и е в състояние да докаже спазването на параграф1 („отчетност“).

20.5. Член 6 от ОРЗД е озаглавен „Законосъобразност на обработването“ и гласи следното:

1. Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

…;

б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

…;

д) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

20.6. Член 12 от ОРЗД, озаглавен „Прозрачна информация, комуникация и условия за упражняването на правата на субекта на данни“, предвижда следното:

1. Администраторът предприема необходимите мерки за предоставяне на всякаква информация по членове 13 и 14 и на всякаква комуникация по членове 15 – 22 и член 34, която се отнася до обработването, на субекта на данните в кратка, прозрачна, разбираема и леснодостъпна форма, на ясен и прост език, особено що се отнася до всяка информация, конкретно насочена към деца. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства.

…;

3. Администраторът предоставя на субекта на данни информация относно действията, предприети във връзка с искане по членове 15 - 22, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането …;

…;

5. Информацията по членове 13 и 14 и всяка комуникация и действия по членове 15 - 22 и член 34 се предоставят безплатно. Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повторяемост, администраторът може или:

а) да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия, или

б) да откаже да предприеме действия по искането.

Администраторът носи тежестта на доказване на явно неоснователния или прекомерен характер на искането.

5. Информацията по членове 13 и 14 и всяка комуникация и действия по членове 15 – 22 и член 34 се предоставят безплатно. Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повторяемост, администраторът може или:

a) да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия, или

б) да откаже да предприеме действия по искането.

Администраторът носи тежестта на доказване на явно неоснователния или прекомерен характер на искането.

…“.

20.7. 20.7. Член 13 от ОРЗД, озаглавен „Информация, предоставяна при събиране на лични данни от субекта на данните“, предвижда следното:

1. Когато лични данни, свързани с даден субект на данни, се събират от субекта на данните, в момента на получаване на личните данни администраторът предоставя на субекта на данните цялата посочена по-долу информация:

a) данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора;

б) координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;

в) целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

…;

2. Освен информацията, посочена в параграф 1, в момента на получаване на личните данни администраторът предоставя на субекта на данните следната допълнителна информация, която е необходима за осигуряване на добросъвестно и прозрачно обработване:

a) срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;

б) съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните;

…;

г) правото на жалба до надзорен орган;

д) дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени;

е) съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

…;

4. Параграфи 1, 2 и 3 не се прилагат, когато и доколкото субектът на данните вече разполага с информацията.

…;

20.8. Член 14 от ОРЗД е озаглавен „Информация, предоставяна, когато личните данни идват от субекта на данните“ и гласи следното:

1. Когато личните данни не са получени от субекта на данните, администраторът предоставя на субекта на данните следната информация:

…;

в) целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

…;

2. Освен информацията, посочена в параграф 1, администраторът предоставя на субекта на данните следната информация, необходима за осигуряване на добросъвестно и прозрачно обработване на данните по отношение на субекта на данните:

а) срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;

б) когато обработването се извършва въз основа на член 6, параграф 1, буква е), законните интереси, преследвани от администратора или от трета страна;

…;

ж) съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

3. Администраторът предоставя информацията, посочена в параграфи 1 и 2:

a) в разумен срок след получаването на личните данни, но най-късно в срок до един месец, като се отчитат конкретните обстоятелства, при които личните данни се обработват;

…;

5. Параграфи 1 - 4 не се прилагат, когато и доколкото:

a) субектът на данните вече разполага с информацията;

б) предоставянето на такава информация се окаже невъзможно или изисква несъразмерно големи усилия; по-специално за обработване на данни за целите на архивирането в обществен интерес … при спазване на условията и гаранциите по член 89, параграф 1 ….

20.9. Съгласно член 15 от ОРЗД, озаглавен „Право на достъп на субекта на данните“:

1. Субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

a) целите на обработването;

б) съответните категории лични данни;

в) получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;

г) когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;

д) съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;

е) правото на жалба до надзорен орган;

ж) когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;

з) съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

….

3. Администраторът предоставя копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от субекта на данните, администраторът може да наложи разумна такса въз основа на административните разходи. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма, освен ако субектът на данни не е поискал друго.

4. Правото на получаване на копие, посочено в параграф 3, не влияе неблагоприятно върху правата и свободите на други лица“.

20.10. Член 18 от ОРЗД, озаглавен „Право на ограничаване на обработването“, предвижда в параграф 1:

„Субектът на данните има право да изиска от администратора ограничаване на обработването, когато се прилага едно от следното:

a) точността на личните данни се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на личните данни;

б) обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

в) администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;

г) субектът на данните е възразил срещу обработването съгласно член 21, параграф 1 в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.

…“.

20.11. Член 19 от ОРЗД гласи:

„Администраторът съобщава за всяко извършено в съответствие с член 16, член 17, параграф 1 и член 18 коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. Администраторът информира субекта на данните относно тези получатели, ако субектът на данните поиска това“.

20.12. Член 20 от ОРЗД „Право на преносимост на данните“ гласи:

1. Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато:

a) обработването е основано на съгласие в съответствие с член 6, параграф 1, буква а) или член 9, параграф 2, буква а) или на договорно задължение съгласно член 6, параграф 1, буква б); и

б) обработването се извършва по автоматизиран начин;

20.13. Съгласно член 21 от ОРЗД, озаглавен „Право на възражение“, гласи:

1. Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на член 6, параграф 1, буква д) или буква е), включително профилиране, основаващо се на посочените разпоредби. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

…;

6. Когато лични данни се обработват за целите на научни или исторически изследвания или за статистически цели съгласно член 89, параграф1, субектът на данните има право, въз основа на конкретното си положение, да възрази срещу обработването на лични данни, отнасящи се до него, освен ако обработването е необходимо за изпълнението на задача, осъществявана по причини от публичен интерес“.

20.14. Член 22 „Автоматизирано вземане на индивидуални решения, включително профилиране“ от ОРЗД в параграф 1 гласи:

1. Субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен.

…

20.15. Член 79 от ОРЗД, озаглавен „Право на ефективна съдебна защита срещу администратор или обработващ лични данни“, предвижда в параграф 1:

„Без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент“.

20.16. Член 89 от ОРЗД, озаглавен „Гаранции и дерогации, свързани с обработването за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели“, предвижда в параграф 1:

„Обработването за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели подлежи, в съответствие с настоящия регламент, на подходящи гаранции за правата и свободите на субекта на данни. Тези гаранции осигуряват наличието на технически и организационни мерки, по-специално с оглед на спазването на принципа на свеждане на данните до минимум. Мерките могат да включват псевдонимизация, при условие че посочените цели могат да бъдат постигнати по този начин. Когато посочените цели могат да бъдат постигнати чрез по-нататъшно обработване, което не позволява или повече не позволява идентифицирането на субектите на данни, целите се постигат по този начин“.

V. СЪДЕБНА ПРАКТИКА

А. НА НАЦИОНАЛНИТЕ СЪДИЛИЩА:

21. Практика на Върховния административен съд /ВАС/, който по тези спорове действа като касационна инстанция, чиито решения са окончателни.

21.1. С Решение № 7180/26.06.2025 г. по адм.д. № 10796/2024 г. Върховният административен съд е приел следното: „Съдът мотивирано е отхвърлил възражението на дружеството, че жалбоподателят (сега касационен ответник) разполага с копие на договора за кредит, поради което не е необходимо да го предоставя отново. …. В съответствие с разпоредбите член 12, параграф 1 във връзка с член 15 от Регламент (ЕС) 2016/679, съдът е приел, че администраторът на лични данни следва да предостави копие на документа, както и потвърждение дали се обработват негови лични данни. Върховният административен съд е приел в практиката си, че фактът дали субектът на данни съхранява или не своите копия от договорите за заем не е относим към задължението на администратора на личните данни съгласно Регламент (ЕС) 2016/679 и Закона за защита на личните данни да ги предостави, когато са надлежно поискани по реда на чл. 37б и чл. 37в ЗЗЛД – в т. см. Решение № 7101 от 28.06.2023 г. по адм. д. № 1825/2023 г. на ВАС, V о. Доводите в касационната жалба, основани на решение на СЕС от 4 май 2023 г. по дело С-487/2021 г., са наведени и пред първоинстанционния съд, който аргументирано е посочил, че решението не налага извод за освобождаване от ангажимента да предостави копие на сключените договори между страните. …. В съответствие с решението на СЕС съдът точно е посочил, че с оглед принципите на прозрачност и отчетност е необходимо администраторът на лични данни да предостави копие на документите, носители на лични данни на заявителя, за да има възможност ефективно да упражни правата си и провери дали свързаните с него данни са точни и се обработват законосъобразно“.

В този смисъл са и Решение на ВАС № 7101/28.06.2023 г. по адм.д. № 1825/2023 г., Решение на ВАС № 7180/26.06.2025 г. по адм.д. № 10796/2024 г., Решение № 8310/31.07.2025 г. по адм.д. № 3419/2025 г.

22. Практика на административните съдилища, действащи по тези спорове като първа инстанция:

22.1. С Решение № 4923/30.05.2025 г. по адм.д. № 663/2025 г., Административен съд – Пловдив е приел, следното: „ … в случай че жалбоподателят цели добиване на информация за параметрите на кредита (размер на вноски, лихви, проценти и такси), следва да се посочи, че същият като страна по договорите има право на достъп и до тази информация, което право не се конкурира с правото му по ЗЗЛД и Регламент 2016/679 за достъп до съдържащите се в тях лични данни. Въпреки това тези въпроси остават извън предмета на настоящия съдебен спор, който съобразно премета на жалбата е насочен единствено по твърдението за отказ за предоставяне на данни и копия от документи на основание чл. 15 и чл. 20 от Регламент (ЕС) 2016/679. Предоставените от администратора копия от сключените договори за кредит само в частите, съдържащи лични данни, не преграждат възможността на жалбоподателя да упражни правата, които му предоставя чл. 15 от Регламент 2016/679. В този смисъл ответникът е осигурил възможност на жалбоподателя да реализира и „правото на защита на личните данни“, което му се предоставя с чл. 8, параграф 1 от Хартата на основните права на Европейския съюз …. След като жалбоподателят е получил първоначално екземпляри от сключените договори в цялост, предоставянето им в частичен вид с оглед реализирането на правата му по чл. 15 и чл. 20 от Регламент (ЕС) 2016/679 не се явява в противоречие с целта и смисъла на закона. Иначе казано, след като ответникът е изпълнил задължението си за безплатно предоставяне на субекта на данни на първо копие от личните му данни, предмет на обработване, под формата на сключените договори за кредит, за него в качеството на администратор на тези данни не седи задължение да предоставя повторно тези договори в цялост и съдържание, което няма отношение към упражняване на правата по чл. 15 от Регламент 2016/679“.

Към момента това решение не е влязло в сила. Същото е обжалвано и пред ВАС е образувано адм.д. № 7439/2025 г., насрочено за 16.10.2025 г. До датата на изготвяне на настоящото преюдициално запитване не е постановено решение от ВАС.

22.2. С Решение № 1494 от 01.11.2024 г. на Административен съд - Смолян по адм.д. № 159/2024 г. е прието следното: … Предоставянето на самите документи било на хартия или в електронен вид, не е било задължително, тъй като с писмата са изпратени личните данни, които са в процес на обработка, а освен това тези данни вече са били достъпни за субекта при подписване на договора. Субектът към момента на искането му, 11.04.24г., е разполагал с тези данни и е могъл ефективно да упражни предоставените му с регламента права. Според чл. 12 пар.5 „б“ от Регламента, когато исканията на субекта са явно неоснователни или прекомерни, по-специално поради своята повторяемост, администраторът може да откаже да предприеме действия по искането. В случая искането в тази част законосъобразно е счетено за неоснователно и не е било уважено. Искането в тази част е и прекомерно, поради това че субектът е получил документите по кредитното досие при подписване на договора, а след това е получил и писмата от ответника с личните данни. А последните се явяват транскрипция или реплика на личните данни, съдържащи се в създадените документи, по см. на т.21 от решение по дело С-487/21 на СЕС“.

За това решение не са установени данни да е обжалвано.

В същия смисъл е и Решение № 1316 от 3.10.2024 г. на АдмС - Смолян по адм. д. № 170/2024 г.

22.3. Преобладаващата практика на административните съдилища е изцяло съобразена с практиката на Върховния административен съд и приема, че решението на СЕС по дело С-487/21 се интерпретира в смисъл, че не налага извод за освобождаване на администратора от ангажимента да предостави копие на сключените договори между страните, както и че фактът дали субектът на данни съхранява или не своите копия от договорите за заем, не е относим към задължението на администратора на личните данни съгласно Регламент (ЕС) 2016/679 – така в Решение № 5144 от 14.02.2025 г. на Административен съд - София по адм. д. № 11419/2024 г., Решение № 3311 от 14.07.2025 г. на Административен съд - Благоевград по адм. д. № 773/2025 г. Решение № 5567 от 22.05.2025 г. на Административен съд - Варна по адм. д. № 210/2025 г. и др.

22.4. С Решение № 2016 от 16.05.2025 г. на Административен съд - Стара Загора по адм. д. № 166/2025 г. са изложени и следните мотиви: „Правото на получаване на копие на личните данни е елемент от правото на достъп на субекта на данните, поради което вън от съмнение е, че жалбоподателят има право и трябва да получи копие на договорите за кредит, стандартните европейски формуляри и на всички други носителите на личните му данни, които е поискал. Всъщност няма никакъв смисъл да се посочва в чл. 15 § 3 от ОРЗД, че субектът има право на копие на личните данни, ако се отнася само до това да бъдат копирани части от документите, в които тези данни са вписани, защото предоставянето им не води до никаква възможност да се провери законосъобразното им обработване. Не това е смисълът на Решение по дело С-487/21г на Съда на ЕС. Нещо повече, в чл. 15 § 4 от ОРЗД е посочено, че правото на получаване на копие е ограничено само от неблагоприятно засягане на правата и свободите на другите. Ако съдържанието на чл. 15 § 3 от ОРЗД е копие само на личните данни, без да се предостави копие на документа, съдържащ основанието за обработването им, то тогава границата по чл. 15 § 4 от ОРЗД е без смисъл“.

22.5. В Решение № 5848 от 12.06.2025 г. на Административен съд - Хасково по адм. д. № 802/2025 г. е коментирано и приложението на Закона за потребителския кредит, като е прието следното: „По отношение на доводите, които ответникът излага във връзка със Закона за потребителския кредит следва да се подчертае, че Законът за защита на личните данни представлява специален закон спрямо Закона за потребителския кредит. Предвид това, прилагането на последния в отношенията между страните не изключва по никакъв начин приложното поле на ЗЗЛД и на Регламент (ЕС) 2016/679. В този смисъл, Съдът на ЕС последователно поддържа в своята практика (включително в решенията по дела С-487/21 и С-307/22), че правото на достъп по чл. 15 от ОРЗД се прилага с пълна сила и в отношенията, които произтичат от договори, при които личните данни на субекта се обработват. Същевременно Съдът подчертава, че когато личните данни са неразривно свързани с конкретни документи (каквито са договорите за кредит), субектът на данните има право да получи копие от тях, ако това е необходимо, за да провери законосъобразността на обработването и да упражни ефективно правата си. Тази позиция е напълно съвместима с чл. 12, § 1 от Регламента, който въвежда принципа на прозрачност, и с чл. 15, § 3, който изрично установява правото да се получи копие от личните данни, които са в процес на обработване. Оттук следва да се заключи, че позоваването на Закона за потребителския кредит не може да дерогира или да ограничи правата на субекта на данните по чл. 15 от ОРЗД“.

22.6. С Решение № 2374 от 15.07.2025 г. на Административен съд - Велико Търново по адм. д. № 488/2025 г. е прието следното: „В потвърждение на подхода, че правните норми разкриват своето съдържание като се вземат предвид общите принципи на нормативния акт и целите, които тяхното прилагане трябва да постигне е самото заглавие на Глава трета, озаглавена „Прозрачност и условия“ при упражняване на правата на субекта на данните, която е основната гаранция за правата на субекта на данните, или с други думи администраторът при поискване следва да предостави копие на самото основание, което в случая се явява договора за потребителски кредит. Не може да се приеме, че съдържанието на правото по чл. 15 от Регламента се свежда само и единствено до копие от данните по чл. 15 § 1 б „б" от него, тъй като това се явява превратно и несъответно на правната норма тълкуване. То е довеждане до абсурд на правото на субекта на данните да получи копие стриктно и само до категориите лични данни, но никога да не може да получи информация за целите, тоест основанието за обработване и по този начин ответникът в настоящия случай всъщност изцяло отрича задължението си за отчетност“.

Б. ПРАКТИКА НА СЪДА НА ЕВРОПЕЙСКИЯ СЪЮЗ

На настоящия състав са известни следните решения на Съда на ЕС, които са относими към предмета на спора и частично приложими към неговото разрешаване, но в контекста на интерпретацията на тези решения от преобладаващата съдебна практика в Република България, не спомагат за цялостното му разрешаване.

23. Решение от 12 януари 2023 г. по дело RW, С-154/21, с което е постановено следното:

Член 15, параграф 1, буква в) от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) следва да се тълкува в смисъл, че: предвиденото в тази разпоредба право на достъп на субекта на данните до свързаните с него лични данни включва – когато тези данни са или ще бъдат разкрити пред получатели - задължението на администратора да уведоми това лице за самоличността на тези получатели, освен ако е невъзможно да се установят получателите или администраторът докаже, че исканията за достъп на субекта на данните са явно неоснователни или прекомерни по смисъла на член 12, параграф 5 от Регламент 2016/679, като в тези случаи администраторът може да посочи на субекта на данните само категориите получатели, за които става въпрос.

Относими към настоящия спор са конкретно точки 29, 30, 34 – 38, 44, 46 – 49 от това решение.

24. Решение от 4 май 2023 г. по дело F.F., С-487/21, с което е постановено следното:

1) Член 15, параграф 3, първо изречение от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) трябва да се тълкува в смисъл, че правото да се получи от администратора копие от личните данни, които са в процес на обработване, изисква на субекта на данните да се предостави точна и разбираема реплика на всички тези данни. Това право предполага правото на получаване на копие от извлечения от документи и дори от цели документи или от извлечения от бази данни, които в частност съдържат посочените данни, ако предоставянето на такова копие е задължително, за да може субектът на данните ефективно да упражни предоставените му с този регламент права, като се подчертава, че в това отношение трябва да се вземат предвид правата и свободите на други лица.

2) Член 15, параграф 3, трето изречение от Регламент 2016/679 трябва да се тълкува в смисъл, че съдържащото се в него понятие „информация“ се отнася изключително до личните данни, копие от които администраторът трябва да предостави съгласно първото изречение от този параграф.

25. Решение от 26 октомври 2023 г. по дело FT, С-307/22, с което е постановено следното:

1) Член 12, параграф 5, член 15, параграфи 1 и 3 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) трябва да се тълкува в смисъл, че администраторът е длъжен да изпълни задължението за безплатно предоставяне на субекта на данни на първо копие от личните му данни, предмет на обработване, дори когато основанието на искането е цел, различна от посочените в съображение 63, първо изречение от този регламент.

…;

3) Член 15, параграф 3, първо изречение от Регламент 2016/679 трябва да се тълкува в смисъл, че в контекста на отношенията между лекар и пациент правото да се получи копие от личните данни, които са предмет на обработване, предполага предоставянето на субекта на данните на точна и разбираема реплика на всички тези данни. Това право предполага същият да получи пълно копие на документите, съдържащи се в медицинското му досие, които съдържат по-специално посочените данни, ако предоставянето на такова копие е необходимо, за да може субектът на данните да провери точността и пълнотата им, както и за да се гарантира разбираемостта им. Що се отнася до данните за здравословното състояние на субекта на данните, това право във всички случаи включва правото да получи копие от данните от медицинското му досие, съдържащо информация като диагнози, резултати от прегледи, становища на лекуващите лекари и проведени лечения или извършени операции по отношение на него.

Относими към настоящия спор са конкретно точки 30 – 36, 39 – 42, 48, 49, 70 – 75 от това решение.

26. Решение от 27 февруари 2025 година по дело СК, С-203/22, с което СЕС е постановил следното:

1) Член 15, параграф 1, буква з) от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) трябва да се тълкува в смисъл, че при автоматизирано вземане на решения, включително профилиране, по смисъла на член 22, параграф 1 от този регламент, субектът на данни може да изисква от администратора като „съществена информация относно използваната логика“ последният да му обясни чрез релевантна информация и в кратка, прозрачна, разбираема и леснодостъпна форма процедурата и принципите, конкретно приложени за автоматизираното използване на свързаните с това лице лични данни с цел въз основа на тези данни да се получи определен резултат, като например кредитен профил.

2) Член 15, параграф 1, буква з) от Регламент 2016/679, трябва да се тълкува в смисъл, че в хипотезата, в която администраторът счита, че информацията, която трябва да се предостави на субекта на данните съгласно тази разпоредба, съдържа защитени с този регламент данни на трети лица или търговски тайни по смисъла на член 2, точка 1 от Директива (ЕС) 2016/943 от 8 юни 2016 година относно защитата на неразкрити ноу-хау и търговска информация (търговски тайни) срещу тяхното незаконно придобиване, използване и разкриване, този администратор е длъжен да съобщи тази информация, за която се твърди, че е защитена, на компетентния надзорен орган или съд, който трябва да претегли съответните права и интереси, за да определи обхвата на правото на достъп на субекта на данните, предвидено в член 15 от този регламент.

Относими към настоящия спор са конкретно точки 53 – 56, 58-64 от това решение.

27. Относимо към автоматизираното вземане на решения, вкл. профилирането е и Решение на СЕС от 7 декември 2023г. съединени дела C26/22 и C64/22.

VІ. ДОВОДИ И ПРАВНИ ИЗВОДИ НА СТРАНИТЕ

28. Жалбоподателят твърди, че във връзка със сключени между него и „ВИВА КРЕДИТ“ ООД договори за заем е предоставил свои лични данни, които към момента се обработват, тъй като „сроковете по Регламент (ЕС) 2016/679 не са изтекли“. Твърди, че отправените искания до администратора на лични данни от 22.04.2025 г. и 09.05.2025 г. имат характер на заявление по смисъла на чл. 37б, ал.1 ЗЗЛД и съдържат реквизитите по чл. 37в ЗЗЛД, като постановеният отказ нарушава правата му по член 14, параграф 1, буква в) от Регламента, както и правото му на защита на личните данни по член 8, параграф 1 ХОПЕС.

28.1. Систематизирани, твърденията на жалбоподателя са следните:

— администраторът целенасочено не му изпраща информация за всички сключени договори, а предоставеният договор е непълен;

— без да му бъдат предоставени пълни копия договорите за заем е в невъзможност да се увери дали всички изисквания на Регламента са спазени;

— отказът да му бъдат предоставени пълни копия от договорите за заем е в нарушение на чл. 15 и чл. 20 от Регламента, с което се възпрепятства правото му да се увери дали личните му данни се обработват законосъобразно;

— погасяването на договорите за кредит не означава, че личните му данни повече не се обработват, тъй като съхранението на данни е също обработка на данни;

28.2. Искането му до съда е за отмяна на отказа и да му бъдат предоставени пълни копия от погасените договори за кредит, с всички техни приложения и цялата налична информация в тях, без да се заличават данни, тъй като само по този начин може да се увери, че неговите данни се обработват законосъобразно.

29. Жалбоподателят се противопоставя на намерението на настоящия съдебен състав за отправяне на преюдициално запитване до СЕС по следните съображения:

— не са налице предпоставките за това, тъй като СЕС вече се е произнесъл по въпроса за обхвата на понятието „копие“ по чл. 15, § 3 от Регламент (ЕС) 2016/679 с Решение от 26.10.2023 г. по дело С-307/22;

— практиката на ВАС е последователна в идентични казуси и е в унисон с практиката на СЕС;

— дори да се приеме съществуването на някакво различие в практиката на съдилищата, преюдициално запитване следва да отправи единствено касационната инстанция, тъй като именно нейното решение е окончателно и необжалваемо;

— отправянето на запитване от първоинстанционния съд би било преждевременно и нецелесъобразно, особено с оглед замисъла на административното производство — да осигурява на страните срочност и ефективност при извършване на процесуалните действия;

— предоставянето на договорите за кредит при сключването им произтича от Закона за потребителския кредит, а не от Регламент (ЕС) 2016/679. По изложените съображения моли съдът да не отправя преюдициално запитване до СЕС;

30. Ответната страна – „ВИВА КРЕДИТ“ АД, оспорва жалбата по следните съображения:

— дружеството е предприело необходимите мерки за предоставяне на информация на субекта на лични данни, осъществило е с него комуникация в достъпна форма и му е съдействало своевременно за упражняване на правата му;

— в отговора си дружеството е осигурило достъп до личните данни на Р., които в действителност са били обработвани, като е предоставило и копие от носители, които съдържат тези данни;

— исканията за предоставяне на информация са обработени съобразно политиката за съхранение на лични данни, като е оповестен пет годишния срок за съхранение на информацията, който не е обвързан с Регламента, а с идентификация по Закона за мерките против изпирането на пари;

— правото по чл. 15 от Регламента представлява извадка от обработваните от администратора данни и не следва да се отъждествява с предоставянето на копия на документи;

— представянето на копия – точна реплика на оригиналния договор за кредит, анексите и други документи, е административна услуга и в уведомлението от 29.04.2025 г. е дадена насока как субектът може да ги получи;

— изисканите документи са били обект на съдебен спор и са били предоставени от субекта в търсене на други негови права, което доказва, че достъпът до документите е бил експлоатиран по други дела;

— в случая са предоставени данни и документи по последно прекратения договор от 09.09.2023 г., като дори да са налице други прекратени договори за кредит, съгласно задълженията по ЗМИП администраторът съхранява едни и същи данни по всеки договор;

— съгласно решение на СЕС по дело С-487/21 понятието „копие“ на лични данни не означава копие на целия документ, поради което е налице ясна граница между правото на достъп до лични данни и задължението за предоставяне на документи;

31. Ответната страна счита, че са налице основания за отправяне на преюдициално запитване, като излага следните доводи относно необходимостта от сезиране на СЕС:

— тълкуването се налага поради налагащото се превратно разбиране на точки 41 и 45 от решението по дело С-487/21, съответно на точки 74 и 75 от решението по дело С-307/22;

— ако се елиминира логиката, вложена в цитираните решения на СЕС, то Регламентът се превръща в способ за постигане на други резултати, а правото на достъп се експлоатира като процедура за снабдяване с копия от документи;

— формалното позоваване на аргументите в решенията на СЕС, за да се получат копия от документи в цялост, се използва за цели, които нямат нищо общо с правото на защита на личните данни, а са свързани с реализирането на притезателни облигационни права на заявителите;

— произнасяне на СЕС е необходимо за да се намери баланс между поверителността на документацията от една страна и правото на защита на личните данни, от друга, като се предостави само онази съпътстваща информация – извлечение от договорите на субекта на данни (чиито основен предмет не е обработка на лични данни), която е значима с оглед естеството и начина на самата обработка, но не е относима към останалите условия на договора, несвързани с обработката на лични данни. В частност е необходимо да се уточни какво означава, че „предоставянето на такова копие е задължително, за да може субектът на данните ефективно да упражни предоставените му с Регламента права“;

— в практиката на дружеството всички искания за получаване на пълни копия от документи, имат за краен резултат завеждане на дела, в които се заявяват парични претенции към администраторите на лични данни по същите тези документи, получени формално за „защита на лични данни“. На практика защитата на личните данни се превръща в средство за реализиране на други права, които нямат нищо общо с предмета на Регламента;

— обработката на лични данни за даден субект не е редно да се отъждествява и приравнява на това да бъде предоставено копие от сключения със субекта договор за заем и неговите приложения. Договорът, като носител на лични данни, съдържа определен обем лични данни, които се отнасят към един конкретен момент – този на установяване на договорни отношения и не би могъл със самото си предоставяне да обясни целия процес на обработка, основанията, целите и средствата, и т.н;

VІІ. МОТИВИ ЗА ОТПРАВЯНЕ НА ПРЕЮДИЦИАЛНОТО ЗАПИТВАНЕ:

32. В производството не е спорно, че жалбоподателят и ответното дружество имат качеството, съответно на субект на данни и администратор на лични данни, както и че личните данни на жалбоподателя са предоставени/събрани и обработвани във връзка със сключени договори за заем, задълженията по които към момента са платени и договорите са приключени. Не е спорно и че „ВИВА КРЕДИТ“ АД е правоприемник на „ВИВА КРЕДИТ“ ООД – заемодател по заеми, предоставени през 2021г. и 2022г., както и че в това качество дружеството е сезирано от жалбоподателя със заявления по чл. 37б, ал.1 ЗЗЛД (основно и допълнително) – изпълняващи изискванията на чл. 37в, ал.1 ЗЗЛД, за упражняване на правата по член 15 и член 20 от Регламент (ЕС) 2016/679 – според изричното указание в искането.

33. Спорът между страните е формиран с въпросите дали в случаите, когато договорите за заем са приключени и архивирани за целите и срока по ЗМИП, правата по член 15, параграф 3 и член 20, параграф 1 ОРЗД включват и правото на субекта винаги при редовно подадено заявление да получава освен информацията по параграф 1 и копие от личните данни, които са в процес на обработка, и пълно копие от договорите за заем, или в този случай се касае за административна услуга – копиране на носители на лични данни, която няма общо с правата на достъп и на преносимост, и която не се обхваща от защитата по член 79 от ОРЗД. Разрешаването на тези спорни въпроси е пряко относимо на първо място към преценката за допустимостта на оспорването, доколкото производството по чл. 39, ал.1 ЗЗЛД е за реализиране на съдебна защита при нарушаване на правата на субектите по Регламент (ЕС) 2016/679.

Спорът попада изцяло в приложното поле на ОРЗД, което налага и необходимостта от отправяне на настоящото преюдициално запитване, като съображенията на настоящия съдебен състав са следните:

34. В член 15, параграф 1 ОРЗД са определени предметът и приложното поле на правото на достъп, признато на субекта на данните — да получи от администратора достъп до личните си данни и до информацията, посочена в точки a) - з) от този параграф. Гарантирането на това право е насочено към постигане на целите, преследвани от ОРЗД, които се състоят, както следва от съображения 10 и 11, в това да се осигури последователно и високо равнище на защита на физическите лица в рамките на Европейския съюз, както и да се укрепят и уточнят правата на субектите на данни.

35. Предвиденото в член 15 ОРЗД право на достъп трябва да позволи на субекта на данните да провери дали свързаните с него данни са точни и дали се обработват законосъобразно. От друга страна, копието от обработваните лични данни, което администраторът трябва да предостави по силата на член 15, параграф 3, първо изречение от ОРЗД, трябва да има всички характеристики, които позволяват на субекта на данните да упражни ефективно правата си по този регламент, и следователно трябва да възпроизвежда изцяло и точно тези данни.

36. В съответствие с принципа на прозрачност, на който се позовава съображение 58 от ОРЗД и който изрично е закрепен в член 12, параграф 1 от този регламент, всяка информация, адресирана до субекта на данните, трябва да е кратка, прозрачна, разбираема и леснодостъпна, на ясен и прост език. Освен това, ако е необходимо обработваните лични данни да се поставят в съответния контекст, за да се гарантира, че така предоставената информация е разбираема, възпроизвеждането на извлечения от документи и дори на цели документи или на извлечения от бази данни, които в частност съдържат личните данни, които са в процес на обработване, може да се окаже задължително.

37. Така с Решение от 4 май 2023 г. по дело С-487/21, точки 32 и 33, и с Решение от 26 октомври 2023 г. по дело С-307/22, точки 72 и 73, Съдът на ЕС е приел, че терминът „копие“, употребен в разпоредбата на член 15, параграф 3 от Регламент (ЕС) 2016/679 се отнася не до документа като такъв, а до личните данни, които той съдържа и които трябва да са пълни. Следователно копието трябва да съдържа всички лични данни, които са в процес на обработване. Освен това копието от личните данни, които са в процес на обработване, което администраторът е длъжен да предостави съгласно член 15, параграф 3, изречение първо от Регламента, трябва да има всички характеристики, които позволяват субекта на данните да упражни ефективно правата си по регламента и следователно трябва да възпроизвежда изцяло и точно тези данни.

38. Така даденото вече тълкуване от СЕС е пряко относимо към спора по настоящото производство и принципно позволява неговото разрешаване - при изпълнение на съответните условия, като настоящият съдебен състав споделя разрешението в цитираните по-горе Решение № 4923/30.05.2025г. по адм.д. № 663/2025 г. на Административен съд – Пловдив и Решение № 1494/01.11.2024г. по адм.д. № 159/2024 г. на Административен съд – Смолян.

39. Тези съдебни решения обаче са изолирани, тъй като в практиката си Върховният административен съд – действащ като касационна инстанция и преобладаващата част от съставите в административните съдилища приемат, че решението на СЕС по дело С-487/21 следва да се интерпретира в смисъл, че не налага извод за освобождаване на администратора от ангажимента да предостави копие на сключените договори между страните, както и че фактът дали субектът на данни съхранява или не своите копия от договорите за заем не е относим към задължението на администратора на личните данни съгласно Регламент (ЕС) 2016/679.

40. Настоящият съдебен състав обаче има съмнения в правилността на така даденото тълкуване, защото като резултат поставя знак на равенство между „копие на документ“ и „копие на лични данни“, без да се извършва какъвто и да било анализ и при липсата на всякаква обосновка — че пълното копие на договора за заем в конкретния случай се явява контекстът, в който се съдържат обработваните данни и който администраторът дължи на субекта за да реализира ефективно правата си по ОРЗД. Без такъв анализ и обосновка – въз основа на които да се изведе извод, че без предоставянето на пълно копие от договора за заем субектът не може да упражни ефективно правата си по ОРЗД, на практика се стига до формулиране и възлагане на ново задължение за администратора, което нито следва пряко от ОРЗД, нито от практиката на СЕС по неговото прилагане.

41. Ето защо настоящият съдебен състав преценява, че в интерес на правната и практическа сигурност на физическите лица, икономическите оператори и публичните органи (арг. от съображение 7 на ОРЗД), за да се гарантира последователно и високо ниво на защита на физическите лица и се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни (арг. от съображение 10 на ОРЗД), е необходимо тълкуване на разпоредбите на член 15, параграф 3 и член 20, параграф 1, в контекста на отношенията между кредитор и кредитополучател по договор за потребителски кредит, и в светлината на вече даденото от СЕС (по дела С-487/21 и С-307/22) тълкуване на понятието „копие“.

42. Разбирането на настоящият съдебен състав, основано на практиката на СЕС е, че тълкуването на разпоредби от правото на Съюза изисква да се вземе предвид не само техният текст, но и контекстът, в който тези разпоредби се вписват, както и целите на правната уредба, от която те са част (решение от 15 март 2022г., С-302/20, т.63; решение от 12 януари 2023г., С-154/21, т.29). Освен това, когато една разпоредба от правото на Съюза подлежи на различни тълкувания, предимство трябва да се отдаде на това, което може да запази нейното полезно действие (решение от 7 март 2018г., С-31/17, т.41; решение от 12 януари 2023г., С-154/21, т.29). При спазването на тези принципи следва да се интерпретират и решенията на Съда на ЕС, с които се тълкуват разпоредби от правото на Съюза.

43. Както следва от разпоредбата на член 12, параграфи 1 и 5, членове 13 и 14 от ОРЗД се отнасят за информацията, предоставяна при събиране на лични данни от субекта на данните, съответно предоставяна когато личните данни идват от субекта на данните, а членове 15 – 22 се отнасят до комуникацията, която се отнася до обработването на данните.

44. С Решение по дело С-307/22, точки 39 – 41 СЕС е приел, че от гледна точка на контекста, в който се вписват горните разпоредби, член 12 от ОРЗД се отнася по-специално до принципа на прозрачност, посочен в член 5, параграф 1, буква а) и установява общи задължения на администратора по отношение на прозрачността на информацията и съобщенията, както и условията за упражняването на правата на субекта на данни. Член 15 от ОРЗД, който се отнася до информацията и достъпа до лични данни, допълва изискванията за прозрачност на ОРЗД, като предоставя на субекта на данните право на достъп до неговите лични данни и право на информация относно обработването на тези данни.

45. От друга страна и както следва от съображение 59 от ОРЗД, правата на субектите на данни съгласно регламента са свързани по-специално с достъпа до данните, тяхното коригиране или изтриване, и упражняването на правото на възражение. В този смисъл и разпоредбата на член 4 от ОРЗД предвижда, че правото на защита на личните данни не е абсолютно право, а трябва да бъде разглеждано във връзка с функцията му в обществото и да бъде в равновесие с другите основни права съгласно принципа на пропорционалност.

46. Както следва и от съображения 10 и 11 от ОРЗД, целта на регламента е да се гарантира последователно и високо равнище на защита на физическите лица в рамките на Съюза, както и да се укрепят и уточнят правата на субектите на данни. Именно за постигането на тази цел член 15, параграф 1 гарантира правото на субекта на данните право на достъп до личните му данни (решение от 22 юни 2023г., С-579/21, т.57; решение от 26 октомври 2023г., С-307/22).

47. С Решение от 4 май 2023 г. по дело С-487/21 Съдът на ЕС е постановил, че член 15, параграф 3, първо изречение от Регламент (ЕС) 2016/679 трябва да се тълкува в смисъл, че правото да се получи от администратора копие от личните данни, които са в процес на обработване, изисква на субекта на данните да се предостави точна и разбираема реплика на всички тези данни. Това право предполага правото на получаване на копие от извлечения от документи и дори от цели документи или от извлечения от бази данни, които в частност съдържат посочените данни, ако предоставянето на такова копие е задължително, за да може субектът на данните ефективно да упражни предоставените му с този регламент права, като се подчертава, че в това отношение трябва да се вземат предвид правата и свободите на други лица. По отношение на член 15, параграф 3 от ОРЗД СЕС е постановил, че същия трябва да се тълкува в смисъл, че съдържащото се в него понятие „информация“ се отнася изключително до личните данни, копие от които администраторът трябва да предостави съгласно първото изречение от този параграф.

48. В точка 32 от решението по дело С-487/21 СЕС е приел, че член 15 от ОРЗД няма как да се тълкува в смисъл, че в параграф 3, първо изречение от него предвижда право, отделно от залегналото в параграф 1 от него, както и че терминът „копие“ се отнася не до документа като такъв, а до личните данни, които той съдържа и които трябва да са пълни. Следователно копието трябва да съдържа всички лични данни, които са в процес на обработване.

49. В точки 38 и 39 от решението по дело С-487/21 СЕС е приел, че администраторът е длъжен да предприеме подходящи мерки, за да предостави на субекта на данните цялата информация, посочена, наред с другото, в член 15 от ОРЗД, в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език, и че информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства, освен ако субектът на данните не поиска тя да бъде предоставена устно. Тази разпоредба, израз на принципа на прозрачност, има за цел да гарантира, че субектът на данните е в състояние напълно да разбере изпратената му информация. Ето защо копието от личните данни, които са в процес на обработване, което администраторът е длъжен да предостави съгласно член 15, параграф 3, първо изречение от ОРЗД, трябва да има всички характеристики, които позволяват на субекта на данните да упражни ефективно правата си по този регламент, и следователно трябва да възпроизвежда изцяло и точно тези данни.

50. Така даденото тълкуване е потвърдено в последвалото Решение от 26 октомври 2023 г. по дело С-307/22. В точки 74 и 75 от това решение е прието, че за да се гарантира, че предоставената от администратора информация е лесна за разбиране, както изисква член 12, параграф 1 от ОРЗД във връзка със съображение 58 от този регламент, възпроизвеждането на извлечения от документи, и дори на цели документи, които в частност съдържат личните данни в процес на обработване, може да се окаже задължително, ако ситуирането на обработваните данни в контекст е необходимо, за да се гарантира тяхната разбираемост. Ето защо правото да се получи от администратора копие от личните данни, които са в процес на обработване, изисква на субекта на данните да се предостави точна и разбираема реплика на всички тези данни. Това право предполага правото на получаване на копие от извлечения от документи и дори от цели документи, които в частност съдържат посочените данни, ако предоставянето на такова копие е задължително, за да може субектът на данните ефективно да упражни предоставените му с този регламент права.

51. Както следва от разпоредбата на член 12, параграф 2 от ОРЗД, тези права на субекта са всъщност правата по членове 15 – 22 ОРЗД, а именно: да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и информацията по букви а) – з) от член 15, параграф 1; да получи копие от личните данни, които са в процес на обработване (член 15, параграф 3); на коригиране (член 16); на изтриване (член 17); на ограничаване на обработването (член 18); на преносимост на данните (член 20); на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на член 6, параграф 1, буква д) или буква е), включително профилиране, основаващо се на посочените разпоредби (член 21); правото да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен (член 22).

52. Именно в този контекст, а не изолирано трябва да се преценява и правото на субекта да получи пълно копие от сключения с администратора договор, въз основа на който са събрани данните, а именно за всеки конкретен случай да се държи сметка как изискваното от администратора копие на този договор, ще гарантира правото на субекта да проверява верността на данните, дали се обработват законосъобразно, да иска тяхното коригиране или изтриване, вкл. в случаите, в които към момента на подаване на искането до администратора – поради изтичане срока на договорите, същият само съхранява договорите в архива си, за срока и целите на ЗМИП.

53. Безспорно в случая съхранението (архивирането) на данните е в обществен интерес – за изпълнение на задължение на администратора при прилагане на мерките срещу изпирането на пари, поради което и по аргумент от съображения 50 и 62 от ОРЗД, и на член 14, параграф 5, буква б) от ОРЗД, приложими са гаранциите по член 89, параграф 1 ОРЗД – спазването на принципа на свеждане на данните до минимум, без на администратора да се налага задължение предоставяне на информация, когато субектът на данни вече разполага с нея.

54. Както е прието и в Насоки относно прозрачността съгласно Регламент 2916/679 на Работната група по чл.29, приети на 29 ноември 2017г. (17/BG WP260 rev.01), точка 8, изискването предоставянето на информация и комуникацията със субектите на данни да се извършва в „кратка и прозрачна“ форма означава, че администраторите следва да представят информацията/комуникацията ефикасно и сбито, за да се избегне информационна умора. Информацията трябва да бъде ясно разграничена от друга информация, която не е свързана с поверителността, като например договорни клаузи или условия за използване.

55. В този смисъл настоящият състав счита, че тълкуване в смисъл — че при всяко подадено редовно заявление по чл. 37б, ал.1 ЗЗЛД правото на субекта на данните по член 15, параграф 3 ОРЗД изисква от администратора винаги да предоставя и копие от договора, въз основа на който са събрани данните — не кореспондира с принципите и целите на ОРЗД, и с контекста на разпоредбите му, които регламентират правото на достъп.

56. Ето защо настоящият съдебен състав има нужда да се изясни: Разпоредбите на член 8 от ХОПЕС, член 12, параграф 1 и параграф 5, член 15, параграф 3 от Регламент (ЕС) 2016/679 ,тълкувани във връзка със съображения 58, 60 – 63 от същия регламент и с решения на Съда на ЕС по дела C-487/21 и С-307/22, трябва ли да се разбират в смисъл, че в контекста на приключили отношения между заемодател и заемател по договор за паричен заем, правото на субекта на данните да получи копие от личните данни, които са предмет на обработване под формата на съхранение (архивиране) за срока и целите за прилагане на мерките срещу изпирането на пари, предполага задължение на администратора при всяко искане да предоставя и пълно копие от договора за заем, във връзка с който е дадено съгласието за обработване на данните?

57. На следващо място настоящият състав преценява, че жалбоподателят неправилно обосновава твърдяното право да получи пълно копие от приключилите и архивирани договори за кредит с правото на преносимост по член 20, параграф 1 от ОРЗД. Вярно е, че правото на преносимост допълва правото на достъп, но преносимостта се отнася само до данните, които следва да бъдат получени „в структуриран, широко използван и пригоден за машинно четене формат“, поради което — както се посочва и в разработените от работната група за защита на личните данни по чл.29 Насоки относно правото на преносимост на данните, приети на 13 декември 20216г. (16/BG WP 242 rev.01) — правото на преносимост на данните се прилага само ако обработването на данните „става по автоматичен начин“ и следователно не обхваща повечето досиета на хартиен носител.

58. Ето защо настоящият състав се нуждае от отговор на въпроса: Правото на преносимост по чл.20, параграф 1 от ОРЗД следва ли да се тълкува в смисъл, че включва и правото на субекта да получи пълно хартиено копие от договорите за заем, при сключването на които е предоставял свои лични данни, при положение че договорите са приключени и събраните/обработени въз основа на тях данни се съхраняват от администратора единствено за целите и срока за прилагане на мерките срещу изпирането на пари?

59. От друга страна, за да се гарантира, че предоставената от администратора информация е лесна за разбиране, както изисква член 12, параграф 1, във връзка със съображение 58 от Регламента, възпроизвеждането на извлечения от документи, и дори на цели документи, които в частност съдържат личните данни в процес на обработване, може да се окаже задължително, ако ситуирането на обработваните данни в контекст е необходимо, за да се гарантира тяхната разбираемост – т.41 от решението по дело С-487/21 и т.74 от решението по дело С-307/22, с уточнението, съответно в т.45 и 75 от посочените решения – че предоставянето на такова копие от документи е задължително, за да може субектът на данните ефективно да упражни предоставените му от регламента права.

60. Както посочва и генералният адвокат [интернет адрес] в заключението си по дело С-307/22, представено на 20 април 2023 г., точка 77 „В крайна сметка ОРЗД е законодателен акт не относно достъпа до документи, а относно защитата на данните. Следователно основната му цел е да осигури достъп до данни, а не до документи, които съдържат данни. Макар че в някои случаи второто може по необходимост да предполага първото, това невинаги е така.“.

61. В точка 78 от заключението си генералният адвокат приема, че в съответствие с принципа на прозрачност и с изискването информацията да се предпоставя в „кратка, прозрачна, разбираема и лесно достъпна форма“, не е изключено, що се отнася до съдържащите се в медицинските досиета документи, правото на получаване на копие от данните, които са в процес на обработване, често изисква и право на получаване на копие (частично или пълно) от оригиналните документи. Особено когато става въпрос за резултати от анализи или тестове (които обикновено включват многобройни технически данни и/или изображения), ако се позволи на лекарите (или на техния персонал) да обобщават или компилират тези данни, за да ги предоставят в обобщен вид, това може да създаде риск от пропускане или неправилно предаване на някои релевантни данни или във всеки случай да затрудни субектите на данни (т.е. пациентите) да проверят верността и пълнотата им.

62. В настоящия случай обаче не става въпрос за пълно копие на медицинска или друга специфична по съдържание документация, която при обобщаването й за целите на ОРЗД би могла да се интерпретира различно и по начин, че субектът на данните да не може както да получи достъп до данните си, така и да защити правата си по ОРЗД.

63. Случаят касае искане за предоставяне на пълно копие от договор за заем, въз основа на който са събрани данните, извадка от който, в частта на обработваните лични данни, е предоставена на жалбоподателя. Частичното копие, предоставено въз основа на искането, а не пълното копие на вече прекратения договор за заем, на пръв поглед по никакъв начин не препятства субекта на данните в упражняване на правата му по ОРЗД, т.к. администраторът му е предоставил копие от обработваните лични данни в синтезиран и разбираем вид, поради което липсата на пълно копие от договора за заем, по никакъв начин не поражда съмнение във верността на предоставеното копие от данните.

64. От друга страна обаче в отговора си до субекта от 29.05.2025г. администраторът изрично признава, че за оценката на кредитоспособността и определяне на размера на кредита субектът е бил подложен на профилиране посредством алгоритми за машинно обучение, които са оценявали вероятността от рискови събития като неплащане и измама. Нищо от съдържанието на представения по делото договор за заем не указва, каква част от неговите клаузи (съдържание) е последица от извършеното профилиране. Включително по отношение на годишния лихвен процент, дневния лихвен процент и годишния процент на разходите липсва указание, че са определени по размер съобразно извършената посредством профилирането оценка на риска. В отговора до субекта също липсва уточнение коя част от клаузите в договора са пряка последица от профилирането. Дружеството единствено посочва, че профилирането е използвано за оценка кредитоспособността и определяне на размера на кредита, който може да бъде отпуснат. Въпреки това, поради извършеното профилиране на субекта на данните е възможно цялото съдържание на договора да се явява контекстът, който администраторът дължи в отговор на правото на субекта по член 15, параграф 3 от ОРЗД.

Ето защо настоящият съдебен състав иска да разбере:

— Как принципите на прозрачност, минималност и точност по член 5, параграф 1, букви а), в) и г) от ОРЗД, и правата по член 15, параграфи 1 и 3, и по член 20, параграф 1 ОРЗД — на достъп и преносимост на личните данни, които са в процес на обработка от вида съхранение (архивиране) за целите и срока за прилагане на мерките срещу изпирането на пари — се отнасят към задължението на администратора да предостави на субекта освен копие на данните, и пълно копие от договора за заем, при условие че: 1. същият е сключен след профилиране на субекта чрез алгоритми за машинно обучение и 2. администраторът доказва, че субектът вече разполага с него?

— В случай че задължението за предоставяне на пълно копие на договора за заем не е абсолютно, данните се обработват само под формата на съхранение (архивиране) за целите и срока за прилагане на мерките срещу изпирането на пари, и субектът на данни твърди, че без пълното копие на договора не може да разбере контекста и въздействието от обработването, при какви обективни критерии и условия националният съд следва да извърши преценка дали администраторът има задължение да предостави пълно копие на договор за заем?

65. В контекста на спора между страните, включително за преценката за допустимост на производството по съдебно обжалване, е важно да се посочи, че в случая отказът на администратора да предостави пълно копие на договора за заем е мотивиран с факта, че само предоставената на субекта „извадка“ съдържа лични данни, а останалите клаузи от договора не попадат в обхвата на правото и следователно правото да се получи пълно копие на приключилите договори е административна услуга.

66. Никъде обаче в отговора на администратора не е посочено по какви критерии е извършена преценката, че не цялото съдържание на договора е поверително, съответно — че искането на субекта е прекомерно и/или повтарящо се. Представени са обаче доказателства, от които може да се направи обоснован извод, че субектът на данните вече разполага с поне едно пълно копие на последния договор за заем, както и е дадена обосновка – че правилата по ОРЗД за снабдяване с лични данни и копия на документи, се използват от субекта за иницииране на съдебни процедури срещу администратора. Упражняването обаче на други права — гражданскоправни притезания, може ли да се използва като аргумент за отказ да се предостави исканата информация/копия на документи, съответно може ли да обоснове извод, че исканията на субекта са прекомерни? Изобщо в подобна ситуация как и по какви критерии следва да бъде оценявано твърдението на субекта на данни, че непредставянето на пълното копие на договора препятства упражняването на правата му ОРЗД?

67. Ето защо настоящият съдебен състав има нужда от отговор и на въпроса: В обхвата на защитата по член 79 от ОРЗД и член 8 от ХОПЕС, преценката на администратора — че договорът за заем има клаузи, които остават извън обхвата на правото по член 15, параграфи 1 и 3, както и че искането е прекомерно и повтарящо се, подлежи ли на съдебен контрол и по какви обективни критерии/условия следва да се осъществи този контрол от националния съд?

По изложените съображения и на основание чл.267 ДФЕС, Варненският административен съд, VIII - ми състав

ОПРЕДЕЛИ:

ОТПРАВЯ преюдициално запитване до Съда на Европейския съюз съгласно чл.267, първи параграф, буква „б“ от Договора за функциониране на Европейския съюз, със следните въпроси:

1. Разпоредбите на член 8 от ХОПЕС, член 12, параграф 1 и параграф 5, член15, параграф 3 от Регламент (ЕС) 2016/679, тълкувани във връзка със съображения 58, 60 – 63 от същия регламент и с решения на Съда на ЕС по дела C-487/21 и С-307/22, трябва ли да се разбират в смисъл, че в контекста на приключили отношения между заемодател и заемател по договор за паричен заем, правото на субекта на данните да получи копие от личните данни, които са предмет на обработване под формата на съхранение (архивиране) за срока и целите за прилагане на мерките срещу изпирането на пари, предполага задължение на администратора при всяко искане да предоставя и пълно копие от договора за заем, във връзка с който е дадено съгласието за обработване на данните?

2. Правото на преносимост по чл.20, параграф 1 от ОРЗД следва ли да се тълкува в смисъл, че включва и правото на субекта да получи пълно хартиено копие от договорите за заем, при сключването на които е предоставял свои лични данни, при положение че договорите са приключени и събраните/обработени въз основа на тях данни се съхраняват от администратора единствено за целите и срока за прилагане на мерките срещу изпирането на пари?

3. Как принципите на прозрачност, минималност и точност по член 5, параграф 1, букви а), в) и г) от ОРЗД, и правата по член 15, параграфи 1 и 3, и по член 20, параграф 1 ОРЗД — на достъп и преносимост на личните данни, които са в процес на обработка от вида съхранение (архивиране) за целите и срока за прилагане на мерките срещу изпирането на пари — се отнасят към задължението на администратора да предостави на субекта освен копие на данните, и пълно копие от договора за заем, при условие че: 1. същият е сключен след профилиране на субекта чрез алгоритми за машинно обучение и 2. администраторът доказва, че субектът вече разполага с него?

4. В случай че задължението за предоставяне на пълно копие на договора за заем не е абсолютно (не се предполага), данните се обработват само под формата на съхранение (архивиране) за целите и срока за прилагане на мерките срещу изпирането на пари, и субектът на данни твърди, че без пълното копие на договора не може да разбере контекста и въздействието от обработването, при какви обективни критерии и условия националният съд следва да извърши преценка дали администраторът има задължение да предостави пълно копие на договор за заем?

5. В обхвата на защитата по член 79 от ОРЗД и член 8 от ХОПЕС, преценката на администратора — че договорът за заем има клаузи, които остават извън обхвата на правото по член 15, параграфи 1 и 3, както и че искането е прекомерно и повтарящо се, подлежи ли на съдебен контрол и по какви обективни критерии/условия следва да се осъществи този контрол от националния съд?

СПИРА на основание член 631, алинея 1 от Гражданския процесуален кодекс производството по делото до произнасяне на Съда на Европейския съюз.

Определението не подлежи на обжалване!