Влизането в сила на Общия регламент относно защитата на данните, добил публичност и в България като GDPR, имаше за цел да предостави нови възможности. За потребителите, субекти на данните, това е възможността да имат контрол върху личната си информация – кой, къде, как и защо я използва. За бизнесите Регламентът утежни процесите, за да се изпълнят изискванията на принципа за отчетност, но пък се появи нова възможност да се позиционират добре спрямо клиентите си. За една компания да каже и докаже, че защитава личните данни на потребителите си, е нова перспектива за привличането на клиенти.
Това, разбира се в комбинация с угрозата за големи финансови санкции, провокира всички играчи на пазара – от мултинационалните международни компании до малкия семеен бизнес – да прегледат процесите си, да започнат да предоставят информация относно обработването на лични данни, да събират съгласия и да въвеждат правила и политики. Накратко казано, всеки положи усилия да бъде GDPR compliant (изряден).
Днес обаче, близо четири години след като GDPR стана част от ежедневието ни, все повече казуси пораждат съмнения относно това дали всъщност защитата на личните данни единствено създава такива балансирани възможности. В практиката на компетентния регулатор, а и на българския съд, се увеличават споровете относно приложението на Регламента. И, оказва се, постановяваните решения често са проблем за нормалното функциониране на бизнес средата със своя по-екзотичен прочит на нормативната база.
Съвсем наскоро, например, Върховният административен съд постанови окончателно решение, съгласно което легитимният интерес на администратора не е основание да се обработват личните данни на кредитополучател при цедиране на вземането. И тук напомняме, че откакто съществува институтът на цесията, самата тя не предполага съгласието на длъжника, а изисква единствен уведомяването му, за да знае той на кого да изпълни. Нещо повече, съдът приема, че е необходимо длъжникът да даде изрично съгласието си данните му да бъдат обработвани във връзка с цесията. Остава чуденката дали някой трезвомислещ длъжник някога безпроблемно би дал такова съгласие и дали, ако случайно се е объркал да го даде, няма да побърза да го оттегли при първо позвъняване във връзка със събирането на вземането му.
Върховният административен съд разглежда въпроса в контекста на наложена от Комисия за защита на личните данни санкция на българска банка, позволила си да цедира вземането си към трето лице. Наложило се, разбира се, във връзка с цесията да бъдат прехвърлени и личните данни на клиента – та иначе как биха се индивдуализирали страните по това чисто облигационно отношение! Клиентът бил надлежно уведомен за цесията, както изисква законът.
В светлината на защита на личните данни, банката била на мнение, че е налице пример за обработване на лични данни на основание легитимния ѝ интерес – да удовлетвори имуществените си интереси като кредитор. КЗЛД обаче не била съгласна, защото приела, че цедирането на вземането е нова съвсем различна цел, за която са обработвани данните, при това – несвързана със самото облигационно правоотношение. Било необходимо съответно събирането на специално ново съгласие.
И макар както КЗЛД, така и Върховен административен съд да не оспорват правото на кредитор да прехвърли вземането си на трето лице, без за това да му е необходимо съгласие на длъжника, и двата органа приемат, че „това право е непротивопоставимо на задължението на банката да обработва данните добросъвестно и законосъобразно“. Съдът приема, че банката е можела да защити имуществения си интерес по друг начин, който не включвал прехвърляне на вземането. Е, идеи в посока какъв е този друг начин липсват. А и да имаше – означава ли това, че за да е налице легитимен интерес, възможният способ за реализиране на правата на титуляра му задължително следва да сведен до един? Така, макар и с известна противоречивост на мотивите, съдът заключава, че в случая на цесията единственото възможно основание за обработване на данните е съгласието на длъжника.
Така остава обвързващото в съдебната практика тълкуване, че макар правото да не изисква длъжникът да е съгласен с цесията, то той на всяка цена изрично трябва да се съгласи личните му данни да бъдат обработвани с цел прехвърляне на вземането.
Разбира се, това съгласие по GDPR трябва да отговаря на всички, заложени там, изисквания. Това означава съответно, че ще бъде оттегляемо свободно във всеки един момент, ако изобщо бъде законосъобразно предоставено. Защото е спорно дали е свободно дадено съгласието, ако клиентът в противен случай няма да получи кредит (все пак, коя финансова институция ще се съгласи да кредитира при риск никога да не може да прехвърли вземането?).
Подобно решение без съмнение създава прецедент, особено в контекста на предоставянето на финансовите услуги, и няма как да не постави въпроса дали съдебната практика не води до отклонение от целите и балансите, заложени от европейския законодател.
За повече информация можете да се обърнете към:
адв. Иля Комаревски, Съдружник
ilya.komarevski@kdp-law.com
адв. Милеслава Богданова-Мишева, Старши правен консултант
mileslava.bogdanova@kdp-law.com
