Решение по жалба рег. № Ж-1069/08.12.2014 г.

Комисията за защита на личните данни (КЗЛД) в състав членове: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков на заседание, проведено на 11.03.2015г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни, разгледа по същество жалба рег.№Ж-1069/08.12.2014г., подадена от А.Д.Д.

Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).

Комисията за защита на личните данни е сезирана с жалба, в която се съдържат твърдения за злоупотреба с лични данни. Жалбоподателката посочва, че до 12.05.2014г. е работила в „АББ Б.” ЕООД на длъжност експерт управление на човешките ресурси, на която дата е уволнена. Твърди, че е уволнена от работа поради разкрити от нейна страна законови нарушения, за едно от които посочва е неправомерният достъп до личните данни на работниците и служителите на дружеството. Госпожа А.Д.Д. заявява, че не е подписала нито един от представените ѝ документи, както и предизвестието за прекратяване на трудовия договор с „АББ Б.” ЕООД. Притеснена е от обстоятелството, че на 12.05.2014г. на работното ѝ място е била посетена от ръководителя на отдел „Човешки ресурси” и проектния мениджър на дружеството, които без нейното съгласие са иззели служебния ѝ телефон и лаптопа. След отстраняването ѝ от длъжност са иззети и всички документи, помощни средства, книжа и архив, както и трудовите досиета, като за целта не са изготвени съответните протоколи.

А.Д.Д. заявява, че на проведени срещи с ръководството на дружеството е оспорила осигуряването на свободен електронен достъп на работниците и ръководството до трудовите досиета като незаконосъобразен. Считано от 18.01.2013г. „АББ Б.” ЕООД е обособило три клона – в гр. Петрич, гр. Раковски и гр. Севлиево, които според нея не са регистрирани като администратори на лични данни, но към посочените клонове е извършено пренос на данни без знанието и съгласието на работещите. Твърди, че достъпът не е защитен от незаконно изтичане на информация, от копирането и преноса на данни. Жалбоподателката посочва, че след оплакване на служители от администрацията в началото на 2014г., по служебната поща до ръководителя на отдел „Човешки ресурси” е изразила становище, че с посочените действия се нарушава фирмената инструкция от 26.01.2010г. относно обработването на лични данни и тяхната защита. Въпреки нейната реакция, още в началото на 2014г. е предоставен свободен електронен достъп до трудовите досиета на работещите както на изпълнителните директори на дружеството, управителите на клонове, така и на преките ръководители.

Жалбоподателката твърди, че базата лични данни на „АББ Б.” ЕООД е предадена на трета страна – Чешката република отново без знанието и съгласието на лицата, за които данните се отнасят в т.ч. и нейните. Госпожа А.Д.Д. счита, че „АББ Б.” ЕООД нарушава Закона за защита на личните данни и моли Комисията, с оглед правомощията си да предприеме съответните действия по случая.

Към жалбата са приложени копия на: 6 стр. електронна кореспонденция; Предизвестие за прекратяване на трудов договор и Приложение №1 към него; писмо от 07.05.2014г. и Заповед №2004/10.05.2014г.

Жалбата, подадена от А.Д.Д. срещу „АББ Б.” ЕООД е съобразена с изискванията на КЗЛД съгласно Правилника за дейността на Комисията за защита на личните данни и на нейната администрация и съдържа необходимите нормативно определени реквизити. Комисията е сезирана от физическо лице, при наличието на правен интерес, подадена е в срока по чл.38, ал.1 от ЗЗЛД.

В чл.27, ал.2 от АПК законодателят обвързва преценката за допустимостта на искането с наличие на посочените в текста изисквания. Приложимостта на Закона за защита на личните данни е свързана със защитата на физическите лица във връзка с обработването на техните лични данни от лица, имащи качеството администратори на лични данни по смисъла на легалната дефиниция на чл.3 от Закона, каквото качество безспорно притежава „АББ Б.” ЕООД. Това изискване се явява абсолютна процесуална предпоставка, с оглед на което следва да се прецени допустимостта на жалбата.

При извършена служебна проверка вРегистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД, е установено, че дружеството „АББ Б.” ЕООД притежава Удостоверение №29074 и е вписано в Регистъра на администраторите на лични данни и на водените от тях регистри към КЗЛД. Заявени са 7 регистъра.

Жалбата съдържа твърдения за злоупотреба с личните данни на г-жа А.Д.Д., изразяваща се в предоставянето има на трети лица без знанието и съгласието ѝ. По смисъла на § 1 от ДР на ЗЗЛД ”предоставяне” на лични данни представлява обработване на лични данни.

Съгласно чл.10, ал.1, т.7 във връзка с чл.38 от Закона за защита на личните данни, КЗЛД разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по този закон, както и жалби на трети лица във връзка с правата им по този закон.

В заседание, проведено на 22.01.2015г. (Протокол №4), Комисията за защита на личните данни обявява жалбата за допустима и я насрочва за разглеждане по същество на 11.03.2015г. Конституира като страни в административното производство жалбоподателката А.Д.Д. и ответна страна „АББ Б.” ЕООД, в качеството му на администратор на лични данни. С оглед изясняване на факти и обстоятелства по случая, КЗЛД приема решение на „АББ Б.” ЕООД да се извърши проверка със следната задача: какви лични данни обработва администраторът на лични данни, какви мерки за тяхната защита са предприети,предоставяни ли са лични данни, в т.ч. и на жалбоподателката, от „АББ Б.” ЕООД на трети лица, в какъв обем, на какво основание и за каква цел.

В изпълнение на приетото решение и на основание РД-14-16/02.02.2015г. на Председателя на КЗЛД и чл.11, т.1 и чл.12, ал.1, ал.4 и ал.5 от ЗЗЛД, на 11, 12 и 13 февруари 2015г. екип на КЗЛД извършва проверка на „АББ Б.” ЕООД. Проверката е открита със среща с жалбоподателката, която предоставя следните допълнителни доказателства – Договор от дата 01.05.2013г. между „АББ Б.” ЕООД и „АББ Б.” ЕООД – Чешка република и Анекс А по т.2.3, Анекс Б и Анекс С по т.2.4 от същия; Фирмена инструкция №CI-21-26.01.2010г. от 23.07.2012г. за обработване на лични данни.

Превод на Договор от дата 01.05.2013г. между „АББ Б.” ЕООД и „АББ Б.” ЕООД– Чешка република за трансфера на личните данни е извършен от дирекция"Нормативна дейност, международно сътрудничество, планиране и обучение " към КЗЛД.

„АББ Б.” ЕООД е самостоятелно юридическо лице, част от група „АББ Г.”, със седалище гр. Цюрих, Конфедерация Швейцария. Дружествата, създадени от „АББ Г.” в различните държави са самостоятелни, обособени и несвързани в единна юридическа форма търговски дружества. На територията на Република България „АББ Б.” ЕООД има създадени три клона: в гр. Петрич, гр. Севлиево и гр. Раковски.Посочените клонове са обработващи лични данни по смисъла на чл.24 от Закона за защита на личните данни. Проверени са офисите на „АББ Б.” ЕООД – клон Петрич и „АББ Б.” ЕООД – клон Раковски.

Видно от Констативен акт с вх.№КА-77/06.03.2015г., при извършената проверка е установено, че личните досиета на работещите в „АББ Б.” ЕООД се съхраняват в обем, съответстващ на целите, за които личните данни се обработват. Във връзка с дейността си, дружеството е изготвило договор за трансфер на лични данни с „АББ – Чешка република”, по силата на който от българското в чешкото дружество са трансферирани данните на всички работници и служители на „АББ Б.” ЕООД. За извършените действия не е налице декларирано съгласие на лицата, за които данните се отнасят, в т.ч. и на жалбоподателката.

Установено е, че персоналният достъп на служителите до мрежата на „АББ Б.” ЕООД, вътрешната информационна система и електронния портал се осъществява посредством потребителско име и парола. Електронният достъп от служебните компютри до част от трудовите досиета имат единствено работникът/служителят и служителите от отдел „Човешки ресурси”.

От извършените констатации, проверяващият екип изразява следното мнение: поради липсата на декларации за информираност и съгласие на физическите лица, вкл. и на жалбоподателката, във връзка с трансфера на личните им данни в Чешката република, счита, че администраторът на лични данни е нарушил чл.4 от ЗЗЛД.

С писмо изх.№П-1737/27.02.2015г. на Председателя на КЗЛД, „АББ Б.” ЕООД е уведомено за откритото заседание за разглеждане на жалбата по същество и на основание чл.36 от Административнопроцесуалния кодекс (АПК), е изискано писмено становище по жалбата.

С писмо изх.№П-1738/27.02.2015г. на Председателя на КЗЛД, жалбоподателката е уведомена за предприетите действия по жалбата, както и за откритото заседание на КЗЛД. На основание чл.36 от АПК от г-жа А.Д.Д. са изискани други доказателства, подкрепящи изложените в жалбата твърдения (ако разполага с такива).

На проведено на 11.03.2015г. заседание на Комисията, жалбата е разгледана по същество.

Жалбоподателката – редовно уведомена, не се явява, не се предствлява.

„АББ Б.“ ЕООД– редовно уведомено, не се представлява.

В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл.7 от АПК, изискващ наличието на установени действителни факти, имайки предвид събраните писмени доказателства и наведените от страните твърдения, Комисията приема, че разгледана по същество жалба №Ж-1069/08.12.2014г. е основателна.

Законът за защита на личните данни урежда защитата на правата на физическите лица при обработване на личните им данни. Неговата цел съгласно чл.1, ал.2 е да гарантирана неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните. В тази връзка в чл.2, ал.2 от него законодателят установява принципите, на които следва да бъде подчинено правомерното обработване на личните данни от администраторите на лични данни, като тези принципи в своята цялост се отнасят към конкретните хипотези, уредени в чл.4, ал.1 от ЗЗЛД, които обуславят допустимостта за обработване на данните.

В качеството си на физическо лице г-жа А.Д.Д. сезира КЗЛД с жалба, насочена срещу незаконосъобразно разпространяване на личните ѝ данни от страна на „АББ Б.” ЕООД. По смисъла на § 1, т.1 от ДР на ЗЗЛД „разпространяване на лични данни” представлява обработване на лични данни.

Съгласно разпоредбата на чл.6, ал.1 от ЗЗЛД, Комисията за защита на личните данни е независим държавен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на този закон.

В конкретния случай, безспорно е, че г-жа А.Д.Д. е работила по трудов договор в „АББ Б.” ЕООД. Видно от Предизвестие за прекратяване на трудов договор от дата 12.05.2014г., както и от Заповед №2004/10.05.2014г. за прекратяване на трудовото правоотношение, „АББ Б.” ЕООД обработва личните данни на жалбоподателката във връзка с договорните взаимоотношения между страните. А.Д.Д. е предоставила доброволно личните си данни с оглед сключения и прекратен впоследствие трудов договор. Следователно е налице изричното ѝ съгласие по смисъла на чл.4, ал.1, т.2 от ЗЗЛД, администраторът на лични данни да обработва свързаните с нея лични данни.

Съгласно чл.19, ал.1, т.3 от ЗЗЛД, в случаите, когато личните данни се събират от лицето, за което се отнасят данните, администраторът на лични данни или негов представител му предоставя получателите или категориите получатели, на които могат да бъдат разкрити данните. „АББ Б.” ЕООД не представя доказателства в тази насока. Следователно г-жа А.Д.Д. не е била надлежно уведомена за предоставяне на личните ѝ данни в трета държава, с които действия (бездействие) администраторът на лични данни е нарушил императивната разпоредба, съдържаща се в чл.19, ал.1, т.3 от ЗЗЛД.

„АББ Б.” ЕООД е администратор на лични данни по отношение на личните данни, съдържащи се в регистрите за трудовите досиета на работниците и служителите на дружеството, както и в регистър „Котрагенти”. На 09.07.2012г. администраторът на лични данни е извършил актуализация на данните в регистъра по чл.10, ал.1, т.2 от ЗЗЛД, като е заявил обработване на нови категории данни в регистри „Персонал” и „Персонал и граждански договори”, за което е подал до КЗЛД уведомление за актуализация на регистрите. Предвид горното, на „АББ Б.” ЕООД е извършена предварителна проверка, приключила с КА 847/10.08.2012г.

При извършената проверка на „АББ Б.” ЕООД клон Петрич) е установено (Констативен протокол от 12.02.2015г.), че на основание Договор от дата 01.05.2013г. за трансфер на лични данни, личните данни на всички работници и служители, наети в българското дружество „АББ Б.” ЕООД, са транферирани на „АББ Б.” ЕООД – Чешка република.

Съгласно чл.36а от ЗЗЛД, предоставянето на лични данни в държава – членка на Европейския съюз,както и в друга държава – членка на Европейското икономическо пространство, се извършва свободно при спазване на изискванията на този закон, без да е необходимо разрешение на КЗЛД. За да бъде законосъобразно обработването на лични данни по този начин, следва да са налице две, кумулативно свързани предпоставки: да е налице поне едно от условията, съдържащи се в чл.4, ал.1 от ЗЗЛД, както и обемът на предоставяните лични данни да е съобразен с целите, за които данните се отнасят. В настоящия случай, за да е налице правомерно обработване на лични данни, следва да е налице изричното съгласие на А.Д.Д. По смисъла на § 13 от ДР на ЗЗЛД, „съгласие на физическото лице” е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят данните, недвусмислено се съгласява те да бъдат обработвани. От предоставеното обаче заверено копие на Декларация от А.Д.Д. от дата 25.11.2010г., лицето е декларирало, че е запознато единствено с Инструкция №21/26.01.2010г. на „АББ Б.” ЕООД относно механизма на обработване на лични данни и защитата им от незаконни форми на обработване. Госпожа А.Д.Д. е декларирала и съгласие личните ѝ данни да бъдат обработвани от администратора в изпълнение на нормативните изисквания за конкретни цели. Сред изрично посочените цели обаче не се съдържа текст, за наличие на съгласие на жалбоподателката личните ѝ данни да бъдат предоставяни на Чешката република. В тежест на администратора на лични данни е да докаже, че е налице съгласие на жалбоподателката за трансфериране на личните ѝ данни в друга страна. В настоящия случай администраторът на лични данни „АББ Б.” ЕООД не доказа наличие на съгласие на г-жа А.Д.Д. да предоставя личните ѝ данни в Чешката република. Обработването на личните данни на г-жа А.Д.Д., изразяващо се в предоставянето на личните ѝ данни в трета страна е неправомерно и с тези действия администраторът на лични данни е нарушил чл.4, ал.1, т.2 от ЗЗЛД.

Видно от копие – образец на новата бланка на трудов договор, предоставено на проверяващия екип на КЗЛД, такова информирано съгласие се съдържа като изричен текст в чл.24, ал.2 от същия, но в новия образец.

В рамките на оперативната си самостоятелност Комисията счита, че с оглед характера на констатираните нарушения налагането на принудителни административни мерки (задължително предписание или определяне на срок за отстраняване на нарушението) е нецелесъобразно и мерките са неприложими в случая, и в тази връзка налага на „АББ Б.“ ЕООД административни наказания за нарушение на разпоредбите на ЗЗЛД, като счита, че същите ще имат възпитателно въздействие и ще допринесат за спазване от страна на дружеството на установения правен ред.

Комисията съобрази целта на наказанието, което следва даима възпитателна, възпираща и предупредителна функция, а не да създава икономически затруднения на администраторите на лични данни, допуснали нарушението. Поради това счита, че размера на наложените административни наказания следва да бъде около минимума, предвиден в закона за съответното нарушение. В допълнение по отношение на наложената санкция за нарушение на чл.4, ал.1 от ЗЗЛД, като утежняващо обстоятелство и основание за налагане на санкция над минимума, Комисията отчита факта, че при извършената проверка е установено, че нарушениетo на чл.36а, ал.1 от ЗЗЛД във връзка с трансферирани в Чешката република лични данни, касае незаконосъобразно обработване освен на личните данни на жалбоподателката и на всички останали работници и служители наети в българското дружеството, без да са налице предпоставките за допустимост на обработване на личните данни.

Водима от горното, на основание чл.10, ал.1, т.7, във връзка с чл.38, ал.2 от Закона за защита на личните данни, Комисията за защита на личните данни,

1. Обявява жалба рег.№Ж-1069/08.12.2014г., подадена от А.Д.Д., за основателна.

2. На основание чл.42, ал.1 от ЗЗЛД налага на „АББ Б.“ ЕООД, с ЕИК **** със седалище и адрес на управление *******, в качеството му на администратор на лични данни, административно наказание – имуществена санкция в размер на 12000 лв. (дванадесет хиляди лева) за нарушение на чл.4, ал.1 от ЗЗЛД във връзка с чл.36а от ЗЗЛД.

3. На основание чл.42, ал.3 от ЗЗЛД налага на„АББ Б.“ЕООД, с ЕИК ***** със седалище и адрес на управление ******, в качеството му на администратор на лични данни, административно наказание – имуществена санкция в размер на 3500 лв. (три хиляди и петстотин лева) за нарушение на чл.19, ал.1 от ЗЗЛД.

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд – София – град.

След влизане в сила на решението, сумата по наложеното наказание да бъде внесена в брой в касата на Комисията за защита на личните данни, находяща се в гр.София, бул. „Проф. Цветан Лазаров" №2 или преведена по банков път:

Банка БНБ – ЦУ

IBAN: BG18BNBG96613000158601

BIC BNBGBGSD

Комисия за защита на личните данни, БУЛСТАТ 130961721