Решение по жалба с рег. № ППН-01-420/23.04.2019 г.

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и членове: Мария Матева и Веселин Целков на заседание, проведено на 11.12.2019г., на основание чл.10, ал.1 от Закона за защита на личните данни във връзка с чл.57, §1, буква„е“ от Регламент(ЕС) 2016/679, разгледа по същество жалба рег.№ППН-01-420/23.04.2019г., подадена от З.С.

Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).

Комисията за защита на личните данни е сезирана с жалба, подадена от З.С. с твърдения за нарушения на Общия регламент за защита на личните данни от телекомуникационен оператор (Т.О.).

Жалбоподателката информира, че като абонат на Т.О. е ползвала фиксирана мобилна услуга за номер *** по силата на сключен договор №**** и твърди, че в периода на действие на договора Т.О. е извършил „редица нарушения в процеса“ на обработване на личните ѝ данни групирани както следва: Нарушения, свързани с обработване на данни при подаване на жалби и сигнали; Нарушения на правото на информация и достъп до лични данни; Нарушение на правното основание и въвеждане в заблуждение на субекта на данни;Нарушения на правата на субекта в Политиката за защита на личните данни на Т.О.

Госпожа З.С. сочи, че в края на 2018г. подала жалба с вх. №132Т.О.88/2018 до Т.О., а служителите на последния отказали да входират документа без да посочи и допълни данни от личната си карта. Счита последното за нарушение на чл.5, ал.1, буква„в“ от Регламент 2016/679, а именно нарушение на принципа на „свеждане на данните до минимум“, тъй като твърди, че в жалбата си е посочила три имена, адрес, мобилен номер и ЕГН – напълно достатъчни за безспорното ѝ индивидуализиране и счита, че събирането и на други данни от личната ѝ карта е в нарушение на правата ѝ. В подкрепа на горното информира, че в Политиката за защита на личните данни, достъпна на сайта на Т.О., е посочено, че за идентификация се обработват: три имена, ЕГН, постоянен адрес и не е посочено, че се събират и обработват и данни по лична карта за идентификация на лицата.

Възмутена е, че преди входиране на жалбата съдържанието ѝ е прочетено от служители на дружеството с аргумент, че се касае за изпълнение на служебни задължения свързани с техническото обработване на документа. Счита, че тези действия са излишни и в нарушение на Регламента доколкото изрично е посочила предмета на документа „най-горе на първа страница“. В допълнение твърди, че служител на оператора М.М. заявила, че ще ползва данните от входираната жалба за предприемане на действия срещу нея, поради претенциите ѝ относно начина на работа в Т.О. Последното намира за нарушение на чл.32 от Регламента. Твърди, че начина на „третиране“ на подадените от нея документи от служители на дружеството я убедили, че или не е въведен ред за защита на лични данни и тяхното обработване или този ред не се спазва и „безконтролно и безнаказано се нарушава от служителите на Т.О.“.

Допълва, че операторът ограничава правото ѝ на подаване на жалби, като изисква същото да се извършва само в посочени магазини на дружеството, лично от субекта, без възможност за подаване на жалба по пощата.

Жалбоподателката информира, че е упражнила правата си на достъп до лични данни със заявления с вх. №*** и вх. №****, на които получила писмени отговори несъдържащи реквизитите предвидени в чл.15 във вр. с чл.13 от Регламента, включително липсват разяснения по конкретно зададени от нея въпроси.

Госпожа З.С. възразява и срещу ползваната от дружеството форма на съгласие за обработване на лични данни във връзка с въведената от Т.О. електронна система за проверка на жалби и сигнали чрез сайта на дружеството, като счита, че същата е в разрез с нормите на ОРЗД, а Т.О. въвежда в заблуждение, че съгласието може да бъде оттеглено по всяко време и обработването на дадените чрез съгласие лични данни да се прекрати.

Жалбоподателката информира и за принципни нарушения в Политиката за защита на личните данни на Т.О. достъпна на сайта на дружеството, за които твърди, че е подала жалба до Австрийския регулатор на лични данни доколкото е посочено, че „Т.О. прилага групови практики на Т.О.А. и др.“

Към жалбата са приложени относими доказателства – копие на отговор на Т.О. и на договор №****

В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая от Т.О. еизискано писмено становище и относими по случая доказателства.

В отговор е изразено становище ППН-01-420#3/03.09.2019г. за неоснователност и недоказаност на жалбата по всички посочени в нея нарушения. Към становището не са приложени доказателства.

Комисията за защита на личните данни е независим държавен орган, който осъществява защита на лицата при обработването на личните им данни и при осъществяване на достъпа до тези данни, както и контрол по спазването на ЗЗЛД и Регламент(ЕС) 2016/679.

За да упражни правомощията си, Комисията следва да бъде валидно сезирана.

Жалбата съдържа задължително изискуеми реквизити – данни за жалбоподателя, естеството на искането, дата и подпис, с оглед което е редовна. Същата е процесуално допустима, подадена в срока по §44, ал.2 от Преходните и заключителните разпоредби на ЗЗЛД от физическо лице с правен интерес срещу надлежна страна – юридическо лице – администратор на лични данни по смисъл чл.4, ал.7 от Регламент ЕС 2016/679.

Сезиран е компетентен да се произнесе орган – КЗЛД, който съгласно правомощията си по чл.10, ал.1 от ЗЗЛД във връзка с чл.57, §1, буква„е“ от Регламент(ЕС) 2016/679, разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на субекти на данни свързани с обработване на личните данни, като не са налице изключенията по чл.2, §2, буква„в“ и чл.55, §3 от регламента предвид обстоятелството, че случая не касае дейности по обработване извършвани от физическо лице в хода на чисто лични или домашни занимания и/или дейности извършвани от съдилищата при изпълнение на съдебните им функции.

По изложените съображения и с оглед липсата на предпоставки от категорията на отрицателни по чл.27, ал.2 от АПК, на проведено на 06.11.2019г. заседание на КЗЛД жалбата е приета за допустима и като страни в производството са конституирани: жалбоподател – З.С. и ответна страна–Т.О. Насрочено е открито заседание за разглеждане на жалбата по същество за 11.12.2019г., за което страните са редовно уведомени и им е указана възможността да се запознаят със събраните по преписката материали.

С оглед изясняване на случая от правна и фактическа страна от ответната страна са изискани доказателства в подкрепа на изложените в становището на дружеството твърдения, в това число заверено копие на подадените от г-жа З.С. заявления вх. №*** и вх. №****, респективно отговорите на дружеството, както и заверено копие на подадената от г-жа З.С. жалба същата с вх. №***по описа на Т.О. В отговор и с писмо ППН-01-420#8/27.11.2019г. изисканите документи са предоставени.

На проведено на 11.12.2019г. открито заседание на КЗЛД, жалбата е разгледана по същество.

Жалбоподателката – редовно уведомена, явява се лично и поддържа жалбата.

Т.О. ЕАД – редовно уведомено, представлява се от М.П. – служител с юридическо образование, с пълномощно по преписката, която оспорва жалбата.

Страните, по отделно заявяват, че са запознати със събраните по преписката материали, a в допълнение процесуалният представител на мобилния оператор заявява, че няма да сочи други доказателства и няма искания по доказателствата. Жалбоподателката настоява КЗЛД да допусне до разпит един свидетел М.С., който има лични и непосредствени възприятия относно твърдените обстоятелства свързани с подадения от нея сигнал в магазин на Т.О. и поведението на служителите на дружеството при входирането му, за да удостовери, че данните ѝ са събрани в противоречие с Регламент ЕС 2016/679 и могат да се използват в бъдеще в неин ущърб.

Доколкото между страните няма спор относно подаването на конкретния сигнал и действията на служителите на Т.О. по неговото входиране, включително че е изискан документ за самоличност при подаването му, комисията остава без уважение искането на г-жа З.С. за допускане до разпит на свидетел за установяване на факти по които няма спор между страните, доколкото свидетелските показания биха били допустими при спорни факти, какъвто не e настоящия случай. В допълнение следва да се отбележи, че свидетелските показания са допустими за установяване на факти и обстоятелства, които са се случили и които свидетелят е възприел, но не и за доказване на бъдещи несигурни събития каквито са твърденията на г-жа З.С., „че тези данни могат да се ползват“ от служителя М.М. за в бъдеще, в неин ущърб.Отделно от това следва да се отбележи, че е недопустимо допускането до разпит на свидетел за установяване на факти и обстоятелства свързани със спазване на трудовата дисциплина на служителите на Т.О., неотносими към обработването на личните данни, доколкото комисията не е компетентна да се произнася по тези въпроси и същите не са предмет на производството и доколкото поведението на служителя, респективно дадените от г-жа З.С. квалификации на същото,не подлежат на контрол от страна на КЗЛД.

В ход по същество, г-жа З.С. моли комисията да уважи жалбата, като приповтаря изложените в същата твърдения за извършени от дружеството нарушения и поддържа изложените в жалбата си аргументи за ангажиране на административно-наказателната отговорност на оператора. Потвърждава, че във връзка с входиране на сигнала от служителите на Т.О. са изискали да представи лични данни по лична карта и да представи същата.

Въпреки направените от страна на комисията уточняващи въпроси към жалбоподателката предоставила ли е изисканите от нея „всички лични данни“ съдържащи се в личната карта и записани ли са същите и по какъв начин са обработени от служителите на Т.О.,г-жа З.С. не уточнява, нито твърди, форма на обработване на съдържащите се в документа ѝ за самоличност лични данни, като поддържа, че „Въпросът е какво те поискаха“, а това включва по твърдение на г-жа З.С. „абсолютно всички данни, които се съдържат в личната карта“, в това число „трите имена, ръст, очи, дата на раждане….“

В хода по същество, процесуалният представител на ответната страна моли комисията да остави жалбата без уважение, като неоснователна, по съображение подробно развити в писмено становище, ангажирано по преписката. В допълнение към него посочва, че се касае за предприети от Т.О. мерки за защита на личните данни на физическите лица от неправомерно обработване на лични данни, същите в интерес на субектите на данни.

В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл.7 от Административно-процесуалния кодекс, изискващ наличието на установени действителни факти, имайки предвид събраните писмени и гласни доказателства и наведените от страните твърдения Комисията приема, че разгледана по същество жалба №ППН-01-420/23.04.2019г. е неоснователна.

От събраните по преписката доказателства се установи, че жалбоподателката е била клиент на Т.О. по повод ползвани мобилни услуги по договор №**** за целите на който е предоставила на дружеството и същото обработва личните ѝ данни в обем – три имена, единен граждански номер и адрес.

Не е спорно, че на 12.09.2018г. жалбоподателката е посетил офис на Т.О., находящ се в гр. ***** и е подала жалба до дружеството, същата с вх. №***, касаеща поведение на служител на Т.О., което г-жа З.С. намира за „непрофесионално“ и „арогантно“. Установено е, че в последствие, за същия случай, г-жа З.С. е подала втори сигнал с вх. №****, в който като допълнение твърди, че е възпрепятствана от служителя на дружеството при подаване на първоначалния сигнал, като служителя, в противоречие с Регламент ЕС 2016/679, е изискал от нея да се легитимира с лична карта при подаване на сигнала. В подаден до дружеството трети сигнал г-жа З.С. излага отново недоволство си относно „системното недопустимо поведение“ на служителите на дружеството към нея с твърдения, че действията на служителите са в нарушение на Регламент ЕС 2016/679. В отговор на сигналите е изготвено писмо (без дата и изходящ номер) адресирано до и получено от г-жа З.С., същото представено от Т.О. по настоящата преписка, в което е посочено, че дружеството е въвело технически и организационни мерки с цел защита на обработваните личните данни, които служителите на дружеството спазват.

Видно от съдържанието на подадените от жалбоподателката сигнали до Т.О. е, че в тях се съдържат нейни лични данни в обем три имена, адрес и телефонен номер. За пълнота следва да се посочи, че, противно на изложените в жалбата до КЗЛД твърдения, в сигналите не е посочен и не се обработва единен граждански номер на г-жа З.С. По преписката липсват доказателства дружеството да обработва – събира и/или съхранява данни от личната карта на жалбоподателката за целите на подадените от нея сигнали до дружеството, различни от тези които е посочила в сигналите, а именно: имена, адрес и телефонен номер. Обстоятелството, че служители на дружеството са изискали г-жа З.С. да се легитимира, като представи документ за самоличност при обслужване (подаване на сигналите) не променя тези изводи, доколкото документа за самоличност е предоставен за справка и безспорно индивидуализиране на подателя и няма доказателства, а и твърдения, данни от него да са обработвани от дружеството. В допълнение към това комисията счита, че тези действия на служителите на администратора следва да се възприемат като изпълнение на задълженията на същия за въвеждане на организационни мерки за безспорно индивидуализиране на лицата. Твърденията на жалбоподателката, че същите са в нарушение на чл.5, §1, буква„в“ от Регламента, а именно нарушение на принципа на „свеждане на данните до минимум“ са неоснователни, доколкото е установено, че за целите на подадените от г-жа З.С. сигнали се обработват само посочените от нея данни в сигналите до Т.О. – имена, адрес и телефонен номер, същите ограничени до необходимото във връзка с целите за които са предоставени.

По горните съображения комисията счита, че не е налице и нарушение на правилата в сферата на лични данни при входиране на подадения от жалбоподателката сигнал и обстоятелството, че служител на дружеството е прочел и проверил съдържанието на същия преди да входира документа. По преписката липсват доказателства за нерегламентиран и неправомерен достъп от трети лица до личните данни на г-жа З.С. съдържащи се в подадените до дружеството сигнали, още по-малко използването на „тези лични данни във вреда на субекта на данните“. Пред комисията, жалбоподателката изразява само опасения в този смисъл.

Неоснователни са и твърденията на жалбоподателката за нарушение на Регламента свързан с ограничаването ѝ от страна на администратора относно възприетия от последния начин на подаване на жалби до дружеството, а имено невъзможността да се подават жалби по пощата. В тази връзка следва да се посочи, че Регламентът и ЗЗЛД уреждат процедурата по подаване на заявления за упражняване на права, какъвто характер подадените сигнали нямат, и не регулират начина на кореспонденция (входяща и изходяща) на дружеството по въпроси извън сферата на защита на личните данни.

По преписката липсват доказателства личните данни на г-жа З.С. да са обработвани за цели различни от тези, за които са предоставени от нея на администратора. В тази връзка следва да бъдат оставени без уважение, като неоснователни и недоказани, твърденията на жалбоподателката за допуснато нарушение от Т.О. на чл.32 от Регламента относно отправена заплаха до г-жа З.С. от служител на дружеството, който заявил, че ще използва информацията и данните в подадените от
г-жа З.С. сигнали „за да предприеме действия срещу“ нея. Дори да е възникнал конфликт, в който да е имало емоционална размяна на реплики, няма данни за използване на подадената от жалбоподателката информация за други цели освен за разглеждане на жалбата ѝ до администратора. Поведението на служителите на администратора при обслужване на клиенти, не подлежи на контрол от КЗЛД.

Неоснователни са и твърденията на г-жа З.С. за нарушение от страна на Т.О. на правото на информация и достъп до лични данни. Предвид съдържанието, формата и наименованията на отправените от г-жа З.С. „писмени запитвания“ сигнали №***и №**** се налага извода, че същите нямат характера на заявления за достъп до лични данни, поради което не пораждат и задължениеза Т.О. ЕАД,в качеството му на администратор на лични данни, да предостави на г-жа З.С. информацията по чл.15 от Регламента.

Неоснователна и недоказана е жалбата и по отношение на твърденията за „Нарушение на правното основание и въвеждане в заблуждение на субекта на данни“ развити в т. 8-10 от жалбата. На първо място твърденията са общо и неясно формулирани, а видно от същите са форма на тълкуване на правата на субектите на лични данни от страна на жалбоподателката. Същите са оспорени от дружеството, като неверни, а по преписката липсват доказателства в обратна насока, като за пълнота следва да се посочи, че съгласието е само едно от алтернативно посочените основания за законосъобразност на обработването на лични данни и същото може да бъде оттеглено по всяко време, като в конкретния случай данните на жалбоподателката се обработват в условията на договорни отношения между страните.

Твърденията за неправомерно събиране на лични данни – единен граждански номер на жалбоподателката при проследяване на движението на жалбата по електронен път, респективно достъпване до информация съдържаща лични данни, също са неоснователни, доколкото се касае за достъпване на информация съдържаща лични данни по електронен път – дистанционен начин и в тази връзка администраторът е задължен да въведе подходящи мерки за идентифициране на лицето, така че не всеки да има достъп до информацията, която се предоставя, тъй като тя е индивидуална и съдържа лични данни. Електронната услуга се предоставя в улеснение на физическото лице и се ползва по негово желание, а въведеният от дружеството механизъм за индивидуализиране е създаден в защита на субекта на данните. Допълнително, дружеството е предприело алтернативен начин за проверка на подадените сигнали, а именно в офис на дружеството, срещу който механизъм жалбоподателката също възразява.

По отношение на твърденията по т. 11-13 от жалбата „Нарушения на правата на субекта в Политиката за защита на личните данни на Т.О.“ и доколкото в същите не се сочи нарушение на правата на жалбоподателката, КЗЛД счита, че в настоящето производството не дължи произнасяне, още повече че същите имат характера на коментар и анализ на съдържанието на Политиката за защита на личните данни на Т.О., която не е предмет на производството, като отделно от това следва да се отбележи, че със същите е сезиран друг надзорен орган, по твърдения на жалбоподателката.

Водима от горното и на основание чл.38, ал.3 от Закона за защита на личните данни, Комисията за защита на личните данни,

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съдСофия – град.