Решение по жалба рег. № Ж-250/06.07.2015 г.

Комисията за защита на личните данни (КЗЛД) в състав Председател: Венцислав Караджов и членове: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков на заседание, проведено на 04.11.2015г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни, разгледа по същество жалба рег.№Ж-250/06.07.2015г., подадена от Г.П.Г. срещу „С.П.М.“ ЕООД.

Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).

Комисията за защита на личните данни е сезирана с жалба, подадена от Г.П.Г., в която са изложени твърдения за неправомерно обработване на личните му данни от „С.П.М.“ ЕООД.

Жалбоподателят информира, че на 05.05.2015г. получил Решение за отказ №2138/05.05.2015г. от Териториална дирекция (ТД) на Национална агенция за приходите (НАП) гр. Бургас относно ползване на облекчение по чл.22 б от Закон за данъците върху доходите на физическите лица (ЗДДФЛ), в което е констатирано, че е придобил доход от продажба на движимо имущество за отпадъци. Жалбоподателят допълва, че от приложените справки по чл.57 и чл.73 от Закон за данъците върху доходите на физическите лица е видно, че „С.П.М.“ ЕООД е подало справка с вх.№22000153486672, в която е посочено, че е изплатило сума от 8,10 лв. (осем лева и десет стотинки) на жалбоподателя и му е удържало данък в размер на 0.90 лв. (деветдесет стотинки).

Жалбоподателят е категоричен, че не е ползвал услугите на дружеството и не е получавал въпросната сума. Г-н Г.П.Г. счита, че „С.П.М.“ ЕООД е нарушило правата му по Закона за защита на личните данни и е злоупотребило с личните му данни, като е подало невярна информация в ТД на НАП.

Към жалбата е приложено копие на: Решение на отказ №2138/05.05.2015г. от ТД на НАП гр. Бургас, офис Сливен; извлечение от ТД на НАП– Дирекция „Информационни системи“ и жалба до ТД на НАП с вх.№6164/21.05.2015г.

В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, от „С.П.М.“ ЕООД е изискано писмено становище и представяне на относими доказателства.

В отговор от дружеството изразяват становище, в което сочат, че се касае за техническа грешка допусната от дружеството при посочване на единния граждански номер на задълженото лице, след установяване на която е подадена коригираща декларация в НАП.

Комисията за защита на личните данни е независим държавен орган, който осъществява защита на лицата при обработването на личните им данни и при осъществяване на достъпа до тези данни, както и контрол по спазването на ЗЗЛД.

За да упражни правомощията си, Комисията следва да бъде валидно сезирана.

Жалба рег.№Ж-250/06.07.2015г. съдържа задължително изискуемите реквизити, посочени в разпоредбата на чл.30, ал.1 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация, а именно: налице са данни за жалбоподателя, естеството на искането, дата и подпис, с оглед което жалбата е редовна.

Жалбата е процесуално допустима, подадена в срока по чл.38, ал.1 от ЗЗЛД от физическо лице с правен интерес. Същата има за предмет обработване, в хипотезата на употреба на личните данни на жалбоподателя от „С.П.М.“ ЕООД и предоставянето им на ТД на НАП във връзка с подадена от дружеството справка №22000153486672 по ЗДДФЛ за платени доходи на физически лица. С жалбата е сезиран компетентен да се произнесе орган– КЗЛД, която съгласно правомощията си по чл.10, ал.1, т.7 от ЗЗЛД разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по ЗЗЛД.

Наличието на администратор на лични данни е абсолютна процесуална предпоставка за допустимостта на жалбата. В конкретния случай жалбата е насочена срещу „С.П.М.“ ЕООД, което безспорно притежава качеството на администратор на лични данни по смисъла на чл.3, ал.2 от ЗЗЛД.

На проведено на 30.09.2015г. заседание на КЗЛД, жалбата е приета за процесуално допустима и като страни в административното производство са конституирани: жалбоподател– Г.П.Г. и ответна страна– „С.П.М.“ ЕООД, в качеството му на администратор на лични данни. Страните са редовно уведомени за насроченото за 04.11.2015г. заседание на Комисията за разглеждане на жалбата по същество.

С оглед изясняване на случая от правна и фактическа страна от „С.П.М.“ ЕООД и Националната агенция за приходите е изискано заверено копие на подадената на 27.04.2015г. от дружеството декларация/справка с вх.№22000153486672 относно платени на жалбоподателя суми и удържан данък, както и подадената от дружеството коригираща декларация.

В отговор от НАП информират, че след извършена справка в информационната им система установили, че справка №22000153486672/27.04.2015г. за изплатени доходи на физически лица по чл.73, ал.1 от ЗДДФЛ е подадена от „С.П.М.“ ЕООД по електронен път и допълват, че на 29.06.2015г. дружеството е подало нова справка в НАП отново в „електронен вид“, поради което не разполагат „с хартиени носители на тези две справки“. От НАП сочат, че справките съдържат освен лични данни и данни, които представляват данъчна и осигурителна информация, която може да бъде предоставена само по реда и на лицата посочени в Данъчно-осигурителния процесуален кодекс.

На проведено на 04.11.2015г. заседание на КЗЛД, жалбата е разгледана по същество.

Жалбоподателят– редовно уведомен, не се явява, не се представлява.

„С.П.М.“ ЕООД- редовно уведомено, не се представлява.

В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл.7 от Административно-процесуалния кодекс, изискващ наличието на установени действителни факти, имайки предвид събраните писмени доказателства и наведените от страните твърдения Комисията приема, че разгледана по същество жалба рег.№Ж-250/06.07.2015г. е основателна.

Законът за защита на личните данни урежда защитата на правата на физическите лица при обработване на личните им данни. Целта на закона е гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.

Съгласно легалното определение на чл.2, ал.1 от ЗЗЛД трите имена и единен граждански номер на физическото лице безспорно имат качеството на лични данни, а предоставянето и употреба им са действията по обработване на личните данни. Обработването на лични данни следва да се осъществяват при наличие на някое от условията за допустимост на обработването посочени в чл.4, ал.1 от ЗЗЛД, при спазване на принципите посочени в чл.2, ал.2 от ЗЗЛД. Законодателят е в вменил в задължение на администраторът на лични данни да предприема необходимите технически и организационни мерки, за да защити личните данни от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.

От събраните по административната преписка доказателства и изложените от жалбоподателя твърдения, същите потвърдени от ответната страна, се установи, че дружеството e обработило личните данни на жалбоподателя без знанието и съгласието му, като е посочило в подадена от дружеството справка за платени доходи на физически лица за 2014г. имената и единният граждански номер на жалбоподателя, като лице на което дружеството е изплатило доходи през 2014г. Безспорно се установи, че личните данни на жалбоподателя са обработени неправомерно от дружеството и в резултат на техническа грешка, за която ответната страна признава, неправомерно личните данни на жалбоподателя са употребени– вписани в подадената от дружеството справка в НАП.

Предвид обстоятелството, че жалбоподателят не е задължено лице употребата на личните му данни и вписването им подадената в НАП справка е неправомерно и в нарушение на правата му по ЗЗЛД.

Доколкото такова неправомерно обработване е осъществено, очевидно дружеството не е предприело необходимите технически и организационни мерки, за да защити данните от незаконна употреба, или предприетите такива са явно недостатъчни, следователно не е изпълнило задължението си по чл.23, ал.1 от ЗЗЛД и са нарушени правата на физическото лице, сезирало КЗЛД.

В рамките на оперативната си самостоятелност и с оглед характера на констатираното нарушение Комисията счита, че налагането на принудителни административни мерки (задължително предписание или определяне на срок за отстраняване на нарушението) е нецелесъобразно и мерките са неприложими в случая и в тази връзка налага на „С.П.М.“ ЕООД административно наказание за нарушение на чл.23, ал.1 от ЗЗЛД, като счита, че същото ще имат възпитателно въздействие и ще допринесе за спазване от страна на дружеството на установения правов ред.

При определяне размера на административното наказание Комисията съобрази, че нарушението е първо за администратора на лични данни и същия е предприел мерки за отстраняването му- подал е коригираща декларация в НАП, което е основание за налагане на санкция в минимума предвиден в закона за това нарушение.

Комисията счита, че в конкретния случай са налице и основания за ангажирането на административно-наказателната отговорност на „С.П.М.“ ЕООД за нарушение на разпоредбата на чл.17, ал.1 от ЗЗЛД, съгласно която администраторът на лични данни е длъжен да подаде в Комисията за защита на личните данни заявление за регистрация като администратор на лични данни преди започване обработването на лични данни. Законодателят е предвидил за неизпълнението на това задължение администраторът да се наказва с глоба или имуществена санкция в размер от 1000 (хиляда) до 10000 лв. (десет хиляди лева).

Видно от събраните по преписката доказателства „С.П.М.“ ЕООД не е изпълнило вмененото му с посочената разпоредба задължение. От направена служебна справка в Електронния регистър на администраторите на лични данни и на водените от тях регистри се установи, че към 24.09.2015г. дружеството не е подало заявление за регистрация и не е регистрирано като администратор на лични данни, съответно не е подавало молба за освобождаване от задължение за регистрация като администратор на лични данни и не е освободено по надлежния ред от такава регистрация.

Водима от горното и на основание чл.38, ал.2, във връзка с чл.10, ал.1, т.7 от Закона за защита на личните данни, Комисията за защита на личните данни,

1. Обявява жалба рег.№Ж-250/06.07.2015г., подадена от Г.П.Г. срещу „С.П.М.“ ЕООД, за основателна.

2. На основание чл.42, ал.9 от ЗЗЛД налага на „С.П.М. ЕООД, с ЕИК ******, в качеството му на администратор на лични данни, административно наказание- имуществена санкция в размер на 500 лв. (петстотин лева) за нарушение на чл.23, ал.1 от ЗЗЛД.

3. На основание чл.42, ал.4 от ЗЗЛД налага на „С.П.М. ЕООД, с ЕИК ******, административно наказание- имуществена санкция в размер на 1000 лв. (хиляда лева) за нарушение на чл.17, ал.1 от ЗЗЛД.

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд- София- град.

След влизане в сила на решението, сумата по наложените наказания да бъде внесена в брой в касата на Комисията за защита на личните данни, находяща се в гр.София, бул.„Проф. Цветан Лазаров" №2 или преведена по банков път:

Банка БНБ- ЦУ

IBAN: BG18BNBG96613000158601

BIC BNBGBGSD

Комисия за защита на личните данни, БУЛСТАТ 130961721