Решение по дело №258/2025 на Административен съд - Стара Загора

Производството е по реда на чл. 145 и сл. от Административнопроцесуалния кодекс (АПК) във връзка с чл. 39, ал. 1 от Закона за защита на личните данни (ЗЗЛД).

Образувано е по жалба на С. В. В. [ЕГН], с адрес [населено място], [жк], ет.7, ап.25 подадена чрез пълномощника й адв. М. М., срещу мълчаливия отказ на „АЙ ТИ ЕФ ГРУП“ АД ЕИК *********, да й предостави информация относно това дали личните й данни са обработвани от дружеството, да посочи целите на обработването, категориите лични данни, които се обработват, получателите и категориите получатели, пред които са разкрити тези данни, да представи копие на всички носители на лични данни на В. Д., които са обработвани за периода от 06.02.2019 г. до 06.02.2025 година.

В жалбата са изложени доводи за незаконосъобразност на оспорения мълчалив отказ по съображения за постановяването му в нарушение и при неправилно приложение на материалния закон. Твърди, че във връзка с подадено от него заявление от 07.02.2025 година не бил получен отговор от длъжностното лице по защита на лични данни на „АЙ ТИ ЕФ ГРУП“ АД ЕИК *********. Според жалбоподателя с тези действия на ответника е ограничено правото му да получи информация за обработваните данни, тъй като, без да разгледа всички носители на личните му данни, нямало как да бъде сигурен в законосъобразното обработване на данните. Отделно, без да се даде конкретен отговор какви категории данни се обработват и какви данни точно – той няма правна възможност да иска корекция или заличаването им. Ако не бъдат предоставени носителите на лични данни, заедно със систематизирана информация относно това как се използват данните му, няма как тя да разбере дали последните се обработват легитимно, при положение че не знае на какво основание се обработват те и дали има такова основание изобщо. С молба от 08.04.2025 година се уточнява , че тя е получила част от исканата информация от ответника, но не й били предоставени копия от носителите на лични данни /договори за заем, искания за кредит и други/, поради което се уточнява, че обжалва изричния отказ те да й бъдат предоставени. С подробно изложени в жалбата доводи за незаконосъобразността на оспорения отказ моли съда да постанови решение, с което да задължи „АЙ ТИ ЕФ ГРУП“ АД ЕИК ********* да предостави в едноседмичен срок на С. В. В., [ЕГН], да представи копие на всички носители на личните данни на жалбоподателя, които са обработвани за периода от 06.02.2019 година до 06.02.2025 година.

Ответникът по жалбата – „ АЙ ТИ ЕФ ГРУП“ АД ЕИК ********* в писменото си становище оспорва жалбата като недопустима, тъй като след завеждане на делото били предоставил на жалбоподателката исканата информация, като твърди, че тъй като с договор за цесия е прехвърлил вземането по договор за кредит № 360567, сключен с В., на трето лице, поради което не може да се предостави исканата информация.

Въз основа на събраните по делото доказателства съдът приема за установено следното от фактическа страна:

На 07.02.2025 г. жалбоподателката, чрез пълномощника си адв. М. М., е подал по електронен път искане до„ АЙ ТИ ЕФ ГРУП“ АД , с което на основание чл.15 и чл. 20 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Регламент (ЕС) 2016/679), е направено искане да му бъде предоставена информация относно това дали личните й данни са обработвани от дружеството, както и целите за обработване, категориите лични данни, които се обработват, получателите и категориите получатели, пред които са разкрити тези данни, както и копие на личните данни, които са в процес на обработване, за периода от 06.02.2019 г. до 06.02.2025 г., при предоставяне на всички носители на лични данни за посочения период (договори, стандартни европейски формуляри и др.), с цел извършване на проверка на обработваните данни. Предоставен е електронен адрес, на който да се изпрати отговорът и документите.

В законовия срок до 07.03.2024 година не е получен отговор от ответника. След завеждане на делото жалбоподателката е получила исканата информация, но не са й предоставени копия от носителите на лични данни.

Във връзка със служебно изискана от съда информация по делото е постъпило писмо с изх. № ППН-01-47 от 16.04.2025 г. на Председателя на КЗЛД, в което е удостоверено, че към 16.04.2025 г. пред Комисията за защита на личните данни не е налице висящо или приключило административно производство, инициирано от С. В. В. срещу „ АЙ ТИ ЕФ ГРУП“ АД.

При тези фактически установявания, като взе предвид направените в жалбата оплаквания, доводите и становищата на страните и относимата нормативна уредба, съдът приема от правна страна следното:

По допустимостта на жалбата:

Законът за защита на личните данни урежда на национално ниво два алтернативни начина за защита на субекта на данни при нарушаване на правата му по Регламент (ЕС) 2016/679 и по ЗЗЛД: 1. Сезиране на надзорен орган – Комисията за защита на личните данни (чл.38, ал. 1 от ЗЗЛД) и 2. Сезиране на съд с жалба срещу действия или актове на администратора на лични данни, която жалба се разглежда по реда на АПК (чл. 39, ал. 1 от ЗЗЛД). Видно от съдържанието на релевантните правни норми, в закона не е предвидено императивно изискване субектът на данни да се обърне към КЗЛД и едва след като изчерпи възможността да защити правата си по административен ред, да се сезира съдът. Единственото ограничително условие за съдебна защита, което законодателят поставя, е регламентирано в ал. 4 на чл. 39 от ЗЗЛД, а именно: да няма висящо производство пред КЗЛД, образувано по жалба на същия засегнат субект, при идентичност на нарушението и нарушителя, съответно да не е налице решение на КЗЛД за същото нарушение, което да е обжалвано пред съд. Целта на разпоредбата е да не се допуска идентични спорове да се разглеждат паралелно пред надзорния орган и пред съда. В случая по делото е установено, че пред КЗЛД няма висящо или приключило административно производство, което да е идентично, от гл. т. на предмет и страни, с настоящото съдебно производство, поради което не е налице визираната от закона процесуална пречка за сезиране на съда с процесния спор.

Подаденото на 07.02.2025 г. от жалбоподателката С. В. искане представлява заявление по смисъла на чл. 37б, ал. 1 от ЗЗЛД, съдържащо реквизитите по чл. 37в от ЗЗЛД, във връзка с упражняване на правата му по смисъла на чл. 15 от Регламент (ЕС) 2016/679, като по същото искане администраторът на лични данни, какъвто безспорно се явява АЙ ТИ ЕФ ГРУП“ АД по см. на чл.4, т.7 от Регламент (ЕС) 2016/679 във вр. с § 1, т. 2 от ДР на ЗЗЛД, дължи произнасяне в срока по чл. 12, §3 от Регламент (ЕС) 2016/679. Безспорно е, че жалбоподателката е субект, чиито лични данни са обработвани от дружеството ответник и респ. като субект на това обработване има право на достъп до обработваните му от администратора лични данни, съгласно чл.15 Регламент (ЕС) 2016/679, като реално тези данни не са получени от пълномощника й. Едва при изискване на преписката само част от данните са й предоставени, което обуславя наличието на пряк, личен и непосредствен интерес за жалбоподателката за иницииране на производството.

Следователно оспорването, като направено от легитимирано лице с правен интерес, в законово установения срок по чл.149, ал.1 от АПК и против акт, подлежащ на съдебно обжалване и контрол за законосъобразност съгласно чл. 39, ал. 1 ЗЗЛД, е процесуално допустимо.

Разгледана по същество, жалбата е основателна.

Съгласно легалните определения, дадени в § 1, т. 1 и т. 4 от ДР на ЗЗЛД, по смисъла на този закон "лични данни" e понятието по чл. 4, т. 1 от Регламент (ЕС) 2016/679, а "обработване" е понятието по чл. 4, т. 2 от Регламент (ЕС) 2016/679. Според чл. 4, § 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните), "лични данни" означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано ("субект на данни"); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице. Съответно съгласно § 2 на чл. 4 от Регламент (ЕС) 2016/679, "обработване" означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

В чл. 37б, ал. 1 от ЗЗЛД е регламентирано, че субектът на данни упражнява правата по чл. 15 – 22 от Регламент (ЕС) 2016/679 чрез писмено заявление до администратора на лични данни или по друг определен от администратора начин. В чл. 15 от Регламент (ЕС) 2016/679 е предвидено "право на достъп на субекта на данните", като в §1 е прието, че "субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните... ". Според чл. 15, §3 от Регламента "администраторът предоставя копие от личните данни, които са в процес на обработване", а съгласно чл. 12, §3 от Регламент (ЕС) 2016/679, администраторът предоставя на субекта на данни информация относно действията, предприети във връзка с искане по членове 15-22, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго.

Както беше посочено, в случая отправеното от жалбоподателката искане от 07.02.2025 г. до администратора на лични данни - АЙ ТИ ЕФ ГРУП“ АД несъмнено има характер на заявления по смисъла на чл. 37б, ал. 1 от ЗЗЛД, съдържащо реквизитите по чл. 37в, ал.1 от ЗЗЛД. Заявлението е подадено по електронен път при условията на ЗЕДЕУУ, като електронен документ, съдържащ електронно изявление, подписано с валиден електронен подпис от пълномощника на заявителя - адв. М. М.. Всъщност фактът, че по отправеното от С. В. чрез пълномощника й адв. М. искане след завеждане на делото е предоставена част от заявената за получаване информация (относно това дали личните данни на С. В. са обработвани от дружеството; целите за обработване; категориите лични данни, които се обработват; получателите, пред които са разкрити тези данни), сочи, че администраторът на лични данни „АЙ ТИ ЕФ ГРУП“ АД е приел, че е надлежно сезиран с подадено заявления по смисъла на чл. 37б, ал. 1 от ЗЗЛД, съдържащо реквизитите по чл. 37в, ал.1 от ЗЗЛД, като приложеното пълномощно удовлетворява изискванията на закона за удостоверяване на представителната власт на подписалия и подал искането от името на С. В..

Относно наличието на материалноправно основание за предоставяне на жалбоподателката С. В. на достъп до заявените лични данни съдът съобрази следното:

Подаденото от С. В. искане от 07.02.2025 г. е във връзка с упражняване на правата по чл. 15 от Регламент (ЕС) 2016/679 и както вече се посочи, съгласно §3 на чл.15 от Регламента администраторът е длъжен да предостави копие от личните данни на субекта. Основният въпрос по делото е правен и се свежда до това, следва ли в хипотезата на чл. 15, § 3 от Регламент (ЕС) 2016/679/ администраторът на лични данни АЙ ТИ ЕФ ГРУП“ АД да предостави на С. В. поисканите от нея носители на лични данни - договори за заем, въз основа на които тези данни се обработват.

Едни от основните принципи, въведени от Регламент (ЕС) 2016/679 по повод обработването на лични данни са и тези, съдържащи се в чл. 5 § 1, б. „а“ и б „б“, съгласно които личните данни следва да са обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност"), както и да са събирани за конкретни, изрично указани и легитимни цели и да не се обработват по-нататък по начин, несъвместим с тези цели, като отговорността за това, респективно и задължението да докаже изпълнението на тези принципи, е изцяло в тежест на администратора на личните данни, който всъщност е субектът, определящ предварително категорията лични данни, които ще обработва, и целите на обработката. Принципите на отчетност и прозрачност са призовани в защита на правата и интересите на субектите на лични данни, доколкото те следва да могат по всяко време и на правно основание да изискат от администратора доказателства, че обработката на данните е легитимна по смисъла на чл. 6 от Регламента. От своя страна чл. 6, §1 от Регламент (ЕС) 2016/679 гласи, че обработването е законосъобразно само ако и доколкото е приложимо поне едно от изброените в разпоредбата условия, между които са и условията субектът на данните да е дал съгласие за обработване на личните му данни за една или повече конкретни цели (б. „а“) и обработването да е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор (б. „б“). Следователно изводът е, че обработката на лични данни не може да е за цели, различни от тези, за които субектът е дал съгласие, в т. ч и за договори, по които той не е страна, може да не е страна или не е уведомен, че е страна.

Както вече бе посочено, съгласно чл. 15, §1 от Регламент (ЕС) 2016/679 субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните, в т. ч. и информация относно целите на обработването. Ирелевантно относно упражняването на това право на субекта и съответно изпълнението на насрещното задължение на администратора е дали субектът разполага вече с информация за наличието на обработка, за вида и обема на обработваните данни и за целите и основанията, въз основа на които се осъществява обработката. Спазвайки принципите на прозрачност и отчетност, администраторът дължи поведение, чрез което да предостави на субекта всякаква информация по отношение обработването (чл. 12, §1 от Регламента) в кратка, прозрачна, разбираема и лесно достъпна форма, чрез която субектът да може да провери налице ли е законосъобразно обработване на личните му данни, в т. ч. кои са целите на това обработване, които всъщност са обусловени изцяло от конкретното фактическо основание, предпоставило пряката нужда от обработка – в случая наличието на сключени договори за парични заеми и/или съществуването на преддоговорни отношения. Само по този начин субектът на данните би могъл да провери дали свързаните с него данни са точни, дали се обработват законосъобразно, както и евентуално да упражни правото си на коригиране, изтриване (право „да бъдеш забравен") и на ограничаване на обработването, които са му признати съответно в членове 16, 17 и 18 от Регламента.

Без съмнение правото да се предостави копие на лични данни по смисъла на чл. 15, §3 от Регламент (ЕС) 2016/679 не се отъждествява с правото да се предостави копие на документите, чрез които се обработват тези данни. Правото да се получи от администратора копие от личните данни, които са в процес на обработване, изисква да бъде предоставена на субекта на данните точна и разбираема реплика на всички тези данни, в т. ч. и под формата на компилация от данни. Съгласно обаче приетото в Решение на СЕС от 4 май 2023 година по дело C-487/21, това право предполага и правото на получаване на копие от извлечения от документи и дори от цели документи, или от извлечения от бази данни, които в частност съдържат посочените данни, ако предоставянето на такова копие е задължително, за да може субектът на данните ефективно да упражни предоставените му с този регламент права, в т. ч. и да извърши проверка за спазване на принципа за законосъобразна обработка на данните. Разпоредбите на Регламент (ЕС) 2016/679 предоставят права на субекта на данни, които последният може да упражни, като тези права произлизат от фундаменталното право на достъп до информация за личните данни, които съответният администратор обработва на конкретен субект, като в случая обработването е започнало по повод възникнало правоотношение между администратора и субекта на данни – сключени договори за кредит, и именно тези договори се явяват носители на информация за обработваните лични данни по см. на чл.15, § 1 от Регламент (ЕС) 2016/679.

Не са налице също така и ограничения по смисъла на чл.23, §1 и §2 от Регламент (ЕС) 2016/679 по отношение обхвата на задълженията и правата, предвидени в чл.12-22 от Регламент (ЕС) 2016/679 на администратора на лични данни и съответно липсва което и да е било от нормативно регламентираните в чл.37а, ал.1, т.1 – т.9 от ЗЗЛД материалноправни основания, при които администраторът на лични данни може да откаже пълно или частично упражняването на правата на субекта на данни по чл. 12 – 22 от Регламент (ЕС) 2016/679. Дори екземпляр от договорите за заем да са били предоставени на С. В. към момента на тяхното сключване (каквито доказателства не са налични по делото), субектът на данните не може да бъде лишен от възможността да упражни правата си по ЗЗЛД и Регламент (ЕС) 2016/679 във връзка със съществуващите между него и администратора на лични данни взаимоотношения. В този смисъл е и константната съдебна практика.

Предвид гореизложеното следва изводът, че „ АЙ ТИ ЕФ ГРУП“ АД, в качеството си на администратор на лични данни, е следвало да изпълни задължението си по чл.15, §3 от Регламент (ЕС) 2016/679, като предостави на субекта на данните С. В. поисканите лични данни, съдържащи се в съставените договори за заем през периода 06.02.2019г. - 06.02.2025 г., в заявената форма за получаване на информацията - по електронен път на посочен имейл адрес. В случая прехвърленото с договор за цесия задължение на жалбоподателката по договора му за кредит със „ АЙ ТИ ЕФ ГРУП“ АД на трети субект изисква да му се предостави точна и разбираема реплика на всички данни по тези договори, за да може същият ефективно да упражни предоставените му с Регламент (ЕС) 2016/679 права. В изпълнение на принципите на прозрачност и отчетност администраторът е бил длъжен, при наличие на отправеното изрично искане, да предостави на субекта и изисканите от него копия на документи, чрез които се обработват личните му данни, доколкото при неизпълнение на това задължение се ограничава възможността С. В. да узнае конкретните фактически и правни основания, обуславящи целите на обработка на личните му данни и по този начин да извърши проверка дали същите се обработват законосъобразно по смисъла на чл. 6 от Регламент (ЕС) 2016/679. Противното разбиране води до ситуация, в която субектът на данните получава единствено обща информация за вида и категорията на обработваните лични данни, но не може да получи конкретни сведения за целите на обработката, т. е какво е точното фактическо основание за нейното извършване. Това води до пряко неизпълнение от страна на администратора на лични данни на задължението за отчетност, което препятства и възможността субектът на данните да осъществи ефективна проверка относно тяхното законосъобразното, добросъвестно и прозрачно обработване, каквото съмнение очевидно се е породило у жалбоподателя. В този смисъл ответникът е лишил жалбоподателката от "правото на защита на личните данни" по чл. 8, § 1 и § 2 от Хартата на основните права на Европейския съюз, като В. е била пос тавена в невъзможност да придобие непосредствени впечатления за спазване на задължението на администратора за осигуряване защитата на тези данни, така че да се гарантира тяхното законосъобразно обработване в съответствие с принципите, определени в чл. 5 от Регламент (ЕС) 2016/679, както и да получи ясна представа за това дали данните му са обработвани добросъвестно, за точно определени цели и въз основа на съгласието му или по силата на друго предвидено от закона легитимно основание.

По изложените съображения съдът приема, че следва да бъдат предоставени на С. В. и копия на носителите на лични данни – договори, въз основа на които се обработват личните му данни. Преписката следва да бъде върната на „ АЙ ТИ ЕФ ГРУП“ АД за ново произнасяне по заявеното от С. В. заявление.

Предвид изхода на делото искането на жалбоподателя за присъждане на направените разноски следва да бъде уважено, като на основание чл.143, ал.1 от АПК в тежест на „ АЙ ТИ ЕФ ГРУП“ АД ЕИК ********* следва да бъде възложено заплащането на разноски за внесена държавна такса в размер на 10 лева. На основание чл.38, ал.2 от Закона за адвокатурата и предвид представения по делото договор за правна защита и съдействие за оказване на безплатна правна помощ в хипотезата на чл.38, ал.1, т.2 от ЗА от адв. М. М., следва да му бъде определено и присъдено адвокатско възнаграждение. Съгласно чл. 8, ал. 2, т.10 от Наредба № 1 от 09.07.2004 г. за минималните размери на адвокатските възнаграждения минималният размер на адвокатското възнаграждение по дела по ЗЗЛД възлиза на 900 лева.

Водим от горните мотиви и на основание чл.172, ал. 2, предл. второ във връзка с чл.173, ал. 2 и чл.174 от АПК, съдът

Р Е Ш И :

ОТМЕНЯ по жалба на С. В. В. [ЕГН], с адрес [населено място], [жк], ет.7, ап.25 № 6, отказа на „ АЙ ТИ ЕФ ГРУП“ АД ЕИК *********, със седалище и адрес на управление: [населено място], район „Лозенец“, ул. Сребърна“ 16, бл. Парк Лейн Офис Център, ет.8, представлявано от С. Ю. А., за предоставяне на достъп до личните данни и копия от документите, в които се съдържат лични данни, по заявление на С. В. В., като ИЗПРАЩА преписката на „АЙ ТИ ЕФ ГРУП“ АД за произнасяне по подаденото от С. В. В. заявление от 07.02.2025 г. за предоставяне на лични данни, при спазване на задължителните указания по тълкуването и прилагането на закона, дадени в мотивите към решението.

На основание чл. 174 от АПК ОПРЕДЕЛЯ 14 – дневен срок за произнасяне, считано от влизането в сила на съдебното решение.

ОСЪЖДА на „АЙ ТИ ЕФ ГРУП“ АД ЕИК *********, със седалище и адрес на управление: [населено място], район „Лозенец“, ул. Сребърна“ 16, бл. П. Л. О. Ц., ет.8, представлявано от С. Ю. А., да заплати на С. В. В. разноски по делото в размер на 10 (десет) лева.

ОСЪЖДА „АЙ ТИ ЕФ ГРУП“ АД ЕИК *********, със седалище и адрес на управление: [населено място], район „Лозенец“, ул. Сребърна“ 16, бл. Парк Лейн Офис Център, ет.8, представлявано от С. Ю. А., да заплати на Еднолично адвокатско дружество „М.“ възнаграждение в размер на 900 лева за оказана безплатна правна помощ на основание чл. 38, ал. 1, т. 2 от Закона за адвокатурата.

Решението подлежи на обжалване с касационна жалба пред Върховния административен съд в 14-дневен срок от съобщаването му на страните