Кога може законно да откажете искане за достъп — оперативно ръководство за HR и юрисконсулти след Brillen Rottler
Когато бивш служител подаде искане за достъп няколко дни преди да заведе иск за дискриминационно уволнение, или когато клиент с история на жалби поиска „всички ваши данни за мен" с очевидна цел да подготви иск за обезщетение — първият рефлекс на администратора е да откаже. След решението на СЕС Brillen Rottler (C-526/24, 19 март 2026 г.) отказът действително е възможен дори при първо искане. Прагът обаче е изключително висок, тежестта на доказване е изцяло върху администратора, а необоснованият отказ води до отговорност по чл. 82 GDPR и до регулаторни санкции от КЗЛД. Настоящото ръководство е предназначено за HR директори, юрисконсулти и длъжностни лица по защита на данните и обхваща: резюме на казуса и решението, двустранния тест на СЕС, стъпкова процедура за оценка, сценарии от трудовия и финансовия сектор, шаблон за писмо за отказ.
Съдържание
- Защо темата е критична за HR и юрисконсулти
- Принципното положение — отказ е изключение
- Двустранният тест на СЕС
- Стъпкова процедура за оценка — кога да откажете и кога не
- Сценарии — трудов спор и финансов сектор
- Uber Amsterdam Court — искането за достъп като инструмент за оспорване
- Шаблон за писмо за отказ
- Връзка с Digital Omnibus
- Чеклист за процедура по искания за достъп
- Често задавани въпроси
Защо темата е критична за HR и юрисконсулти
Искания за достъп по чл. 15 GDPR се превърнаха в тактически инструмент в множество корпоративни контексти:
- Бивши служители подават искания преди да заведат искове за дискриминационно или незаконно уволнение — с цел да съберат вътрешни документи (електронна кореспонденция, оценки на трудовото изпълнение, преписки между ръководители);
- Клиенти на банки и застрахователи искат „всички данни" с очевидна цел да оспорят отказ за кредит, рисково класифициране или увеличение на застрахователна премия;
- Серийни заявители систематично подават искания към множество администратори с цел последващи искове за обезщетение по чл. 82 GDPR;
- Автоматизирани инструменти, основани на изкуствен интелект, вече откриват системно нарушения на GDPR и на режима за съгласие за бисквитки и генерират масови искания за обезщетение.
Решението на СЕС Brillen Rottler от 19 март 2026 г. предоставя на администраторите първото ясно правно средство срещу очевидно недобросъвестни искания — но само при стриктно доказани условия. Настоящото ръководство дава практическа рамка за прилагането му.
Свързано четене
За цялостен анализ на самото решение и неговите последствия, виж нашата подробна статия Brillen Rottler (C-526/24) — нов тест на СЕС за обезщетенията по чл. 82 GDPR. Текущата статия се фокусира върху оперативната страна — какво да правите, когато искането пристигне.
Принципното положение — отказ е изключение
Изходна точка за всеки HR директор и юрисконсулт е, че принципното положение по чл. 15 GDPR е пълно съответствие с искането. СЕС в Brillen Rottler изрично подчертава в §35, че отказите трябва да се прилагат:
„...само в изключителни случаи. Концепцията за прекомерни искания трябва да се тълкува ограничително, оценявана въз основа на всички релевантни факти и обстоятелства във всеки отделен случай."
— СЕС, C-526/24 Brillen Rottler, §35
На практика това означава: при съмнение — отговорете по същество. Необоснованият отказ носи двоен риск:
- Иск за обезщетение по чл. 82 GDPR от субекта на данни (по съдебната практика — обикновено в размер от стотици до няколко хиляди евро за нематериални вреди);
- Имуществени санкции от КЗЛД по чл. 83, ал. 5 GDPR — до 20 милиона евро или 4% от годишния световен оборот.
Принципното положение е пълно съответствие
Настоящото ръководство не съдържа общо разрешение за отказ. В производството срещу Uber пред Amsterdam Court of Appeal е установено, че при упорито неизпълнение могат да се налагат периодични имуществени санкции за неизпълнение — Uber беше задължен да заплати до 584 000 евро в общ размер, увеличаващи се с 4 000 евро за всеки следващ ден на неизпълнение. Отказ е допустим само въз основа на ясно документирани конкретни доказателства и след вътрешноюридическа консултация с юрисконсулт и длъжностно лице по защита на данните.
Двустранният тест на СЕС
Резюме на казуса Brillen Rottler (C-526/24)
Делото е преюдициално запитване от германски съд по спор между потребител и Brillen Rottler GmbH — немски онлайн магазин за оптични артикули. Потребителят е получил рекламно съобщение от дружеството, въпреки че никога не е бил негов клиент. Подал е искане за достъп по чл. 15 GDPR, за да установи откъде са получени личните му данни. Дружеството не е отговорило в срок. Потребителят е завел иск за обезщетение по чл. 82 GDPR.
В хода на производството е установено, че същият потребител систематично е подавал десетки сходни искания към множество администратори и впоследствие — искове за обезщетение. Германският съд е отправил преюдициално запитване до СЕС с два основни въпроса: (1) представлява ли само по себе си неотговарянето на искане за достъп нарушение, водещо до автоматично обезщетение по чл. 82, и (2) при какви условия едно първо искане може да се квалифицира като „прекомерно" по смисъла на чл. 12, ал. 5 GDPR — без предходна история на искания към същия администратор.
Решението на СЕС от 19 март 2026 г.
Съдът постанови три ключови извода:
- По чл. 82 GDPR — неотговарянето на искане за достъп само по себе си представлява нарушение, но не води автоматично до обезщетение. Субектът на данни трябва да докаже три кумулативни условия (§60): нарушение, действителна вреда и причинно-следствена връзка между тях. Вредата не се презумира (§62).
- По чл. 12, ал. 5 GDPR — дори първо искане може да бъде квалифицирано като „прекомерно", когато администраторът докаже наличие на злоупотреба с право. Не се изисква предходна кореспонденция със същия субект.
- Тежест на доказване — изцяло върху администратора. Поведението на самия субект може да прекъсне причинно-следствената връзка и да послужи като защита срещу иска за обезщетение (§65, §66).
Решението има практическо значение в две посоки. От една страна, ограничава автоматичното обезщетяване при процедурни нарушения. От друга — за първи път изрично признава възможност за отказ дори на първо искане, при стриктно доказани предпоставки.
Самият тест от §36
СЕС в §36 на Brillen Rottler установи двустранен тест, който трябва да премине всеки отказ. И двете части са кумулативни — задължително е наличието и на двете, не само на едната.
Обективна част
Комбинация от обективни обстоятелства, при които — въпреки формалното спазване на условията на чл. 15 GDPR — целта на правилата за защита на данните не е постигната. Администраторът следва да докаже, че действителната цел на искането не е проверка на законосъобразността на обработването, а постигане на друга, нерелевантна за GDPR цел.
Субективна част
Намерение на субекта на данни да получи предимство от правилата на GDPR чрез изкуствено създаване на условията за неговото предоставяне. Изисква се доказване на умишлено недобросъвестно намерение, а не само на подозрение или предположение.
Релевантни обстоятелства (§42)
СЕС изрично изброява кои обстоятелства администраторът може да привлече като доказателства:
- Доброволност на предоставянето — дали данните са били предоставени без правно задължение (например доброволен абонамент за бюлетин, а не задължителна регистрация при сключване на договор);
- Първоначална цел — какво е било заявено или обозначено при предоставянето на данните и съответства ли последващото искане на тази цел;
- Времева линия — колко време е изминало между предоставянето на данните и искането за достъп;
- Цялостно поведение на субекта на данни — други негови действия, връзка с настоящи или предстоящи спорове, систематичен модел на поведение.
Публично достъпни доказателства (§43)
Информация от публични източници — например данни за предходни сходни случаи със същия субект — е допустима, но не е достатъчна сама по себе си. Изискват се конкретни и специфични за случая доказателства. Самостоятелна публикация в правен блог или в медия, която характеризира някого като „сериен заявител", не може да обоснове отказ.
Стъпкова процедура за оценка — кога да откажете и кога не
Когато искането постъпи, администраторът преминава през следните шест последователни стъпки, преди да вземе решение:
Установяване на самоличността
По чл. 12, ал. 6 GDPR. При основателни съмнения за самоличността — изискайте допълнителни доказателства (но не отказ). Едномесечният срок по чл. 12, ал. 3 започва да тече от датата на потвърждаване на самоличността.
Лично искане или чрез представител
Когато искането е подадено от трето лице, по решението на BGH VI ZR 430/24 изисквайте изрично писмено пълномощно с конкретен обхват по чл. 15 GDPR. При непредставяне — указание за отстраняване в разумен срок. Подробен анализ е представен в нашата отделна статия за прехвърлянето на правото на достъп.
Налични индикатори за злоупотреба
Идентифицирайте обстоятелства от §42: кратка времева линия (под 30 дни между предоставянето на данните и искането), доброволно предоставяне без задължение, връзка с предстоящ или висящ спор, систематичен модел на поведение. Всяко обстоятелство се документира писмено в досието на искането.
Достатъчност на доказателствата
Изискват се най-малко четири конкретни обстоятелства, подкрепени със специфични за случая доказателства. Самостоятелна публикация или общи данни от публични източници не са достатъчни. При обективна неяснота — не се отказва, а се отговаря по същество.
Вътрешноюридическа консултация
За значими случаи — потенциален съдебен иск, специални категории лични данни по чл. 9, бивш служител в потенциален трудов спор — се изисква предварително становище както от юрисконсулта на администратора, така и от длъжностното лице по защита на данните. Становищата се прилагат към досието.
Спазване на едномесечния срок
По чл. 12, ал. 3 GDPR. Писменият мотивиран отказ с изрична препратка към чл. 12, ал. 5 GDPR трябва да бъде изпратен в едномесечния срок. Удължаване с до два месеца е допустимо само при особена сложност и при уведомяване на субекта на данни в рамките на първоначалния срок.
Практическо правило
Ако обстоятелствата по конкретния случай не достигат прага на двустранния тест — например имате под четири конкретни и проверими обстоятелства, или събраните данни са основно от публични източници, без специфични за случая доказателства — отговорете по същество в едномесечния срок. Конкретно това означава:
- Изгответе вътрешно становище от длъжностното лице по защита на данните, в което изрично се мотивира защо двустранният тест не е изпълнен;
- Регистрирайте всички констатирани обстоятелства в журнала за искания за достъп (дата на получаване, канал, идентифицирани индикатори, събрани доказателства);
- Подгответе пълен отговор по чл. 15 GDPR с надлежна редакция на данните на трети лица;
- Съхранявайте събраната документация за минимум пет години — тя ще послужи като доказателство за каузална защита по §65–66 на Brillen Rottler при евентуален иск за обезщетение по чл. 82 GDPR.
В тази ситуация отказът създава по-голям правен и репутационен риск от отговора по същество.
Сценарии — трудов спор и финансов сектор
Сценарий 1: Бивш служител преди иск за уволнение
Типичен сценарий: служител е освободен от длъжност на 1 март. На 15 март подава искане по чл. 15 GDPR за „всички електронни съобщения и документи, свързани с моя случай". На 1 април подава иск за незаконно или дискриминационно уволнение пред Софийски районен съд.
„Очевидно е, че искането е за подготовка на иска — отказваме"
По решенията на белгийската APD/GBA от 2024–2025 г. служителите могат законосъобразно да упражняват право на достъп и в контекста на съдебен спор с работодателя. Amsterdam Court of Appeal в делото Uber изрично призна това право. Тестът от Brillen Rottler в трудовия контекст се прилага само при изключителни обстоятелства — обикновен бивш служител, който подготвя легитимен трудов иск, не извършва злоупотреба с право.
Отговор по същество с надлежна защита на данните на трети лица
Предоставете копия от личните данни на бившия служител. Защитете чувствителната информация на трети лица — други служители, клиенти, контрагенти — чрез редакция и/или анонимизация в съответствие с чл. 15, ал. 4 GDPR и съобр. 63. Документирайте процеса в досието на искането. При последващ иск за обезщетение по чл. 82 GDPR администраторът ще разполага с документална основа за каузална защита по §65–66 на Brillen Rottler.
Сценарий 2: Клиент на банка след отказан кредит
Клиент кандидатства за ипотечен кредит. Банката издава отказ на 10 април. На 12 април клиентът създава нов електронен адрес, абонира се за бюлетина на банката и на 15 април подава искане „на основание чл. 15 GDPR — за всички мои лични данни, обработвани от банката, включително вътрешните оценки на кредитен риск и придружаващите ги документи".
Налице са значими обстоятелства за оценка
В този сценарий се констатират четири проверими обстоятелства, релевантни за двустранния тест: (1) кратка времева линия — пет дни между отказа на кредита и подаването на искането; (2) доброволно предоставяне на нови лични данни (новият абонамент за бюлетина), без задължение и непосредствено след отказа; (3) едва три дни между предоставянето на данните и искането за достъп; (4) очевидна цел извън правото на прозрачност — подготовка за оспорване на кредитното решение. Дори при това струпване обстоятелствата принципното положение остава пълно съответствие с искането. Препоръчително е банката да изготви становище от юрисконсулт и длъжностно лице по защита на данните, в което да се мотивира избраното решение, и да съхранява събраната документация като доказателство за каузална защита по §65–66 на Brillen Rottler при евентуален иск за обезщетение по чл. 82 GDPR.
За пълен анализ на проверките на кандидати в трудовия контекст вижте нашата статия Проверки на кандидати при наемане в България.
Uber Amsterdam Court — искането за достъп като инструмент за оспорване
На 4 април 2023 г. Amsterdam Court of Appeal (дело 200.295.747/01) реши в полза на Uber шофьорите по два паралелни въпроса:
- Чл. 15 GDPR — шофьорите имат право на достъп до личните си данни и обяснение на алгоритмичните решения, които ги засягат
- Чл. 22 GDPR — деактивирането на акаунтите се основаваше единствено на автоматизирано обработване, което нарушава GDPR
Съдът отхвърли защитите на Uber:
- Възражение „човешка намеса в процеса" (т. нар. „human in the loop") — фактическата проверка от служители на Uber е била само формален акт и не е достатъчна, за да изключи решението от приложното поле на чл. 22 GDPR;
- Възражение „търговска тайна" — не може да се ползва за прикриване на информация, която е необходима за обяснение на алгоритмичните решения, засягащи субекта на данни.
През октомври 2023 г. съдът установи неизпълнение от страна на Uber и наложи на дружеството периодична имуществена санкция за неизпълнение (dwangsom) в размер на 4 000 евро за всеки ден на неизпълнение, ограничена с общ максимум от 584 000 евро. Санкцията няма характер на обезщетение за вреди в полза на шофьорите, а представлява процесуална мярка за принуждаване на администратора да изпълни задълженията си по чл. 15 и чл. 22 GDPR.
Поука за български работодатели
Uber случаят е фундаментален прецедент за всеки работодател, който използва алгоритмични инструменти за HR решения — оценка на производителност, подбор, освобождаване от длъжност. Опит за отказ на искане за достъп от засегнат служител или работник, обоснован със „търговска тайна" или с формална „човешка намеса в процеса", е практически обречен на неуспех. В тези случаи каузалната защита по §65–66 на Brillen Rottler не може да бъде приложена, тъй като самата цел на искането — проверка на законосъобразността на алгоритмичното решение — е непосредствено защитена от чл. 15 и чл. 22 GDPR.
Шаблон за писмо за отказ
Когато всички шест стъпки на стъпковата процедура за оценка обосновават отказ, писмото до субекта на данни следва да включва най-малко следните елементи:
Идентификация и регистрация
Дата на получаване на искането, индивидуализация на субекта без посочване на излишни лични данни, вътрешен референтен номер на досието.
Правно основание
Изрична препратка към чл. 12, ал. 5, б. „б" GDPR и към решението на СЕС по дело C-526/24 Brillen Rottler от 19.03.2026 г.
Фактически обстоятелства
Хронологично описание на отношенията със субекта на данни, момента и основанието за предоставяне на данните и първоначалния контекст на обработването.
Обективен елемент
Мотивирано изложение защо действителната цел на искането не съответства на целта на чл. 15 GDPR — проверка на законосъобразността на обработването. Изброяване на конкретни обстоятелства.
Субективен елемент
Доказателства за недобросъвестното намерение на субекта — поведенчески модел, времева линия, връзка с висящ или предстоящ спор. Изключително данни от публични източници не са достатъчни.
Указание за способи за защита
Указание за правото на жалба до КЗЛД по чл. 38 ЗЗЛД и за правото на съдебна защита по чл. 39 ЗЗЛД, включително адрес и срок за подаване.
Писмото се подписва от длъжностното лице по защита на данните или от юрисконсулта на администратора. Изпраща се в рамките на едномесечния срок по чл. 12, ал. 3 GDPR, считано от датата на потвърждаване на самоличността на субекта.
Връзка с Digital Omnibus
Решението Brillen Rottler е постановено в момент, в който Европейската комисия предлага изменение на самия чл. 12, ал. 5 GDPR. Предложението Digital Omnibus от 19 ноември 2025 г. (съображение 35 и чл. 3, ал. 4) предвижда:
- Изрична възможност за отказ при „злоупотреба с правата за цели, различни от защитата на данните";
- Квалифициране като „прекомерни" и на „прекомерно широките и недиференцирани искания";
- Облекчаване на тежестта на доказване за администраторите.
Внимание — текстът все още е законодателно предложение
EDPB и редица национални надзорни органи изразиха съществени резерви. Чл. 8 от Хартата на основните права на Европейския съюз защитава правото на защита на личните данни като основно право, чийто гарантиращ механизъм е именно чл. 15 GDPR. Налице е риск от отслабване на ключов инструмент за отчетност (онагледен от делото Uber). По наш анализ окончателният текст най-вероятно ще запази изискването за доказано недобросъвестно намерение по линията на Brillen Rottler. Окончателното решение се очаква в края на 2026 г. — началото на 2027 г.
За пълен анализ на Digital Omnibus, виж нашата статия Digital Omnibus — предстоящите промени в GDPR 2026.
Чеклист за процедура по искания за достъп
Актуализирайте вътрешната процедура на администратора за обработване на искания за достъп със следните елементи:
- Документирана политика за обработване на искания за достъп, одобрена от управителния орган;
- Стандартизиран входящ формуляр за приемане на искането;
- Незабавна регистрация на дата, час и канал на получаване във вътрешен журнал;
- Процедура за потвърждаване на самоличността по чл. 12, ал. 6 GDPR;
- Процедура за проверка на представителна власт при подаване от трето лице (с оглед BGH VI ZR 430/24);
- Стъпкова процедура за оценка на потенциална злоупотреба с право (шест стъпки по настоящото ръководство);
- Контролен списък с обстоятелствата, релевантни за двустранния тест по §36 и §42 на Brillen Rottler;
- Шаблон за вътрешноюридическо становище преди вземане на решение за отказ;
- Шаблон за мотивирано писмо за отказ, съдържащ всичките шест задължителни елемента;
- Шаблон за пълен отговор по чл. 15 GDPR с надлежна редакция на данните на трети лица;
- Журнал на всички получени искания и предприети действия (като доказателство за каузална защита по чл. 82 GDPR);
- Автоматично напомняне за изтичане на едномесечния срок по чл. 12, ал. 3 GDPR;
- Процедура за удължаване с до два месеца при особена сложност — с задължително уведомяване на субекта в първоначалния срок;
- Задължителен преглед от длъжностното лице по защита на данните за всеки случай на отказ;
- Годишен отчет към управителния орган — брой искания, относителен дял на отказите, образувани съдебни и административни производства.
Често задавани въпроси
Кога администраторът може законно да откаже искане за достъп?
По чл. 12, ал. 5 GDPR администраторът може да откаже искане, когато то е „явно неоснователно или прекомерно". След решението на СЕС Brillen Rottler (C-526/24, 19.03.2026) дори първо искане може да бъде отказано — но прагът е изключително висок. Трябва да докажете двустранен тест: обективни обстоятелства, че целта на правилата НЕ е постигната, плюс субективно намерение на субекта да получи предимство чрез изкуствено създаване на условията. Тежестта на доказване е изцяло върху администратора.
Какво е принципното положение — отказ е изключение или правило?
Изключение. Принципното положение по чл. 15 GDPR е пълно съответствие с искането. СЕС в Brillen Rottler изрично подчертава, че отказите се прилагат „само в изключителни случаи" (§35). Дори при основателни съмнения, отговорът по същество остава по принцип задължителен. Необоснованият отказ води до отговорност по чл. 82 GDPR (обезщетение) и до имуществени санкции от КЗЛД.
Може ли служителят да поиска достъп преди да заведе иск срещу работодателя?
Да — обикновено. По решенията на белгийската APD/GBA от 2024-2025 г. служители могат да упражняват право на достъп в съдебен контекст. Amsterdam Court of Appeal в делото Uber drivers (04.04.2023, 200.295.747/01) категорично призна правото на шофьорите да ползват правото на достъп за оспорване на алгоритмично уволнение. Тестът от Brillen Rottler може да се приложи в трудов контекст, но прагът е изключително висок — обикновено искане за достъп преди трудов спор НЕ е злоупотреба.
Какво трябва да съдържа писмото за отказ?
Минимум: (1) препратка към чл. 12, ал. 5 GDPR като правно основание; (2) фактически обстоятелства — какво е установено; (3) обективен елемент — защо целта на чл. 15 не е постигната; (4) субективен елемент — какви доказателства за намерението; (5) право на жалба пред КЗЛД и съд; (6) подпис на длъжностното лице по защита на данните или юрисконсулта. Срокът за отговор остава 1 месец по чл. 12, ал. 3 GDPR.
Достатъчна ли е публично достъпна информация за систематичен модел?
Не сама. По §43 на Brillen Rottler публично достъпни доказателства за систематичен модел могат да се ползват, НО трябва да бъдат подкрепени от конкретни и специфични други елементи. Обикновена онлайн статия, която характеризира някого като „сериен искател", не е достатъчно основание за отказ. Нужни са допълнителни специфични за случая доказателства — например времева линия на отношенията със субекта, обстоятелствата при предоставяне на данните, ясна цел извън правото на прозрачност.
Какъв е рискът, ако откажа неправомерно?
Двоен. Първо — иск за обезщетение по чл. 82 GDPR от субекта (потенциално стотици до хиляди евро). Второ — регулаторни санкции от КЗЛД до EUR 20 милиона или 4% от глобалния оборот. По решението на Amsterdam Court of Appeal в Uber случая, при упорито неизпълнение могат да се налагат и периодични имуществени санкции за неизпълнение (Uber беше задължен да плати до €584 000 в общ размер, увеличаващи се с €4 000 за всеки ден на неизпълнение). Препоръчваме отказ само със документирани, конкретни доказателства и след юридическа консултация.
Тази статия отразява правното положение към 27 април 2026 г. Информацията е с информативен характер и не представлява правна консултация. За изграждане на процедура по искания за достъп, преглед на конкретно искане за достъп или защита при иск по чл. 82 GDPR, моля свържете се с нас.
Получавате съмнително искане за достъп? Изграждате процедура по искания за достъп?
Помагаме на HR директори, in-house юрисконсулти и длъжностни лица по защита на данните в банки, застрахователи и големи компании да се справят с искания за достъп от субекти на данни — както при пълно съответствие, така и при обоснован отказ.
- Конкретен правен анализ на получено искане за достъп
- Стъпкова процедура за оценка за вашия специфичен бизнес контекст
- Изготвяне на писмо за отказ или за пълно съответствие
- Защита при иск за обезщетение по чл. 82 GDPR
- Изграждане на пълна вътрешна процедура по искания за достъп
- Обучение на HR екипа за идентификация на индикатори за злоупотреба
Получавайте нови анализи на корпоративна GDPR практика
Свежи разбори за HR директори, юрисконсулти и длъжностни лица по защита на данните. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Чолаков и адв. Димитрова консултират in-house юрисконсулти и HR директори на над 90 български компании — банки, застрахователи, телекоми, технологични фирми — за обработване на искания за достъп от субекти на данни и защита при искове по чл. 82 GDPR.