РЕШЕНИЕ
№Ж-287/2017г.
София, 22.02.2019г.
Комисията за защита на личните данни (КЗЛД, Комисията) в състав, председател– Венцислав Караджов и членове: Цветелин Софрониев, Мария Матева и Веселин Целков на редовно заседание, проведено на 13.12.2018г. и обективирано в протокол№47/13.12.2018г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни (ЗЗЛД), разгледа по същество жалба с рег. №Ж-287/30.06.2017г., подадена от Б.М. срещу здравно заведение (З.З.).
Административното производство е по реда на чл.38 от ЗЗЛД.
Комисията за защита на личните данни (КЗЛД) е сезирана с жалба с рег. №Ж-287/30.06.2017г., подадена от д-р Б.М., в която са изложени следните твърдения:
Жалбоподателят твърди, че на 01.07.2016г. е изпратил посредством Телепоща с обратна разписка заявление до работодателя му З.З. с искане за:
Потвърждение за това, дали отнасящи се до него данни се обработват, информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват; Съобщение до него в разбираема форма, съдържащо личните му данни, които се обработват, както и всяка налична информация за техния източник; Информация за логиката на всяко автоматизирано обработване на лични данни, отнасящи се до него.
В жалбата се посочва, че видно от приложената разписка, заявлението е получено на 04.07.2016г., но г-н Б.М. не е получил отговор от администратора на лични данни в законоустановения срок по чл.32 от ЗЗЛД.
Жалбоподателят моли да бъдат наложени административни санкции на виновните лица.
Приложено екопие от обратна разписка за доставянето на препоръчаното писмо с дата 04.07.2016г. и копие от Заявлението на жалбоподателя по чл.30 от ЗЗЛД до администратора на лични данни.
Писмо с изх. ППН-01 Ж-287#1/22.08.2018г. е изпратено от КЗЛД, в коетосе информира Б.М. за образуваното административно производство и се дава възможност за предоставяне на относими доказателства в 7-дневен срок от получаването на писмото.
Писмо с изх. №ППН-01-287#3/22.08.2017г. е изпратено от КЗЛД, в което се информира г-жа В.М.– управител на З.З. за образуваното административно производство и се дава възможност за предоставяне на писмено становище и доказателства в 7-дневен срок от получаването на писмото.
Постъпило е становище от З.З., в което са изложени следните твърдения:
Твърди се, че З.З. не е получавало заявлението, приложено от г-н Б.М. В поименното щатно разписание към посочената в жалбата дата, не фигурира лице с фамилия И., подписала известие за доставяне. Посочено е, че жалбата е поредно искане на г-н Б.М. с аналогично съдържание и има приключило съдебно производство пред АССГ между страните по жалба на Б.М., че не му е представена информация във връзка с обработка на личните му данни от представляваното от него дружество, като АССГ прекрати производството по адм. дело *****. В допълнение, се твърди, че З.З. разполага с лични данни на жалбоподателя от прекратен преди години граждански договор, но не ги използва, за което Б.М. вече е уведомен в рамките на делото пред АССГ.
Приложени са като доказателства: определение №**** на Върховния административен съд на Република България, определение №**** на Административен съд– София.
Жалбата на Б.М. е съобразена в цялост с изискванията за редовност, съгласно чл.30, ал.1 от Правилник за дейността на Комисията за защита на личните данни и нейната администрация (ПДКЗЛДНА), а именно: налице са данни за жалбоподателя, естеството на искането, дата и подпис.
Нормата на чл.38, ал.1 от ЗЗЛД предвижда преклузивен срок за сезиране на Комисията– в едногодишен срок от узнаване на нарушението, но не по-късно от пет години от извършването му. Не е изтекла една година от узнаването на твърдяното нарушение или пет години от извършването му. Предвидените в чл.38, ал.1 от ЗЗЛД срокове са спазени.
В чл.27, ал.2 от АПК законодателят обвързва преценката за допустимост на искането с наличие на посочените в текста изисквания. Приложимостта на Закона за защита на личните данни е свързана със защитата на физическите лица във връзка с обработването на техните лични данни от лица, имащи качеството „администратори на лични данни” .
На проведено на 07.11.2018г. закрито заседание на Комисията, жалбата е обявена за процесуално допустима. Конституирани са страни: жалбоподател– Б.М. и ответна страна– З.З. в качеството му на администратори на лични данни, редовно уведомени за насроченото на 13.12.2018г. открито заседание.
Жалбоподателят се явява лично, „З.З. не изпраща представител за заседанието.
При изготвяне на настоящото решение е отчетена настъпилата промяна в правната рамка в областта на защитата на личните данни в периода от обработването на личните данни до произнасяне по същество на искането, с което е сезиран административния орган. Съобразен е и факта, че от 25.05.2018г. се прилага Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните, Регламента) урежда правилата по отношение защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни. Прави се и отбелязването, че съгласно чл.288 от ДФЕС „Регламентът е акт с общо приложение. Той е задължителен в своята цялост и се прилага пряко във всички държави-членки.“ Съгласно чл.15, ал.2 от Закона за нормативните актове (ЗНА) „ако нормативен акт противоречи на регламент на Европейския съюз, прилага се регламентът“. Предвид липсата на изрична разпоредба следва, че заварените отношения, които не са висящи и се отнасят до юридически факти и породени от тях последици, настъпили преди прилагане на Регламента, следва да се преценяват според материалния закон, който е бил в сила към момента на тяхното възникване. В конкретния случай такива са разпоредбите на ЗЗЛД с оглед обстоятелството, че юридическите факти и правните последици свързани с непредоставянето на данните касаят периода 30.06.2017г., т.е преди прилагане на регламента.
Жалбата е подадена от физическо лице с правен интерес и има за предмет нарушено право на достъп до лични данни и обжалване на отказ за предоставяне на копие от обработвани лични данни.
С жалбата е сезиран компетентен да се произнесе орган– КЗЛД, която съгласно правомощията си по чл.чл. 10, ал.1, т.7 от ЗЗЛД, респективно чл.57 ,§.1, т.„е“ от Регламент (ЕС) 2016/679, разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица свързани с обработване на личните данни.
Наличието на администратор на лични данни е абсолютна процесуална предпоставка за допустимост на жалбата. В конкретния случай, предвид разпоредбата на чл.4, т.7 от Регламент (ЕС) 2016/679 и предвид събраните по преписката доказателства се налага извода, че „З.З. е администратор на лични данни.
По преписката е установено, че съгласно определение №***по административно дело №*** на Административен съд- София град, Второ отделение, 25 състав, потвърдено с определение №*** по адм. дело №*** на Върховен Административен съд, че З.З. не е бил надлежно сезиран от Б.М. с искане по чл.28 от ЗЗЛД, отнасящо се до същото заявление за предоставяне на достъп до отнасящи се до последния лични данни, предвид което не е на лице отказ от З.З., по смисъла на чл.33, ал.3 от ЗЗЛД. С определение №*** по адм. дело №****. на ВАС, с което от Върховният административен съд е посочено, че фактът дали заявлението, подадено от Б.М. е получено от администратора на лични данни е ирелевантен, тъй като в хода на съдебното производство с уведомление от 16.01.2017г. на процесуалния представител на жалбоподателя е предоставена пълна информация по отправеното от жалбоподателя.
В хода на производството безспорно е установено, че г-н Б.М. е подал заявление за достъп до личните му данни до З.З., на основание чл.28, ал 1, т.1 и 2 от ЗЗЛД. По заявлението не е депозиран отговор от З.З.
Съгласно разпоредбата на чл.26 от приложимия към момента на подаване на заявлението Закон за защита на личните данни, физическото лице има право на достъп до отнасящите се до него лични данни, което е конкретизирано като обем в чл.28, ал.1 ЗЗЛД. Идентичен като право и сходен по съдържание е и чл.15, пар. 1 и 3 на Регламент (ЕС) 2016/679.
Заявлението е подадено по предвидения в чл.29 ЗЗЛД ред и съдържа необходимите реквизити, посочени в чл.30, ал.1 ЗЗЛД. В чл.32, ал.4 ЗЗЛД е вменено задължението на администратора на лични данни в 14-дневен срок да отговори на искането.
Предвид събраните доказателства в административното производство е видно, че произнасяне по заявлението на г-н Б.М. отЗ.З. не е извършено и към настоящия момент.
При така констатираното нарушение жалбата следва да бъде уважена предвид непроизнасянето по подадено заявление.
Комисията разполага с оперативна самостоятелност, като преценява кое от своите корективни правомощия по чл.58, пар. 2 от Регламент 2016/679 да реализира. Преценката се основава на съображенията за целесъобразност и ефективност на решението, като следва да се постанови акт, който в най-пълна степен да защитава обществения интерес. Правомощията по чл.58, пар. 2, без тази по буква „и”, имат характера на принудителни административни мерки, чиято цел е да предотвратят извършването на нарушение или ако извършването е започнало– да го преустанови, като по този начин се обективира изисканото от закона поведение. Административното наказание „глоба” или „имуществена санкция” по чл.58 пар. 2, буква „и” има санкционен характер. Относно прилагането на подходящата корективна мярка по член 58, пар. 2 от Регламента следва да се има предвид естеството, тежестта и последиците от нарушението, като се оценят всички факти по случая. Оценката за това, какви мерки са ефективни, пропорционални и възпиращи във всеки отделен случай ще трябва да отразява целта, преследвана с избраната корективна мярка, т.е. възстановяване на спазването на правилата, санкциониране на неправомерно поведение или и двете (каквато възможност е предвидена в чл.58, пар. 2, буква „и”).
Прави се и отбелязването, че и по ЗЗЛД и по Регламента е поставен срок за произнасяне по подадени заявления, който в конкретния случай не е спазен, предвид което имуществената санкция, като корективна мярка по член 58, параграф 2, буква „и“ от Регламента и мярка на административна принуда, се явява целесъобразна и ефективна мярка, за защита на законовия обществен интерес. Следва да се отбележи, че освен чисто санкционна мярка, реакция на държавата към извършеното нарушение на нормативно установените правила, имуществената санкция има и дисциплиниращо действие, с оглед неизвършването на същото нарушение за напред. Администраторът е длъжен да познава закона и да спазва неговите изисквания, още повече, че той дължи необходимата грижа, предвидена в закона и произтичаща от предмета му на дейност, кадровия и икономически ресурс.
Липсата на произнасяне по подаденото от г-н Б.М. заявление, съгласно законовото изискване по чл.15, пар. 1, б. „а“, „б“, „в“ и „ж“ от ОРЗД (разпоредби, идентични с разпоредбите на чл.28 от ЗЗЛД) е обвързано с налагането на санкция в минимален размер. Комисията счита, че имуществената санкция ще има възпитателно въздействие и ще допринесе за спазване от страна на администратора на установения правен ред, като при определяне на размера на наложена санкция взе предвид, че нарушението е първо за администратора. Следва да се отбележи, че освен чисто санкционна мярка, реакция на държавата към извършеното нарушение на нормативно установените правила, имуществената санкция има и дисциплиниращо действие, с оглед неизвършването на същото нарушение за напред. Администраторът е длъжен да познава закона и да спазва неговите изисквания, още повече, че той дължи необходимата грижа, предвидена в закона и произтичаща от предмета му на дейност, кадровия и икономически ресурс. Същият подход е бил приложим и към момента на извършване на нарушението – чл.42, ал.7 от ЗЗЛД.
Видно от изложеното и на основание чл.38, ал.2 от Закона за защита на личните данни Комисията за защита на личните данни да се произнесе със следното
РЕШЕНИЕ:
1. Oбявява жалба, подадена от Б.М. срещу здравно заведение, с рег. №Ж-287/30.06.2017г. за основателна, за извършено нарушение– непроизнасяне по подадено заявление от г-н Б.М. по реда на чл.29 от ЗЗЛД от здравното заведение.
2. Налага на администратора здравно заведение, ЕИК ****, със седалище и адрес на управление: *****, представлявано от В.М., имуществена санкция в размер от 1000лв. (хиляда хиляди лева), съгласно разпоредбата на чл.83, пар. 5, б. „в“ от Регламента за нарушение на чл.12 във връзка с чл.15, пар. 1, б. „а“, „б“, „в“ и „ж“ и пар. 3 от ОРЗД.
След влизане в сила на решението, сумата по наложените наказания да бъде внесена в брой в касата на Комисията за защита на личните данни, находяща се в гр. София, бул. „Проф. Цветан Лазаров“ №2 или преведена по банков път:
Банка БНБ– ЦУ
IBAN: BG18BNBG96613000158601
BIC BNBGBGSD
Комисия за защита на личните данни, БУЛСТАТ 130961721
Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд – София– град.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ |
Цветелин Софрониев /п/ | |
| Мария Матева /п/ | ||
| Веселин Целков /п/ |
