Решение по дело №184/2025 на Административен съд - Стара Загора

Производството е по реда на чл. 145 и сл. от Административнопроцесуалния кодекс (АПК) във връзка с чл. 39, ал. 1 от Закона за защита на личните данни (ЗЗЛД).

Образувано е по жалба на С. К. С. с постоянен адрес: с.Калитиново, общ.Стара Загора, подадена чрез пълномощника му адв. М. М., срещу отказ на „КРЕДИ ЙЕС“ ООД, в качеството му на администратор на лични данни, обективиран в писмо изх.№ 597 от 07.02.2025г. на длъжностното лице по защита на данните в „КРЕДИ ЙЕС“ ООД, да предостави на С. С. въз основа на искане, подадено по ел. път на 10.01.2025г. чрез пълномощника му адв. М. М., всички носители на лични данни (договори, стандартни европейски формуляри и др.), въз основа на които „КРЕДИ ЙЕС“ ООД обработва личните данни на С. К. С. за периода от 01.12.2019г. до 10.01.2025г.

В жалбата са изложени доводи за незаконосъобразност на оспорения отказ, по съображения за постановяването му в нарушение и при неправилно приложение на материалния закон. Жалбоподателят твърди, че с непредоставянето на изисканите носители на лични данни, въз основа на които „КРЕДИ ЙЕС“ ООД обработва личните данни на С. С., се нарушават заложените в Регламент (ЕС) 2016/ 679 на Европейския парламент и на Съвета принципи на прозрачност и отчетност при обработката на лични данни, пряко относими към правото за предоставяне на всякаква информация от страна на администратора на личните данни, която от своя страна да послужи за извършването на ефективна проверка от страна на субекта за наличието на легитимно обработване на личните му данни. По съображения, основани на съдебната практика, вкл. и на СЕС, се обосновава, че предвиденото в чл. 15, §3 от Регламент (ЕС) 2016/ 679 на Европейския парламент и на Съвета задължение на администратора на лични данни, се свежда не само до предоставянето на копие на личните данни, но включва и задължението за предоставянето на конкретните документи, представляващи фактическото основание, на което личните данни се обработват и обуславящо целите на обработването. С подробно изложени доводи за незаконосъобразността на оспорения отказ за предоставяне на носителите на лични данни, въз основа на които се обработват личните данни на С. С., вкл. за несъответствието на отказа с целта на закона и с прокламираните принципи в Регламент (ЕС) 2016/ 679, е направено искане за неговата отмяна, като бъде задължен администраторът на лични данни - „КРЕДИ ЙЕС“ ООД, в седемдневен срок от влизане в сила на съденото решение, да предостави исканите носители на лични данни.

Ответникът по жалбата - „КРЕДИ ЙЕС“ ООД, чрез процесуалния си представител – юриск.К., в представено писмено становище, оспорва жалбата като неоснователна. Поддържа, че с изпратения отговор и приложената към него писмена справка, съдържаща обема на обработваните лични данни на С. С., дружеството, в качеството си на администратор на лични данни, е изпълнило задълженията си по чл.12, §1, 2 и 3 във вр. с чл.15 и чл.20 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година. Счита, че копие на личните данни не е тъждествено с копие на документ и искането за представяне на документите, съдържащи личните данни, е различно от искането за достъп до лични данни. В тази връзка ответникът се позовава на съдебна практика на СЕС - Решение по дело С-487/ 2021г. Твърди, че в случая субектът на данните е получил документите по кредитното досие при подписване на договора за заем, поради което е разполагал с тези данни и е могъл ефективно да упражни предоставените му с Регламента права. По изложените съображения е направено искане жалбата да бъде отхвърлена, като неоснователна.

Въз основа на събраните по делото доказателства, съдът приема за установено следното от фактическа страна:

На 10.01.2025г. жалбоподателят С. К. С., чрез пълномощника си адв. М. М., е подал по електронен път искане до „КРЕДИ ЙЕС“ ООД, с което на основание чл.15 и чл. 20 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година

относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО - Общ регламент относно защитата на данните (ОРЗД), е направено искане да му бъде предоставена информация относно това дали личните му данни са обработвани от дружеството, както и целите за обработване, категориите лични данни, които се обработват, получателите и категориите получатели, пред които са разкрити тези данни, както и копие на личните данни, които са в процес на обработване, за периода от 01.12.2019г. до 10.01.2025г., при предоставяне на всички носители на лични данни за посочения период (договори, стандартни европейски формуляри и др.), с цел извършване на проверка на обработваните данни. Посочен е електронен адрес, на който да се изпратят отговорът и документите.

На 10.02.2025г. от пълномощника на С. С. – адв. М. М., е получено писмо – отговор изх.№ 597 от 07.02.2025г. на длъжностното лице по защита на данните в „КРЕДИ ЙЕС“ ООД (л.7-9 по делото). С писмото и приложената към него писмена справка в табличен вид се потвърждава, че „КРЕДИ ЙЕС“ ООД, в качеството си на администратор на лични данни, обработва личните данни на С. С., отнасящи се до имената, постоянен и настоящ адрес, ЕГН, номер на лична карта, образование, семейно положение, телефонен номер, недвижими имоти, месечни приходи, месечни разходи и финансова задлъжнялост. Сочи се, че между дружеството и С. С. има сключени два договора за паричен заем през посочения в искането период, като в тази връзка и на основание чл.6, ал.1, б.“б“ от Регламент (ЕС) 2016/679 се обработват и съхраняват от дружеството личните данни на С.. Освен категориите лични данни на субекта, които се обработват, подробно са описани и целите на обработката на личните данни, получателите и категориите получатели на лични данни и третите лица на които те се предоставят, сроковете за съхранение, правата на субекта на лични данни, източниците на лични данни, възможността за вземане на автоматизирани решения и т.н. По искането на С. С. за осигуряване на достъп до носителите на лични данни (предоставяне на договори, стандартни европейски формуляри и др./, ответникът, чрез длъжностното лице по защита на данните в „КРЕДИ ЙЕС“ ООД, е посочил, че с оглед съдържанието на нормата на чл.15, пар.3 от Регламент (ЕС) 2016/679, която говори за копие от данните, но не и за копие от носителите на информация, в които тя се съдържа и може да се направи извод, че администраторът предоставя копие от личните данни, но няма задължение при упражняване правото на субекта на данни да предоставя документи или други носители на информация. С това изявление по същество е формиран и обективиран отказ за предоставянето на заявените от С. С. за получаване носители на лични данни (договори, стандартни европейски формуляри и др.).

Във връзка със служебно изискана от съда информация, по делото е постъпило писмо с изх. №ППН-01-357#1 от 28.03.2025г. на Председателя на КЗЛД, в което е удостоверено, че към 28.03.2025 г. пред Комисията за защита на личните данни не е налице висящо или приключило административно производство, инициирано от С. К. С. срещу „КРЕДИ ЙЕС“ ООД.

Съдът, като взе предвид направените в жалбата оплаквания, доводите и становищата на страните и въз основа на приложимата нормативна регламентация, направи следните правни изводи:

По допустимостта на жалбата:

Законът за защита на личните данни урежда на национално ниво два алтернативни начина за защита на субекта на данни при нарушаване на правата му по Регламент (ЕС) 2016/679 и по ЗЗЛД: 1. Сезиране на надзорен орган – Комисията за защита на личните данни (чл.38, ал. 1 от ЗЗЛД) и 2. Сезиране на съд с жалба срещу действия или актове на администратора на лични данни, която жалба се разглежда по реда на АПК (чл. 39, ал. 1 от ЗЗЛД). Видно от съдържанието на релевантните правни норми, в закона не е предвидено императивно изискване субектът на данни да се обърне към КЗЛД и едва след като изчерпи възможността да защити правата си по административен ред, да се сезира съдът. Единственото ограничително условие за съдебна защита, което законодателят поставя, е регламентирано в ал. 4 на чл. 39 от ЗЗЛД, а именно: да няма висящо производство пред КЗЛД, образувано по жалба на същия засегнат субект, при идентичност на нарушението и нарушителя, съответно да не е налице решение на КЗЛД за същото нарушение, което да е обжалвано пред съд. Целта на разпоредбата е да не се допуска идентични спорове да се разглеждат паралелно пред надзорния орган и пред съда. В случая по делото е установено, че пред КЗЛД няма висящо или приключило административно производство, което да е идентично, от гл. т. на предмет и страни, с настоящото съдебно производство, поради което не е налице визираната от закона процесуална пречка за сезиране на съда с процесния спор.

Безспорно е, че жалбоподателят С. С. е субект, чиито лични данни са обработвани (по см. § 2 на чл. 4 от Регламент (ЕС) 2016/679), от дружеството-ответник (което обстоятелство изрично се потвърждава в отговора на длъжностното лице по защита на данните в „КРЕДИ ЙЕС“ ООД), и респ. като субект на това обработване има право на достъп до обработваните й от администратора лични данни, съгласно чл.15 Регламент (ЕС) 2016/679. Това право С. С. е реализирал чрез отправено чрез пълномощника й на 10.01.2025г. искане, представляващо заявление по смисъла на чл. 37б, ал. 1 от ЗЗЛД, съдържащо реквизитите по чл. 37в от ЗЗЛД, като по същото искане администраторът на лични данни, какъвто безспорно се явява „“КРЕДИ ЙЕС“ ООД по см. на чл.4, т.7 от Регламент (ЕС) 2016/679 във вр. с § 1, т. 2 от ДР на ЗЗЛД, дължи произнасяне в срока по чл. 12, §3 от Регламент (ЕС) 2016/679. Формулираното от С. искане по чл.37б от ЗЗЛД, до ответника – администратор на лични данни, е било за предоставяне на информация относно обработваните от дружеството негови лични данни, целите за обработване, получателите и категориите получатели, пред които са разкрити тези данни, както и копие на личните данни, които са в процес на обработване, за периода от 01.12.2019г. до 10.01.2025г., при предоставяне на всички носители на лични данни за посочения период. В срока по чл. 12, § 3 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година, ответникът, чрез длъжностното лице по защита на данните в „КРЕДИ ЙЕС“ ООД, е предоставил на жалбоподателя информация за обработваните му лични данни, за основанието и целите на обработка на личните данни, категориите получатели на лични данни и третите лица, на които те се предоставят, сроковете за съхранение, правата на субекта на лични данни и т.н, без предоставяне на документите – носители на лични данни. Формираният в писмо изх.№ 597 от 07.02.2025г. на длъжностното лице по защита на данните в „КРЕДИ ЙЕС“ ООД отказ за предоставяне на заявените за получаване от С. С. носители на лични данни - документите, чрез които тези данни се обработват (договори, стандартни европейски формуляри и др.), обуславя наличието на пряк, личен и непосредствен интерес за жалбоподателя от оспорване на този отказ, отричащ правото му на достъп до обработваните от администратора негови лични данни в заявения обем.

Следователно оспорването, като направено от легитимирано лице с правен интерес, в законово установения срок по чл.149, ал.1 от АПК и против акт, подлежащ на съдебно обжалване и контрол за законосъобразност съгласно чл. 39, ал. 1 от ЗЗЛД, е процесуално допустимо.

Разгледана по същество жалбата е основателна.

В чл. 37б, ал. 1 от ЗЗЛД е регламентирано, че субектът на данни упражнява правата по чл. 15 – 22 от Регламент (ЕС) 2016/679 чрез писмено заявление до администратора на лични данни или по друг определен от администратора начин. В чл. 15 от Регламент (ЕС) 2016/679 е предвидено „право на достъп на субекта на данните", като в §1 е прието, че "субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните... ". Според чл. 15, §3 от Регламента „администраторът предоставя копие от личните данни, които са в процес на обработване", а съгласно чл. 12, §3 от Регламент (ЕС) 2016/679, администраторът предоставя на субекта на данни информация относно действията, предприети във връзка с искане по членове 15-22, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането.

Както беше посочено, в случая отправеното от жалбоподателя искане от 10.01.2025г. до администратора на лични данни – „КРЕДИ ЙЕС“ ООД, несъмнено има характер на заявление по смисъла на чл. 37б, ал. 1 от ЗЗЛД, съдържащо реквизитите по чл. 37в, ал.1 от ЗЗЛД. Заявлението е подадено по електронен път при условията на ЗЕДЕУУ, като електронен документ, съдържащ електронно изявление, подписано с валиден електронен подпис от пълномощника на заявителя - адв. М. М., като в съответствие с изискването по чл.37в, ал.2 от ЗЗЛД, е било приложено пълномощно от 20.12.2024г., с което С. С. изрично е упълномощил адв. М. М. да упражнява всички нейни права във връзка с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета, като в тази връзка да го представлява пред всички физически и юридически лица, както и да съставя, подписва, подава и получава от негово име всички необходими документи.

Относно наличието на материалноправно основание за отказ за предоставяне на жалбоподателя С. С. на достъп до заявените за получаване носители на лични данни, съдът съобрази следното:

Подаденото от С. С. искане от 10.01.2025г. е във връзка с упражняване на правата по чл. 15 от Регламент (ЕС) 2016/679 и както вече се посочи, съгласно §3 на чл.15 от Регламента, администраторът е длъжен да предостави копие от личните данни на субекта. Спорният въпрос по делото е правен и се свежда до това, следва ли в хипотезата на чл. 15, § 3 от ОРЗД, администраторът на лични данни „КРЕДИ ЙЕС“ ООД да предостави на С. С. поисканите от него носители на лични данни (договори, стандартни европейски формуляри и др.), въз основа на които тези данни се обработват.

Едни от основните принципи, въведени от Регламент (ЕС) 2016/679 по повод обработването на лични данни са и тези, съдържащи се в чл. 5 § 1, б. „а“ и б „б“ съгласно които личните данни следва да са обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност"), както и да са събирани за конкретни, изрично указани и легитимни цели и да не се обработват по-нататък по начин, несъвместим с тези цели, като отговорността за това, респ. и задължението да докаже изпълнението на тези принципи, е изцяло в тежест на администратора на личните данни, който всъщност е субектът, определящ предварително категорията лични данни, които ще обработва и целите на обработката. Принципите на отчетност и прозрачност са призовани в защита на правата и интересите на субектите на лични данни, доколкото те следва да могат по всяко време и на правно основание да изискат от администратора доказателства, че обработката на данните е легитимна по смисъла на чл. 6 от Регламента. От своя страна чл. 6, §1 от ОРЗД гласи, че обработването е законосъобразно, само ако и доколкото е приложимо поне едно от изброените в разпоредбата условия, между които са и условията субектът на данните да е дал съгласие за обработване на личните му данни за една или повече конкретни цели (б. „а“) и обработването да е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор (б. „б“). Следователно изводът е, че обработката на лични данни не може да е за цели, различни от тези, за които субектът е дал съгласие в т. ч и за договори, по които той не е страна, може да не е страна или не е уведомен, че е страна.

Както вече бе отбелязяно съгласно чл. 15, §1 от Регламент (ЕС) 2016/679 субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните. Ирелевантно относно упражняването на това право на субекта и съотв. за изпълнението на насрещното задължение на администратора, е дали субектът разполага вече с информация за наличието на обработка, за вида и обема на обработваните данни и за целите и основанията въз основа на които се осъществява обработката. Спазвайки принципите на прозрачност и отчетност администраторът дължи поведение, чрез което да предостави на субекта всякаква информация по отношение обработването (чл. 12, §1 от Регламента) в кратка, прозрачна, разбираема и лесно достъпна форма, чрез която субектът да може да провери налице ли е законосъобразно обработване на личните му данни, в т. ч кои са целите на това обработване, които всъщност са обусловени изцяло от конкретното фактическо основание, предпоставило пряката нужда от обработка – в случая наличието на сключени договори за парични заеми и/или съществуването на преддоговорни отношения. Само по този начин субектът на данните би могъл да провери дали свързаните с него данни са точни, дали се обработват законосъобразно, както и евентуално да упражни правото си на коригиране, изтриване (право „да бъдеш забравен") и на ограничаване на обработването, които са му признати съответно в членове 16, 17 и 18 от Регламента.

Без съмнение правото да се получи копие на лични данни по смисъла на чл. 15, §3 от Регламент (ЕС) 2016/679, не се отъждествява с правото да се получи копие на документите, чрез които се обработват тези данни. Правото да се получи от администратора копие от личните данни, които са в процес на обработване, изисква да бъде предоставена на субекта на данните точна и разбираема реплика на всички тези данни, като е допустимо това да се извърши и под формата на компилация от данни. Съгласно обаче приетото в Решение на СЕС от 4 май 2023 година по дело C-487/21, това право предполага и правото на получаване на копие от извлечения от документи и дори от цели документи, или от извлечения от бази данни, които в частност съдържат посочените данни, ако предоставянето на такова копие е задължително за да може субектът на данните ефективно да упражни предоставените му с този Регламент права, в т. ч. и да извърши проверка за спазване на принципа за законосъобразна обработка на данните. Неоснователно е възражението на процесуалния представител на ответника, че предоставената на С. информация, съдържаща всички лични данни, обхванати от правото на достъп, е съобразена изцяло с изискванията на чл.15 и чл. 20 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година, с което „КРЕДИ ЙЕС“ ООД е изпълнило задълженията си по Регламента, в качеството на администратор на лични данни. На първо място ако и в писмото-отговор да се съдържа информация за обработваните лични данни на С. С., то липсва изрично описание на документите – носители на лични данни, чрез които „КРЕДИ ЙЕС“ ООД обработва личните му данни и които документи (договори, стандартни европейски формуляри и др.) представляват фактическото основание, на което личните данни се обработват и обуславящо целите на обработването. Посочено е единствено, че данните се обработват и съхраняват от „КРЕДИ ЙЕС“ ООД във връзка със сключени два договора за паричен заем между С. К. С. и дружеството, без обаче да се сочат датите на договорите, както и други индивидуализиращи ги белези. В този смисъл не може да се приеме, че предоставената информация изпълнява условията по §150-152 от Насоки 01/2022г. на Европейския комитет по защита на данните и съотв. не освобождава администратора от произтичащото от чл. 15, § 3 от Регламент (ЕС) 2016/679 задължение за предоставяне на копия на документите, съдържащи личните данни на заявителя – в случая нито може да изпълни функцията за уведомяване на субекта на данни за конкретното основание, от което произтича обработването на данните, нито дава възможност да се провери законосъобразността на извършваната от администратора „КРЕДИ ЙЕС“ ООД обработка на личните данни - дали същата е легитимна по смисъла на чл. 6, §1, т. „б“ от Регламента т.е дали действително е във връзка с изпълнението на сключени от С. С. договори за заем с „КРЕДИ ЙЕС“ ООД, както и гл.т на спазването на срока за съхраняване на личните данни след прекратяване на договорните отношения. Непредоставянето на заявените за получаване от С. С. документи - носители на лични данни, на които се основава обработката на тези данни от администратора, възпрепятства ефективното упражняване от субекта на данни на предоставените му с Регламент (ЕС) 2016/679 права, вкл. това по чл.17, ал.1, §1, б. „г“ от ОРЗД – да поиска от администратора изтриване на свързаните с него лични данни, ако те са били обработвани незаконосъобразно. Ето защо след като жалбоподателят изрично е поискал да му бъдат предоставени копия на носителите на личните му данни, за да бъде извършена проверка на обработваните данни, администраторът е бил длъжен да ги предостави. В този смисъл е и Решение № 4856 от 12.05.2025г. по адм. дело № 1911/ 2025г. по описа на ВАС.

Не се установява по делото личните данни на С. С. да не са в процес на обработка към датата на иницииране на производството пред администратора на лични данни „КРЕДИ ЙЕС“ ООД. Не са налице също така и ограничения по смисъла на чл.23, §1 и §2 от Регламент (ЕС) 2016/679 по отношение обхвата на задълженията и правата, предвидени в чл.12-22 от Регламент (ЕС) 2016/679, като липсва и което и да е било от нормативно регламентираните в чл.37а, ал.1, т.1 – т.9 от ЗЗЛД материалноправни основания, при които администраторът на лични данни може да откаже пълно или частично упражняването на правата на субекта на данни по чл. 12 – 22 от Регламент (ЕС) 2016/679. Дори екземпляр от договорите за кредит да са били предоставени на С. В. към момента на тяхното сключване, субектът на данните не може да бъде лишен от възможността да упражни правата си по ЗЗЛД и Регламент (ЕС) 2016/679 във връзка със съществуващите между него и администратора на лични данни взаимоотношения. В този смисъл е и константната съдебна практика.

Предвид гореизложеното следва извода, че „КРЕДИ ЙЕС“ ООД, в качеството си на администратор на лични данни, е следвало да изпълни задължението си по чл.15, §3 от Регламент (ЕС) 2016/679, като при наличие на отправеното изрично искане да предостави на субекта на данните – С. С. и изисканите копия на документи, чрез които се обработват личните му данни, доколкото при неизпълнение на това задължение се ограничава възможността С. С. да узнае конкретните фактически и правни основания, обуславящи целите на обработка на личните му данни. Противното разбиране води до ситуация, в която субектът на данните получава единствено обща информация за вида и категорията на обработваните лични данни, но не може да получи конкретни сведения за целите на обработката, т. е какво е точното фактическо основанието за нейното извършване. Това води до пряко неизпълнение от страна на администратора на лични данни на задължението за отчетност, което препятства и възможността субекта на данните да осъществи ефективна проверка относно тяхното законосъобразното, добросъвестно и прозрачно обработване, каквото съмнение очевидно се е породило у жалбоподателя. В този смисъл ответникът е лишил жалбоподателя от „правото на защита на личните данни" по чл. 8, § 1 и § 2 от Хартата на основните права на Европейския съюз, като С. е бил поставен в невъзможност да придобие непосредствени впечатления за спазване на задължението на администратора за осигуряване защитата на тези данни, така че да се гарантира тяхното законосъобразно обработване, в съответствие с принципите, определени в чл. 5 от Регламент (ЕС) 2016/679, както и да получи ясна представа за това дали данните й са обработвани добросъвестно, за точно определени цели и въз основа на съгласието му или по силата на друго предвидено от закона легитимно основание.

По изложените съображения оспореният отказ да бъдат предоставени на С. С. копия на носителите на лични данни – договори, стандартни европейски формуляри и други документи, въз основа на които се обработват личните му данни, обективиран в писмо от 10.01.2025г. на длъжностното лице по защита на данните в „КРЕДИ ЙЕС“ ООД, се явява незаконосъобразен и следва да бъде отменен. Преписката следва да бъде върната на „КРЕДИ ЙЕС“ ООД за ново произнасяне по заявеното от С. С. искане за предоставяне на носителите на лични данни, при спазване на задължителните указания по тълкуването и прилагането на закона, дадени в мотивите на настоящото решение.

Предвид изхода на делото искането на жалбоподателя за присъждане на направените разноски следва да бъде уважено, като на основание чл.143, ал.1 от АПК, в тежест на „КРЕДИ ЙЕС“ ООД следва да бъде възложено заплащането на разноски за внесена държавна такса в размер на 10 лева. На основание чл.38, ал.2 от Закона за адвокатурата и предвид представения по делото договор за правна защита и съдействие за оказване на безплатна правна помощ в хипотезата на чл.38, ал.1, т.2 от ЗА от адв. М. М. на жалбоподателя С. С., на оказалия безплатна адвокатска помощ и съдействие адвокат се следва определяне и присъждане на адвокатско възнаграждение. Съгласно чл. 8, ал. 2, т.10 от Наредба № 1 от 09.07.2004 г. за минималните размери на адвокатските възнаграждения, минималният размер на адвокатското възнаграждение по дела по ЗЗЛД, възлиза на 900 лева. С оглед направеното от ответника възражение за прекомерност, при съобразяване на мотивите, изложени в Решение на СЕС по дело С-438/2022г. и възможността на съда да присъди възнаграждение и под минималния размер, определен от наредбата по чл. 36, ал. 2 от ЗА, в случая, предвид действителната фактическа и правна сложност на делото, разглеждането на което е приключил в едно съдебно заседание; на характера и обема на осъществената от адвоката правна защита, съдът приема, че на адв. М. М. следва да бъде определено адвокатско възнаграждение в размер на 500 лева. При присъждане на възнаграждение за оказана безплатна адвокатска помощ и съдействие в полза на адвокат, регистриран по ЗДДС, дължимото възнаграждение съгласно чл. 38, ал. 2 от ЗА във вр. с § 2а от ДР на Наредба № 1/2004г. следва да включва ДДС, поради което на адв. М. се следва присъждане на сумата от 600 лева с вкл. ДДС.

Водим от горните мотиви и на основание чл.172, ал. 2, предл. второ във връзка с чл.173, ал. 2 и чл.174 от АПК, съдът

ОТМЕНЯ по жалба на С. К. С. [ЕГН], с постоянен адрес: с.Калитиново, общ.Стара Загора, отказ на „КРЕДИ ЙЕС“ ООД, в качеството му на администратор на лични данни, обективиран в писмо изх.№ 597 от 07.02.2025г. на длъжностното лице по защита на данните в „КРЕДИ ЙЕС“ ООД, да предостави на С. К. С. носителите на лични данни, въз основа на които „КРЕДИ ЙЕС“ ООД обработва личните данни на С. С. за периода от 01.12.2019г. до 106.01.2025г., като незаконосъобразен.

ВРЪЩА преписката на „КРЕДИ ЙЕС“ ООД за произнасяне по подаденото от С. К. С. на 10.01.2025г. чрез пълномощника му адв. М. М. искане, в частта му относно предоставянето на всички носители на лични данни (договори, стандартни европейски формуляри и др.документи), въз основа на които се обработват данните на С. С., при съобразяване с дадените указания по тълкуването и прилагането на закона.

ОПРЕДЕЛЯ 14-дневен срок за произнасяне, считано от влизане в сила на съдебното решение.

ОСЪЖДА „„КРЕДИ ЙЕС“ ООД ЕИК *********, със седалище и адрес на управление гр. Хасково, [улица], представлявано от В. М. И., да заплати на С. К. С. [ЕГН], с постоянен адрес: с.Калитиново, общ.Стара Загора, сумата от 610.00 лв. (шестстотин и десет лева), представляваща направените от жалбоподателя разноски по делото.