Решение по дело №177/2024 на Административен съд - Смолян

Делото е образувано по жалба, подадена от Р. Р. Б., с посочен в жалбата ЕГН, с адрес за призоваване [населено място], срещу отказ на „ Ай Тръст“ ЕООД [населено място] да предостави данни, посочени в искането й, от 11 април 2024 г., който отказ е обективиран в писмо от 26.04.2024., изпратено на електронния адрес на заявителя.

В жалбата се твърди, че е получен отговор, в който е отговорено само на някой от въпросите, а получения файл компилация, пригоден за машинно четене не е структуриран по начин, да позволи на заявителката да се ориентира в така посочената информация, при което следва да се приеме, че дружеството е постановило отказ да представи копие от лични данни съгласно изискванията на чл.15,§ 3 от Регламент /ЕС/ 2016/679. Сочи за допустимост на жалбата, като твърди липса на друго производство пред КЗЛД. Въз основа на подаденото искане за ответника е било налице задължение да се произнесе, като предостави копия от лични данни, като подадения такъв не отговаря на изискванията на чл.15,§ 3 от Регламент /ЕС/ 2016/679. Сочи се че в отговор ответното дружество цитира пар. 150-152 и сл. от Насоки 01.2022 г. на Европейския комитет по защита на данните и уверява молителя, че е в процес на изготвяне на компилация, съдържаща личните данни на доверителката ми.

С отговора си ответника, оспорва подадена жалба, като недопустима, а при условията на евентуалност, като неоснователна и недоказана. Оспорва твърдението, че не са предоставени изисканите лични данни. Видно от приложения отговор от дружеството към жалбата, същите са предоставени в законоустановения срок. Съгласно указанията, приложено изпраща заверени копия от искане от 11.04.2024 г. на субекта на данните (Искането), отговор от „Ай Тръст“ ЕООД с изх. № 10 от 26.04.2024 г. на Искането, разпечатка от два броя електронни съобщения, изпратени от длъжностното лице по лични данни на „Ай Тръст“ ЕООД на 26.04.2024 г. и 10.05.2024 г. до електронния адрес на процесуалния представител на г-жа Б. ([електронна поща]), ведно с приложенията към тях, с което са удовлетворили искането им.

Сочи, че г-жа Б., при сключването на договори с „Ай Тръст“ ЕООД, е получила копие на посочения от нея електронен адрес и следва да съхранява същите. Както са цитирали в отговора си до нея, по отношение искането за достъп до носители на лични данни (като договори и Др.), видно от Параграф 150-152 и сл. от Насоки 01/2022 г. на Европейския комитет по защита на данните „Отговорност на администратора е да вземе решение за подходящата форма, в която ще бъдат предоставени личните данни, като не е непременно длъжен, да предостави документите, които съдържат лични данни за субектите на данни, които правят искането, в техния оригинален вид. Същия би могъл, за всеки отделен случай, да предостави достъп до копие на носителя като такъв, предвид необходимостта от прозрачност (например, за да провери точността на данните, съхранявани от администратора, в случай на искане за достъп до медицинското досие или аудиозапис, чийто препис е оспорен). Съдът на ЕС в своето тълкуване на правото на достъп сьгласно Директива 95/46/ЕО посочва, че „за да бъде спазено правото на достъп, е достатъчно на заявителя да бъде предоставено пълно резюме на тези данни в разбираема форма, тоест форма, която му позволява да се запознае с тези данни и да провери дали са точни и обработени в съответствие с тази директива, така че да може, когато е уместно, да упражнява правата, предоставени на него”87. За разлика от директивата, 87 CJEU, съединени дела С-141/12 и 372/12, YS и други, пар. 60. 49 Приетият GDPR изрично съдържа задължение за предоставяне на субекта на данните на копие от личните данни, които се обработват. Това обаче не означава, че субектът на данните винаги има право да получи копие от документите, съдържащи личните данни, а непроменено копие на личните данни, които се обработват в тези документи. Такова копие на личните данни може да бъде предоставено чрез компилация, съдържаща всички лични данни, обхванати от правото на достъп, стига компилацията да дава възможност субектът на данните да бъде уведомен и да провери законосъобразността на обработката. Следователно няма противоречие между формулировката на GDPR и решението на Съда на ЕС по този въпрос. Думата резюме в решението не трябва да се тълкува погрешно в смисъл, че компилацията няма да обхване всички данни, обхванати от правото на достъп, а е просто начин да се представят всички тези данни, без да се дава достъп до основните документи, които съдържат личните данни. Тъй като компилацията трябва да съдържа копие на личните данни, трябва да се подчертае, че тя не може да бъде направена по начин, който променя съдържанието на информацията“. В конкретния случай „ Ай Тръст“ ЕООД е избрало да предостави компилация, съдържаща всички лични данни, обхванати от правото на достъп, която да даде възможност субектът на данните да бъде уведомен и да провери законосъобразността на обработката, без обаче да предоставяме копия на документите, съобразно Параграф 150-152 и сл. от Насоките на Европейския комитет по защита на данните. За част от тези договори е дори изтекъл срокът за съхранение от 5 г. и не се пазят. Обратното означава злоупотреба с право и демонстрира желание за постигане на друга цел, отвъд целта на законодателството за лични данни.

В съдебно заседание, жалбоподателят не се явява и не се представлява.

В писмено становище поддържа жалбата и сочи, че предвид изпратения от дружеството файл-компилация и становището, аргументирано с пар. 150-152 и сл. от Насоки 01.2022 г. на Европейския комитет по защита на данните счита, че Дружеството е постановило отказ да предостави копие на лични данни съгласно изискванията на чл. 15. пар. 3 от Регламент (ЕС) 2016/679, който отказ следва да бъде отменен, а ответното дружество - администратор на лични данни да бъде задължено да предостави исканата информация съобразно законовите изисквания. В конкретния случай жалбоподателя е отправил искане по чл. 376 от ЗЗЛД до администратор на лични данни, какъвто ответното дружество определено е. Сочи се и, че жалбоподателят Р. Б. е субект, чийто лични данни са обработвани от дружеството-ответник, и респ. има право, като субект на това обработване на достъп до обработваните й от администратора лични данни. Счита, че настоящата жалба е допустима, като цитира Определение № 10675 от 20.10.2021 г. по адм. д. № 9915/2021 на Върховния административен съд по аналогичен казус.

Сочи се, че с отправеното към администратора на лични данни, искане от 11.04.2024 г. са изискани и копия на лични данни, съобразно параграф 3. чл. 15 ОРЗД, като е направено уточнение, че при наличието на договори между страните, следва да бъдат представени копия от всички договори, погасителни планове, анекси, общи условия към тях, декларации, искания, референции и всякакви други документи и съществуваща кореспонденция между страните за периода 27.05.2017г. - 04.04.2024 г. Пояснено е още, че въпросните документи се явяват носители на информация за обработваните лични данни по смисъла на чл. 15, параграф 1 от Регламент (ЕС) 2016/679 и без тях се препятства възможността на молителя да се убеди, че обработката на лични данни е законосъобразна. С отговора си ответникът е отказал предоставянето на въпросните документи, като е аргументирал отказа си с Параграф 150-152 и сл. от Насоки 01/2022 г. на Европейския комитет по защита на данните, съгласно които ответното Дружество е пояснило, че „В конкретния случай „Ай Тръст“ ЕООА е избрало да предостави компилация, съдържала всички лични данни, обхванати от правото на достъп, която да даде възможност, субектът на данните да бъде уведомен и да провери законосъобразността на обработката, без обаче да предоставяме копия на документите, съобразно Параграф 150-152 и сл. Насоките на Европейския комитет по зашита на данните."

Излага доводи, че следва да се има предвид, че цитираните са Насоки, нямат обвързваш характер. Съгласно уеб-сайтът на Европейската комисия, Насоките принадлежат към графа „Препоръки", които позволяват на институциите на ЕС да изразяват своето мнение и да предлагат насоки за действие, без това да води до правни задължения за тези, към които са насочени. Не така стои въпросът с Решенията, практиката на СЕС е задължителна за националните съдилища на държавите членки (чл. 19 ДЕС), като този принцип е установен и във вътрешното законодателство и по-специално в чл. 633 ГПК (субсидиарно приложим и в административния процес -арг. чл. 144 АПК), съгласно който решението на Съда на Европейските общности е задължително за всички съдилища и учреждения в Република България.

От изключително значение се сочи за настоящия казус Решение от 04.05.2023 г. (постановено след Насоките от 01.2022) по дело С-487/21 на СЕС, Osterreichische Datenschutzbehorde и CRIF. Същото е резултат от преюдициално запитване към СЕС относно думата „копие" в чл. 15. параграф 3 от Регламент 2016/679, съгласно който Администраторът предоставя копие от личните данни, които са в процес на обработване.

Съгласно мотивите на горецитираното решение: ..Доколкото в ОРЗА не е далено определение на така използваното понятие „копие“, следва да се отчете обичайното значение на това понятие, което обозначава точната реплика или транскрипция на оригинал. Правото да се получи от алминистратора копие от личните данни, които са в процес на обработване, изисква на субекта на данните да се предостави точна и разбираема реплика на всички тези данни. Това право предполага правото на получаване на копие от извлечения от документи и дори от цели документи или от извлечения от бази данни, които в частност съдържат посочените данни, ако предоставянето но такова копие е задължително, за да може субектът на днните ефективно да упражни предоставените му с този регламент права. С оглед гореизложеното твърди, че отказът на ответното дружество да предостави на Р. Б. точни и разбираеми реплики на документи, носители на личните й данни по реда на чл. 15, параграф 3 от Регламент (ЕС) 2016/687 е нарушение на основните принципи за обработка на личните данни, предвидени в чл. 5, § 1, б. "а" от Регламент (ЕС) 2016/687.Следва да се има предвид, че с чл. 12, § 1 от ОРЗД администраторите на лични данни са задължени да осигурят достъп до данни на субекта на данни във форма, която да позволява на лицето да се запознае с данните и да провери дали те са точни и се обработват в съответствие с ОРЗД, което гарантира възможността му да упражни впоследствие и други права.

Счита, че е налице правен интерес от настоящото производство и моли да се отмени отказа на ответника „Ай Трьст" ЕООД, ЕИК . - администратор на лични данни и да се задължи но основание чл. 174 АПК, в определен от срок да предостави заявените с искане от 11.04.2024 г. копия/реплики на документи в които се съдържат нейни лични данни. Сочи се практика / Решение №7101 от 28.06.2023 г. по адм. д. № 1825 / 2023 г. на Върховен административен съд; Решение от 12.01.2022 г. по адм. д. № 458 / 2021 г. но Административен съд - Хасково; Решение № 556 от 30.06.2023 г. по алм. д. № 1200/2022 г. на IV състав на Административен съд - Хасково.

Ответника оспорва жалбата и поддържа отговора. Представя Е-мейлите от 26.04.2024 г., с които са изпратили отговора и няма постановен отказ за предоставяне на лични данни. Всъщност се иска нещо различно от лични данни, а именно: иска копия на документи.

При така събраните доказателства, съдът установи следното: Административното производство е започнало на 11.04.2024 г. с искане по чл. 15 и чл. 20 от Регламент (ЕС) 2016/679 на Р. Р. Б., чрез процесуалния й представител адв. Д. Г. до „Ай Тръст" ЕООД, в качеството му на администратор на лични данни. (Приложение №1). Искането е изпратено чрез Системата за сигурно електронно връчване (ССЕВ), за което представяме заверено копие на Удостоверение за връчване. (Приложение № 2). С въпросното искане по чл. 15 и чл. 20 от Регламент (ЕС) 2016/679 Р. Б., чрез процесуалния й представител е поискала да й бъде предоставена информация, както следва: Дали личните й данни се обработват от ответника и ако отговорът е положителен, то: Какви са целите за обработване: Категориите лични данни, които се обработват. Кои са получателите и категориите получатели, пред които са разкрити тези данни: Копие на личните данни, които са в процес на обработване за периода 27.05.2017г. -04.04.2024 г.

В искането е уточнено, че в случай, че между страните има сключени договори, то следва да бъдат предоставени копия от всички договори, погасителни планове, анекси, декларации, искания, референции и всякакви други документи и съществуваща кореспонденция между страните, движения на парични потоци по кредитното досие на Р. Б. и разбивка по пера с кои суми, с какъв произход какво е погасявано, за да се извърши проверка на обработваните данни. В искането е посочен и мейл адрес на който следва да бъдат предоставени въпросните документи, а именно - [електронна поща]

На 26.04.2024 г. на посочения мейл адрес е получен отговор от ответното дружество, в който според жалбоподателя е отговорено на някои от зададените въпроси. Със същия отговор, ответното дружество цитира пар. 150-152 и сл. от Насоки 01.2022 г. на Европейския комитет по защита на данните и я уверява, че е в процес на изготвяне на компилация, съдържаща личните данни на Б.. На 10.05.2024 г. в срока по чл. 12, т. 3 от Регламент (ЕС) 2016/679 е получен файл-компилация, пригоден за машинно четене, съдържащ според ответника исканите данни.

При събраните доказателства, съдът намира за безспорно установено, че дружеството е администратор на лични данни и съхранява, обработва такива по отношение на заявителката като кредитополучател. По делото е безспорно, че дружеството ответник е било сезирано с искане по реда и условията на Глава III от Регламента, като последното е отговорило при спазване изискванията на чл. 37в, ал. 1 от ЗЗЛД относно съдържанието на такова запитване. Не е спорно, а и по делото е налице отговор, в който са приложени на файл исканите данни. Спорно е обстоятелството, дали при така получения отговор е налице отказ за предоставяне на исканите данни, след като на Р. Б. са изпратени на сочения от нея ел. адрес файл-компилация, пригоден за машинно четене.

При така установеното, съдът направи следните изводи: Подадената жалба е допустима, като се има предвид, че съгласно чл. 39, ал. 1 от ЗЗЛД, при нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на Административнопроцесуалния кодекс, като в ал. 4 на чл. 39 от ЗЗЛД е въведено ограничително условие, според което субектът на данни не може да сезира съда, когато има висящо производство пред комисията за същото нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда. В случая от ответника това обстоятелство не се оспорва, а и не се представят доказателства за висящо производство пред КЗЛД. Съобразно становището в практиката на ВАС, видно от съдържанието на релевантните правни норми, в закона не е предвидено императивно изискване субектът на данни да се обърне към Комисията за защита на личните данни и едва след като изчерпи възможността да защити правата си по административен ред, да сезира съда. Със Закона за защита на личните данни е предоставена възможност на субекта на лични данни да прецени по кой ред ще защитава нарушените си права по Регламент (ЕС) 2016/679 и по този закон.

Жалбоподателят е упражнил правото си да сезира съда с жалба по реда и на основание чл. 39, ал. 1 от ЗЗЛД, поради което съдът е длъжен да разгледа и се произнесе по нейната допустимост и основателност.

Разгледана по същество, жалбата е неоснователна.

Търговското дружество-ответник в настоящото производство е било сезирано със заявление по чл. 37б от ЗЗЛД, отправено му в качеството на администратор на лични данни от субект на данни, а именно, като изискванията за такива заявления са посочени в чл. 37в от ЗЗЛД. Съгласно чл. 37б, ал. 1 от ЗЗЛД, субектът на данни упражнява правата по чл. 15 - 22 от Регламент (ЕС) 2016/679 чрез писмено заявление до администратора на лични данни или по друг определен от администратора начин. Съгласно чл. 37в, ал. 1 от ЗЗЛД, заявлението по чл. 37б съдържа: 1. Име, адрес, единен граждански номер или личен номер на чужденец или друг аналогичен идентификатор, или други идентификационни данни на физическото лице, определени от администратора, във връзка с извършваната от него дейност; 2. Описание на искането; 3. Предпочитана форма за получаване на информация при упражняване на правата по чл. 15 - 22 от Регламент (ЕС) 2016/679; 4. Подпис, дата на подаване на заявлението и адрес за кореспонденция.

След като дружеството е администратор на лични данни и съхранява, обработва, чиито данни се обработват, то същото е задължено лице да предостави исканите данни, но в случая от събраните доказателства не може да се приеме, че е налице изричен отказ за предоставяне на лични данни, независимо че са изпратени на сочения от заявителката Б. ел. адрес файл-компилация, пригоден за машинно четене, то задълженото лице е предоставило такива на заявителя Съгласно чл. 12, § 1 от Регламента администраторът предприема необходимите мерки за предоставяне на всякаква информация по членове 13 и 14 и на всякаква комуникация по членове 15-22 и член 34, която се отнася до обработването, на субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго. Съгласно § 4 от същата норма на Регламента, ако администраторът не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред.

Според релевантната в случая разпоредба на чл. 15, § 1 от Регламент 2016/687, субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация: целите на обработването; съответните категории лични данни; получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации; когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок; съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване; правото на жалба до надзорен орган; когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник; съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

Според чл. 20, ал. 1 от Регламент 2016/687, субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат, при което не може да бъде споделено твърдението за отказ за предоставяне на данни. В случай на отказ, целта на отговора е уведомяването на субекта на данни е да узнае причините, поради които администраторът няма да му предостави исканата информация, за да може да отстрани пречките, поради които по искането не се предприемат действия или той да сезира надзорния орган.

Лицето е било уведомено, че ще му бъде представен файл компилация на исканите данни, които са обработвани по повод сключени договори за заем с дружеството. Фактът дали съхранява или не своите копия от договорите за заем не е относим към задължението на администратора на личните данни съгласно Регламента и ЗЗЛД, да ги предостави, когато са надлежно поискани по реда на чл. 37б и чл. 37в от ЗЗЛД. Безспорно е в случая, че в изпълнение на горното изискване, както и на изискването по чл. 12, § 1 от Регламента, администраторът е предприел необходимите мерки за предоставяне на всякаква информация по чл. 13 и 14 и на всякаква комуникация по чл. 15-22 и чл. 34, която се отнася до обработването, на субекта на данните кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език. Информацията се предоставя писмено или по друг начин, включително когато е целесъобразно, с електронни средства. В конкретния случай не се спори, а и е налице отговор, при което не може да бъде споделено становището, че не е налице изрично произнасяне от страна на дружеството във връзка с подаденото искане. Не е постановяван отказ за предоставяне на лични данни. Напротив, всички лични данни на ищцата за надлежно предоставени в законоустановения срок на процесуалния й представител по е-мейл за машинно четене, като яснотата и достъпността са строго специфични за всеки индивид, но след като жалбоподателят е изявил желание да комуникира на ел. адрес се предполага, че за него е налице средностатистически капацитет да разпознае значението на събираните данни и разчете същите на предоставения имейл. Предвид изложеното, след като по делото не се установява да е налице изричен отказ за предоставяне на лични данни, вкл. данните съдържащи се в копия на документи, то и жалбата се явява неоснователна.

Според чл.4, параграф 1 от Регламент 2016/679, „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни"); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице“. Съгласно чл.4, параграф 2 от Регламент 2016/679, „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

Действително копието на лични данни не би следвало да се отъждествява с копие от документи, в каквато насока е било и отправеното от жалбоподателя искане – за копие на личните данни, които са в процес на обработване, но следва да се отчете, че разпоредбите на Регламент 2016/679 предоставят права на субекта на данни, които последният може да упражни, като тези права произлизат от фундаменталното право на достъп до информация за личните данни, които съответния администратор обработва на конкретен субект, като в случая обработването първоначално е започнало по повод възникнало правоотношение между администратора и субекта на данни – сключени договори за кредит, което обстоятелство не е спорно по делото и се установява от изявленията на процесуалния представител на ответника по делото и именно тези договори се явяват носители на информация за обработваните лични данни по смисъла на чл.15 §1 ОРЗД, като не се спори, че същите се съдържат в предоставения файл компилация. С оглед възникналите между оспорващия и ответника взаимоотношения, не може да се приеме, че в случая се отказва от администратора на лични данни, и на практика физическото лице е било възпрепятствано да упражни правата, които му предоставя чл.14 от Регламент 2016/679, и по-конкретно това по параграф 1, буква „в“ - правото да се получи информация за целите на обработването, за което личните данни са предназначени, както и правното основание за обработването. В този смисъл не може да се направи извод, че субектът е поставен в невъзможност да разбере дали личните му данни се обработват законосъобразно, по смисъла на ЗЗЛД и Регламент 2016/679, като не се твърди че компилацията по някакъв начин променя обхват или съдържанието на личните данни. Предвид изпратения отговор и последващия файл компилация за машинно четене не може да се приеме, че жалбоподателят е бил поставен в невъзможност да придобие непосредствени впечатления за спазване на задължението на администратора за осигуряване защитата на тези данни, така че да се гарантира тяхното законосъобразно обработване, в съответствие с принципите, определени в чл.5 от Регламент 2016/679.

Видно, от Параграф 150-152 и сл. от Насоки 01/2022 г. на Европейския комитет по защита на данните „Отговорност на администратора е да вземе решение за подходящата форма, в която ще бъдат предоставени личните данни. Администраторът може, въпреки че не е непременно длъжен, да предостави документите, които съдържат лични данни за субектите на данни, които правят искането, в техния оригинален вид. Администраторът би могъл, например, за всеки отделен случай, да предостави достъп до копие на носителя като такъв, предвид необходимостта от прозрачност (например, за да провери точността на данните, съхранявани от администратора, в случай на искане за достъп до медицинското досие или аудиозапис, чийто препис е оспорен). Съдът на ЕС обаче в своето тълкуване на правото на достъп съгласно Директива 95/46/ЕО посочва, че „за да бъде спазено правото на достъп, е достатъчно на заявителя да бъде предоставено пълно резюме на тези данни в разбираема форма, тоест форма, която му позволява да се запознае с тези данни и да провери дали са точни и обработени в съответствие с тази директива, така че да може, когато е уместно, да упражнява правата, предоставени на него" 87. За разлика от директивата, 87 CJEU, съединени дела С-141/12 и 372/12, YS и други, пар. 60. 49 Приетият GDPR изрично съдържа задължение за предоставяне на субекта на данните на копие от личните данни, които се обработват. Това обаче не означава, че субектът на данните винаги има право да получи копие от документите, съдържащи личните данни, а непроменено копие на личните данни, които се обработват в тези документи. Такова копие на личните данни може да бъде предоставено чрез компилация, съдържаща всички лични данни, обхванати от правото на достъп, стига компилацията да дава възможност субектът на данните да бъде уведомен и да провери законосъобразността на обработката. Следователно няма противоречие между формулировката на GDPR и решението на Съда на ЕС по този въпрос. Думата резюме в решението не трябва да се тълкува погрешно в смисъл, че компилацията няма да обхване всички данни, обхванати от правото на достъп, а е просто начин да се представят всички тези данни, без да се дава достъп до основните документи, които съдържат личните данни. Тъй като компилацията трябва да съдържа копие на личните данни, трябва да се подчертае, че тя не може да бъде направена по начин, който променя или променя съдържанието на информацията". Освен това заявителят не е разграничил понятията и не конкретизирал искането си във връзка с понятията "копие на лични данни" и "копие от цялостен документ".

В конкретния случай „Ай Тръст“ ЕООД е избрало да предостави компилация, съдържаща всички лични данни, обхванати от правото на достъп, която да даде възможност субектът на данните да бъде уведомен и да провери законосъобразността на обработката, без обаче да предоставяме копия на документите, съобразно Параграф 150-152 и сл. Насоките на Европейския комитет по защита на данните. Още повече, че за част от тези искани копия на договори е дори е изтекъл срокът за съхранение от 5 г. и „Ай Тръст“ ЕООД не ги съхранява. Съгласно чл. 39, ал. 1 от ЗЗЛД, при нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на Административнопроцесуалния кодекс.

На следващо място, служебно известно е на докладчика, че в СмАС през последните два месеца са образувани девет дела на жалбоподателката, като по всички тях, пълномощник е адв.Д. Г., при което не е е ясна целта на водените производства и исканите данни, като същевременно може да се направи извод, че в случая е налице злоупотреба с право от страна на жалбоподателката и нейния процесуален представител.

Условие за възникване на право на жалба, е твърдяно нарушение на правата по Регламента и ЗЗЛД, което относно правата по чл. 15-22 от Регламента може да възникне само след произнасянето на администратора на лични данни. Нарушенията може да са свързани с непредоставяне на прозрачна информация, непроизнасяне или незаконосъобразно произнасяне по искания за защита на лични данни, изтриване на лични данни, незаконосъобразно позоваване на ограниченията за изтриване на лични данни, неуведомяване при коригиране, изтриване или ограничение на обработването са обусловени от произнасянето, действието или бездействието на администратора на лични данни с оглед защита на лицата предоставили тези данни от неравномерното им използване и съответно настъпили вреди от такива, каквато е целта на закона и за каквито обстоятелства не се сочат твърдения.

При така установеното от фактическа страна, съдът приема, че оспореният административен акт е издаден от компетентен орган, в кръга на правомощията му, съгласно чл. 38, ал. 3 от ЗЗЛД, в законоустановената форма, съгласно чл. 59 от АПК, като при издаването му не са допуснати съществени процесуални нарушения .Оспореният административен акт не страда от липса на мотиви, че административния орган не е дерогирал изискванията на чл. 30 от АПК, както и че не са налице нарушение на основните принципи, заложени в чл. 4, ал. 2 и ал. 3 АПК.

Предвид изложеното, жалбата е неоснователна и като такава следва да се отхвърли, поради което СмАС

 

Р Е Ш И:

 

ОТХВЪРЛЯ ОСПОРВАНЕТО по жалба, подадена от Р. Р. Б., с адрес за призоваване [населено място],обл. . срещу отказ на „ Ай Тръст“ ЕООД [населено място] да предостави исканите от лицето данни, посочени в искането му от 11 април 2024 г., който отказ е обективиран в писмо от 26.04.2024г., изпратено на електронния адрес на заявителя.

Осъжда Р. Р. Б. да заплати на „ Ай Тръст“ ЕООД, [населено място] юрисконсултско възнаграждение в размер на 150 лв.

Решението може да се обжалва с касационна жалба в 14 дневен срок от съобщението, че е изготвено.