Brillen Rottler (C-526/24) — нов тест на СЕС за обезщетенията по чл. 82 GDPR и каузалната защита на бизнеса
На 19 март 2026 г. Съдът на Европейския съюз (Четвърти състав, докладчик R. Frendo) постанови решението си по дело C-526/24 (Brillen Rottler) — едно от най-важните решения по GDPR за последните пет години. То отговаря на въпроса кога нарушение на регламента ражда право на обезщетение — и (за първи път) кога не. За българските длъжностни лица по защита на данните, юрисконсулти и бизнес лидери, които ежедневно се справят с нарастващия обем искания за достъп, решението въвежда две силни защитни линии: отказ на недобросъвестно искане по чл. 12(5) и прекъсване на причинно-следствената връзка по чл. 82. Ето пълният анализ.
Съдържание
- Контекст: защо Brillen Rottler е важно за европейския бизнес
- Фактите: схемата „абонирай се → искане за достъп → искане за EUR 1,000"
- Извод 1 — чл. 82 обхваща нарушения и без обработване
- Извод 2 — нематериална вреда без минимален праг, но без презумпция
- Извод 3 — каузалната защита (повратен момент за бизнеса)
- Тестът за намерение за злоупотреба — какво документира администраторът
- Прилагане в България — НАП, Quirin Privatbank и Brillen Rottler
- Чеклист за длъжностното лице по защита на данните— документиране и защита
- Връзка с Digital Omnibus 2026
- Често задавани въпроси
Контекст: защо Brillen Rottler е важно за европейския бизнес
Правото на достъп по чл. 15 GDPR се превърна в най-съдено правило в европейското право за защита на данните. Първоначалната му цел — да даде на физическите лица възможност да разберат и проверят как се обработват личните им данни — е добре установена. На практика обаче то беше превърнато в оръжие: използва се не за получаване на информация, а за фабрикуване на нарушения и извличане на обезщетение.
В Германия, Австрия и Нидерландия за последните три години се развиха стандартизирани кампании, при които физически лица (често обединени в правно-технологични платформи) подават хиляди искане за достъп срещу банки, застрахователи, телекоми и онлайн платформи — с очаквана средна „печалба" от EUR 500–1,500 за иск. Решението Brillen Rottler е първият цялостен опит на СЕС да рекалибрира границите на тази практика.
Защо това засяга българския бизнес
В България същата практика е в начален етап, но бързо се ускорява. Искове за обезщетение по чл. 82 GDPR срещу банки, мобилни оператори и държавни органи (особено след теча от НАП през 2019 г.) вече се завеждат масово. Очакваме през 2026–2027 г. да се появят организирани правно-технологични платформи по немския модел. Brillen Rottler дава на българските администратори ключовите аргументи за защита — преди вълната да е достигнала пълния си размер.
Фактите: схемата „абонирай се → искане за достъп → искане за EUR 1,000"
Случаят е до болка прост — и точно затова е поучителен. През март 2023 г. австриец се абонира за бюлетин (бюлетин) на Brillen Rottler, малка немска семейна оптика. Само 13 дни по-късно подава искане за достъп по чл. 15 GDPR. Оптиката отказва, квалифицирайки искането като прекомерно по чл. 12(5) GDPR. Австриецът завежда дело — едновременно за искането за достъп и за обезщетение от минимум EUR 1,000 по чл. 82 GDPR.
Защитата на оптиката се позова на множество онлайн доклади и адвокатски блогове, показващи, че същият модел се повтаря масово от това лице срещу различни администратори. Както СЕС обобщи, искането е било подадено
„с единствената цел получаване на обезщетение за твърдяно нарушение, което той умишлено провокира, на правата си по GDPR."
— СЕС, дело C-526/24, цитиране на устата на ответника
Районен съд Арнсберг (Германия) спира производството и поставя осем преюдициални въпроса до СЕС. Отговорите променят доктрината.
Извод 1 — чл. 82 обхваща нарушения и без обработване
Първо, СЕС се занимава с текста на чл. 82, параграф 1 GDPR, който дава право на обезщетение „на всяко лице, което е претърпяло вреда в резултат на нарушение на този регламент". Съдът отбелязва, че разпоредбата не съдържа никаква препратка към „обработване" — и че ограничаването на обезщетението до вреди, произтичащи от обработване, би подкопало ефективността ѝ.
Нещо повече — нарушенията на правата от Глава III на GDPR (достъп, поправяне, изтриване, преносимост) могат да възникнат не от самото обработване, а от отказ да се предприеме действие по искане на субекта. Изключването на тези случаи от обхвата на чл. 82(1) би лишило разпоредбата от практически ефект.
Какво означава това на практика
Отказ на искане за достъп — дори когато в основата му няма никакво обработване на данни — сам по себе си може да генерира право на обезщетение по чл. 82 GDPR. Това разширява потенциалната отговорност на администраторите, защото неотговарянето или забавянето на искане за достъп (нарушение на чл. 12(3)) става самостоятелно основание за иск, без да трябва да се доказва незаконна обработка. Заключение: не игнорирайте искане за достъп. Дори ако смятате, че няма да имат правни последици, мълчанието вече има цена.
Но СЕС не остави този извод без баланс — добави стриктно изискване за доказване:
„Когато субектът на данни се позовава на нарушение на чл. 15 GDPR, за да поиска обезщетение, той трябва все пак да докаже, че е претърпял вреда, конкретно свързана с това нарушение."
— СЕС, C-526/24, параграф 55 (по официалното прес-съобщение)
Извод 2 — нематериална вреда без минимален праг, но без презумпция
Вторият извод е по-фин и е критичен за стратегията на защита. СЕС се позовава на съображение 85 GDPR, който в нелимитативен списък включва „загуба на контрол" над личните данни като форма на вреда. Според Съда:
- Загуба на контрол и несигурност относно това дали данните са били обработени могат по принцип да представляват нематериална вреда
- Но „загуба на контрол" е потенциална причина за вреда, не самата вреда
- Субектът трябва да отиде по-далеч и да докаже, че тази загуба на контрол е довела до фактически негативни последици
- Простото твърдение за страх или тревожност не е достатъчно — трябва да се докаже, че тези чувства са довели до конкретни, доказани последици
Двойният баланс на СЕС е педантичен:
Няма минимален праг
Националното право не може да изисква вредата да достигне определено ниво на сериозност. Дори минимална вреда подлежи на обезщетение.
Няма презумпция
Но вредата не може да се презумира от самия факт на нарушение. Субектът трябва да докаже фактически претърпяна вреда — колкото и минимална.
Това балансирано решение продължава линията на СЕС от предишни дела: НАП C-340/21 (страх от бъдеща злоупотреба = вреда), MediaMarktSaturn C-687/21 (абстрактен страх без обоснован риск ≠ вреда), Quirin Privatbank C-655/23 (степен на вина ирелевантна за размер).
Извод 3 — каузалната защита (повратен момент за бизнеса)
Третият извод е стратегически най-значимият за защитниците. СЕС постанови, че причинно-следствената връзка между твърдяното нарушение и твърдяната вреда може да бъде прекъсната от поведението на самия субект — стига това поведение да се окаже „определящата причина" за вредата.
Такова поведение може да включва умишлено решение на субекта — например решение да представи лични данни на администратор с единствената цел да създаде изкуствено условията за иск за обезщетение. Когато това е така, не се дължи обезщетение.
Защо това е повратен момент
Каузалната защита е самостоятелна линия на отбрана, която не зависи от това дали искането за достъп е било правилно квалифицирано като „прекомерно" по чл. 12(5) GDPR. Дори ако администраторът не успее да изпълни високата доказателствена тежест за отказ, той все още може да отблъсне иска за обезщетение на каузалния етап — стига да докаже, че поведението на субекта е било определящата причина за твърдяната вреда. Това е първото структурно ограничение на масовите GDPR искове на ниво ЕС.
Цитат, който трябва да се запомни:
Параграф 67 на решението: нематериалната вреда обхваща и загуба на контрол „при условие, че се докаже... че субектът на данни действително е претърпял такава вреда" — и че неговото поведение не е причинило вредата.
— СЕС, C-526/24, параграф 67
Тестът за намерение за злоупотреба — какво документира администраторът
За първи път СЕС определя конкретен списък от индикатори, които администраторът може да използва, за да докаже намерение за злоупотреба — както за отказ по чл. 12(5), така и за прекъсване на каузалността по чл. 82.
Доброволност
Дали предоставянето на данните е било доброволно (например бюлетин абонамент) или задължително (например изпълнение на договор за услуга).
Първоначална цел
Каква е била първоначалната причина субектът да предостави данните си — желаете ли получаване на услуга или само създаване на основа за бъдещ иск?
Времева линия
Какво време изтича между първоначалното предоставяне на данните и подаването на искане за достъп. Кратко време (дни) е силен индикатор за изкуствено създаване на условия.
Поведенчески модел
Цялостният модел на поведение на субекта, включително публично достъпна информация за систематични искания към множество администратори, последвани от искове за обезщетение.
Тук обаче СЕС добавя важен баланс: публично достъпна информация за серийни модели на поведение сама по себе си не може да обоснове отказ. Нужно е допълнително, специфично за случая доказателство. Тежестта е изцяло върху администратора, и стандартът остава висок: отказите трябва да бъдат „изключение" и зависят от контекста.
Внимание: висока доказателствена тежест
Не злоупотребявайте с правото на отказ. СЕС е напълно ясно, че повечето искане за достъп трябва да получат пълен отговор. Отказите, основани на намерение за злоупотреба, са изключение и трябва да бъдат документирани с конкретни, проверими факти. В противен случай рискувате втори иск — за обезщетение по чл. 82 GDPR именно за неоснователния отказ.
Прилагане в България — НАП, Quirin Privatbank и Brillen Rottler
Brillen Rottler не идва в правен вакуум. Българската съдебна и регулаторна практика по чл. 82 GDPR е сравнително плътна и сега се обогатява с нов референтен инструмент. Ето как трите ключови решения работят заедно:
| Решение | Дата | Ключов извод | Как се използва в БГ защита |
|---|---|---|---|
| НАП C-340/21 | 14.12.2023 | Обоснован страх от бъдеща злоупотреба = нематериална вреда | Определя обхвата на вредата при течове |
| MediaMarktSaturn C-687/21 | 25.01.2024 | Абстрактен страх без обоснован риск ≠ вреда | Защита: оборване на твърденията за вреда |
| Agentsia po vpisvaniyata C-200/23 | 20.06.2024 | Временна загуба на контрол = вреда | Прецедент с българска юрисдикция |
| Quirin Privatbank C-655/23 | 27.02.2025 | Степен на вина ирелевантна за размер | Размерът зависи само от претърпяната вреда |
| Brillen Rottler C-526/24 | 19.03.2026 | Каузалност може да бъде прекъсната от поведение на субекта | Нова линия на защита при подозрение за намерение за злоупотреба |
За пълен анализ на първите четири решения и тяхното прилагане в България, прочетете нашата статия Обезщетение при нарушение на GDPR — права на субектите и практика на СЕС.
Свързано: BGH ограничи прехвърлянето на правото на достъп
Само 23 дни преди Brillen Rottler, германският Bundesgerichtshof (24.02.2026, VI ZR 430/24) ограничи възможността цесионери да упражняват искане за достъп в свое име въз основа на изкупуване на парични вземания. Двете решения работят синхронно: BGH казва „правото не се прехвърля автоматично", СЕС добавя „дори когато се упражнява лично, то може да бъде отказано при намерение за злоупотреба". Прочетете нашия пълен анализ на BGH 2026.
Чеклист за длъжностното лице по защита на данните— документиране и защита
След Brillen Rottler, всеки длъжностното лице по защита на даннитев България трябва да актуализира процедурата си за обработване на искане за достъп. Ето практическият чеклист:
- При получаване на искане за достъп — отбележете точна дата и час на искането
- Запишете как и кога субектът е предоставил данните си първоначално (договор, регистрация, абонамент)
- Изчислете интервала между предоставянето и искане за достъп — кратки интервали (под 30 дни без обективна причина) са индикатор
- Проверете дали данните са доброволно предоставени или като част от изпълнение на договор
- Проверете публично достъпна информация за систематичен модел на subject (напр. същата схема срещу други администратори)
- Документирайте обема и обхвата на искането (искане за всичко безразборно vs специфично искане)
- Документирайте дали искането предхожда искане за обезщетение или съдебно дело
- Ако решите да откажете — направете го в рамките на 1 месец, с подробна писмена обосновка по чл. 12(5)
- Дори ако решите да отговорите — пазете досието с indicators за бъдеща каузална защита по чл. 82
- При иск за обезщетение — повдигнете две защитни линии: (а) прекомерно по чл. 12(5), (б) прекъсната каузалност по чл. 82
Реалистична преценка — кога да откажете
Когато индикаторите са слаби
Ако имате само един или два индикатора (напр. „кратка времева линия") без подкрепящи доказателства, отговорете на искане за достъп. Рискът от иск за обезщетение по чл. 82 за неоснователен отказ е по-голям от риска от иск за слаба защита. Запазете досието си — ако дойде втори, повторен искане за достъп или иск за обезщетение, ще имате документация за каузалната защита.
Когато имате концентрирани индикатори
Ако имате 3+ индикатора, които сочат към инструментално упражняване на искане за достъп (например: абонамент за бюлетин, искане за достъп в рамките на дни, публична информация за систематичен модел, ясно искане за обезщетение в самия искане за достъп), отказът по чл. 12(5) е обоснован. Мотивирайте го писмено с препратки към конкретните indicators и към Brillen Rottler.
Връзка с Digital Omnibus 2026
Brillen Rottler идва в повратен момент от законодателния процес. Digital Omnibus 2026 на Европейската комисия предлага изменение на чл. 12(5) GDPR с изричен текст, който позволява отказ на искания, „които злоупотребяват с правата по този регламент за цели, различни от защитата на данните".
Тестът на СЕС в Brillen Rottler — фокусиран върху намерение за злоупотребаion — сега е de facto юридическият бенчмарк, спрямо който всяка законодателна формулировка ще бъде измервана.
Внимание: критики към Digital Omnibus
EDPB и EDPS са повдигнали сериозни възражения срещу формулировката, отбелязвайки, че СЕС е потвърдил, че субектите могат легитимно да упражняват правото си на достъп за цели, „различни от това да станат осведомени за обработването и да проверят неговата законосъобразност" — и без да трябва да представят конкретна мотивация. Текстът на Комисията може да блокира легитимни искане за достъп за журналистически, изследователски, политически и юридически цели. Очаква се преговори между Парламента и Съвета през 2026–2027 г.
Засега, Brillen Rottler е съществуващото право на ЕС — пряко приложимо в България, чрез прякото действие на регламентите и преюдициалния характер на решенията на СЕС.
Често задавани въпроси
Какво е делото Brillen Rottler (C-526/24) и защо е важно?
Brillen Rottler е решение на Съда на ЕС от 19 март 2026 г., което изяснява три ключови въпроса по чл. 82 GDPR: (1) кога нарушение на регламента ражда право на обезщетение — включително без обработване на данни, (2) кога загуба на контрол или несигурност може да бъде нематериална вреда, и (3) при какви обстоятелства поведението на самия субект прекъсва каузалната връзка. Решението дава на бизнеса нова, силна защита срещу масови искове за обезщетение.
Може ли първо искане за достъп (искане за достъп) да бъде отказано като прекомерно по чл. 12(5) GDPR?
Да, при наличие на намерение за злоупотреба. СЕС постанови, че решаващият критерий не е броят на исканията, а дали те са направени с цел да се създадат изкуствено условия за иск за обезщетение по чл. 82 GDPR — а не за да се упражни правото на прозрачност. Доказателствената тежест лежи изцяло върху администратора и стандартът остава висок: отказите трябва да бъдат изключение, не правило.
Дава ли отказ на искане за достъп (без обработване на данни) право на обезщетение?
Да, потенциално. СЕС изяснява, че чл. 82(1) GDPR говори за нарушение „на този регламент" — не „на правилата за обработване". Затова отказ да се отговори на искане за достъп сам по себе си може да бъде нарушение, генериращо право на обезщетение — независимо от това дали обработването е било незаконно. Но субектът трябва да докаже конкретна вреда, причинена от отказа.
Каква е каузалната защита, която СЕС призна?
СЕС постанови, че причинно-следствената връзка между нарушението и твърдяната вреда може да бъде прекъсната от самото поведение на субекта, ако то се окаже „определящата причина" за вредата. Например — субект, който умишлено предоставя данните си на администратор само за да създаде условия за иск за обезщетение. Това е самостоятелна защита, която работи дори ако отказът на искане за достъп не е напълно обоснован по чл. 12(5).
Има ли минимален праг (минимален праг) за нематериална вреда по GDPR?
Не. СЕС изрично потвърди, че националното право не може да изисква вредата да достигне определено ниво на сериозност. Дори минимална вреда подлежи на обезщетение. Но СЕС беше също толкова ясно в обратната посока: вредата не може да бъде презумирана от самия факт на нарушение. Субектът трябва да докаже конкретни негативни последици — фактически претърпени, не хипотетични или абстрактни.
Какво трябва да правят длъжностното лице по защита на даннитеи юрисконсултите след Brillen Rottler?
Три неща: (1) Документирайте всеки искане за достъп подробно — момент на първоначално предоставяне на данните, момент на искането, наличие на публична информация за систематичен модел. (2) При съмнение за намерение за злоупотреба — формално повдигнете възражение в рамките на 1-месечния срок за отговор, с ясни мотиви. (3) Поддържайте както отказа по чл. 12(5), така и каузалната защита по чл. 82 — те работят паралелно. Дори отказът да не издържи, каузалната защита може да отблъсне иска за обезщетение.
Действа ли Brillen Rottler директно в България?
Да, изцяло. Решенията на СЕС по преюдициални запитвания имат еднаква правна сила във всички държави членки, включително България. Българските съдилища и КЗЛД са длъжни да тълкуват GDPR в съответствие с Brillen Rottler. Това означава, че защитата по каузалност и тестът за намерение за злоупотреба са незабавно приложими при всеки иск за обезщетение по чл. 82 GDPR пред български съд или жалба пред КЗЛД.
Как Brillen Rottler се свързва с НАП C-340/21 и теча на данни в България?
Двете решения работят на различни нива. НАП C-340/21 установи, че обоснованият страх от бъдеща злоупотреба може да бъде вреда — основа за хилядите искове за обезщетение след теча от 2019 г. Brillen Rottler добавя инструмент в обратната посока: ако се докаже, че ищец умишлено е създал условия за иск (което не е случаят с реалните пострадали от НАП), вредата може да бъде отказана. За истинските пострадали от НАП — практиката остава непроменена. За потенциални злоупотреби в бъдеще — нов инструмент.
Тази статия отразява правното положение към 23 април 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет относно процедури за искане за достъп, защита при искове за обезщетение по чл. 82 GDPR или адаптация на вашата вътрешна политика спрямо Brillen Rottler, моля свържете се с нас.
Получавате нарастващ обем искане за достъп? Имате риск от искове по чл. 82 GDPR?
Помагаме на банки, застрахователи, телекоми, онлайн платформи и публични органи да изградят защитни процедури, съответстващи на Brillen Rottler — преди първият иск да дойде.
- Преглед и адаптация на вашата процедура за обработване на искане за достъп
- Шаблони за документиране на indicators за намерение за злоупотреба
- Шаблони за писмени откази по чл. 12(5) GDPR с препратки към Brillen Rottler
- Защита пред КЗЛД и в граждански производства за обезщетение
- Обучение на длъжностното лице по защита на данните и юрисконсулта за защитата по причинно-следствена връзка по чл. 82
- Анализ на конкретни искане за достъп за риск от masово използване
Получавайте нови анализи на GDPR съдебна практика директно в пощата си
Свежи разбори на решения на СЕС, BGH и КЗЛД с практически изводи. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и защита на бизнеса при искове за обезщетение по чл. 82 GDPR. Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Заедно консултират над 90 компании, включително банки, застрахователи и онлайн платформи, за обработване на искане за достъп и защита при инструментални искове.