РЕШЕНИЕ
№ППН-01-63/2021г.
София, 20.06.2022г.
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков на заседание, проведено на 18.05.2022г., на основание чл.10, ал.1 от Закона за защита на личните данни, респективно чл.57, §1, буква„е“ от Регламент(ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Регламента, ОРЗД), разгледа по същество жалбa №ППН-01-63/21.01.2021г. подадена от Т.А.
Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).
Комисията за защита на личните данни е сезирана с жалба, подадена от Т.А., чрез адв. Г. и адв. Н. от САК, съдържаща твърдения за неправомерно обработване на личните данни на г-жа Т.А.– три имена, единен граждански номер, адрес и мобилен телефонен номер, от „Г.И.“ ООД във връзка с подадено в Агенция по геодезия, картография и кадастър (АГКК) заявление *******
Жалбоподателката твърди, че при проверка на сайта на АГКК през декември 2020г. установила, че е извършено неправомерно обработване на личните ѝ данни, като от нейно име е подадена молба за издаване на скица за апартамент находящ се в гр.София, *****. Г-жа Т.А. информира, че на 04.01.2021г., в отговор на изрично нейно искане, писмено била информирана от АГКК, че заявлението е подадено по електронен път от нейно име, чрез служител на „Г.И.“ ООД– Д.Й.,с искане за изменение в кадастралния регистър на недвижимите имоти, издаване на скица на поземлен имот и идентификатор ***** и издаване на схема на самостоятелен обект в сграда с идентификатор ********. Допълва, че към отговора на агенцията са и предоставени копия на заявлението и приложените към него документи– договор за продажба на държавен жилищен имот издаден на името на покойните ѝ родители С.С. и П.П.С., удостоверение за наследници от 2007г. на С.С. и удостоверение за наследници на П.С. с изх. №212/21.10.2020г.
Категорична е, че не е подавала заявление, нито пък е упълномощавала друго лице в тази насока. Твърди, че няма отношения с „Г.И.“ ООД– Д.Й., никога не е контактувала с дружеството, не е предоставяла личните си данни на дружеството и/или на г-н Д.Й., не е предоставяла приложените към заявлението документи.
Счита, че действията на „Г.И.“ ООД са незаконосъобразни в нарушение на чл.6, §1 от ОРЗД и принципа на „законосъобразност, добросъвестност и прозрачност“– чл.5, § 1, буква„а“ от ОРЗД. Моли комисията за проверка по случая и санкциониране на дружеството.
Моли комисията да изиска от АГКК всички документи издадени от „Г.И.“ ООД по заявлението и да бъде предоставена информация за това какви изменения в кадастралния регистър на недвижимите имоти е извършено въз основа на него. Моли комисията да задължи дружеството да представи доказателства по какъв начин, кога и от кого му е възложено да извърши услугата по заявлението.
Към жалбата са приложени относими доказателства– копие на молба до началника на АГКК, писмо от служба по ОГКК изх. №*****, заявление №*******, договор за продажба на държавен жилище имот от 13.01.1966г., удостоверения за наследници, пълномощно и договор за правна защита и съдействие.
С оглед застъпените в административния процес принципи на равенство на страните и истинност, „Г.И.“ ООД е информирано за образуваното по случая административно производство, указана му е възможността да ангажира писмено становище по изложените в жалбата твърдения и да представи относими по случая доказателства.
В отговор е изразено становище за неоснователност на жалбата, с приложени към него обяснения на Д.Й.– технически директор на дружеството който сочи, че е допусната грешка при подаване на заявлението- жалбоподателката е посочена като заявител на услугата, какъвто не е, вместо Ст.С. Допълва, че „При изписване на ЕГН-то (Булстата) или името на дадено физическо лице или фирма, системата на СГКК само генерира останалите данни, като адрес, телефон, мейл, които системата на АГКК притежава. Затова в Заявлението са изписани адресът и телефонът на молителя.“ Към становището са приложени и заверено копие на Вътрешни правила за сигурност на информацията и личните данни, без дата и конкретика за дружеството за което се отнасят.
Служебно от АГКК е изискана относима за производството информация.
В отговор и с писмо ППН-01-63#4/26.08.2021г. от АГКК информират, че предоставя официални документи и справки при условия и ред определени в Наредба №РД-02-20-4/11.10.2016г. за предоставяне на услуги от кадастрална карта и кадастралните регистри. Допълват, че в наредбата са указани правилата, които следва да прилагат правоспособните липа при осъществяване на дейността по административно обслужване, вкл. изискванията на Регламент(ЕС) 201 (5/679 и на Закона за защита на личните данни: изброени са видовете услуги, които правоспособното лице предоставя на потребителите чрез регламентиран достъп до кадастрално-административната информационна система (КАИС) — скица на поземлен имот, скица на страда, схема на самостоятелен обект и удостоверение за наличие или липса на данни, както и приемане на заявления за изменение на кадастралния регистър на недвижимите имоти. Изброените услуги се предоставят на цялата територия на страната, за която има одобрени кадастрална карта и кадастрални регистри. Допълват, че КАИС и Регистъра на правоспособните лица се администрират от АГКК.
Информират, че в КАИС е регистрирано Заявление с вх. №***** от Т.А., подадено от „Г.И.“ ООД, чрез правоспособно лице по кадастъра, вписано в Регистьра на правоспособните лица със Заповед №797/31.08.2001г. на изпълнителния директор на АГКК. В регистъра по чл.12, т.8 от ЗКИГ е отбелязано, че дружеството извършва административно обслужване с кадастрална информация от 04.12.2019г.
Сочат, че със Заявление №***** е поискано изменение в кадастралния регистър на недвижимите имоти („да се впише вярното ЕГН“), издаване на скица на поземлен имот с идентификатор 68134.514.18 и схема на самостоятелен обект с идентификатор ********. Заявлението е регистрирано в КАИС от Д.Й. служител на „Г.И.“ООД. Допълват, че г-н Д.Й. е правоспособно лице по кадастър, който е включен в специализирания състав на дружеството и е определен за лице, което да извършва дейността по административно обслужване с кадастрална информация.
Информират, че изменението в кадастралния регистър на недвижимите имоти е извършено от служител на СГКК- гр. София и представлява отстраняване на техническа грешка- грешно изписано ЕГН на П.Д. (съсобственик на цитираните по-горе имоти) и конкретизират, че ЕГН на собствениците и носителите на други вещни права на недвижимите имоти не е част от съдържанието на официалните документи които се издават от АГКК, в т.ч. скица на поземлен имен и схема на самостоятелен обект.
От агенцията сочат, че скицата и схемата, заявени от Т.А., чрез „Г.И.“ ООД са издадени автоматично чрез КАИС и са получени на 24.11.2020г. в потребителския профил на дружеството. Таксата за услугите от заявлението е платена от сметката на регистрирания потребител на електронни услуги в КАИС „Г.И.“ ООД. Сметката на потребителя е заредена чрез електронно плащане ЕРАY №*** от 12.11.2020г. От заредената сметка в потребителския профил на дружеството е извършено плащане в размер на 28 лв. на 13.11.2020г. за заявените скица на поземлен имот и схема на самостоятелен обект.
В хода на производството г-жа Т.А. информира за подадена в Софийска районна прокуратура жалба с вх. №******* и извършвана от 06 РУ-СДВР проверка по случая.
В тази връзка служебно от СРП е изискана информация за хода и резултатите от образуваното производство, а в хипотезата на изготвената по случая експертна справка/експертиза на подписите положени под процесните документи, копие от същата.
В отговор от СРП информират, че предстои изготвяне на възложени по случая експертизи, но отказват да предоставят допълнителна информация и материали от прокурорската преписка.
На проведено на 20.10.2021г. заседание на комисията е взето решение за събиране на допълнителни доказателства преди произнасяне по допустимостта на жалбата, допуснато е изготвянето на почеркова експертиза. Предмет на експертизата е да се установи дали подписа положен под заявление ******* по описа на АГКК е положен от Т.А. От Агенция по геодезия, картография и кадастър (АГКК) са изискани заверено копие на документи, заявление, декларации, пълномощни във връзка със заявление *******, в които е посочено, че изхождат от г-жа Т.А. и носят подписа на г-жа Т.А. За целите на експертизата жалбоподателката е предоставила сравнителен материал, който е изпратен в Националния институт по криминалистика (НИК).
Изготвена е графическа експертиза отразена в Протокол №******* от 22.03.2022г., по описа на НИК, изпратена в КЗЛД с придружително писмо, със заключение, че подписът в графа „Подпис“ в долния десен ъгъл на копие на Заявление ******* по описа на АГКК е копие на подпис, който не е положен от Т.А.
Комисията за защита на личните данни е независим държавен орган, който осъществява защита на лицата при обработването на личните им данни и при осъществяване на достъпа до тези данни, както и контрол по спазването на ЗЗЛД и Регламент(ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.
За да упражни правомощията си, комисията следва да бъде валидно сезирана.
Жалбата съдържа задължително изискуемите реквизити: данни за жалбоподателя, естеството на искането, дата и подпис, посочено е пасивно легитимираната страна и дата на узнаване на нарушението, с оглед което жалбата е редовна.
Жалбата е подадена от физическо лице с правен интерес срещу надлежна страна „Г.И.“ ООД– администратор на лични данни по смисъла на чл.4, ал.7 от Общия регламент ЕС 2016/679.
Предмет на жалбата е неправомерно обработване на личните данни на г-жа Т.А.– три имена, единен граждански номер, адрес и мобилен телефонен номер, от „Г.И.“ ООД във връзка с подадено в АГКК заявление *******. Комисията е сезирана на 21.01.2021г., по малко от два месеца след извършване на твърдяното нарушение, предвид което се налага извода, че жалбата е подадена срока по чл.38, ал.1 от ЗЗЛД. Сезиран е компетентен да се произнесе орган– КЗЛД, която съгласно правомощията си по чл.10, ал.1 от ЗЗЛД във връзка с чл.57, §1, буква„е“ от Регламент(ЕС) 2016/679, разглежда жалби подадени от субект на данни срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица свързани с обработване на личните данни, като не е налице изключенията по чл.2, §2, буква„в“ и чл.55, §3 от Регламент(ЕС) 2016/679 предвид обстоятелството, че случая не касае дейности по обработване извършвани от физическо лице в хода на чисто лични или домашни занимания и/или дейности извършвани от съдилищата при изпълнение на съдебните им функции.
По изложените съображения и предвид липсата на отрицателните предпоставки посочени в чл.27, ал.2 от АПК, на проведено на 30.03.2022г. заседание на комисията жалбата е приета за допустима и като страни в производство са конституирани: жалбоподател– Т.А. и ответна страна– „Г.И.“ ООД. Насрочено е открито заседание за разглеждане на жалбата по същество на 18.05.2022г. от 13.00 часа, за което страните са редовно уведомени и са информирани за изготвената по случая експертиза, копие от която им е предоставена за запознаване и становище.
Оставено без уважение, като неотносимо към предмета на спора, е направеното от жалбоподателката доказателствено искане комисията служебно да изиска от АГКК всички документи издадени от „Г.И.“ ООД по заявлението, както и информация за това какви изменения в кадастралния регистър на недвижимите имоти е извършено въз основа на него.
С оглед изясняване на случая от фактическа страна от ответника са изискани повторно вътрешни правила и/или политика за защита на личните данни в които са разписани реда за обработване на лични данни от дружеството, в качеството му на администратор на лични данни, уточнение от кого е предоставено Удостоверение за съпруга/а и родствени връзки, приложеното към заявлението подадено до АГКК, както доказателства по какъв начин, кога и от кого е възложено извършването на услугата по заявлението. Уточнено е, че приложеното от ответника, към становище от 01.11.2021г., копие на Вътрешни правила за сигурност на информацията и личните данни, са без дата и конкретика за дружеството за което се отнасят.
На АГКК е изпратено за запознаване твърдението на дружеството, че причина в процесното заявление да са вписани адреса и телефона на молителя г-жа Т.А. е, че „При изписване на ЕГН-то (Булстата) или името на дадено физическо лице или фирма, системата на СГКК сама генерира останалите данни, като адрес, телефон, мейл, които системата на АГКК притежава“. В тази връзка от агенцията е изискана информация съхранявани ли са преди 13.11.2020г. в системата на АГКК данни за жалбоподателката и в какъв обем, както и генерирани ли са те автоматично при посочване на ЕГН на лицето в заявление ******* по описа на АГКК, подадено по електронен път.
В отговор ****** от АГКК не отрича изложените от ответника твърдения. Конкретизират, че „при подаване на заявление от правоспособно лице, в случай че заявителя е бил клиент на АГКК във връзка с дадено административно производство, по което е предоставил данните си, системата ги съхранява и визуализира на екран, като съществува възможност с натискане на бутон „Редакция“, същите да бъдат ползвани, заличавани и изменяни от правоспособното лице“. Допълват, че във връзка с подадено заявление вх. №****** от жалбоподателката информационната система на АГКК съхранява нейни лични данни за адрес, телефон, три имена и ЕГН.
На 18.05.2022г., половин час преди заседанието, ответникът депозира незаверено копие на заглавна страница на представени на по-ранен етап в производството Вътрешни правила за сигурност на информацията и личните данни на „Г.И.“ ООД, с дата 20.02.2018г. и удостоверениe №0016649 за администратор на лични данни. Уточнява, че източник на обработваните лични данни на жалбоподателката са масивите на АГКК. Сочи, че удостоверението за родствени връзки, приложено към подаденото към АГКК заявление, както и всички доказателства удостоверяващи съсобствеността на молителя, съвпадаща с тази на жалбоподателката, се подават от съсобственика или упълномощено лице– адвокат, като тези документи са достъпни за всеки съсобственик и се получават от съответните административни служби на общините. Твърдят, че услугата по заявлението е поискана от пълномощника (адв. Г.) на сънаследник на жалбоподателката и е предоставена на датата, на която е отразено, че е получена.
На проведено на 18.05.2022г. заседание на комисията, жалбата е разгледана по същество.
Жалбоподателката – редовно уведомена се явява лично и чрез адв. Н. с пълномощно по преписката.
Ответната страна– редовно уведомена, не се представлява в заседанието пред комисията.
Жалбоподателката и адв. Н. заявяват, че са запознати със събраните по преписката доказателства, включително депозираните преди заседанието доказателства и информация от ответника. Не сочат нови доказателства, искания по доказателствата нямат. Поддържат жалбата и молят комисията да я приеме за основателна.
В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл.7 от АПК, изискващ наличието на установени действителни факти и предвид събраните доказателства и наведените твърдения, комисията приема, че разгледана по същество жалба №ППН-01-63/21.01.2021г. е основателна.
Предмет на жалбата са твърдения за неправомерно обработване на личните данни на г-жа Т.А.– три имена, единен граждански номер, адрес и мобилен телефонен номер, от „Г.И.“ ООД във връзка с подадено в АГКК заявление *******
От събраните по преписката доказателства се установи, а и между страните не е спорно, че в кадастрално-административната информационна система (КАИС) на АГКК е регистрирано Заявление с вх. №**** от Т.А., подадено чрез „Г.И.“ ООД. Заявлението е подадено по електронен път и с него е поискано изменение в кадастралния регистър на недвижимите имоти, издаване на скица на поземлен имот с идентификатор ***** и схема на самостоятелен обект с идентификатор ********. Заявлението е регистрирано в КАИС от Д.Й. служител на „Г.И.“ ООД, правоспособно лице по кадастъра, който е включен в специализирания състав на дружеството и е определен за лице, което да извършва дейността по административно обслужване с кадастрална информация. В заявлението се съдържат три имена и ЕГН на жалбоподателката, а също адрес и телефон за връзка, в качеството ѝ на молител, заявител на услугата. Към подаденото в АГКК заявление са приложени договор за продажба на държавен жилищен имот издаден на името на покойните родители на жалбоподателката С.С. и П.П.С., удостоверение за наследници от 2007г. на С.С. и удостоверение за съпруг/а и родствени връзка на П.С. с изх. №**** на Столична община, район „Сердика“, в които удостоверения се съдържат лични данни– имена, ЕГН на жалбоподателката и родствени връзки.
Не е спорно, че жалбоподателката не е заявител на услугата, обстоятелство което се потвърждава от ответника, а и от изготвена по случая графическа експертиза отразена в Протокол №******* от 22.03.2022г., по описа на НИК, със заключение, че подписът в графа „Подпис“ в долния десен ъгъл на копие на Заявление ******* по описа на АГКК е копие на подпис, който не е положен от Т.А.
Не е спорно, че г-жа Т.А. не е предоставяла личните си данни на „Г.И.“ ООД, че няма договорни отношения между страните, че не е упълномощавала дружеството да подава от нейно име заявление до АГКК за конкретната услуга и че липсва съгласие за обработване на личните ѝ данни от страна на дружеството. Предвид горното се налага извода, че личните данни на жалбоподателката са обработени, в хипотезата на употреба, от „Г.И.“ ООД за подаване на заявлението от името на жалбоподателката до АГКК без основание и в нарушение на чл.6, §1 от ОРЗД. Дружеството само признава, че заявител на услугата е лице различно от жалбоподателката, а именно Ст.С., неин племенник, но погрешно в подаденото заявление като молител е посочена жалбоподателката и в заявлението е вписан ЕГН на последната. Обстоятелството, че останалите данни за молителя– имена, адрес и телефонен номер, съдържащи се в заявлението не са посочени/вписани от дружеството, а са автоматично генерирани от АГКК, не променя извода за допуснато от дружеството незаконосъобразно обработване на лични данни на г-жа Т.А. във връзка със заявената пред АГКК услуга, доколкото данните вписани в заявлението са потвърдени от подателя Д.Й., служител на „Г.И.“ ООД, правоспособно лице по кадастъра, въпреки, че г-жа Т.А. не е заявител на услугата, обстоятелство което е известно на дружеството и правоспособното лице към дата на подаване на заявлението. Допълнително системата позволява „редакция“ на попълнената в заявлението информация, което не е направено, следователно не е спазен и принципа на за точност на обработваните данни. В тази връзка комисията не кредитира твърденията на дружеството за допусната техническа грешка, тъй като на заявлението е придаден вид, че изхожда от жалбоподателката и е подписано от нея, което свидетелства за целенасоченост на действията на подателя, съзнавайки, че жалбоподателката не е заявител на услугата доколкото дружеството няма договор с нея по възлагане на услугата.
Твърденията на жалбоподателката, че личните ѝ данни са обработени от дружеството без нейно знание и съгласие за целите на подаденото заявление кореспондират със събраните по преписката доказателства. Липсват доказателствата които да обосноват законосъобразност на обработването основано на сключен между страните договор за изпълнението на който да е необходимо обработване на лични данни на г-жа Т.А. или за предприемане на стъпки по искане на субекта на данни преди сключване на договора. Не е налице и нормативно установено задължение на дружеството да обработва лични данни на лицето за посочената цел.Неприложима е хипотезата за наличие на легитимен интерес на администратора който да е преимуществен пред интереса на засегнатото физическо лице. Останалите условия са неотносими- приложими са в други, различни и несъвместими с настоящата хипотези, които се отнасят за обработване на лични данни с цел защита на жизненоважни интереси свързани с живота и здравето на субекта на данни или изпълнение на задача от обществен интерес, както и при упражняването на официални правомощия, каквито в настоящето производство не са установени да са делегирани на дружеството.
От анализ на събраните доказателства се налага извода, че личните данни на жалбоподателката са обработени в нарушение на чл.6, §1 от Регламента, без да е налице нито едно от посочените в разпоредбата условия за законосъобразност на обработването, като са нарушени правата на лицето сезирало КЗЛД.
Поради естеството на констатираното нарушение и в условията на оперативна самостоятелност комисията счита, че с оглед установената фактическа обстановка и събраните доказателства, мерките по чл.58, §2, буква„а“, „в“, „д“, „е“, „ж“, „з“ и „й“ от Регламент ЕС 2016/679 са неприложими, а налагането на корективни мерки по чл.58, §2, буква„б“ и „г“ от ОРЗД е нецелесъобразно и непропорционално на нарушението и обстоятелствата при които е допуснато от страна на администратора. Счита за целесъобразно, възпиращо и пропорционално, предвид тежестта на нарушението, големия обем от обработени лични данни и обстоятелството, че същото е довършено и целенасочено, ангажирането на административно-наказателната отговорност на дружеството с налагане на имуществена санкция за нарушение на чл.6, §1 от ОРЗД.
При определяне на вида и размера на наложената на администратора корективна мярка, като утежняващи комисията квалифицира обстоятелствата, че обработените лични данни са в голям обем, нарушението е довършено, действията на представителя на администратора са целенасочени, а нарушението е станало известно на КЗЛД в следствие сезирането ѝ от потърпевшото лице. Като смекчаващи комисията отчита обстоятелствата, че: се касае за нарушаване на правата на едно физическо лице; до настоящия момент по отношение на администратора КЗЛД не е упражнявала корективни правомощия; дружеството е микропредприятие по смисъла на чл.3, ал.3, т.1 от Закона за малките и средни предприятия доколкото обявения средносписъчен брой на персонала е 10 души,аобща стойност на активите, съгласно последния публикуван отчет за 2020г., е в размер на 259 000 лв. Обстоятелствата по чл.83, §2, букви „б“ и „и“ от Регламента са неотносими доколкото се касае за администратор– юридическо лице, което не формира вина, а към момента на извършване на нарушението одобрени кодекси за поведение, респективно одобрени механизми за сертифициране не са въведени.
По изложените съображения комисията счита, че с оглед принципа на пропорционалност между тежестта на нарушението и размера на наказанието, наложената санкция следва да е в размер на 3000 лв. (три хиляди лева)– размер около минимума и много под средния предвиден в регламента за това нарушение.
Съобразявайки целта на наказанието, което следва да има възпираща и предупредителна функция, естеството и тежестта на нарушението, обществените отношения които засяга, категориите засегнати лични данни, комисията счита, че упражненото корективно правомощие по вид и размер безспорно отговаря на търсените от ЗЗЛД и Регламент 2016/679 ефективност и възпиращ ефект, като в същото време не нарушава принципа на пропорционалност и изискването за съразмерност.
Водима от горното и на основание чл.38, ал.3 от ЗЗЛД, Комисията за защита на личните данни,
РЕШИ:
1. Обявява жалба №ППН-01-63/21.01.2021г. за основателна.
2. На основание чл.83, §5, буква„а“ във връзка с чл.58, §2, буква„и“ от Регламент ЕС 2016/679 налага на „Г.И.“ ООД с ЕИК *******, административно наказание– имуществена санкция в размер на 3000 лв. (три хиляди лева) за нарушение на чл.6, §1 от Регламента.
Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни, пред Административен съд София- град.
След влизане в сила на решението, сумата по наложеното наказание следва да бъде преведена по банков път:
Банка БНБ– ЦУ, IBAN: BG18BNBG96613000158601
BIC BNBGBGSD
Комисия за защита на личните данни, БУЛСТАТ 130961721.
ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
Венцислав Караджов /п/ | Цанко Цолов /п/ | |
Мария Матева /п/ | ||
Веселин Целков /п/ |