8 юни 2026 г.
Не е в правомощието на Българската народна банка да извършва заличаване на подадена към Централния кредитен регистър информация за кредитна задлъжнялост, тъй като институциите, които подават информацията, носят отговорност за нейната вярност и пълнота. Българската народна банка не контролира наличието или липсата на основание за кредитна задлъжнялост на конкретно лице и не разрешава спорове между финансови институции и техните клиенти относно облигационни правоотношения. Писмо, с което банката разяснява правомощията си в тази насока, не представлява индивидуален административен акт, подлежащ на оспорване по реда на Административнопроцесуалния кодекс.
Длъжностното лице по защита на данните не разполага с правомощия за вземане на решения относно искания за заличаване на лични данни. Отговорността за спазване на разпоредбите за защита на личните данни, включително за произнасяне по заявления за изтриване на данни, е на администратора или обработващия лични данни. Когато длъжностно лице по защита на данните се произнесе вместо администратора, то издава нищожен акт поради липса на материална компетентност.
Това постанови Върховният административен съд (ВАС) в Решение № 5105 от 12.05.2026 г. на ВАС по адм. д. № 11377/2025 г., V о., докладчик председателят Йовка Дражева.
Казусът се отнася до искане да бъдат изтрити лични данни от регистрите на БНБ и Централния кредитен регистър (ЦКР). Делото е образувано първоначално в Административен съд – Пловдив по жалба на физическо лице срещу отказ на администратора на лични данни БНБ и на администратора на лични данни „Фронтекс интернешънъл“ ЕАД да изтрият личните му данни от собствените си регистри и от ЦКР. Съдия Анелия Харитрева оставя жалбата срещу БНБ разглеждане с мотиви, че
съгласно чл. 17, ал. 1 от Наредба № 22 от 16.07.2009 г. за Централния кредитен регистър Българската народна банка не извършва корекции на подаваната от институциите по чл. 4, ал. 1 информация към Централния кредитен регистър (ЦКР). Нормата е императивна и не може да бъде тълкувана разширително. Следователно обжалваното писмо не обективира отказ на администратор на лични данни по смисъла на § 17 от Регламент (ЕС) 2016/679, а има само информационен характер за извършената по искане на жалбоподателя проверка в системата на ЦКР и за начина, по който се извършва корекция на информацията в ЦКР. Следователно в случая не е налице волеизявление на административен орган, имащо характер на индивидуален административен акт по смисъла на чл. 21 АПК, който да подлежи на оспорване пред съд по реда на АПК, поради което жалбата в тази част като недопустима следва да се остави без разглеждане, а производството срещу БНБ да бъде прекратено.
Пред ВАС физическото лице обжалва връщането на жалбата, като неправилно и настоява за връщане на делото за решаване по същество с мотиви, че чл. 17 от Наредба № 22 противоречи на правото на ЕС и по-точно на чл. 17 от Регламент № 2016/679. Според жалбоподателя решението по същество е неправилно, защото кредитът е погасен по давност. Според ВАС задължението на банките в рамките на Европейския съюз да подават подробна информация за кредитите и кредитния риск е създадено с Регламент (ЕС) 2016/867 на Европейската централна банка от 18 май 2016 година относно събирането на подробни данни за кредитите и кредитния риск (ЕЦБ/2016/13 (ЕС). С Регламент № 575/2013 са установени пруденциалните изисквания към банките за оценка на кредитния риск. Тази правна рамка налага наличието на надеждни данни за задлъжнялостта. Националната правна рамка е създадена със Закона за кредитните институции (ЗКИ) и Наредба № 22 на БНБ за ЦКР. Съгласно чл. 56, ал. 1 от ЗКИ БНБ създава и поддържа интегрирана информационна система, съдържаща информация за кредитната задлъжнялост на клиенти към банки, финансови институции, платежни институции и др. ЦКР представлява част от Интегрираната информационна система. Условията и редът за създаване и функциониране на информационната система и за предоставяне и получаване на информация от нея се определят с Наредба № 22 от 16.07.2009 г. за Централния кредитен регистър. Съгласно чл. 56, ал. 10 от ЗКИ информация в системата се съхранява за срок пет години от датата на последния отчетен период. Целта е посочена в чл. 56, ал. 2 и ал. 3 от ЗКИ. Институциите по чл. 56, ал. 1, т. 1 – 3 и доставчиците на услуги за колективно финансиране по ал. 1, т. 4 са длъжни да предоставят и имат право да получават информация от системата. В чл. 56, ал. 3 от ЗКИ са посочени държавни органи, които имат достъп до системата като прокуратура и следствени органи, ДАНС, ГД „НП“, ГДБОП, КФН, НАП, ДАР, Агенция „Митници и др. Предвид чл. 10, ал. 1 от Наредба № 22/2009 г. институциите по чл. 4, ал. 1 са длъжни да събират и подават към Централния кредитен регистър информация в електронен вид за всички кредити на техните клиенти и за настъпилите изменения по тези кредити до окончателното им погасяване, без да е посочен конкретен начин за погасяването – чрез плащане или изтичане на погасителна давност. Задължението е ежемесечно, като се подава информация за състоянието по всички активни кредити на техни клиенти към последната дата на отчетния месец. В същия срок се подава и информация за извършените корекции по кредити на техни клиенти за предходни отчетни периоди.
Условията и реда за получаване на информация от ЦКР са уредени в чл. 19- 24 от Наредбата. Посоченият подзаконов нормативен акт е издаден на основание чл. 56, ал. 4 и пар. 13 от Закона за кредитните институции. Всяко физическо лице има право да поиска от БНБ информация за кредитната си задлъжнялост по чл. 21 и за институциите и лицата, които са осъществили достъп до личните му данни по чл. 22 от Наредба № 22 за ЦКР. По отношение на обработване на лични данни чрез предоставянето им на трети лица, БНБ дължи предоставяне на информация в качеството си на администратор на лични данни.
Не е в правомощието обаче на БНБ да извършва заличаване на подадена към ЦКР от институции и лица по чл. 4, ал. 1 от Наредбата информация за кредитна задлъжнялост, предвид изричната разпоредба на чл. 17, ал. 1. Съгласно разпоредбите на чл. 17, ал. 2 и ал. 3 от Наредбата институциите и лицата по чл. 4, ал. 1 носят отговорност за верността, пълнотата и своевременното подаване на информацията, както и за спазване изискванията за защита на личните данни, а подаваната от тях информация в регистъра следва да съответства на данните, поддържани в информационните им системи. Следователно БНБ няма задължението да разглежда заявления по чл. 17 от Регламент 2016/679 за заличаване на заявителя като длъжник към институции и лица по чл. 4 от Наредбата на основание погасителна давност във взаимоотношенията с тях. Разпоредбата не противоречи на Регламент 2016/679, тъй като не регулира правоотношения свързани със защита на лични данни, а такива, свързани с информацията за кредитите и кредитния риск. БНБ не контролира наличието или липсата на основание за кредитна задлъжнялост на конкретно лице и не разрешава спорове между финансови институции и техните клиенти относно наличието на облигационни правоотношения и задължения по договори за кредити. Контролните правомощия на БНБ са уредени в глава пета на Наредба № 22 и се отнасят към спазването на условията и реда за подаване и ползване на информацията от ЦКР, както и създаване и поддържане на специален регистър по чл. 19а, ал. 2 от институциите, лицата и органите по чл. 4, ал. 1 и ал. 2. Следователно писмото, с което БНБ обяснява правомощията си по отношение на ЦКР, които не включват заличаване на подадени от финансова институция данни относно активност на кредит на физическо лице, не е изричен отказ по чл. 17 от Регламент, а жалбата срещу него е недопустима поради липса на предмет по чл. 159, т. 1 от АПК.
Съдът установява също, че по направеното заявление за изтриване на лични данни е изготвен отговор от длъжностно лице по защита на данните. Съгласно чл. 24, пар. 1 от Регламент 2016/679 администраторът или обработващият лични данни е този, който е длъжен да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с предвидените в регламента разпоредби. Спазването на разпоредбите за защита на лични данни е отговорност на администратора или обработващия лични данни. Регламент 2016/679 урежда фигурата на „длъжностно лице по защита на данните“, определянето му и задачите, които му се възлагат с чл. 39. Едно длъжностно лице по защита на данните, може да бъде определено от едно или група предприятия, от един обществен орган или структура, както и от няколко такива органа и структури, при условие, че е налице лесен достъп до него. Съгласно чл. 39, пар. 1, б. „д“ действа като точка за контакт с надзорния орган по въпроси, свързани с обработването, а предвид чл. 38, пар. 4 от Регламента субектите на данни могат да се обръщат към длъжностното лице по защита на данните по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права по посочения регламент. Извън задачите, които са възложени с чл. 39 да информира, съветва, съдейства, анализира и отчита рискове, оценява, препоръчва, длъжностното лице по защита на данните не разполага с правомощия за вземане на решения. Отговорността за спазване на разпоредбите за защита на личните данни, включително на правата но чл. 17 от Регламент 2016/679 е на администратора или обработващия личните данни. Поради това не длъжностното лице по защита на данните, а администраторът на лични данни дължи произнасяне по заявлението и искането за преустановяване на обработването на личните данни на жалбоподателя като длъжник, респ. да преустанови подаването като такъв към организираната от БНБ информационна система за кредитна задлъжнялост ЦКР. Като се е произнесло вместо администратора на лични данни длъжностното лице по защита на данните е издало нищожен акт поради липса на материална компетентност. Същата следва да бъде обявена, като преписката бъде върната на администратора на лични данни за произнасяне.
Решението е окончателно. То е подписано с особено мнение от съдия Мария Николова, тъй като обжалваното писмо, издадено от директор на дирекция „Регистри“ и от длъжностно лице по защита на данните обективира изричен отказ на БНБ да се произнесе по заявлението на жалбоподателя за изтриване на лични му данни в ЦКР. Видно е, че с това заявление той е упражнил право по чл. 17 от Регламент (ЕС) 2016/679. ЦКР се организира и поддържа от БНБ като част от Интегрирана информационна система, която съдържа информация за кредитната задлъжнялост на клиентите към субектите посочени в чл. 2 от Наредба № 22 от 16.07.2009 г. БНБ, организирайки и поддържайки ЦКР, действа като администратор на лични данни по смисъла на чл. 4, т. 7 от Регламент (ЕС) 2016/679, а по своята същност ЦКР отговаря на определението по чл. 4, т. 6 от Регламент (ЕС) 2016/679. Това е така защото в чл. 2, § 1 от Регламент (ЕС) 2016/679 е предвидено, че регламентът се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни. Данните за кредитната задлъжнялост на клиенти на банки се съдържат в ЦКР, като част от интегрирана информационна система, съдържаща информация за кредитната задлъжнялост, предвид чл. 56 от Закона за кредитните институции (ЗКИ) и тази информация попада в определението за лични данни по смисъла на чл. 4, т. 1 от Регламент (ЕС) 2016/679. В този регистър информацията се съхранява в сроковете определени в ЗКИ. От този регистър се предоставя информация на посочените в нормативната уредба лица. Съгласно чл. 39, ал. 1 ЗЗЛД при нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на Административнопроцесуалния кодекс. Жалбоподателят счита, че с обжалвания от него отговор от БНБ са нарушени правата му по чл. 17 от Регламент (ЕС) 2016/679 поради което е обжалвал постановения в отговор на заявлението му акт. Оспорва се акт на БНБ, подписан от директор на дирекция „Регистри“ в БНБ и от длъжностното лице по защита на данните, постановен по заявление по чл. 17 от Регламент (ЕС) 2016/679. Аргумент за това, че се касае за акт свързан с лични данни на физическо лице е и подписването на писмото от длъжностното лице по защита на данните в БНБ. Доколкото се касае за акт на администратор на лични данни по смисъла на чл. 4, т. 7 от Регламент (ЕС) 2016/679 въпрос по съществото на спора е дали правилно е отказано извършването на корекция на подаваните от институциите по чл. 4, ал. 1 от Наредба № 22 от 16.07.2009 г. данни. Обжалваният отговор на БНБ засяга правата и законните интереси на жалбоподателя и е постановен от БНБ в качеството му на администратор на лични данни. Дали е в правомощията на БНБ да извършва корекции в ЦКР и да заличава съдържаща се в него информация също е въпрос по съществото на спора.