Решение по жалба с рег. № ППН-01-31/22.08.2017 г.

Комисията за защита на личните данни (КЗЛД, Комисията) в състав, председател– Венцислав Караджов и членове: Цветелин Софрониев, Мария Матева и Веселин Целков на редовно заседание, проведено на 13.12.2018г. и обективирано в протокол№47/13.12.2018г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни (ЗЗЛД), разгледа по същество жалба с рег. №ППН-01-31/22.08.2017г., подадена от К.К.

Административното производство е по реда на чл.38 от ЗЗЛД.

Комисията за защита на личните данни е сезирана с жалба рег. №ППН-01-31/22.08.2017г., подадена от К.К., в която са изложени твърдения за неправомерно обработване на личните му данни от страна на „Д.Н.” ЕООД.

Жалбоподателят информира, че е служител на „Д.Н.” ЕООД. На 20.07.2017г. от работодателя му е връчено искане за даване на обяснения по чл.193, ал.1 от Кодекса на труда (КТ) и констативен протокол от 20.07.2017г.

На 21.07.2017г. г-н К.К. излага, че е дал изисканите обяснения, заедно с болничен лист в търговски обект, находящ се в гр. ********, франчайз магазин на телекомуникационен оператор (Т.О.), като е използвал случая да плати сметка на негов познат. Г-н К.К. е установил, че данните във фискалния бон са по фактура №**** с потребител Е.А. и договор № *****, издаден фискален бон №*** с обслужващо лице К.К. За случая е сигнализиран изпълнителния директор на Т.О.

К.К. счита, че е налице неправомерна употреба на личния му акаунт, като служител на длъжност „специалист продажби“, с който обработва личите данни да клиентите на Т.О. Моли за извършване на проверка и преустановяване на порочните практики. Към жалбата като доказателства са приложени жалба до изпълнителния директор на Т.О. от 21.07.2017г. с отговор за продължаваща проверка, два броя обяснения с приложени искания и констативни протоколи.

С писмо изх. №ППН-01-31/2017#1 от 10.11.2017г. управителя на „Д.Н.” ЕООД е уведомен на основание чл.26 от АПК за образуваното административно производство и e предоставена възможност за изразяване на становище и предоставяне на относими към случая доказателства.

В отговор от „Д.Н.” ЕООД е депозирано становище, заведено с рег. №ППН-01-31#5/28.11.2017г. Изложено е становище от една страна за недопустимост на жалбата, поради липса на правен интерес за жалбоподателя, предвид факта, че жалбата е за преустановяване на действия срещу неправомерно ползване на служебния акаунт на лицето– К.К., като служебният акаунт е деактивиран на 21.07.2017г. по искане на „Д.Н.” ЕООД.

На следващо място са изложени твърдения за неоснователност на жалбата, предвид факта, че служебният акаунт „не съдържа лични данни“. Посочено е, че единствено съответният служител разполага с парола за достъп до акаунта, работодателят няма право и никога не е искал паролата на съответния служител да му бъде предоставена.

Застъпват становище, че ако някой от служителите в магазина е ползвал достъпа на жалбоподателя, то това няма как да се случи без последният да го е предоставил доброволно, като споделят, че „подобна хипотеза“ е лишена от логика, тъй като всеки служител има собствен акаунт и не еналице да се ползва чужд такъв.

С писма изх. №№ППН-01-31/2017#3 от 10.11.2017г. и ППН-01-31(17)#7 от 15.06.2017г. на Т.О.– надружеството е предоставен срок за изразяване на становище и прилагане на относими доказателства по случая, изискана е и справка за деактивиране на акаунта на К.К.

От дружеството информират, че между „Д.Н.“ ЕООД и Т.О. има сключен договор за франчайз. Съгласно предмета на договора на франчайз партньора е възложено организирането и ръководенето на франчайз магазина, като в договора са разписани всички основни права и задължения на партньора, включително по отношение на защитата на личните данни. Служителите на франчайз партньора, които ще имат право на достъп до системите на Т.О. получават потребителско име и първоначална парола за достъп, което става с изрична писмена заявка на франчайз партньора до Дружеството. Обяснено е, че първоначалната парола за достъп и потребителското име се издават и предоставят на франчайз партньора, като задължение на партньора е да ги предостави само на лицето, за което са предназначени. Първоначалната парола, предоставена от Т.О. следва веднага да бъде заменена от потребителя от друга парола, която да е известна само на него. От дружеството сочат, че в приложимите правила изрично е записано, че „поради конфиденциалният характер на информацията, съдържаща се в програмите, при даването на права /user/ за достъп е абсолютно задължително: служителите да работят само с техните юзери или да не предоставят паролите си на други служители или външни лица“. Приложени са две справки от вътрешната система на дружеството, от които е видно заявката за деактивирането на акаунта на г-н К.К. „****” и спирането на достъпа на жалбоподателя до системите на Т.О. на 21.07.2017г. Като доказателства са приложени: договор за франчайз от 12.06.2014г. Между Т.О. и „Д.Н.“ ЕООД, копие от пълномощно, копия на справки от вътрешната система на „А1“ ЕАД– 2 бр. Считат жалбата за неоснователна

Жалбата на К.К. е съобразена в цялост с изискванията за редовност, съгласно чл.30, ал.1 от Правилник за дейността на Комисията за защита на личните данни и нейната администрация (ПДКЗЛДНА), а именно: налице са данни за жалбоподателя, естеството на искането, дата и подпис.

Нормата на чл.38, ал.1 от ЗЗЛД предвижда преклузивен срок за сезиране на Комисията– в едногодишен срок от узнаване на нарушението, но не по-късно от пет години от извършването му. Не е изтекла една година от узнаването на твърдяното нарушение или пет години от извършването му. Предвидените в чл.38, ал.1 от ЗЗЛД срокове са спазени.

В чл.27, ал.2 от АПК законодателят обвързва преценката за допустимост на искането с наличие на посочените в текста изисквания. Приложимостта на Закона за защита на личните данни е свързана със защитата на физическите лица във връзка с обработването на техните лични данни от лица, имащи качеството „администратори на лични данни” .

На проведено на 07.11.2018г. закрито заседание на Комисията, жалбата е обявена за процесуално допустима. Конституирани са страни: жалбоподател– К.К. и ответни страни– „Д.Н.” ЕООД и Т.О. в качеството им на администратори на лични данни, редовно уведомени за насроченото на 13.12.2018г. открито заседание.

Жалбоподателят се явява лично, за „Д.Н.” ЕООД се явява упълномощен представител, с пълномощно по преписката, за Т.О. се явяват упълномощени представители с пълномощни, представени в заседанието.

При изготвяне на настоящото решение е отчетена настъпилата промяна в правната рамка в областта на защитата на личните данни в периода от обработването на личните данни до произнасяне по същество на искането, с което е сезиран административния орган. Съобразен е и факта, че от 25.05.2018г. се прилага Регламент(ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните, Регламента) урежда правилата по отношение защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни. Прави се и отбелязването, че съгласно чл.288 от ДФЕС „Регламентът е акт с общо приложение. Той е задължителен в своята цялост и се прилага пряко във всички държави-членки.“ Съгласно чл.15, ал.2 от Закона за нормативните актове (ЗНА) „ако нормативен акт противоречи на регламент на Европейския съюз, прилага се регламентът“. Предвид липсата на изрична разпоредба считам, че заварените отношения, които не са висящи и се отнасят до юридически факти и породени от тях последици, настъпили преди прилагане на Регламента, следва да се преценяват според материалния закон, който е бил в сила към момента на тяхното възникване. В конкретния случай такива са разпоредбите на ЗЗЛД с оглед обстоятелството, че юридическите факти и правните последици свързани с обработването на данните касаят периода от 21.07.2017г. до 22.08.2017г., т.е преди прилагане на регламента.

Жалбата е насочена срещу неправомерно обработване на лични данни на жалбоподателя К.К.

С жалбата е сезиран компетентен да се произнесе орган– КЗЛД, която съгласно правомощията си по чл.чл. 10, ал.1, т.7 от ЗЗЛД, респективно чл.57 ,§.1, т.„е“ от Регламент(ЕС) 2016/679, разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица свързани с обработване на личните данни.

Наличието на администратор на лични данни е абсолютна процесуална предпоставка за допустимост на жалбата. В конкретния случай, предвид разпоредбата на чл.4, т.7 от Регламент(ЕС) 2016/679 и предвид събраните по преписката доказателства се налага извода, че Т.О. и „Д.Н.“ ЕООД са администратори на лични данни.

Съгласно от §1, т.10 от Допълнителните разпоредби (ДР) на Закона за корпоративното подоходно облагане „франчайз“ е съвкупност от права на индустриална или интелектуална собственост, отнасящи се до търговски марки, търговски имена, фирмени знаци, изработени модели, дизайни, авторско право, ноу-хау или патенти, предоставени срещу възнаграждение, за да се използват за продажба на стоки и/или за предоставяне на услуги.

Предвид изложеното и сключения договор за франчайз, „Д.Н.“ ЕООД няма качеството на обработващ лични данни по смисъла на чл.24 от ЗЗЛД и §1, т.3 от ДР на ЗЗЛД, независимо от обстоятелството, че в т.20 от договора от 12.06.2014г., че „франчайз партньорът стопанисва, управлява и извършва търговска дейност в повереният му от Т.О. франчайз– магазини от името наТ.О.“. Цитираната регламентация в договора се отнася единствено до търговската дейност, осъществявана от франчайз– партньора.

Като администратори на лични данни и двете дружества (всяко на самостоятелно основание) следва да спазва разпоредбите на ЗЗЛД при обработването на личните данни, регламентиращи задълженията на администратора, като принципи, условия за обработване, включително и тези за предприемане на необходимите технически и организационни мерки за защита на данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване съгласно разпоредбата на чл.23 от ЗЗЛД

Съгласно легалната дефиниция, посочена в чл.2, ал.1 от ЗЗЛД, респективно чл.4, т.1 от Регламент(ЕС) 2016/679, който се прилага от 25.05.2018г., лични данни означава информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“) пряко или непряко, чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетична, психическа, умствена, икономическа, културна или социална идентичност на това физически лице.

От събраните в административното производство доказателства се установи, че от Т.О. са предоставени справки от вътрешната система, от които е видно, че на 21.07.2017г., акаунтът на г-н К.К. е деактивиран, т.е в деня на постъпване на информацията от „Д.Н.“ ЕООД.

От предоставените правила от Т.О., описани като ИТ– инфраструктура (хардуер и софтуер) системи за сигурност е видно, че в т.7.2 и т.7.3, са разписани правилата за достъп до електронните системи за работа. Описано е, че при даването на права на user за достъп е абсолютно задължителнослужителите да работят само с техни юзери и да не предоставят паролите си на други служители или външни лица.

Описано е още, че франчайз партньорът и всички негови служители са отговорни за опазване на конфиденциалния характер на личната, както и на фирмената информация, предоставена от клиенти, служители, акционери и доставчици и да защитава тези данни.

Предвид изложеното следва, че жалбата е неоснователна по отношение на Т.О., тъй като от дружеството са извършили необходимите технически и организационни мерки, съгласно разпоредбата на 23 от ЗЗЛД.

От събраните по административната преписка доказателства се установи, че от страна на „Д.Н.“ ЕООД не е оспорен факта, че жалбоподателят– К.К. на 21.07.2017г. не е бил на работа и следователно е бил в обективна невъзможност за използване на акаунта и паролата, дадени му от дружеството. Видно, от предоставения касов бон с №**** в 12:50:5, е че името на лицето К.К. е изписано, като обслужващо лице, предвид което следва, че по отношение на „Д.Н.“ ЕООД жалбата е основателна.

Не е спорно по преписката, че от „Д.Н.“ ЕООД на 21.07.2018г., е издаден касов бон *** в 12:50:54, в който фигурират трите имена на жалбоподателя, както и че дружеството е информирало Т.О. за случая, чрез изпратен имейл в 14.23 ч. от К.А., като на имейла е върнат отговор от Т.О. на 21.07.2017г., че всички права на К.К. са спрени.

Съгласно т.21.10.2 от договора за франчайз, сключен на 12.06.2014г. между Т.О. и „Д.Н.“ ЕООД, франчаз– партньорът се задължава да осигури максимално ниво на защита на системите на Т.О., като спазва и осигури спазването на изискванията, посочени в политиката за информационна сигурност и свързаните с нея инструкции, правила и други документи. В тази връзка и предвид установеното по административната преписка следва, че „Д.Н.“ ЕООД не е изпълнило задължението, произтичащо от разпоредбата на чл.23, ал.1 от ЗЗЛД по отношение на предприемане на технически и организационни мерки, за да защити данните от неправомерен достъп.

От процесуалния представител на „Д.Н.“ ЕООД е направено искане за присъждане на разноски за адвокатско възнаграждение в производството, като бъдат възложени в тежест на жалбоподателя, с оглед изхода на спора обаче искането за присъждане на разноски не следва да бъде уважено.

При определяне на най-подходяща корективна мярка за извършеното нарушение от администратора „Д.Н.“ ЕООД, следва да се има предвид следното:

Няма данни за претърпени вреди от страна на жалбоподателя, предприети са последващи действия от страна на „Д.Н.“ ЕООД в момента, в който е установено нарушението, както и че нарушението е първо за администратора „Д.Н.“ ЕООД.

С оглед гореизложеното, Комисията за защита на личните данни се произнесе със следното

1. Обявява жалба с рег. №ППН-01-31/22.08.2017г., подадена от К.К. срещу телекомуникационен оператор и „Д.Н.“ ЕООД, за неоснователна по отношение на телекомуникационния оператор, предвид факта, че дружеството е предприело необходимите технически и организационни мерки съгласно разпоредбата на чл.23 от ЗЗЛД, респективно чл.24 от Регламент(ЕС) 2016/679.

2. Обявява жалба с рег. №ППН-01-31/22.08.2017г., подадена от К.К. срещу телекоминукационен оператор и „Д.Н.“ ЕООД, за основателна по отношение на „Д.Н.“ ЕООД за нарушение на разпоредбата на чл.23 от ЗЗЛД, респективно чл.24 от Регламент(ЕС) 2016/679.

3. Във връзка с т.2 и на основание чл.58, §2, буква „г“ от Регламент(ЕС) 2016/679 разпорежда на „Д.Н.“ ЕООД да съобрази операциите по обработване на личните данни с разпоредбите на Регламента, като организира достъпа и употребата на акаунтите на всеки служител по начин непозволяващ употреба на акаунт от лице, различно от това, на което принадлежи последният.

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд – София– град.