РЕШЕНИЕ
№ Ж-21/2015 г.
София, 10.06.2015 г.
Комисията за защита на личните данни (КЗЛД) в състав: Цанко Цолов, Цветелин Софрониев и Мария Матева на заседание, проведено на 13.05.2015г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни, разгледа по същество жалба рег.№Ж-21/23.01.2015г., подадена от М.Р.М. срещу „И.“ АД.
Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).
Комисията за защита на личните данни е сезирана с жалба, подадена от М.Р.М., в която са изложени твърдения за неправомерно обработване на личните му данни от „И.“ АД във връзка с ползвани от него платежни услуги, предлагани от дружеството.
Жалбоподателят информира, че „на 19.12.2014г. при поредно плащане чрез касите на EAZY PAY в гр. Враца“ на задължение по фактура към „Р.Г.“ ЕАД, служители на дружеството му изискали „освен три имена, единен граждански номер и телефонен номер, още номер на личната карта, дата на издаване и рождена дата“.
Господин М.Р.М. моли, Комисията да извърши проверка по случая, като счита, че действията на „И.“ АД са в нарушение на ЗЗЛД, а събирането на лични данни от страна на дружеството е незаконносъобразно.
Към жалбата не са приложени доказателства.
В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, от „И.“ АД е изискано писмено становище и представяне на относими доказателства.
В отговор от дружеството изразяват становище за неоснователност на жалбата и молят Комисията да я остави без уважение. Сочат, че жалбоподателят е извършвал плащания към „Р.Г.“ ЕАД чрез системата на „И.“ АД на дати, различни от посочената в жалбата и в тази връзка уточняват, че на 19.02.2015г. дружеството не е събирало и обработвало каквато и да е информация, касаеща лични или други данни за жалбоподателя. От дружеството допълват, че плащанията към „Р.Г.“ ЕАД се извършват единствено чрез нареждане на превод по банкова сметка на получателя, а събираните за тази цел лични данни на ползвателя на платежната услуга са нормативно установени и съобразени със Закона за платежните услуги и платежните системи, Закона за мерките срещу изпирането на пари (ЗМИП) и Правилника за прилагане на Закона за мерките срещу изпиране на пари, както и с Наредба №3 на Българска Народна Банка от 16.07.2009г. за условията и реда за изпълнение на платежни операции и използване на платежни инструменти. В тази връзка уточняват, че по повод плащания към „Р.Г.“ ЕАД от жалбоподателя, в качеството му на ползвател на платежна услуга предлагана от „И.“ АД, дружеството е събрало следните лични данни за и от г-н М.Р.М.: „име, единен граждански номер, номер на документ за самоличност, дата на издаване и телефон за обратна връзка.“
Към становище не са приложени доказателства.
Комисията за защита на личните данни е независим държавен орган, който осъществява защита на лицата при обработването на личните им данни и при осъществяване на достъпа до тези данни, както и контрол по спазването на Закона за защита на личните данни.
За да упражни правомощията си, Комисията следва да бъде валидно сезирана.
Жалба рег.№Ж-21/23.01.2015г. съдържа задължително изискуемите реквизити, посочени в разпоредбата на чл.30, ал.1 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация, а именно: налице са данни за жалбоподателя, естеството на искането, дата и подпис, с оглед което същата е редовна.
Жалбата е процесуално допустима, подадена в срока по чл.38, ал.1 от ЗЗЛД от физическо лице с правен интерес. Същата има за предмет обработване, в хипотезата на събиране, на личните данни на жалбоподателя в обем от три имена, единен граждански номер, телефонен номер, номер и дата на издаване на лична карта. С жалбата е сезиран компетентен да се произнесе орган – КЗЛД, която съгласно правомощията си по чл.10, ал.1, т.7 от ЗЗЛД разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по ЗЗЛД.
Наличието на администратор на лични данни е абсолютна процесуална предпоставка за допустимостта на жалбата. В конкретния случай жалбата е насочена срещу „И.“ АД, което безспорно притежава качеството на администратор на лични данни.
От направена служебна справка в Електронния регистър на администраторите на лични данни и на водените от тях регистри се установи, че дружеството е изпълнило задължението си по чл.17, ал.1 от ЗЗЛД, подало е заявление за регистрация и е регистрирано като администратор на лични данни с идент. №22589 и заявени регистри „Клиенти парични преводи“, „Лични данни на служители“, Регистър доставчици“ и „Видеонаблюдение“.
На проведено на 27.03.2015г. заседание на Комисията, жалбата е приета за процесуално допустима и като страни в административното производство са конституирани: жалбоподател – М.Р.М. и ответна страна – „И.“ АД, в качеството му на администратор на лични данни.
На проведено на 13.05.2015г. заседание на Комисията, жалбата е разгледана по същество.
Жалбоподателят – редовно уведомен, не се явява, не се представлява.
Ответната страна – редовно уведомена, не се представлява.
В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл.7 от Административно-процесуалния кодекс, изискващ наличието на установени действителни факти, имайки предвид събраните писмени доказателства и наведените от страните твърдения Комисията приема, че разгледана по същество жалба рег.№Ж-21/23.01.2015г. е неоснователна.
Законът за защита на личните данни урежда защитата на правата на физическите лица при обработване на личните им данни. Целта на закона е гарантиране нанеприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.
Съгласно легалната дефиниция дадена в чл.2, ал.1 от ЗЗЛД, лични данни са всяка информация, отнасяща се до физическото лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Трите имена, единен граждански номер, телефонен номер, номер на лична карта и дата на издаване безспорно имат качеството на лични данни за съответното физическо лице, а действията по събирането им са действия по обработване на личните данни по смисъла на §1, т.1 от Допълнителните разпоредби на ЗЗЛД и следва да се извършва в съответствие с разпоредбите на същия закон.
В чл.4, ал.1 от ЗЗЛД са разписани условията, при наличието, на които е допустимо обработването на лични данни на физическите лица. Законодателят е възприел, че обработването на лични данни на физическите лица, следва да се извършва при наличието на поне едно от тези условия, което е предпоставка за законосъобразност на обработването.
В конкретния случай видно от събраните по административната преписка доказателства и изложените от страните твърдения е, че личните данни на жалбоподателя в обем от три имена, единен граждански номер, номер на лична карта, дата на издаване и телефон за връзка са предоставени лично от жалбоподателя и са събрани от „И.“ АД във връзка с ползвана от жалбоподателя и предлагана от ответната страна платежна услуга. Дружеството е обработило личните данни на жалбоподателя в качеството си на администратор на лични данни и лицензиран доставчик на платежни услуги. Видно от направена служебна справка в Публичния регистър на лицензираните платежни институции воден от Българската Народна Банка е, че „И.“ АД е регистрирано като платежна институция и на същото е издадено Удостоверение №РД-22-1604/14.07.2010г. за извършване на дейност като платежна институция, предоставяща платежни услуги по чл.4, т.1, 2, 3, 5 и т.6 от Закона за платежните услуги и платежните системи.
Обработването на личните данни на жалбоподателя е законосъобразно, при наличие на разписаното в чл.4, ал.1, т.1 от ЗЗЛД условие за допустимост на обработването, а именно нормативно установено задължение на „И.“ АД, в качеството му на доставчик на платежни услуги и задължено лице по ЗМИП, да идентифицира клиентите си и да проверява тяхната идентичност при установяване на търговски или професионални отношения, като мярка за превенция на използване на финансовата система за целите на изпиране на пари (чл. 3, ал.1, т.1 и ал.3, ал.2 т.1 от ЗМИП). Съгласно разпоредбите на ЗМИП идентифицирането на клиентите и проверката на тяхната идентичност се извършва чрез предоставяне на официален документ за самоличност и регистриране на неговия вид, номер, издател, както и името, адреса и единния граждански номер на клиента – физическо лице. С разпоредбата на чл.2, ал.4 от Правилника за прилагане на Закона за мерките срещу изпирането на пари законодателят допуска, с оглед преценка на риска, доставчиците на платежни услуги да събират и други данни за лицето, в това число и телефон за връзка.
Във връзка с изложеното Комисията счита, че личните данни на жалбоподателя, в качеството му на ползвател на предлагани от „И.“ АД платежни услуги са обработени законосъобразно от дружеството, при наличие на условие за допустимост на обработването, а именно нормативно установено задължение на администратора на лични данни (чл. 4, ал.1, т.1 от ЗЗЛД). Личните данни на жалбоподателя са обработени в съответствие с принципите, визирани в чл.2, ал.2 от ЗЗЛД, събрани са за точно определени, конкретни и законни цели и няма данни да са обработени допълнително по начин, несъвместим с тези цели.
Водима от горното и на основание чл.38, ал.2, във връзка с чл.10, ал.1, т.7 от Закона за защита на личните данни, Комисията за защита на личните данни,
РЕШИ:
Оставя без уважение жалба рег.№Ж-21/23.01.2015г., подадена от М.Р.М. срещу „И.“ АД, като неоснователна.
Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд- София- град.
| ЧЛЕНОВЕ: | |
| Цанко Цолов /п/ Цветелин Софрониев /п/ Веселин Целков /п/ |
|
