Решение по жалба с рег. № ППН-01-358/28.05.2018 г.

Комисията за защита на личните данни („Комисията”/„KЗЛД”) в състав: членове– Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков, на редовно заседание, проведено на 30.01.2019г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни, разгледа по основателност жалба с рег. №ППН-01-358/28.05.2018г., подадена от С.Д. срещу „***” ЕООД.

Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).

Жалбоподателят информира, че от година получава спам SMS-и от С.БГ. (****, който сайт се администрира от „***” ЕООД). Г-н С.Д. безброй пъти им писал да махнат номера му от листите му, но SMS-ите продължили.

Декларира, че не е давал съгласие личните му данни да бъдат обработвани за посочената цел. Счита, че присъствието на личните му данни в тези списъци представлява нарушение на правата му.

Към жалбата е приложена разпечатка на SMS-ите и разговор във facebook.

В допълнение към жалбата г-н С.Д. отбелязва, че е бил клиент на магазина и има регистрация в сайта. Прилага екранна разпечатка на SMS-а, който е получил след 25.05.2018г., без да е дал съгласието си да го получи.

В условията на залегналото в административния процес служебно начало и в изпълнение на чл.26 АПК, за започване на производство е уведомено лицето, срещу което е насочена жалбата. Предоставена е възможността по чл.34, ал.3 АПК за изразяване на становище с относими доказателства по предявените в жалбата твърдения.

От „***” ЕООД изразяват становище за неоснователност на жалбата.

От дружеството заявяват, че към момента в телефонната им централа не е администриран опит за осъществяване на контакт от посочения в жалбата адрес. Посочват, че е получен отказ от жалбоподателя за получаване на електронни съобщения през facebook страницата на дружеството– *****. Въпреки че това не е предвиденият способ за оттегляне на съгласие съгласно Задължителната информация за защита на личните данни на дружеството, искането е обработено и номерът е включен в регистъра на лицата, оттеглили съгласието си да получават електронни съобщения. От датата на обработване на искането– 25.05.2018г., до настоящия момент не са изпращани съобщения до жалбоподателя.

Съгласно политиката за защита на лични данни на администратора, дружеството обработва лични данни за целите на директния маркетинг единствено при изрично дадено съгласие от потребителите на сайта и своите клиенти, което може да бъде дадено при първоначална регистрация, извършване на поръчка или отделно със заявление за получаване на бюлетин или електронни съобщения.

Управителят посочва за изчерпателност, че на 26.06.2018г. жалбоподателят се е логнал за първи път от влизане в сила на промените в политиката за защита на личните данни в системата на дружеството и му е визиуализирана Задължителната информация за защита на данните. На 20.07.2018г. жалбоподателят е оттеглил съгласието си с общите условия и профилът му е архивиран.

От „***” ЕООД информират, че личните данни на г-н С.Д. са предоставени от него при създаване на неговия профил в уебсайта на дружеството и се обработват въз основа на даденото от него съгласие, включително съгласие с Общите условия. В чл.23, ал.4 от Общите условия е дадено съгласие за изпращане на съобщения по всяко време.

В изпълнение на задължението за уведомяване на субектите на данни за правата им и по-конкретно правото да оттеглят съгласието си за обработването на данни за целите на директния маркетинг, във всяко изпращано съобщение се съдържа текст с възможностите за отказ– чрез SMS, електронна поща или телефонен разговор.

При справка в регистрите на дружеството се установило, че е заявен отказ на 24.05.2018г. Отправеното искане е обработено в първия работен ден– на 25.05.2018г. и след тази дата не са изпращани съобщения. Оспорват твърдението, че на 28.05.2018г. е изпратено съобщение до г-н С.Д.

В отговор на становището на „***” ЕООД, жалбоподателят посочва, че от представените скрийншоти се вижда ясно дата и час, а именно 28 май 14:11. Заявява, че не се е отказал само по facebook, а лично е звънял няколко пъти по телефонда се откаже от спам смс. Към отговора, който е изпратен едновременно до КЗЛД и „***” ЕООД, отново е представена екранна разпечатка на получените съобщения.

За да упражни правомощията си, Комисията следва да бъде валидно сезирана.

Разглежданата жалба съдържа задължително изискуемите реквизити, посочени в чл.30, ал.1 от Правилника за дейността на Комисията за защита на личните данни и нейната администрация, а именно: налице са данни за жалбоподателя, естество на искането, дата и подпис, с оглед на което същата е редовна.

Жалбата е процесуално допустима– подадена в срока по чл.38, ал.1 ЗЗЛД от физическо лице с правен интерес. Същата има за предмет твърдение за неправомерно обработване на лични данни на жалбоподателя и е насочена срещу администратор на лични данни. С жалбата е сезиран компетентен да се произнесе орган– Комисия за защита на личните данни, която съгласно правомощията си по чл.10, ал.1, т.7 от ЗЗЛД разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по ЗЗЛД.

На проведено на 16.01.2019г. закрито заседание на Комисията жалбата е обявена за допустима и като страни в производството са конституирани: жалбоподател– С.Д. и ответна страна– „***” ЕООД, в качеството на администратор на лични данни. Страните са уведомени за насроченото за 30.01.2019г. открито заседание за разглеждане на спора по същество.

На проведеното заседание за разглеждане на жалбата по същество жалбоподателят не се явява, не се представлява.

За ответната страна се явява пълномощник на дружеството. Пълномощникът представи действалите към 05.01.2010г. Общи условия. Оспори, че на 28 май не е изпратено съобщение до жалбоподателя. Отбелязва, че искането е постъпило на 24 май, който е почивен ден, а заличаване е обработено на следващия работен ден и в рамките на приетите в бранша 24-48 часа. Заявява, че към момента съгласието за директен маркетинг е чрез чекбокс, а не чрез приемане на общите условия.

При така установената фактическа обстановка Комисията разгледа жалбата по същество, като прие жалбата за основателна, въз основа на следните изводи:

С Регламент 2016/679 и Закона за защита на личните данни (ЗЗЛД) се определят правилата по отношение на защитата на физическите лица във връзка с обработването на личните им данни. Целта е да се защитават основни права и свободи на физическите лица, по-специално тяхното право на защита на личните данни.

Страните не спорят, че С.Д. е направил регистрация в интернет сайта на дружеството– ****. При регистрирането на акаунта си жалбоподателят е предоставил две имена, телефонен номер и електронна поща. Посочената информация представлява лични данни за лицето, тъй като чрез нея лицето може да бъде идентифицирано.

В хода на производството се установи, че при регистрация на потребител в сайта на дружеството има няколко чекбокса, при отмятането на които се дава съгласие с посоченото изявление– един от чекбоксите е за обработка на лични данни за целите на директен маркетинг и задължителна информация относно защитата на личните данни, втори– за съгласие с Общите условия за доставка и трети– за създаване на профил и приемане на поръчката. При разглеждане на този механизъм Комисията намира, че е налице противоречие на Общите условия на дружеството с Регламент 2016/679. От една страна администраторът е предоставил чекбокс за обработване на лични данни за целите на директен маркетинг, който може да не бъде отбелязан от регистриращия се, но от друга страна потребителят следва да се съгласи с Общите условия, за да може да се регистрира и да прави поръчки, но в чл.23, ал.4 от тези Общи условия е посочено съгласие за обработване за тези цели. По този начин се постига заобикаляне на изискването на чл.7, параграф 2 от Регламент 2016/679 и съображение 32 към него, които предвиждат съгласието да се дава чрез ясно утвърдителен знак, с който се изразява свободно дадено, конкретно, информирано и недвусмислено съгласие. В този смисъл „***” ЕООД следва да предприеме действия за отстраняване на нарушението в Общите си условия.

Конкретният предмет на жалбата е оттегляне на съгласие за обработване на лични данни за целите на директен маркетинг, който представлява предлагане на стоки и услуги на физически лица по пощата, по телефон или по друг директен начин, както и допитване с цел проучване относно предлаганите стоки и услуги.

В чл.7 от Регламент 2016/679 са предвидени условията за даване на съгласие, когато обработването на лични данни се основава на него. В параграф3 на същия член е предвидено, че субектът на данни има правото да оттегли съгласието си по всяко време. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне. Оттеглянето на съгласие следва да е също толкова лесно, колкото и даването му.

В конкретния случай е направено оттегляне на съгласие за обработване на данните за целите на директен маркетинг на 24.05.2018г. Администраторът твърди, че оттеглянето е обработено на 25.05.2018г., в подкрепа на което епредставено извлечение, че телефонният номер е включен в Blacklist (регистър на лицата, отказали получаване на съобщения) на 25.05.2018г. в 09:32 ч. Към отговора на становището на „***” ЕООД жалбоподателят представи екранна разпечатка на получено на 28.05 в 14:11 ч. съобщение. В този смисъл твърдението на представителя на „***” ЕООД, че обработването на заявлението може да отнеме 24-48 ч. от получаването му и в рамките на този срок е възможно да бъде изпратено ново съобщение е в противоречие с представеното извлечение от Blacklist, което сочи като дата на обработване на заявлението– 25.05.2018г., 09:32 ч. Същевременно, на жалбоподателя е изпратено текстово съобщение на 28.05.

В становището си администраторът посочва, че от направената справка в регистрите на дружеството за изпращане на смс-и и логовете за изпратени съобщения се установило, че не са изпращани електронни съобщения, след като е извършен отказ от страна на г-н С.Д. Предвид факта, че извлечение от регистъра за изпратените съобщения за 28.05.2018г. не е приложен, следва да се кредитират представените от жалбоподателя доказателства, че действително е получил електронното съобщение.

Предвид изложеното, Комисията приема, че правото на субекта на данни да оттегли съгласието си за обработване на личните му данни за целите на директния маркетинг не е действително уважено от администратора на лични данни, с оглед на което правата на жалбоподателя са нарушени.

При така констатираното нарушение жалбата следва да бъде уважена. Комисията разполага с оперативна самостоятелност, като в съответствие с предоставените ѝ функции преценява кое от корективни правомощия по чл.58, пар. 2 от Регламент 2016/679 да упражни. Преценката се основава на съображенията за целесъобразност и ефективност на решението при отчитане на особеностите на всеки конкретен случай и степента на засягане на интересите на конкретното физическо лице– субект на данни, както и на обществения интерес. Правомощията по чл.58, пар. 2, без тази по буква „и”, имат характера на принудителни административни мерки, чиято цел е да предотвратят или да преустановят извършването на нарушение, като по този начин се постигне дължимото поведение в областта на зашитата на личните данни. Административното наказание „глоба” или „имуществена санкция” по чл.58 пар. 2, буква „и” има санкционен характер. При прилагането на подходящата корективна мярка по член 58, пар. 2 от Регламента се взема предвид естеството, тежестта и последиците от нарушението, както и всички смекчаващи и отегчаващи отговорността обстоятелства. Оценката за това какви мерки са ефективни, пропорционални и възпиращи във всеки отделен случай отразява и целта, преследвана с избраната корективна мярка– предотвратяване или преустановяване на нарушението, санкциониране на неправомерното поведение или и двете, каквато възможност е предвидена в чл.58, пар. 2, буква „и”.

Като смекчаващи отговорността обстоятелства Комисията намира, че са засегнати правата на едно лице и не са възникнали значителни неблагоприятните последиците за субекта на данни. Нарушението е първо за администратора.

С оглед изложените мотиви, като най-целесъобразна корективна мярки Комисията намира тази по чл.58, пар. 2, буква „г” от Регламента– разпореждане до администратора да съобразява операциите по обработване с разпоредбите регламента.

Комисията за защита на личните данни, като взе предвид фактите и обстоятелствата, изнесени в настоящето административно производство, и на основание чл.58, параграф.2, букви „г” от Регламент 2016/679,

А) Да съобразява операциите по обработване с разпоредбите регламента– да преустановява обработването на лични данни за целите на директния маркетинг след оттегляне на съгласието от субекта на данни;

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни, пред Административен съд София– град.