РЕШЕНИЕ
№ 8213
Хасково, 19.11.2025 г.
В ИМЕТО НА НАРОДА
Административният съд - Хасково - VI състав, в съдебно заседание на двадесет и четвърти октомври две хиляди двадесет и пета година в състав:
| Съдия: | ПАВЛИНА ГОСПОДИНОВА |
При секретар СВЕТЛА ИВАНОВА като разгледа докладваното от съдия ПАВЛИНА ГОСПОДИНОВА административно дело № 20257260701267 / 2025 г., за да се произнесе взе предвид следното:
Производството е по реда на чл.145 и сл. от АПК във вр. с чл.39, ал.1 от Закон за защита на личните данни и е образувано по жалба на С. В. В. от [населено място], обл.Хасково, подадена чрез упълномощен представител, срещу Отказ от 29.05.2025г. на ЕАД Кредисимо – София, да представи всички носители на лични данни, въз основа на които обработва данните на жалбоподателката, за периода от 05.03.2019г. до 05.03.2025г. – договори стандартни европейски формуляри, погасителни планове и всички други документи. В жалбата се твърди, че на 12.03.2025г. по ел.поща било изпратено искане на основание чл.15 и чл.20 от Регламент (ЕС) 2016/679 от жалбоподателката в качеството ѝ на субект, на когото се обработват личните данни за периода от 05.03.2019г. до 05.03.2025г. На 11.04.2025г. бил получен отговор, с който се потвърждава обработката на лични данни, а по отношение искането да бъдат представи носителите на лични данни ответникът посочил, че представя компилация, съдържаща всички данни, обхванати от правото на достъп, но прилага единствено Договор за потребителски кредит №3072216 от 06.11.2024г., Приложение №1, СЕФ към договора и ОУ, въпреки че жалбоподателката имала сключени и други договори с дружеството. Поради това било изпратено допълнително искане на 29.04.2025г. – за предоставяне на исканата информация и на копие от всички носители на лични данни. На 29.05.2025г. бил получен отговор по допълнителното искане, в който се сочело, че дружеството нямало законово задължение да предоставя копие от договори, чието действие било преустановено поради изпълнение на предмета им. Но доколкото дружеството било администратор на лични данни, то на основание чл.12 от Регламента следвало да предприеме необходимите мерки за предоставяне на всякаква информация, като в широк смисъл това било и носителят на лични данни, защото това не било конфиденциална информация, за да се откаже достъп. Непредставянето на данните от страна на дружеството не можело да се обоснове правно, тъй като субектът на данни трябвало да е сигурен, че данните се обработват легитимно. Съдържанието на правото му не се свеждало единствено до копие от данните, а и до носителите, за да се установи дали е подписан съответния документ и дали е бил получен екземпляр от него. В носителите на лични данни не се съдържали и данни на трети лица, нямало конфиденциална информация, засягаща трети лица. Самият отказ водел до съмнение на какво основание съответните данни се обработват. Излагат се правни съображения и се сочи практика на СЕС и ВАС, както и на административни съдилища. Иска от съда да отмени изричния отказ от 29.05.2025г., а ответната страна да бъде задължена да предостави всички носители на лични данни, въз основа на които обработва данните на С. В. В. за периода от 05.03.2019г. до 05.03.2025г. – договори, стандартни европейски формуляри, погасителни планове и всички други документи, подписани от В. във връзка с отпускане на заем, както и да бъде задължен ответникът в 7-дневен срок от влизане в сила на решението да предостави исканите документи, както и бъдат заплатени разноските по делото.
Ответната страна счита жалбата за неоснователна. Дружеството избрало да представи компилация, съдържаща личните данни, без да представя копие то данните. В случая бил представен и договор, който е действащ – в изпълнение на задължението по чл.10, ал.1 от ЗПФУР, като нямало твърдения, че това е единствения договор, сключен между страните. Жалбоподателката следвало да предприеме разумни мерки за защита на правата си и да съхрани документите; не била положила необходимата грижа и било недопустимо да реализира правата си по съдебен ред. Освен това данните не се съхранявали за период по-дълъг от 5 години преди заявяване на искането.
Съдът, като прецени доказателствата по делото, доводите и възраженията на страните, приема за установено от фактическа страна следното:
На 12.03.2025г. жалбоподателката Св.В., чрез пълномощник, подала по електронен път заявление до ЕАД Кредисимо – София, с което поискала информация дали личните ѝ данни се обработват, както и копие от всички такива в процес на обработване, като изрично сочи периода от 05.03.2019 до 05.03.2025г. За изпращането на исканите документи е посочен електронен адрес.
С писмо, подписано на 11.04.2025г. от длъжностно лице по защита на данните Ел.В., е уведомена Св.В., че дружеството обработва лични данни на В. към настоящия момент, посочени са данните – три имена, пълномощник, данни относно кредитоспособността, данни за осчетоводяване, гласов запис на тел.разговори, ІР адрес, ел.кореспонденция, копие от лична карта. Изложени са съображения по отношение на получателите и категориите получатели и по сроковете за съхранение на лични данни, както и за правата на субектите на лични данни и за източниците на лични данни и използването на автоматизирано вземане на решения. Към отговора е приложен СЕФ от 06.11.2024, касаещ договор за кредит с общ размер 3 000,00 лева и падеж на първа вноска 20.12.2024г., ведно с ОУ и договора за кредит с №3072216 и Приложение №1 към него.
След получаване на писмото от 11.04.2025г. жалбоподателката отново иска предоставяне на всички носители на лични данни, доколкото – Искане от 29.04.2025г., л.32 от делото.
В Писмо от 29.05.2025г., подписано от Е. В. като длъжностно лице по данните при дружеството, се отказва да бъдат предоставени копия от договори за кредит, чието действие е преустановено поради изпълнение на договорите – л.33.
Видно от представената от оспорващия справка за кредитна задлъжнялост кредиторът ЕАД Кредисимо е посочен като такъв по договор със Св.В. с №№2815590 и 2923284, като в допълнително становище от 10.07.2025г. представляващият жалбоподателката сочи, че това са стари основания, касаещи личните данни на Св.В. и те не са предоставени при искането им.
В становище вх.№9933 от 24.07.2025г. Изп.директор на ЕАД Кредисимо потвърждава, че длъжностното лице Е. В. има правата и пълномощията за извършване на действията във връзка с процесното искане.
При извършената служебна справка в общодостъпния регистър в КЗЛД е установено, че Е. А. В. е вписана като длъжностно лице по защита на личните данни в ЕАД Кредисимо.
Жалбата срещу Отказ от 29.05.2025г. е подадена чрез ел.поща с валиден КЕП на 12.06.2025г. до Административен съд Хасково /входирано в деловодството на 13.06.2025г./.
При така установеното от фактическа страна, се налагат следните правни изводи:
Съгласно чл.39, ал.1 от ЗЗЛД, при нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на Административнопроцесуалния кодекс. В случая отказът е подписан от длъжностно лице по данните при ЕАД Кредисимо - София.
Съдът приема за безспорен факта, че между жалбоподателката Св.В. и ЕАД Кредисимо – София, има създадени облигационни отношения, предвид сключени договори за кредит, наличието на които е безспорно, като оспорващият е субект, чийто лични данни са обработвани от дружеството, и съответно има право, като субект на това обработване, на достъп до обработваните от администратора лични данни, съгласно член 15 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Регламент 2016/679). Съответно ответникът длъжностно лице при ЕАД Кредисимо – София, попада в хипотезата на определението по член 4, параграф 7 от Регламент 2016/679, съгласно която „администратор“ е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.
С оглед процесуалното поведение и на двете страни, съдът приема, че между тях не е налице висящо производство по този спор пред КЗЛД и няма наличие на пречка по смисъла на чл.39, ал.4 от ЗЗЛД жалбата да бъде разгледана от съда.
В този смисъл оспорването, като направено от легитимирано лице с правен интерес, и против акт, подлежащ на съдебно обжалване и контрол за законосъобразност, е процесуално допустимо. След преценка становищата на страните и съдържанието на заявлението с искане за предоставяне на лични данни, както и постановения във връзка с него отговор, инкорпориран в писмо от 29.05.2025г., съдът приема, че последното не съдържа исканата информация, тъй като не са предоставени изисканите със заявлението копия/екземпляри от документи, поради което следва да се приеме, че правната сфера на жалбоподателя е непосредствено засегната и за него е налице правен интерес от оспорване.
Разгледано по същество, оспорването е основателно.
Съгласно член 4, параграф 1 от Регламент 2016/679, „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице“, а съгласно параграф 2 - „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване“.
Според член 15, параграф 1 от Регламент 2016/679 субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и информация. Последната е конкретно посочена в нормата. Текстът по член 15, параграф 3 от Регламент 2016/679 предвижда администраторът да предоставя копие от личните данни, които са в процес на обработване.
В член 5, параграф 1 от Регламент 2016/679 са изброени принципите, свързани с обработването на лични данни, които трябва да се спазват от администраторите и обработващите, като в буква „а“ са предвидени принципите законосъобразност, добросъвестност и прозрачност.
Съгласно чл.37б, ал.1 от ЗЗЛД, субектът на данни упражнява правата по чл. 15 – 22 от Регламент (ЕС) 2016/679 чрез писмено заявление до администратора на лични данни или по друг определен от администратора начин.
Нормата на чл.37в, ал.1 от ЗЗЛД предвижда, че заявлението по чл.37б съдържа: 1. име, адрес, единен граждански номер или личен номер на чужденец или друг аналогичен идентификатор, или други идентификационни данни на физическото лице, определени от администратора, във връзка с извършваната от него дейност; 2. описание на искането; 3. предпочитана форма за получаване на информация при упражняване на правата по чл.15 – 22 от Регламент (ЕС) 2016/679; 4. подпис, дата на подаване на заявлението и адрес за кореспонденция. С разпоредбата на чл.37в, ал.2 от ЗЗЛД е въведено изискването при подаването на заявление от упълномощено лице, към заявлението да се прилага и пълномощното.
В случая жалбоподателят е направил по електронен път именно писмено заявление по чл.37б от ЗЗЛД до администратора на лични данни при ЕАД Кредисимо – София, при спазване на посочения в нормата административен ред. Подаденото заявление е в нормативно изискуемата форма откъм реквизити и съдържание, и е съобразено с изискванията на чл.37в от ЗЗЛД, съответно в него е направено описание на искането и то е конкретно, ясно и несъмнено дава пълна представа на адресата каква информация лицето желае да получи, като същото е подадено във връзка с упражняване на правата по член 15 от Регламент (ЕС) 2016/679 и предвид цитираните разпоредби, администраторът е длъжен да предостави копие от личните данни на субекта, така, както предвижда член 15, параграф 3 от Регламент (ЕС) 2016/679. Искането е подадено на ел.адрес, които е посочен от самия ответник, както и не е спорно, че е било получено от ответната страна. От данните по делото става ясно, че изисканата информация в цялост не е била получена от оспорващия. Страните не твърдят, че има удължаване на срока за отговор по искането, нито се излагат други конкретни съображения в тази насока като брой искания по ЗЗЛД или друга сложност, обосноваваща удължаване. На заявителя е връчен акт – отказ по искането за достъп до лични данни, в частта на предоставяне на копие от документи – договори за кредит, „чието действие е преустановено“, а съдът не възприема позицията на ответното дружество, че жалбата е неоснователна. При липсата на спор относно съществуване на сключени между страните договори, както и доказателствата в посока, че такива са съществуващи /представената справка от БНБ/ не може да бъде споделено твърдението на ответната страна, че липсва задължение за тяхното представяне. Още повече, че няма и данни жалбоподателя да е уведомен, че не се обработват лични данни, нито че документите не съдържат лични данни.
Съдът намира, че отказът на ответника да удовлетвори изцяло искането на заявителя е в нарушение на основните принципи за обработка на личните данни, предвидени в член 5, параграф 1, б. „а“ от Регламент (ЕС) 2016/679.
Следва да се отчете, че разпоредбите на Регламент (ЕС) 2016/679 предоставят права на субекта на данни, които последният може да упражни, като тези права произлизат от фундаменталното право на достъп до информация за личните данни, които съответният администратор обработва за конкретен субект, като в случая обработването първоначално е започнало по повод възникнало правоотношение между администратора и субекта на данни – сключен договор за кредит, което обстоятелство не е спорно по делото и именно този предходен договор, включително и още един такъв, се явяват носители на информация за обработваните лични данни по смисъла на член 15 параграф 1 Регламент (ЕС) 2016/679. Наличието на предшестващи договори между кредитора и настоящия жалбоподател са безспорно доказани и с представената по делото справка от БНБ. Представената вече компилация и включените в нея данни не преклудира правото на кредитополучателя да иска да получи копия от документите, които са подписани при сключване на предходни сделки.
Ето защо настоящата инстанция приема, че субектът на данни има право на достъп, в това число и право да получи копия от документи, в които се съдържат личните му данни, ако това е необходимо за извършването на проверка дали личните му данни се обработват законосъобразно, за да може да упражни ефективно правата, предоставени му в Регламент (ЕС) 2016/679.
В подкрепа на горното са разпоредбите на член 12 от Регламент (ЕС) 2016/679. Според параграф 1 на член 12 от Регламент (ЕС) 2016/679, „администраторът предприема необходимите мерки за предоставяне на всякаква информация по членове 13 и 14 и на всякаква комуникация по членове 15-22 и член 34, която се отнася до обработването, на субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език, особено що се отнася до всяка информация. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства“, а с член 12, параграф 2 от Регламент (ЕС) 2016/679 е вменено задължение на администратора на лични данни да „съдейства за упражняването на правата на субекта на данните по членове 15 – 22.“.
Съгласно приетото в практиката на СЕС правото да се получи от администратора копие от лични данни включва и правото да се получат копия от извлечения на документи и дори от цели документи или от извлечения на бази данни, които в частност съдържат посочените данни, ако предоставянето на такова копие е задължително, за да може субектът на данните ефективно да упражни предоставените му с Регламента права. В Решение на СЕС от 04.05.2023г., постановено по дело С-487/21 изрично е прието, че правото да се получи копие от личните данни, които са в процес на обработване, изисква на субекта на данните да се предостави точна и разбираема реплика на всички тези данни и това право предполага правото на получаване на копие от извлечения от документи и дори от цели документи, или от извлечения от бази данни, които в частност съдържат посочените данни.
С оглед възникналите между оспорващия и ответника взаимоотношения, с отказа на администратора на лични данни да предостави копие от сключените между нея и дружеството ответник предходни на договора за кредит с №3072216/06.11.2024г. други договори, както и всички други документи, на практика физическото лице е било възпрепятствано да упражни правата, които му предоставя и член 14 от Регламент (ЕС) 2016/679 в пълната и желана от субекта на данни степен. Така лицето е поставено в невъзможност да разбере дали личните му данни се обработват законосъобразно, по смисъла на ЗЗЛД и Регламент (ЕС) 2016/679. Непредоставянето на копие от договора за кредит, чието сключване е основание за обработване на личните данни на субекта, е нарушение на принципа за прозрачност в дейността на администратора на лични данни, която осигурява и гарантира спазването на принципите на законосъобразност, добросъвестност, точност, цялостност и поверителност. От друга страна, дори копие от въпросния договор за кредит /№2815590 и №2923284/ да е на разположение на оспорващия, субектът на данните не може да бъде лишен от възможността да упражни правата си по ЗЗЛД и Регламент (ЕС) 2016/679 във връзка със съществуващите между него и администратора на лични данни взаимоотношения.
Така съдът приема, че ответникът е лишил жалбоподателя и от „правото на защита на личните данни“, което се предоставя с чл.8, параграф 1 от Хартата на основните права на Европейския съюз, като съответно е бил поставен и в невъзможност да придобие непосредствени впечатления за спазване на задължението на администратора за осигуряване защитата на тези данни, така, че да се гарантира тяхното законосъобразно обработване, в съответствие с принципите, определени в член 5 от Регламент (ЕС) 2016/679. Оспореният отказ от 29.05.2025г. възпрепятства жалбоподателя да се възползва и от правото по член 8, параграф 2 от Хартата на основните права на Европейския съюз да получи ясна представа за това дали данните са обработвани добросъвестно, за точно определени цели и въз основа на съгласието му или по силата на друго предвидено от закона легитимно основание.
В този смисъл жалбата се явява основателна, а оспореният отговор с отказ да се предоставят копия от документи е незаконосъобразен и следва да бъде отменен, като преписката се върне на администратора на лични данни за произнасяне по заявлението в цялост, при съобразяване с дадените указания по тълкуването и прилагането на закона. Доколкото жалбоподателят формира искане, като сочи изрично период, в който са обработвани данните, то при произнасяне на ответната страна следва да се има предвид разпоредбата на чл.45, ал.5 от ЗЗЛД, съгласно която личните данни следва да се съхраняват във вид, който позволява идентифицирането на субекта на данни, не по-дълъг от необходимия за целите за които те се обработват - в конкретния случай съответния срок/период от време във връзка с продължителността на договорните отношения и съответната погасителна давност.
При извода за основателност на жалбата ответната страна следва да заплати направените по делото разноски - 10,00 лева за държавна такса.
Мотивиран така и на основание чл.172, ал.2 от АПК, съдът
РЕШИ:
ОТМЕНЯ по жалба на С. В. В. от [населено място], обл.Хасково, Отказ от 29.05.2025г. на ЕАД Кредисимо – София, издаден от длъжностно лице по защита на данните при ЕАД Кредисимо – София, относно предоставяне на всички носители на лични данни, въз основа на които се обработват данните на С. В., за периода от 05.03.2019г. до 05.03.2025г. – договори, стандартни европейски формуляри, погасителни планове и всички други документи.
ВРЪЩА преписката на длъжностно лице по защита на данните при ЕАД Кредисимо – София, [ЕИК], за произнасяне изцяло по подадената от С. В. В. от [населено място], обл.Хасково, молба от 29.04.2025г., при спазване на задължителните указания по тълкуването и прилагането на закона, дадени с настоящото решение, като на основание чл.174 от АПК определя 14-дневен срок от влизане в сила на съдебното решение.
ОСЪЖДА ЕАД Кредисимо – София, [ЕИК], да заплати на С. В. В., [ЕГН], от [населено място], обл.Хасково, направените разноски по делото в размер на 10,00 лева.
Решението може да бъде обжалвано пред ВАС в 14-дневен срок от съобщаването му.
| Съдия: | |