Решение по жалба с рег. № Ж-220/ 18.06.2013г.

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове: Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков, в открито заседание, проведено на 20.11.2013г. (Протокол №40), на основание чл.10, ал.1, т.7 от Закона за защита на личните данни (ЗЗЛД), разгледа по същество жалба с рег.№Ж-220/18.06.2013г. от И.Г.К. срещу „С.Ж.Е.“АД.

Административното производство пред Комисията за защита на личните данни е образувано на основание чл.38 от Закона за защити на личните данни.

В Комисията за защита на личните данни е постъпило електронно писмо, в което жалбоподателят сочи за извършена злоупотреба с личните му данни. Твърди, че в началото на м. юли 2013г. е получил на домашния си адрес (който е и адрес на управление на собствената му Амбулатория за ПМПДМ) писмо, съдържащо промоционални условия за предоставяне на данъчен кредит на лица, упражняващи свободна професия. Подателят е притеснен от факта, че банката обработва личните му данни без да е имал някакви взаимоотношения с нея, както и без знанието и съгласието му. Входирал е жалба до „С.Ж.Е.“АД с искане да посочат откъде са придобили личните му данни и кой ги е предоставил. Посочва, че служител от банката се е свързал с него по телефона с уверение, че ще му бъде изпратен писмен отговор на подадената жалба.

Счита, че е извършена злоупотреба с личните му данни, поради което сезира Комисията за защита на личните данни с оглед своите правомощия да предприеме необходимите действия по случая.

Към писмото не са приложени доказателства.

С писмо с изх.№П-4335/26.06.2013г. на Председателя на КЗЛД, на жалбоподателя е посочено приложното поле на Закона за защита на личните данни (ЗЗЛД). Уведомен е за условията при наличие на поне едно от които е допустимо обработването на лични данни от страна на администратор на лични данни по смисъла на чл.3 от ЗЗЛД. Посочени са правните възможности и мерки, които следва да предприеме ако счита, че правата му по ЗЗЛД са нарушени. Посочена му е възможността, разписана в чл.26 от ЗЗЛД за правото на достъп на всяко физическо лице до отнасящи се до него лични данни, при която законът му предоставя по всяко време да поиска от администратора на лични данни информация дали обработва негови лични данни, в какъв обем, както и да поиска заличаване, коригиране или блокиране на същите, по реда на чл.28а от ЗЗЛД. На г-н И.Г.К. е посочена и правната възможност по смисъла на чл.34а, ал.2 от ЗЗЛД, съгласно която физическото лице има право да възрази срещу обработването на личните му данни за целите на директния марктинг – предлагане на стоки и услуги на физическите лица по пощата, по телефон или друг директен начин, както и допитване с цел проучване относно предлаганите стоки(§1, т.15 от ДР на ЗЗЛД).

На И.Г.К. е указано изрично, че ако предприеме да сезира КЗЛД, искането (жалбата) трябва да отговаря на изискванията на чл.30 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация (ПДКЗЛДНА). Писмените искания се подават в деловодството на Комисията с писмо, по факса или по електронен път по реда на Закона за електронния документ и електронния подпис. В случай, че документите са подадени по електронен път, е необходимо подателят да притежава електронен подпис.

В отговор, с писмо с вх.№П-4595/08.07.2013г. г-н И.Г.К. депозира жалбата си, подписана с електронен подпис, като към нея е приложил ксерокопие на Писмо с изх.№328/05.07.2013г. от Български зъболекарски съюз.

Жалбата, подадена от И.Г.К. срещу „С.Ж.Е.“АД е съобразена с изискванията на КЗЛД съгласно Правилника за дейността на Комисията за защита на личните данни и на нейната администрация и съдържа необходимите нормативно определени реквизити. Г-н И.Г.К. има регистрация в Регистър БУЛСТАТ като самоосигуряващо се лице с предмет на дейност лечебни заведения за стоматологична помощ. Съгласно дефиницията, посочена в §1, т.29 на ДР на ЗКПО, лица, упражняващи свободна професия са: експерт–счетоводителите; консултантите; одиторите; адвокатите; нотариусите; частните съдебни изпълнители; съдебните заседатели; експертите към съда и прокуратурата; лицензираните оценители; представителите по индустриална собственост; медицинските специалисти; преводачите; архитектите; инженерите; техническите ръководители; дейците на културата, образованието, изкуството и науката; застрахователните агенти; други физически лица, за които са налице следните условия:

а) осъществяват за своя сметка професионална дейност;

б) не са регистрирани като еднолични търговци (ЕТ);

в) са самоосигуряващи се лица по смисъла на КСО.

Следователно въпреки, че извършват посочените дейности като вид, в обхвата на понятието "лица, упражняващи свободни професии" не попадат юридическите лица и физическите лица, които изпълняват тези дейности в качеството си на ЕТ. От изложеното следва извода, че лицето И.Г.К. има правен интерес в качеството си на физическо лице да сезира Комисията за защита на личните данни. Жалбата е подадена в срока по чл.38, ал.1 от ЗЗЛД.

В чл.27, ал.2 от АПК законодателят обвързва преценката за допустимостта на искането с наличие на посочените в текста изисквания. Приложимостта на Закона за защита на личните данни е свързана със защитата на физическите лица във връзка с обработването на техните лични данни от лица, имащи качеството администратори на лични данни по смисъла на легалната дефиниция на чл.3 от Закона, каквото качество безспорно притежава „С.Ж.Е.“АД Това изискване се явява абсолютна процесуална предпоставка, с оглед на което следва да се прецени допустимостта на жалбата.

При извършена служебна проверка в Регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД, е установено, че на „С.Ж.Е.“АД е издадено Удостоверение №39253. Заявени са два регистъра: „Акционери“ „Клиенти и неклиенти“. Дружеството е вписано в Регистъра на администраторите на лични данни и на водените от тях регистри към КЗЛД.

Жалбата е насочена срещу злоупотреба с лични данни, изразяващо се в обработването на личните данни за целите на директния маркетинг без знанието и съгласието на жалбоподателя. По смисъла на §1 от ДР на ЗЗЛД „употреба“ представлява обработване на лични данни.

Съгласно чл.10, ал.1, т.7 във връзка с чл.38 от Закона за защита на личните данни, КЗЛД разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по този закон, както и жалби на трети лица във връзка с правата им по този закон.

В заседание, проведено на 23.10.2013г. (Протокол №36), Комисията обявява жалбата за допустима и я насрочва за разглеждане по същество на 20.11.2013г. Конституира като страни в административното производство жалбоподателя И.Г.К. и ответна страна- „С.Ж.Е.“АД в качеството ѝ на администратор на лични данни.

На основание чл.26 от Административнопроцесуалния кодекс (АПК), с писмо с изх.№П-4872/19.07.2013г. на Председателя на КЗЛД, „С.Ж.Е.“АД е уведомена за образуваното в КЗЛД административно производство и на основание чл.36 от АПК е указано в срок да предостави писмено становище по жалбата, както и относими към случая доказателства.

В отговор, с писмо с вх.№С-508/30.07.2013г. от „С.Ж.Е.“АД е депозирано становище, в което се сочи, че банката разполага с трите имена, адрес и телефон, които лични данни са използвани единствено с цел да бъде запознат г-н И.Г.К. със специалните търговски условия по програмата „Експерт“, която програма банката предлага на лицата, упражняващи свободна професия. Посочва се, че писмото, към което г-н И.Г.К. реферира в жалбата си е изпратено с цел да бъде лично информиран за търговската оферта на банката. След сезиране на Комисията, от страна на банката са предприети незабавни действия за прекратяване ползването на личните данни на жалбоподателя. От „С.Ж.Е.“АД се заявява, че в случая с г-н И.Г.К. е „допуснат технически пропуск, който се дължи и на пропуск в разграничението на регистрираната от лицето амбулатория от юридическо лице“.

С писмо с изх.№П-5730/30.08.2013г. на Председателя на КЗЛД, жалбоподателят е уведомен за предприетите от КЗЛД действия по случая. Указано му е правната възможност по смисъла на чл.34а, ал.2 от ЗЗЛД да възрази срещу обработването на неговите лични данни за целите на директния маркетинг. С оглед дадените указания, с писмо с вх.№П-5996/ 16.09.2013г. жалбоподателят депозира кореспонденцията си с банката.

В отговор на писмо с изх.№П-6385/02.10.2013г. на Председателя на КЗЛД, с което от администратора на лични данни е изискана информация откъде е получил личните данни на И.Г.К., от „С.Ж.Е.“АД уведомяват Комисията, че личните данни на жалбоподателя са налични в Регистър БУЛСТАТ, в сайта на Регионалната здравна инспекция – В., както и в справочник Фрамар БГ. Относно подаденото от г-н И.Г.К. Заявление по чл.28а от ЗЗЛД, от банката се твърди, че в законоустановения 14-дневен срок на подателя е изпратен отговор, в който уверяват г-н И.Г.К., че личните му данни са заличени, което обстоятелство е обективирано в протокол.

Към писмото са приложени заверени ксерокопия на: заявление с вх.№КV-7560-16 от 16.09.2013г.; Писмо с изх.№RV-7560-16/25.09.2013г.; Протокол от 24.09.2013г. относно унищожаване на личните данни на И.Г.К.; 3 бр. екранни разпечатки от Регистър на лечебните заведения за първична извънболнична дентална помощ, Фрамар и Регистър БУЛСТАТ.

Съгласно разпоредбата на чл.6, ал.1 от ЗЗЛД, Комисията за защита на личните данни е независим държавен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на този закон.

В чл.1, ал.2 от Закона за защита на личните данни е гарантирана неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.

За откритото заседание на КЗЛД за разглеждане на жалбата по същество, проведено на 20.11.2013г. (Протокол №40), страните са редовно уведомени. Жалбоподателят не се явява, не изпраща процесуален представител. За „С.Ж.Е.“АД се явява М.Х.К. с изрично пълномощно от 19.11.2013г. Г-жа М.Х.К. заявява, че жалбоподателят никога не е бил клиент на банката. Твърди, че при извършена проверка е установено, че банката разполага с трите имена, адрес и телефони на физическото лице, които лични данни са използвани за директен маркетинг с цел да бъде запознато лицето със специални търговски условия по програма „Експерт“. М.Х.К. посочва, че е допуснат технически пропуск, вследствие на който г-н И.Г.К. не е бил третиран от страна на банката като физическо лице. След установяването на допуснатата грешка относно разграничаването на физическо от юридическо лице, на 24.09.2013г. на основание вътрешна заповед личните му данни са били заличени.

Обработването на лични данни от страна на администратора на лични данни, съгласно чл.2, ал.2, т.1 от ЗЗЛД, следва да бъде законосъобразно и добросъвестно. Съгласно чл.2, ал.2, т.3 от Закона личните данни следва да бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват.

Преценката относно основателността на жалбата следва да се обвърже с наличие на неправомерно обработване на личните данни на жалбоподателя.

Съгласно легалната дефиниция, съдържаща се в §1, т.15 от ДР на ЗЗЛД, „директен маркетинг“ е предлагане на стоки и услуги на физически лица по пощата, телефон или по друг директен начин, както и допитване с цел проучване относно предлаганите стоки и услуги.

Г-н И.Г.К. има регистрация в Регистър БУЛСТАТ като самоосигуряващо се лице с предмет на дейност- лечебни заведения за стоматологична помощ. Личните данни на жалбоподателя са обработени от „С.Ж.Е.“АД в качеството му на физическо лице, тъй като както бе посочено по-горе към „лица, упражняващи свободна професия" не попадат юридическите лица и физическите лица, които изпълняват тези дейности в качеството си на ЕТ. Изпращането от „С.Ж.Е.“АД в началото на м. юни 2013г. на писмо на домашния адрес на жалбоподателя, съдържащо специално предложение за кредит, може да бъде определено като директен маркетинг. ЗЗЛД не забранява обработване на лични данни на физически лица за подобна цел, но следва да се извършва по ред и начин, регламентиран в закона. В чл.4 от Закона за защита на личните данни се съдържат императивни разпоредби, в които законодателят е указал в кои случаи е допустимо обработването на лични данни. Обработването на лични данни на физически лица за целите на директния маркетинг е допустимо, ако е налице съгласието на лицето, по смисъла на чл.4, ал.1, т.2 от ЗЗЛД, за което данните се отнасят, което в конкретния случай липсва. Жалбоподателят не е клиент на банката и не е бил в никакви взаимоотношения с нея, поради което не му е известно условието, че банката ще обработва личните му данни за целите на директния маркетинг. С изпращането на писмо до жалбоподателя е нарушена неприкосновеността на личния му живот, тъй като г-н И.Г.К. не е дал съгласие данните му да бъдат обработвани от „С.Ж.Е.“АД.

В качеството си на администратор на лични данни, по смисъла на чл.3, ал.1 от ЗЗЛД, „С.Ж.Е.“АД има задължение да обработва лични данни на физическите лица в случаите, когато това е допустимо, при наличие на поне една от посочените в чл.4, ал.1 от ЗЗЛД предпоставки, както и в съответствие с изискванията на принципите, прогласени в чл.2, ал.2 от ЗЗЛД. В изпълнение на изискването за законосъобразно обработване на данните, „С.Ж.Е.“АД следва да положи необходимите усилия и да установи действителното правно положение на лицата, чийто данни предстои да се обработват по избрания от банката начин. Напротив, от „С.Ж.Е.“АД не е изяснен статутът на д-р И.Г.К. като лице, упражняващо свободна професия. Този факт се потвърждава в становище с вх.№С-508/30.07.2013г., в което от банката се сочи, че „в случая с г-н И.Г.К. е допуснат технически пропуск, който се дължи на пропуск в разграничението на регистрираната от лицето амбулатория от юридическо лице“. Процесуалният представител на „С.Ж.Е.“АД в откритото заседание потвърждава за допусната от банката грешка при разграничаването на физическо от юридическо лице.

В конкретния случай, личните данни на жалбоподателя са обработени в нарушение на закона. На първо място, И.Г.К., за когото данните се отнасят не е в договорни отношения с банката (чл. 4, ал.1, т.3 от ЗЗЛД); не е изразявал съгласие личните му данни да бъдат обработвани от дружеството (чл. 4, ал.1, т.2 от ЗЗЛД); обработването не се налага в изпълнение на нормативно установено задължение на администратора, не се налага за защита на здравето и интереса му, нито в защита на правомощие на администратора или на трето лице или реализиране на права на администратора на лични данни (чл. 4, ал.1, т.4-7 от ЗЗЛД). Следователно личните данни на г-н И.Г.К. са обработени от „С.Ж.Е.“АД без неговото съгласие за целите на директния маркетинг, а именно: предлагане на стоки и услуги по пощата (§ 1, т.15 от ДР на ЗЗЛД).

На следващо място, налице е нарушение и на нормата на чл.34а, ал.1, т.3 от ЗЗЛД, съгласно която физическото лице има право да бъде уведомено, преди личните му данни да бъдат използвани за целите на директния маркетинг, като му бъде предоставена възможност да възрази срещу такова използване. „С.Ж.Е.“АД не е изпълнил задължението си да информира физическото лице, чиито данни обработва за правото му да възрази срещу обработването на личните му данни за целите на директния маркетинг. Видно от писмото на банката, съдържащо преференциални условия за кредит по програма „Експерт“, както и от писмо с изх.№37260/18.06.2013г., адресирани до г-н И.Г.К., същите не съдържат такава информация. Г-н И.Г.К. е уведомен не от страна на банката, а с писмо с изх.№П-4335/ 26.06.2013г. и повторно с писмо с изх.№П-5730/30.08.2013г. на Председателя на КЗЛД за правната възможност, която има да възрази срещу обработване на личните му данни от „С.Ж.Е.“АД за целите на директния маркетинг, каквито действия жалбоподателят е предприел със Заявление с вх.№КО7560-16/16.09.2013г. до банката.

От анализа на събраните в хода на административното производства доказателства е установено, че „С.Ж.Е.“АД, обработва по смисъла на §1 от ДР на ЗЗЛД, свързаните с жалбоподателя лични данни без наличие на валидно правно основание, съдържащо се в чл.4, ал.1, т.2 от ЗЗЛД дружеството да ги притежава и обработва, както и в нарушение на чл.34а, ал.1, т.3 от ЗЗЛД.

В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в процесуалното производство, съгласно чл.7 от Административнопроцесуалния кодекс, изискващ наличието на установени действителни факти от значение по случая, имайки предвид представените писмени доказателства и становища, Комисията приема, че разгледана по същество жалбата е основателна.

При определянето на размера на административното наказание Комисията за защита на личните данни се съобрази с характера и степента на нарушенията и обществените отношения, които те засягат, както и подбудите за извършването им и при отчитане на възпитателната, възпираща и предупредителна функция на наказанието. Взе предвид обстоятелството, че настоящото наказание е първо за „С.Ж.Е.“АД, както и факта, че с действията са увредени правата по Закона за защита на личните данни на едно физическо лице.

Водима от горното и на основание чл.38, ал.2 във връзка с чл.10, ал.1, т.7 и чл.42, ал.1 и чл.42, ал.9 от Закона за защита на личните данни, Комисията за защита на личните данни

Настоящото решение подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд София – град.

След влизане в сила на решението, сумата по наложените наказания да бъде внесена в брой в касата на Комисията за защита на личните данни, гр.София- 1431, бул.„Акад. Иван Гешов“ №15 или преведени по банков път:

Банка БНБ- ЦУ

IBAN: BG18BNBG96613000158601

BIC BNBGBGSD

Комисия за защита на личните данни, Булстат 130961721