Решение по адм. дело №1000/2025 на Административен съд - Хасково

Производството е по реда на чл.145 и сл. от Административнопроцесуалния кодекс (АПК), във вр. с чл.39, ал.1 от Закона за защита на личните данни (ЗЗЛД).

Образувано по жалба от С. В. В., с адрес: [населено място], [улица], *, подадена чрез Еднолично адвокатско дружество М., действащо чрез управителя адв.М. В. М., срещу Изричен отказ от 11.04.2025 г. на „Кредирект“ ЕООД, със седалище и адрес на управление: [населено място], *, [улица], *.

В жалбата се сочи, че оспорващата подала до „Кредирект“ ЕООД искане за предоставяне на информация относно обработваните от администратора лични данни и носителите на тези лични данни, а именно информация относно това дали личните й данни били обработвани от дружеството, както и целите за обработване, категориите лични данни, които се обработват, получателите и категориите получатели, пред които са разкрити тези данни, както и копие на личните данни, които са обработвани. Изискала договори, стандартни европейски формуляри, платежни нареждания, в които са отразени данни и др., за да извърши проверка на обработваните данни, за периода от 05.03.2019 г. до 05.03.2025 г. От дружеството отговорили, че искането е неоснователно и прекомерно, съответно не предоставили договори, стандартни европейски формуляри, погасителни планове и всички други документи, подписани от С. В. В..

Претендира се отмяна на посочения изричен отказ и задължаване на администратора на лични данни да предостави документите на жалбоподателката. В тази връзка се релевират твърдения за основателност на подаденото искане, обосновани с конкретни правни доводи относно приложимост на разпоредби от Регламент (ЕС) 2016/679. Непредставянето на исканите документи лишавало оспорващата от правото й да разбере, дали нейните лични данни са обработвани легитимно, при положение, че не знаела на какво основание се обработват те, и дали изобщо имало такова основание, както и дали данните се обработват на основание искането й за кредит, на разписания стандартен европейски формуляр или на договор за заем. Все в тази насока се счита, че правото на достъп на субекта на данните е основано на принципа на прозрачност и е право на достъп не само до личните данни в точен смисъл, а и до изброената информация в член 15 от Регламента, вкл. и до носителите на тези данни. Не можело да се приеме, че съдържанието на правото по член 15 се свеждало само и единствено до копие от данните по параграф 1, буква „б“ от посочената норма, защото това било превратно и несъответно на тълкуването на разпоредбата. Документите свободно можело да бъдат предоставени в структуриран, широко използван и пригоден за машинно четене формат, без да има законови нарушения.

Ответникът – „Кредирект“ ЕООД, изразява становище за неоснователност на жалбата, като развива подробни писмени съображения в тази насока. Налице било предоставяне на копие на обработваните лични данни от страна на администратора, вкл. чрез електронна справка, съдържаща всички необходими данни. Правото на достъп не било право на копие от документ, а на копие от данни и последното било предоставено чрез справка. Липсвало законово задължение за предоставяне на носителите на самите документи. Субектът на данни не бил обосновал необходимостта от предоставяне на носителите на документи. Налице била несъразмерност на искането. Конкретно, предоставянето на носител от договора за кредит не било задължително по член 15 от Регламента, стандартният европейски формуляр не съдържал лични данни на субекта и не се съхранявал от администратора, платежни нареждания не били във фактическо или правно владение на администратора. Искането за предоставяне на хартиени носители на договори и други документи било извън приложното поле на член 20 от Регламента. Претендира се отхвърляне на жалбата и присъждане на юрисконсултско възнаграждение за процесуално представителство по делото в размер на 360 лева.

Административен съд – Хасково, като обсъди твърденията на страните и прецени събраните по делото доказателства, намира за установено следното от фактическа страна:

На 12.03.2025 г. жалбоподателката С. В. В., чрез пълномощник, подала по електронен път искане до „Кредирект“ ЕООД, с което поискала да й бъде предоставена информация относно това дали личните й данни са обработвани от дружеството, както и целите за обработване, категориите лични данни, които се обработват, получателите и категориите получатели, пред които са разкрити тези данни, както и копие на всички лични данни, които са в процес на обработване, за периода от 05.03.2019 г. до 05.03.2025 г. С искането е отправена и молба – всички носители на лични данни като договори, стандартни европейски формуляри, платежни нареждания, в които са отразени данни и др., да й бъдат предоставени, за да се извърши проверка на обработваните данни.

Видно от пълномощното, приложено към искането, С. В. В. е упълномощила Еднолично адвокатско дружество М., представлявано от адв. М. В. М., да я представлява пред всички съдилища в страната, като и да упражнява всичките й права във връзка с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г.

На 11.04.2025 г. до С. В. В. и адв. М. В. М. е бил изпратен и получен на заявената ел. поща отговор под формата на писмо. С него В. и пълномощникът й са информирани, че:

- в качеството си на администратор „Кредирект“ ЕООД обработва лични данни, отнасящи се до В.;

- обработването на лични данни е с цел изпълнение на договор, по който тя е страна;

- обработваните категории лични данни са идентификационна информация, информация за контакт и финансова информация;

- личните й данни се обработват от администратора и може да бъдат разкрити пред негов контрагент, при положение, че такова разкриване или предаване е необходимо за изпълнение на договорно право и/или задължения, на всяка една от страните по същото;

- копие от обработваните за нея личните данни, съдържащо се като данни в писмото.

На следващо място, относно носителите на лични данни – договори, стандартни европейски формуляри, платежни нареждания, в които са отразени данни и други, в писмото е посочено следното:

• за носители на договори:

Еднообразен екземпляр от сключения с нея договор за кредит й бил предоставен надлежно от кредитора при сключването му. В тази връзка, искането й за предоставяне на носител на договор за кредит във връзка със заявено право на достъп, съгласно член 15 от Регламент (ЕС) 2016/679, с посочената от нея цел - „...за да се извърши проверка на обработваните лични данни“, било неоснователно и прекомерно. Тя имала активно и непогасено задължение и съгласно Закона за потребителския кредит имала право на информация и документи, съдържащи данни за условията за издължаване на кредита от нейна страна, което право можела да упражни по реда на горепосочената специална норма. Упражняването на правата по реда на ЗПК било извън обхвата на заявеното такова по Регламент (ЕС) 2016/679.;

• за носител на стандартен европейски формуляр:

Кредиторът предоставял на кредитоискателя този документ преди да се сключи договор за кредит и нямал задължение да съхранява такъв документ. В Стандартният европейски формуляр не се съдържали лични данни, отнасящи се до В.. Кредиторът спазвал установената форма за съдържание на СЕФ, уредена в Приложение 2 от ЗПК, и в него нямало подпис на кредитоискателя, а само на представител на кредитора. В тази връзка получаването на лични данни – имена и подпис на служител на дружеството, било неоснователно, прекомерно и в противоречие на заявеното право на достъп, ведно с искане за носител на документ, в който не се съдържали лични данни на В.;

• за носител на данни – платежни нареждания, в които са отразени данни:

Администраторът не бил платец, изпълнил платежната операция. Не бил наредител на платежната операция, каквото качество имала В.. Съхранение на носител на платежно нареждане се извършвало единствено и само от доставчика на платежната услуга и наредителя на платежната услуга. Администраторът нямал и не можел да има екземпляр от изискания документ със заявено право на достъп и право на преносимост. Следователно, искането за предоставяне на носители от платежни нареждания било неоснователно и в противоречие на действащото законодателство.

В писмото е посочено, че заявеното искане е прекомерно с оглед явното намерение да се навреди на администратора.

Видно от писмо изх. № ППН-01-535#1/28.04.2025 г., изпратено от Комисията за защита на личните данни (КЗЛД) по повод служебно изисканата от съда информация на основание чл. 39, ал. 4 от ЗЗЛД, след направена служебна справка на 25.04.2025 г. не е установено наличието на висящо или приключило производство пред КЗЛД, инициирано от С. В. В. срещу „Кредирект“ ЕООД.

Писмото, в отговор на подаденото от жалбоподателката искане, в което на практика е обективиран изричен отказ за предоставяне на носители на лични данни – а именно договори, стандартен европейски формуляр и платежни нареждания, в които са отразени данни, е получено от оспорващата на 11.04.2025 г., а жалбата против него е подадена до съда на 22.04.2025 г.

Съдът, като взе предвид твърденията и доводите на страните, и съобрази относимата нормативна уредба, намира от правна страна следното:

Съгласно чл. 39, ал. 1 от ЗЗЛД, при нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на Административнопроцесуалния кодекс.

Не е спорно между страните, че те са в облигационни отношения, възникнали по силата на сключен договор за потребителски кредит № 949254 и са били и преди в такива отношения по силата на други договори от този тип (вж. л. 76 и сл.), като оспорващата е субект, чийто лични данни са обработвани от дружеството ответник и в това си качество има право на достъп до обработваните й от администратора лични данни, съгласно член 15 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Регламент (ЕС) 2016/679, Регламента).

Ответникът „Кредирект“ ЕООД попада в хипотезата на определението по член 4, т. 7 от Регламент 2016/679, съгласно която „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.

Предвид горното, за ответното дружество, като администратор на лични данни, е съществувало нормативно установено задължение да се произнесе по подаденото от жалбоподателката искане, като с оглед разпоредбата на член 12, параграф 3 от Регламент (ЕС) 2016/679, информация относно действията, предприети във връзка с искане по членове 15–22, е следвало да бъде предоставена без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. В случая такова произнасяне е налице, като без съмнение е направен отказ за предоставяне на договори, стандартен европейски формуляр и платежни нареждания, в които са отразени лични данни на заявителя.

Следва също да се отбележи, че в относимия и приложим ЗЗЛД са регламентирани два самостоятелни и алтернативни способа за защита на субекта на данни при допуснато нарушение на неговите права по Регламент (ЕС) 2016/679 и по ЗЗЛД, а именно: по чл. 38, ал. 1 от закона, чрез сезиране на нарочен надзорен орган – Комисията за защита на личните данни, и по чл. 39, ал. 1 от същия закон – чрез сезиране на компетентен съд с жалба срещу действия или актове на администратора на лични данни, която жалба се разглежда по реда на АПК. В ЗЗЛД липсва изрично регламентирана забрана за съдебно обжалване при неизчерпан ред за оспорване по административен ред пред КЗЛД. Единственото ограничително условие за иницииране на съдебен контрол, регламентирано от законодателя, се съдържа в чл. 39, ал. 4 от ЗЗЛД, според която норма субектът на данни не може да сезира съда, когато има висящо производство пред комисията за същото нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда. По искане на субекта на данни или на съда комисията удостоверява липсата на висящо производство пред нея по същия спор. Целта на тази законова регламентация е недопускане разглеждането на идентични правни спорове едновременно пред надзорния орган и пред съда.

В случая по делото е безспорно установено, че пред КЗЛД няма висящо или приключило административно производство, което да е идентично като страни и предмет с настоящото съдебно производство, поради което не е налице визираната от закона процесуална пречка за сезиране на съда с настоящата жалба и разглеждане по същество на правния спор.

Предвид изложеното, оспорването, като направено от лице с правен интерес, в законоустановения срок и против административен акт, подлежащ на съдебен контрол, е процесуално допустимо. Разгледано по същество, същото е основателно, при следните съображения:

Съгласно разпоредбата на член 4, т. 1 от Регламент (ЕС) 2016/679, „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.“.

Според член 4, т. 2 от Регламента, „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

Съгласно чл. 37б, ал. 1 от ЗЗЛД, субектът на данни упражнява правата по чл. 15 – 22 от Регламент (ЕС) 2016/679 чрез писмено заявление до администратора на лични данни или по друг определен от администратора начин.

Нормата на чл. 37в, ал. 1 от ЗЗЛД предвижда, че заявлението по чл. 37б съдържа: 1. име, адрес, единен граждански номер или личен номер на чужденец или друг аналогичен идентификатор, или други идентификационни данни на физическото лице, определени от администратора, във връзка с извършваната от него дейност; 2. описание на искането; 3. предпочитана форма за получаване на информация при упражняване на правата по чл.15 – 22 от Регламент (ЕС) 2016/679; 4. подпис, дата на подаване на заявлението и адрес за кореспонденция. С разпоредбата на чл. 37в, ал. 2 от ЗЗЛД е въведено изискването при подаването на заявление от упълномощено лице, към заявлението да се прилага и пълномощното.

В случая жалбоподателката е депозирала по електронен път именно писмено заявление (искане) по чл. 37б от ЗЗЛД до администратора на лични данни „Кредирект“ ЕООД, при спазване на посочения в нормата административен ред. Подаденото заявление е в нормативно изискуемата форма откъм реквизити и съдържание, и е съобразено с изискванията на чл. 37в от ЗЗЛД, съответно в него е направено описание на искането и то е конкретно, ясно и несъмнено дава пълна представа на адресата каква информация лицето желае да получи, като същото е подадено във връзка с упражняване на правата по член 15 от Регламент (ЕС) 2016/679 и предвид цитираните разпоредби, администраторът е длъжен да предостави копие от личните данни на субекта, така както предвижда член 15, параграф 3 от Регламента.

Според разпоредбата на член 15, параграф 1 от Регламент (ЕС) 2016/679, субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация: целите на обработването; съответните категории лични данни; получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации; когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок; съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване; правото на жалба до надзорен орган; когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник; съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

Според член 15, параграф 3 от Регламент (ЕС) 2016/679, администраторът предоставя копие от личните данни, които са в процес на обработване.

Съгласно член 12, параграф 1 от Регламент (ЕС) 2016/679, „администраторът предприема необходимите мерки за предоставяне на всякаква информация по членове 13 и 14 и на всякаква комуникация по членове 15—22 и член 34, която се отнася до обработването, на субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език, особено що се отнася до всяка информация, конкретно насочена към деца. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства.“. Съгласно член 12, параграф 2 от Регламента, „администраторът съдейства за упражняването на правата на субекта на данните по членове 15—22. В случаите, посочени в член 11, параграф 2, администраторът не отказва да предприеме действия по искане на субекта на данните за упражняване на правата му по членове 15—22, освен ако докаже, че не е в състояние да идентифицира субекта на данните“. Параграф 3 от член 12 регламентира, че „администраторът предоставя на субекта на данни информация относно действията, предприети във връзка с искане по членове 15—22, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията. Администраторът информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго.“.

Горните разпоредби следва да се тълкуват и съобразно член 8, параграф 2 от Хартата на основните права на Европейския съюз, според който всеки има право на достъп до събраните данни, отнасящи се до него.

В случая жалбоподателката е отправила надлежно искане по чл. 37б от ЗЗЛД до „Кредирект“ ЕООД, в качеството му на администратор на лични данни. Искането е свързано с упражняване на права по член 15 от Регламент (ЕС) 2016/679 и по силата на член 15, параграф 3 от Регламента, съответно администраторът е бил длъжен да предостави копие от обработваните от него лични данни на заявителя.

Според ответника копие на обработваните лични данни вече били предоставени на лицето, а правото по член 15 от Регламент (ЕС) 2016/679 не включва получаване на носителите на договори, стандартен европейски формуляр и платежни нареждания. В отговора на жалбата се поддържа становище, че искането за предоставяне на носители на документи на хартиен носител (договори за кредит, стандартни европейски формуляри и платежни нареждания) е извън приложното поле на член 20 от Регламента.

Тези изводи съдът намира за неправилни и незаконосъобразни.

Най общо казано спорът се свежда до това попада ли в обхвата на споменатото задължение на администратора на данни предоставянето на субекта на данни на копия от носителите на личните му данни – в случая договори за кредит и свързани с него други документи.

Съдът приема, че подаденото от жалбоподателката заявление (искане) пред администратора на лични данни е във връзка с упражняване на правата й по член 15 – 20 от Регламент (ЕС) 2016/679 и съгласно член 15, параграф 3 от Регламента, администраторът е длъжен да предостави достъп до данните и копие от личните данни на субекта. Отказът на достъп до данни по реда на член 15, параграф 1 от Регламент (ЕС) 2016/679 е нарушение на основните принципи за обработка на личните данни, предвидени в член 5, параграф 1, буква „а“ от Регламента и представлява неспазване на предвиденото в член 12, параграф 1 от Регламент (ЕС) 2016/679. В тази връзка следва да се има предвид, че според т. 21 от Решение от 04.05.2023 г. на Съда на ЕС по дело С-487/21, F. F. V. Ostcrreichische Datenschutzbehorde, се приема, че доколкото в ОРЗД не е дадено определение използваното понятие „копие“, следва да се отчете обичайното значение на това понятие, което, съгласно заключението на генералния адвокат, обозначава точната реплика или транскрипция на оригинал, затова просто общото описание на данните, които са в процес на обработка или препращането към категории лични данни не би отговаряло на това определение. В т. 23 от посоченото решение на Съда на ЕС е прието, че употребата на израза „всяка информация“ в определението на понятието „лични данни“, залегнало в тази разпоредба, отразява целта на законодателя на Съюза да придаде широк смисъл на това понятие, което потенциално обхваща всякакъв вид информация, както обективна, така и субективна, под формата на становища или преценки, при условие че „засяга“ съответното лице. В решението на Съда се сочи също, че член 15, параграф 3, изр. първо от Регламент (ЕС) 2016/679 трябва да се тълкува в смисъл, че правото да се получи от администратора копие от личните данни, които са в процес на обработване, изисква на субекта на данните да се предостави точна и разбираема реплика на всички тези данни. Това право предполага правото на получаване на копие от извлечения от документи и дори от цели документи или от извлечения от бази данни, които в частност съдържат посочените данни, ако предоставянето на такова копие е задължително, за да може субектът на данните ефективно да упражни предоставените му с този регламент права, като в това отношение трябва да се вземат предвид правата и свободите на други лица.

Ето защо настоящият състав на съда приема, че субектът на данните не може да бъде лишен от възможността да упражни правата си по ЗЗЛД и Регламент (ЕС) 2016/679 във връзка със съществуващите между него и администратора на лични данни взаимоотношения. Непредоставянето на копия от договора (или договори), чието сключване е основание за обработване на личните данни на субекта, и на други документи във връзка с този договор, съдържащи лични данни, е нарушение на принципа за прозрачност в дейността на администратора на лични данни, която осигурява и гарантира спазването на принципите на законосъобразност, добросъвестност, точност, цялостност и поверителност. В горната насока е и константната практика на касационната инстанция по идентични случаи. Така Решение № 1159 от 11.02.2025 г. на ВАС по адм. д. № 9474/2024 г., Решение № 7101 от 28.06.2023 г. на ВАС по адм. д. № 1825/2023 г. и Решение № 2763 от 18.03.2025 г. постановено по адм. дело № 11251/2024 г. по описа на ВАС.

Част от основните принципи, въведени от Регламент (ЕС) 2016/679 по повод обработването на лични данни, са и тези, съдържащи се в член 5, параграф 1, букви „а“ и „б“, съгласно които личните данни следва да са обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“), както и да са събирани за конкретни, изрично указани и легитимни цели, и да не се обработват по-нататък по начин, несъвместим с тези цели, като отговорността за това, респ. и задължението да докаже изпълнението на тези принципи, е изцяло в тежест на администратора на личните данни, който всъщност е субектът, определящ предварително категорията лични данни, които ще обработва, и целите на обработката. Принципите на отчетност и прозрачност са призовани в защита на правата и интересите на субектите на лични данни, доколкото те следва да могат по всяко време и на правно основание да изискат от администратора доказателства, че обработката на данните е легитимна по смисъла на член 6 от Регламента. От своя страна член 6, параграф 1 от Регламент (ЕС) 2016/679 гласи, че обработването е законосъобразно, само ако и доколкото е приложимо поне едно от изброените в разпоредбата условия, между които са и условията субектът на данните да е дал съгласие за обработване на личните му данни за една или повече конкретни цели (буква „а“) и обработването да е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор (буква „б‘). Следователно, обработката на лични данни не може да е за цели, различни от тези, за които субектът е дал съгласие в т. ч и за договори, по които той не е страна, може да не е страна или не е уведомен, че е страна. В случая оспорващата изрично е поискала да й бъдат предоставени копия на всички лични данни, които са в процес на обработване, като е конкретизирала и че това включва договори, стандартни европейски формуляри, платежни нареждания, в които са отразени данни. Както вече се посочи, предоставянето на същите е било задължително, за да може субектът на данни ефективно да упражни предоставеното му с Регламента право. Без значение е целта на това искане и дали например лицето съхранява или не своя екземпляр от договора и другите съпътстващи документи. Това са обстоятелства, неотносими към задължението на администратора на личните данни, съгласно ЗЗЛД и Регламента – да ги предостави, когато са надлежно поискани по реда на чл. 37б, във вр. с чл. 37в от ЗЗЛД.

Спазвайки принципите на прозрачност и отчетност администраторът дължи поведение, чрез което да предостави на субекта всякаква информация по отношение обработването в кратка, прозрачна, разбираема и лесно достъпна форма, чрез която субектът да може да провери налице ли е законосъобразно обработване на личните му данни, в т. ч. кои са целите на това обработване, които всъщност са обусловени изцяло от конкретното фактическо основание, предпоставило пряката нужда от обработка – в случая наличието на сключен договор кредит. Само по този начин субектът на данните би могъл да провери дали свързаните с него данни са точни, дали се обработват законосъобразно, както и евентуално да упражни права по Регламента.

Нужно е тук да се отбележи и това, че не са налице законовите предпоставки за отказ от предоставянето на лични данни, каквито са конкретно изброени в чл. 37а, ал. 1 от ЗЗЛД. Съгласно тази разпоредба, администраторът или обработващият лични данни може да откаже пълно или частично упражняването на правата на субектите на данни по чл. 12 – 22 от ОРЗД, както и да не изпълни задължението си по чл. 34 от регламента, когато упражняването на правата или изпълнението на задължението би създало риск за: националната сигурност; отбраната; обществения ред и сигурност; предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществения ред и сигурност; други важни цели от широк обществен интерес и по-специално важен икономически или финансов интерес, включително паричните, бюджетните и данъчните въпроси, общественото здраве и социалната сигурност; защитата на независимостта на съдебната власт и съдебните производства; предотвратяването, разследването, разкриването и наказателното преследване на нарушения на етичните кодекси при регулираните професии; защитата на субекта на данните или на правата и свободите на други лица; изпълнението по гражданскоправни искове. Визираните от законодателя хипотези не се установяват в случая, поради което ответникът няма основание за се позове на тях по какъвто и да е начин (явно или не).

Неизпълнение на задължението си по член 15, параграф 3 от Регламент (ЕС) 2016/679 – да предостави на жалбоподателката и изисканите копия на документи (вкл. договори, стандартни европейски формуляри, платежни нареждания – ако същите съдържат нейни лични данни), чрез които се обработват личните й данни, би ограничило възможността лицето да узнае конкретните фактически и правни основания, обуславящи целите на обработка на личните й данни. Противното разбиране води до ситуация, в която субектът на данните получава единствено обща информация за вида и категорията на обработваните лични данни, но не може да получи конкретни сведения за целите на обработката, т. е. какво е точното фактическо основание за нейното извършване. Това води до пряко неизпълнение от страна на администратора на лични данни на задължението за отчетност, което препятства и възможността субекта на данните да осъществи ефективна проверка относно тяхното законосъобразно, добросъвестно и прозрачно обработване. Като не е предоставил данните, ответникът е лишил жалбоподателката и от „правото на защита на личните данни“, което й се предоставя с чл. 8, параграф 1 от Хартата на основните права на Европейския съюз, като съответно е била поставена и в невъзможност да придобие непосредствени впечатления за спазване на задължението на администратора за осигуряване защитата на тези данни, така че да се гарантира тяхното законосъобразно обработване, в съответствие с принципите, определени в член 5 от Регламент 2016/679. Оспореният отказ възпрепятства жалбоподателката да се възползва и от правото й по член 8, параграф 2 от Хартата на основните права на Европейския съюз, да получи ясна представа за това дали данните й са обработвани добросъвестно, за точно определени цели и въз основа на съгласието й или по силата на друго предвидено от закона легитимно основание.

По изложените съображения жалбата се явява основателна, а оспореният отказ – незаконосъобразен. Поради това, същият следва да бъде отменен и преписката да се върне на администратора на лични данни за произнасяне по заявлението на С. В. В., при съобразяване с дадените указания по тълкуването и прилагането на закона.

Посочената от ответника съдебна практика настоящият съдебен състав не споделя, а и не е длъжен да се съобразява с нея, доколкото същата няма задължителен характер за съдилищата.

При този изход на спора жалбоподателката има право на разноски, а именно 10 лева внесена държавна такса за образуване на делото и минимално предвиденото за този вид дела възнаграждение за адвокат, по Наредба № 1 от 9.07.2004 г. за възнаграждения за адвокатска работа, който е представлявал оспорващата в настоящото производство на основание чл. 38, ал. 1, т. 2 от Закона за адвокатурата (ЗА).

Правото на адвоката да окаже безплатна адвокатска помощ на лице по чл. 38, ал. 1, т. 2 от ЗА е установено със закон. Когато в съдебното производство насрещната страна дължи разноски, съгласно чл. 38, ал. 2 от ЗА, адвокатът, оказал на страната безплатна правна помощ има право на адвокатско възнаграждение в размер, определен от съда, което възнаграждение се присъжда на адвоката. За да упражни последният това свое право е достатъчно да представи сключен със страната договор за правна защита и съдействие, в който да посочи, че договореното възнаграждение е безплатно на основание чл. 38, ал. 1, т. 2 от ЗА, като не се нуждае от доказване обстоятелството, че клиентът е в значително материално затруднение. Посочените предпоставки в случая са налице, поради което на жалбоподателката следва да бъде заплатено от ответника адвокатското възнаграждение в размер на 900 лева, определено по реда на чл. 8, ал. 2, т. 10 Наредба № 1 от 9.07.2004 г. за възнаграждения за адвокатска работа, върху която сума се претендира и ДДС, което на основание § 2а от ДР на Наредба № 1/2004 г. се дължи, или общо 1080 лева.

Водим от горните мотиви и на основание чл. 172, ал. 2 от АПК, вр. чл. 173, ал. 2 и чл. 174 от АПК, съдът

 

Р Е Ш И:

 

ОТМЕНЯ по жалба на С. В. В., [ЕГН], Изричен отказ от 11.04.2025 г. на „Кредирект“ ЕООД, по заявление (искане) от 12.03.2025 г., в качеството му на администратор на лични данни да предостави на оспорващата поисканите от нея копия на документи (вкл. договори, стандартни европейски формуляри, платежни нареждания – ако същите съдържат нейни лични данни).

ВРЪЩА преписката на „Кредирект“ ЕООД, [ЕИК], за произнасяне по подаденото от С. В. В., [ЕГН], заявление (искане) от 12.03.2025 г., при спазване на задължителните указания по тълкуването и прилагането на закона, дадени с настоящото решение, като на основание чл. 174 от АПК определя 14-дневен срок от влизане в сила на съдебното решение.

ОСЪЖДА „Кредирект“ ЕООД, [ЕИК], да заплати на С. В. В., [ЕГН], разноски по делото в размер на 10.00 (десет) лева.

ОСЪЖДА „Кредирект“ ЕООД, [ЕИК], да заплати на Еднолично адвокатско дружество М., действащо чрез управителя адв.М. В. М., сумата от 1080 (хиляда и осемдесет) лева, представляваща адвокатско възнаграждение за оказана на С. В. В. от [населено място] безплатна адвокатска помощ и съдействие на основание чл. 38, ал. 1, т. 2 от Закон за адвокатурата.

 

Решението подлежи на касационно обжалване пред ВАС в 14-дневен срок от съобщаването му.