Решение по адм. дело №416/2025 на Административен съд - Стара Загора

Производството е по реда на чл. 145 и сл. от Административнопроцесуалния кодекс (АПК) във връзка с чл. 39, ал. 1 от Закона за защита на личните данни (ЗЗЛД).

Образувано е по жалба на М. Е. А. [ЕГН], с адрес гр. Стара Загора, [улица], подадена чрез пълномощника му адв. М. М., срещу отказа на „ИЗИ АСЕТ МЕНИДЖМЪНТ“ АД, ЕИК ********* да му предостави копие на всички носители на личните му данни, които са обработвани за периода от 03.02.2018 г. до 03.02.2025 година.

В жалбата са изложени доводи за незаконосъобразност на оспорения отказ по съображения за постановяването му в нарушение и при неправилно приложение на материалния закон. Твърди, че във връзка с подадено от него заявление на 04.03.2025 година бил получен отговор от длъжностното лице по защита на лични данни на дружеството, че за обработка на заявлението му трябвало да представи коригирано пълномощно, с изрично посочване на „ИЗИ АСЕТ МЕНИДЖМЪНТ“ АД , като администратор на лични данни. На 10.03.2025 година бил изпратил ново изрично коригирано пълномощно , като дружеството посочило, че ще отговори на искането му на 10.04.2025 година. Част от исканата от него информация му била предоставена, но реално не му били предоставени копия от носителите на лични данни. С подробно изложени в жалбата доводи за незаконосъобразността на оспорения отказ моли съда да постанови решение, с което да задължи „ИЗИ АСЕТ МЕНИДЖМЪНТ“ АД ЕИК ********* да предостави в едноседмичен срок на М. Е. А. [ЕГН], да представи копие на всички носители на личните данни на жалбоподателя, които са обработвани за периода от 03.02.2018 година до 03.02.2025 година.

Ответникът по жалбата – „ИЗИ АСЕТ МЕНИДЖМЪНТ“ АД, ЕИК ********* в писменото си становище оспорва жалбата като недопустима, тъй като били предоставили на жалбоподателя исканата информация.

Въз основа на събраните по делото доказателства съдът приема за установено следното от фактическа страна:

На 04.02.2025 г. жалбоподателят, чрез пълномощника си адв. М. М., е подал по електронен път искане до „ИЗИ АСЕТ МЕНИДЖМЪНТ“ АД ЕИК ********* , с което на основание чл.15 и чл. 20 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Регламент (ЕС) 2016/679), е направено искане да му бъде предоставена информация относно това дали личните му данни са обработвани от дружеството, както и целите за обработване, категориите лични данни, които се обработват, получателите и категориите получатели, пред които са разкрити тези данни, както и копие на личните данни, които са в процес на обработване, за периода от 03.02.2018 г. до 03.02.2025 г., при предоставяне на всички носители на лични данни за посочения период (договори, стандартни европейски формуляри и др.), с цел извършване на проверка на обработваните данни. Предоставен е електронен адрес, на който да се изпрати отговорът и документите.

В законовия срок до 04.03.2025 година е получен отговор от ответника, че за обработка на заявлението му трябвало да се представи коригирано пълномощно с посочване на „ИЗИ АСЕТ МЕНИДЖМЪНТ“ АД като администратор на лични данни. На 10.03.2025 година е представено исканото пълномощно и жалбоподателят е получил исканата информация, но не са му предоставени копия от носителите на лични данни.

Във връзка със служебно изискана от съда информация по делото е постъпило писмо с изх. № ППН-01-650 от 20.05.2025 г. на Председателя на КЗЛД, в което е удостоверено, че към 16.05.2025 г. пред Комисията за защита на личните данни не е налице висящо или приключило административно производство, инициирано от М. Е. А. срещу „ИЗИ АСЕТ МЕНИДЖМЪНТ“ АД .

При тези фактически установявания, като взе предвид направените в жалбата оплаквания, доводите и становищата на страните и относимата нормативна уредба, съдът приема от правна страна следното:

По допустимостта на жалбата:

Законът за защита на личните данни урежда на национално ниво два алтернативни начина за защита на субекта на данни при нарушаване на правата му по Регламент (ЕС) 2016/679 и по ЗЗЛД: 1. Сезиране на надзорен орган – Комисията за защита на личните данни (чл.38, ал. 1 от ЗЗЛД) и 2. Сезиране на съд с жалба срещу действия или актове на администратора на лични данни, която жалба се разглежда по реда на АПК (чл. 39, ал. 1 от ЗЗЛД). Видно от съдържанието на релевантните правни норми, в закона не е предвидено императивно изискване субектът на данни да се обърне към КЗЛД и едва след като изчерпи възможността да защити правата си по административен ред, да се сезира съдът. Единственото ограничително условие за съдебна защита, което законодателят поставя, е регламентирано в ал. 4 на чл. 39 от ЗЗЛД, а именно: да няма висящо производство пред КЗЛД, образувано по жалба на същия засегнат субект, при идентичност на нарушението и нарушителя, съответно да не е налице решение на КЗЛД за същото нарушение, което да е обжалвано пред съд. Целта на разпоредбата е да не се допуска идентични спорове да се разглеждат паралелно пред надзорния орган и пред съда. В случая по делото е установено, че пред КЗЛД няма висящо или приключило административно производство, което да е идентично, от гл. т. на предмет и страни, с настоящото съдебно производство, поради което не е налице визираната от закона процесуална пречка за сезиране на съда с процесния спор.

Подаденото на 04.02.2025 г. от жалбоподателя искане представлява заявление по смисъла на чл. 37б, ал. 1 от ЗЗЛД, съдържащо реквизитите по чл. 37в от ЗЗЛД, във връзка с упражняване на правата му по смисъла на чл. 15 от Регламент (ЕС) 2016/679, като по същото искане администраторът на лични данни, какъвто безспорно се явява ИЗИ АСЕТ МЕНИДЖМЪНТ“ АД по см. на чл.4, т.7 от Регламент (ЕС) 2016/679 във вр. с § 1, т. 2 от ДР на ЗЗЛД, дължи произнасяне в срока по чл. 12, §3 от Регламент (ЕС) 2016/679. Безспорно е, че жалбоподателят е субект, чиито лични данни са обработвани от дружеството ответник и респ. като субект на това обработване има право на достъп до обработваните му от администратора лични данни, съгласно чл.15 Регламент (ЕС) 2016/679. Само част от данните са му предоставени, което обуславя наличието на пряк, личен и непосредствен интерес за жалбоподателя за иницииране на производството.

Следователно оспорването, като направено от легитимирано лице с правен интерес, в законово установения срок по чл.149, ал.1 от АПК и против акт, подлежащ на съдебно обжалване и контрол за законосъобразност съгласно чл. 39, ал. 1 ЗЗЛД, е процесуално допустимо.

Разгледана по същество, жалбата е основателна.

Съгласно легалните определения, дадени в § 1, т. 1 и т. 4 от ДР на ЗЗЛД, по смисъла на този закон "лични данни" e понятието по чл. 4, т. 1 от Регламент (ЕС) 2016/679, а "обработване" е понятието по чл. 4, т. 2 от Регламент (ЕС) 2016/679. Според чл. 4, § 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните), "лични данни" означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано ("субект на данни"); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице. Съответно съгласно § 2 на чл. 4 от Регламент (ЕС) 2016/679, "обработване" означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

В чл. 37б, ал. 1 от ЗЗЛД е регламентирано, че субектът на данни упражнява правата по чл. 15 – 22 от Регламент (ЕС) 2016/679 чрез писмено заявление до администратора на лични данни или по друг определен от администратора начин. В чл. 15 от Регламент (ЕС) 2016/679 е предвидено "право на достъп на субекта на данните", като в §1 е прието, че "субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните... ". Според чл. 15, §3 от Регламента "администраторът предоставя копие от личните данни, които са в процес на обработване", а съгласно чл. 12, §3 от Регламент (ЕС) 2016/679, администраторът предоставя на субекта на данни информация относно действията, предприети във връзка с искане по членове 15-22, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго.

Както беше посочено, в случая отправеното от жалбоподателя искане от 04.02.2025 г. до администратора на лични данни – „ИЗИ АСЕТ МЕНИДЖМЪНТ“ АД несъмнено има характер на заявления по смисъла на чл. 37б, ал. 1 от ЗЗЛД, съдържащо реквизитите по чл. 37в, ал.1 от ЗЗЛД. Заявлението е подадено по електронен път при условията на ЗЕДЕУУ, като електронен документ, съдържащ електронно изявление, подписано с валиден електронен подпис от пълномощника на заявителя - адв. М. М.. Всъщност фактът, че по отправеното от М. А. чрез пълномощника му адв. М. искане е предоставена част от заявената за получаване информация (относно това дали личните данни на М. А. са обработвани от дружеството; целите за обработване; категориите лични данни, които се обработват; получателите, пред които са разкрити тези данни), сочи, че администраторът на лични данни „ИЗИ АСЕТ МЕНИДЖМЪНТ“ АД е приел, че на 10.03.2025 година е надлежно сезиран с подадено заявления по смисъла на чл. 37б, ал. 1 от ЗЗЛД, съдържащо реквизитите по чл. 37в, ал.1 от ЗЗЛД, като приложеното пълномощно удовлетворява изискванията на закона за удостоверяване на представителната власт на подписалия и подал искането от името на М. А..

Относно наличието на материалноправно основание за предоставяне на жалбоподателя на достъп до заявените лични данни съдът съобрази следното:

Подаденото от М. А. искане от 10.03.2025 г. е във връзка с упражняване на правата по чл. 15 от Регламент (ЕС) 2016/679 и както вече се посочи, съгласно §3 на чл.15 от Регламента администраторът е длъжен да предостави копие от личните данни на субекта. Основният въпрос по делото е правен и се свежда до това, следва ли в хипотезата на чл. 15, § 3 от Регламент (ЕС) 2016/679/ администраторът на лични данни „ИЗИ АСЕТ МЕНИДЖМЪНТ“ АД да предостави на М. А. поисканите от него носители на лични данни - договори за заем, въз основа на които тези данни се обработват.

Едни от основните принципи, въведени от Регламент (ЕС) 2016/679 по повод обработването на лични данни са и тези, съдържащи се в чл. 5 § 1, б. „а“ и б „б“, съгласно които личните данни следва да са обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност"), както и да са събирани за конкретни, изрично указани и легитимни цели и да не се обработват по-нататък по начин, несъвместим с тези цели, като отговорността за това, респективно и задължението да докаже изпълнението на тези принципи, е изцяло в тежест на администратора на личните данни, който всъщност е субектът, определящ предварително категорията лични данни, които ще обработва, и целите на обработката. Принципите на отчетност и прозрачност са призовани в защита на правата и интересите на субектите на лични данни, доколкото те следва да могат по всяко време и на правно основание да изискат от администратора доказателства, че обработката на данните е легитимна по смисъла на чл. 6 от Регламента. От своя страна чл. 6, §1 от Регламент (ЕС) 2016/679 гласи, че обработването е законосъобразно само ако и доколкото е приложимо поне едно от изброените в разпоредбата условия, между които са и условията субектът на данните да е дал съгласие за обработване на личните му данни за една или повече конкретни цели (б. „а“) и обработването да е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор (б. „б“). Следователно изводът е, че обработката на лични данни не може да е за цели, различни от тези, за които субектът е дал съгласие, в т. ч и за договори, по които той не е страна, може да не е страна или не е уведомен, че е страна.

Както вече бе посочено, съгласно чл. 15, §1 от Регламент (ЕС) 2016/679 субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните, в т. ч. и информация относно целите на обработването. Ирелевантно относно упражняването на това право на субекта и съответно изпълнението на насрещното задължение на администратора е дали субектът разполага вече с информация за наличието на обработка, за вида и обема на обработваните данни и за целите и основанията, въз основа на които се осъществява обработката. Спазвайки принципите на прозрачност и отчетност, администраторът дължи поведение, чрез което да предостави на субекта всякаква информация по отношение обработването (чл. 12, §1 от Регламента) в кратка, прозрачна, разбираема и лесно достъпна форма, чрез която субектът да може да провери налице ли е законосъобразно обработване на личните му данни, в т. ч. кои са целите на това обработване, които всъщност са обусловени изцяло от конкретното фактическо основание, предпоставило пряката нужда от обработка – в случая наличието на сключени договори за парични заеми и/или съществуването на преддоговорни отношения. Само по този начин субектът на данните би могъл да провери дали свързаните с него данни са точни, дали се обработват законосъобразно, както и евентуално да упражни правото си на коригиране, изтриване (право „да бъдеш забравен") и на ограничаване на обработването, които са му признати съответно в членове 16, 17 и 18 от Регламента.

Без съмнение правото да се предостави копие на лични данни по смисъла на чл. 15, §3 от Регламент (ЕС) 2016/679 не се отъждествява с правото да се предостави копие на документите, чрез които се обработват тези данни. Правото да се получи от администратора копие от личните данни, които са в процес на обработване, изисква да бъде предоставена на субекта на данните точна и разбираема реплика на всички тези данни, в т. ч. и под формата на компилация от данни. Съгласно обаче приетото в Решение на СЕС от 4 май 2023 година по дело C-487/21, това право предполага и правото на получаване на копие от извлечения от документи и дори от цели документи, или от извлечения от бази данни, които в частност съдържат посочените данни, ако предоставянето на такова копие е задължително, за да може субектът на данните ефективно да упражни предоставените му с този регламент права, в т. ч. и да извърши проверка за спазване на принципа за законосъобразна обработка на данните. Разпоредбите на Регламент (ЕС) 2016/679 предоставят права на субекта на данни, които последният може да упражни, като тези права произлизат от фундаменталното право на достъп до информация за личните данни, които съответният администратор обработва на конкретен субект, като в случая обработването е започнало по повод възникнало правоотношение между администратора и субекта на данни – сключени договори за кредит, и именно тези договори се явяват носители на информация за обработваните лични данни по см. на чл.15, § 1 от Регламент (ЕС) 2016/679.

Не са налице също така и ограничения по смисъла на чл.23, §1 и §2 от Регламент (ЕС) 2016/679 по отношение обхвата на задълженията и правата, предвидени в чл.12-22 от Регламент (ЕС) 2016/679 на администратора на лични данни и съответно липсва което и да е било от нормативно регламентираните в чл.37а, ал.1, т.1 – т.9 от ЗЗЛД материалноправни основания, при които администраторът на лични данни може да откаже пълно или частично упражняването на правата на субекта на данни по чл. 12 – 22 от Регламент (ЕС) 2016/679. Дори екземпляр от договорите за заем да са били предоставени на М. А. момента на тяхното сключване (каквито доказателства не са налични по делото), субектът на данните не може да бъде лишен от възможността да упражни правата си по ЗЗЛД и Регламент (ЕС) 2016/679 във връзка със съществуващите между него и администратора на лични данни взаимоотношения. В този смисъл е и константната съдебна практика.

Предвид гореизложеното следва изводът, че „ИЗИ АСЕТ МЕНИДЖМЪНТ“ АД в качеството си на администратор на лични данни, е следвало да изпълни задължението си по чл.15, §3 от Регламент (ЕС) 2016/679, като предостави на субекта на данните М. А. поисканите лични данни, съдържащи се в съставените договори за заем през периода 03.02.2018г. - 03.02.2025 г., в заявената форма за получаване на информацията - по електронен път на посочен имейл адрес. В изпълнение на принципите на прозрачност и отчетност администраторът е бил длъжен, при наличие на отправеното изрично искане, да предостави на субекта и изисканите от него копия на документи, чрез които се обработват личните му данни, доколкото при неизпълнение на това задължение се ограничава възможността М. А. да узнае конкретните фактически и правни основания, обуславящи целите на обработка на личните му данни и по този начин да извърши проверка дали същите се обработват законосъобразно по смисъла на чл. 6 от Регламент (ЕС) 2016/679. Противното разбиране води до ситуация, в която субектът на данните получава единствено обща информация за вида и категорията на обработваните лични данни, но не може да получи конкретни сведения за целите на обработката, т. е какво е точното фактическо основание за нейното извършване. Това води до пряко неизпълнение от страна на администратора на лични данни на задължението за отчетност, което препятства и възможността субектът на данните да осъществи ефективна проверка относно тяхното законосъобразното, добросъвестно и прозрачно обработване, каквото съмнение очевидно се е породило у жалбоподателя. В този смисъл ответникът е лишил жалбоподателя от "правото на защита на личните данни" по чл. 8, § 1 и § 2 от Хартата на основните права на Европейския съюз, като Арутюнян е бил поставен в невъзможност да придобие непосредствени впечатления за спазване на задължението на администратора за осигуряване защитата на тези данни, така че да се гарантира тяхното законосъобразно обработване в съответствие с принципите, определени в чл. 5 от Регламент (ЕС) 2016/679, както и да получи ясна представа за това дали данните му са обработвани добросъвестно, за точно определени цели и въз основа на съгласието му или по силата на друго предвидено от закона легитимно основание.

По изложените съображения съдът приема, че следва да бъдат предоставени на М. А. и копия на носителите на лични данни – договори, въз основа на които се обработват личните му данни. Преписката следва да бъде върната на „ИЗИ АСЕТ МЕНИДЖМЪНТ“ АД за ново произнасяне по заявеното от М. А. заявление.

Предвид изхода на делото искането на жалбоподателя за присъждане на направените разноски следва да бъде уважено, като на основание чл.143, ал.1 от АПК в тежест на „ИЗИ АСЕТ МЕНИДЖМЪНТ“ АД следва да бъде възложено заплащането на разноски за внесена държавна такса в размер на 10 лева. На основание чл.38, ал.2 от Закона за адвокатурата и предвид представения по делото договор за правна защита и съдействие за оказване на безплатна правна помощ в хипотезата на чл.38, ал.1, т.2 от ЗА от адв. М. М., следва да му бъде определено и присъдено адвокатско възнаграждение. Съгласно чл. 8, ал. 2, т.10 от Наредба № 1 от 09.07.2004 г. за минималните размери на адвокатските възнаграждения минималният размер на адвокатското възнаграждение по дела по ЗЗЛД възлиза на 900 лева.

Водим от горните мотиви и на основание чл.172, ал. 2, предл. второ във връзка с чл.173, ал. 2 и чл.174 от АПК, съдът

Р Е Ш И :

ОТМЕНЯ по жалба на М. Е. А., [ЕГН], с адрес гр. Стара Загора, [улица], подадена чрез пълномощника му адв. М. М., срещу отказ на „ИЗИ АСЕТ МЕНИДЖМЪНТ“ АД, ЕИК *********, със седалище и адрес на управление гр.София, район Люлин, [жк], [улица], ет. 2 ап.40-46, представлявано от Г. Т. Т. и А. В. М. да му предостави копие на всички носители на личните му данни, които са обработвани за периода от 03.02.2018 г. до 03.02.2025 година, като ИЗПРАЩА преписката на „ИЗИ АСЕТ МЕНИДЖМЪНТ“ АД за произнасяне по подаденото от М. Е. А. заявление от 10.03.2025 г. за предоставяне на лични данни, при спазване на задължителните указания по тълкуването и прилагането на закона, дадени в мотивите към решението.

На основание чл. 174 от АПК ОПРЕДЕЛЯ 14 – дневен срок за произнасяне, считано от влизането в сила на съдебното решение.

ОСЪЖДА „ИЗИ АСЕТ МЕНИДЖМЪНТ“ АД, ЕИК *********, със седалище и адрес на управление гр.София, район Люлин, [жк], [улица], ет. 2, ап.40-46, представлявано от Г. Т. Т. и А. В. М. да заплати на М. Е. А., [ЕГН], разноски по делото в размер на 10 (десет) лева.

ОСЪЖДА „ИЗИ АСЕТ МЕНИДЖМЪНТ“ АД, ЕИК *********, със седалище и адрес на управление гр.София, район Люлин, [жк], [улица], ет. 2, ап.40-46, представлявано от Г. Т. Т. и А. В. М., да заплати на Еднолично адвокатско дружество „М.“, ЕИК *********, възнаграждение в размер на 900 (деветстотин) лева за оказана безплатна правна помощ, на основание чл. 38, ал. 1, т. 2 от Закона за адвокатурата.

Решението подлежи на обжалване с касационна жалба пред Върховния административен съд в 14-дневен срок от съобщаването му на страните