Решение по жалба с вх .№ Ж- 12/31.01.2008 г.

Комисията за защита на личните данни /КЗЛД/ в състав: Венета Шопова, Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков на закрито заседание, проведено на 14.09.2009 г., на основание чл. 10 ал. 1 т. 7 от Закона за защита на личните данни /ЗЗЛД/, разгледа по същество жалба с вх. № Ж- 12/31.01.2008 г. от Ц.И.Д. срещу “Банка ДСК” ЕАД.

Административното производство е по реда на чл.38 от Закона за защита на личните данни.

Жалбата, с която е сезирана КЗЛД е изпратена по компетентност от Българска народна банка, на основание чл. 112 от АПК, във връзка с чл. 10, ал. 1, т. 7 от ЗЗЛД.

Жалбоподателят сезира Комисията за нарушаване на правата му по ЗЗЛД от страна на служител на “Банка ДСК” ЕАД, изразяващо се в неправомерно преснимане на личната му карта при извършване на банкова операция и излага следната фактическа обстановка:

На 16.01.2008 г. жалбоподателят посещава банката с цел теглене на пари. Преди да му бъде предадена сумата, служителката преснема неговата лична карта. В отговор на запитване на какво правно основание е извършено ксерокопирането, служителят предоставя на клиента да се запознае с вътрешната наредба на банката, в която е регламентирано изискването за преснемане на документа за самоличност, но отказва да предостави на Д. копие от наредбата. Жалбоподателят се обръща към управителя на клона, настоявайки за обяснение за извършването на подобни действия, които счита за незаконни. Управителят нарежда на касиерката да не преснема личната му карта, което последната декларира върху операционната бележка.

Към жалбата не се прилагат писмени доказателства.

Жалбоподателят иска установяване на факта дали документа му за самоличност е сканиран и въз основа на кой закон се извършва това.

На закрито заседание, проведено на 19.03.2008г. КЗЛД е разгледала жалбата по същество и е оставила същата без уважение като неоснователна. С решението си Комисията е приела, че администраторът на лични данни – “Банка ДСК” ЕАД, е действала в съответствие с нормата на чл.6, ал.1, т.1 и ал.3 от Закона за мерките срещу изпирането на пари, поради което не е нарушила задължението си по чл.2, ал.2, т.1 от ЗЗЛД и извършеното обработване е законосъобразно и добросъвестно.

Решението на административния орган е оспорено от жалбоподателя пред Върховен административен съд. Образувано е адм.д. №7036/2008г. С решение №8134/18.06.2009г. Върховният административен съд е отменил оспореното решение №12/19.03.2008г. и е върнал преписката за ново произнасяне. Върховният административен съд е приел, че административния орган съществено е нарушил административно производствените правила, с оглед обстоятелството, че Комисията се е произнесла в закрито заседание, без да призове страните в административното производство и с това е нарушена разпоредбата на чл.28, ал.1 и ал.2 от Правилника за дейността на КЗЛД и нейната администрация /отм./. Като мотиви в съдебното решение се сочи, че съгласно разпоредбата на чл.35 от АПК, индивидуалният административен акт се издава, след като се обсъдят обясненията и възраженията на заинтересованите граждани и организации, ако такива са дадени или направени. След като е приела жалбата за допустима, Комисията не е конституирала страните в производството в съответствие с нормата на чл.26 от АПК. Същите не са били уведомени за възможността да дадат становище или възражение по жалбата. ВАС счита, че от страна на административния орган е нарушено служебното начало при събиране на доказателствата в процеса, регламентирано в чл.36 от АПК, като не е изискана цитираната в оспореното решениевътрешна наредба на банката, въз основа на която е извършено обработването на личните данни по смисъла на §1, т.1 от ДР на ЗЗЛД в хипотезата на събиране, записване и съхранение на личните данни.

Жалба вх. №Ж-12/ 31.01.2008г. е докладвана на редовно заседание на КЗЛД, проведено на 06.02.2008г. По жалбата е взето решение да се подготви писмо до жалбоподателят, с което да му се укажа, че следва да подаде жалба, адресирана до Комисията. В отговор на това писмо Ц.Д. подава повторна жалба с рег. № към Ж-12/08/04.03.2008г. Жалбата повторно е докладвана за заседание, проведно на 19.03.2009г., на което е приет оспорения административен акт. В тази връзка е констатирано, че по отношение на допустимостта на жалбата КЗЛД не се е произнасяла.

На редовно заседание, проведено на 01.07.2009г. Комисията е приела жалбата за допустима и във връзка с дадените указания на ВАС е насрочила за 15.07.2009г. от 13.00 часа, открито заседание за разглеждане на жалбата по нейното същество.

С писма от 03.07.2009г. страните в административното производство са уведомени за датата на откритото заседание. На жалбоподателят му е указана правната възможност, че може да представи допълнителни писмени доказателства, доказващи изложените в жалбата твърдения, както и да поиска събирането на други такива, които се намират в ответника или друго неучастващо в производството лице, които са съотносими към спора.

От ответната страна “Банка ДСК” ЕАД на основание чл.36, ал.2 от АПК във връзка с изпълнение на Решение №8134/18.06.2009г. е изискано да изрази становището си по жалбата, както и да представи вътрешната наредба, в която е регламентирано обработването на личните данни на клиентите, изразяващо се в преснемане /сканиране/ на личните им карти.

С писмо изх.№02-00-1225/10.07.2007г. “Банка ДСК” ЕАД е изразила становището си по жалбата, като моли същата да бъде оставена без уважение като неоснователна, тъй като банката в качеството си на администратор на лични данни, правомерно е обработила личните му данни. Видно от становището на банката към датата, която е посочена в жалбата не е сканирала личната карта на Ц.Д., тъй като той е възразил срещу това. Към становището, в изпълнение на съдебното решение банката е предоставила извлечение от Правила за контрол и предотвратяване изпирането на пари и финансирането на тероризъм и извлечение от Правила за влоговете и сметките на физическите лица.

За датата на откритото заседание, насрочено за 15.07.2009г. от 13.00 часа страните са редовно и своевеременно уведомени по реда на АПК. На откритото заседание жалбоподателят се явява лично, а ответната страна не се явява и не се представлява.

Оспорващият заявява, че няма да сочи други доказателства и иска да се установи, дали е получена Наредбата на банката и заяви, че не се е запознал с приложените от “Банка ДСК” ЕАД доказателства. Дадена му е възможност да се запознае с тях. Становището му е, че същите са несъотносими по казуса. Заявява, че Закона за контрол и предотваряване изипирането на пари и финансирането на тероризъм няма нищо общо със ЗЗЛД. Оспорващият изиска от Комисията да бъде изпълнено съдебното решение и ответната страна да представи наредбата, въз основа на която обработва личните данни на клиентите си. Във връзка с направеното искане от страна на Ц.Д., с писмо изх.№И-2570/ 22.07.2009г. на Председателят на КЗЛД, на банката й е указано, че следва да уточни дали представените към становището си доказателства да се считат наредба по смисъла на съдебното решение.

С допълнително становище от 07.08.2009г. “Банка ДСК” ЕАД е уточнила, че вътрешните Правила за контрол и предотвратяване изпирането на пари и финансирането на тероризъм, изготвени от банката, извлечение, от които са приложени към административната преписка могат да се считат за наредба по смисъла на съдебното решение. Уточняват, че думата “наредба” е използвана от жалбоподателя, поради което тя е залегнала в съдебното решение и изразяват предположение, че оспорващият може да не е интерпретирал правино обяснението на служителя за вътрешния акт, обосноваващ копирането на лични карти на клиентите на банката. В заключение “Банка ДСК” ЕАД уточнява, че на посочената в жалбата дата, след направено възражение от страна на Ц.Д. за преснемане на личната му карта, това действие не е извършено, и този факт е удостоверен на операционната бележка.

От така изложената фактическа обстановка Комисията приема, че жалбата на Ц.Д., с която е сезирана е насочена срещу “Банка ДСК” ЕАД, и твърдяното неправомерно обработване на личните му данни се изразява в това, че на 16.01.2008г. служител на банката е искал във връзка с банковата операция да преснема личната му карта. В жалбата не са посочени други оплаквания срещу администратора на лични данни.

Страните в административното производство заявяват, че на посочената в жалбата дата не са обработени личните данни на Ц.Д., изразяващо се в преснемане на личната му карта, поради което Комисията приема, че този факт не е спорен. След установяване на фактите, Комисията приема, че след като не е извършено копирането на личната карта на оспорващият, няма обработване на личните му данни по смисъла на §1 от ДР на ЗЗЛД. В тази връзка жалбата е неоснователна.

Комисията за защита на личните данни е независим държавен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на Закона за защита на личните данни, чиято цел е да е гарантира неприкосновеността на личността и личния живот на физическите лица чрез осигуряване на защита при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.

В правомощията на Комисията съгласно чл. 10, ал. 1, т. 1 от Закона за защита на личните данни /ЗЗЛД/ е задължението да следи за законосъобразното обработване на данните на физическите лица при осъществяване достъпа до техните лични данни, както и да осъществява контрола по спазването на закона, като по този начин се гарантира правомерното обработване на личните данни.

Принципът на служебното начало по своята същност е принцип на процесуалната активност на водещия процеса орган и очертава рамките и правото на власт, която законодателят е предоставил на този орган, да извършва процесуални действия по своя инициатива.

Съгласно принципа на служебното начало, залегнал в АПК административният орган, компетентен да разгледа жалбата не следва да се ограничи само с обсъждане на основанията, посочени от оспорващия в жалбата, а следва въз основа на събраните към административната преписка доказателства да извърши проверка на законосъобразността на оспорения акт.

Комисията разгледа, извън изложените твърдения в жалбата, действията на администратора на лични данни “Бана ДСК” ЕАД при обработване на личните данни на клиентите и по конкретно копирането на личните им карти и установи следното:

“Банка ДСК” ЕАД е администратор на лични данни, по смисъла на чл.3 от ЗЗЛД. Банката е регистрирана като администратор, поради което една от предпоставките на закона за правомерно обработване на лични данни е изпълнена.

Обработване на личните данни на клиентите на банката, чрез копиране на данни от документите им за самоличност е законосъобразно и добросъвестно.

Нормативно установено задължение за банките се явява разпоредбата на чл. 6, ал. 1, т. 1 и ал. 3 от Закона за мерките срещу изпиране на пари, съгласно който те са длъжни да идентифицират своите клиенти- физически лица чрез снемане на копие от официален документ за самоличност и в този смисъл снемане на фотокопието от личната карта на жалбоподателя от страна на банката не представлява нарушение на правата му по ЗЗЛД. В изпълнение на задълженията си по чл.16 от ЗМИП “Банка ДСК” ЕАД е изготвила вътрешни Правила за контрол и предотвратяване изпирането на пари и финансирането на тероризъм. С тях се регламентират законовите разпоредби и определят задълженията на служителите на банката, които са обработващи по смисъла на чл.3, ал.3 от ЗЗЛД да събират, обработват, анализират и съхраняват предоставената информация за конкретен клиент, при спазване на изискванията на политиката “познай своя клиент”. Определено е, че банката приема само клиенти, които са идентифицирани при условията и реда на Правила за контрол и предотвратяване изпирането на пари и финансирането на тероризъм. В чл.23 е посочено, че индивидуализацията се извършва чрез представяне на официален документ за самоличност на физическото лице. Копие от документа за самоличност на клиента се прилага към досието на сделката или на клиента, съответно към операционната бележка и дневника на транзакциите. Съществува правната възможност, какъвто е и описания случай в жалбата, че при отказ на клиента, документа му за самоличност да не бъде копиран.

Вменено е като задължение на банката да извършва пълна идентификация на клиентите си и да проверява техните идентификационни данни, като са посочени случаите, в които това се прави. В Правилата за влогове и сметки на физическите лица, приложени към административната преписка е разписано /чл.5, ал.5/, че при откриване на влог или по открит вече влог, банката идентифицира клиентите си по реда на Правилата за контрол и предотвратяване изпирането на пари и финансирането на тероризъм, като прави копие на личната карта. Предвидена и хипотеза, че при открит влог, по който няма идентификация на клиента, копие от документа му за самоличност се прави при първо явяване в банката на титуляра или пълномощника му и се прилагат към операционната бележка.

Случаят на Ц.Д. попада в хипотезата на чл.5, ал.5, т.3 от Правила за влоговете и сметките на физическите лица.

Правомерното обработване на личните данни от страна на администраторите на лични данни съгласно ЗЗЛД, следва да се извършва в съответствие с принципите на законосъобразност, целесъобразност и пропорционалност на данните. Съгласно чл. 2, ал. 2, т. 1 от ЗЗЛД личните данни трябва да бъдат обработвани законосъобразно и добросъвестно. На основание чл. 4, ал. 1, т. 1 ЗЗЛД обработването е допустимо, когато е в изпълнение на нормативно установено задължение на администратора на лични данни.

Комисията приема, че намерението на служителя на банката да преснеме картата на жалбоподателя на посочената дата е в изпълнение на посочените норми, положена е дължимата се по закон грижа за установяване на самоличността му, поради което същото е законосъобразно. Обработването на данните, в случай, че е било извършено е с точно определена цел – индивидуализация и не я надхвърля.

По отношение на изразените съмнения на оспорващият Д., че съществува възможност да се злоупотреби с тези данни, КЗЛД счита същите за неотносими към административното производство и ги оставя без разглеждане. В производството по чл.38 от ЗЗЛД, каквото е настоящето, административния орган разглежда жалби от физически лица, чиито права по Закона са нарушени. Презумпцията за настъпване на бъдещи, несигурни събития, които биха могли да увредят интересите на жалбоподателят и представляват престъпления по смисъла на Наказателния кодекс, не са предмет на това производство, още по малко от компетентността на Комисията.

Имайки предвид гореизложеното и на основание чл. 10, ал. 1, т.7 от ЗЗЛД и във връзка с и чл. 2, ал. 2, т. 1 и чл. 4, ал. 1, т. 1 от ЗЗЛДКомисията,

Решението на Комисията може да се обжалва пред Върховния административен съд в 14-дневен срок от получаването му.