РЕШЕНИЕ
№ППН-01-315/2018г.
град София, 09.01.2019г.
Комисията за защита на личните данни (КЗЛД) в състав: членове: Цветелин Софрониев, Мария Матева и Веселин Целков на редовно заседание, проведено на 12.12.2018г., обективирано в Протокол №46/2018г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни (ЗЗЛД) и чл.57, § 1, б.”е” от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива95/46/EО (ОРЗД), като разгледа по същество жалба рег. №ППН-01-315 от 11.05.2018г., за да се произнесе взе предвид следното:
Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).
Комисията за защита на личните данни е сезирана с жалба с рег. №ППН-01-315 от 11.05.2018г. подадена от С.Т. срещу финансова институция (Ф.И.).
С.Т. посочва, че на 04.05.2018г. посетила централен офис на Ф.И. в кв. Лозенец в качеството ѝ на пълномощник на своя син, с цел да направи справка (не извлечение) за оставащи вноски по изтеглен кредит №**** и да погаси забавени две вноски. Повод за посещението на този офис станал проведен телефонен разговор предишния ден между служител на Ф.И. и сина ѝ, по време на който последния бил заплашен от служителя при подсещането му за забавените вноски, за което била подадена жалба от негова страна.
На място в офиса на посочената по-горе дата (04.05.2018г.) служителка във Ф.И.- Е.Л. изслушала създалата се ситуация и пред нея С.Т. заявила желанието да се погасят забавени вноски в размер на 1655.58 лева и предсрочно да се погасят оставащите такива. В тази връзка била изискана и преснимана личната карта на С.Т. и сканирано представеното пълномощно от сина ѝ. След като С.Т. подписала всички необходими документи, получила отказ от служителите в Ф.И. за предоставяне на справка, съдържаща информация за оставащите вноски по договора за кредит, по съображения че пълномощното не им харесва. Междувременно С.Т. била регистрирана като клиент на Ф.И.
От Ф.И. отказали да върнат на С.Т. пресниманите документи, съдържащи лични данни.
На основание гореизложеното, С.Т. моли за съдействие КЗЛД относно разрешаването на проблема.
Към жалбата е приложено копие на пълномощно и заявление от 04.05.2018г.
В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая с писма с рег. №: ППН-01-315#1 и ППН-01-315#2, всички от 31.05.2018г., Ф.И. и С.Т. са редовно уведомени за образуваното производство в Комисия за защита на личните данни.
С писмо с рег. №ППН-01-315#3 от 14.06.2018г. от Ф.И., чрез В.Г. и А.Д. – законни представители на дружеството е изразено становище по жалбата.
Според Ф.И., С.Т. се жалва, че не желае да бъде безпокоена по телефона от страна на Ф.И. относно договор за кредит, сключен на 03.07.2017г. от нейния син –К.Т. и че по повод същата жалбата, дружеството е изпратило отговор до нея.
Посочва се, че данните на С.Т. не са били обработени неправомерно и не са били нарушени разпоредбите на ЗЗЛД, като в тази връзка се отбелязва, че поради неизплатена навреме вноска по кредит на сина ѝ – К.Т. по договор за кредит, сключен на 03.07.2017г., служители на Ф.И. са се свързали с нея по телефона, тъй като тя била посочена за контактно лице именно от него. Изтъква се, че задължение на К.Т. било да информира майка си, че е посочена за контактно лице и за възможността Ф.И. да се свърже с нея, което и било сторено тъй като този факт не се оспорвал от С.Т.
Към писмото е приложен отговор с изх. №*** от 25.05.2018г. по заявление с вх.№*** от 08.05.2018г.
С писмо ППН-01-315#4 от 19.06.2018г. С.Т. заявява, че датата на заявлението посочена в отговор с изх. №*** от 25.05.2018г. е 04.05.2018г., а не както е посочено в него – 08.05.2018г. и че две били причините да посети Ф.И., а именно: първата – била притеснявана многократно, тъй като била посочена като лице за контакт и втората – синът ѝ бил заплашен по телефона от Ф.И., за което след подадена от него жалба получил извинения. Посочва, че преди да сезира комисията е подала жалба по електронен път и до Ф.И., описвайки проблема, като отговор на тази жалба получила на 14.06.2018г. по електронен път и на 18.06.2018г. по куриер.
Към писмото са приложени: отговор от 14.06.2018г., становище, отговор с изх.№*** от 14.06.2018г., отговор с изх. №*** от 25.05.2018г., разписки с №*** и ***.
С оглед изясняване на фактите и обстоятелствата по случая са изискани допълнителни доказателства и информация от Ф.И., предоставени от последната с писма с рег. №: ППН-01-315#7 от 06.07.2018г., ППН-01-315#9 от 06.08.2018г. и ППН-01-315#11 от 11.09.2018г.
Според предоставената допълнителна информация, С.Т. е подала жалба до Ф.И., регистрирана под №*** и дата 11.05.2018г., по повод на която жалба е изпратен отговор на 14.06.2018г. и че в този отговор Ф.И. информирала С.Т., че с цел ограничаване риска от неправомерно разпореждане със средства от страна на упълномощените лица са въведени защитни мерки изразяващи се в проверка на представените пълномощни. При липса на представителна власт, на упълномощените лица не се разрешавало разпореждане и не се съобщавала информация относно наличности и движения, които по същество представлявали банкова тайна по смисъла на чл.62 от Закона за кредитните институции.
По основателността на жалбата, Ф.И. посочва, че изпълнението на платежните операции било уредено във вътрешните документи, като при внасяне на сума на каса всяко лице следвало да се регистрира като клиент на Ф.И. В чл.3.1.3. от Общите условия за предоставяне на платежни услуги били посочени документите, които Ф.И. изисквала относно изпълнението на изискванията на Закона за мерките срещу изпирането на пари (ЗМИП), свързани с идентификацията на клиента и неговите представители. Тези условия, както и вътрешните правила за контрол и предотвратяване изпирането на пари и финансирането на тероризма били приети в съответствие с изискванията на ЗМИП. Дружеството се позовава на разпоредбите на чл.4, т.1, чл.10,т. 1 и чл.65, ал.1 от ЗМИП, които разпоредби задължавали Ф.И. в качеството ѝ на кредитна институция да прилага мерките и да спазва установените в него правила. В тази връзка проверката на представителната власт се осъществявала посредством снемане на копие на представеното пълномощно, а идентифицирането на пълномощника съобразно разпоредбата на чл.53 от ЗМИП – чрез представяне на официален документ за самоличност, снемане на копие от него и проверка на неговата валидност – чл.55 от с.з. Тези действия се извършвали от Ф.И. преди установяването на делови контакти и извършването на случайна операция съгласно изискването на чл.15 от ЗМИП. В изпълнение на чл.16 от ЗМИП Ф.И. била задължена да създава клиентски бази от данни и клиентски досиета, в които съхранявала и поддържала актуална информация за своите клиенти и за извършваните от тях операции и сделки, със срок за съхранение 5г. – чл.67, ал.1 от ЗМИП. По тези съображения С.Т. следвало да бъде регистрирана в клиентската картотека на Ф.И. като клиент и да бъдат снети копия на документа ѝ за самоличност и пълномощното, независимо от последвалия отказ от нейна страна за извършване на платежната операция.
Информира КЗЛД, че при посещението на офиса на 04.05.2018г., С.Т. не е подавала писмено заявление за предоставяне на информация относно размера на задълженията по договора за кредит, сключен от нейния син, нито е попълвала документ (вносна бележка) за изпълнение на платежна операция по внасяне на суми за погасяване на кредита. Посочва се, че при заявен отказ от страна на клиент за извършване на платежна операция и при липса на депозирано писмено нареждане за нейното изпълнение не се изисквало попълване на специален документ на хартиен носител. Относно отказа на Ф.И. да предостави заявената услуга на С.Т., се посочва че Ф.И. е отказала да приеме представеното пълномощно по съображения, че последното не давало право на С.Т. да представлява сина ѝ пред кредитни институции, позовавайки се на т.3.5 от Общите условия за предоставяне на платежни услуги, като тези съображения били своевременно съобщени на С.Т.
Ф.И. уточняват, че не разполагат с клиентско досие на С.Т. на хартиен носител, тъй като на 26.06.2018г. в централния офис на Ф.И. са върнати направените копия на документи, за което бил съставен приемо –предавателен протокол. В електронното досие на С.Т. се съхранявали сканирано копие на лична карта и общи клиентски данни.
Според дружеството, обработването на данните на С.Т. е извършено при наличие на условието по чл.4, ал.1, т.1 от ЗЗЛД (нормативно установено задължение), като последващата им обработка – тяхното съхраняване в системата, се извършвало при наличие на условието по чл.4, ал.1, т.1 и т.7 от ЗЗЛД (нормативно установено задължение и легитимен интерес).
Относно упълномощителя К.Т. –син на С.Т., се сочи, че не е сключвал рамков договор за платежни услуги и няма открита банкова сметка за усвояване на изтегления от него банков кредит. Последният се погасявал чрез вноски по служебна сметка на Ф.И. Сочи се, че представените общи условия не са приложими към договора за потребителски кредит на К.Т., но са приложими спрямо заявената от С.Т. операция –еднократна такава по смисъла на чл.53, ал.1 от Закона за платежните услуги и платежните системи. Съгласно сключения договор К.Т. имал право да получи при писмено поискване и безвъзмездно във всеки един момент от изпълнението на договора извлечение под формата на погасителен план за извършените и предстоящите плащания, вкл. периодите и условията за плащане на свързаните повтарящи се или еднократни разходи и лихвата, когато те трябва да се погасят, без погасяване на главницата. Сроковете и условията за плащане били описани подробно в погасителния план към договора. По силата на последния К.Т. нямал задължение да открива сметка, същия бил свободен да избере по свое усмотрение по какъв начин на погасява задълженията си по договора –чрез внасяне на дължимата сума в брой, във Ф.И. или на каса, при някое от лицата, които приемат плащания от името и за сметка на Ф.И., чрез платежно нареждане от банкова сметка на потребителя в друга банка или чрез плащане посредством e –Pay, Easy Pay или B –pay. В случаите когато клиент или негов пълномощник извършва плащане на вноска с пари в брой в офис на Ф.И., той заявявал изпълнението на еднократна платежна операция по смисъла на чл.53, ал.1 от Закона за платежните услуги и платежните инструменти, към което допълнително се прилагали и цитираните в предходно писмо правила, в това число задълженията за опознаване на клиенти и упълномощените от тях лица по реда на Закона за мерките срещу изпирането на пари.
По отношение на въведените технически и организационни мерки се посочва, че същите са описани в Раздел III от Общите условия за предоставяне на платежни услуги и т.17 от Правилата за откриване, водене и закриване на банкови сметки. Отбелязва се, че общите условия са приети с Решение на Управителния съвет на 23.10.2015г., като същите са влезли в сила на 27.10.2015г., като Раздел XI бил приет на 07.05.2015г. и в сила на 11.05.2015г. Процедурата за извършване на операции от пълномощник била уредена в т.3.3 – 3.6. Сочи се, че съобразно спецификите на различните процеси включващи обработване на лични данни се прилагат технически и организационни мерки за физическа, персонална и документална защита, както и за защита на автоматизирани системи и/или мрежи, като за нерегламентиран достъп при предаване, разпространяване или предаване се ползва и криптографска защита.
Към писмата са приложени: приемо – предавателен протокол от 26.06.2018г., правила за откриване, водене и закриване на банкови сметки, организационна структура, общи условия за предоставяне на платежни услуги, вътрешни правила за контрол и предотвратяване изпирането на пари и финансирането на тероризма, разпечатка от електронно досие, жалба с вх. №**** от 11.05.2018г.
С Решение на КЗЛД от проведено на 07.11.2018г. заседание, обективирано в протокол №42, подадената от С.Т. срещу Ф.И. жалба рег. №ППН-01-315 от 11.05.2018г. е обявена за редовна и допустима, тъй като съдържанието ѝ е съобразено с изискванията на чл.30, ал.1 от ПДКЗЛНА, съответно чл.29, ал.2 от АПК; жалбата е подадена от физическо лице с изложени твърдения за неправомерно обработване на лични данни отнасящи се до него –употреба на лични данни, вкл. чрез снемане на копие на документ за самоличност и пълномощно за регистрирането ѝ като клиент на Ф.И. без заявено искане за това; жалбата е подадена срещу Ф.И., което дружество има качеството на администратор на лични данни –чл.2, ал.1 от Закона за кредитните институции; до компетентен орган и в нормативно установения срок –нарушението е извършено на 04.05.2018г., от лице с правен интерес, не са налице отрицателните предпоставки посочени в чл.27, ал.2 от АПК. С посоченото решение като страни са конституирани: жалбоподател С.Т. и ответна страна – Ф.И. и е определена дата за разглеждане на жалбата по същество.
Проведено е едно открито заседание на 12.12.2018г., съобразно разпоредбата на чл.39, ал.1 от ПДКЗЛДНА, за което страните редовно уведомени не се явяват и не изпращат представител.
Комисия за защита на личните данни след като обсъди становищата на страните в контекста на събраните по преписката доказателства, намира че жалбата е основателна и като такава същата следва да бъде уважена по следните съображения:
Не е спорно между страните, а и от събраните в хода на проверката доказателства се установява, че Ф.И. като кредитна институция по смисъла на чл.2, ал.1 от Закона за кредитните институции има качеството на администратор на лични данни във връзка с осъществяваната от нея дейност, вкл. че обработва лични данни на жалбоподателката, именно в контекста на тази дейност –като лице посочено за контакт от нейния син К.Т. по повод сключен от него договор за кредит 03.07.2017г. с Ф.И. и във връзка със заявено от нея искане в качеството ѝ на упълномощено лице на сина ѝ, за предоставяне на справка съдържаща информация за оставащите вноски по договора за кредит, сключен от него и погасяване на забавени вноски в размер на 1655.58 лева.
Предмет на спора между страните е обработването на предоставените на 04.05.2018г. лични данни на С.Т., за цели различни от заявените (предоставяне на справка за оставащи вноски и погасяване на такива в качеството ѝ на упълномощено лице): регистрирането ѝ като клиент на Ф.И.
Не е спорно между страните, че към дата 04.05.2018г. С.Т. е посетила Ф.И. и е заявила искане за извършване на услуга в качеството си на упълномощено лице. Относно предприетите действия от страна на Ф.И. по повод заявеното искане от С.Т. следва да се посочи, че същите са противоречиви, вкл. като такива се явяват и изложените в хода на производството твърдения от страна на администратора. В този смисъл администратора посочва, че за внасянето на суми в брой/ на каса по кредита има изискване за регистрирането на клиента като случаен (външен), а за целите на идентифицирането му –снемане на копие от документа за самоличност, т.е. не е необходимо представяне на пълномощно, а за получаване на информация относно оставащите вноски по кредита –и идентифициране на пълномощника, чрез снемане на копие от пълномощното и документа за самоличност. От друга страна относно искането за внасяне на суми в брой/ на каса и това за получаване на информация (в отговора до С.Т.) се посочва като изискване предприемане на действия по идентифициране на пълномощника на основание въведени правила –ОУ и тези за откриване, водене и закриване на банкови сметки, в които били регламентирани изискванията за регистрация на лицето като случаен клиент, вкл. изискването за идентифицирането на клиента и пълномощника, като тези правила не били приложими към сключения договор за кредит, но се прилагали във връзка със заявената от С.Т. услуга. На следващо място се посочва, че тогава, когато клиент или негов пълномощник извършва плащане на вноска по кредит с пари в брой в офис на Ф.И., той заявява еднократна платежна операция по смисъла на чл.53 от ЗПУПС, за което допълнително се прилагали и правилата на ЗМИП.
От събраните доказателства и предоставена информация се установява, че е налице сключен договор за кредит между Ф.И. и сина на жалбоподателката, т.е. последния е клиент на Ф.И. Погасяването на вноски по кредита, страна по който е нейния син и получаването на информация относно оставащите вноски, по същество представляват задължение и право на кредитополучателя, произтичащо от сключения с Ф.И. договор. Изпълнението на задълженията и упражняването на правата по този договор независимо от това по какъв начин ще се квалифицират от Ф.И. –като операция, услуга и т.н., се упражняват в случая от лице, което има качеството на пълномощник. В този смисъл клиент на Ф.И. е кредитополучателя – сина на С.Т., с когото Ф.И. има сключен договор за кредит. Това следва от т.5, т.6, т.13, т.17 от представените правила за откриване, водене и закриване на банкови сметки (според Ф.И. няма открита сметка за усвояване и погасяване на кредита, но посочените правила са приложими към заявената от С.Т. услуга, като се цитира т.17 ); Раздел III от ОУ. Различен извод не се налага и от въведените със ЗМИП мерки, с изпълнението на които администратора мотивира основно действията по регистрация на жалбоподателката като клиент на Ф.И. и снемането на копия от документа ѝ за самоличност и пълномощното (вътрешните правила според администратора въвеждат изискванията на закона). Като задължено лице по чл.4, т.1 от закона, администраторът следва да прилага правилата по отношение на клиентите, включително техните пълномощници, законни представители и т.н. Съгласно § 1, т.9 от ДР на закона, ”клиент” е всяко ФЛ или ЮЛ или друго образование, което встъпва в делови взаимоотношения или извършва случайна операция или сделка с лице по чл.4. Според дадените дефиниции, ”деловото взаимоотношение” се определя като стопанско, търговско или професионално взаимоотношение, което е свързано с дейността по занятие на задължените институции или по ЗМИП и към момента на установяването на контакт се предполага, че то ще има за елемент продължителност (§1, 3 от ДР на ЗМИТ), а ”случайна операция или сделка” – като всяка такава свързана с дейността на лице по чл.4 от ЗМИП, която се извършва извън рамките на установени делови взаимоотношения (§ 1, т.19 от ДР на ЗМИТ). От горното следва, че закона изисква идентификация и на упълномощените лица безспорно, но не третира същите като клиенти по смисъла на закона –в този смисъл чл.59, ал.1 относно идентификацията на клиенти –ЮЛ и техните пълномощници, чл.65, чл.67 от ЗМИП, вкл. представените правила на администратора, приети в изпълнение на отм. ЗМИП –т.4.2, които изискват идентифициране на пълномощниците на клиента.
Предвид гореизложеното и събраните в производството доказателства се налага извод, че Ф.И. е нарушила залегналия в чл.2, ал.2, т.2 от ЗЗЛД (чл. 5, § 1, б.”б” от ОРЗД) принцип на ограничение на целите, като е обработил допълнително личните данни на С.Т. по начин несъвместим с целите, за които са събрани данните, като е регистрирал същата като клиент на Ф.И., тъй като няма заявено искане от С.Т. за регистрирането ѝ клиент, няма нормативно установено задължение за администратора за извършване на подобно действие и не се установява наличието на което и да било от останалите предвидени условия за допустимостта на това обработване, вкл. за целите законен/легитимен интерес на администратора, тъй като проверката по ЗМИП (в случай, че такава се изисква) ще бъде извършена и по отношение на С.Т., но последната като пълномощник на клиента –нейния син.
Във връзка с изложеното от С.Т. в жалбата по повод заявено от нея искане по чл.28а, т.1 от ЗЗЛД за заличаване на данните на 04.05.2018г. на място в офиса на Ф.И., КЗЛД следва да посочи, че реда и начина на упражняване на това право са регламентирани в глава пета от Закона за защита на личните данни. Съгласно чл.29 от ЗЗЛД искането/заявлението следва да съдържа определени реквизити: име, адрес и други данни за идентифициране на физическото лице, подпис, дата на подаване на заявлението и адрес за кореспонденция. Според чл.29 от ЗЗЛД това право се осъществява с писмено заявление до администратора на лични данни, лично от физическото лице или от упълномощено от него лице, като в случаите на отправяне на заявлението по електронен път е установено изискване за подписването му с усъвършенстван електронен подпис, усъвършенстван електронен подпис, основан на квалифицирано удостоверение за електронни подписи, или квалифициран електронен подпис, съгласно изискванията на Регламент (ЕС) №910/2014 на Европейския парламент и на Съвета от 23 юли 2014г. относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО (OB, L 257/73 от 28 август 2014г.) и на Закона за електронния документ и електронните удостоверителни услуги. В този смисъл и предвид наличните данни по преписката, не може да се приеме, че за администратора е по начало е възникнало задължение за произнасяне по същото, а от там насетне да се изследва въпроса относно спазването на установения 14 –дневния срок по чл.32, ал.4 от ЗЗЛД за произнасяне, тъй като към дата 04.05.2018г. изискванията за форма и съдържание на искането/заявлението не са спазени от страна на жалбоподателката. Въпреки това администратора се е произнесъл по искането (писмо от 14.06.2018г. и приемо –предавателен протокол от 26.06.2018г.).
Мотивирана от горното и на основание чл.38, ал.2 от ЗЗЛД във връзка с чл.39, ал.2 от ПДКЗЛДНА и по арг. на 142, ал.1 от АПК
РЕШИ:
1. Обявява подадената от С.Т. жалба рег. №ППН-01-315 от 11.05.2018г. срещу финансова институция за основателна.
2. Във връзка с т.1 и на основание чл.58, § 2, б.”б.” от ОРЗД отправя официално предупреждение до администратора финансова институция, ЕИК ***** за извършеното от него нарушение на чл.5, § 1, б.”б” от ОРЗД при операция по обработването на личните данни на С.Т., а именно извършено допълнително обработване на данните ѝ по начин несъвместим с целите, за които са събрани те.
Решението на Комисията за защита на личните данни може да се обжалва пред Административен съд София –град в 14 – дневен срок от получаването му.
ЧЛЕНОВЕ: | ||
Цветелин Софрониев /п/ | ||
Мария Матева /п/ | ||
Веселин Целков /п/ |