Решение по жалба с рег. № ППН-01-33/17.01.2022 г.

Комисията за защита на личните данни (КЗЛД) в състав: председател: Венцислав Караджов и членове: Цанко Цолов и Мария Матева на заседание, проведено на 23.11.2022г., на основание чл.10, ал.1 от Закона за защита на личните данни във връзка с чл.57, §1, буква„е” от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Регламента, ОРЗД), разгледа по същество жалба №ППН-01-33/17.01.2022г.

Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).

Комисията за защита на личните данни е сезирана с жалба ППН-01-33/17.01.2022г., подадена от Н.Д. срещу медия ЕАД (М. ЕАД) и М.Ц., в качеството ѝ на журналист в медията, с изложени твърдения за неправомерен достъп до специална категория лични данни свързани със здравословното му състояние и по-конкретно ваксинационния му статус и разпространението им чрез репортаж в телевизионното предаване „Тази събота и неделя”, излъчено в ефира на медията на 09.01.2022г. в 09:30 часа, повторен същата вечер в централната новинарска емисия на телевизията, в 19:00 часа, като първа водеща новина.

Жалбоподателят твърди, че в рамките на репортажа журналистът М.Ц. „огласява в ефир лични здравни данни” на четирима народни представители от политическа партия „В.”, включително негови, в това число: дата и конкретен вид препарат който е инжектиран на лицата. Категоричен е, че данните са разпространение без знанието и съгласието му, като липсва такова и по отношение на останалите трима народни представители.

Господин Н.Д. твърди, че г-жа М.Ц. е заявила в ефир, че е имала достъп до „този тип здравни лични данни на всички депутати от партия „В.”, като обявява и точен брой на лицата с извършени медицински манипулации.

Счита, че е налице неправомерен достъп и разпространение на личните му данни и моли КЗЛД за проверка по случая и установяване на първоначалния източник на информацията. Моли при преценка от страна на КЗЛД тази информация да бъде адресирана до Прокуратурата и до съответните регулаторни органи. Моли за издаване на разпореждане „незабавно да се спре” извършването на твърдяното нарушение, доколкото материалът многократно се повтаря в новинарските емисии на медията на 09.01.2022г. и на 10.01.2022г., а употребата му от страна на медията, в различни телевизионни предавания, излъчвани в рамките на нейната програма, продължава и към 13.01.2022г.

Към жалбата не са приложени доказателства, посочен е линк към първоначално излъчения в ефира на медията материал.

Направени са доказателствени искания: за допускане с оглед даване на обяснения на всеки един от четиримата народни представители, чиито лични данни са разпространени и изискване на обяснения от М.Ц. относно източника на информация. Последното отправено искане в жалбата е недопустимо съобразно разпоредбата на чл.25 з, ал.4 от ЗЗЛД съгласно която „Упражняването на правомощията на комисията по чл.58, параграф от Регламент (ЕС) 2016/679 не може да води до разкриване на тайната на източника на информация”.

В условията на служебното начало, за изясняване на действителните факти от значение за случая, на 18.01.2022г. е направена екранна разпечатка, относно съдържанието на посочен в жалбата адрес: https://btvnovinite.bg/predavania/tazi-sabota-i-nedelia/koi-sa-deputatite-koito-narichat-vaksinite-eksperimentalna-technost-a-vsashtnost-sa-imunizirani.html, текстови файл, а публикувания към линка видеофайл, с продължителност 14:53 минути е свален на CD носител. Действията са отразени в протокол ППН-01-33#3/18.01.2022г., с приложени към него екранна разпечатка и CD.

С оглед застъпените в административния процес принципи на равенство на страните и истинност, до пасивно легитимираните страни М. ЕАД и г-жа М.Ц., в качеството ѝ на журналист, са изпратени уведомителни писма за образуваното по случая административно производство, указана им е възможността да ангажират писмени становища по изложените в жалбата твърдения и да представят относими по случая доказателства.

В отговор са изразени писмени становища ППН-01-33#6/01.02.2022г. и ППН-01-33#7/01.02.2022г., изразени съответно от г-жа М.Ц. и от дружеството, с идентични аргументи за неоснователност на жалбата, доколкото жалбоподателят е публична личност– депутат, чиито личните данни са обработени за журналистически цели по въпроси от обществено значение касаещ пандемията от Covid-19, ваксинацията срещу Covid-19 и „зеления сертификат”, по които жалбоподателят има ясно изразена и афиширана позиция в насока против ваксинацията и принудителните мерки за ограничаване на пандемията от Covid-19. В подкрепа на изложените в становищата твърдения са приложени относими доказателства.

Комисията за защита на личните данни е независим държавен орган, който осъществява защита на лицата при обработването на личните им данни и при осъществяване на достъпа до тези данни, както и контрол по спазването на ЗЗЛД и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.

За да упражни правомощията си, Комисията следва да бъде валидно сезирана.

Жалбата съдържа задължително изискуеми реквизити– налице са данни за жалбоподателя– Н.Д., естеството на искането, дата и подпис, посочени са пасивно легитимираните страни, както и дата на узнаване на нарушението, с оглед което същата е редовна. В тази връзка следва да се отбележи, че въпреки изложените в жалбата данни за нарушения на още три лица, доколкото същите не сa индивидуализирани и жалбата не носи техния подпис, и липсват данни за упълномощаване от тяхна страна по отношение на г-н Н.Д., същите нямат качеството на жалбоподатели.

Предмет на жалбата са твърдения за неправомерен достъп и разпространение на специална категория данни, свързани със здравословното състояние и по-конкретно ваксинационния статус на жалбоподателя. Същите, в съвкупност с данни за трите имена на жалбоподателя и качеството му на народен представител, имат характера на лични данни по смисъла на ОРЗД, доколкото лицето може да бъде безспорно индивидуализирано

Жалбата е подадена от физическо лице с правен интерес. Несъмнено е, че се касае за обработка на лични данни според посоченото легално определение, както и, че пасивно легитимираната страна М. ЕАД е администратор на лични данни според дефинициите в чл.4 т.7 от Регламент (ЕС) 2016/679, тъй като определя целите на обработването– представяне на информация от обществен интерес в телевизионно предаване, и средствата на обработването– чрез излъчване на репортажи и предавания в ефира на медията. По аргумент от чл.58 от Регламент (ЕС) 2016/679, който определя правомощията на надзорния орган, Регламентът, респективно ЗЗЛД са приложими само по отношение на администраторите и на обработващите лични данни. Анализът на тази разпоредба, съобразно целта на ЗЗЛД води до извод, че за да може комисията да упражни правата си, следва нарушенията на правата на субекта да са извършени от администратора или обработващия лични данни и жалбата да е насочена срещу последните, които в това си качество са нарушили правата на физическото лице. В тази връзка следва да се отбележи, че журналистът и водещ на предаването М.Ц., като служител в медията и в качеството ѝ на водещ на предаването излъчено в ефира на медията, няма качеството на администратор или обработващ лични данни, тъй като обработва лични данни в изпълнение на служебните си задължения т.е. се явява лице по чл.29 от Регламента и действа под ръководството на администратора и на практика го „ангажира” с действията си по обработване, доколкото фактически извършва, като водещ на предаването, действията по обработване, за които се твърди, че са нарушили правата на жалбоподателя.

Комисията е сезирана на 13.01.2022г., само два дни след извършване на твърдяното нарушение, предвид което се налага извода, че жалбата е подадена в срока по чл.38, ал.1 от ЗЗЛД. Сезиран е компетентен орган– КЗЛД, която съгласно правомощията си по чл.10, ал.1 от ЗЗЛД във връзка с чл.57, §1, буква„е” от Регламент (ЕС) 2016/679, разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на субекти на данни свързани с обработване на личните данни, като не са налице изключенията по чл.2, §2, буква„в” и чл.55, §3 от регламента предвид обстоятелството, че случая не касае дейности по обработване извършвани от физическо лице в хода на чисто лични или домашни занимания и/или дейности извършвани от съдилищата при изпълнение на съдебните им функции.

По изложените съображения и при липса на отрицателните предпоставки по чл.27, ал.2 от АПК, на проведено на 19.01.2022г. заседание на комисията жалбата е приета за допустима и като страни в производство са конституирани: жалбоподател– Н.Д., ответнa страна М. ЕАД, в качеството му на администратор на лични данни и заинтересована страна М.Ц., в качеството ѝ на журналист в медията и водещ на процесното предаване. Насрочено е открито заседание за разглеждане на жалбата по същество на 16.03.2022г. от 13:00 часа, за което страните са редовно уведомени. С оглед изясняване на случая от фактическа страна от Министерство на здравеопазването и И.О. АД са изискани информация и лог файлове за достъпа до ваксинационния статус на жалбоподателя от дата на ваксинирането му срещу COVID-19 до 09.01.2022г., дата на репортажа, както и конкретна информация ваксиниран ли е срещу COVID-19 и кога жалбоподателят, с оглед преценка дали изнесената в ефира на медията информация отговаря на действителността.

Изисканата информация и доказателства не са предоставени до дата на насроченото открито заседание, поради което разглеждането на жалбата по същество е отложено за 04.05.2022г.

В хода на производството в КЗЛД с придружително писмо с вх. №ППН-01-33#19/21.03.2022г. от И.О. АД информират, че „Н.Д. е ваксиниран срещу COVID-19 на 19.08.0221г. В периода от дата на ваксиниране до 09.01.2022г. данните за ваксинационния статус на Н.Д. са били преглеждани на 06.01.2022г. и на 07.01.2022г. от д-р М.М.”

Заверено копие на депозирания от И.О. АД отговор е предоставен на страните в производството за запознаване, като от жалбоподателя изрично е изискана информация която да поясни дали познава д-р М.М. и уточнение дали е негов личен и/или лекуващ лекар.

В отговор и с писмо №ППН-01-33#23/01.04.2022г. жалбоподателят отговаря отрицателно на запитването от страна на КЗЛД– не познава д-р М.М., нито е негов личен и/или лекуващ лекар.

Предвид горното и на основания чл.9, ал.2 (принцип на служебното начало) и чл.7 (принцип на истинност) от АПК, с оглед служебно събраните по преписката доказателства и предмета на жалбата, в която се съдържат и твърдения за неправомерен достъп до здравния статус на жалбоподателя, с решение от проведено на 06-07.04.2022г. заседание комисията конституира служебно, като ответна страна в производството, д-р М.М., в качеството ѝ на администратор на лични данни.

Насрочено е открито заседание за разглеждане на жалбата по същество на 04.05.2022г. от 13.00 часа в административната сграда на КЗЛД в гр. София, бул. „Проф. Цветан Лазаров” №2, Заседателна зала, ет.4.

С оглед изясняване на случая от фактическа страна от И.О. АД е изискана информация относно идентификатора, чрез който д-р М.М. е достъпила данните за ваксинационния статус на жалбоподателя, уточнение какви данни се визуализират и са достъпни за потребителя на услугата при „преглеждане” на ваксинационния статус на лицето, както и какъв е канала за достъп ползван от д-р М.М. за осъществения на 06.01.2022г. и 07.01.2022г. прегледна данните за ваксинационния статус на г-н Н.Д.

В отговор и с писмо ППН-01-33#33/26.04.2022г. изисканата информацияе предоставена. Конкретно е посочено от И.О. АД, че данните които се визуализират и са достъпни за потребителя на услугата д-р М.М. при „преглеждане” на ваксинационния статус на г-н Н.Д. са: дата на регистриране на имунизацията, национален референтен номер на имунизацията, поредност на дозата, дата на следваща ваксина и наличие на сертификат. Направено е уточнение, че каналът за достъп до данните е immune.his.bg, входът в системата е осъществен чрез квалифициран електронен подпис, след проверка дали съответния лекар притежава активна регистрация в Българския лекарски съюз.

В хода на производството, по електронен път, без електронен подпис, е постъпило писмено становище ППН-01-33#34/29.04.2022г. по съществото на спора, в частта касаеща обработването на данните за журналистически цели и разкриване на източника на информация. Посочено е, че становището изхожда от Асоциация на европейските журналисти– България, без същото да носи подпис на конкретно лице. Асоциацията не е страна в производството, предвид което Комисията за защита на личните данни счита представеното становището за ирелевантно и не следва да бъде коментирано в мотивите на решението, като оставя неясно обстоятелството откъде асоциацията е информирана за случая, който коментира в детайли касателно ваксинационния статус и качеството на жалбоподателя като народен представител.

На 04.05.2022г. в КЗЛД е постъпила молба от жалбоподателя за отлагане на насроченото за същата дата открито заседание по жалбата, поради служебна ангажираност и невъзможност да присъства на заседанието.

Въз основа на депозираната молба и поради нередовно уведомяване на ответницата
д-р М.М. за производството, насроченото на 04.05.2022г. открито заседание, разглеждането на жалбата по същество е отложено за 22.06.2022г. от 13:00 часа, за което страните са редовно уведомени. Въпреки предоставената на д-р М.М. възможност за изразяване на становище по случая и изричните указания, че следва да представи информация и доказателства за основанието за осъществения на 06.01.2022г. и 07.01.2022г. от нея достъп до здравния/ваксинационния статус на жалбоподателя, касаещ Covid-19 и да приложи други относими по случая доказателства, такива не са ангажирани. До 21.06.2022г., ден преди насроченото открито заседание за разглеждане на жалбата по същество, липсва процесуална активност на ответницата, жалбата не е оспорена, не са ангажирани доказателства или дори твърдения относно предмета на спора с който е сезирана КЗЛД.

В хода на производството с писмо ППН-01-121/15.02.2022г. от СЕМ информират, че са сезирани с жалби подадени от Н.Д. и В.М. относно огласяване на лични данни на депутати в журналистическо разследване, разпространено в програмата на медията на доставчика на медийни услуги М. ЕАД. Сочат, че СЕМ е разгледал на свое заседание доклад за съответствие на излъченото с разпоредбите на Закона за радиото и телевизията и по-конкретно: с нормите, свързани с гарантиране правото на информация на гражданите със степента на защита на личния им живот на публичните фигури с влиянието в обществото. Информират, че СЕМ е приел, че не е налице нарушение на ЗРТ, доколкото журналистическият аудио-визуален материалима принос в развитието на публичния диалог за политиката в сферата на здравеопазването и отговорността на демократично избраните фигури пред техните избиратели.

На 22.06.2022г. е проведено открито заседание на комисията за разглеждане на жалбата по същество.

Жалбоподателят Н.Д.– редовно уведомен, не се явява и не се представлява в заседанието пред комисията.

Ответната страна М.Ц.– редовно уведомена, не се явява и не се представлява.

За М. ЕАД се явява юрисконсулт Б.Г. с пълномощно по преписката.

Ответната страна д-р М.М. се представлява от адв. А., с пълномощно представено в заседанието.

Процесуалните представители на М. ЕАД и на д-р М.М. оспорват жалбата. Не сочат нови доказателства. Процесуалният представител на медията поддържа изразеното в хода на производството писмено становище за неоснователност на жалбата.

Адвокат А. твърди, че доверителката ѝ д-р М.М. не е достъпвала личните данни на жалбоподателя, касаещи ваксинационния му статус, на 06.01.2022г. и на 07.01.2022г. Твърди, че до 31.05.2022г. д-р М.М. не е ползва лично електронния си подпис и уточнява, че електронните подписи на всички лекари в ДКЦ, в това число и електронният подпис на доверителката ѝ, се ползват от служителя на центъра, С.П. Допълва, че „преди пет години тези електронни подписи на лекарите от ДКЦ се съхраняват в служителката С.П., която завежда „Човешки ресурси”. Тя ги съхранява и тя изпраща информацията на всички лекари от ДКЦ-то до 4-то число в НЗОК– кой е обслужен, какви разходи, какво е необходимо НЗОК да им преведе. За да ѝ е лесно, тя на всичките електронни подписи е сложила един ПИН-код– на всички доктори, на всички електронни карти.

След като изпрати тези данни в НЗОК, тъй като д-р М.М. е единствената, която е лекар в ДКЦ, и лекар в болницата, в която завежда вътрешно отделение, тя самата е специалист кардиолог, и тъй като при ваксинацията, която е организирана от това вътрешно отделение, всичките сертификати, които се издават на ваксинираните лица, се издават с електронния подпис на М.М.

Затова след като С.П. приключи с отчетите, тя предава електронния подпис на старшата сестра в болница МБАЛ К.Р., която си слага електронния подпис на компютъра, въобще не го вади и той си стои включен денем-нощем, за да ѝ е лесно, за да не губи време…”.

За доказване на последното моли да бъдат допуснати до разпит двама свидетели – С.П. и К.Р. Моли комисията да допуснете техническа експертиза от ІТ специалист, за да се установи „от кой ІР адрес, от кой компютър е изтеглена цялата тази информация”.

Адвокат А. информира, че по случая е образувана и пр. пр. №***/2022г. по описа на Окръжна прокуратура– Пазарджик.

Предвид изложените от процесуалният представител на д-р М.М. твърдения, с решение от проведено на 22.06.2022г. открито заседание на комисията, като ответна страна в производството е конституиран и ДКЦ. Насрочено е ново открито заседание за разглеждане на жалбата по същество за 14.09.2022г. от 13:00 часа, за което страните са редовно уведомени.

ДКЦ е информирано за образуваното производство, предоставена е възможност за изразяване на становище по случая и ангажиране на относими доказателства.

По искане на процесуалният представител на ответницата М.М. са допуснати до разпит, при режим на довеждане в откритото заседание насрочено за 14.09.2022г., двама свидетели – С.П. и К.Р. Изискана е информация за образувана по случая пр. пр. №***/2022г. по описа на Окръжна прокуратура– Пазарджик, а именно за предмета на преписката, движението и резултатите по нея, а в хипотезата на събраните по преписката доказателства относно достъпването на лични данни на жалбоподателя на 06-07.01.2022г. и ползването на съответния електронен подпис, респективно постъпили по преписката сведения в тази насока от д-р М.М. (ответник в производството пред КЗЛД) или други лица, в това число С.П. и К.Р. (призовани като свидетели в производството пред КЗЛД), копие от същите. Към 12.09.2022г. изисканата информация не е предоставена.

За изясняване на случая от фактическа страна са изискани доказателства и информация от трето неучастващо в производството лице– „Борика” АД– издател на електронния подпис на д-р М.М. и по-конкретно: На колко и какви носители и кога е издаден съответния електронен подпис?, Кой и кога е получил електронния подпис и съответните носители?, Активни ли са към дати 06 и 07.01.2022г. носителите? От кой IP адрес обичайно се ползва електронния подпис и конкретно от кой IP адрес е ползван за 01.06.2022г., в 08:48 часа и на 01.07.2022г. в 07.27 часа?

В отговор от „Борика” АД информират, че дружеството е издало на М.М. КУКЕП както следва:

1. сериен №*** с автор и титуляр М.М., с идентификатор на автора и титуляра ****, валиден от 01.10.2016г. до 03.10.2017г. и от 02.10.2017г. до 02.10.2018г.;

2. сериен №*** с автор и титуляр М.М., с идентификатор на автора и титуляра****, валиден както следва от 25.09.2018г. до 25.09.2019г., от 25.09.2019г. до 24.09.2020г., от 23.09.2020г. до 23.09.2021г. и от 24.09.2021г. до 24.09.2022г.

От дружеството уточняват, че удостоверението за КЕП е издадено на B-trust смарт карта и е получено от пълномощник на титуляра. Допълват, че подновяването на действието на удостоверението на 24.09.2021г. е извършено онлайн– без физическо присъствие на титуляра на КЕП в офис на доставчика на удостоверителни услуги. Сочат, че дружеството не получава информация относно IP адресите, от които се ползват удостоверенията за КЕП. В подкрепа на твърденията си прилагат заверено копие на договор за удостоверителни услуги №**** от 03.10.2016г., с приложени към него копие на лична карта, приемо-предавателен протокол и искане №****/03.10.2016г. за издаване на електронен подпис.

В хода на производството е изразено становище ППН-01-33#57/12.09.2022г., изхождащо от ДКЦ за неоснователност на жалбата с аргументи, че дружеството е предприело необходимите мерки за ограничаване и предотвратяване на злоупотреби с лични данни и документи.

Уточняват, че достъп до електронния подпис на д-р М.М. са имали трима служители на дружеството– С.П.– служител от отдел „Човешки ресурси”, К.Р.– главна сестра в лечебното заведение и д-р М.М. Допълват, че поради изискване на НЗОК и с цел улесняване на работата на лекарите в лечебното заведение, г-жа С.П., със знанието и позволението на лекарите, е подавала ежемесечни отчети, между 1-5 число всеки месец, към НЗОК за извършената от тях дейност.

Сочат, че в периода на пандемична обстановка, лечебното заведение е инструктирано от РЗОК да разкрие ваксинационен кабинет и да регистрира електронен подпис, с който да бъдат подавани данни за ваксинациите извършени на територията на лечебното заведение, като за целта е регистриран подписа на д-р М.М. Информират, че в процеса на работа, дружеството е определило главната сестра К.Р. да отчита извършените ваксинации в платформата на МЗ, използвайки подписа на д-р М.М.

Твърдят, че на 05.01.2022г., след подаване на отчета в ПОС на НЗОК, г-жа С.П. е предала подписа на главната сестра К.Р. и след тази дата подписа е бил при К.Р., за да може да продължи да актуализира информацията за ваксинациите и издаваните зелени сертификати. Твърдят, че „електронния подпис на д-р М.М. и линка за ваксинационната платформа са инсталирани само и единствено на компютъра на главната сестра К.Р.”, като „Компютъра, на който работи К.Р. се намира в нейния кабинет, до който само тя има достъп.”

Уточняват, че жалбоподателят не е бил пациент на лечебното заведение, не е извършвал медицински прегледи или манипулации в лечебното заведение и последното не обработва негови лични данни. Уточняват, че „с цел сигурност всички работни станции в лечебното заведение са със статични IP адреси, но когато дадена работна станция достъпва страница в интернет трафика минава през рутера на дружеството и излиза от външния IP адрес ****”, поради което „дори да е записан в И.О. АД IP адреса, от където е достъпена информацията ще се покаже само външното, а не и вътрешното IP на самия компютър”.

Информират, че след направен „анализ на компютъра на К.Р.” не са открили информация за събития, история или файлове за съответните дати 06-07.01.2022г., поради изминалия по-дълъг период от време– повече от 7 месеца. Относно твърденията на процесуалния представител на д-р М.М. за хакерска атака сочат, че след направена проверка и анализ на цялата информационна мрежа и инфраструктура на дружеството, не са открили следи в логовете за такава или инсталиран зловреден софтуер. Считат, че г-жа К.Р. е злоупотребила със служебното си положение, действала е неправомерно и умишлено, като по никакъв начин не се е съобразила с въведените от дружеството правила и политики относно защита на личните данни и приложението на ОРЗД, като за тези ѝ действия дружеството не носи отговорност. Предвид констатираното нарушение сочат, че лечебното заведение е „предприело действия по коригиране на начина на работа в дружеството и въвеждане на допълнителни правила и нормис цел конфиденциалност на получените лични данни в процеса на работа, включително неразпространението им”, изготвена е програма за обучение и инструктаж на всички служители на дружеството относно приложението на ОРЗД и нововъведените от лечебното заведение правила, част от промените касаят ползването на електронни подписи, а именно: „Всички персонални електронни подписи да се съхраняват само и единствено от техните собственици, като отговорността за съхранението е изцяло тяхна. Подаването на ежемесечни отчети за извършена дейност с електронен подпис се извършва по следния начин: лицето собственик на подписа лично го предоставя на служител на администрацията, като лично въвежда паролата за сигурност (пин код) и в негово присъствие се подава отчета към НЗОК от служител на администрацията. След подаване на отчета собственикът на подписа си го взима. По този начин електронния подпис е под постоянен контрол и наблюдение на собственика. Подпомагането с подаването на отчет от служител на администрацията в присъствието на собственика на електронния подпис е по избор и с цел улесняване на работата на лекарите. По преценка на лекаря, той може да подава ежемесечния отчет самостоятелно.”

Като заключение информират, че трудовите правоотношения между лечебното заведение и г-жа К.Р. са прекратени считано от 31.08.2022г. Намират жалбата за неоснователна по отношение на лечебното заведение, а твърденията на процесуалния представител на д-р М.М. в обратна насока за недоказани.

На 14.09.2022г. е проведено поредно открито заседание за разглеждане на жалбата по същество, за което страните са редовно уведомени.

Жалбоподателят Н.Д.– редовно уведомен, не се явява и не се представлява в заседанието пред комисията.

Ответната страна М. ЕАД се представлява от юрисконсулт Б.Г.с пълномощно по преписката.

Ответната страна д-р М.М. се представлява от адв. А. с пълномощно по преписката.

ДКЦ се представлява от адв. Й.Н. с пълномощно представено в заседанието.

Уточнено в заседанието е коректното наименование на конституираното и редовно уведомено за заседанието юридическо лице – ДКЦ.

Процесуалните представители на ответниците оспорват жалбата. Не сочат нови доказателства. Адв. А. не поддържа искането за допускане до разпит на С.П., в качеството ѝ на свидетел.

По искане на процесуалните представители на М. ЕАД и д-р М.М. разглеждането на жалбата по същество е отложено за следващо заседание на КЗЛД на 23.11.2022г., за запознаване на адв. А. и юрисконсулт Б.Г. с новосъбраните от КЗЛД доказателства.

За изясняване на случая от фактическа страна от И.О. АД е изискана и в отговор с писмо ППН-01-33#69/06.10.2022г. е предоставена информация, че IP адресът от който е достъпен ваксинационния статус на жалбоподателя на 06.01.2022г. и 07.01.2022г. е ****.

В хода на производството от Окръжна прокуратура– Пазарджик постъпва отговор, че образуваното по случая досъдебно производство ***/2022г. по опис на ОД на МВР-Пазарджик „е в своя начален етап”, поради което е невъзможно да се предостави информация относно конкретно установени факти по него.

С придружително писмо ППН-01-33#68/29.09.2022г. от ДКЦ са представени допълнително становище и относими доказателства, а именно заверено копие на Заповед №2 от 04.01.2021г. и платежно нареждане от 20.09.2021г. В становището от дружеството сочат, че „за подпомагане на служителите си лечебното заведение работи в насока облекчение на част от ангажиментитена лекарите”, като една от основаните помощи, които дружеството е предприело е съдействие при заявяване за издаване и подновяване на електронни подписи на лекари от доболничната помощ и „не на последното място с подаване на ежемесечни отчети на лекарите от доболничната помощ в ПИС към НЗОК”. Уточняват, че подаването на отчети е регулирано с вътрешна заповед, „като служител от администрацията на дружеството съдейства технически на лекарите при подаване на отчетите”, но единствено при желание от страна на лекаря, който доброволно предоставя електронния си подпис на служителя.” Допълват, че лечебното заведение се стреми да оказва всякаква техническа помощ на служителите от медицинския персона, а всяко едно действие предприето от дружеството е с цел улесняване на работния процес, като предлаганите услуги са безвъзмездни и нямат задължителен характер, „което дава пълна свобода на служителите да избират дали да се възползват или не.”

На проведено на 23.11.2022г. открито заседание на КЗЛД, жалбата е разгледана по същество.

Жалбоподателят Н.Д.– редовно уведомен, не се явява, не се представлява.

М.Ц.– редовно уведомена, не се явява, не се представлява.

Ответникът М. ЕАД– редовно уведомено, се представлява от юрисконсулт Б.Г.

Ответникът М.М.– редовно уведомена, се представлява от адв. А.

Ответникът ДКЦ – редовно уведомено, се представлява от адв.Й.Н.

Процесуалните представители на ответниците поотделно оспорват жалбата. Не сочат нови доказателства, искания по доказателствата нямат. Адв. А. не поддържа искането за разпит на свидетел с уточнение, че и г-жа К.Р. е отказала да свидетелства.

Процесуалните представители на ответниците поддържат изразените в хода на производството писмени становища за неоснователност на жалбата и молят комисията да я остави без уважение по отношение на доверителите им.

Юрисконсулт Б.Г. допълва, че журналистът на телевизията М.Ц. е изнесла данни, които касаят жалбоподателя Н.Д., но тези данни са изцяло в контекста на възможно най-актуалната обществена тема по това време, а именно Ковид-епидемията, ваксинацията и обвързаността на политическа партия „В.” и политически слоган заклеймяването на ваксините като експериментална течност с призив към своите избиратели те да не бъдат ваксинирани. Сочи, че личният пример на всеки член на политическа партия, в т.ч. и на жалбоподателя е определящ здравето на избирателите и на обществото въобще. В този смисъл счита, че безспорно е задължение както на медията, така инажурналиста информацията, свързана с официалната позиция на политическа партия „В.”да бъде сведена до знанието на зрителите и до обществото, защото съпоставката между официална позиция и действително поведение е много важно да бъде направена и да бъдат информирани хората каква е всъщност истинската позиция на всеки от членовете на тази политическа партия.

Адв. А. акцентира отново на твърденията, че електронният подпис не е бил във владение над-р М.М., поради което счита че жалбата е неоснователна по отношение на доверителката ѝ, тъй като твърдяното нарушение не може да бъде извършено от нея.

В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл.7 от АПК, изискващ наличието на установени действителни факти и предвид събраните доказателства и наведените твърдения, комисията приема, че разгледана по същество жалба №ППН-01-33/17.01.2022г. е частично основателна – неоснователна по отношение на М. ЕАД и основателна по отношение на д-р М.М. и ДКЦ.

Предмет на жалбата са твърдения за неправомерен достъп и разпространение на специална категория данни, свързани със здравословното състояние и по-конкретно ваксинационния статус на жалбоподателя, индивидуализиран с имена и заемана длъжност на народен представител.

Администратори на лични данни в конкретния случай са: д-р М.М., по отношение на достъпа до здравословното състояние и по-конкретно ваксинационния статус на жалбоподателя и М. ЕАД по отношение на разпространение на специална категория данни, свързани със здравословното състояние и по-конкретно ваксинационния статус на жалбоподателя. Комисията не търси причинно следствена връзка между двете хипотези на обработване, тъй като източниците на информация подлежат на закрила, поради което д-р М.М. и М. ЕАД следва да се разглеждат като самостоятелни администратори на лични данни, доколкото липсват данни същите съвместно да определят целите и средствата на обработването.

Предприетите от КЗЛД процесуални действия, включително служебно събиране на доказателства, касаят изясняване на случая от фактическа страна, задължения на административния орган произтичащо от АПК, касателно предмета на спора – неправомерен достъп и разпространение на лични данни касаещи ваксинационния статус на жалбоподателя. От г-жа М.Ц. не е изисквано разкриване на нейните журналистически източници на информация във връзка с излъчения репортаж, подобна информация не е изисквана и от останалите участници в административното производство.

По отношение на М. ЕАД:

От събраните по преписката доказателства се установи, а и между страните в производството не е спорно, че на 09.01.2022г. в предаването „Тази неделя”, излъчвано в ефира на телевизия М., е представен журналистически материал– репортаж с последващ коментар на гост в студиото, който се отнася по темата за пандемията Covid-19 и въпросите за отношението към: 1) ваксинацията и ваксинираните за Covid-19; 2) предприетите от държавата противоепидемични мерки във връзка с пандемията Covid-19; 3) предстоящо въвеждане на ограничителни мерки за допускане в сградата на Народното събрание, след представяне на т.нар. „Зелен сертификат”и 4) предстоящ на 12.01.2022г. протест срещу „Зеления сертификат”, организиран от парламентарно представената политическа партия „В.”.

Видно от съдържанието на репортажа е, че репортерът и автор на предаването М.Ц. съобщава, че жалбоподателят Н.Д. е ваксиниран срещу Covid-19 на 19 август 2021г. с ваксина на „Янсен”. Изявлението е направено в кулоарите на НС в интервю със самия депутат Н.Д. Интервюто е от дата 07.01.2022г.и е излъчено два дни по-късно в предаването „Тази неделя” на 09.01.2022г. и разпространено в ефира на медията БТВ.

В интервюто се съдържат данни свързани със здравословното състояние и по-конкретно ваксинационния статус на жалбоподателя, по конкретно, че лицето е ваксинирано срещу Covid-19 на 19 август 2021г., с ваксина на „Янсен”. Данни за ваксинационния статус на жалбоподателя, в съвкупност със съдържащи се в материала данни за имена на жалбоподателя, изображение и заемана длъжност – народен представител, безспорно имат характера на лични данни по смисъла на ОРЗД, доколкото лицето може да бъде безспорно индивидуализирано. Същите следва да се квалифицират като специална категория данни по смисъла на чл.9 от ОРЗД, доколкото са свързани със здравословното състояние на лицето– „лични даннисвързани с физическото или психическото състояние на лицето, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние” (чл. 4, т.15 от ОРЗД).

Съгласно съображение 35 от ОРЗД личните данни за здравословното състояние на субекта на данни следва да обхващат всяка информация свързана с негово физическо или психическо здравословно състояние в миналото, настоящето или бъдещето. Нещо повече, на национално равнище Законът за здравето (ЗЗдр) дефинира понятието „здравна информация” като лични данни, свързани със здравословното състояние, физическо или психическо развитие на лицата, както и всяка друга информация, съдържаща се в медицински рецепти, предписания, протоколи, удостоверения или друга медицинска документация. В този смисъл, както комисията вече е имала възможност да се произнесе със становище ПНМД-01-12/2022г., наборът от всички данни, които се съдържат в сертификата издаван във връзка с ваксинация срещу Covid-19, в това число самата ваксинация и дата на ваксинация, както и самия ваксиниран продукт, и могат да се разкрият пряко или косвено чрез него, попадат в обхвата на понятието „данни за здравословното състояние” по смисъла на ОРЗД и в частност „здравна информация” по смисъла на ЗЗдр.

С оглед съдържанието, характера и периодичността на предаването, а и предвид неговото разпространяване и достъп, е безспорно, че информацията е разпространена за журналистически цели във връзка с журналистическо разследване, разпространено в програмата на доставчика на медийни услуги М. ЕАД. Касае се за действие по обработването на лични данни по смисъла на чл.4, §2 от Регламент №2016/679, доколкото посредством процесния репортаж и предаване, личните данни на жалбоподателя са достъпни и разпространени до неограничен кръг лица зрители на медията.

По аргумент от чл.25з, ал.1 от ЗЗЛД, обработването на лични данни за журналистически цели е законосъобразно, когато се извършва за осъществяване на свободата на изразяване и правото на информация, при зачитане на неприкосновеността на личния живот. В тази връзка разпоредбата на чл.9 от ОРЗД относно обработването на специални категории лични данни, в това число свързани със здравния статус, са неприложими по аргумент от чл.25 з, ал.3 от ЗЗЛД съгласно който при обработване на лични данни за журналистически цели не се прилагат чл.6, 9, 10, 30, 34 и глава пета от ОРЗД.

Съгласно съображение 4 от Регламент (ЕС) 2016/679, правото на защита на личните данни трябва да бъде разглеждано във връзка с функциите му в обществото и в равновесие с останалите основни права, каквото е и свободата на изразяване на мнение и свободата на информация, съгласно принципа на пропорционалност, доколкото правото на защита на личните данни не е абсолютно право, както и правото на свобода на изразяване на мнение и свобода на информация (чл. 11 от Харта за основните права в ЕС).

Понятието „журналистически цели” не е дефинирано от законодателя, но е подробно разглеждано и тълкувано в съдебната практика. Същественото за журналистическата дейност е събирането, анализирането, интерпретирането и разпространяването чрез средствата за масова информация на актуална и обществено значима информация. Всяка журналистическа дейност е проява на свободата на словото в правовата държава, a oграничаване свободата на изразяване и информaция е допустимо само в рамките на необходимото в едно демократично общество съгласно чл.10, §2 от Европейската конвенция за защита правата на човека и основните свободи.

Като се изходи от понятието за журналистиката, като практика на събиране, анализиране и интерпретация на информация за актуални събития, теми, явления, личности и тенденции на съвременния живот, представена в различни жанрове и форми и разпространена за масова аудитория, се налага изводът, че се касае за обработване на лични данни за журналистически цели. По своята същност журналистическата дейност изисква разпространяване на информация по въпроси от обществен интерес. Публичното разпространяване на информация за тези цели е журналистическа дейност, тъй като самият факт на разпространение е изява на мнение, становище, възглед, преценка на публичната информация и значението ѝ за интересите на обществото. За да се обработва информация за целите на журналистическата дейност, информацията трябва да касае въпроси относно ценности, които с оглед на засегнатите отношения са действително обществено важни. При преценката на баланса между двете конкуриращи сеправа е относим именно принципа на „свеждане на данните до минимум” – обработваните лични данни следва да са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват, с конкретния случая за задоволяване на обществен интерес. Журналистическите цели по дефиниция включват осъществяването на правото на информация и свободата на изразяване. Ограничаване свободата на изразяване и информация е допустимо само в рамките на необходимото в едно демократично общество съгласно чл.10, §2 ЕКЗПЧОС. По своята същност журналистическата дейност изисква разпространяване на информация по въпроси от обществен интерес. Публикуването на репортаж в предаване на медията представлява публично оповестяване. Публичното разпространяване на информация за тези цели е журналистическа дейност, тъй като самият факт на разпространение е изява на мнение, становище, възглед, преценка на публичната информация и значението ѝ за интересите на обществото. За да се обработва информация за целите на журналистическата дейност, информацията трябва да касае въпроси относно ценности, които с оглед на засегнатите отношения са действително обществено важни, както е в настоящия случай.

В конкретния случай е безспорно, че субектът на данни е публична личност– депутат, и като такава се ползва с по-ниска степен на защита на личните му данни, но само и доколкото същите са относими и свързани с упражняваните от него функции на народен представител и позициите които изразява като такъв и в това си качество към избирателите. Безспорно е, че личните данни за здравословното състояние на жалбоподателя що се отнася до ваксинацията срещу Covid-19 са разпространени от медията без знанието и съгласието на лицето. Липсват доказателства същите да са публично оповестени от жалбоподателя или здравните органи, но същото е неотносимо доколкото в конкретния случай разпоредбите на чл.9 от ОРЗД са неприложими.

Публичните личности имат по-нисък праг на защита на личния им живот, но намесата в него е допустима само при баланс между правото на защита на неприкосновеността на лични живот и правото на свободата на изразяване и правото на информация. В конкретния случай обаче, баланс е постигнат. Разкрита е чувствителна здравна информация по смисъла на Закона за здравето, а именно лични данни, свързани със здравословното състояние, физическото и психическото развитие на физическото лице, както и свързаната с лицето информация, съдържаща се в медицинските прегледи, предписания, удостоверения и в друга медицинска документация. Информацията е разкрита и разпространена от медия, която е извън определения от Закона за здравето кръг на лицата, които имат право да обработват лични данните данни на гражданите, свързани със здравословното им състояние – лечебните и здравните заведения, държавните органи, компетентни в сферата на здравеопазването и здравното осигуряване и съответните медицински специалисти.

Събраните по преписката доказателства и изяснената фактическа обстановка извода до извода, че е налице преимуществен обществен интерес от оповестяване на информацията, предвид правото на информираност на обществото и заявената и афиширана от жалбоподателя категорична позиция против ваксинацията срещу Covid-19 и зелените сертификати, която не кореспондира с действията на народния представител, който е ваксиниран към дата преди изказванията си като народен представител, въпреки, че призовава и агитира лицата в противното, твърдейки, че ваксините „са експериментална течност”, която никога не би ползвал.

Информацията касае обществена фигура и е необходима за изпълнение на задача в обществен интерес, доколкото същия не би бил задоволен без оповестяване на тези данни. Журналистическият материал е подготвен и излъчен в ситуация на пандемия,в която приносът на медиите е представяне на трибуна за активно говорене и разискване на темата, активно търсене и изясняване на различни, включително противоречиви мнения и позиции, представяне на аргументи на отделни групи в обществото, като акцентът е върху истината, разкриване и излагане на реална фактическа обстановка, като израз на правото на обществото да получава вярна, пълна и разбираема информация, която да му помогне да направи информирана и разумна преценка на база на конкретни факти и обстоятелства, а не на невярно поднесена информация.

Репортажът разкрива публично изразеното мнение и твърдение на жалбоподателя, не в лично качество, а като народен представител с влияние и авторитет пред избирателите, относно същността на пандемията и противопоставяне, в качеството му на публична личност спрямо предприетите от държавата мерки за справяне с пандемията, но същевременно реализирайки личностно поведение, което е в разрез с изразеното публично противопоставяне. В тази връзка могат да се споделят съображенията на ответника М. ЕАД, че изнасянето на показ на противоречие между поведение и публично изразено мнение е предмет на упражняване на граждански контрол със средствата на масово осведомяване с цел информираност на обществото и дебат по безспорно обществено значима тема. И макар ОРЗД да е предназначен за защита на личните данни на физическите лица, то същия не може и не следва да се ползва за инструмент за манипулиране на обществото и прикриване на поведение, каквото безспорно е изказването на неистини от публична личност по въпроси свързани с общественото здраве.

В конкретния случай при баланс между две конкуриращи се права в обстановка на пандемия данните за здравния статус на лицето са оповестени от медията в съответствие с чл.25 з от ЗЗЛД, доколкото са относими и свързани с гарантиране правото на информация на гражданите със степента на защита на личния живот на публичните фигури и влиянието им в обществото. Подобно на схващането на СЕМ може да се заключи, че журналистическият аудио-визуален материалима принос в развитието на публичния диалог за политиката в сферата на здравеопазването и отговорността на демократично избраните фигури пред техните избиратели, като в контекста на чл.25 з от ОРЗД се извършва в изпълнение на правото на информация на обществото до обществено значима информация.

В тази насока е и трайната съдена практика и практиката на ЕСЧП. Мнението на определена категория лица– публични личности, какъвто е жалбоподателя, изразено публично допринасят за формирането на определение нагласи на обществото като цяло, както и влияе на избора на по-голяма част от гражданите, в това число и по отношение на правото на вземане на информирано решение за ваксинацията. Именно поради това специфично обществено положение и влияние на тези лица, те следва да са обект на по-интензивна обществена критика с цел осигуряване правото на обществеността да търси и получава точна и вярна информация по важни за обществото въпроси, какъвто в условията на пандемия безспорно е въпросът за ваксинация срещу Covid-19. Обществеността има право да бъде информирана за действията и постъпките на тези лица, за да може всеки гражданин да формира мнение спрямо лицето и изразяваните от него позиции в контекста на реалните и фактически действия които им противоречат.

В решение на ЕСЧП по делото Катя Касабова и Божидар Божков срещу България относно санкционно решение спрямо журналистите касаещо репортажи за трайно установена корупционна практика по прием в елитни гимназии в гр. Бургас, съдът на ЕСЧП подчертава, че твърде строгото отношение към професионалното поведение на журналистите може да доведе до обезмисляне на задълженията им да информират обществото и заключава, че намесата на българския съд в тяхното право на изразяване не е била „необходима в едно демократично общество”.

Сходно е и решението на ЕСПЧ по делото „Йорданов и Тошев (журналисти) срещу България”. Поддържайки изразеното по-горе становище по делото Касабова и Божков срещу България, съдът допълва, че при търсене на точния баланс между защитата на свободата на изразяване на мнение, уредена в чл.10, и защитата на репутацията на лицата, срещу които са отправени обвиненията, която е един от аспектите на правото на неприкосновеност на личния живот, защитено от чл.8 от Конвенцията, от особено значение е жизненоважната роля на „обществен страж”, която пресата изпълнява в едно демократично общество. Въпреки че тя не трябва да прекрачва определени граници, по-специално по отношение на репутацията и правата на другите, нейно задължение е – по начин, съобразен със задълженията и отговорностите ѝ – да предава информация и идеи по политически и по други въпроси от обществен. Съдът подчертава, че „наложените от националните власти санкции са в състояние да възпрат участието на пресата в дебати по въпроси от законен обществен интерес” и разкриване на истината. Нещо повече, Съдът свързва свободата на разпространяване на информация с правото на всеки и на обществото като цяло да бъде информирано и подчертава дълга на медиите да предоставят информация по въпроси от публичен интерес. (в този смисъл виж и Решение на КС на РБ №№8/2019 на КС по к.д. №4/2019г.).

Вън от всякакво разумно съмнение в случая е наличието на засилен обществен интерес към информацията, съдържаща се в репортажа. Регламент 2016/679 дава засилена защита на физическите лица във връзка с обработването на личните данни, но и поддържа равновесие с другите основни права, в частност със свободата на изразяване и информация, така както тези права са предвидени в КЗПЧОС и ХОПЕС. По изложените съображения предвид конкретната фактическа обстановка и качеството което лицето има като публична личност комисията намира, че разпространяването на информация за здравния статус на лицето, касателно ваксинацията срещу Covid-19, е в обществен интерес и правото на общество да бъдат информирано.

Публикуването в конкретния случай натакаваинформация представлява неразделначаст отзадачатана медиитев демократичнотообщество, доколкото изнесената информация е вярна и провокирана, видно от репортажа, от невярната информация която лицето представя. Действията на жалбоподателя и отправените от него призиви против ваксинация и заявеното в конкретния репортаж, и не самотам твърдения, че никога не би си поставил тази „течност”, не съответства на фактическите действията на жалбоподателя и същите могат да въведат в заблуда обществото, предвид качеството му на публична личности въздействието което има върху част от гражданите на Република България.

В тази връзка комисията счита, че обработването е законосъобразно и в съответствие с чл.25 з, ал.1 от ЗЗЛД и не е налице соченото от жалбоподателя нарушение, предвид обстоятелството, че съгласието на лицето не е елемент от законосъобразността на обработването на лични данни за журналистически цели, а обработването се извършва за осъществяване на свободата на изразяване и правото на информация в едно демократично общество.

Изложените по-горе основания за законосъобразност на обработването на лични данни от медията са неотносими спрямо обработването на лични данни от страна на д-р М.М. Дерогациите предвидени за обработване на лични данни за журналистически цели са неприложими по отношение на д-р М.М., в качеството ѝ на администратор на лични данни.

От събраните по преписката доказателства безспорно се установи, че на 06.01.2022г. и 07.01.2022г. посредством личен електронен подпис на д-р М.М., са достъпени данни за ваксинационния статус на г-н Н.Д., а именно дата на регистриране на имунизацията, национален референтен номер на имунизацията, поредност на дозата, дата на следваща ваксина и наличие на сертификат. Каналът за достъп до данните е immunо.his.bg, входът в системата е осъществен чрез квалифициран електронен подпис, след проверка дали съответния лекар притежава активна регистрация в Българския лекарски съюз. Безспорно установено е, че достъпът е осъществен от IP адрес *******– външен IP адрес на лечебното заведение ДКЦ, в което д-р М.М. работи към дата на достъпа.

Достъпените данни безспорно са специална категория свързана със здравословното състояние на лицето, по съображения изложени по-горе. По отношение на последните ОРЗД въвежда забрана за тяхното обработване (чл. 9, ал.1 от ОРЗД), като допуска изрично и лимитативно посочени изключения (чл. 9, ал.2 от ОРЗД). В конкретния случай по преписката липсват доказателства за наличието на което и да било от въведените от законодателя изключения визирани в чл.9, ал.2, буква„а”– „й” по отношение на д-р М.М. Данните са достъпени без знанието и съгласието на лицето, като ответника не е личен и/или лекуващ лекар на г-н Н.Д., не е пациент на лечебното заведение, не е извършвал медицински прегледи или манипулации в лечебното заведение.

В хода на производството процесуалният представител на д-р М.М. навежда твърдения за създаден ред, който задължава лекарката да предостави физически този електронен подпис, включително навежда твърдения, че електронният подпис е издаден за служебни цели. Но в процеса на производството не се установиха твърдените от процесуалния представител факти, напротив, от събраните от „Борика” АД доказателства и вътрешните правила и процедури, вкл. заповед на управителя, се установява първо, че подписът е издаден на д-р М.М. в лично качество, независимо че е получен от пълномощник с упълномощаване от д-р М.М., а процедурите, които са създадени в болницата, не изискват предоставянето и съхранението на електронния подпис от служителката на болницата, а именно главната медицинска сестра, а само подпомагане на работата на лекарите и то при тяхно желание.

Събраните по преписката доказателства свидетелстват, че в резултат на груба небрежност проявена от д-р М.М. по отношение на съхранението и ползването на личния ѝ електронен подпис е осъществен неправомерен достъп до чувствителни лични данни за жалбоподателя свързани с ваксинационния му статус. Отговорен за последното е администратора на лични данни– д-р М.М., доколкото ползвания за достъп подпис е личен и отговорността за ползването и съхранението му също. В конкретния случай обаче д-р М.М. не е предприела подходящи мерки, за да гарантира и да е в състояние да докаже, че личните данни на жалбоподателя са обработени/достъпени в съответствие с ОРЗД. Не могат да се кредитират като относими и верни твърденията, че предоставянето на подписа за ползване от служител на администрацията на лечебното заведение е в изпълнение на вменено задължение на д-р М.М. от страна на лечебното заведение в което работи. На първо място доказателства в тази насока липсват, твърденията ѝ са оспорени от лечебното заведение, което с категоричност сочи, че дружеството предоставя на всеки лекар съдействие при администриране на услуги, но при желание и инициатива от страна на лекаря, а не по задължение. Отделно от това дори и обратното да е вярно, то доколкото подписът е личен, администраторът на лични данни, в случая д-р М.М.,е тази която следва да определя целите, начините и реда по които посредством електронния ѝ подпис ще се обработват/достъпват лични данни. Още повече, че посредством подписа се достъпва специфична категория лични данни- свързани със здравословното състояние, поради и което контролът и мерките въведени от администратора следва да са завишени. Такива в конкретния случай въобще липсват, поради което допуснатото от страна на д-р М.М. следва да се квалифицира като такова по чл.32, ал.1 и 2 от ОРЗД, като безспорни доказателства за ангажиране на отговорността ѝ за фактически осъществения достъп липсват. Факт е, че посредством електронния подпис, не еднократно, а на две последователни дати, са достъпени неправомерно и без основание чувствителни лични данни на жалбоподателя в електронна среда от IP адрес на лечебното заведение в което д-р М.М. работи, което доказва че липсва текущ контрол от страна на администратора, като освен текущ липсва и последващ контрол от д-р М.М. относно достъпа, която твърди, че е узнала за нарушението едва след уведомяването ѝ от страна на КЗЛД за настоящето производство, т.е месеци след извършването му.

Твърденията, че друго лице е злоупотребило и неправомерно достъпило личните данни ползвайки електронния подпис на д-р М.М., дори и основателно, въпреки че по преписката липсват такива доказателства, не могат да санират нарушението, доколкото е вменена в отговорност на администраторът (чл. 32, ал.1 и 2 от ОРЗД) да прилага мерки подходящи, за да не допуска неправомерно обработване на лични данни, като има предвид обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата на физическите лица. Мерки в случая въобще липсват, обстоятелство което потвърждава и процесуалния представител на д-р М.М., която заявява, че доверителката ѝ не ползва подписа си, респективно не регулира осъществявания чрез него достъп до immunо.his.bg– огромна база данни с чувствителни лични данни, достъпа до която е регулиран и ограничен, предоставен чрез квалифициран електронен подпис, след проверка дали съответния лекар притежава активна регистрация в Българския лекарски съюз. Безспорно е, че д-р М.М. не е организирала съхранението на подписа, който е вход за базата данни съдържаща информация за здравословното състояния на лицата, респективно не е създала, нито пък прилага подходящи технически и организационни мерки, не е извършила преценка, не е оценила рисковете свързани с ползването на подписа и достъпването на тази специална категория лични данни.

Предвид констатираното нарушение, обстоятелството, че се касае за обработване на специална категория данни и фактът, че деянието не е еднократно и е довършенокомисията счита за целесъобрано, ефективно и възпиращо упражняването на корективно правомощие по чл.58, §2, буква„и” от ООРЗД– налагане на глоба на д-р М.М. за нарушение на чл.32, ал.1 и 2 от ОРЗД. Корективните мерки по чл.58, §1, буква„а”, „в”, „г”, „д”, „е”, „ж”, „з” и „й” от ОРЗД са неприложими поради естеството на нарушението, тези по чл.58, §2, буква„б” непропорционални, атези по буква„г” нецелесъобразни предвид предприетите от д-р М.М. действия по контрол над електронния ѝ подпис след установяване на нарушението.

При определяне на размера на глобата като смекчаващи следва да се квалифицират обстоятелствата, че нарушението е първото констатирано от КЗЛД по отношение на този администратор, както и натовареността и ангажираността на д-р М.М. и на лекарите като цяло в пандемията. Като утежняващи комисията приема обстоятелствата, че достъпените данни са специална категория и се касае за допуснато нееднократно нарушение, в условия на небрежност от страна на администратора.

Събраните по преписката доказателства, твърденията на ответниците, включително тези на ДКЦ свидетелстват и за допуснато от лечебното заведение нарушение на чл.32 от ОРЗД касателно практиките в лечебното заведение за допускане ползване на електронни подписи на лекари за обработване на чувствителни лични данни, свързани със здравето, включително достъп до такива. Безспорно лечебното заведение, като отделен администратор на лични данни, към дата на нарушението– януари 2022г., не е създало подходящи технически и организационни мерки за обработване на чувствителни лични данни от страна на администрацията на леченото заведение или създадените такива не са в състояние да гарантират и докажат, че обработването се извършва в съответствие с ОРЗД, още повече че липсва обучение и контрол относно процедурата, макар и формално неразписана, която явно от доказателства се е наложила като нерегламентирана и нерегулирана практика, осъществяван със знанието на лечебното заведение. Факт е, че за неправомерния достъп е използвана инфраструктурата/IP адреса на ДКЦ-то, което не е създало подходящ контролен механизъм. Факт е, че след образуване на настоящето производство дружеството е„предприело действия по коригиране на начина на работа в дружеството” и е въвело изготвена е програма за обучение и инструктаж на всички служители на дружеството относно приложението на ОРЗД и нововъведените от лечебното заведение правила, част от промените касаят ползването на електронни подписи, а именно: „Всички персонални електронни подписи да се съхраняват само и единствено от техните собственици, като отговорността за съхранението е изцяло тяхна. Подаването на ежемесечни отчети за извършена дейност с електронен подпис се извършва по следния начин: лицето собственик на подписа лично го предоставя на служител на администрацията, като лично въвежда паролата за сигурност(пин код) и в негово присъствие се подава отчета към НЗОК от служител на администрацията. След подаване на отчета собственикът на подписа си го взима. По този начин електронния подпис е под постоянен контрол и наблюдение на собственика. Подпомагането с подаването на отчет от служител на администрацията в присъствието на собственика на електронния подпис е по избор и с цел улесняване на работата на лекарите. По преценка на лекаря, той може да подава ежемесечния отчет самостоятелно.” Факт е, че въведените допълнителни мерки не могат да санират бездействието от страна на здравното заведение, което с пасивното си поведение е допринесло за допуснатото нарушение, но са основание за налагане на корективна мярка по чл.58, §2, буква„б” от ОРЗД– официално предупреждение на дружеството предвид обстоятелството, че макар и на по-късен етап, мерките са преразгледани и актуализирани в съответствие със задължението му по чл.24, ал.1 от ОРЗД. Налагането на санкция на администратора ДКЦ е прекомерно доколкото администраторът няма пряко отношение към допуснатото нарушение, но с пасивното си поведение е създал допълнителни предпоставки за допускането му.

Водима от горното и на основание чл.38, ал.3 от Закона за защита на личните данни, Комисията за защита на личните данни,

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд София – град.

След влизане в сила на решението, сумата по наложеното наказание следва да бъде преведена по банков път:

Банка БНБ– ЦУ, IBAN: BG18BNBG96613000158601, BIC BNBGBGSD

Комисия за защита на личните данни, БУЛСТАТ 130961721.