РЕШЕНИЕ
№ Ж-317/16 г.
София, 31.01.2017 г.
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и членове: Цветелин Софрониев, Мария Матева и Веселин Целков, на открито заседание, проведено на 11.01.2017г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни (ЗЗЛД) разгледа жалба с рег. №Ж-317/27.07.2016г., подадена от А.Д.М. срещу „БТК” ЕАД.
Господин А.Д.М. уведомява, че на 07.04.2016г., чрез уеб сайта на дружеството, е подал Заявление по чл.29 от ЗЗЛД, подписано с електронен подпис.
Жалбоподателят информира, че изисканите от него категории данни са изброени чрез посочени в ЗЗЛД цели и чрез специфичните цели, които „БТК” предвижда в общите условия за предлаганите от дружеството услуги и по-конкретно за услугата “VIVACOMNET”.
Господин А.Д.М. твърди, че на 12.07.2016г. негови лични данни са били разкрити пред чуждестранно юридическо лице, чрез некриптирано съобщение до използваната от него електронна поща в информационните системи Gmailна GoogleInc. Разкритите данни включват име, адрес, телефонен номер, клиентски номер „таен въпрос” и „таен отговор” за достъп до услугите на „БТК” и съобщението е получено на адрес *** и е обозначено като изпратено от адрес *****” без DKIM подпис от същия домейн.
Жалбоподателят изтъква, че не е давал съгласието си за предаване на данните му по електронен път, без необходимите технически и организационни мерки за защита.
Обръща се внимание, че съдържанието на прикрепения към съобщението електронен документ също не е подписано с електронен подпис по реда на ЗДЕП и автентичността му е оспорима.
Господин А.Д.М. сочи, че документът информира относно решението да бъде отказан достъп до лични данни, но според него предоставя неточна и заблуждаваща информация „относно наличието на такива данни и относно мотивите за този отказ”.
На 19.07.2016г., при телефонно обаждане на жалбоподателя до центъра за обслужване на клиенти, от „БТК” потвърждават изпращането- чрез електронна поща, на въпросния отговор.
Според А.Д.М. осъществената кореспонденция не представлява и не съдържа уведомление по чл.33 от ЗЗЛД или информация, съобразена със задълженията на администратора по чл.31, ал.3 от ЗЗЛД.
На 25.07.2016г. жалбоподателят получава от „БТК” ЕАД и уведомление по пощата- с обратна разписка, по реда на чл.33, ал.2 от ЗЗЛД. Уведомлението представлява хартиено копие, без подпис на съответното длъжностно лице и без валидна заверка спрямо оригинала, като съдържанието на отказа е същото като на писмото, получено от А.Д.М. на 12.07.2016г. по електронната поща, като са отхвърлени предпоставките за удължаване на срока по чл.32, ал.2 от ЗЗЛД.
С писмо рег. №П-6742 от 16.09.2016г. от „БТК” ЕАД е изискано писмено становище по случая, ведно с относимите доказателства, депозирано в КЗЛД под рег. №С-793/03.10.2016г.
В становището от „БТК” ЕАД уведомяват, че господин А.Д.М. е страна по договор за пакетна услуга VivacomNet&CallL/FibetNet и мобилна гласова услуга с номер ********, прилагат и Допълнително споразумение за пакетна услуга VivacomNet&CallL, от 28.07.2015г.
От дружеството уведомяват, че действително, на 04.07.2016г. „БТК” ЕАД е получило искане от А.Д.М. за достъп до лични данни, озаглавено „Заявление по чл.29 от Закона за защита на личните данни” (приложено), отправено по електронен път и счетено за получено в същия ден, с постъпването му в електронната система на оператора.
Спазвайки правилото на чл.30, ал.3 от ЗЗЛД, „БТК” ЕАД вписва в Регистъра по чл.29 от ЗЗЛД полученото заявление и предвид липсата на необходимост от удължаване на срока за произнасяне по заявлението, прилага общата норма на чл.32, ал.1 от ЗЗЛД, вменяваща на АЛД да се произнесе в 14-дневен срок от постъпване на заявлението, което е направено с отговора, изпратен на 12.07.2016г. от „БТК” ЕАД до посочената електронна поща на господин А.Д.М.
В становището се обръща внимание на изричното искане на клиента отговорът на „БТК” ЕАД да бъде отправен до постоянния му адрес или по електронната му поща– *****. Подчертава се, че дружеството не е направило отказ от предоставяне на достъп до лични данни, а е отговорило, че не събира, не съхранява, не предоставя или обработва по друг начин личните данни на господин А.Д.М.– за осем, от посочените в заявлението му- девет категории цели.
Относно искането за предоставяне на достъп до отнасящите се за него лични данни, които „БТК” събира, съхранява, предоставя, обработва или използва по друг начин за цели, посочени в чл.1, ал.5 от ЗЗЛД (т. 7 от заявлението), на потребителя е обърнато внимание, че приложим в случая е специалният Закон за електронните съобщения, който поставя пред оператора забрана за разкриване на търсената информация.
От „БТК” информират, че на 15.07.2016г., отново по електронен път, дружеството е получило писмо от господин А.Д.М., в което се изтъкват редица възражения, както по съществото на отговора, така и на формални основания, които операторът счита за неоснователни. За несъотносими и неприложими в контекста на конкретните обстоятелства са счетени и законовите текстове, на които сочените от жалбоподателя законови текстове.
Обръща се внимание, че видно и от договора на клиента, ползваната от него услуга не е VIVACOMNET, а VIVACOMFIBERNET с абонаментен план VIVACOMFibetNet 50, която има свои, отделни общи условия и те не са тези, които жалбоподателят цитира в жалбата си пред КЗЛД.
В чл.30, ал.1 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация (ПДКЗЛДНА) са определени реквизитите, които трябва да съдържа жалбата, с която физическите лица сезират Комисията за нарушение на правата им по ЗЗЛД. Жалбата, подадена от Ж-317/27.07.2016г., подадена от А.Д.М. срещу „БТК” ЕАД отговаря на нормативно установените изисквания, поради което е редовна. Жалбата е подадена от физическо лице, при наличие на правен интерес и в срока по чл.38, ал.1 от ЗЗЛД, поради което се явява допустима. Жалбата е насочена срещу „БТК” ЕАД- администратор на лични данни по смисъла на чл.3, ал.1 от ЗЗЛД.
На свое редовно заседание, проведено на 30.11.2016г. КЗЛД приема жалба рег.№Ж-317/27.07.2016г., подадена от А.Д.М. за допустима. На основание чл.38, ал.3 от ПДКЗЛДНА комисията конституира „БТК” ЕАД като ответна страна в производството и определя жалбата за разглеждане по същество в открито заседание, насрочено за 11.01.2017г., на което се явяват жалбоподателят господин А.Д.М.– лично и юрисконсулт Б.П.– процесуален представител на „БТК” ЕАД.
В хода на заседанието на КЗЛД, след предоставена му възможност за поредно обстойно запознаване с материалите, съдържащи се в административната преписка по жалба рег. №Ж-317/27.07.2016г., господин А.Д.М. уточнява, че според него нарушението на ЗЗЛД от страна на „БТК” ЕАД се изразява в това, че дружеството обработва повече данни, отколкото предоставя по точките, за които той е изискал информация в заявлението си по чл.29 от ЗЗЛД. Жалбоподателят счита, че това е необходимо както за техническото обезпечаване на услугите, които операторът предоставя, така и за други цели, които са извън законните търговски дейности на компанията, с което не твърди, че „БТК” ЕАД извършва незаконни, а че извършва не само търговски дейности.
Предвид горното, установява се, че макар и получил от „БТК” ЕАД отговор на подаденото от него заявление по чл.29 от ЗЗЛД- в законния срок, господин А.Д.М. е несъгласен с този отговор. Жалбоподателят– в качеството му на клиент на мобилния оператор, счита че електронния му адрес, макар и предоставен от него самия на „БТК” ЕАД- за кореспонденция, представлява лична данна, която е обработена в повече от страна на администратора на лични данни. Според господин А.Д.М. действията на „БТК” ЕАД не се отнасят само до имейла му, но и до адреси на технически устройства, по които може да бъде идентифициран еднозначно и в този контекст той ги счита за лични данни. Същевременно, жалбоподателят подчертава, че е изразил съгласие „БТК” ЕАД да обработва горните данни, но със заявлението си по чл.29 от ЗЗЛДпросто е изискал да получи информация за събраните мак-адреси и айпи-адреси– данни, които се съхраняват от мобилния оператор, които според него са лични данни и го идентифицират еднозначно.
Доказателствените материали, депозирани по административната преписка, свързана с жалба рег. №Ж-317/27.07.2016г. свидетелстват, че в качеството си на клиент и потребител на електронни съобщителни услуги на „БТК” ЕАД, на 04.07.2016г., господин А.Д.М. е направил искане пред администратора на лични данни да му бъде предоставен достъп до отнасящите се за него лични данни, които мобилния оператор събира, съхранява, предоставя, обработва или използва по друг начин за:
1. пазарни проучвания или за целите на директния маркетинг;
2. за предоставяне на услуги с добавена стойност, чиято деактивация не представлява изменение на договора за електронни съобщителни услуги или се счита за валидно изменение;
3. за индивидуално определяне на финансова граница на потребление и извършване на кредитна оценка;
4. за откриване или отстраняване на неизправности или грешки в мрежата;
5.за откриване или предотвратяване на незаконно използване на мрежата;
6. за проследяване или откриване на обезпокоителни повиквания, или други дейности, предприети поради заявка от страна на засегнат потребител;
7. за цели, посочени в чл.1, ал.5 от ЗЗЛД;
8. за изпълнение на задачи в защита на обществен интерес;
9. за други цели, различни от законните търговски дейности на БТК, като бъдат посочени източниците, получателите и сроковете за съхранение на такива данни.
В описаното заявление по чл.29 от ЗЗЛД, господин А.Д.М. е посочил клиентския си номер, адреса, телефонния си номер и електронната си поща, като моли исканата информация да му бъде предоставена по реда на Закона за електронния документ и електронния подпис в стандартен файлов формат, позволяващ преглед на данните и копиране на текстовото съдържание, а съответно подписаните документи е посочил, че може да му бъдат предоставени на технически носител диск (SD/DVD)– на посочения адрес или по електронната му поща.
Предвид съдържащото се в заявлението изрично искане отговорът на БТК да бъде отправен до питащия по постоянния му адрес или по електронната му поща, в срока по чл.32, ал.1, „БТК” ЕАД се произнася по заявлението на господин А.Д.М. и на 12.07.2016г. изпраща отговора си на посочения от него електронен адрес: *******.
На 22.07.2016г. и след допълнителна кореспонденция с А.Д.М., „БТК” ЕАД повторно изпраща отговора си на заявлението му, но този път по пощата, на посочения от него адрес.
Противно на твърденията на жалбоподателя. отправения до него отговор не представлява отказ за предоставяне на достъп до лични данни от страна на „БТК” ЕАД. С отговора си, администраторът на лични данни единствено уведомява жалбоподателя, че не събира, съхранява, предоставя, обработва или използва по друг начин неговите данните– за осем от посочените в заявлението девет категории цели.
С отговора, господин А.Д.М. е уведомен, че „БТК” ЕАД не събира, съхранява, предоставя, обработва или използва по друг начин личните му данни за категориите цели, изтъкнати в точки 1, 2, 3, 4, 5, 6, 8 и 9 от заявлението му.
На жалбоподателят е обърнато внимание и че изрично описаните от него девет категории цели, за които се интересува какви негови лични данни се събират, съхраняват, предоставят, обработват или използват по друг начин от „БТК” ЕАД, в основната си част касаят трафични данни и като такива те не попадат в предмета на искането за достъп до лични данни по смисъла на чл.29 от ЗЗЛД.
По отношение на целите, изтъкнати в т.7 от заявлението му, жалбоподателят надлежно е уведомен от „БТК” ЕАД, че за операторите на съобщителни услуги действа ЗЕС- специален по отношение на ЗЗЛД, закон и за описаните в чл.1, ал.5 от ЗЗЛД цели се прилага именно този закон, а не ЗЗЛД.
В случая, Законът за електронните съобщения поставя пред операторите забрана за разкриване на търсената информация. Именно специалният закон предвижда особен режим за събиране и обработване на данните, описани в т.1-т. 5 от ЗЗЛД. Запазването на данните, създадени или обработени във връзка с предоставянето на общественодостъпни електронни съобщителни услуги е обвързано от изрична особена процедура за разкриване на данните, описани в т.1– т.5 на чл.1, ал.5 от ЗЗЛД, каквато не е налице що се отнася до заявлението по чл.29 от ЗЗЛД, отправено от господин А.Д.М.
Анализът на чл.26, ал.1 във връзка с чл.28, ал.1 от ЗЗЛД сочи, че информацията, която следва да бъде предоставена на физическото лице би трябвало да дава отговори, свързани с обема и начините на обработваяне на личните му данни. В подкрепа на този извод е начинът, по който е регламентирано задължението на администратора на лични данни да предостави информацията в чл.31, ал.1 от ЗЗЛД, който сочи, че информацията– предмет на достъпа до лични данни „може да бъде предоставена под формата на устна или писмена справка или на преглед на данните от съответното физическо лице или от изрично упълномощено от него друго лице”.
Според Становище на КЗЛД №Д-283/2013г., понятието „копие на лични данни”, тълкувано като „копие на документи”, на практика не кореспондира с идеята за естеството на информацията– предмет на достъпа такава, каквато е дефинирана в чл.28, ал.1 от ЗЗЛД.
Изхождайки от легалната дефиниция за „лични данни” на чл.2, ал.1 от ЗЗЛД и §1, т.16 от ДР на ЗЗЛД, следва да се приеме, че понятието „копие от лични данни” не следва да се отъждествява с понятието „копие от документи”.
Заявлението по чл.29 от ЗЗЛД на господин А.Д.М. за достъп до лични данни е получено от „БТК” ЕАД на 04.07.2016г. и на същата дата е вписано в Регистъра по чл.29 от ЗЗЛД на дружеството, в съответствие с изискванията на чл.30, ал.3 от ЗЗЛД.
В законово установения срок– на 12.07.2016г., до жалбоподателя– на предоставената от него електронна поща, е отправен отговора на „БТК” ЕАД, с който господин А.Д.М. е уведомен, че дружеството не събира, съхранява, предоставя, обработва или използва по друг начин личните му данни за категориите цели, изтъкнати в точки 1, 2, 3, 4, 5, 6, 8 и 9 от заявлението му. Относно т.7 от заявлението му, жалбоподателят надлежно е уведомен за действието на Закона за електронните съобщения.
В заявлението си по чл.29 от ЗЗЛД господин А.Д.М. е посочил алтернативно- като форми за предоставяне на изисканата информация– електронна поща или домашен адрес.
Предвид горното, следва да се приеме, че с изпращането– в срок, на изготвената от мобилния оператор справка на посочения от жалбоподателя имейл адрес, „БТК” ЕАД е изпълнило изискванията на чл.32, ал.1 от ЗЗЛД.
Спазени са изискванията на чл.31, ал.3 от ЗЗЛД и при предоставяне на информацията по чл.28, ал.1 от ЗЗЛД, ‘БТК” ЕАД се е съобразило с една от предпочитаната от заявителя форми на предоставяне на информацията, още повече, че след допълнителна кореспонденция помежду им, мобилният оператор е отправил справката, изготвената от него на 12.07.2016г. и до постоянния адрес на жалбоподателя, който не оспорва получаването й както по електронен път, така и по пощата.
Следва да се подчертае, че имейлът, обективиращ отговора на заявлението на жалбоподателя, не съдържа никакви негови лични данни и изпращането му по електронен път– до електронната поща на самия жалбоподател, не може да се възприеме като незаконосъобразно разкриване на данни пред трето лице.
Комисията за защита на личните данни като взе предвид фактите и обстоятелствата, изнесени в настоящето административно производство и на основание чл.38, ал.2 от ЗЗЛД,
РЕШИ:
Оставя без уважение, като неоснователна, жалба рег. №Ж-317/ 27.07.2016г., подадена от А.Д.М. срещу „БТК” ЕАД. Решението да се съобщи на заинтересованите лица по реда на АПК.
Настоящето решение подлежи на обжалване, в 14 дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд София– град.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венцислав Караджов /п/ |
Цветелин Софрониев /п/ |
