РЕШЕНИЕ
№10063/2010 г.
София, 07.02.2011 г.
Комисията за защита на личните данни /КЗЛД/ в състав: Председател: Венета Шопова и членове: Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков на открито заседание, проведено на 12.01.2011 г., на основание чл. 10, ал. 1, т. 7 от Закона за защита на личните данни /ЗЗЛД/, разгледа по същество жалба с рег. №10063/ 11.10.2010г., подадена от Х.С.П. срещу „Ю.И.Е.Д.Б.” АД.
Административното производство е по реда на чл.38 от Закона за защита на личните данни.
В чл.30, ал.1 от ПДКЗЛДНА са определени реквизитите, които трябва да съдържа жалбата, с която физическите лица сезират Комисията за нарушения на техните права по ЗЗЛД. Жалбата отговаря на нормативно установените изисквания, поради което се явява редовна.
Жалбата е подадена в срок, от надлежна страна, при наличие на правен интерес, поради което е обявена за процесуално допустима с решение на КЗЛД от 24.11.2010г.
Х.С.П. сезира Комисията с твърдение за наличие на мълчалив отказ на „Ю.И.Е.Д.Б.” АД да му предостави достъп до личните му данни. В жалбата е посочено, че господин Х.С.П. през 2008г. е сключил договор за ипотечен кредит с банката. Във връзка със сключеният договор, жалбоподателят е предоставил свързаните с него лични данни на банката. В началото на 2010г. е установил, че личните му данни, които е предоставил на банката във връзка с договора са разпространени на трети лица. Във връзка с установеното разпространяване на личните му данни, в жалбоподателя се е породило съмнение за сигурността на данните му, което го е провокирало да подаде заявление до банката с искане за достъп до личните му данни.
Х.С.П. е подал молба рег.№693/28.07.2010г. до „Ю.И.Е.Д.Б.” АД, с която е поискал да бъде уведомен писмено за начина на обработване на личните му данни, какъв обем от данни са предоставяни на трети лица, от кои служители на банката, по какъв повод и на какво правно основание, информация и дали данните му са използвани за рекламни цели. Към момента на подаване на жалбата господин Х.С.П. не е получил отговор от банката, за това жалбата му е насочена срещу мълчалив отказ за достъп до лични данни, по смисъла на чл.26 и чл.28 от ЗЗЛД.
Жалбоподателят иска от Комисията, да задължи „Ю.И.Е.Д.Б.” АД да предостави исканата от него информация, а именно:
– потвърждение за това, дали отнасящите се до него данни се обработват, информация за целите на обработването, категориите данни, които се обработват и категориите лица, на които данните са разкрити;
– съобщение до него, което да съдържа личните му данни, които се обработват, както и всяканалична информация за източникът им;
– информация за логиката на всяко автоматизирано обработване на личните му данни.
Господин Х.С.П. иска от КЗЛД да извърши проверка на банката, от която да се установи реда за събиране на личните данни на клиентите й.
В жалбата е посочено още, че при сключване на договори за кредит, банката предлага типови договори, чиито клаузи и условия не подлежат на промяна. В тази връзка господин Х.С.П. иска Комисията да издаде задължително предписание на„Ю.И.Е.Д.Б.” АД. В жалбата е посочен и текста на задължителното предписание.
Към жалбата са представени следните доказателства: писмо рег.№693/ 28.07.2010г. от Х.С.П. и писмо рег.№826/29.09.2010г. от Х.С.П.
На основание чл.36, ал.2 от Административно-процесуалния кодекс е изискано становище от „Ю.И.Е.Д.Б.” АД.
На 01.11.2010г. е депозирано становище от „Ю.И.Е.Д.Б.” АД, в което е посочено, че в банката са постъпили две молби от господин Х.С.П., едната от 29.07.2010г., а втората на 29.09.2010г. Поради извънредно големият обем на исканата от жалбоподателят информация и документи, банката му е отговорила на 11.10.2010г. В становището си банката отрича, че всеки неин служител има пълен и безусловен достъп до данните на клиентите на банката и твърденията в тази насока не отговорят на истината. В подкрепа на това, банката е представила към становището си Инструкция по чл.23 от ЗЗЛД. Като допълнение е посочено, че източника, от който банката се е снабдила с личните данни на жалбоподателят е самият той. Посочени са категориите лица, на които данните му са разкрити и правното основание за това. Изчерпателно са изброени и видовете лични данни, които се обработват във връзка с сключения договор за кредит.
Във връзка с изразеното становище на банката и получената от нея информация, че на жалбоподателят му е отговорено, с писмо изх.№10063/08.11.2010г. на Председателя на КЗЛД, е поискано от Х.С.П. да уточни дали поддържа жалбата си срещу мълчалив отказ или срещу изричен такъв, обективиран в писмо изх. №1112/0814/11.10.2010г.
С уточняваща молба от 15.11.2010г. Х.С.П. е заявява, че жалбата му е срещу мълчалив отказ на банката да му предостави достъп до свързаните с него лични данни по смисъла на чл.26 и чл.28 от ЗЗЛД. Счита, че отговорът е непълен и е направен след изтичане на предвидения в чл.32 от ЗЗЛД 14-дневен срок. Поддържа искането си за налагане на административно наказание на банката, за неизпълнение от нейна страна на задължението по чл.29 от ЗЗЛД. Х.С.П. иска от КЗЛД, служебно да се събере като доказателство по административната преписка заявлението му до банката за получаване на ипотечен кредит, както и попълнено и подписано от него на 29.09.2010г. в клон „О.К.”, заявление за изменение на адрес за кореспонденция.
Към молбата са приложени: непопълнен формуляр на заявление за ипотечен кредит и заверено с оригинала копие на уведомление за промяна на адрес за кореспонденция вх.№827/29.09.2010г.
С молба от 10.12.2010г. „Ю.И.Е.Д.Б.” АД в изпълнение на дадените й указания е изпратила искането на господин Х.С.П. за получаване на жилищно ипотечен кредит HL*****/01.02.2008г. и заявление за промяна на адрес за кореспонденция от 29.09.2010г.
Приложимостта на Закона за защита на личните данни е свързана със защита на физическите лица във връзка с обработването на техните лични данни от лица, имащи качество на администратори на лични данни, по смисъла на легалната дефиниция на чл. 3 от ЗЗЛД. Тоест, това изискване се явява абсолютна процесуална предпоставка, с оглед на която следва да се прецени допустимостта на жалбата. В конкретния случай, жалбата е насочена срещу юридическо лице- „Ю.И.Е.Д.Б.” АД.
На основание събраните по административната преписка доказателства, Комисията приема за установено от фактическа страна следното:
Жалбоподателят е упражни правото си по чл.26 и чл.28 от ЗЗЛД, като е подал заявление за достъп до лични данни с рег.№693/28.07.2010г. до „Ю.И.Е.Д.Б.” АД. Със заявлението е поискал да бъде уведомен писмено за начина на обработване на личните му данни, какъв обем от данни са предоставяни на трети лица, от кои служители на банката, по какъв повод и на какво правно основание, информация и дали данните му са използвани за рекламни цели. В законовия 14 дневен срок, администраторът на лични данни не е изпълни задължението да осигурил достъп до свързаните с жалбоподателя лични данни.
В изразеното от 01.11.2010г. становище на банката е посочено, че отговор на заявлението е изпратено до господин Х.С.П. на 11.10.2010г. Ответната страна се позовава на обстоятелството, че поисканият обем от информация е твърде голям и това е наложило забавянето на отговора. С молба от 03.11.2010г. Х.С.П. е приложил и е помолил КЗЛД да приеме като доказателство по административната преписка писмото отговор на банката от 11.10.2010г.
Приложимостта на Закона за защита на личните данни е свързана със защита на физическите лица във връзка с обработването на техните лични данни от лица, имащи качество на администратори на лични данни, по смисъла на легалната дефиниция на чл. 3 от ЗЗЛД. Тоест, това изискване се явява абсолютна процесуална предпоставка, с оглед на която следва да се прецени допустимостта на жалбата. В конкретния случай жалбата е насочена срещу „Ю.И.Е.Д.Б.” АД, което е администратор на лични данни по смисъла на чл.3 от ЗЗЛД.
За датата на откритото заседание страните са редовно и своевременно уведомени по реда на АПК. Жалбоподателят се явява лично, ответната страна се представлява от юрисконсулт К.Х.
В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в процесуалното производство, съгласно чл.7 от Административно-процесуалния кодекс (АПК), изискващ наличието на установени действителни факти от значение за случая, имайки предвид представените писмени доказателства и изразени становища, Комисията приема, че разгледана по същество жалбата е основателна.
Комисията за защита на личните данни е независим държавен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъп до тези данни, както и контрол по спазването на Закона за защита на личните данни. Целта на Закона е да гарантира неприкосновеността на личността и личния живот на физическите лица чрез осигуряване на защита при неправомерно обработване на свързаните с тях лични данни в процеса на свободно движение на данните.
Правомощието на Комисията за защита на личните данни да разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица е регламентирано в чл.10, ал.1, т.7 от ЗЗДЛ.
Във връзка с изложеното, КЗЛД приема, че не е спорно, че на подаденото от жалбоподателят заявление за достъп до лични данни, администратора на лични данни е отговорил. Приема, че не следва да се кредитира твърдението на банката, че поисканият от молителя достъп е бил в голям обем, което е наложило непроизнасянето й в 14 дневния срок. Мотивите за това са следните:
В чл.32 от ЗЗЛД е определено, че по подадено заявление с правно основание чл.28, ал.1 от ЗЗЛД, администраторът на лични данни или изрично оправомощено от него лице, разглежда заявлението и се произнася в 14-дневен срок от подаването му. В ал.2 от цитираната разпоредба е предвидена възможност, срока да бъде удължен от администратора до 30 дни, когато обективно се изисква по-дълъг срок за събиране на всички искани данни и това сериозно затруднява дейността на администратора.
При тълкуване на цитираната разпоредба може да се направи извод, че законодателят е определил срок за произнасяне, който е 14 дневен. Дадена е възможност този срок да бъде удължен по усмотрение на администратора при наличието на две кумулативни предпоставки, а именно: 1. за събирането на всички данни да се изисква по-дълъг срок и 2. това сериозно да затруднява дейността на администратора. Въпреки, че развиващото се производство между физическото лице и администратора на лични данни, който може да не е орган да държавна власт или местно самоуправление, какъвто е и настоящия случай, не е административно по своята същност, КЗЛД приема, че следва да се подчинява на принципа за своевременно уведомяване за удължаване на срока за произнасяне. За да е налице хипотезата на ал.2, следва администратора на лични данни да уведоми заявителя, че срока ще бъде удължен. По административната преписка на са представени доказателства, които са в тежест на ответната страна, че е извършено такова уведомяване.
На следващо място, дори и да се приеме, че срока е удължен на едномесечен, то той е изтекъл на 28.08.2010г. , а ответната страна е отговорила на жалбоподателя на 11.10.2010г.
При проверка на подаденото заявление за достъп до лични данни от Х.С.П. до ответната страна, КЗЛД установи, че отговаря на всички реквизити, определени в чл.30 от ЗЗЛД.
Със заявлението от Х.С.П. с рег.№693/28.07.2010г. е поискан достъп доследната информация:
1. копия на договора за ипотечен кредит и допълнителни споразумения към него;
2. справка за всички движения по всички банкови сметки за периода месец април 2008г. до настоящия момент, като в справката да се отрази подробно: дата на банковата операция, валута, вносител/наредител, основание за внасяне/нареждане, клон в който е осъществена банковата операция;
3. справка за всички движения по сметките в евро, открита за обслужване на ипотечния кредит за периода април 2008г. до настоящия момент, като в справката да се отрази подробно датата на банковата операция, основанието на което е осъществено разпореждането със средствата, като общата изтеглена от банката сума да бъде посочена като главница, лихви, такси, други разноски;
4. справка за базовия лихвен процент за евро на банката за периода месец април 2008г. до настоящия момент, за всяка от датите на които е извършвано разпореждане от страна на „Ю.И.Е.Д.Б.” АД от банковата му сметка, открита за обслужване на кредита, както и какъв е размерът му към настоящия момент;
5. справка за стойността на лихвата и на таксите (в проценти и в абсолютна стойност) начислявана по договора за ипотечен кредит, към момента на всеки от периодите за които е дължима;
6. справка за сключените от името на Х.С.П. и за негова сметка от банката договори за застраховка на имота, предмет на обезпечение по договора, както и за сумите с които се е увеличило задължението му към банката;
7. справка за начина на обработка на личната информация, която е събрана за жалбоподателя, каква информация е предоставяна на трети физически или юридически лица, от кой служител на банката, по какъв повод и на какво правно основание, как са използвани личните му данни и при какви рекламни кампании;
8. справка, от която да е видно от кои служители на банката е достъпвано до свързаните с него лични данни и клиентското досие, какъв обем от информация е получил всеки служител, за какви цели е използвана, както и установено ли е нерегламентирано достъпване или използване на личната му информация, за което не е уведомен.
С писмо изх.№1112/0814/11.10.2010г. на „Ю.И.Е.Д.Б.” АД до жалбоподателят е отговорено на т.1, т.2, т.4, т.6 и частично на т.7 и т.8 от подаденото заявление за достъп. Отговорът на банката по отношение на т.3, а именно, изготвяне на справка за всички движения по сметките в евро, открита за обслужване на ипотечния кредит за периода април 2008г. до настоящия момент, като в справката да се отрази подробно датата на банковата операция, основанието на което е осъществено разпореждането със средствата, като общата изтеглена от банката сума да бъде посочена като главница, лихви, такси, други разноски е че може да бъде получена в офиса на банката срещу заплащане на съответната такса, съгласно тарифата на банката.
Администраторът на лични данни „Ю.И.Е.Д.Б.” АД не е предоставил с отговора си информация по отношение на: каква информация е предоставяна на трети физически или юридически лица, от кой служител на банката, по какъв повод и на какво правно основание, как са използвани личните му данни и при какви рекламни кампании и не е направила справка, от която да е видно от кои служители на банката е достъпвано до свързаните с жалбоподателя лични данни и клиентското досие, какъв обем от информация е получил всеки служител, за какви цели е използвана, както и установено ли е нерегламентирано достъпване или използване на личната му информация, за което не е уведомен.
Видно от представените към административната преписка доказателства (искане за получаване на жилищен-ипотечен кредит HL*****/01.02.2008г. и формуляр „Клиентски данни-физически лица”), банката обработва по-голям обем от свързаните с жалбоподателя лични данни, отколкото е заявила в отговора на заявлението. Отговорът на банката от 11.10.2001г. до жалбоподателя е посочено, че данните които банката обработва са: единен граждански номер, три имена и адрес. В искането за получаване на ипотечен кредит, се съдържат освенличните данни, които банката декларира, че обработва и такива отнасящи се до номера на домашния и служебния телефона на господин Х.С.П., имейл адресът му, професия, образование. Във формуляра, в който се съдържат клиентски данни се обработват лични данни свързани с работодателя на жалбоподателя, трудовият му стаж и размера на трудовото му възнаграждение.
Обема от информация, който банката е предоставила е непълен и неточен, поради което, КЗЛД приема, че е налице мълчалив отказ за предоставяне на достъп до лични данни от страна на банката, който е незаконосъобразен и следва да бъде отменен.
Комисията не споделя, изразеното становище на „Ю.И.Е.Д.Б.” АД, обективирано в представените писмени бележки, че жалбоподателят е бил уведомен при сключване на договора за ипотечен креди за категориите лица, на които ще бъдат предоставени свързаните с него лични данни и целта на предоставянето им. Предоставянето на посочената информация към момента на сключване на договора, не освобождава администратора на лични данни, при постъпване на заявление, по смисъла на чл.28 от ЗЗЛД, да предостави отново исканата информация.
Във връзка с изложеното, Комисия за защита на личните данни, приема че администратора на лични данни не е изпълнил задължението да се произнесе с решение по направеното пред него искане с правно основание чл.26 и чл.28 от ЗЗЛД в обема, в който е поискан, поради което мълчаливият отказ е незаконосъобразен и следва да бъде отменен.
В разпоредбата на чл.38, ал.2 от ЗЗЛД са определени правомощията на КЗЛД при постановяване на решението й. Административния орган може да издаде задължително предписание или да наложи административно наказание. Предпоставките са алтернативни, а не кумулативни, поради което искането на жалбоподателя за налагане на административно наказание на банката не може да бъде уважено.
С оглед изложеното, Комисията счита, че е налице мълчалив отказ на администратора на лични данни – „Ю.И.Е.Д.Б.” АД, за достъп до лични данни по смисъла на чл.26 и чл.28 от ЗЗЛД, който е незаконосъобразен и като такъв следва да бъде отменен, поради което на основание чл. 10, ал. 1, т. 7 и чл. 38, ал. 2 във връзка с изискванията на чл. 33, ал. 3 от ЗЗЛД,
РЕШИ :
І. Уважава жалба с рег.№10063/ 11.10.2010г., подадена от подадена от Х.С.П. и отменя мълчалив отказ за достъп до лични данни, по смисъла на чл.26 и чл.28 от ЗЗЛД на „Ю.И.Е.Д.Б.” АД.
ІІ. На основание чл.10, ал.1, т.5 от ЗЗЛД издава следното задължително предписание:
Задължава „Ю.И.Е.Д.Б.” АД, в качеството му на администратор на лични данни в 14-дневен срок да предостави поисканата информация от Х.С.П. със заявление вх.№693/28.07.2010г. в пълен обем.
Задължава администратора на лични данни да уведоми Комисията за защита на личните данни за изпълнението на задължителното предписание, като изпрати копие на решението си по чл.32, ал.1 от ЗЗЛД.
Решението да се съобщи на заинтересованите лица по реда на АПК.
Настоящето решение подлежи на обжалване, в 14 дневен срок от връчването му, чрез Комисията за защита на личните данни пред Върховен административен съд на Република България.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венета Шопова /п/ |
Красимир Димитров /п/ |
