Решение по жалба с рег. № Ж-286/19.07.2013г.

Комисията за защита на личните данни (КЗЛД) в състав от Председател Венета Шопова и членове: Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков в редовно заседание, проведено на 13.11.2013г. (Протокол №39), на основание чл.10, ал.1, т.7 от Закона за защита на личните данни (ЗЗЛД), разгледа по същество жалба с рег.№Ж-286/19.07.2013г., депозирана от О.С.М. срещу „Б.М.Е.Б.“ ЕАД.

Административното производство пред Комисията за защита на личните данни е образувано на основание чл.38 от Закона за защити на личните данни.

О.С.М. сезира Комисия за защита на личните данни (КЗЛД) с жалба, в която изразява твърдения за извършено от страна на „Б.М.Е.Б.“ ЕАД неправомерно и нецелесъобразно обработване на свързаните с него лични данни.

Жалбоподателят заявява, че към настоящият момент има сключен договор с „Б.М.Е.Б.“ ЕАД, за използването на предлагани от дружеството услуги, а именно кабелна телевизия, интернет и фиксиран телефонен номер.

О.С.М. уведомява административният орган, че „Б.М.Е.Б.“ ЕАД има практика, според него порочна, свързана със защитата на личните данни на клиентите си. Същата се изразява в следното: при телефонно прозвъняване на номера за връзка с клиенти- *****, операторите предоставят лична информация на обадилият се, а именно парола за достъп в потребителските профили на абонатите на интернет страницата http://proverka.blizoo.bg, брой проведени телефонни разговори, номерата, с които са провеждани разговорите, времетраене на същите и др. Господин О.С.М. разяснява, че с тази лична информация, обадилият се може да се сдобие само срещу предоставяне на Единен граждански номер (ЕГН) на абоната.

О.С.М. уточнява, че именно във връзка с практиката на Дружеството да предоставя данни за клиентите си срещу ЕГН, лице, което знае неговото ЕГН се е обадило на телефонен номер ***** и е получило неговата парола за достъп в потребителския му профил на интернет страницата http://proverka.blizoo.bg .

Жалбоподателят твърди, че въз основа на извършеното предоставяне на паролата му за достъп в официалната интернет страница на „Б.М.Е.Б.“ ЕАД, на трето лице, последното е влизало в профила му и е следяло телефонните му разговори, номерата, с които са били провеждани, времетраене, дати и часове на същите. Допълва се още, че поради обстоятелството, че предоставената парола е идентична с тези, които г-нО.С.М. използва за вход в електронната си поща в abv.bg и skype, лицето сдобило се с нея, неправомерно е следяло цялата му кореспонденция.

За извършената злоупотреба с личните му данни, г-н О.С.М. твърди, че е разбрал на 08.03.2013г., след като получил кратко текстово съобщение на мобилния си телефонен номер, със съдържание показващо, че лицето, което изпраща съобщението е видяло току- що проведените от него два телефонни разговора, изходящи от фиксирания му телефонен номер към мрежата на „Б.М.Е.Б.“ ЕАД.

След получаването на краткото текстово съобщение, г-н О.С.М. осъществил телефонен разговор със служител на „Б.М.Е.Б.“ ЕАД, на телефонния номер за връзка с клиенти, като от същия поискал информация за достъпа до данните му. От своя страна служителят на „Б.М.Е.Б.“ ЕАД потвърдил, че в минал период от време, паролата му за достъп в официалната интернет страница на дружеството е била заменена. Проведеният разговор бил регистриран като жалба, на която г-н О.С.М. твърди, че не е получил обратна връзка, обяснение или разрешение на случая.

О.С.М. иска от Комисията да прекрати практиката на „Б.М.Е.Б.“ ЕАД, единствено срещу ЕГН да бъде давана лична информация за клиента на същото.

На следващо място, жалбоподателят иска на „Б.М.Е.Б.“ ЕАД да бъде наложена съответната санкция, за досега извършваната злоупотреба с лични данни на клиенти.

Към жалбата не са приложени доказателства.

Депозираната от О.С.М. жалба, съдържа всички законово изискуеми реквизити, определени в разпоредбата на чл.30, ал.1 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация (ПДКЗЛДНА).

От изложените в жалбата твърдения и от събраните по административната преписка доказателства, може да се приеме, че жалбата е подадена в срока по чл.38, ал.1 от ЗЗЛД.

В чл.27, ал.2 от Административнопроцесуалния кодекс (АПК) законодателят обвързва преценката за допустимостта на искането с наличие на посочените в текста изисквания. Приложимостта на Закона за защита на личните данни е свързана със защитата на физическите лица във връзка с обработването на техните лични данни от лица, имащи качеството администратори на лични данни по смисъла на легалната дефиниция на чл.3 от Закона, каквото качество безспорно притежава „Б.М.Е.Б.“ ЕАД. Това изискване се явява абсолютна процесуална предпоставка, с оглед на което следва да се прецени допустимостта на жалбата.

При извършена служебна проверка в „Регистъра на администраторите на лични данни и на водените от тях регистри„, поддържан от КЗЛД е установено, че администратора на лични данни е изпълнил задължението си по чл.17 от ЗЗЛД.

О.С.М., в качеството си на жалбоподател има правен интерес да сезират Комисия за защита на личните данни, тъй като предприема действия насочени срещу неправомерното обработване на свързаните с него лични данни от страна на „Б.М.Е.Б.“ ЕАД.

Съгласно чл.10, ал.1, т.7 във връзка с чл.38 от Закона за защита на личните данни, при сезирането й КЗЛД разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по този закон, както и жалби на трети лица във връзка с правата им по този закон.

В редовно заседание, проведено на 18.09.2013г. Комисията е обявила жалбата за допустима, насрочила е дата за разглеждането ѝ по същество и конституира страните в административното производство, както следва: жалбоподател- О.С.М. и ответна страна– „Б.М.Е.Б.“ ЕАД. Административният орган е взел и решение да бъдат изискани, нови, относими към случая доказателства от ответната страна, а именно: копие от записите, направени от телефонните разговори, проведени между О.С.М. и служител на дружеството, на телефонен номер *****, на 08.03.2013г. и 20.03.2013г.; копие от записите, направени от телефонните разговори, проведени на телефонен номер *****, в които О.С.М. е заявил промяна на паролата си, на потребителския си профил в официалната интернет страница на „Б.М.Е.Б.“ ЕАД; да бъде уточнено дали „Б.М.Е.Б.“ ЕАД има практика, да предоставя паролите за достъп на клиентите си, на официалната интернет страница на дружеството, единствено срещу предоставяне на ЕГН от страна на искателя. Като в тази връзка бъде посочен вътрешният документ, в който е регламентирано предоставянето на паролите за достъп (правилник или др.) и да бъдат предоставени всички документи, удостоверяващи договорните правоотношения между „Б.М.Е.Б.“ ЕАД и О.С.М.

В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства, е изискано изразяването на писменни становища с представяне на относимите по случая доказателства от „Б.М.Е.Б.“ ЕАД.

„Б.М.Е.Б.“ ЕАД представя своето становище с писмо вх.№С-542/16.08.2013г.

„Б.М.Е.Б.“ ЕАД счита, че не е страна по настоящото образувано административно производство, като заявява, че страна е трето неизвестно лице.

В становището си дружеството отбелязва, че твърденията изразени в жалбата, не са подкрепени с доказателства от г-н О.С.М.

„Б.М.Е.Б.“ ЕАД уведомява, че личните данни на жалбоподателя се обработват на основание чл.4, ал.1, т.3 от ЗЗЛД, във връзка със съществуващи договорни правоотношения между дружеството и г-н О.С.М.

Към становището е приложено пълномощно за представителна власт пред КЗЛД, в полза на юрисконсулт– М.Д.

Видно от известие за доставка (обратна разписка), писмото с указанията на КЗЛД е надлежно получено от дружеството на 27.09.2013г. На 09.10.2013г. е проведен телефонен разговор с процесуалния представител на „Б.М.Е.Б.“ ЕАД. Същият е бил уведомен повторно за необходимостта, дружеството да предостави допълнителни, относими към административната преписка доказателства.

На 09.10.2013г. е проведен телефонен разговор с процесуалния представител на „Б.М.Е.Б.“ ЕАД. Същият е бил уведомен повторно за необходимостта, дружеството да предостави допълнителни, относими към административната преписка доказателства.

За проведения телефонен разговор е съставен Протокол с рег.№ПР– 149/09.10.2013г.

Допълнително изисканите от „Б.М.Е.Б.“ ЕАД доказателства, биват представени с писмо рег.№П-6587/11.10.2013г. Представените от дружеството доказателства, не кореспондират в цялост с изисканите от административния орган такива. Дружеството депозира копие от Договор №ПЛ68937/26.07.2013г. от 29.07.2013г., копие от Споразумение от 29.07.2013г. и магнитен носител (CD), съдържащ запис на жалби отправени към служител на „Б.М.Е.Б.“ ЕАД.

В проведеното на 23.10.2013г. открито заседание на КЗЛД, на което депозираната от г-нО.С.М. жалба е разгледана по нейната основателност, от процесуалния представител на „Б.М.Е.Б.“ ЕАД е изискано да представи следните, допълнителни, относими доказателства: съобщението, което е изпращано на служителите с оглед това как да процедират във връзка с пароли за „проверка.близу.бг“ (proverka.blizoo.bg) към момента на събитията, описани в жалбата и информация как към този момент ще се осъществява достъпът до „проверка.близу.бг“.

В тази връзка, постановяването на административен акт по депозираната от г-нО.С.М. жалба, бе отложено за следващо редовно заседание на КЗЛД.

В изпълнение на дадените от административния орган указания, с писмо рег.№П-6887/28.10.2013г. „Б.М.Е.Б.“ ЕАД, представят следните доказателства: ксерокопие от Декларация относно обстоятелството за инструктаж на служителите за предоставяне на потребителско име и парола за достъп до „проверка.близу.бг“ след идентификация по три имена, Единен граждански номер (ЕГН) и адрес за ползване на услугите и ксерокопие от вътрешна инструкция с правила за обработване на лични данни при входящи обаждания, с дата на влизане в сила 20.09.2013г.

Предоставените допълнителни доказателства, не променят фактическата обстановка установена от административния орган, а именно, че съобщавайки единствено трите имена, Единният граждански номер и адрес за кореспонденция, друго физическо лице се е сдобило с паролата за достъп на г-н О.С.М. до потребителския му профил на официалната интернет страница на дружеството- „proverka.blizoo.bg.

От събраните по административната преписка доказателства, в частност Становище с рег.№П-6587/11.10.2013г. и Декларация относно обстоятелството за инструктаж на служителите за предоставяне на потребителско име и парола, се установява, че към момента на депозиране жалбата от О.С.М., друго физическо лице се е сдобило с паролата му за достъп до потребителския му профил на „проверка.близу.бг“, след като е заявило трите му имена, Единният му граждански номер и адрес за ползване на услугите. Вследствие на извършеното предоставяне паролата за достъп до профила на г-н О.С.М. към „проверка.близу.бг“, трето физическо лице е имало достъп до свързаните с него лични данни.

Съгласно чл.23, ал.1 от ЗЗЛД администраторът на лични данни е длъжен да предприеме необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване. В конкретния случайсе установи, че към датата на депозиране жалбата от г-н О.С.М., „Б.М.Е.Б.“ ЕАД е предоставяло паролите за достъп на потребителите си до „проверка.близу.бг“, единствено срещу телефонно обаждане на ***** и съобщаване на три имена, ЕГН и адрес за ползване на услугите. От която недостатъчна защита на потребителските профили на клиентите си на „проверка.близу.бг“, е била и предоставена паролата за достъп на г-н О.С.М. на друго физическо лице, респективно различно от титуляра по договора. Тези действия съставляват неправомерно обработване по смисъла на § 1 от ДР на ЗЗЛД лични данни.

В качеството си на административен орган, във връзка с необходимостта от установяване истинността по случая, като основен принцип в процесуалното производство, съгласно чл.7 от Административнопроцесуалния кодекс, изискващ наличието на установени действителни факти от значение по случая, имайки предвид представените писмени доказателства и становища, Комисията приема, че разгледана по същество жалбата е основателна.

При определяне размера на налаганото с настоящото решение административно наказание, Комисията се съобрази с характера и степента на нарушението и обществените отношения, които засяга. Комисия за защита на личните данни взе предвид и обстоятелството, че след сигнализиране на „Б.М.Е.Б.“ ЕАД, от страна на О.С.М. за наличието на извършен неправомерен достъп до профила му на „проверка.близу.бг“, дружеството не е предприело необходимите технически и организационни мерки, за да отстрани нарушението. Въз основа на което се е наложило повторно сигнализиране от страна на г-н О.С.М..

Водима от горното и на основание чл.38, ал.2 във връзка с чл.10, ал.1, т.7 и чл.42, ал.9 от Закона за защита на личните данни, Комисията за защита на личните данн

След влизане в сила на решението, сумата по наложеното наказание да бъде внесена в.брой в касата на Комисията за защита на личните данни, гр.София- 1431, бул.„Акад. Иван Гешов” №15 или преведена по банков път:

Банка БНБ- ЦУ

IBAN: BG18BNBG96613000158601

BIC BNBGBGSD

Комисия за защита на личните данни, Булстат 130961721

Настоящото решение подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд София– град.