СЕС установи законов проблем с Търговския регистър и изясни отговорността на Агенцията по вписванията за незаличени лични данни
Следването на становище на КЗЛД не освобождава от отговорност администратора на лични данни, обясни съдът в Люксембург
Правилото в Закона за търговския регистър и регистъра на юридическите лица с нестопанска цел (ЗТРРЮЛНЦ), че ако в подадени заявления или документи има лични данни, които не се изискват по закон, се приема, че е налице съгласие за публикуването им, противоречи на правото на ЕС. Това прие Съдът на Европейския съюз (СЕС) в решение, с което отговори на серия от въпроси на Върховния административен съд (ВАС), свързани с приложението на Общия регламент за защита на данните (ОРЗД) и Търговския регистър (пълния текст на решението виж тук).
Един от въпросите на ВАС беше свързан с правилото на чл. 13, ал. 9 от ЗТРРЮЛНЦ: „Когато в заявлението или в приложените към него документи са посочени лични данни, които не се изискват по закон, се смята, че предоставилите ги лица са дали съгласието си за тяхното обработване от агенцията и за предоставянето на публичен достъп до тях“.
И СЕС заяви, че „…презумпция като предвидената в чл. 13, ал. 9 от ЗТРРЮЛНЦ не би могла да се разглежда като установяваща свободно изразено, конкретно, информирано и недвусмислено съгласие за обработването на лични данни от публичен орган като агенцията“, т.е. не отговаря на изискванията на ОРЗД.
„Лекс“ е представял подробно конкретното дело, заради което ВАС отправи преюдициалното запитване. То е на адв. Теодора Димитрова – съдружничка в ООД, вписано в Търговския регистър през януари 2021 г. При заявяването на регистрацията в Агенцията по вписванията е представен подписан от съдружниците дружествен договор, който съдържа трите ѝ имена, ЕГН, номер на лична карта, датата и място на издаване и постоянен адрес. Договорът е вписан и обявен във вида, в който е представен.
Половин година по-късно Димитрова е поискала от агенцията нейните да бъдат заличени и ако е прието, че са обработвани с нейно съгласие, да се счита, че го е оттеглила (същото прави и съдружникът ѝ адв. Тони Цонев).
АВ не се произнася по това искане и Димитрова оспорва мълчаливия ѝ отказ, а съдът го отменя и на 12 януари 2022 г. преписката се връща в агенцията за ново произнасяне. На 26 януари 2022 г. АВ изпраща писмо, че за да уважи искането на двамата съдружници, те трябва да представят заверен препис от дружествения договор, в който личните им данни, освен тези, които се изискват по закон, са заличени.
След няколко дни Димитрова подава жалба директно до Административен съд – Добрич, в която оспорва писмото от АВ и предявява иск срещу агенцията за 2000 лв. обезщетение за неимуществени вреди вследствие на същото това писмо.
Междувременно, още преди да получи жалбата, АВ заличава служебно всички лични данни от дружествения договор с изключение на трите имена на Димитрова и подписа ѝ.
АдмС-Добрич прогласява нищожността на писмото на АВ и осъжда агенцията да плати 500 лв. обезщетение на адвокатката. Обезщетението е за „неимуществени вреди, изразяващи се в негативни емоции и преживявания, вследствие на това писмо, с което е извършено нарушение на правото на изтриване съгласно чл.17, §1 от ОРЗД и незаконосъобразно обработване на личните данни на Димитрова, съдържащи се в публикувания дружествен договор“.
Той отчита, че само дни след като е изпратено, агенцията сама е заличила всички лични данни на Димитрова и е останал само подписът ѝ. Но приема за доказано, че в този период тя е изпитвала страх и безпокойство от евентуални злоупотреби, безсилие и разочарование от невъзможността да защити личните си данни, които са в пряка причинна връзка с писмото на АВ, която не е заличила незабавно данните на съдружничката.
Пред съда Агенцията по вписванията сочи, че още през януари 2021 г., при първоначалната регистрация на фирмата, на заявителите е изпратено указание да предоставят препис от дружествения договор със заличени лични, но това не е сторено. Затова е обявен този с техните лични данни. Още повече, че непредставянето на дружествен договор със заличени лични данни не е основание да се откаже изцяло вписването на търговското дружество.
Агенцията обосновава подхода си със становище на Комисията за защита на личните данни. В него се посочва, че АВ не разполага с правна възможност или правомощия, служебно или по искане на субекта на данни, да ограничава обработването на вече оповестени данни (подробно за казуса и обобщение на практиката на съдилищата виж тук).
В решението си СЕС заявява, че чл. 21, §2 от Директива 2017/1132 от 14 юни 2017 г. относно някои аспекти на дружественото право не създава задължение за държавата членка да допусне оповестяване в търговския регистър на дружествен договор, който подлежи на задължителното оповестяване по тази директива и който освен минимално изискваните лични данни съдържа и други лични данни, чието публикуване не се изисква от правото на тази държава членка.
А след това посочва, че директивата и ОРЗД „не допускат правна уредба или практика на държава членка, която предполага органът, на който е възложено воденето на търговския регистър на тази държава членка, да отхвърля всяко искане за изтриване на неизисквани от Директивата или правото на държавата членка лични данни, съдържащи се в публикуван в регистъра дружествен договор, когато в противоречие с предвидените в тази уредба процесуални правила не му е предоставен препис от договора със заличаване на тези данни“.
Един от спорните въпроси по делото, по които ВАС поиска тълкуване от СЕС, е свързан с това кога са налице подлежащи на обезщетяване неимуществени вреди от публикуването на лични данни в Търговския регистър. В случая с адвокатката АВ възразява, че ако тя действително е изпитвала безпокойство, че личните ѝ данни са публично достъпни, е разполагала с възможност да представи на агенцията за обявяване препис от дружествения договор със заличени лични данни, но не го е сторила, а вместо това е решила да води дълъг съдебен процес.
Затова върховните съдии попитаха дали е необходимо да има забележими неблагоприятни последици и обективно установимо засягане на лични интереси, или е достатъчна само „краткотрайна загуба на суверенното право на субекта на данни да се разпорежда с личните си данни“, без това да е довело до забележими или неблагоприятни последици за него.
„Ограничената по продължителност загуба на контрол от субекта на данните върху личните му данни поради обявяването им онлайн в търговския регистър на държавата членка може да е достатъчна, за да причини „нематериални вреди“, стига субектът на данните да докаже, че действително е претърпял такива вреди, дори и минимални, но без понятието „нематериални вреди“ да изисква да се докаже наличието на допълнителни осезаеми отрицателни последици“, прие СЕС.
Както стана ясно в случая с адвокатката АВ изтрива всички незадължителни по закон лични данни, но оставя подписа ѝ под дружествения договор. Така се постави въпросът дали ръкописните подписи са лична данни.
Саморъчният подпис на физическото лице попада в обхвата на понятието „лични данни“ по смисъла на чл. 4, т. 1 от ОРЗД, заяви СЕС. И посочи, че саморъчният подпис на физическото лице се използва, за да се идентифицира то, за да се придаде доказателствена сила на документите, върху които е положен, за верността и правдивостта им или за да се заяви отговорност във връзка с тях. „Освен това в разглеждания дружествен договор подписът на съдружниците видимо фигурира наред с имената им“, подчерта СЕС и напомни, че вече е приемал в свои решения, че почеркът също дава информация за физическото лице.
Един от интересните въпроси, които постави делото на адвокатката, е за силата на становищата на т. нар. надзорни органи по ОРЗД. В България това Комисията за защита на личните данни и именно въз основа на нейно становище АВ отказва да заличи личните данни в договора, който самата адвоката е предоставила за вписване.
СЕС обсъжда в детайли различните правомощия на надзорните органи и заключава, че становищата им „не са правно задължителни по силата на правото на съюза“. И заявява, че щом становището не е правно задължително, не би могло то само по себе си да доказва липса на възможност вредите да бъдат вменени в отговорност лично на администратора на личните данни.
Така СEС дава следното задължително тълкуване: „…становището на надзорния орган на държавата членка, издадено на основание член 58, параграф 3, буква б) от този регламент, не е достатъчно, за да освободи от отговорност по член 82, параграф 2 органа, на който е възложено воденето на търговския регистър на тази държава членка и който има качеството „администратор“ по смисъла на член 4, точка 7 от Регламента“.
17
Коментирайте
Измежду всичко останало от СЕС пак са вмъкнали мотиви за липсата от каквато и да е необходимост да се доказват неимуществени вреди, тц тц, то май, който не е поискал, той не е получил обезщетение, базирано на презумптивна щета, нищо, че с медийните публикации всички разбраха за адвоката, но важното е държавата да носи отговорност за всяка прищявка.
Ако следваме логиката на АВп, то също както адвокатката е можела да представи документ със заличени лични данни вместо да води дела, така и те са можели да заличат данните вместо да водят дела. Не държавата трябва да носи отговорност, а умните глави в КЗЛД и АВп. Но де се е чуло и видяло държавата да заведе регресен иск срещу чиновниците, заради чието поведение е осъдена?!
В тази агенция положението е трагично. Огромни заплати и реване колко много работа имат. Имат необработени заявления по ГФО от години. Бавни и мудни, колкото щеш. Ма нали изкарахме ТР от съда, това е важното
Адвокатите не представили препис от учредителния акт със заличени лични данни, длъжностното лице не им дало указания, и хайде да занимаваме СЕС колко велики адвокати сме. Въх!
По закон задължение на администратора е да обработва със заличени лични данни. Ако агенцията бе постановила отказ заради непредоставяне на акт със заличени данни, то тогава съдът щеше да разглежда отказа, а не публикуването. Въх, колко велики чиновници сме!
Този акт е обявен преди ЗЗЛД, още с пререгистрацията, затова навремето никой не го е указал или отказал.
Вече ли0ни дани те взема всеки. Взеха ми ги днес в Метро за да ми издадат тъпата си карта
Шанс и то голям.
Те администрират личните ми данни. Как ще са освободени от отговорност бе
Чели ли сте скоро условията на МП за системата за електронни свидетелства за съдимост? При наличие на ЗОДОВ, те със заповед на министъра се самоосвобождават от отговорност. Като вземете предвид, че АВп също е в системата на МП, то кой е казал, че трябва да знаят или даже да спазват законите?
Е, важното е СЕС да ни каже
Вече сме „нормлана държава“
Искам да имаме тази опция
Бе да им се подобри работата. Другото бошлаф неща
Е хубаво е, че са го уточнили тоя въпрос де
В тази агенция са сържавни служители ала само там съм се радвал на качествено обслужване
Разбира се, че становищата на КЗЛД не са обвързващи. Но предвид факта, че Комисията е репресиращ орган, администраторите често решават да следват техните съвети, за да си гарантират поне някакви аргументи за бъдещ спор. Въпреки че решенията на КЗЛД се обжалват пред АССГ и ВАС, които п*рдят в едно гърне, и е спорно доколко имаш шанс, пък ако ще и св. Тома Аквински да си.