РЕШЕНИЕ
№Ж-379/2015 г.
София, 09.02.2016 г.
Комисията за защита на личните данни (КЗЛД) в състав членове: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков на заседание, проведено на 13.01.2016 г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни, разгледа по същество жалба рег.№Ж-379/07.09.2015 г., подадена от В.Ц.Н..
Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).
Комисията за защита на личните данни е сезирана с жалба, подадена от В.Ц.Н., в която са изложени твърдения за неправомерно обработване на личните й данни от страна на „Специализирана болница за активно лечение „С.Л.“ (СБАЛ „С.Л.“) ООД, чрез действия по предоставянето им на Националната здравноосигурителна каса (НЗОК) във връзка с извършена медицинска услуга и манипулация по сключен между страните възмезден договор от 07.08.2015 г.
Жалбоподателката информира, че от направена на 28.08.2015 г. справка чрез уникален код за достъп в НЗОК в раздел „Здравно досие“ установила, че личните й данни са обработвани в системата на НЗОК във връзка с извършена от „Специализирана болница за активно лечение „С.Л.“ ООД медицинска манипулация заплатена от нея, но вписана в здравното й досие като платена по клинична пътека.
Жалбоподателката твърди, че за извършената манипулация не е използвала клинична пътека и е заплатила лично сумата за манипулацията, като не е давала съгласието си и не е подписвала документи за информирано съгласие за извършване на диагнозата по клинична пътека. Г-жа В.Ц.Н. счита, че е налице злоупотреба с личните й данни и декларира, че не е давала съгласието си „личните данни да бъдат обработвани за посочената цел в общодостъпната система на НЗОК, за което неправомерно оповестяване вина носи СБАЛ „С.Л.“ ООД“.
Към жалбата са приложени относими доказателства, а именно: екранна разпечатка на справка от 28.08.2015 г. в Персонализираната информационна система на Националната здравноосигурителна каса; договор с дата 07.08.2015 г., сключен между СБАЛ „ С.Л.“ ООД и жалбоподателката; епикриза и разпечатка от Електронния регистър на администраторите на лични данни.
В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, от СБАЛ „С.Л.“ ООД“е изискано писмено становище по жалбата.
В отговор от дружеството изразяват становище за неоснователност на жалбата и молят Комисията да я остави без уважение. Потвърждават твърденията на жалбоподателката за сключен на 07.08.2015 г. между страните възмезден договор за предоставяне на медицински услуги срещу възнаграждение в размер на 640 лв., както и твърденията на г-жа В.Ц.Н., че не е подписвала документи за извършване на медицинската услуга по клинична пътека. От дружеството декларират, че „отбелязването на извършената медицинска манипулация на жалбоподателката като платена по клинична пътека и изпращане на съответните данни до НЗОК е направено поради допусната техническа грешка на служител на дружеството“. В допълнение сочат, че след констатиране на допуснатата грешка и в изпълнение на разпоредбите на ЗЗЛД дружеството е предприело мерки за отстраняване на нарушението, като „е подало молба с изх.№84/08.09.2015 г. до директора на СЗОК, във връзка с допусната техническа грешка за период за отчитане от 03.08.2015 г. до 09.08.2015 г. при пациент с история на заболяването №604 и ЕГН ****** по КП 142.1.“ От дружеството считат, че не е налице нарушение на правата на жалбоподателката и нарушение на ЗЗЛД предвид обстоятелствата, че данните са разкрити единствено на НЗОК, а „допуснатата грешка не е направена умишлено“ и „веднага след констатирането й са предприети необходимите действия за отстраняването й“ и в тази връзка молят Комисията да остави жалбата без уважение, като неоснователна.
Комисията за защита на личните данни е независим държавен орган, който осъществява защита на лицата при обработването на личните им данни и при осъществяване на достъпа до тези данни, както и контрол по спазването на Закона за защита на личните данни.
За да упражни правомощията си, Комисията следва да бъде валидно сезирана.
Жалба рег.№Ж-379/07.09.2015 г. съдържа задължително изискуемите реквизити, посочени в разпоредбата на чл.30, ал.1 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация, а именно: налице са данни за жалбоподателя, естеството на искането, дата и подпис, с оглед което същата е редовна.
Жалбата е процесуално допустима, подадена в срока по чл.38, ал.1 от ЗЗЛД от физическо лице с правен интерес. Същата има за предмет обработване, в хипотезата на предоставяне на личните данни на жалбоподателката от „Специализирана болница за активно лечение „С.Л.“ ООД на НЗОК във връзка с извършена медицинска услуга и манипулация по сключен между дружеството и жалбоподателката възмезден договор от 07.08.2015 г. С жалбата е сезиран компетентен да се произнесе орган – КЗЛД, която съгласно правомощията си по чл.10, ал.1, т.7 от ЗЗЛД разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по ЗЗЛД.
Наличието на администратор на лични данни е абсолютна процесуална предпоставка за допустимост на жалбата. В конкретния случай жалбата е насочена срещу „Специализирана болница за активно лечение С.Л.“ ООД, което безспорно притежава качеството на администратор на лични данни.
От направена служебна справка в Електронния регистър на администраторите на лични данни и на водените от тях регистри се установи, че дружеството е изпълнило задължението си по чл.17, ал.1 от ЗЗЛД, подало е заявление за регистрация и е регистрирано като администратор на лични данни с идент. №91718 и заявени регистри „Персонал“ и „Пациенти“.
На проведено на 30.11.2015 г. заседание на Комисията, жалбата е приета за процесуално допустима и като страни в производството са конституирани: жалбоподател– В.Ц.Н., ответна страна – „Специализирана болница за активно лечение „С.Л.“ ООД и заинтересована страна – Национална здравноосигурителна каса.
С оглед изясняване на случая от правна и фактическа страна от НЗОК е изискано писмено становище и доказателства. В отговор е изразено становище за неоснователност на жалбата, в което е посочено, че „данните на В.Ц.Н. са подадени в НЗОК на основание чл.68, ал.1, т.2 от ЗЗО, а именно за разплащане с изпълнител на медицинска помощ, какъвто в случая е СБАЛ „С.Л.“ ООД по силата на сключен договор №22-3961/23.02.2015 г.“ и в тази връзка от НЗОК намират за „неоснователни твърденията на жалбоподателката, че не е давала съгласие личните й да бъдат обработвани за посочената цел в общодостъпната система“, тъй като „същите се обработват по силата на ЗЗО и Националния рамков договор (НРД)“. В допълнение е посочено, че в изпълнение на чл.212, ал.1 и 2 от НРД-2015 г. СБАЛ „С.Л.“ ООД е подало в електронния си отчет към НЗОК данни по отношение на жалбоподателката и извършената дейност по клинична пътека и с писмо изх.№84/08.09.2015 г. управителя на лечебното заведение е уведомил РЗОК-София град за допусната техническа грешка в подадения отчет, „след което извършената дейност на г-жа В.Ц.Н. е свалена от електронния отчет и дейността не е заплатена на лечебното заведение“. От НЗОК сочат още, че по повод подадена от г-жа В.Ц.Н. жалба е извършена проверка от контролните органи на касата, но нарушения не са установени.
Към становището е приложено заверено копие на писмо изх.№19-01-143/14.10.2015 г., по описа на НЗОК и писмо изх.№84/08.09.2015 г., по описа на СБАЛ „С.Л.“ ООД.
На проведено на 13.01.2016 г. заседание на КЗЛД, жалбата е разгледана по същество.
Жалбоподателката – редовно уведомена, не се явява, не се представлява.
Ответната страна – редовно уведомена, представлява се от адвокат Балабанова от Софийска адвокатска колегия, която оспорва жалбата и моли Комисията да я остави без уважение, като неоснователна по аргументи изложени в изразеното от СБАЛ „С.Л.“ ООД писмено становище.
Заинтересованата страна – редовно уведомена, не се представлява.
В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл.7 от Административно-процесуалния кодекс, изискващ наличието на установени действителни факти, имайки предвид събраните писмени доказателства и наведените от страните твърдения Комисията приема, че разгледана по същество жалба рег.№Ж-379/07.09.2015 г. е основателна.
Законът за защита на личните данни урежда защитата на правата на физическите лица при обработване на личните им данни. Целта на закона е гарантиране нанеприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.
Съгласно легалното определение на чл.2, ал.1 от ЗЗЛД трите имена, единен граждански номер на физическото лице и информация свързана с извършваните по отношение на лицето медицински манипулации безспорно имат качеството на лични данни, а предоставянето и употреба им са действията по обработване на личните данни. Обработването на лични данни следва да се осъществяват в съответствие с разпоредбите на ЗЗЛД при спазване от страна на администратора на лични данни на вмененото му с чл.23 от ЗЗЛД задължение да предприема необходимите технически и организационни мерки, за да защити личните данни от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.
От събраните по преписката доказателства безспорно се установи, че на 07.08.2015 г. между страните – г-жа В.Ц.Н. и СБАЛ „С.Л.“ ООД е сключен възмезден договор за предоставяне на медицински услуги, във връзка с който жалбоподателката е предоставила лично и доброволно данните си на лечебното заведение.Страните не спорят, че предоставената медицинска услуга не е извършена по клинична пътека, а срещу заплатено от г-жа В.Ц.Н. възнаграждение, но въпреки това лечебното заведение е подало в електронния си отчет за периода 03.08. – 09.08.2015 г. до НЗОК лични данни на жалбоподателката във връзка с манипулацията с отбелязване, че услугата е извършена по клинична пътека. Предоставените от лечебното заведение данни са регистрирани в Персонализираната информационна система на НЗОК, която съдържа информация за ползваната от всяко здравноосигурено лице медицинска и дентална помощ отчетена в НЗОК. Достъпа до системата се осъществява чрез уникален персонален код за достъп.
С писмо изх.№84/08.09.2015 г. управителят на лечебното заведение е уведомил СЗОК „за допусната техническа грешка за период на отчитане 03.08.2105 – 09.08.2015 г. при пациент със ИЗ №604 и ЕГН ****** по КП 142.1“ и извършената по отношение на жалбоподателката дейност е свалена от отчет.
От събраните по административната преписка доказателства безспорно се установи, че личните данни на жалбоподателката са обработени неправомерно от дружеството и в резултат на техническа грешка, за която ответната страна признава, неправомерно личните данни на жалбоподателката касаещи предоставената медицинска услуга са предоставени на НЗОК, в резултат на което са публикувани в Персонализираната информационна система на НЗОК.
Доколкото такова неправомерно обработване е осъществено, очевидно дружеството не е предприело необходимите технически и организационни мерки, за да защити данните от незаконно предоставяне, или предприетите такива са явно недостатъчни, следователно не е изпълнило задължението си по чл.23, ал.1 от ЗЗЛД и са нарушени правата на физическото лице, сезирало КЗЛД.
В рамките на оперативната си самостоятелност Комисията счита, че с оглед характера на констатираното нарушение налагането на принудителни административни мерки (задължително предписание или определяне на срок за отстраняване на нарушението) е нецелесъобразно и мерките са неприложими в случая, предвид обстоятелството, че администраторът е предприел мерки и е отстранил допуснатото нарушение. В тази връзка налага на СБАЛ „С.Л.“ ООД, в качеството му на администратор на лични данни, административно наказание за нарушение на чл.23, ал.1 от ЗЗЛД, като счита, че същото ще има възпитателно въздействие и ще допринесе за спазване от страна на дружеството на установения правов ред.
При определяне размера на административното наказание Комисията съобрази, че нарушението е първо за администратора и са предприети действия за отстраняването му, с оглед което определя наказание в минимума предвиден в закона.
Водима от горното и на основание чл.38, ал.2, във връзка с чл.10, ал.1, т.7 от Закона за защита на личните данни, Комисията за защита на личните данни
РЕШИ:
1. Обявява жалба рег.№Ж-379/07.09.2015 г., подадена от В.Ц.Н., за основателна.
2. На основание чл.42, ал.9 от ЗЗЛД налага на „Специализирана болница за активно лечение „С.Л.“ ООД с ЕИК ****, със седалище и адрес на управление ******, в качеството му на администратор на лични данни, административно наказание – имуществена санкция в размер на 500 лв. (петстотин лева) за нарушение на чл.23, ал.1 от ЗЗЛД.
Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд – София – град.
След влизане в сила на решението, сумата по наложеното наказание да бъде внесена в брой в касата на Комисията за защита на личните данни, находяща се в гр.София, бул. „Проф. Цветан Лазаров" №2 или преведена по банков път:
Банка БНБ – ЦУ
IBAN: BG18BNBG96613000158601
BIC BNBGBGSD
Комисия за защита на личните данни, БУЛСТАТ 130961721
ЧЛЕНОВЕ: | |
Цанко Цолов /п/ Цветелин Софрониев /п/ Мария Матева /п/ Веселин Целков /п/ |