СЕС: Агенцията по вписванията отговоря за отказите да заличи „незабавно“ лични данни в Търговския регистър

De Fakto 14.10.2024 Актуално, Законът, Избрано Напишете коментар 1,522 Прегледа

Defakto.bg

Агенцията по вписванията ( АВ) е длъжна при поискване „без ненужно забавяне“ да изтрие личните данни, които е публикувала в Търговския регистър заедно с дружествен договор, когато законът не изисква изричното им обявяване.

Правото на ЕС не допуска да бъдат отхвърляни искания за заличаване, а загубата на контрол върху личните данни поради публичното им разпространение причинява „нематериални вреди“, за които агенцията отговоря дори когато са минимални.

Това се казва в решение на Съда на ЕС (СЕС) в Люксембург по дело C-200/23, образувано по преюдициално запитване на Върховния административен съд. Причината е спор между съдружничка в ООД и Агенцията по вписванията за последиците от разпространени лични данни в дружествен договор, които тя е отказала да заличи.

Един казус, който можеше и да не отиде в Люксембруг, ако АВ бе заличила ненужно обявените данни в Търговския регистър, въпреки подадената молба за това, но препятствие в случая е и българското законодателство. Така казусът прераства в тежък съдебен спор за правомощия и обезщетения – което в крайна сметка довежда до изясняване на важния въпрос – какво може и какво не може да се прави с личните данни при вписване в Търговския регистър.

На 4 октомври състав на Съда на ЕС с председател българския съдия Александър Арабаджиев и съдиите Т. фон Данвиц, (докладчик), П. Г. Ксуереб, А. Кумин, И. Зиемеле и генерален адвокат Лайла Медина, отговоря на шест от осемте въпроса, поставени от Върховния административен съд по спора, който след решението на СЕС, предстои да реши.

В решението си СЕС заключава, че българският Закон за Търговския регистър и Регистъра на юридическите лица с нестопанска цел (ЗТРРЮЛНЦ) не съответства на Общия регламент за защита на личните данни (ОРЗД).

Спорът

Съдружничка да дружеството „Правен Щит Консултинг“ ООД, вписано в търговския регистър на 14 януари 2021 г., е поскала от агенцията да заличи личните й данни от дружествен договор, представен за вписване на 30 декември 2020 г. Дружественият договор е съдържал нейния ЕГН, номер на лична карта, дата и място на издаване на картата и постоянен адрес, а също и подписа ѝ, обявен от агенцията във вида, в който е представен.

В искането си съдружничката я уточнява, че ако агенцията е приела, че е дала съгласие за вписването на изброените лични данни, тя го оттегля.

Още на този етап проблемът е можел да бъде решен, при условие, че е спазен регламента за личните данни, но агенцията с мълчалив отказ отказва да свали лични данни на ОЛ от регистъра и тя се обръща към Административен съд Добрич (България). С решение от 8 декември 2021 г. съдът отменя мълчаливия отказ на агенцията за заличаване на данните и връща преписката на агенцията за ново произнасяне.

След като още един съдружник поисква от АВ да заличи данните му от същия дружествен договор, Агенцията отговоря в писмо от 26 януари 2022 г., че за да бъде уважено искането, трябва да ѝсе представи заверен препис на разглеждания дружествен договор, в който личните данни на съдружниците, освен тези, които се изискват по закон, да бъдат заличени.

На 31 януари 2022 г. съдружничката ОЛ отново сезира Административен съд Добрич — с жалба срещу посоченото писмо и с искане агенцията да бъде осъдена да заплати обезщетение за причинените неимуществени вреди (вследствие на това писмо), с което са нарушени правата ѝ по Общият регламент на ЕС относно защитата на данните (ОРЗД).

Преди да й бъде връчена жалбата, на 1 февруари 2022 г., агенцията заличава служебно ЕГН, данните за личната карта и адреса на ОЛ, но запазва в ТР имената и подписа на ОЛ.

С решение от 5 май 2022 г .АС – Добрич обявява за нищожно писмото на агенцията от 26 януари 2022 г. и я осъжда да заплати на ОЛ обезщетение за неимуществени вреди по член 82 от ОРЗД в размер на 500 български лева (BGN) (около 255 евро), заедно със законната лихва. Подобно решение е издадено и на втори съдружник поискал заличаване.

АС – Добрич приема, че нанесената вредата се изразява в негативните психически и емоционални преживявания на OL, – „страх и безпокойство от евентуални злоупотреби и безсилие и разочарование от невъзможността да защити личните си данни“. От друга страна, тази вреда е следствие от посоченото писмо на АВ, с което са извършени нарушение на правото на изтриване по член 17, параграф 1 от ОРЗД и незаконосъобразно обработване на лични данни, съдържащи се в публикувания дружествен договор.

Казусът се озовава пред ВАС

По касационна жалба на агенцията срещу решението на АС – Добрич, спорът е поставен за решаване пред ВАС

В жалбата си агенцията изтъква, че като администратор и получател на личните данни, предоставени за вписване от дружеството, не е получила поискания препис от разглеждания дружествен договор, а според българския закон, когато в заявлението или в приложените към него документи са посочени лични данни, които не се изискват по закон, се смята, че предоставилите ги са дали съгласие за обработване и публичен достъп до тях.

В своя полза АВ посочва становище на КЗЛД, според което агенцията не разполага с правна възможност или правомощия, служебно или по искане на субекта на данни, да ограничава обработването на вече оповестени данни.

Според съдружничката е недопустимо агенцията като администратор на данните да възлага на други лица собствените си задължения за заличаване на личните й данни, при положение че има практика на националните съдилища, съгласно която посоченото становище на КЗЛД не е в съответствие с разпоредбите на ОРЗД.

Казусът затруднява върховната инстанция, ВАС спира производството по делото, като поставя на Съда осем преюдициални въпроса:

Най общо ВАС иска с оглед на практиката на по-голямата част от националните съдилища да се изяснят изискванията, които произтичат от посочения регламент. По-конкретно, как трябва да се съвместяват правото на защита на личните данни и правната уредба, която гарантира публичността и достъпността на определени актове на дружествата.

Производството пред Съда на ЕС

Съдът на ЕС установява, че отправените въпроси се отнасят до тълкуването както на ОРЗД, така и на Директива 2009/101, която е кодифицирана и заменена с Директива 2017/1132, приложима ratione temporis към фактите по случая в главното производство.

След подробно изложени мотиви и пояснения, СЕС в пространно решение тълкува и подробно разяснява поставените от ВАС въпроси:

1. Според директивата в ТР се оповестяват минимални данни

На първия въпрос, поставен от ВАС дали държавата членка е длъжна да оповести освен имената на съдружниците, които задължително подлежат на обявяване по чл. 2, ал. 2 от Закона за търговския регистър и регистъра на юридическите лица с нестопанска цел, и други техни лични данни, СЕС отговоря, че няма няма такова задължение.

Посочва: „Член 21, параграф 2 от Директива 2017/1132 трябва да се тълкува в смисъл, че не създава задължение за държавата членка да допусне оповестяване в търговския регистър на дружествен договор, който подлежи на задължителното оповестяване по тази директива и който освен минимално изискваните лични данни съдържа и други лични данни, чието публикуване не се изисква от правото на тази държава членка.

2. По втория и третия въпрос – дали обработването на личните данни в ситуацията, породила спора, Агенцията по вписванията, е вписала спорните данните в обществен интерес, Съдът посочва, че не е необходимо да се отговаря на втория и третия, които са поставени за случай, че отговорът на първия въпрос е положителен. В случая той не е такъв.

3. Агенцията е и администратор и получател на лични данни

На петия въпрос, Съдът отговаря преди четвъртия. В контекста на спора, дали Агенцията по вписванията е само администратор на лични данни или е и техен получател, когато целта на обработване им като част от представени за обявяване документи е определена от друг администратор, съдебният състав посочва, че: ОРЗД, и в частност член 4, точки 7 и 9 от него, трябва да се тълкува в смисъл, че органът, на който е възложено воденето на търговския регистър на държава членка и който публикува в този регистър личните данни, съдържащи се в дружествен договор, който подлежи на задължителното оповестяване по Директива 2017/1132 и му е предоставен във връзка със заявление за вписване на съответното дружество в регистъра, е както „получател“ на тези данни, а доколкото ги обявява — техен „администратор“, включително и когато договорът съдържа лични данни, които не се изискват от Директивата или от правото на тази държава членка.

4.. Администраторът е длъжен да изтрива без забавяне

С четвъртия въпрос ВАС пита дали, когато на Агенцията не е предоставен поискания от нея препис на дружествения договор, тя има право да откаже изтриване на лични данни. Отговорът е, че: Съгласно член 17, параграф 1 от ОРЗД субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да свали без ненужно забавяне личните данни.

Обявяването онлайн на лични данни, които не се изискват нито от Директива 2017/1132, нито от националното право, не могат да остават обявени в онлайн в регистъра при положение, че за целите на обявяването им агенцията би могла сама да изготви предвидения от националното право препис на акта на съответното дружество.

Генералният адвокат по делото, отхвърля становището пред съда на редица държави членки, че изискването за опазване на надеждността на дружествените актове, подлежащи на задължителното оповестяване по Директива 2017/1132 — налага тези актове да се публикуват във вида, в който са предоставени на органите, на които е възложено воденето на търговския регистър“. Такова „систематично предимство“, превръща защитата на личните данни в „чисто илюзорна“, посочва генералният адвокат Медина.

Оттук следва, обобщава съдът, че в случая обсъжданото в главното производство ( пред ВАС) обработване на лични данни , „при всички положения надхвърля необходимото за изпълнението на задачата от обществен интерес, възложена на агенцията съгласно посоченото национално законодателство“.

Още за правото на изтриване

СЕС отбелязва още, че ако искането за изтриване на личните данни по делото пред ВАС стигне до извода, че то е законосъобразно, ще е налице задължение за агенцията — в качеството ѝ на администратор, да изтрие съответните данни без ненужно забавяне

В решението си съдиите посочват, че чл. 13, алинея 9 от Закона за Търговския регистър и Регистъра на юридическите лица с нестопанска цел“ не отговаря на европейкото законодателство за съхраняване на личните данни. В текста е посочено, че ако в заявлението за вписване или в приложените към него документи са посочени лични данни, които не се изискват по закон,“ се смята, че лицата които са ги предоставили, са дали съгласието си за тяхното обработване от агенцията и за предоставянето на публичен достъп до тях.„

Презумцията за съгласие видимо не отговаря на условията по член 6§1, ал. 1, буква а) от ОРЗД„, посочва в заключението си и генералният адвокат, чието мнение съставът на СЕС напълно възприема.

В решението е подчертано, че субектът на данни има право да възрази срещу обработването им и разполага с право на изтриване, освен ако са налице убедителни законни основания, които имат предимство пред интересите, както и пред правата и свободите на субекта на данните по смисъла на член 21, параграф 1 от ОРЗД, което администраторът трябва да докаже. Съдът посочва практика заложена в решение от 7 декември 2023 г., SCHUFA Holding (Освобождаване от остатъка по задълженията), C‑26/22 и C‑64/22, EU.

В случай като разглеждания в главното производство не изглежда да има убедително законно основание по смисъла на тази разпоредба, което да може да се противопостави на искането за изтриване, обобщава съдът.

5. Саморъчният подпис е в обхвата на личните данни

С шестия си въпрос ВАС по същество иска да се установи дали член 4, точка 1 от ОРЗД трябва да се тълкува в смисъл, че саморъчният подпис на физическото лице попада в обхвата на понятието „лични данни“ по смисъла на тази разпоредба.

Съдът уточнява, че данните за самоличността са информация, свързана с физическо лице, което е идентифицирано или може да бъде идентифицирано, представляват „лични данни“ по смисъла на член 4, точка 1 от ОРЗД (вж. в този смисъл решение от 9 март 2017 г., Manni, C‑398/15, EU:C:2017:197, т. 34).

Посочената разпоредба предвижда, че лични данни е „всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано“, и уточнява, че „физическо лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице“.

Отбелязано , е че в определението на понятието „лични данни“ е отразена целта на Съюза да придаде широк смисъл на това понятие, което потенциално обхваща всякакъв вид информация, както обективна, така и субективна, под формата на становища или преценки, при условие че тя „засяга“ съответното лице (решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 23).

Същото се отнася и до допълнителните данни за самоличността на тези лица или на други категории лица, за които държавите членки решат да предвидят задължително оповестяване или които, като в случая, се съдържат в подлежащите на оповестяване актове, без обявяването им да се изисква от Директива 2017/1132 или от националното право, с което се прилага тази директива, изтъкват съдиите .

В отговор на конкретния въпрос на ВАС дали ръкописният подпис на физическо лице представлява лична иформация, свързана с идентифицирано физическо лице и дали се вписва в понятието „лични данни“, Съдът посочва, че почеркът на едно физическото лице дава информация за него, а “ саморъчният подпис в обхвата на понятието „лични данни“ по смисъла на тази разпоредба“.

Следователно, казва съдебният състав, както отбелязва генералният адвокат, подобно обработване видимо не отговаря и на условията за законосъобразност по член 6, параграф 1, първа алинея, букви в) и д) във връзка с член 6, параграф 3 от ОРЗД.

6.Не е нужно вредите да са „забележими последици“

На седмото запитване на ВАС какво означават „нематериални вреди“ по смисъла ОРЗД и дали за да се приемат, е необходимо да има „забележими неблагоприятни последици“ от загубата на контрол върху личните му данни, съдът уточнява, че съгласно регламента „всяко лице, претърпяло материални или нематериални вреди в резултат на нарушението, “ има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди“.

Съдът уточнява, че в конкретния случай, е ясно, че Административен съд Добрич е констатирал наличието на нематериални вреди, изразяващи се в негативните психически и емоционални преживявания на OЛ – страх и безпокойство от евентуални злоупотреби и безсилие и разочарование от невъзможността да защити личните си данни. Той е постановил, че вредата е следствие от писмото на агенцията от 26 януари 2022 г., с което е извършено нарушение на правото на изтриване по член 17, параграф 1 от ОРЗД и незаконосъобразно обработване на нейните лични данни, съдържащи се в публикувания дружествен договор, казва съдът.

Или, член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че загубата на контрол върху личните данни поради обявяването им онлайн в търговския регистър на държавата членка може да е достатъчна, за да причини „нематериални вреди“, стига „собственикът“ на данните да докаже, че действително е претърпял вреди – „дори минимални без да се доказва наличие на допълнителни „осезаеми отрицателни последици“.

7. Становището на КЗЛД не освобождава от отговорност агенцията

С осмия въпрос на ВАС дали становището на КЗЛД, че агенцията не е имала правна възможност да заличи поисканите данни и поради това не е отговорна, е „доказателство за нейната невиновност“ , Съдът заключава, че становището на надзорния орган не е достатъчно, за да я освободи от отговорност в качеството й на „администратор“ по смисъла на Регламента. Употребата на термините „становища“ и „правомощия да дава становища“ в ОРЗД означава, че не са правно задължителни по силата на правото на Съюза.

Щом обаче даденото на администратора становище не е правно задължително, не би могло то само по себе си да доказва липса на възможност вредите да бъдат вменени в отговорност лично на администратора по смисъла на съдебната практика, цитирана в точка 164 от настоящото решение, нито съответно да е достатъчно, за да се освободи администраторът от отговорност съгласно член 82, параграф 3 от ОРЗД.

Съдът напомня, че с целите на регламента са за гарантиране на високо ниво на защита на физическите лица във връзка с обработването на личните им данни и за осигуряване на действително обезщетение за вредите, които те може да понесат поради обработването на данните им в нарушение на този регламент.

Ако се приеме за достатъчно администраторът да се позове на подобно правно незадължително становище, за да се освободи от всякаква отговорност и от всякакво задължение за поправяне на вредите, то администраторът не би имал стимул да направи всичко, което е във властта му, за да гарантира това високо ниво на защита и да изпълни предвидените от този регламент задължения, изтъква съдът.

Окончателно Съдът (първи състав) реши:

1) Член 21, параграф 2 от Директива (ЕС) 2017/1132 на Европейския парламент и на Съвета от 14 юни 2017 година относно някои аспекти на дружественото право