РЕШЕНИЕ
№Ж-729/2016г.
София, 27.03.2017г.
Комисията за защита на личните данни (КЗЛД) в състав: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков на заседание, проведено на 22.02.2017г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни, разгледа по същество жалба №Ж-729/18.11.2016г., подадена от Г.Д.Ш.
Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).
Комисията за защита на личните данни е сезирана с жалба, подадена от Г.Д.Ш., в която са изложени твърдения за неправомерно обработване на личните му данни от „Р.Б.Б.“ ЕАД.
Жалбоподателят информира, че в началото на месец октомври 2016г. работодателят му подал в клон на „Р.Б.Б.“ ЕАД в гр. Хасково заявление за издаване на дебитна карта, по която да превежда месечното му трудово възнаграждение, която получил лично в клон на банката, находящ се в гр. София, ж.к. „Младост 3“. Г-н Г.Д.Ш. допълва, че при получаване на картата писмено заявил допълнителни услуги „Интернет банкиране“ и „SMS известяване“ и твърди, че след проведени със служители на дружеството телефонни разговори и невъзможност за активиране на заявената услуга „Интернет банкиране“ установил, че „договора с личните му данни е изчезнал и служителите от клона в Хасково не могат да активират гореспоменатата услуга“.
Жалбоподателят се опасява от възможността личните му данни да се използват от трети лица за извършване на действия, без негово знание и съгласие, и моли Комисията за съдействие и проверка относно съхранението и използването на личните му данни от страна на „Р.Б.Б.“ ЕАД.
Към жалбата не са приложени доказателства.
В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, от „Р.Б.Б.“ ЕАД е изискано писмено становище.
В отговор е изразено становище, с приложени към него относими доказателства. От дружеството информират, че на 12.10.2016г. на името на жалбоподателя в офис на банката с адрес гр. Хасково, ул. „Пирин“ №1-3 е била разкрита разплащателна сметка с дебитна карта, а предвид местоживеенето на клиента и заявеното от него желание издадената дебитна карта е предадена на клиента в офис на банката находяш се в гр. София, ж.к. „Младост 3“. Допълват, че „веднага след това, документите (Искане-договор за откриване и обслужване на разплащателна сметка с дебитна карта и Приемо-предавателен протокол за получена дебитна карта) са били препратени с вътрешна поща към обслужващия офис на г-н Г.Д.Ш. в гр. Хасково, за да бъдат съхранявани по досието на клиента и да бъде активирано онлайн банкирането“. Информират, че „пратката не е достигнала до местоназначението си, а извършеното от отговорния служител нарушение е довело до невъзможност да бъде проследена“ и „въпреки положените усилия за откриването й, подписаните от г-н Г.Д.Ш. документи не са намерени“. От банката отричат възможността документите да са попаднали при външно за банката лице и предполагат, че „вероятно са доставени в друг офис на Банката и по погрешка са прикачени по друго досие на клиент“.
От дружеството информират за утвърдена и използвана на банката вътрешна процедура за осъществяване на деловодната дейност на дружеството – ПК 05.01 „Деловодна дейност“ в която сочат, че се съдържат правила за вътрешно-банкова поща, която включва всички документи и пратки, при които получателят и подателят са служители или структурни звена в Банката. Твърдят, че „неспазването на Процедурата от служител на Банката е единичен случай, а не практика в Банката“ и допълват, че на отговорния служител, както и на останалите служители на банката е обърнато специално внимание за спазване на установените от дружеството вътрешни правила и процедури, а на жалбоподателя са поднесени извинения.
Комисията за защита на личните данни е независим държавен орган, който осъществява защита на лицата при обработването на личните им данни и при осъществяване на достъпа до тези данни, както и контрол по спазването на ЗЗЛД.
За да упражни правомощията си, Комисията следва да бъде валидно сезирана.
Жалба №Ж-729/18.11.2016г. съдържа задължително изискуемите реквизити, посочени в разпоредбата на чл.30, ал.1 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация, а именно: налице са данни за жалбоподателя, естеството на искането, дата и подпис, с оглед което същата е редовна.
Жалбата е процесуално допустима, подадена в срока по чл.38, ал.1 от ЗЗЛД от физическо лице с правен интерес. Същата има за предмет неправомерно обработване на личните данни на жалбоподателя, съдържащи се в подадени от него документи във връзка с издадена от „Р.Б.Б.“ ЕАД дебитна карта. С жалбата е сезиран компетентен да се произнесе орган – КЗЛД, която съгласно правомощията си по чл.10, ал.1, т.7 от ЗЗЛД разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по ЗЗЛД.
Наличието на администратор на лични данни е абсолютна процесуална предпоставка за допустимост на жалбата. В конкретния случай жалбата е насочена срещу „Р.Б.Б.“ ЕАД, което безспорно притежава качеството на администратор на лични данни по отношение на жалбоподателя.
От направена служебна справка в Електронния регистър на администраторите на лични данни и на водените от тях регистри се установи, че дружеството е изпълнило задължението си по чл.17, ал.1 от ЗЗЛД и е регистрирано като администратор на лични данни с идент. №49386 и заявени девет регистъра.
На проведено на 08.02.2017г. заседание на Комисията, жалбата е приета за процесуално допустима и като страни в производството са конституирани: жалбоподателя – Г.Д.Ш. и ответна страна – „Р.Б.Б.“ ЕАД.
На проведено на 22.02.2017г. заседание на КЗЛД, жалбата е разгледана по същество.
Жалбоподателят – редовно уведомен, не се явява, не се представлява.
Ответната страна – редовно уведомена, представлява се от юрисконсулт Х., която оспорва жалбата и моли Комисията да я остави без уважение, като неоснователна.
В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл.7 от Административно-процесуалния кодекс, изискващ наличието на установени действителни факти, имайки предвид събраните писмени доказателства и наведените от страните твърдения Комисията приема, че разгледана по същество жалба №Ж-729/18.11.2016г. е основателна.
Страните не спорят, че жалбоподателят е клиент на банката и на 12.10.2016г. в офис на банката с адрес гр. Хасково, ул. „Пирин“ №1-3 е разкрита на негово име разплащателна сметка с дебитна карта, която е получена лично от него в офис на банката находяш се в гр. София, ж.к. „Младост 3“. Не е спорно, че във връзка с услугата са изготвени Искане-договор за откриване и обслужване на разплащателна сметка с дебитна карта и Приемо-предавателен протокол за получена дебитна карта, същите съдържащи лични данни на г-н Г.Д.Ш. Твърденията на жалбоподателя, че документите съдържащи личните му данни са изгубени не са оспорени от дружеството. Дори напротив същото признава, че в процеса на доставка на документите от един в друг офис на дружеството и поради „натовареност“ на отговорния служител не са спазени вътрешните правила на банката относно вътрешно-банковата поща и проследяване на движението на пощата посредством ползвана от дружеството деловодна система, поради което пратката не можа да бъде проследена. Признават, че документите съдържащи лични данни на жалбоподателя „не са достигнали местоназначението си“ и „не са намерени“.
Предвид събраните по преписката доказателства и твърденията на страните, че документи – Искане-договор за откриване и обслужване на разплащателна сметка с дебитна карта и Приемо-предавателен протокол за получена дебитна карта, същите съдържащи лични данни на жалбоподателя, са изгубени в процеса на доставка от един офис на дружеството до друг офис на дружеството, се налага извода, че в конкретния случай не са предприети необходимите технически и организационни мерки за защита на личните данни на жалбоподателя и документите, в които те се съдържат, от случайна загуба, или предприетите такива са явно недостатъчни. Следователно дружеството не е изпълнило задължението си по чл.23, ал.1 от ЗЗЛД и са нарушени правата на физическото лице сезирало КЗЛД. В тази връзка следва да се отбележи, че макар към настоящия момент и за конкретния случай да няма данни за неправомерно използване от трето лице на изгубените документи и съдържащите се в тях лични данни, каквито опасения излага жалбоподателя, допускането на подобни ситуации създава предпоставки за злоупотреба с лични данни.
Предвид характера на констатираното нарушение и големия обем от лични данни съдържащ се в документите, които съгласно утвърдените от банката образци са – имена, единен граждански номер, адрес на лицето, номер на документ за самоличност и дата на издаване, телефонен номер, IBAN на разплащателната сметка и номер на получената дебитна карта, Комисията счита че налагането на принудителни административни мерки (задължително предписание или определяне на срок за отстраняване на нарушението) е нецелесъобразно и мерките са неприложими в случая. В тази връзка налага на „Р.Б.Б.“ ЕАД административно наказание за нарушение на чл.23, ал.1 от ЗЗЛД, като счита, че същото ще има възпитателно въздействие и ще допринесе за спазване от страна на дружеството на установения правен ред.
При определяне размера на административното наказание Комисията съобрази като отегчаващо обстоятелство големия обем от лични данни за жалбоподателя, в това число данни свързани с икономическата му идентичност и в тази връзка налага на дружеството санкция над минимума, но под средния размер, предвиден в закона за съответното нарушение.
Водима от горното и на основание чл.38, ал.2, във връзка с чл.10, ал.1, т.7 от Закона за защита на личните данни, Комисията за защита на личните данни,
РЕШИ:
1. Обявява жалба №Ж-729/18.11.2016г., подадена от Г.Д.Ш. срещу „Р.Б.Б.“ ЕАД, за основателна.
2. На основание чл.42, ал.9 от ЗЗЛД налага на „Р.Б.Б.“ ЕАД с ЕИК ****, със седалище и адрес на управление ****, административно наказание – имуществена санкция в размер на 1 000 лв. (хиляда лева) за нарушение на чл.23, ал.1 от ЗЗЛД.
Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд – София – град.
След влизане в сила на решението, сумата по наложеното наказание да бъде внесена в брой в касата на Комисията за защита на личните данни, находяща се в гр.София, бул. „Проф. Цветан Лазаров" №2 или преведена по банков път:
Банка БНБ – ЦУ
IBAN: BG18BNBG96613000158601
BIC BNBGBGSD
Комисия за защита на личните данни, БУЛСТАТ 130961721
| ЧЛЕНОВЕ: | |
|
Цанко Цолов /п/ |
|
