РЕШЕНИЕ
№ Ж-466/2013 г.
гр. София,19.06.2014 г.
Комисията за защита на личните данни /КЗЛД/ в състав: Председател: Венцислав Караджов и членове: Цанко Цолов, Цветелин Софрониев и Мария Матева, на открито заседание, проведено на 23.04.2014г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни /ЗЗЛД/, разгледа по същество жалба с рег. № Ж-466/ 03.12.2013г., подадена от М.М. срещу „П.И.Б.”АД /правоприемник на“Ю.“ЕАД/.
Административното производство е по реда на чл.38 от Закона за защита на личните данни.
М.М. сезира КЗЛД с жалба, в която твърди, че „Ю.“ЕАД обработва неправомерно нейни лични данни, изразяващо се в тяхното консултиране, употреба и използване без наличие на правно основание. Фактическата обстановка по случая, съгласно изложеното в жалбата е следната:
На 18.06.2013г. при проверка извършена от служители на Националния осигурителен институт /НОИ/ на място в седалището на „Ю.“ЕАД, е установено, че на 14.03.2013г. служител на банката е осъществил неправомерен достъп и е извършил справка на осигурителния статус на жалбоподателката в информационната система на НОИ. При проверката не са установени данни за съществуването на валидно правоотношение между М.М. и банковата институция, нито изрично съгласие от нейна страна по реда на чл.4, ал.1, т.2 от ЗЗЛД. Информацията е предоставена на жалбоподателката с писмо изх.№94М-3784-1-7/19.06.2013г. по описа на НОИ. Съобщава се, че служителят на банката, извършил неправомерно справката, е прекратил правоотношението си с „Ю.“ЕАД.
Жалбоподателката счита, че са нарушени правата й по ЗЗЛД, които гарантират защита на личните й данни и настоява, в случай на установено нарушение да бъдат наложени предвидените в закона санкции.
В условията на залегналото вадминистративния процес, служебно начало и задължението наадминистративния орган за служебно събиране на доказателства, са изискани изразяване на писмени становище с представяне на относимите по случая доказателства от „Ю.“ЕАД и НОИ.
Банката представя становище, в което се потвърждава изнесената в жалбата информация. Излагат се мотиви за нейната неоснователност, като банката декларира, че не обработва лични данни на жалбоподателката, не е възлагала проверка на осигурителния й статус на нейни служители, не разполага с информация посредством, която е възможно да се извърши проверка на осигурителния статус на госпожа М.М. и данните за лицето не представляват част от поддържаните от нея регистри.
НОИ представя допълнителни разяснения, свързани с неправомерното достъпване до личните данни на жалбоподателката от служител на „Ю.“ЕАД. Съобщава се за сключен договор между банката и НОИ през 2004г. на основание чл.33, ал.5, т.11 от Кодекса за социалното осигуряване, с предмет: предоставяне на сведения за осигуряването на лица със свободни професии и еднолични търговци. Съгласно договора се обработват данни на лица, изрично заявили съгласието си за тази цел пред банката. С оглед на констатирани нарушения по спазване клаузите на договора той е прекратен на 10.12.2013г.
От ангажирания по случая доказателствен материал по безспорен начин се установява следното:
На основание чл.33, ал.5, т.11 от Кодекса за социалното осигуряване между НОИ и „Ю.“ЕАД е сключен договор №135/19.11.2004г. за предоставяне на сведения относно наличието или липсата в информационната система на НОИ на данни за осигуряване на физически лица от техни работодатели или за самоосигуряването на физически лица със свободни професии и еднолични търговци, както и за осигурителите- юридически лица. Съгласно този договор лицата от чието име банката получава информация от НОИ, следва изрично и писмено да са дали съгласието си пред банката да обработва личните им данни. Във връзка с постъпил сигнал от госпожа М.М. до НОИ, за неправомерно използване на личните й данни от страна на банката, НОИ разпорежда извършване на проверка. От проверката е установено, че служител на банката е направил справка на 14.03.2013г. по единният граждански номер на жалбоподателката в информационната система на НОИ, без нейно писмено съгласие. Установено е още, че жалбоподателката не е била в трудово или гражданско правоотношение с банката.
Така установената фактическа обстановка не е спорна за страните по жалбата.
Комисия за защита на личните данни приема, че разгледана по същество жалбата на госпожа М.М. е основателна поради следните съображения:
В жалбата си до КЗЛД жалбоподателката оспорва законосъобразността на обработването на личните й данни от „П.И.Б.”АД /правоприемник на“Ю.“ЕАД/ при извършена справка на осигурителния й статус от страна на служител на банката.
Законът за защита на личните данни урежда защитата правата на физическите лица при обработване на личните им данни. Неговата цел съгласно чл.1, ал.2 е да гарантира неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните. В тази връзка в чл.2, ал.2 от него законодателят установява принципите, на които следва да бъде подчинено правомерното обработване на данните на физическите лица отадминистраторите на лични данни, като тези принципи в своята цялост се отнася към конкретни хипотези, уредени в чл.4, ал.1 от ЗЗЛД, които обуславят допустимостта на обработване на данните. В т.2 от посочената разпоредба се сочи като основание за допустимост на обработване на данните изричното съгласие на лицето. Това е и основанието, което двете институции- НОИ и „П.И.Б.”АД /правоприемник на“Ю.“ЕАД/ договарят като условие за извършване на справки в информационната система на НОИ, за осигурителния статус на лицата.
В качеството й наадминистратор на лични данни и произтичащите от това задължения, за банката съществува изискване по силата на разпоредбата на чл.23, ал.1 от ЗЗЛД, за предприемане на технически и организационни мерки, за защита на данните от неправомерен достъп до тях. Не се оспорва фактът, че въпреки тази императивна разпоредба, данните на жалбоподателката не са билиадекватно защитени, поради което използването, достъпа до тях и консултирането им е било извършено в нарушение на установените правила.
Предприемането на технически и организационни мерки по чл.23, ал.1 от ЗЗЛД следва да е съобразено със съвременните технологични постижения и да осигурява ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които трябва да бъдат защитени. В конкретния случай извършеното нарушение очевидно е резултат на пропуски в установените отадминистратора технически и организационни мерки за защита на личните данни.
С разпоредбата на чл.38, ал.2 от ЗЗЛД, законодателят е предоставил оперативна самостоятелност на компетентния орган за вида наадминистративната мярка, която ще наложи, в случай че констатира нарушение на ЗЗЛД. Мерките са алтернативни, а не кумулативни.
Комисията приема, че първите двеадминистративни мерки са неприложими в настоящия случай.
Служител на банката без правно основание е осъществил неправомерен достъп до личните данни на госпожа М.М. Задължението за предприемане на технически и организационни мерки за защита на личните данни от неправомерен достъп до тях е законово установено и не е необходимо, Комисията да издава задължително предписание, с което да задължаваадминистратора да си изпълни задълженията или да определя срок, в който да бъде отстранено констатираното нарушение.
Твърдяното от ответната страна, че правоотношението на банката със служителя, осъществил достъпа е било прекратено при констатиране на това обстоятелство, както и че „П.И.Б.”АД е правоприемник на „Ю.“ЕАД от дата, следваща извършеното нарушение е неоснователно. Прекратяването на трудовото правоотношение по повод констатираното нарушение, не променя факта извършенотоадминистративно нарушение.
Комисията установи, че деянието не е извършено при условията на неизбежна отбрана или крайна необходимост, поради което представляваадминистративно нарушение.
В качеството си наадминистративен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в процесуалното производство, съгласно чл.7 отадминистративно-процесуалния кодекс (АПК), изискващ наличието на установени действителни факти от значение за случая, имайки предвид представените писмени доказателства и изразени становища, Комисията приема, че разгледана по същество жалбата е основателна, поради което на основание чл.10 ал.1, т.7 от ЗЗЛД и чл.38, ал.2 във връзка с чл.42, ал.1 от Закона за защита на личните данни,
РЕШИ:
1. Обявява жалба с рег.Ж-466/03.12.2013г., подадена от М.М. срещу „П.И.Б.”АД /правоприемник на“Ю.“ЕАД/ за основателна.
2. Налага на „П.И.Б.”АД /правоприемник на“Ю.“ЕАД/, ЕИК ***, със седалище иадрес на управление: гр. София ****, представлявано от В.Х., имуществена санкция в размер на 2500 /две хиляди и петстотин/лв. за нарушение на чл.23, ал.1 от ЗЗЛД за това, че не е взела необходимите технически и организационни мерки за защита личните данни на М.М. при тяхното обработване, което е довело до неправомерното им използване, консултиране и употреба без наличието на правно основание за целта.
Решението да се съобщи на заинтересованите лица по реда на АПК.
Настоящото решение подлежи на обжалване, в 14 дневен срок от връчването му, чрез Комисията за защита на личните данни предАдминистративен съд– София град.
След влизане в сила на настоящето решение в сила, сумата по наложеното наказание да бъде внесена в брой в касата на Комисията за защита на личните данни, гр.София, бул.Цветан Лазаров №2 или преведена по банков път:
Банка БНБ- ЦУ
IBAN:BG18BNBG96613000158601
BICBNBGBGSD
Комисия за защита на личните данни, Булстат130961721.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венцислав Караджов /п/ |
Цанко Цолов /п/ |
