Решение по жалба рег. № 5682/ 01.03.2010 г.

Комисията за защита на личните данни (КЗЛД) в състав: Председател Венета Шопова и членове: Красимир Димитров, Валентин Енев и Мария Матева на открито заседание, проведено на 26.05.2010 г., на основание чл. 10 ал. 1 т. 7 от Закона за защита на личните данни (ЗЗЛД), разгледа по същество жалба с рег. № 5682/01.03.2010 г., подадена от Б.Н.Н. срещу “М.” ООД.

Административното производство е образувано по реда на чл.38 от Закона за защита на личните данни.

Жалбоподателят сезира Комисията за защита на личните данни с оплакване, че на 05.02.2010г. разбрал от бивши колеги, че фирма “М.” ООД е разпространила негови лични данни (три имена и единен граждански номер) на голям брой лица чрез изпращане на писма по електронната поща и по факса. Жалбоподателят твърди, че личните му данни са разпространени без неговото съгласие. Управителят на фирмата е разпоредил на служител от офиса в гр. Б. да разпрати писмата до клиенти на фирмата, които писма съдържат данните на господин Б.Н.Н.

Жалбоподателят иска от Комисията, да бъде извършена проверка и да бъде прекратено разпространението на личните му данни.

Към жалбата е приложено като доказателство, уведомително писмо от фирма “ М.” с дата 26.01.2010г.

На основание чл.36, ал.2 от Административно-процесуалния кодекс е изискано становището на “М.” ООД.

На основание чл.44, ал.1 от АПК от посочените в жалбата фирми, клиенти на “М.” ООД е изискано да дадат писмени сведения, дали са получавали уведомителното писмо, и в случай на получаването му, да представят информация за начина, по който са го получили.

На 22.03.2010г. в КЗЛД е постъпило становище от “М.” ООД, в което е посочено, че жалбоподателят е бивш служител на фирмата и е освободен от работа на 27.02.2010г. В становището се пояснява, че поради спецификата на дейността на фирмата, а именно: доставка и монтаж на системи за сигурност и охрана, клиентите на фирмата изискват информация, относно служителите, изпълняващи монтажните работи на системите. “М.” ООД многократно е предоставяла информация на своите клиенти за служителите си. Целта на предоставяната информация е била да се извършат проверки за евентуални криминални прояви и връзка с престъпни групи на тези лица. В становището се посочва, че това е честа практика поради естеството на обектите и режима на работа в тях. В процеса на сервизна поддръжка, служителите-изпълнители имали достъп до системи, от които зависи нормалното функциониране на обектите, а именно: антитерористични бариери в Лукойл, системи за охрана на стоки в магазини срещу кражби, системи за контрол на достъп и видеонаблюдение и др. “М.” ООД регистрирала опити за злоупотреба на жалбоподателя и на негови колеги спрямо клиенти на фирмата, изразяващи се в нерегламентирано влизане чрез Интернет от личните им компютри в режимите на настройки на дискови записващи устройства на системи за наблюдение, опити за промяна на параметри, изключване и разстройване на системи за охрана, манипулиране на хотелски системи за достъп и сигурност. Информацията, с която разполагат служителите на фирмата, ги прави потенциално опасни за извършване на действия в ущърб на “М.” ООД и на нейните клиенти. В тази връзка се е породила нуждата, дружеството да уведоми клиентите си, че конкретен служител вече не работи във фирмата. Информацията, която се съдържа в уведомителното писмо, била предоставяна и друг път на клиентите на “М.” ООД във връзка с дейностите по изграждане на охранителните системи за сигурност и според дружеството, не представлява тайна за клиентите на фирмата.

Във връзка с установяване на действителните факти по твърдените в жалбата обстоятелства и изисканите сведения от фирмите, клиенти на “М.” ООД, в КЗЛД е постъпила информация, както следва:

“ С.Т.К.” ЕООД уведомява Комисията, че е получила писмо от фирма “М.” ООД с дата 26.02.2010г., което съдържа трите имена и единният граждански номер на жалбоподателя. Писмото е изпратено по факс на 02.02.2010г.

“К.И.” ЕООД заявява, че не са получавали соченото в жалбата уведомително писмо.

Фирма “М.56” ЕООД, от която също е изискана информация за това, дали е получила уведомително писмо, е получила писмото, изпратено от Комисията на 07.03.2010г. Даденият срок за изпълнение на указанията е изтекъл на 15.03.2010г., като отговор не е получен.

“Л.Л.Т.И.” ООД също е получила писмото, срокът за отговор е изтекъл на 06.04.2010г., но такъв не е депозиран в Комисията.

За да се произнесе по жалба, рег. № 5682/01.03.2010 г., подадена от Б.Н.Н. срещу “М.” ООД, Комисията за защита на личните данни взе предвид следното:

Жалбата е подадена в срок, от надлежна страна, при наличие на правен интерес. С решение на Комисията за защита на личните данни, прието на заседание, проведено на 28.04.2010г. жалбата е обявена за процесуално допустима.

На откритото заседание, насрочено за 26.05.2010г. за разглеждане на жалбата по същество, страните са редовно и своевременно уведомени по реда на АПК. Жалбоподателят се явява лично. Ответната страна се представлява от Ц.Й. и Н.С. – управители на дружеството.

Страните са уведомени за правната възможност по чл.20 от АПК да сключат споразумение по предмета на спора.

От събраните в производството писмени доказателства се намира за установено следното:

Жалбоподателят е сключил трудов договор на 27.09.2009г. с “М.” ООД. С молба от 27.01.2010г. до управителя на фирмата, Б.Н.Н. е поискал да бъде прекратено трудовото му правоотношение по взаимно съгласие, считано от същата дата.

Към жалбата е представено уведомително писмо от името на “М.” с дата 26.01.2010г. без определен конкретен адресат. Писмото е подписано и подпечатано с печата на фирмата. С писмото се уведомяват клиентите на дружеството, че лицето Б.Н.Н. Б.Н.Н. е освободен от работа и считано от датата на освобождаването му, действията му по никакъв начин не могат да се обвързват с дейността на фирмата. В уведомителното писмо, жалбоподателят е идентифициран, както с посочване на трите му имена, така и с изписване на единият му граждански номер. Информацията, която се съдържа в писмото, представлява лични данни по смисъла на чл.2, ал.1 от ЗЗЛД.

„М.” ООД е администратор на лични данни по смисъла на чл.3 от Закона за защита на личните данни. Администраторът е заявил пред Комисията, че води един регистър с наименование „трудови досиета”. Посоченото нормативното основание, на което се обработват данните е Кодекса на труда, Кодекса за социално осигуряване и Закона за здравното осигуряване.

В §1 от Допълнителните разпоредби на ЗЗЛД е дадена легална дефиниция на “обработване на лични данни”, което представлява всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба разкриване чрез предаване, разпространение, предоставяне, актуализиране или комбиниране и т.н.

В уведомителното писмо на фирма “М.” ООД до контрагентите й е посочено, че жалбоподател е освободен от фирмата на 26.01.2010г., а в изразеното писмено становище на ответната страна е посочена датата 27.01.2010г., като дата на освобождаването му. Във връзка с уточняване на обстоятелството, на коя дата са прекратени договорните отношения е изискано от администратора на лични данни, да представи допълнително заверен препис от договора с жалбоподателя, както и доказателства за датата на прекратяване на взаимоотношенията. От представените доказателства се установи, че датата на прекратяване на трудовия договор с жалбоподателят е 27.01.2010г.

На основание изложеното, Комисията приема, че личните данни на господин Б.Н.Н. са обработвани от администратора на лични данни при наличието на условието, визирано в чл.4, т.3 от ЗЗЛД.

От изисканата от трети – неучастващи в административното производство лица информация се установява, че са изпратени уведомителни писма от фирма “М.” ООД до нейни контрагенти. В уведомителните писма са посочени лични данни на жалбоподателя, а именно: три имена, единият му граждански номер и информация за прекратените му трудови правоотношения. Обстоятелството, че данните на жалбоподателя са разпространени чрез уведомителното писмо се потвърждава и от ответната страна. В изразеното писмено становище до Комисията се посочва, че многократно “М.” ООД е предоставяла на клиентите си информация, съдържаща лични данни на служителите във фирмата и че това представлява общоприета практика, наложена от естеството на дейността на фирмата, обектите и режима на работа в тях. В изразеното становище не се отрича факта, че фирмата е разпратила уведомителното писмо, поради което Комисията приема, че това обстоятелство е бeзспорно установено.

Ответната страна излага твърдения, че данните на жалбоподателят са предоставени само на фирми, които на собствено основание са администратори на лични данни.

Предвид твърдението следва да се посочи, че при обработване на данните, чрез тяхното разпространяване следва да е налице условие за допустимост на действието по обработване на личните данни (чл. 4, ал. 1 от ЗЗЛД). В конкретния случай за разпространението на личните данни на жалбоподателя на трети лица не е налице условие за допустимост.

С разпространяването на личните данни на жалбоподателя, до клиенти на администратора на лични данни са надхвърлени целите, за които данните са събрани и обработени. Нарушен е принципа на съразмерност и пропорционалност, визиран в чл.2 от ЗЗЛД. Личните данни на господин Б.Н.Н. са обработени допълнително по начин, несъвместим с целите, за които са събрани, а именно: договорните взаимоотношения.

Комисията за защита на личните данни е независим държавен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъп до тези данни, както и контрол по спазването на Закона за защита на личните данни. Целта на Закона е да гарантира неприкосновеността на личността и личния живот на физическите лица чрез осигуряване на защита при неправомерно обработване на свързаните с тях лични данни в процеса на свободно движение на данните.

Правомощието на Комисията за защита на личните данни да разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица е регламентирано в чл.10, ал.1, т.7 от ЗЗДЛ.

С настоящето решение Комисия за защита на личните данни, установи по безспорен начин, че „М.” ООД чрез представляващите го лица – Н.И.С.-Й. и Ц.К.И. на 26.01.2010г. в гр. Б. е извършило административно нарушение изразяващо се в неправомерно обработване личните данни на Б.Н.Н. С действията си „М.” ООД е нарушила принципа на пропорционалност, посочен в чл.2, ал.2, т.3 от ЗЗЛД при обработване на личните данни на жалбоподателя. Освен това при обработването на свързаните с Б.Н.Н. лични данни не е било налице, нито едно от посочените в чл.4 от ЗЗЛД условия. Законодателят е възприел, че обработването на лични данни на физически лица, следва да се извърши при наличието на поне едно от тези условия, което е предпоставка за законосъобразност на обработването. Администраторът на лични данни не е уведомил жалбоподателят, че личните му данни ще се предоставят на трети лица, с което не е изпълнил задължението си по чл.19, ал.1, т.3 от ЗЗЛД. Комисията установи, че деянието не е извършено при условията на неизбежна отбрана или крайна необходимост, поради което представлява административно нарушение.

На основание чл.10, ал.1 т.1 от Закона за защита на личните данни КЗЛД осъществява цялостен контрол в областта за спазване на нормативните актове в областта на защитата на личните данни. В изпълнение на това й правомощие Комисията извърши проверка на представените към административната приписка доказателства и установи, че освен личните данни на жалбоподателят, по сходен неправомерен начин са обработени данните и на друг служител на “М.” ООД – С.Т.С. Комисията приема, че този факт представлява утежняващо вината на администратора на лични данни, обстоятелство, което ще се вземе под внимание при определяне на размера на налаганото административно наказание.

В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в процесуалното производство, съгласно чл.7 от Административно-процесуалния кодекс (АПК), изискващ наличието на установени действителни факти от значение за случая, имайки предвид представените писмени доказателства и изразени становища, Комисията приема, че разгледана по същество жалбата е основателна, поради което на основание чл. 10 ал. 1, т. 7 от ЗЗЛД и чл.38, ал.2 във връзка с чл. 42, ал. 1 от Закона за защита на личните данни,

1. Уважава жалба с рег. №5682/01.03.2010, подадена от Б.Н.Н. срещу “М.” ООД.

2. Налага на “М.” ООД, ЕИК 130671084, седалище: гр. С. , имуществена санкция в размер на 15000 лв. (петнадесет хиляди лева) за нарушаване на чл.2 ал.2, т.3 от ЗЗЛД, осъществено чрез действия по неправомерно обработване на лични данни, посочени в мотивите на настоящето решение.

Решението да се съобщи на заинтересованите лица по реда на АПК.

Настоящето решение подлежи на обжалване, в 14 дневен срок от връчването му, чрез Комисията за защита на личните данни пред Върховен административен съд на Република България.