РЕШЕНИЕ
№ 628/2012 г.
гр. София, 17.05.2012 г.
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове: Красимир Димитров, Валентин Енев и Мария Матева, в открито заседание, проведено на 18.04.2012 г. (Протокол № 19), на основание чл.10, ал.1, т.7 от Закона за защита на личните данни (ЗЗЛД), постави на разглеждане жалба с рег.№628/ 06.02.2012г., подадена от М.К.В. срещу „К.Б.М.” ЕАД.
Административното производство пред Комисията за защита на личните данни е образувано на основание чл.38 от Закона за защита на личните данни.
Комисията за защита на личните данни е сезирана с жалба, в която жалбоподателката твърди, че не притежава мобилен номер, никога не е ползвала услугите, предоставяни от „К.Б.М.” ЕАД и не е сключвала договор с този мобилен оператор. Въпреки това, на 02.02.2012г. е получила фактура от Г., със сума за заплащане в размер на 187.86 лв. за ползвани услуги. Г-жа М.К.В. посочва, че съдържащите се във фактурата имена и ЕГН съвпадат с нейните. За адрес обаче е посочен адрес, който фигурирал в старата й лична карта, която е била открадната през м. май 2011 г.
М.К.В. счита, че е извършена злоупотреба с личните й данни и моли Комисията с оглед своите правомощия да предприеме необходимите действия по случая.
Към жалбата е приложено ксерокопие на Фактура №7171869711 от 25.01.2012г.
Жалбата, подадена от М.К.В. срещу „К.Б.М.” ЕАД е съобразена с изискванията на КЗЛД съгласно Правилника за дейността на Комисията за защита на личните данни и на нейната администрация и съдържа необходимите нормативно определени реквизити. Комисията е сезирана от физическо лице, при наличието на правен интерес. В жалбата е посочена точната дата на твърдяното нарушение, от което следва извода, че е подадена в срока по чл.38, ал.1 от Закона за защита на личните данни (ЗЗЛД).
Приложимостта на Закона за защита на личните данни е свързана със защитата на физическите лица във връзка с обработването на техните лични данни от лица, имащи качеството администратори на лични данни по смисъла на легалната дефиниция на чл.3 от Закона, каквото качество безспорно притежава „К.Б.М.” ЕАД. Това изискване се явява абсолютна процесуална предпоставка, с оглед на която следва да се прецени допустимостта на жалбата.
При извършена служебна проверка в Регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД, е установено, че на „К.Б.М.” ЕАД е издадено Удостоверение №28772 и е вписано в Регистъра на администраторите на лични данни към КЗЛД. Заявени са три регистъра: “Персонал”, “Потребители” и “Видеонаблюдение”.
Съгласно чл.10, ал.1, т.7 във връзка с чл.38 от Закона за защита на личните данни, КЗЛД разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по този закон, както и жалби на трети лица във връзка с правата им по този закон.
Следователно жалбата е от компетентността на КЗЛД.
В заседание, проведено на 07.03.2012г. (Протокол №12), Комисията обявява жалбата за допустима и я насрочва за разглеждане по същество на 04.04.2012 г. Конституира като страни в административното производство жалбоподателката М.К.В. и ответна страна – „К.Б.М.” ЕАД в качеството му на администратор на лични данни.
В условията на служебното начало с писмо, изх. №628/12/17.02.2012г. на Председателя на КЗЛД, на основание чл.26 от Административнопроцесуалния кодекс (АПК) „К.Б.М.” ЕАД е уведомено за образуваното в КЗЛД административно производство и на основание чл.36 от АПК е указано в срок да предостави писмено становище по жалбата, договори сключени с жалбоподателката, както и относими към случая доказателства.
В отговор, с писмо с вх. №628/12/27.02.2012г., от Г. е получено становище, в което се твърди, че при извършената проверка в архива на „К.Б.М.” ЕАД е установено, че на името на М.К.В. има Договор за мобилни услуги №502676327, сключен на 28.12.2011г. За ползваните, предоставени от дружеството услуги е издадена фактура. От „К.Б.М.” ЕАД посочват, че с оглед предоставената от г-жа М.К.В. информация за злоупотреба с личните й данни, дружеството няма да претендира за изпълнение на посоченото във фактурата задължение. От Г. се сочи, че сумите са недължими поради липса на основание за възникването им.
Към писмото са приложени заверени копия на: Пълномощно от 25.01.2011г.; Договор за мобилни услуги от 28.12.2011г.; Общи условия на промоционална услуга; Фактура №7171869711/28.12.2012г. и извлечение към нея.
С писмо с изх. №628/12/17.02.2012г. на Председателя на КЗЛД, от жалбоподателката е изискана информация дали по случая е сезирала разследващите органи, но отговор не е депозиран в деловодството на КЗЛД.
За открито заседание на Комисията за защита на личните данни за разглеждане на жалбата по същество, проведено на 18.04.2012г., страните – редовно уведомени, не се явяват, не изпращат процесуални представители.
Преценката относно основателността на жалбата следва да се обвърже с наличие на неправомерно обработване на личните данни на жалбоподателката от администратора на лични данни – „К.Б.М.” ЕАД.
Жалбата е насочена срещу злоупотреба с личните данни на г-жа М.К.В., изразяваща се в попълване и подписване на договор на нейно име без знанието и съгласието й. В §1, т.1 от ДР на ЗЗЛД се съдържа легалната дефиниция на „обработване на лични данни”, което представлява всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране, или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.
В чл.1, ал.2 от Закона за защита на личните данни е гарантирана неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.
От събраните към жалбата писмени доказателства бeзспорно е установено обстоятелство, че по смисъла на §1 от ДР на ЗЗЛД, „К.Б.М.” ЕАД обработва личните данни на жалбоподателката.
Обработването на лични данни от страна на администратора на лични данни, съгласно чл.2, ал.2, т.1 от ЗЗЛД, следва да бъде законосъобразно и добросъвестно.
Разпоредбата на чл.4, ал.1 от Закона за защита на личните данни алтернативно установява условията за допустимост за обработване на лични данни. Законодателят е възприел, че обработването на лични данни на физически лица, следва да се извършва при наличието на поне едно от тези условия, което е предпоставка за законосъобразност на обработването.
В конкретния случай, от събраните в хода на административното производство доказателства е установено, че не е налице условие за допустимост на обработване на личните данни на г-жа М.К.В., тъй като между жалбоподателката и „К.Б.М.” ЕАД не съществува сключен договор и не е възникнало правоотношение между страните. От анализа на приложените писмени доказателства и становища по жалбата е видно, че Г. обработва личните данни на жалбоподателката без наличие на валидно правно основание да ги притежава и обработва.
Този факт се потвърждава от администратора на лични данни в становище с вх.№628/12/27.02.2012г., в което се сочи, че „К.Б.М.” ЕАД ще счита фактурираните задължения на г-жа М.К.В. като недължими поради липса на основание за възникването им.
Съгласно изискванията на чл.23, ал.1 от ЗЗЛД, администраторът на лични данни предприема необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване. По смисъла на чл.23, ал.3 от ЗЗЛД, законодателят е вменил задължението на администратора на лични данни мерките за защита да са съобразени със съвременните технологични постижения и да осигуряват ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които трябва да бъдат защитени.
Съгласно чл. 14 а от Общите условия на „К.Б.М.” ЕАД за взаимоотношения с потребителите на мобилни телефонни услуги, при сключването на индивидуален договор, потребителят – физическо лице се идентифицира с валиден български документ за самоличност. В конкретния случай, администраторът на лични данни не е спазил това свое задължение да установи валидността на документа за самоличност на г-жа М.К.В. Не е идентифицирал лицето с оглед сключването на валиден договор, като основание по чл.4 от ЗЗЛД.
От една страна „К.Б.М.” ЕАД обработва личните данни на М.К.В. за съставянето и подписването на договор за мобилни услуги, като използва невалиден документ за самоличност. От друга страна, мобилният оператор обаботва личните данни на жалбопоздателката за изготвянето на фактури за месечни услуги, без да са ползавин от г-жа М.К.В. По този начин обработването на свързаните с жалбоподателката лични данни е извършено от администратора на лични данни в нарушение на закона, като не са предприети необходимите мерки за защитата им. Дружеството „К.Б.М.” ЕАД не доказа обстоятелството, че обработва личните данни на жалбоподателката законосъобразно и добросъвестно.Не се представиха и никакви доказателства за наличие на съответни организационни мерки, за да се предотвратят подобни нарушения.
От събраните към административното преписка доказателства е установено, че с действията си администраторът на лични данни „К.Б.М.” ЕАД е нарушил императивни законови разпоредби, съдържащи се в чл.23, ал.1от Закона за защита на личните данни, като не е предприел необходимите технически и организационни мерки, за да защити личните данни на М.К.В. от неправомерното им обработване.
Комисията за защита на личните данни е независим държавен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъп до тези данни, както и контрол по спазването на Закона за защита на личните данни. Целта на Закона е да гарантира неприкосновеността на личността и личния живот на физическите лица чрез осигуряване на защита при неправомерно обработване на свързаните с тях лични данни в процеса на свободно движение на данните.
В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в процесуалното производство, съгласно чл.7 от Административнопроцесуалния кодекс, изискващ наличието на установени действителни факти от значение по случая, имайки предвид представените писмени доказателства и становища, Комисията приема, че разгледана по същество жалбата е основателна.
При определяне размера на налаганото с настоящото решение административно наказание, Комисията се съобрази с характера и степента на нарушението и обществените отношения, които засяга. От събраните по административната преписка доказателствата КЗЛД установи, че в случая са нарушени правата на едно физическо лице и взе предвид обстоятелството, че настоящото наказание не е първо за дружеството „К.Б.М.” ЕАД.
Водима от горното и на основание чл.38, ал.2 във връзка с чл.10, ал.1, т.7 и чл.42, ал.9 от Закона за защита на личните данни, Комисията за защита на личните данни
РЕШИ :
1. Уважава жалба с рег.№628/06.02.2012г., подадена от М.К.В. срещу „К.Б.М.” ЕАД.
2. Налага административно наказание – имуществена санкция в размер на 4000лв. (четири хиляди лева) на „К.Б.М.” ЕАД, със седалище и адрес на управление: гр. София, представлявано от З.К., за това, че дружеството „К.Б.М.”в качеството си на администратор на лични данни не е предприело необходимите технически и организационни мерки, за да защити данните на М.К.В. от неправомерна употреба, с което е нарушен чл.23, ал.1 от Закона за защита на личните данни.
След влизане в сила на решението, сумата по наложеното наказание да бъде внесена в брой в касата на Комисията за защита на личните данни, гр. София – 1431, бул. “Акад. Иван Гешов” №15 или преведена по банков път:
Банка БНБ- ЦУ
IBAN: BG18BNBG96613000158601
BIC BNBGBGSD
Комисия за защита на личните данни, Булстат 130961721
Настоящото решение подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд София – град.
ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
Венета Шопова /п/ |
Красимир Димитров /п/ |