На 04.10.2024 г. Съдът на Европейския съюз („СЕС“) постанови решение по дело C-200/2023 с предмет тълкуването на съюзни актове – Общият регламент за защита на данните - GDPR („Регламента/ът“) и Директива (ЕС) 2017/1132 относно някои аспекти на дружественото право („Директива/та“). Преюдициалното запитване е отправено от Върховния административен съд („ВАС“) в рамките на спор между Агенцията по вписванията („Агенция/та“) и съдружник в търговско дружество (ООД).

Накратко, в обявения в Търговския регистър („ТР“) дружествен договор на въпросното дружество фигурират лични данни (ЕГН, номер на лична карта, подпис и др.) на въпросния съдружник. През юли 2021 г. е заявено искане пред Агенцията от самия съдружник неговите лични данни да бъдат заличени от дружествения договор. Агенцията не се е произнесла по това искане, респективно – е прието, че е направен мълчалив отказ. След произнасяне от Административен съд – Добрич в полза на жалбоподателя, делото е достигнало до последната възможна инстанция – ВАС.

ВАС, в качеството си на запитваща юрисдикция, счита, че е необходимо на националните съдилища да се изясни съотношението между двата акта на ЕС, т.е. да се установи как трябва да се съвместяват правото на защита на личните данни, от една страна, и гаранциите за публичност на определени дружествени актове, от друга страна.

СЕС приема, че органът, на който е възложено воденето на търговския регистър на съответната държава членка, няма право да отхвърля искания за изтриване на неизискваните от Директивата или правото на държава-членка лични данни, съдържащи се в публикуван дружествен договор, когато съответният субект е направил изрично искане за изтриване на тези лични данни.

В тези случаи Агенцията, в качеството ѝ на администратор на лични данни, трябва да докаже по безспорен и несъмнен начин, че е налице изрично законово основание, за да продължи да обработва личните данни (т.е. да не ги изтрива от съответния устройствен документ) въпреки направеното искане за заличаване от субекта, т.е. да докаже, че е налице някое от т.нар. „изисквания за необходимост“ по смисъла на чл. 6 от Регламента. Става дума за хипотези, при които е налице безспорен обществен интерес, изрично предвидено властническо правомощие на съответния орган, дадено изрично съгласие от субекта на данните и др.

В този смисъл СЕС поддържа, че разпоредбата на чл. 13, ал. 9 от ЗТРРЮЛНЦ, която гласи, че „когато в заявлението или в приложените към него документи са посочени лични данни, които не се изискват по закон, се смята, че предоставилите ги лица са дали съгласието си за тяхното обработване от агенцията и за предоставянето на публичен достъп до тях“, е незаконосъобразна и съответно – е необходимо да има изрично съгласие от съответното лице, за да се приеме, че обработването на личните данни не противоречи на закона.

СЕС посочва, че Агенцията несъмнено притежава качеството „получател“ и „администратор“ на лични данни. Аргументи в подкрепа на тази позиция са, че Агенцията е публичен орган и сама определя целите и средствата за обработването на лични данни. Като последица от това Агенцията е длъжна да спазва всички императивни разпоредби на Регламента, в това число да гарантира, че при липса на съгласие за обработка на лични данни, обработката може да продължи само при доказаното наличие на въпросните „изисквания за необходимост“ по смисъла на чл. 6 от Регламента.

Наред с горното, постановеното решение на СЕС внася яснота и по друг въпрос, а именно – приема, че саморъчният подпис на физическо лице попада в обхвата на понятието „лични данни“ по смисъла на Регламента. Този извод почива на редица съображения, отнасящи се до широкия смисъл на понятието „лични данни“, естеството на саморъчния подпис и функцията му да идентифицира лицето, което го полага.

Поставен е също въпросът дали загубата на контрол от субекта на данните върху обработването им за кратък период от време, поради обявяването им в търговския регистър на държава-членка, може да е достатъчна, за да причини „нематериални вреди“, или се изисква наличието на допълнителни „осезаеми отрицателни последици“. Позицията на СЕС е, че ограничената по продължителност загуба на контрол от субекта върху личните му данни поради незаконосъобразното им обявяване им в търговския регистър на държава-членка може да е достатъчна, за да причини „нематериални вреди“, стига субектът на данните да докаже, че действително е претърпял такива вреди, дори и минимални, но без понятието „нематериални вреди“ да изисква да се докаже и наличието на „допълнителни осезаеми последици“ (т.е. вреди над определен минимален праг).  

С постановеното решение по дело C-200/2023 СЕС внася необходимата яснота относно баланса между правото на защита на личните данни и правната уредба, гарантираща публичността и достъпността на определени актове на дружествата. Задължителните тълкувания, постановени от СЕС, имат важна практическа насоченост и дават полезни насоки на публичните органи, които са администратори на лични данни, при упражняване на дейност в това си качество.