РЕШЕНИЕ
№ Ж-20/2015 г.
София, 20.07.2015 г.
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и членове: Цветелин Софрониев, Мария Матева и Веселин Целков на заседание, проведено на 22.05.2015г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни, разгледа по същество жалба рег.№Ж-20/22.01.2015г., подадена от Т.В.П.
Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).
Комисията за защита на личните данни е сезирана с жалба, подадена от Т.В.П. срещу „БТК“ (БТК) ЕАД.
Жалбоподателката информира, че на 13.01.2015г. посетила офис БТК ЕАД и за целите на прехвърляне на нейно име на стационарен телефонен номер, телевизия и интернет и сключване на допълнително споразумение, служители на дружеството я накарали „на екран с писалка (електронна?) да напише фамилията си и да се подпише“. Жалбоподателката твърди, че се е „подписала около 10 пъти“, без да знае върху какво, след което са й връчени: споразумение за заместване на страна по договор №530207549913012015-32716046, допълнително споразумение към договор №530207549913012015-32719005 и споразумение за заместване на страна по договор №530207549913012015-32716633, както и Общи условия за предоставяне на услугата и декларация, че е получила екземпляр от Общите условия и е съгласна с тях.
Жалбоподателката твърди, че не е получила разпечатка на документи с положени от нея подписи, за да види за какво точно се е подписала и цитира част от клаузите в споразумението за които не е уведомена и не е съгласна. Г-жа Т.В.П. счита, че присъствието на клауза със следното съдържание: „Абонатът дава съгласието си БТК ЕАД да получава справки за него от регистри на трети лица– администратори на лични данни, включително Националния осигурителен институт, ГД ГРАО и др., в това число данни за гражданското му състояние, данни за плащаните от абоната социални осигуровки, данни за трудовите му договори и социално осигурителния му доход“ е в нарушение на правата й по Закона за защита на личните данни и моли Комисията да я обяви за нищожна. Жалбоподателката счита, че събираните за нея лични данни от посочените в клаузата трети лица за целите на сключен с БТК ЕАД договор за услуги е несъотносимо и надхвърля целите, за които се обработват личните й данни.
Към жалбата е приложено копие на декларация и допълнително споразумение към Договор №530207549913012015-32719005, Общи условия за предоставяне на услугата и писмо с вх.№15_01573_14.01.2015г., от БТК ЕАД.
В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, от БТК ЕАД е изискано писмено становище и представяне на относими доказателства.
В отговор от дружеството изразяват писмено становище за неоснователност на жалбата и молят Комисията да я остави без уважение. Информират, че личните данни на жалбоподателката са събрани за точно определени и законни цели и не са обработени по нечин несъвместим с тези цели. От дружеството сочат, че в конкретния случай личните данни на г-жа Т.В.П. „се събират и обработват във връзка с изготвянето на кредитна оценка на конкретния потребител, която обуславя целесъобразното предлагане на лизингови условия, определяне на кредитни лимити и брой допустими устройства и кредитни карти“. В допълнение сочат, че „именно за нуждите на кредитна оценка се налагат справки в Националния осигурителен институт и в „Главна дирекция „Гражданска регистрация и административно обслужване“.
Комисията за защита на личните данни е независим държавен орган, който осъществява защита на лицата при обработването на личните им данни и при осъществяване на достъпа до тези данни, както и контрол по спазването на Закона за защита на личните данни.
За да упражни правомощията си, Комисията следва да бъде валидно сезирана.
Жалба рег.№Ж-20/22.01.2015г. съдържа задължително изискуемите реквизити, посочени в разпоредбата на чл.30, ал.1 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация, а именно: налице са данни за жалбоподателя, естеството на искането, дата и подпис, с оглед което същата е редовна.
Жалбата е процесуално допустима, подадена в срока по чл.38, ал.1 от ЗЗЛД от физическо лице с правен интерес. Същата има за предмет обработване на личните данни на жалбоподателката, в хипотезата на събиране на лични данни от страна на БТК ЕАД. С нея е сезиран компетентен да се произнесе орган– КЗЛД, която съгласно правомощията си по чл.10, ал.1, т.7 от ЗЗЛД разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по ЗЗЛД.
Правомощията на Комисията за защита на личните данни са само и единствено във връзка с обработването на личните данни на физическите лица и извън приложното поле на ЗЗЛД, респективно извън правомощията на Комисията, е обявяването на нищожността на клауза в сключен между трети страни договор. Съобразно с правомощията на Комисията и съдържанието на жалбата, предмет на производството пред Комисията е обработването на лични данни на жалбоподателката, в хипотезата на събиране на лични данни от трети лица– администратори на лични данни във връзка със сключен с БТК ЕАД договор за предоставяне на услуги. В тази връзка следва да се отбележи, че извън предмета на настоящето производство са изложените в жалбата твърдения относно начина на прекратяване на договора и параметрите на договора, касаещи предлаганите от дружеството услуги и тяхната цена.
Наличието на администратор на лични данни е абсолютна процесуална предпоставка за допустимостта на жалбата. В конкретния случай администратор на лични данни е БТК ЕАД, същото е изпълнило задължението си по чл.17, ал.1 от ЗЗЛД, подало е заявление за регистрация и е регистрирано като администратор на лични данни с идент. №14414.
На проведено на 22.04.2015г. заседание на Комисията, жалбата е приета за процесуално допустима и като страни в производството са конституирани: жалбоподател– Т.В.П. и ответна страна– БТК ЕАД, в качеството му на администратор на лични данни.
На проведено на 22.05.2015г. заседание на Комисията, жалбата е разгледана по същество.
Жалбоподателката– редовно уведомена, явява се лично и поддържа жалбата.
БТК ЕАД– редовно уведомено, не се представлява.
В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл.7 от АПК, изискващ наличието на установени действителни факти, имайки предвид събраните писмени доказателства и наведените от страните твърдения, Комисията приема, че разгледана по същество жалба №Ж-20/22.01.2015г. е основателна.
Законът за защита на личните данни урежда защитата на правата на физическите лица при обработване на личните им данни. Целта на закона е гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.
По аргумент от §1, т.1 от Допълнителните разпоредби на ЗЗЛД събирането на лични данни, в хипотезата на получаване на справки от трети лица – администратори на лични данни, е действие по обработване на личните данни и следва да извършва в съответствие с разпоредбите на ЗЗЛД
В чл.4, ал.1 от ЗЗЛД са определени условията, при наличието, на които е допустимо обработването на лични данни. Законодателят е възприел, че обработването на лични данни на физически лица, следва да се извършва при наличието на поне едно от тези условия, което е предпоставка за законосъобразност на обработването, при спазване на принципите посочени в чл.2, ал.2 от ЗЗЛД.
Съгласно разпоредбите на ЗЗЛД личните данни трябва да се обработват законосъобразно и добросъвестно (чл. 2, ал.2, т.1 от ЗЗЛД), да се събират за конкретни, точно определени и законни цели (чл. 2, ал.2, т.2 от ЗЗЛД) и да бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват (чл. 2, ал.2, т.3 от ЗЗЛД).
Страните не спорят, че между същите е налице сключен на 13.01.2015г. договор със срок от 24 месеца за предоставяне на пакетна услуга „VIVACOM Duo: Internet I TV” на адрес *****, във връзка с който договор жалбоподателката е предоставила доброволно личните си данни, в обем от три имена, единен граждански номер и адрес.
С оглед обстоятелството, че твърденията на жалбоподателката относно начина на сключване на договора не са оспорени от страна на дружеството се налага извода, че същият е сключен чрез полагане на подписа на жалбоподателката върху електронно устройство по указание на служител на БТК ЕАД преди запознаване с проекта на документа, респективно неговото съдържание. Следователно не може да се приеме, че е налице изразено от страна на жалбоподателката съгласие по смисъла на параграф 1, т.13 от Допълнителните разпоредби на ЗЗЛД, а именно „свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани“. В конкретния случай с оглед предмета на жалбата не може да се приеме, че е налице съгласието на г-жа Т.В.П. БТК ЕАД да получава справки за нея от регистри на трети лица– администратори на лични данни, включително Националния осигурителен институт, ГД ГРАО и др., в това число данни за гражданското й състояние, данни за плащаните от абоната социални осигуровки, данни за трудовите й договори и социално осигурителния й доход“.Горното се потвърждава и от представено по преписка писмо с вх.№В 15-01573/14.01.2015г. от жалбоподателката до БТК ЕАД, в което жалбоподателката категорично изразява несъгласието си с цитираната клауза от договора, за която твърди, че не е уведомена преди подписването му.
С оглед обстоятелството, че не е налице и никое от другите посочени в разпоредбата на чл.4, ал.1 от ЗЗЛД условия за допустимост на обработването се налага извода, че обработването на лични данни на г-жа Т.В.П. от БТК ЕАД, чрез действия по събиране на лични данни на жалбоподателката чрез справки в регистри на трети лица е незаконосъобразно, следователно в нарушение на посочения в чл.2, ал.2, т.1 от ЗЗЛД принцип за законосъобразно обработване на личните данни.
Комисията не споделя доводите на процесуалния представител на БТК ЕАД, че събирането на лични данни на жалбоподателката от трети лица– администратори на лични данни е законосъобразно и в съответствие с разпоредбата на чл.2, ал.2, т.2 от ЗЗЛД. Изложените в тази насока аргументи, че личните данни са събрани, чрез справки в Националния осигурителен институт и в Главна дирекция „Гражданска регистрация и административно обслужване“ и обработвани във връзка с необходимостта за изготвяне на кредитна оценка на абоната, „която обуславя целесъобразно предлагане на лизингови условия, определяне на кредитен лимит и брой допустими устройства и кредитни карти“ са неоснователни.
Първо такова задължение не е предвидено в цитираната от дружеството разпоредба на чл.227, ал.2, т.3 от Закона за електронните съобщения (ЗЕС), според който Общите условия съдържат задължение на предприятието за поддържане на услуги за наблюдение и контрол на разходите от страна на абоната, когато такива са договорени или когато такова задължение е наложено по реда на чл.237 а от ЗЕС, включително предизвестие за достигане на определена финансова граница на потребление. В случая няма данни с абоната да е договорено задължение за наблюдение и контрол на разходите, нито да е наложено такова по реда на чл.237 а от ЗЕС.
Не се установява и законово задължение и основание за събиране на допълнителни данни за абоната съгласно цитираната от БТК ЕАД разпоредба на чл.248 и чл.249 от ЗЕС. Напротив, чл.248 от ЗЕС предвижда, че предприятията доставчици на обществени електронни мрежи и/или услуги могат да обработват данни свързани със трафични данни, данни необходими за изготвяне на абонатни сметки, както и за доказване на тяхната достоверност, като и данни за местоположението. В закона не е предвидено събиране на данни за гражданското състояние на абоната, за плащаните от абоната социални осигуровки, за трудовите му договори и социално осигурителния му доход. Дори е чл.249 от ЗЕС е въведена забрана за предприятията, предоставящи обществени електронни съобщителни услуги да изискват от потребителите повече данни от тези посочени в чл.248, ал.2, т.2 , буква „а“ от ЗЕС, а именно данни за три имена на физическото лице, единен граждански номер и адрес.
Във връзка с горното Комисията приема, че обработването е в нарушение и на принципите посочени в чл.2, ал.2, т.2 и т.3 от ЗЗЛД, същото е несъотносимо и надхвърля целите за които се обработват личните данни на жалбоподателката във връзка с договорните й отношения с БТК ЕАД. В тази връзка следва да се посочи, че след като лицето е предоставило доброволно личните си данни– имена, единен граждански номер и адрес, необходими за сключване на договора, събирането на допълнителни такива относно гражданското му състояние, трудовия и осигурителния му доход надхвърля целите за които се събират личните данни от страна на оператора, доколкото в случая се касае за сключен договор за предоставяне на мобилна услуга и обработването на личните данни на жалбоподателката, в качеството й на страна – абонат по договора.
В рамките на оперативната си самостоятелност Комисията счита, че с оглед характера на констатираното нарушение и факта, че за същото нарушение на администратора на лични данни е издадено задължително предписание, се налага извода, че налагането на принудителни административни мерки (задължително предписание или определяне на срок за отстраняване на нарушението) е нецелесъобразно и мерките са неприложими в случая, и в тази връзка налага на БТК ЕАД административно наказание за нарушение на разпоредбите на ЗЗЛД, като счита, че същото ще има възпитателно въздействие и ще допринесе за спазване от страна на дружеството на установения правен ред.
При определяне размера на административното наказание Комисията съобрази, че нарушението не е първо за БТК ЕАД, с оглед което определя наказание над минимума предвиден в закона.
Водима от горното, и на основание чл.10, ал.1, т.7, във връзка с чл.38, ал.2 от Закона за защита на личните данни, Комисията за защита на личните данни,
РЕШИ:
1. Обявява жалба рег.№Ж-20/22.01.2015г., подадена от Т.В.П. срещу „БТК“ ЕАД, за основателна.
2. На основание чл.42, ал.1 от ЗЗЛД налага на „БТК“ЕАД, с ЕИК ***** със седалище и адрес на управление **** в качеството му на администратор на лични данни, административно наказание – имуществена санкция в размер на 25000 лв. (двадесет и пет хиляди лева) за нарушение на чл.2, ал.2, т.1, 2 и 3 от ЗЗЛД.
Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд – София – град.
След влизане в сила на решението, сумата по наложеното наказание да бъде внесена в брой в касата на Комисията за защита на личните данни, находяща се в гр.София, бул. „Проф. Цветан Лазаров" №2 или преведена по банков път:
Банка БНБ – ЦУ
IBAN: BG18BNBG96613000158601
BIC BNBGBGSD
Комисия за защита на личните данни, БУЛСТАТ 130961721
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венцислав Караджов /п/ |
Цветелин Софрониев /п/ |
