Решение по жалба с рег. № Ж-503/27.12.2013 г.

Комисията за защита на личните данни в състав: Председател: Венцислав Караджов и членове: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков, в заседание, проведено на 03.09.2014г. (Протокол №33), на основание чл.10, ал.1, т.7 от Закона за защита на личните данни (ЗЗЛД), разгледа жалба с рег.№Ж-503/27.12.2013г., подадена от Б.Я.М. срещу Медицински център (МЦ) „Д. 2001” ЕООД.

Комисията за защита на личните данни (КЗЛД) е сезирана с жалба, съдържаща твърдения за нарушение на правото на достъп до свързаните с жалбоподателя лични данни. Б.Я.М. посочва, че на 15.08.2013г. до МЦ „Д. 2001” ЕООД подава заявление по реда на чл.29 от Закона за защита на личните данни с искане за заличаване на личните му данни. Заявлението е изпратено посредством ТЕЛЕПОЩА и получено от администратора на лични данни на 16.08.2013г. Твърди, че в законоустановения срок по чл.32 от ЗЗЛД не е получил отговор от МЦ „Д. 2001” ЕООД, за което дружество посочва, че е негов „предишен работодател”. За нарушение на правата му по ЗЗЛД, жалбоподателят настоява Комисията за защита на личните данни да наложи административно наказание на МЦ „Д. 2001” ЕООД.

Към жалбата са приложени копия на Заявление от 15.08.2013г. и Известие за доставяне от 16.08.2013г.

Жалбата, подадена от Б.Я.М. срещу Медицински център „Д. 2001” ЕООД е съобразена с изискванията на КЗЛД съгласно Правилника за дейността на Комисията за защита на личните данни и на нейната администрация и съдържа необходимите нормативно определени реквизити. Комисията е сезирана от физическо лице, при наличието на правен интерес, подадена е в срока по чл.38, ал.1 от ЗЗЛД.

В чл.27, ал.2 от АПК законодателят обвързва преценката за допустимостта на искането с наличие на посочените в текста изисквания. Приложимостта на Закона за защита на личните данни е свързана със защитата на физическите лица във връзка с обработването на техните лични данни от лица, имащи качеството администратори на лични данни по смисъла на легалната дефиниция на чл.3 от Закона, каквото качество безспорно притежава МЦ „Д. 2001” ЕООД. Това изискване се явява абсолютна процесуална предпоставка, с оглед на която следва да се прецени допустимостта на жалбата. Законът сочи като администратор на лични данни физическо или юридическо лице, както и държавен орган, който определя вида на обработваните данни, целта на обработване, начините на обработване и на защита, при спазване изискванията на този закон.

При извършена служебна справка в Регистъра на администраторите на лични данни и на водените от тях регистри към КЗЛД е установено, че МЦ „Д. 2001” ЕООД е вписано с идентификационен номер 105467 на 30.04.2009г.

Съгласно чл.10, ал.1, т.7 във връзка с чл.38 от Закона за защита на личните данни, КЗЛД разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по този закон, както и жалби на трети лица във връзка с правата им по този закон.

В заседание, проведено на 16.07.2014г., Комисията обявява жалбата за допустима и я насрочва за разглеждане по същество на 03.09.2014г. Конституира като страни в административното производство жалбоподателя Б.Я.М. и ответна страна- Медицински център „Д. 2001” ЕООД в качеството му на администратор на лични данни.

В условията на служебното начало, с писмо изх. №П-40/07.01.2014г. на Председателя на КЗЛД, на основание чл.26 от Административнопроцесуалния кодекс (АПК), МЦ „Д. 2001” ЕООД е уведомено за откритото административно производство по жалбата. На основание чл.36 от АПК, от администратора на лични данни е изискано становище, както и относими към случая доказателства.

В отговор, с писмо вх.№С-20/14.01.2014г., МЦ „Д. 2001” ЕООД депозира становище, в което изразява аргументи за неоснователност на жалбата, подадена от г-н Б.Я.М., предвид следното:

Дружеството потвърждава факта, че на 16.08.2013г. е постъпило писмено заявление от Б.Я.М., съдържащо искане за предоставяне на информация „дали се обработват личните му данни, за какви цели, категориите данни, получаването им, наличната информация за източника на личните данни, логиката на автоматичното обработване на личните му данни, заличаване или блокиране на негови лични данни, трети лица, на които се разкриват личните му данни, както и тяхното уведомяване”. В становището се уточнява, че от 09.01.2014г. дружеството има новоназначен управител– представляващ медицинския център, поради което към настоящия момент е в невъзможност да се произнесе дали е спазен законоустановеният срок, дали същият е продължаван и дали е изпратен отговор до г-н Б.Я.М. МЦ „Д. 2001” ЕООД посочва, че към момента на подаване на заявлението, на администратора на лични данни е извършвана проверка от екип на КЗЛД, при която е установено, че не е налице неправомерно обработване на личните данни на г-н Б.Я.М., поради което счита действията на Б.Я.М. за злоупотреба с право.

Към становището са приложени копия на: заявление от 15.08.2013г.; писмо с изх. №П-5503/19.08.2013г. на КЗЛД и Решение №Ж-314/2012г. от 19.08.2013г. на КЗЛД.

При проведен телефонен разговор, жалбоподателят е уведомен за депозираното от администратора на лични данни писмено становище с приложените към него доказателства. След запознаване с административната преписка (протокол с вх.№ ПР-07/20.06.2014 г.), Б.Я.М. заявява, че след като проведе разговор с управителя на МЦ „Д. 2001” ЕООД, ще подаде до КЗЛД писмен отказ от жалбата си.

С молба, вх.№П-162/30.06.2014г. г-н Б.Я.М. заявява, че няма да оттегля жалбата си и моли КЗЛД да продължи административното производство, тъй като „администраторът на лични данни продължава да злоупотребява с неговите лични данни” и не му предоставя изисканата по надлежния ред информация относно личните му данни, които обработва.

За откритото заседание на КЗЛД за разглеждане на жалбата по същество, проведено на 03.09.2014г., страните са редовно уведомени. Жалбоподателят и МЦ „Д. 2001” ЕООД не се явяват и не изпращат процесуални представители.

Жалбата е насочена срещу нарушение на правата по Закона за защита на личните данни на жалбоподателя, изразяващо се нарушаването на правото на достъп на физическото лице до отнасящите се до него лични данни, обработвани от администратора на лични данни.

Преценката относно основателността на жалбата следва да се обвърже с наличие на неправомерно обработване на личните данни на жалбоподателя от администратор на лични данни.

Правомерното обработване на личните данни от страна на администратора на лични данни, съгласно ЗЗЛД, следва да се извършва в съответствие с принципите на законосъобразност, целесъобразност и пропорционалност на данните. Наред с това законодателят е предоставил възможност, от една страна, на администраторите сами да определят целите и обема на обработваните данни, а от друга страна- на физическите лица правото да изразят свободната си воля за обработване на техните лични данни.

В Глава пета от Закона за защита на личните данни са уредени правата на физическите лица, като е регламентиран реда, както и начините за тяхното упражняване. Съгласно чл.26 от ЗЗЛД всяко физическо лице има право на достъп до отнасящи се за него лични данни. По смисъла на разпоредбата, съдържаща се в чл.28 от ЗЗЛД, при упражняване на правото си на достъп, физическото лице има право по всяко време да поиска от администратора потвърждение дали отнасящите се до него лични данни се обработват. В отговор на искането, задължение на администратора на лични данни е да изпрати съобщение до заявителя в разбираема форма, както и всяка информация за техния източник. В чл.28а от Закона за защита на личните данни законодателят е указал, че физическото лице има и право по всяко време да поиска от администратора да:

1. заличи, коригира или блокира негови лични данни, обработването на които не отговаря на изискванията на този закон;

2. уведоми третите лица, на които са били разкрити личните му данни, за всяко заличаване, коригиране или блокиране, извършено в съответствие с т.1, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия.

Правото на достъп по чл.26 и правата по чл.28а от ЗЗЛД се осъществяват с писмено заявление до администратора на лични данни, което следва да съдържа определените в чл.30, ал.1 от ЗЗЛД реквизити. В заявлението за достъп до лични данни подателят следва да посочи име, адрес и други данни за идентифицирането, с оглед безспорната му идентификация.

Искането на г-н Б.Я.М. до МЦ „Д. 2001” ЕООД съдържа изискуемите реквизити и същото следва да се квалифицира като заявление по чл.29 от ЗЗЛД. Видно от съдържанието на изпратеното на 15.08.2013г. заявление до медицинския център, г-н Б.Я.М. е упражнил правото си на достъп по чл.28 от ЗЗЛД до отнасящите се до него лични данни. Заявлението, адресирано до администратора на лични данни МЦ „Д. 2001” ЕООД, съдържа: да се изясни какви негови лични данни се обработват, целите на обработването им, тяхното получаване, заличаване или блокиране, както и третите лица, на които данните са разкрити. Изразена е волята на подателя– исканата информация да бъде изпратена в писмена форма на посочен от него адрес.Следователнозаконовите предпоставки за предоставяне на исканата от жалбоподателя информация са изпълнени– подадено е надлежно заявление и безспорно данните, до които лицето желае достъп, се съхраняват от администратора на лични данни, в качеството му на бивш работодател на г-н Б.Я.М.

Съгласно чл.32, ал.1 от ЗЗЛД, администраторът на лични данни или изрично упълномощено от него лице разглежда заявлението и се произнася в 14-дневен срок от неговото подаване. Законодателят допуска удължаване на срока за произнасяне до 30 дни в случай, когато обективно се изисква по-дълъг срок за събирането на всички искани данни и това сериозно затруднява дейността на администратора на лични данни. Изисканата по надлежния ред информация администраторът на лични данни следва да предостави изцяло, частично или мотивирано да откаже предоставянето й. Във всички случаи съгласно чл.33, ал.1 от ЗЗЛД администраторът е длъжен да съобщи на заявителя писмено за решението си или отказа, като уведомяването се извършва лично срещу подпис или по пощата с обратна разписка. Съгласно разпоредбата на чл.33, ал.3 от ЗЗЛД, липсата на уведомление по ал.1 се смята за отказ на администратора на лични данни да предостави исканата информация по направеното заявление.

Комисията за защита на личните данни приема, че е налице мълчалив отказ на администратора на лични данни- МЦ „Д. 2001” ЕООД за достъп до лични данни по смисъла на чл.26 и чл.28 от ЗЗЛД, който е незаконосъобразен и като такъв следва да бъде отменен.

Видно от известието за доставяне на заявлението за достъп до лични данни, подадено от Б.Я.М., същото е получено от МЦ „Д. 2001” ЕООД на 16.08.2013г., което обстоятелство се потвърждава и в становище с вх.№С-20/14.01.2014г. от медицинския център. В настоящия случай администраторът на лични данни не е изпълнил задължението си и не е предоставил изисканата от жалбоподателя по надлежния ред информация в законоустановения 14-дневен срок. Въпреки представената правна възможност, ответната страна в настоящото административно производство не навежда доказателства, оспорващи този факт. В становище с вх.№С-20/14.01.2014г. МЦ „Д. 2001” ЕООД заявява, че поради смяната на управителя на дружеството, медицинският център е в невъзможност да се произнесе „дали е спазен срока, удължаван ли е срока за отговор и дали изобщо на д-р Б.Я.М. е отговорено”.

В чл.32, ал.2 от ЗЗЛД законодателят е указал възможност 14-дневния срок да бъде удължен по усмотрение на администратора при наличието на две кумулативни предпоставки, а именно: 1. за събирането на всички данни обективно да се изисква по-дълъг срок и 2. това сериозно да затруднява дейността на администратора. При извършена служебна справка в Търговския регистър е установено, че към момента на подаване на жалбата, управител и представляващ МЦ „Д. 2001” ЕООД Й.Х.Д. Тези обстоятелства обаче не съставляват и не следва да се приемат като обективна причина, изискваща удължаването на срока, тъй като не затрудняват сериозно дейността на администратора на лични данни. Дори и да се приеме, че е налице хипотезата на ал.2, следва МЦ „Д. 2001” ЕООД да уведоми заявителя, че срокът ще бъде удължен. Към административната преписка не са представени доказателства, които са в тежест на ответната страна, че е налице такова уведомяване.

Комисията за защита на личните данни е държавен орган с възложени и изрично уредени от законодателя държавно-властнически правомощия, регламентирани в Закона за защита на личните данни. Комисията е специализиран орган в Република България, чиято компетентност включва установяването и произнасянето относно наличието или не на нарушение на ЗЗЛД, като оперативната самостоятелност на административния орган е определената от закона власт да прецени, съобрази и избере начина и средствата си за действие. Съгласно чл.38, ал.2 от Закона за защита на личните данни, Комисията за защита на личните данни може да даде задължителни предписания, да определи срок за отстраняване на нарушението или да наложи административно наказание. Законодателят е указал изрично кръга на компетентността, съгласно която административният орган разполага с избор на варианти на решение, съобразен с конкретния случай.

В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в процесуалното производство, съгласно чл.7 от Административнопроцесуалния кодекс, анализирайки представените писмени доказателства и становища, Комисията за защита на личните данни приема, че разгледана по същество жалбата е основателна.

При определяне на размера на наложеното с настоящото решение административно наказание на МЦ „Д. 2001” ЕООД, Комисията за защита на личните данни се съобрази с характера и степента на нарушението и обществените отношения, които засяга. Комисията за защита на личните данни отчете факта, че нарушението на разпоредбите на ЗЗЛД е първо за МЦ „Д. 2001” ЕООД, факта, че в настоящия случай е нарушено правото на достъп до обработваните от администратора лични данни на едно физическо лице, както и обстоятелството, че при констатиране на нарушението не са взети незабавни мерки за отстраняването му.

Господин Цветелин Софрониев– член на Комисията за защита на личните данни гласува с особено мнение, изразяващо се в преценка на наложеното с настоящото решение административно наказание. При така изяснена фактическа обстановка счита, че не следва да се ангажира административно-наказателна отговорност на МЦ „Д. 2001” ЕООД. Служебно известно на административния орган (Решение №Ж-314/2012г. от 19.08.2013г. на КЛЗД) е обстоятелство, че между Б.Я.М. и МЦ „Д. 2001” ЕООД са налице взаимоотношения, свързани с трудовото законодателство, от което следва извода, че за администратора на лични данни е налице условие за допустимост за обработване на свързаните с жалбоподателя лични данни, съдържащо се в чл.4, ал.1, т.2 от ЗЗЛД. Счита, че Комисията следва да издаде задължително предписание на МЦ „Д. 2001” ЕООД за предоставяне в 14-дневен срок на достъп до исканата от жалбоподателя информация, като уведоми КЗЛД за предприетите действия. На следващо място- липсват доказателства за претърпени вреди и неудобства за физическото лице от мълчаливия отказ на администратора. Господин Софрониев приема, че задължителното предписание като административна мярка ще постигне целите си– защита на правата на жалбоподателя по ЗЗЛД, възпитателно въздействие, както и спазване на установения правен ред.

Водима от горното и на основание чл.38, ал.2 във връзка с чл.10, ал.1, т.7 и чл.42, ал.7 от Закона за защита на личните данни, Комисията за защита на личните данни

След влизане в сила на решението, сумата по наложеното наказание да бъде внесена в брой в касата на Комисията за защита на личните данни на адрес: гр.София- 1592, бул.„Проф. Цветан Лазаров” №2 или преведена по банков път:

Банка БНБ- ЦУ

IBAN: BG18BNBG96613000158601

BIC BNBGBGSD

Комисия за защита на личните данни, БУЛСТАТ 130961721

Настоящото решение подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд София– град.