Прехвърля ли се правото на достъп по чл. 15 GDPR заедно с цесия — решение на BGH (2026) и поуки за България
На 24 февруари 2026 г. германският Bundesgerichtshof (дело VI ZR 430/24) ограничи рязко използването на правото на достъп по чл. 15 GDPR от страна на изкупвачи на вземания. Швейцарска фирма беше отхвърлена при опит да упражни искане за достъп срещу частен здравен застраховател въз основа на цесия от 6 застраховани лица. Решението има пряко значение за българските колектори, банки, застрахователи и длъжностни лица по защита на данните, които все по-често получават искания за достъп от трети лица.
Съдържание
- Контекст: защо това решение беше необходимо
- Фактите по делото VI ZR 430/24
- Трите ключови въпроса пред BGH
- Защо цесията не прехвърля автоматично правото на достъп
- Чл. 15 GDPR не е акцесорно право
- Какво BGH НЕ реши — общата прехвърлимост
- Български контекст: цесия (ЗЗД) и оправомощаване
- Чеклист за български администратори при искане за достъп от трета страна
- Връзка с Digital Omnibus 2026
- Често задавани въпроси
Контекст: защо това решение беше необходимо
През последните пет години в Европа се наложи нов бизнес модел: правно-технологичните и колекторските фирми изкупуват масово парични вземания на потребители (вкл. срещу застрахователи, банки, телекоми) и след това предявяват искания за достъп по чл. 15 GDPR в свое име. Целта обикновено е двойна:
- Да се докажат и количествено определят главните парични вземания (възстановяване на надплатени премии, обезщетения)
- Да се добави втори иск за обезщетение по чл. 82 GDPR при отказ на достъп
Този модел постави фундаментален въпрос: прехвърля ли се правото на достъп по чл. 15 GDPR заедно с паричното вземане, или то остава лично право на субекта на данни? С решението си от 24 февруари 2026 г. (дело VI ZR 430/24) Bundesgerichtshof (BGH) даде ясен, ограничителен отговор за конкретния случай — но същевременно отвори врата към последващи преюдициални запитвания до СЕС.
Защо това засяга българския бизнес
В България същият модел се развива бързо в три сектора: колекторски агенции при потребителски кредити, посредници при застрахователни искове (особено след катастрофи) и правно-технологични платформи, които предлагат „масови искания за достъп" срещу банки и онлайн платформи. Решението на BGH дава на българските администратори първокласна юридическа основа да отказват подобни искания — стига да познават границите.
Фактите по делото VI ZR 430/24
Ищецът е швейцарска акционерна дружество (АД), чийто бизнес модел е изкупуване на вземания от потребители с цел тяхното предявяване в собствено име. В конкретното дело става въпрос за вземания на 6 застраховани лица, които имат частни здравни и дългосрочни здравни застраховки при германски застраховател.
Сключване на цесиите
Швейцарската компания сключва договори с шестимата осигурени, по силата на които се прехвърлят вземания за възстановяване на надплатени премии и обезщетения, произтичащи от твърдяно прекомерни увеличения на премиите.
Подаване на искания за достъп
Едновременно с цесиите, договорите предвиждат „оправомощаване" за упражняване на правото на достъп и преносимост на данните. Ищецът предявява поетапен иск за информация за периода 2010–2018 г. (приходи от премии, активни тарифи, увеличения).
Окръжен и апелативен съд
Земският съд (Landgericht) отхвърля част от исковете като недопустими, друга — като неоснователни. Висшият земски съд в Хам (OLG Hamm) потвърждава отхвърлянето в апелативно производство.
Касационна жалба
Пред BGH ищецът поддържа исковете си само в частта, отнасяща се до информация по чл. 15 GDPR. На 24 февруари 2026 г. Шести граждански сенат на BGH отхвърля касационната жалба — изцяло.
Трите ключови въпроса пред BGH
В сърцевината на спора стояха три въпроса, всеки с различна доктринална тежест:
Договорно прехвърляне
Прехвърлили ли са осигурените лица ефективно правата си по чл. 15 GDPR на ищеца чрез текста на цесиите? Това е въпрос на договорно тълкуване.
Акцесорно право
Дори без изрична уговорка — преминава ли правото на достъп по аналогия със § 401 от германския Граждански кодекс (BGB) като акцесорно (Nebenrecht) заедно с прехвърлените парични вземания?
Процесуална легитимация
Може ли поне ищецът да предяви правата на достъп в свое име въз основа на оправомощаване (gewillkürte Prozessstandschaft) — независимо от това чии са материалните права?
BGH отговори с „не" на трите въпроса в конкретния случай. Това даде на застрахователя пълна победа — но с нюанси, които имат значение за следващи дела.
Защо цесията не прехвърля автоматично правото на достъп
На първо ниво BGH разгледа самия текст на договорите за цесия. Решението е педантично в изводите си: уговорките изрично обхващат само „вземания за възстановяване и обезщетение" (Rückerstattungs- und Schadenersatzansprüche). Правата „на информация и преносимост на данните" са отделно изброени — но като права, които ищецът може да упражнява, а не като права, които му се прехвърлят.
Поука: текстуалната прецизност решава
BGH специално подчертава, че договорите не могат да бъдат тълкувани разширително в полза на цесионера. Ако клаузата казва „възстановявания и обезщетения", тя означава точно това — а не „и правата по GDPR за получаване на тези възстановявания". Тази стриктна интерпретация се основава и на принципа за автономия на правата по GDPR, които не са обикновени имуществени права.
На практика: дори ако цесията е валидна по германското облигационно право, тя не покрива автоматично правата по GDPR. Това означава, че легитимният собственик на правото на достъп остава оригиналният субект на данни, не цесионерът.
Чл. 15 GDPR не е акцесорно право
Това е най-важният доктринален извод. § 401 BGB (германският Граждански кодекс) предвижда, че при прехвърляне на вземане преминават и акцесорните права — например правото на лихва, поръчителство, ипотека. По съдебна практика, тук се включват и информационни права и права на отчет, когато служат за упражняване на главното парично вземане.
BGH категорично отказа да приложи тази аналогия към чл. 15 GDPR. Цитат от решението:
Правото на достъп „не е създадено, за да подготви или количествено да определи имуществени претенции, а за да даде на засегнатото лице съзнание за обработването на неговите данни."
— BGH, VI ZR 430/24, цитирано по официалната пресдокументация на BGH
С това BGH утвърждава автономния, защитно-данен характер на правото на достъп. То служи на прозрачността и контрола на субекта върху неговите данни — а не на улесняването на трети лица да предявят парични искове.
Защо това има значение в България
Българското право не познава буквална аналогия със § 401 BGB. Чл. 99, ал. 2 ЗЗД гласи, че при цесия преминават „привилегиите, обезпеченията и другите ѝ принадлежности". Дали правата по GDPR са „принадлежности" към парично вземане? След BGH отговорът категорично е „не" — те са самостоятелни лични права, защитаващи прозрачността, не предявяването на парични искове. Този аргумент е напълно валиден за български юрисдикционен контекст и може да се използва пред КЗЛД и съд.
Какво BGH НЕ реши — общата прехвърлимост
Тук е тънкият момент, който често се пропуска в коментарите. BGH изрично остави отворен принципния въпрос: може ли правото на достъп по чл. 15 GDPR изобщо да бъде прехвърлено с изрична уговорка?
Цитат от решението:
„Въпросът, повдигнат от апелативния съд — дали претенциите по чл. 15 GDPR изобщо са прехвърлими — не се поставя в настоящия спор."
— BGH, VI ZR 430/24
Това означава три неща:
- Все още няма окончателен отговор на нивото на ЕС дали правата по GDPR изобщо могат да се прехвърлят
- Бъдещ преюдициален въпрос до СЕС е почти неизбежен — особено след решението на СЕС Brillen Rottler (C-526/24), което третира искане за достъп като лично, неимуществено право
- Засега предпазливият подход за администраторите е: при искане от трета страна, да се изисква изрична, специфична и недвусмислена клауза за прехвърляне на права по GDPR — не просто обща цесия
Процесуално оправомощаване (Prozessstandschaft)
Дори ако правата материално не се прехвърлят, ищецът се опита да твърди, че може да ги упражни в свое име въз основа на оправомощаване от субектите. BGH отхвърли и този аргумент. Според Съда:
- Оправомощаването трябва да е точно и специфично — общи клаузи в стандартни договори не са достатъчни
- Текстът трябва ясно да определя кои конкретни права се покриват (тук: само възстановявания и обезщетения, не правата по GDPR)
- Трябва ясно да се определя и кога точно оправомощаването се активира — субсидиарни клаузи „при необходимост" са юридически непълни
Български контекст: цесия (ЗЗД) и оправомощаване
За да приложим поуките на BGH в българската практика, трябва да съпоставим германските с българските правни институти.
| Институт | Германско право | Българско право | Извод след BGH |
|---|---|---|---|
| Цесия | § 398 BGB | чл. 99–100 ЗЗД | Прехвърля главно вземане; правата по GDPR изискват изрична допълнителна уговорка |
| Акцесорни права | § 401 BGB („Nebenrechte") | чл. 99, ал. 2 ЗЗД („принадлежности") | Чл. 15 GDPR не е принадлежност — автономно лично право |
| Упълномощаване | § 167 BGB | чл. 36–43 ЗЗД | Изисква изрично, специфично пълномощно за искане за достъп в чужд интерес |
| Процесуално представителство | gewillkürte Prozessstandschaft | чл. 26, ал. 2 ГПК | Допустимо само при изрично оправомощаване и интерес — не „по подразбиране" |
Българска практика на КЗЛД
В становищата си през 2023–2025 г. КЗЛД вече подчертава, че при искане за достъп от трета страна администраторът има задължение да се увери в самоличността на субекта и в правното основание за искането (чл. 12, параграф 6 GDPR). Простият факт, че третата страна притежава копие от документ за самоличност на субекта, не е достатъчен — необходимо е и валидно пълномощно или валидно прехвърляне на правото.
Практически извод за български администратори
След BGH VI ZR 430/24 имате стабилна юридическа основа да отказвате искания за достъп от страна на колекторски агенции, правно-технологични платформи или други трети лица, ако: (1) представените документи не съдържат изрична клауза за прехвърляне на правата по GDPR, (2) пълномощното не е специфично или не покрива именно искане за достъп, (3) има индикации, че искането служи за подготовка на иск за обезщетение, а не за упражняване на правото на прозрачност на субекта. Това не е злоупотреба с право — това е правомерно осигуряване на сигурността на личните данни.
Чеклист за български администратори при искане за достъп от трета страна
Когато получите искане за достъп по чл. 15 GDPR от трета страна (а не лично от субекта на данни), преди да отговорите по същество, преминете през следните стъпки:
- Изискайте копие от документа, на който третата страна основава правото си: цесия, пълномощно, договор за процесуално представителство
- Проверете дали клаузата за прехвърляне изрично обхваща правата по GDPR (не само паричните вземания)
- Проверете дали пълномощното е специфично — не се приема общо „пълномощно за всички правни действия"
- Изискайте доказателство за самоличност на субекта по чл. 12, параграф 6 GDPR (копие от документ + сравнение с данните в системата)
- Проверете дата на пълномощното — оттеглено или изтекло пълномощно е невалидно
- Документирайте хронологията: кога е получено искането, какви документи са представени, какво сте изискали допълнително
- Ако имате основания за съмнение в намерение за злоупотреба (връзка с подготовка на иск, систематичен модел) — отбележете това в досието
- Ако правното основание не е категорично — откажете отговор по същество и поканете самия субект да упражни правото си директно
- Срокът по чл. 12, параграф 3 GDPR (1 месец) започва да тече едва след получаване на достатъчни доказателства за самоличност и правно основание
- При отказ — мотивирайте го писмено, с препратка към чл. 12, параграф 6 и чл. 11, параграф 2 GDPR
Този чеклист трябва да бъде интегриран във вашата вътрешна процедура за обработване на искания за достъп (виж нашето ръководство за задълженията на длъжностното лице по защита на данните и регистър на дейностите по обработване).
Връзка с Digital Omnibus 2026
Решението на BGH идва в момент, в който Европейската комисия предлага директна законодателна реакция срещу масовите искане за достъп. Digital Omnibus 2026 предлага изменение на чл. 12, параграф 5 GDPR, което изрично дава на администраторите право да откажат искания, които „злоупотребяват с правата по този регламент за цели, различни от защитата на личните данни."
Внимание: Digital Omnibus е само предложение
Текстът все още е в законодателен процес и е критикуван остро от EDPB и EDPS, които предупреждават, че формулировката „за цели, различни от защитата на личните данни" е твърде широка и би могла да блокира легитимни искане за достъп за журналистически, изследователски, политически и юридически цели. Очаква се преговори между Парламента и Съвета през 2026–2027 г. Не разчитайте на Digital Omnibus като защита — действащата уредба и решенията на BGH/СЕС са актуалните инструменти.
Свързано решение: СЕС Brillen Rottler (19.03.2026)
Само 23 дни след BGH, Съдът на ЕС постанови решението си по дело C-526/24 (Brillen Rottler), което подсилва защитата на бизнеса по различен ъгъл — чрез правото да се откаже искане за достъп като „прекомерно" при наличие на намерение за злоупотреба. Двете решения работят синхронно: BGH ограничава прехвърлимостта, СЕС ограничава злоупотребата с лично упражнено право. Прочетете нашия пълен анализ на Brillen Rottler.
Често задавани въпроси
Прехвърля ли се правото на достъп по чл. 15 GDPR заедно с цесията на парично вземане?
Не автоматично. BGH (VI ZR 430/24, 24.02.2026) постанови, че правото на достъп по чл. 15 GDPR не е акцесорно право и не преминава с главното парично вземане по аналогия със § 401 BGB. За валидно прехвърляне се изисква изрична уговорка в договора за цесия, която недвусмислено обхваща и правата по GDPR — а не само паричните вземания.
Може ли колекторска агенция в България да предяви искане за достъп по чл. 15 GDPR в свое име?
Само ако има изрично, недвусмислено и специфично оправомощаване от субекта на данните, което изрично обхваща правата по GDPR (не само паричните вземания). Общи клаузи в стандартни договори за цесия не са достатъчни. По BGH трябва да е ясно и кога точно се активира оправомощаването. Администраторите имат право (и задължение) да проверят правното основание преди да предоставят данни.
Какво да направи българска банка / застраховател, ако получи искане за достъп от трета страна?
Първо да поиска: (1) копие от пълномощното или цесията, (2) доказателство за самоличността на субекта, (3) яснота дали третата страна действа в свое име или от името на субекта. Ако документите не са категорични, администраторът има право да откаже или да поиска допълнителна информация. Срокът за отговор по чл. 12(3) GDPR (1 месец) тече от момента, в който самоличността и правното основание са доказани.
BGH реши ли въпроса дали чл. 15 GDPR изобщо е прехвърлим?
Не. BGH изрично остави този принципен въпрос отворен. В конкретното дело Съдът установи, че договорите за цесия не съдържат клауза за прехвърляне на правата по GDPR, и че те не преминават по аналогия като акцесорно право. Дали правото на достъп изобщо може да се прехвърля валидно — остава за бъдещо решение, евентуално чрез преюдициално запитване до СЕС.
Как се свързва BGH решението с решението на СЕС Brillen Rottler от март 2026?
Двете решения работят в една посока — ограничават злоупотребата с правото на достъп. BGH казва: правото не се прехвърля автоматично с парично вземане. СЕС в Brillen Rottler (C-526/24) добавя: дори когато искане за достъп е валиден, той може да бъде отказан като прекомерно ако цели създаване на условия за иск за обезщетение. И двете решения дават на бизнеса стабилна защитна линия срещу масови, инструментални искане за достъп от правно-технологичните и колекторските агенции.
Какви са рисковете за правно-технологични модели и системни упражнители на права по GDPR в България?
След BGH и Brillen Rottler, моделът „купи вземане → подай искане за достъп → искай обезщетение" е значително отслабен. В България прякото прехвърляне на права по GDPR с обикновена цесия по чл. 99 ЗЗД става юридически несигурно. Без специфично, изрично оправомощаване (чл. 36 ЗЗД), което покрива и правата по GDPR — администраторът може законно да откаже да предостави данни. Препоръчваме на банки, застрахователи, телекоми и онлайн платформи да актуализират процедурите си за искане за достъп от трети страни.
Съществува ли риск от глоба, ако администратор откаже искане за достъп от трета страна?
Само ако отказът е необоснован. Ако имате документирани съмнения за правно основание (липса на специфично пълномощно, обща клауза без покритие на GDPR права), мотивираният отказ е законосъобразен. Препоръчваме винаги да се поддържа писмено досие с (1) получените документи, (2) изисканите допълнителни, (3) мотивите за отказ — това е вашата защита и пред КЗЛД, и пред съд. При съмнение винаги поканете директно самия субект да упражни правото си — това елиминира риска изцяло.
Тази статия отразява правното положение към 23 април 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет по искане за достъп от трета страна, оценка на пълномощно или процедура за реакция при подобни искания, моля свържете се с нас.
Получавате искане за достъп от колектори, правно-технологични платформи или трети лица?
Помагаме на банки, застрахователи, телекоми и онлайн платформи да изградят правомерни процедури за обработване на искания за достъп от трети страни — съответстващи на BGH 2026 и Brillen Rottler.
- Преглед и адаптация на вашата процедура за искане за достъп
- Шаблони за писмени откази и искания за допълнителни доказателства
- Обучение на длъжностното лице по защита на данните и юрисконсулта за оценка на пълномощни и цесии
- Защита пред КЗЛД и в граждански производства за обезщетение
- Документация на полицията на отказите за бъдеща употреба
Получавайте нови анализи на GDPR съдебна практика директно в пощата си
Свежи разбори на решения на СЕС, BGH и КЗЛД с практически изводи. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Заедно консултират над 90 компании, включително банки, застрахователи и онлайн платформи, за обработване на искане за достъп и съответствие с актуалната практика на СЕС и националните върховни съдилища.