РЕШЕНИЕ
№Ж-142/2016г.
гр. София, 28.03.2017г.
Комисията за защита на личните данни в състав: Председател: Венцислав Караджов и членове: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков, на заседание, проведено на 25.01.2017г., обективирано в протокол №4, на основание чл.10, ал.1, т.7 от Закона за защита на личните данни, разгледа жалба с рег.№Ж-142/07.04.2016г. подадена от С.К.И.
В Комисията за защита на личните данни е постъпила жалба от С.К.И., която сочи, че на 30.09.2015г. сключила договор за предоставяне на мобилни услуги с БТК ЕАД. Подписала договор за срок от две години, закупила и допълнителна СИМ карта и мобилен телефон. Допълнителната карта предоставила на приятеля си К.Ц. Във времето отношенията с партньора й се влошили и жалбоподателката подала жалба до 09 РУП-СДВР за осъществен тормоз от негова страна. При сключването на договора г-жа С.К.И. посочила таен въпрос и таен отговор, с цел улеснен дистанционен контакт с оператора. Твърди, че К.Ц. променил зададената информация. След като узнала това жалбоподателката отишла в офис на БТК ЕАД на 20.10.2015г. и отново повторно заменила тайния въпрос, паролата и поискала блокиране на другата карта. Служителите на БТК ЕАДпредоставили нова карта, а старата била блокирана. Дубликатът бил все още неразпечатан в джоба й, когато разбрала, че старата карта отново е активирана, посредством обаждане от лице, което се представило за нея, но също така знаело и новата й парола, която тя сменила едва преди броени минути. Съмнява се, че служител на БТК ЕАД е осъществил неправомерен достъп до личните й данни. Настоява да бъде извършена проверка по случая. Представя и относими приложения.
С писмо изх. №П-9789/18.05.2016г. на Председателя на КЗЛД, г-н А.Д., представител на БТК ЕАД е уведомен за образуваното административно производство. Информиран е, на основание чл.36, ал.2 от АПК, че следва в срок да изрази становище и да представи доказателства.
С писмо изх. №П-9788/18.05.2016г. на Председателя на КЗЛД, г-жа С.К.И. е уведомена за образуваното административно производство, а също е информирана за възможността да депозира в деловодството на КЗЛД и други доказателства, ако разполага с такива.
В Комисията за защита на личните данни е постъпило становище от БТК ЕАД, заведено с рег. №С-504/02.06.2016г. Сочат, че правомерно обработват личните данни на жалбоподателката, а също са разполагали с нейното съгласие. Не са извършили нарушение на ЗЗЛД. Като приложение изпращат записи на проведените разговори.
В КЗЛД е получено писмо с рег. №П-4592/20.06.2016г. от жалбоподателката С.К.И. Представя допълнителни доказателства: копие на разпечатката от изходящи номера, както и снимка на неразпечатаната СИМ карта.
С писмо изх. №П-6315/05.08.2016г. на Председателя на КЗЛД, г-н А.Д., представител на БТК ЕАД е уведомен, че на основание чл.36 от АПК следва в срок да представи лог файловете от информационно-комуникационната им система за осъшествения достъп до профила на жалбоподателката С.К.И. за периода 10.10.2015г. -03.11.2015г., а също и информация кои други служители освен посочените в представените записи са имали достъп до профила на жалбоподателката.
От БТК ЕАД са депозирали допълнително становище, заведено с рег. №С-794/03.10.2016г.Представят и записи на разговори, осъществени с техни служители.
На заседание на Комисията за защита на личните данни, проведено на 21.12.2016г. жалбата е обявена за допустима. Подадена е от физическо лице срещу администратор на лични данни, в сроковете предвидени в чл.38, ал.1 от ЗЗЛД. Насрочена е за разглеждане на открито заседание на административния орган на 25.01.2017г. Страните са редовно уведомени.
На проведеното открито заседание на Комисията за защита на личните данни, жалбоподателката С.К.И. не се явява и не се представлява. БТК ЕАД се представлява от юрисконсулт Б.П. Поддържа изразените становища. Моли Комисията да остави жалбата на С.К.И. без уважение, като неоснователна и недоказана.
Комисията за защита на личните данни е сезирана с жалба съдържаща твърдения за осъществен неправомерен достъп до личните данни на С.К.И. Сочи, че е нарушен чл.23, ал.1 от ЗЗЛД.
На 20.10.2015г. в 17.43 часа жалбоподателката посетила магазин на БТК ЕАД и заявила, че желае издаването на карта дубликат и спиране на старата СИМ карта. Променила тайния си въпрос и отговор, които била посочила в договора. В 18.19 часа е регистрирано и друго обаждане до номер 123 от лице, представило се за жалбоподателката. Използвайки изменените таен въпрос и отговор, обаждащата се жена ги променя отново. Гласът, заявяващ промените, се отличава от този на жалбоподателката. Г-жа С.К.И. все още не успяла да активира новата СИМ карта, когато на телефонен номер 123 е заявена повторна промяна и старата карта е повторно активирана. Това се потвърждава и от предоставените записи от кол центъра на БТК ЕАД. Администраторът на лични данни БТК ЕАД е допуснал възможността трети лица да се представят за С.К.И. Така са успели да активират спряната СИМ карта на нейно име, при условие, че заявката за блокирането е направена лично от г-жа С.К.И., броени минути по-рано в офис на дружеството. Въпреки, че са изискани парола, код и последните цифри от ЕГН-то на жалбоподателката процедурата не се е оказала достатъчно сигурна. Предприетите организационни и технически мерки за опазване на личните данни не са достатъчни. Независимо от честата промяна в профила на жалбоподателката и неактивираната нова карта е последвала активация на старата СИМ карта. Това не е породило съмнение сред служителите на администратора. Макар и операторите в кол центъра да работят по определена процедура, явно организационните и технически мерки предвидени в нея не са достатъчни. В Комисията за защита на личните данни са постъпвали и други жалби със сходен предмет. Имайки предвид големия брой абонати и обема на лични данни, които администраторът обработва, Комисията изразява мнение, че на администратора следва да се издаде задължително предписание, за да предприеме допълнителни организационни и технически мерки.
Водима от горното и на основание чл.10, ал.1, т.7 във връзка с чл.38 от Закона за защита на личните данни, Комисията за защита на личните данни
РЕШИ:
1. Обявява жалба с рег. №Ж-142/07.04.2016г. подадена от С.К.И. срещу БТК ЕАД за основателна занарушение на чл.23, ал.1 от ЗЗЛД.
2. На основание чл.38, ал.2 от ЗЗЛД издава задължително предписание на администратора БТК ЕАД:
В едномесечен срок от съобщаване на настоящото решение да предприеме необходимите организационни и технически мерки за идентификация на физическите лица и защита на личните им данни при приемане на обаждания на телефонен номер 123.
При използване на дистанционна връзка с клиентите, администраторът да предвиди мерки за временно ограничаване на възможността за активиране на СИМ карти и услуги, след като веднъж са извършени. Същите да бъдатвъзможни само в офис на БТК ЕАД, след идентификация с документ за самоличност.
За изпълнение на задължителното предписание администраторът да уведоми Комисията за защита на личните данни.
При неизпълнение на задължителното предписание следва предприемане на действия по реда на глава осма от ЗЗЛД.
Настоящото решение може да бъде обжалвано в 14-дневен срок от връчването му, чрез Комисията зазащита на личните данни пред Административен съд София – град.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венцислав Караджов /п/ |
Цанко Цолов /п/ |
