Цесията и защита на личните данни

Цесията и защита на личните данни

 

 

Д-р Мартин Захариев, адвокат в Адвокатско дружество „Димитров, Петров и Ко.“ и експерт във Фондация „Право и интернет“

 

Актуално към 01. 11. 2019 г.

 

Динамиката на икономическите отношения обуславя използването на различни инструменти, към които участниците в стопанския живот прибягват с оглед осъществяване на своята дейност и при необходимост – с цел минимизиране на загубите си.

 

Един от тези инструменти е договорът за прехвърляне на вземане (цесия), по силата на който кредиторът по едно вземане (цедент) го прехвърля на едно трето лице (цесионер).

 

Като вид договор, цесията се подчинява на правилата на облигационното право, по-специално на чл. 99 - 100 от Закона за задълженията и договорите (ЗЗД).

 

Настоящото изложение няма за цел да изследва спецификите на този инструмент от облигационноправна гледна точка – същите напр. са анализирани в материала «Обзор на съдебната практика относно договора за цесия“ от миналия брой.

 

В същото време, често пропускано в практиката е обстоятелството, че цесията обикновено е свързана с обработването на лични данни на едно трето лице – длъжник, което не е страна по договора между цедента и цесионера (1).

 

Това налага внимателно изследване на правилата за защита на личните данни и тяхната приложимост към прехвърлянето на вземания, за да може този инструмент да се ползва законосъобразно, а страните по договора за цесия да минимизират рисковете от санкции за неспазване на административния режим за защита на личните данни.

 

Нужно ли е съгласие на длъжника за прехвърляне на вземането му?

 

Първият ключов въпрос при цесията е необходимо ли е съгласието на длъжника за договора.

 

Съгласието в контекста на договор за цесия може да се разглежда на две плоскости:

 

1. Съгласие за самата сделка, т.е. за самото прехвърляне на съответното вземане. Както бе посочено по-горе, длъжникът не е страна по договора за цесия. Затова и трайно е разбирането в правната теория и съдебната практика, че неговото съгласие не е необходимо, за да породи сделката действие. Кредиторът има право свободно да прецени дали и по какъв начин да се разпореди с вземане, което е част от неговото имущество, като волята на длъжника за това е ирелевантна.

2. Съгласие като основание за обработване на личните данни на длъжника по чл. 6, § 1, б. «а» от от Регламент 2016/679 (Общ регламент за защита на данните), наричан по-долу Регламента/ОРЗД. Съгласието може да се разглежда и на плоскостта на режима за защита на личните данни като едно от възможните правни основания за обработването на лични данни. Съгласието има определени специфики, които прехвърлят контрола върху обработването върху субекта на данните. Това е така, защото субектът има право да прецени:

 

• дали да даде съгласието или не (т.е. съгласието трябва да е „свободно“);

• за какви цели да даде съгласието си (т.е. съгласието трябва да е „конкретно“) и

• докога да се извършва обработването (съгласието може да бъде оттеглено свободно по всяко време).

Всички тези специфики правят съгласието неподходящо правно основание за обработването на лични при договори за цесия. В този смисъл са и тълкуванията на Комисията за защита на личните данни (КЗЛД), която в своите „Практически насоки на КЗЛД в кои случаи не е необходимо съгласие за обработване на лични данни“ (Насоките) е посочила, че при предаване на лични данни от един администратор на друг в резултат на прехвърляне на вземания (цесия) администраторът не следва да иска съгласие от субекта на данни. 

 

Това е и логично, защото ако обработването се базираше на съгласие, това би разкрило възможности за недобросъвестно поведение – напр. длъжникът да откаже да даде съгласие или да оттегли впоследствие дадено съгласие. В крайна сметка резултатът от подобни действия би бил блокиране на възможността на кредитора да се разпореди с вземането си, което гражданският закон не допуска.

 

Затова и съгласие не се иска от длъжника:

 

• нито за самата сделка,

• нито за обработването на лични данни с оглед изпълнението й.

 

На какво основание се базира обработването на лични данни при договора за цесия?

 

Обстоятелството, че не е необходимо цедентът и цесионерът да искат съгласие от длъжника за обработването на данните му във връзка с цесията, не следва да създава проблеми пред нейното сключването и изпълнението на договора от гледна точка на режима на защита на личните данни. Както и КЗЛД посочва в цитираните по-горе Насоки, съгласието е само едно от възможните правни основания за събиране и обработване на лични данни. Фактът, че то е посочено на първо място в чл. 6, § 1 от Регламента , не означава, че съгласието се ползва с някакво йерархическо предимство.

 

Правните основания са алтернативни и равнопоставени, като наличието „на което и да е от тях прави обработването законосъобразно, при условие, че са спазени и другите изисквания на регламента" (2).

 

С оглед на горното, страните по договора за цесия могат да базират обработването на личните данни на длъжника на следните правни основания:

 

• За цедента съществуват поне две правни основания за обработване на личните данни, а именно:

1. Спазване на законово задължение, което се прилага спрямо администратора по смисъла на чл. 6, § 1, б. в) от Регламента. Законовото задължение е вменено с чл. 99, ал. 3 ЗЗД – доколкото цитираната норма задължава предишния кредитор да предаде на новия кредитор намиращите се у него документи, които установяват вземането. Тази възможност е припозната и от КЗЛД в Насоките (3);
2. Наличие на легитимен (законен) интерес по смисъла на чл. 6, § 1, б. «е» от Регламента. Интересът на кредитора да упражнява правата си спрямо своето вземане (като прецени дали да го събере или да го прехвърли на трето лице-цесионер) безспорно е легитимен такъв. Кредиторът няма как да защити този си интерес, без да разполага с индивидуализираща информация по отношение на своя длъжник, съставляваща лични данни.

Тези обстоятелства разрешават на и същевременно задължават цедента да предаде личните данни на длъжника, доколкото същите се съдържат в съответните документи.

 

• За цесионера правното основание за обработване на личните данни на длъжника е легитимният му интерес да събере дължимата сума (доброволно или принудително) или от своя страна да прехвърли вземането на трето лице. Това е легитимен интерес по смисъла на чл. 6, § 1, б. „е“ от Регламента. Ако вземането – обект на цесия – е възникнало в резултат на валидни договорни отношения между цедента и длъжника-физическо лице може да се твърди, че за цесионера възниква и допълнително правно основание за обработването на лични данни – обработването е необходимо за изпълнението на договор, по който субектът на данните е страна по смисъла на чл. 6, §. 1, б. „б“ ОРЗД (това е договорът, на база на който е възникнало вземането – напр. договор за потребителски кредит, договор за предоставяне на услуги от мобилен оператор и т.н.). Това основание обаче може да бъде релевирано при условие че цесията породи действие спрямо длъжника чрез съобщаване по реда на чл. 99, ал. 3 и 4 ЗЗД (4).

В допълнение, както посочва КЗЛД, юридическият факт, който прави допустимо обработването на лични данни, е прехвърлянето на вземането, а не уведомлението на длъжника (5).

 

Други изисквания на защитата на личните данни при цесията

 

Доколкото при цесията е налице прехвърляне на лични данни длъжника от цедента към цесионера, важно изискване, което трябва да се спази, е уведомяването на длъжника за обработването на неговите лични данни.

 

На практика цесията е хипотеза, в която администраторът на лични данни-цесионер получава личните данни не пряко от субекта на данните, а от друг източник – цедента.

 

Ето защо, важно е на субекта на данни да се предостави изискуемата по чл. 14 от Регламента информация, гарантираща прозрачно обработване на данните, а именно:

 

1. данните, които идентифицират администратора и координатите за връзка с него (a когато администраторът е установен извън ЕС, но Регламентът се прилага спрямо него по силата на чл. 3, § 2 – тези на представителя на администратора);
2. координатите за връзка с длъжностното лице по защита на данните, ако такова е назначено от администратора;
3. целите на обработването на личните данни и правното основание за обработването;
4. съответните категории лични данни;
5. получателите или категориите получатели на личните данни, ако има такива;
6. когато е приложимо, намерението на администратора да предаде данните на трета държава или на международна организация, и допълнителна информация, свързана с този трансфер на данни (дали за държавата, където се намира получателят, има решение на Европейската комисия относно адекватното ниво на защита данните или при липса на такова – информация подходящите или приложимите гаранции и средствата за получаване на копие от тях или на информация къде са налични);
7. срокът, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;
8. когато обработването се извършва въз основа на член 6, § 1, буква «е» от Регламента – законните интереси, преследвани от администратора или от трета страна;
9. информация за правата на субекта на данни във връзка с обработването, вкл. правото на жалба до надзорен орган;
10. източникът на личните данни и, ако е приложимо, дали данните са от публично достъпен източник;
11. допълнителна информация в случай, че данните се използват за автоматизирано вземане на решения, включително профилиране.

Регламентът посочва, че тази информация се предоставя от администратора в следните срокове:

 

• в разумен срок след получаването на личните данни, но най-късно в срок до един месец, като се отчитат конкретните обстоятелства, при които личните данни се обработват. Този срок би бил меродавен, ако цесионерът не планира да предприеме в кратък срок някакви мерки по събиране на вземането, а напр. единствено съхранява документите за дълга;

• ако данните се използват за връзка със субекта на данните, най-късно при осъществяване на първия контакт с този субект на данните – тази хипотеза ще е налице, ако към длъжника се отправи покана за доброволно изпълнение от цесионера. Най-късно с поканата за доброволното изпълнение длъжникът следва да бъде информиран с посочената по-горе информация;

• ако е предвидено разкриване пред друг получател, най-късно при разкриването на личните данни за първи път – тази хипотеза ще е налице, ако цесионерът реши от своя страна да цедира вземането на трето лице. Тогава най-късно при разкриването на третото лице субектът на данни трябва да бъде информиран с посочената по-горе информация.

Не са малко случаите в практиката, когато цесионери са санкционирани именно за неспазване на горното изискване за информиране на субекта:

 

• по стария режим уредено в чл. 20 от старата редакция на Закона за защита на личните данни (ЗЗЛД) преди измененията от февруари 2019 г. и

•  по новия режим – в чл. 14 от Регламента.

В този смисъл са напр. Решение. № 12741 от 24.10.2017 г. по адм. д. № 5234/2016 г., V отд., на ВАС, Решение № 5796 от 03.05.2018 г. по адм. д. № 10097/2016 г.,V отд. на ВАС, Решение № 791 от 18.01.2019 г. по адм. д. № 6189/2017 г., V отд. на ВАС и др.

 

По принцип ОРЗД допуска горното задължение за информиране да не се приложи, ако получаването или разкриването на данните е изрично разрешено от:

 

• правото на ЕС или

• правото на държавата членка, което се прилага спрямо администратора и в което се предвиждат също подходящи мерки за защита на легитимните интереси на субекта на данните (чл. 14, § 5, б. «в»).

Не е ясно как КЗЛД ще тълкува това правило в светлината на договора за цесия (при който разкриването и получаването е изрично уредено в българското право, по-специално в ЗЗД).

 

Поради това и предвид горната санкционна практика по-сигурният подход за цесионерите ще е да извършват нарочно уведомяване на субектите.

 

На последно място следва да се посочи, че в практиката се допуска уведомяването на длъжника за цесията да се извърши от цесионера след изрично упълномощаване от стария кредитор (цедент) (6).

 

Поради това няма пречка с това уведомяване да се извърши и информиране на субекта на данни за обработването по смисъла на чл. 14 от Регламента (чл. 20 ЗЗЛД (стара редакция)).

 

Това е изрично припознато и в практиката на ВАС, където се посочва следното:

 

„[…] няма пречка уведомлението по чл. 99, ал. 3 ЗЗД и съобщаването по чл. 20, ал. 1, т. 1 и 2 ЗЗЛД да бъдат инкорпорирани в едно писмо, респ. съобщени едновременно по някакъв друг легитимен начин. Трябва обаче да бъде отчетено различното им правно естество и съответно - различният обем информация, която е необходимо да достигне до адресата в качеството на длъжник по цедираното вземане, т.е. участник в облигационно правоотношение и като физическо лице, чиито лични данни са предоставени от един администратор на лични данни на друг - заинтересована страна в развилите се административни правоотношения при режима на Закона за защита на личните данни."

 

Може ли изтеклата давност на прехвърленото вземане да засегне законосъобразността на обработването на лични данни?

 

Често в практиката длъжници подават жалби в КЗЛД срещу цеденти и цесионери, излагайки наред с другото и твърдения, че обработването на техни лични данни е незаконосъобразно, защото вземането, по което са длъжници, е погасено по давност.

 

Житейски и психологически разбираема е негативната реакция на физическите лица, ако с тях се свързват колекторски фирми с претенции, които от години са погасени по давност. В такива случаи донякъде основателно у хората могат да възникнат опасения от начина, по който се борави с техните данни, респ. как и защо същите са достигнали до трето лице-колекторска фирма.

 

Въпреки това следва да се знае, че обстоятелството дали вземането-обект на цесия е погасено по давност или не е ирелевантен въпрос в производството пред КЗЛД за евентуални нарушения на режима за защита на личните данни. Дали вземането е погасено по давност или не, надлежно ли е упражнено възражението на длъжника за изтекла погасителна давност и т.н. са въпроси от компетентността на гражданския съд и не влияят на законосъобразността на обработването на лични данни.

 

Заключение

 

В заключение цесията е напълно валиден гражданскоправен способ, позволяващ на кредитора да се разпореди със свое вземане както намери за добре. За такова разпореждане съгласие от длъжника не е необходимо нито в гражданскоправен смисъл, нито от гледна точка на защита на личните данни. Въпреки това, принципът за прозрачност на обработването налага определена информация, предписана от Регламента, да бъде съобщена на длъжника, за да се обезпечи законосъобразността на обработването. Няма пречка това да стане с уведомлението за цесията, стига цесионерът да е упълномощен за това от цедента, но в този случай уведомлението трябва да съдържа специфичната информация, предписана от ОРЗД.

 

---

Вижте още материали относно цесията, публикувани през 2019 г.:

 

• ЗДДФЛ. Третиране на доход от наем, прехвърлен по договор за цесия на физическо лице. Материалът е публикуван в Рубрика "Безплатно".

• Данъчни задължения на цедента по реда на ЗДДФЛ - може ли цедентът да дължи данъци и след прехвърляне на вземането и възниква ли двойно данъчно облагане?

• Задължения на предприятие, платец на наем на местно физическо лице, прехвърлен с договор за цесия на друго местно физическо лице. Материалът е публикуван в Рубрика "Безплатно".

• Обзор на съдебната практика относно договора за цесия.

Относно правната характеристика на договора за цесия виж т. 1 на  материала  "Прехвърляне на вземания  и задължения" от ноемврийския брой на списанието от 2012 г.