Решение по жалба с рег. № Ж-72/21.02.2014 г.

Комисията за защита на личните данни в състав: Председател: Венцислав Караджов и членове: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков, в заседание, проведено на 12.11.2014г. (Протокол №47), на основание чл.10, ал.1, т.7 от Закона за защита на личните данни (ЗЗЛД), разгледа жалба с рег.№Ж-72/21.02.2014г. от Л.И.Ц.-Р. срещу „У.” АД.

Административното производство пред Комисията за защита на личните данни (КЗЛД) е образувано по реда на чл.38 от Закона за защита на личните данни.

Комисията за защита на личните данни (КЗЛД) е сезирана с жалба, в която жалбоподателката посочва, че с Молба с вх.№07/11.02.2014г. е уведомила изпълнителния директор на „У.” АД, че се отказва да става гарант по искане за кредит на лицето Е.Т.К. и е заявила попълнените за целта формуляри, както и копието на личната ѝ карта да ѝ бъдат върнати или унищожени в нейно присъствие. В отговор е получила писмо, в което е посочено, че заявените формуляри са собственост на дружеството и ще останат в притежание на същото. Поради факта, че няма взаимоотношения с „У.” АД, жалбоподателката счита, че е незаконосъобразно фирмата да притежава личните й данни, съдържащи се в документите, както и нейния подпис.

Към жалбата са приложени копия на: Формуляр информация за гаранта вх.№037/04.02.2014г.; Декларация за гражданско, семейно и имотно състояние; Молба вх.№7811.02.2014г.; писмо с изх.№63/11.02.2014г. и пощенски плик със заверка от 11.02.2014г.

Жалбата, подадена от Л.И.Ц.-Р. срещу „У.” АД е съобразена с изискванията на КЗЛД съгласно Правилника за дейността на Комисията за защита на личните данни и на нейната администрация (ПДКЗЛДНА) и съдържа необходимите нормативно определени реквизити. Комисията е сезирана от физическо лице, при наличието на правен интерес, подадена е в срока по чл.38, ал.1 от ЗЗЛД.

В чл.27, ал.2 от АПК законодателят обвързва преценката за допустимостта на искането с наличие на посочените в текста изисквания. Приложимостта на Закона за защита на личните данни е свързана със защитата на физическите лица във връзка с обработването на техните лични данни от лица, имащи качеството администратори на лични данни по смисъла на легалната дефиниция на чл.3 от Закона, каквото качество безспорно притежава „У.” АД. Това изискване се явява абсолютна процесуална предпоставка, с оглед на която следва да се прецени допустимостта на жалбата.

При извършена служебна проверка в Регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД, е установено, че „У.” АД е вписано в регистъра по чл.10, ал.1, т.2 от ЗЗЛД с идентификационен номер 15466. Заявени са три регистъра: „Персонал”, „Свързани лица” и „Контрагенти клиенти и доставчици”.

Съгласно чл.10, ал.1, т.7 във връзка с чл.38 от Закона за защита на личните данни, КЗЛД разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по този закон, както и жалби на трети лица във връзка с правата им по този закон.

В заседание, проведено на 30.04.2014г. (Протокол №16), Комисията обявява жалбата за допустима и я насрочва за разглеждане по същество на 21.05.2014г. Конституира като страни в административното производство жалбоподателката Л.И.Ц.-Р. и ответна страна- „У.” АД в качеството му на администратор на лични данни. Приема решение от „У.” АД да се изискат доказателства дали жалбоподателката е уведомена, че данните ѝ се обработват законосъобразно.

С писмо изх.№П-1306/07.03.2014г. на Председателя на КЗЛД, жалбоподателката е уведомена за правната възможност, разписана в чл.28а от ЗЗЛД, която физическото лице има спрямо администратора на лични данни. Уведомена е за реквизитите, които следва да съдържа заявлението, посочени в чл.30 от ЗЗЛД. Изискано е, в случай, че поддържа жалбата, в срок да я потвърди, да приложи копие на молба от 11.02.2014г. до „У.” АД и други относими доказателства (ако разполага с такива).

Г-жа Л.И.Ц.-Р. потвърждава жалбата си с писмо с вх.№П-1500/18.03.2014г. и прилага изисканите доказателства.

С писмо изх.№П-1305/07.03.2014г. на Председателя на КЗЛД, на основание чл.26 от Административнопроцесуалния кодекс (АПК), „У.” АД е уведомено за образуваното в КЗЛД административно производство. На основание чл.36 от АПК от администратора на лични данни в срок е изискано писмено становище по жалбата, както и относими към случая доказателства.

С писмо вх.№П-1519/19.03.2014г. „У.” АД депозира становище, в което посочва, че в отговор на молба от 11.02.2014г., подадена от жалбоподателката, дружеството е изпълнило задължението си и на 20.02.2014г. е заличило нейните лични данни от кредитното досие и от системата на дружеството, което е удостоверено с протокол от 20.02.2014г., приложен към писмото.

При проведен телефонен разговор (Протокол вх.№ПР-73/21.0504.2014г.), г-жа Л.И.Ц.-Р. заявява, че не ѝ е изпратен протокол за заличаване на личните данни от системата на „У.” АД. Настоява Комисията за защита на личните данни да задължи дружеството оригиналните документи, съдържащи подписа ѝ, да бъдат унищожени в нейно присъствие.

С писмо изх.№П-2765/09.05.2014г. на Председателя на КЗЛД, на основание чл.36 от АПК от „У.” АД е изискана информация, придружена с относими доказателства дали жалбоподателката е уведомена за заличаване на данните ѝ от системата на дружеството, както и становище относно съхраняване на личните ѝ данни на хартиен носител.

За откритото заседание на Комисията за защита на личните данни, проведено на 21.05.2014г. (Протокол №19), страните са редовно уведомени. Жалбоподателката не се явява, не изпраща процесуален представител. „У.” АД се представлява от юрк. Е.Т.К. с пълномощно. Юрк. Е.Т.К. заявява, че във връзка с постъпило на 11.02.2014г. искане от г-жа Л.И.Ц.-Р., по разпореждане на изпълнителния директор документите на хартиен носител са унищожени чрез машина за унищожаване на документи и личните данни от база данни на администратора са заличени. За извършените действия жалбоподателката е била уведомена по телефона, след което ѝ е изпратен и писмен отговор. Юрк. Е.Т.К. твърди, че действията по унищожаване и заличаване на лични данни са разписани в инструкция.

КЗЛД отлага решаването на жалбата по същество и задължава администратора на лични данни да представи вътрешни правила (инструкция) на „У.” АД за унищожаване на документи, съдържащи лични данни, както и заповед за упълномощаването на служител, обработващ лични данни. В изпълнение на приетото решение, „У.” АД предоставя с писмо вх.№П-3266/29.05.2014г.заверени копия на: Инструкция за начина и средствата за обработване и мерките за защита на лични данни и Приложение №1 към нея; Заповед №31а/26.02.2013г. за приемане на инструкцията и Заповед №19/19.02.2104г.

С писмо вх.№П-4062/30.06.2014г. „У.” АД депозира заверено копие на резолюция на изпълнителния директор относно предаване на документите, съдържащи личните данни на жалбоподателката.

В заседание, проведено на 11.06.2014г. (Протокол №23), КЗЛД приема решение на администратора на лични данни- „У.” АД да се извърши проверка със задача дали личните данни на г-жа Л.И.Ц.-Р. са унищожени или фигурират по конкретното кредитно досие.

На основание чл.1, т.1 и чл.12, ал.1, ал.4 и ал.5 от ЗЗЛД, Решение на КЗЛД от 11.06.2014г. и Заповед №РД-14-150/23.06.2014г. на Председателя на КЗЛД, на 24.06.2014г. е извършена последваща проверка на „У.” АД– клон П. При проверката е установено, че кредитното досие на Е.Т.К. се съхранява от „У.” АД на хартиен и електронен носител. В хартиеното досие личните данни на жалбоподателката Л.И.Ц.-Р. са заличени и е отбелязано, че „гарантът се е отказал”. Установено е, че във Формуляра за кандидатстване- искане за бизнес кредит на лицето Е.Т.К., съхраняван на електронен носител, фигурират единствено имената на жалбоподателката и телефон за контакт.

Проверката приключва с Констативен акт вх.№КА-546/10.10.2014г., приет от КЗЛД в заседание, проведено на 15.10.2014г. (Протокол №40).

Жалбата, подадена от г-жа Л.И.Ц.-Р. съдържа искане до администратора на лични данни за връщане или за унищожаване на документи, съдържащи личните данни на жалбоподателката, поради отпадане на основанието за тяхното обработване.

Законът за защита на личните данни урежда защитата на правата на физическите лица при обработване на личните им данни. Неговата цел съгласно чл.1, ал.2 е да гарантирана неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните. В тази връзка в чл.2, ал.2 от Закона законодателят установява принципите, на които следва да бъде подчинено правомерното обработване на личните данни от администраторите на лични данни, като тези принципи в своята цялост се отнасят към конкретните хипотези, уредени в чл.4, ал.1 от ЗЗЛД, които обуславят допустимостта за обработване на данните.

Преценката относно основателността на жалбата следва да се обвърже с наличие на неправомерно обработване на личните данни на жалбоподателката от администратор на лични данни.

Жалбата е насочена срещу нарушаване на правото на достъп на физическото лице до отнасящите се до него лични данни, обработвани от администратора на лични данни. По смисъла на §1, т.1 от ДР на ЗЗЛД, „обработване на лични данни” е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличавани или унищожаване.

Съгласно чл.28а от Закона за защита на личните данни, физическото лице има право по всяко време да поиска от администратора да заличи, коригира или блокира негови лични данни, обработването на които не отговаря на изискванията на този закон; да уведоми третите лица, на които са били разкрити личните му данни, за всяко заличаване, коригиране или блокиране, извършено в съответствие с т.1 с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия. Правото по чл.28а от ЗЗЛД се осъществява с писмено заявление до администратора на лични данни и следва да съдържа реквизитите посочени в чл.30, ал.1 от ЗЗЛД.

В конкретния случай жалбоподателката е упражнила правото си по чл.28 а, т.1 от ЗЗЛД и е подала до администратора на лични данни– „У.” АД Молба с вх.№7/11.02.2014г. с искане да й бъдат върнати оригиналните екземпляри от попълнените от неядокументи. Първоначално в отговор на искането, подадено от г-жа Л.И.Ц.-Р. „У.” АД отказва, тъй като счита същите за „своя собственост”. Впоследствие с писмо изх.№63/11.02.2014г. „У.” АД уведомява г-жа Л.И.Ц.-Р., че считано от дата 11.02.2014г. личните ѝ данни са заличени от кредитното досие и от системата на дружеството с Протокол от 20.02.2014г.

В качеството си на администратор на лични данни, по смисъла на чл.3, ал.1 от ЗЗЛД, „У.” АД има задължение да обработва лични данни на физическите лица в случаите, когато това е допустимо, при наличие на поне една от посочените в чл.4, ал.1 от ЗЗЛД предпоставки, както и в съответствие с изискванията на принципите, прогласени в чл.2, ал.2 от ЗЗЛД.

Изричното съгласие на физическото лице, за което данните се отнасят, е едно от условията за допустимост за обработване на свързаните с него лични данни, което кореспондира с посочената цел на закона. В конкретния случай, на 04.02.2014г. жалбоподателката е предоставила доброволно личните си данни с цел гарантиране на кредит, като документите са подписани от нея на 06.02.2014г. Но по лични съображения г-жа Л.И.Ц.-Р. отказва да бъде гарант на лицето Е.Т.К. по искане за кредит и на 11.02.2014г. е подала молба до „У.” АД, в която изрично е изразила воля документите, ведно с копието на личната карта да ѝ бъдат върнати, поради отпадане на основанието личните ѝ данни да бъдат обработвани. Следователно между страните не е възникнало договорно взаимоотношение. Този факт се потвърждава и в писмо с изх.№63/11.02.2014г. от „У.” АД, в което потвърждава, че жалбоподателката няма качеството на гарант по искане за кредит и отношенията ѝ с дружеството са прекратени по нейно желание. От изложеното следва извода, че не е налице условието, съдържащо се в чл.4, ал.1, т.2 от ЗЗЛД, съгласно което допустимо е обработването на лични данни когато физическото лице, за което данните се отнасят е дало изрично своето съгласие. Администраторът на лични данни „У.” АД не доказа, че е налице друго условие за допустимост, съдържащо се в чл.4 от ЗЗЛД да обработва личните данни на жалбоподателката, относно правното основание да съхранява оригиналните документи, съдържащи личните ѝ данни.

Съгласно чл.32, ал.4 от ЗЗЛД, задължение на администратора на лични данни, при упражняване на правото на физическото лице по чл.28, ал.1 от ЗЗЛД, да вземе решение и да извърши съответното действие в 14-дневен срок от подаване на заявлението или мотивирано да откаже извършването му. „У.” АД предоставя инструкция, в която са разписани правилата и методите за заличаване на личните данни, които обработват, когато има постъпило такова искане или когато е отпаднала целта на обработване. Но в настоящия случай от протокола от 20.02.2014г. за унищожаване не става ясно кога е съставен, как фактически е станало унищожаването на оригиналните документи, съдържащи личните данни на жалбоподателката, нито какво е унищожено или заличено. Противоречиви са твърденията на „У.” АД- от една страна приемат процесните документи са собственост на дружеството и ще останат в негово притежание, а от друга заявяват, че свързаните с жалбоподателката лични данни са заличени. При извършената проверка на администратора на лични данни е установено, че личните данни на г-жа Л.И.Ц.-Р. не се съдържат на хартиен носител, а единствено в електронната система на „У.” АД фигурират нейните три имена. Но релевантни са доказателствата към момента на сезиране на КЗЛД. Жалбоподателката ясно и категорично е заявила желанието си съгласно чл.30, т.2. описание на искането- оригиналните документи, съдържащи подписа ѝ, да ѝ бъдат върнати или да бъдат унищожени, и то в нейно присъствие. Видно от протокола от 20.02.2014г., администраторът на лични данни посочва друго действие– заличаване, различно от желанието на г-жа Л.И.Ц.-Р.

В хода на административното производство е установено, че са нарушени правата на жалбоподателката по Закона за защита на личните данни, тъй като администраторът на лични данни не е изпълнил задължението си по чл.32, ал.1 от ЗЗЛД в законоустановения срок.

Комисията за защита на личните данни е независим държавен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъп до тези данни, както и контрол по спазването на Закона за защита на личните данни.

В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в процесуалното производство, съгласно чл.7 от Административнопроцесуалния кодекс, изискващ наличието на установени действителни факти от значение по случая, Комисията за защита на личните данни приема, че разгледана по същество жалбата е основателна.

Господин Цанко Цолов и господин Веселин Целков– членове на КЗЛД гласуват с особено мнение, предвид следното:

При отказ на физическо лице да бъде гарант по искане за кредит се съставя протокол. В конкретния случай, след подадения отказ от жалбоподателката, нейните лични данни в протокола са заличени, но същият не може да ѝ бъде върнат, тъй като се съхранява в кредитното досие на кредитоискателя. Считат, че администраторът на лични данни не съхранява лични данни на жалбоподателката, единствено трите ѝ имена фигурират в искането за отпускане на кредит, поради което приемат жалбата за неоснователна.

При определяне на размера на наложеното с настоящото решение административно наказание на „У.” АД Комисията за защита на личните данни се съобрази с характера и степента на нарушението и обществените отношения, които засяга. Комисията за защита на личните данни отчете факта, че нарушението на разпоредбите на ЗЗЛД е първо за „У.” АД, факта, че с неправомерното обработване на лични данни са нарушени правата по ЗЗЛД на едно физическо лице, както и обстоятелството, че при констатиране на нарушението са взети незабавни мерки за отстраняването му.

Водима от горното и на основание чл.38, ал.2 във връзка с чл.10, ал.1, т.7 и чл.32, ал.4 от Закона за защита на личните данни, Комисията за защита на личните данни

Настоящото решение може да бъде обжалвано в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд София– град.

След влизане в сила на решението, сумата по наложеното наказание да бъде внесена в брой в касата на Комисията за защита на личните данни на адрес: гр.София- 1592, бул.“Проф. Цветан Лазаров” №2 или преведена по банков път:

Банка БНБ-ЦУ

IBAN: BG18BNBG96613000158601

BIC BNBGBGSD

Комисия за защита на личните данни, БУЛСТАТ 130961721