Решение по жалба с рег. № Ж-249/07.06.2017 г.

Комисията за защита на личните данни („Комисията”/„KЗЛД”) в състав: членове – Цветелин Софрониев, Мария Матева и Веселин Целков, на редовно заседание, проведено на 21.11.2018г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни, разгледа по основателност жалба с рег. №Ж-249/07.06.2017г., подадена от Д.Д. срещу „А.Р.” ЕООД.

Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).

Жалбоподателят информира за получено уведомително писмо от Административен съд Плевен, че е подписал договор с някакво дружество при заплата 2200лв. Заявява, че е в затвора от 23.05.2003г. и оттогава не е излизал на свобода. В жалбата се допълва, че 70% от лишените от свобода нямат лични карти и влизат в затвора без документи. От съда направили проверка в НАП, че е сключил договор със заплата, но не са обърнали внимание, че е в затвора от 2003г. и са поискали държавната такса, за да гледат делото му.

Жалбоподателят моли Комисията да вземе необходимите мерки лишените от свобода да бъдат защитени, както всички човешки същества. Заявява, че не може без да е излизал на свобода да има регистриран трудов договор.

Към жалбата няма приложения.

От Национална агенция за приходите (НАП) е изискана справка от регистрите за постъпили уведомления по реда на чл.62, ал.5 от Кодекса на труда (КТ). По направеното искане е постъпил отговор, че за жалбоподателя има подадено уведомление от „А.Р.” ЕООД за сключен трудов договор на 01.08.2016г.

В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, „А.Р.” ЕООД е уведомено на основание чл.26 от АПК за образуваното административно производство. Предоставена е възможност за изразяване на становище с относими доказателства. Изпратеното по пощата писмо е върнато в цялост в Комисията с отметка „непотърсено”. На 23.10.2017г. е изпратено на електронната поща, посочена в Търговския регистър. Становище не е постъпило.

За да упражни правомощията си, Комисията следва да бъде валидно сезирана.

Разглежданата жалба съдържа задължително изискуемите реквизити, посочени в чл.30, ал.1 от Правилника за дейността на Комисията за защита на личните данни и нейната администрация, а именно: налице са данни за жалбоподателя, естество на искането, дата и подпис, с оглед на което жалбата е редовна.

Жалбата е процесуално допустима– подадена в срока по чл.38, ал.1 от ЗЗЛД от физическо лице с правен интерес. Същата има за предмет твърдение за неправомерно обработване на лични данни на жалбоподателя и е насочена срещу администратор на лични данни. С жалбата е сезиран компетентен да се произнесе орган– Комисия за защита на личните данни, която съгласно правомощията си по чл.10, ал.1, т.7 от ЗЗЛД разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по ЗЗЛД.

На проведено на 02.05.2018г. заседание на Комисията жалбата е приета за процесуално допустима и като страни в административното производство са конституирани: жалбоподател– Д.Д. и ответна страна– „А.Р.” ЕООД, в качеството на администратор на лични данни. Страните са редовно уведомени за насроченото за 06.06.2018г. открито заседание на Комисията за разглеждане на жалбата по същество. От „А.Р.” ЕООД повторно е изискано становище с относими доказателства по случая. Уведомителното писмо е изпратено едновременно на физическия и електронния адрес на дружеството. Отговор от дружеството отново не е постъпил.

На проведеното открито заседание разглеждането по същество на спора е отложено с оглед събирането на допълнително информация от ГД „Изпълнение на наказанията”, а именно: период на изтърпяване на наказанието лишаване от свобода, режим и място на изтърпяване на наказанието към дата 01.08.2016г. и излизал ли е жалбоподателят в домашен отпуск с документ за самоличност.След постъпване на изисканата информация, на проведено на 21.11.2018г. закрито заседание жалбата е разгледана по същество.

При така установената фактическа обстановка Комисията разгледа жалбата по същество, като я приема за основателна въз основа на следните изводи:

При разглеждане на конкретния случай е отчетена настъпилата промяна в правната рамка в областта на защита на личните данни в периода от операцията по обработване на личните данни до произнасяне по същество на искането, с което сезиран административния орган. Съобразено е, че от 25.05.2018г. се прилага Регламент(ЕС)2016/679 на Европейския парламент и на Съвета от 27април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Регламента), който има пряко действие. Предвид липсата на изрична разпоредба, че заварените отношения, които не са висящи и касаят юридически факти и породените от тях последици, настъпили преди прилагане на Регламента, следва да се преценяват според материалния закон, който е бил в сила към момента на тяхното възникване. В конкретният случай такива са материалните разпоредби, разписани в ЗЗЛД с оглед обстоятелството, че юридическите факти и правните последици свързани с обработването на данните се отнасят преди прилагане на Регламента. Отчетено е също, че съдържащите се в Регламента процесуални норми, включително изрично уредените в Регламента корективните правомощия на надзорните органи, следва да се прилагат незабавно, считано от 25.05.2018г. и спрямо всички висящи производства.

Законът за защита на личните данни (ЗЗЛД) и Регламент 2016/679 уреждат защитата на правата на физическите лица при обработване на личните им данни. Целта е гарантиране нанеприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.

Съгласно разпоредбата на чл.65, ал.3 от КТ: „В тридневен срок от сключването или изменението на трудовия договор и в седемдневен срок от неговото прекратяване работодателят или упълномощено от него лице е длъжен да изпрати уведомление за това до съответната териториална дирекция на Националната агенция за приходите.” В ал.5 на същата разпоредба е предвидено, че данните, които се съдържат в уведомлението, се определят с наредба на министъра на труда и социалната политика– Наредба№5 от 29 декември 2002г. за съдържанието и реда за изпращане на уведомлението по чл.62, ал.5 от кодекса на труда (Наредбата). На основание чл.5, т.2 от Наредбата в уведомлението работодателя следва да са посочени трите имена и единен граждански номер на работника или служителя. В приложение №1 към чл.1, ал.1 от Наредбата е утвърдени образец на уведомлението.

Лични данни са всяка информация, отнасяща се до физическото лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Имената и единният граждански номер на физическото лице безспорно имат качеството на лични данни съобразно посочената разпоредба.

От събраните в хода на административното производство доказателства се установи, че „А.Р.” ЕООД е обработило лични данните на жалбоподателя в обем три имена и единен граждански номер, като е подало в НАП уведомление на основание чл.62, ал.5 от КТ за сключен на 01.08.2016г. трудов договор с жалбоподателя, който е прекратен на 01.07.2017г.

Твърденията на жалбоподателя, че личните му данни са обработени от администратора без негово знание и съгласие за целите на регистрирането в НАП на трудов договор, не са оспорени от ответната страна и не са представени доказателства за реалното сключване на договора. Изводите за липса на сключен договор се потвърждават и от представената от Главна дирекция „Изпълнение на наказанията” справка, че към момента на уведомяването на НАП жалбоподателят е изтърпявал наказание лишаване от свобода, не е пускан в домашен отпуск и не му е предоставян документ за самоличност по време на престоя си в затвора в гр.Белене.

В чл.4, ал.1 от ЗЗЛД, приложим към момента на извършване на твърдяното нарушение, са определени условията, при наличието на които е допустимо обработването на лични данни. Законодателят е възприел, че обработването на лични данни на физическите лица, следва да се извършва при наличието на поне едно от тези условия, което е предпоставка за законосъобразност на обработването. Отчитайки чл.142, ал.1 от АПК, условията за допустимост на обработването по чл.4, ал.1 ЗЗЛД са идентични с тези по чл.6, параграф1 от Регламент 2016/679, които са приложими към момента на произнасяне на надзорния орган. В този смисъл не е отпаднала отговорността на администратора да обработва личните данни на физически лица при наличие на основание.

С оглед обстоятелството, че не са представени доказателства за действителното съществуване на регистрирания в НАП трудов договор, се налага извод, че не е налице съгласие като условие за допустимост на обработването на лични данни по чл.4, ал.1, т.2 ЗЗЛД. Не е доказано и посоченото в чл.4, ал.1, т.1 от ЗЗЛД нормативно установено по чл.63, ал.3 КТ задължение за дружеството-работодател, каквото качество в случая не е доказано да притежават „А.Р.” ЕООД по отношение на г-н Д.Д. Не е налице нито едно от останалите условия за допустимост на обработването, посочени в чл.4, ал.1, т.3, 4, 5, 6 и 7 от ЗЗЛД. Съответно не са налице и основанията, посочени в чл.6, параграф1 от Регламент 2016/679.

При така констатираното нарушение жалбата следва да бъде уважена. Комисията разполага с оперативна самостоятелност, като преценява кое от своите корективни правомощия по чл.58, пар.2 от Регламент 2016/679 да реализира. Преценката се основава на съображенията за целенасоченост, целесъобразност и ефективност на решението, като следва да се постанови акт, който в най-пълна степен да защитава обществения интерес. Правомощията по чл.58, пар. 2, без тази по буква„и”, имат характера на принудителни административни мерки, чиято цел е да предотвратят извършването на нарушение или ако извършването е започнало– да го преустанови, като по този начин се обективира изисканото от закона поведение. Административното наказание „глоба” или „имуществена санкция” по чл.58 пар. 2, буква„и” има санкционен характер. Относно прилагането на подходящата корективна мярка по член 58, пар.2 от Регламента следва да се има предвид естеството, тежестта и последиците от нарушението, като се оценят всички факти по случая. Оценката за това, какви мерки са ефективни, пропорционални и възпиращи във всеки отделен случай ще трябва да отразява целта, преследвана с избраната корективна мярка, т.е. възстановяване на спазването на правилата, санкциониране на неправомерно поведение или и двете (каквато възможност е предвидена в чл.58, пар.2, буква„и”).

В конкретния случай Комисията намира, че с оглед характера и тежестта на нарушението най-целесъобразно е налагане на имуществена санкция на администратора „А.Р.” ЕООД в размер, близък до минималния. Съображенията за това в съответствие с чл.83, параграф2 от Регламента са следните:

Утежняващи обстоятелства– от нарушението е засегнат един субект на данни, но за него са възникнали конкретни вреди– лицето не е освободено от държавна такса при заведено дело в Административен съд Плевен, тъй като има регистриран трудов договор, по който получава доход. Самото нарушение е продължило цели 11 месеца и при извършването му е засегнат и националния идентификационен номер (ЕГН), който подлежи на специална закрила. Надзорният орган е узнал за нарушението от жалбоподателя, а администраторът не съдейства на Комисията при осъществяването на контролните ѝ правомощия, което води до невъзможност да се направи преценка за предприетите от дружеството технически и организационни мерки.

Като смекчаващи обстоятелства се приема, че администраторът е предприел действия за отстраняване на нарушението преди да бъде уведомен за образуваното пред КЗЛД производство. Не са установени предишни нарушения от „А.Р.” ЕООД, съответно не са налагани корективни правомощия по чл.58, параграф2 от Регламента.

Обстоятелства, които не са относими към настоящия случай: дали нарушението е извършено умишлено или по небрежност– администраторът е юридическо лице, което не формира вина. Към момента на обработването не са налице одобрени кодекси за поведение.

Комисията за защита на личните данни, като взе предвид фактите и обстоятелствата, изнесени в настоящето административно производство, и на основание чл.58, параграф2 от Регламент2016/679,

Настоящото решение подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни, пред Административен съд София– град.

След влизане в сила на решението, сумата по наложеното наказание да бъде преведена по банков път:

Банка БНБ– ЦУ

IBAN: BG18BNBG96613000158601 BIC BNBGBGSD

Комисия за защита на личните данни, БУЛСТАТ 130961721

В случай че санкцията не бъде платена в 14-дневен срок от влизане в сила на решението, ще бъдат предприети действия за принудителното му събиране.