Решение по жалба с рег. № ЗАП-4/ 30.01.2013 г.

Комисията за защита на личните данни в състав: Председател: Венета Шопова и членове: Валентин Енев и Веселин Целков, в заседание, проведено на 04.06.2013г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни (ЗЗЛД), разгледа по същество жалба с рег.№ЗАП-4/30.01.2013г., подадена от С.З.Ч. срещу „И.” ЕАД.

Административното производство е по реда на чл.38 от Закона за защита на личните данни.

В чл.30, ал.1 от ПДКЗЛДНА са определени реквизитите, които трябва да съдържа жалбата, с която физическите лица сезират Комисията за нарушения на техните права по ЗЗЛД. Жалбата отговаря на нормативно установените изисквания, поради което се явява редовна. С решение на КЗЛД, взето на закрито заседание, проведено на 03.04.2013г., жалбата е обявена за допустима, като ответна страна в административното производство е конституирана „И.” ЕАД.

В Комисия за защита на личните данни е постъпило запитване с рег.№ЗАП-4/ 30.01.2013., подадено от С.З.Ч. до „И.” ЕАД с правно основание чл.28 от ЗЗЛД. Заявителят иска от администратора на лични данни да му предостави информация за правното основание, на което се изисква предоставяне на саморъчно заверено копие на личната карта при процедура по издаване на класифициран електронен подпис, информация дали предоставените от заявителя лични данни се обработват и целите, за които се обработват, както и дали са предоставяни на трети лица. В заявлението е изразена изричната воля на господин С.З.Ч., че в случай на неиздаване на класифициран електронен подпис свързаните с него лични данни да бъдат заличени.

Към заявлението е приложена и жалба от същото лице, адресирана до КЗЛД, в която се сочи, че има подадено заявление с правно основание чл.28 и чл.28а от ЗЗЛД до „И.” ЕАД, на което заявление няма отговор в законоустановените срокове.

Жалбоподателят сочи, че не е получил до момента на сезиране на КЗЛД отговор от „И.” ЕАД, поради което счита, че са нарушени разпоредбите на чл.4 и чл.19 от ЗЗЛД, както и чл.28 и чл.32 от ЗЗЛД. Господин С.З.Ч. визира, че за всички издадени от „И.” ЕАД електронни подписи на служители на НАП е изисквано от дружеството да се представят копие на документа за самоличност, което според него представлява нарушение на ЗЗЛД.

Жалбата е насочена срещу соченото в нея неправомерно събиране на копия от документа за самоличност при издаване на класифициран електронен подпис от страна на „И.” ЕАД, както и срещу отказ да дружеството да изпълни задължението си вменено му с разпоредбата на чл.28 и чл.28а от ЗЗЛД.

Заявлението на С.З.Ч. е изпратено на „И.” ЕАД, с копие до ЦУ на Националната агенция за приходите от Териториалната дирекция на НАП в гр.Бургас на 23.11.2012г., видно от изходящия щемпел на придружителното писмо.

Към жалбата като доказателства са приложени: придружително писмо изх.№ИТ-00-16660/ 23.11.2012г., заявление до „И.” ЕАД от К.С.– изпълнителният директор на НАП, бланка на искане за издаване на удостоверение за квалифициран електронен подпис и жалба адресирана до КЗЛД.

В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства е изискано изразяване на писмено становище с представяне на относимите по случая доказателства от „И.” ЕАД.

На 22.02.2013г. е депозирано в деловодството на Комисията писмено становище от ответната страна в производството. Администраторът на лични данни излага следната фактология:

Жалбата на С.З.Ч. е насочена срещу мълчалив отказ на дружеството да му предостави изисканата от него информация, на основание чл.28 от ЗЗЛД и заявлението по чл.28а от ЗЗЛД. Администраторът на лични данни посочва, че не е получавало лично подадено от господин С.З.Ч. заявление или него пълномощник с нотариална заверка на подписа, съгласно изискванията на чл.29 и чл.30 от ЗЗЛД. В деловодния регистър е регистрирано писмо с вх.№1794/27.11.2012г. от Директора на ТД на НАП– гр.Бургас, Р.Ш. във връзка с отказ за предоставяне на търговска услуга по договор с НАП №81/18.05.2012г. Към входираното писмо е приложено запитване във връзка с отказа на „И.” ЕАД, в качеството му на доставчик на удостоверителни услуги за електронен подпис да издаде удостоверение на служителя на НАП– С.З.Ч.

В становището се уточнява, че страни по цитираният в жалбата на господин С.З.Ч. договор №81/18.05.2012г. са НАП и „И.” ЕАД. Договорът е с предмет включващ и издаване, подновяване и доставка на удостоверения за електронен подпис, поддържане и управление на удостоверения.

Дейностите, които са предмет на договора се извършват съгласно клаузите в него, правилата за издаване на удостоверения, правилата за установяване на идентичността на титуляра/автора на електронния подпис, процедури за сигурност, прилагани при издаване и използване на електронния подпис, условия и ред за използване на електронния подпис, включително и изискванията за съхраняване на частния ключ, които се съдържат в наръчник за потребителя на удостоверителни услуги за квалифициран електронен подпис и в правилата за издаване на удостоверения за електронен подпис и за установяване на идентичността на титуляра и автора, одобрени с Решение №2379/19.12.2005г. на Комисия за регулиране на съобщенията. Ответната страна сочи още, че дружеството е регистрирано като доставчик на удостоверителни услуги и е доставчик с международна акредитация и всички дейности, които извършва са подробно разписани в Закона за електронният документ и електронният подпис, подзаконовите нормативни актове регулиращи този вид отношения и европейските директиви и регламенти.

При издаване и управление на удостоверения за квалифициран електронен подпис, доставчикът е длъжен да установи идентичността, самоличността и данните свързани с титулярите и авторите на електронен подпис. В подкрепа на изложените твърдения, „И.” ЕАД прилага наръчник за потребителя на удостоверителни услуги за квалифициран електронен подпис, в който са описани процедурите, които се прилагат по идентификация и автентизация при издаването и управлението на жизнения цикъл на удостоверения за квалифициран електронен подпис. Съгласно вътрешните правила на дружеството, идентификацията на физическото лице, независимо дали то действа в качеството си на автор и/или титуляр на електронен подпис или е упълномощен представител на автора и/или титуляра се изисква представянето в регистрационният офис на валиден документ за самоличност, който след проверка се копира от регистриращия оператор и се заверява саморъчно от физическото лице за вярност и актуалност с дата и подпис.

Информацията от документа за самоличност е необходима в процеса на издаване и управление на удостоверението за електронен подпис, за проверката на данните, идентификация на лицето и представителната му власт. От документа за самоличност се сверява и снимката, както и саморъчният подпис, който се полага от лицето върху документите. Копието на документа за самоличност, както и целят набор от документи необходими за издаването на удостоверение за електронен подпис се представят на дружеството от авторите/титуляря или упълномощени лица. Копието на документа за самоличност се съхранява във вътрешен архив за период от 30 години след изтичане на периода на валидност на удостоверението за което се отнася.

„И.” ЕАД уведомява КЗЛД, че свързаните с С.З.Ч. лични данни не са обработвани от дружеството във връзка с изпълнение на договор №81/18.05.2012г., поради непокриване на изискванията за предоставяне на услугата „издаване на удостоверение за квалифициран електронен подпис” и е отказано да започне процедура по обработка на заявка за издаване на исканото удостоверение.

Към становището като доказателства са приложени извадки от Приложение №1– извадка от наръчник за потребителя на удостоверили услуги и приложение №2 извадка от наръчник за потребителя на удостоверителни услуги.

С оглед констатираната липса на представяне на доказателства от страна на ответното дружество, подкрепящо твърденията му, както и противоречия, с писмо изх.№П-1417/ 04.03.2013г. на Председателя на КЗЛД е указано и изискано в 7-дневен срок от получаване на писмото да се представи договор №81/18.05.2012г. с НАП и допълнителни доказателства. В указаният срок, администраторът на лични данни не е изпълнил дадените му указания.

Изискани са становища по случая от ТД на НАП– гр.Бургас и ЦУ на НАП.

ТД на НАП е приложило копие на следните документи: становище от Р.Й.– координатор по договор №81/2012г., искане от Р.Й. за издаване на електронен подпис, искане от Е.К.– директор на дирекция СДО за издаване на електронен подпис, искане от директора на ТД на НАП гр. Бургас за издаване на ел. подпис, заповед №РД-635/ 03.10.2013г., приемо-предавателен протокол, отговор от П.И., съдържащ отказ за издаване на електронен подпис, писмо до ЦУ на НАП, ведно със запитване от С.З.Ч., запитване от С.З.Ч., отговор на П.И. на запитването на С.З.Ч.

От така представените доказателства се установява, че Р.Й.– началник отдел ИС при ТД на НАП-Бургас е изготвил писмено становище до директора на ТД на НАП, с което го уведомява за практиката на фирма „И.” ЕАД да изисква копирането на документи за самоличност на лицата, на които се издава удостоверение за електронен подпис, в частност за отказа за издаването на удостоверение на С.З.Ч.

Национална агенция за приходите сочи в писменото си становище до Комисията, че по силата на договор №18/18.05.2012г. „И.” ЕАД издава удостоверения за електронен подпис на органи и служители на НАП. НАП твърди, че нито в договора, нито в действащото законодателство има изискване към лицата, на които се издава удостоверение за квалифициран електронен подпис, да предоставят пред доставчика на удостоверителната услуга копие от официален документ за самоличност. Предоставянето на копие от документа за самоличност се извършва при наличието на условие за допустимост при обработването на лични данни, посочено в чл.4, ал.1, т.2 от ЗЗЛД. В случаите, когато служител на НАП, откаже да даде съгласието си личната му карта да бъде копирана, то същият се насочва към офис на доставчика, където да бъде извършена идентификацията на място, с оглед надлежното издаване и получаване на удостоверение на квалифициран електронен подпис. НАП основава изложените в становището съжденията си, на издадената от КЗЛД брошура: „Кой може да копира Вашата лична карта”, която е публикувана на официалната интернет страница на Комисията.

Национална агенция за приходите твърди, че случаите на отказ от страна на „И.” ЕАД са зачестили, поради отказ на физическите лица да предоставят копие на документа си за самоличност и изразяват становище по жалбата, че същата е основателна и КЗЛД в изпълнение на дадените й правомощия и следва да констатира и да предприеме действия по преустановяване незаконосъобразните действия на доставчика на удостоверителни услуги.

Към становището е приложено писмо от НАП до „И.” ЕАД от 21.02.2013г.

В подадената до КЗЛД жалба от С.З.Ч. могат да се разграничат две нарушения извършени от администратора на лични данни. Едното от твърдените нарушения е снемането на копие от личната карта на всяко лице, което иска дружеството да му издаде електронен подпис, а другото се състои в това, че администраторът на лични данни не е изпълнил задължението си по ЗЗЛД, да предостави отговор на подаденото до него заявление с правно основание чл.28 от ЗЗЛД.

От съдържанието на жалбата и от приложените към административната преписка доказателства се установява, че жалбоподателят не е предоставил копие на документа си за самоличност, поради което е получил отказ да му бъде издаден електронен подпис, в качеството му на служител на ТД на НАП-гр.Бургас.

Установи се още, че издаването на електронни подписи се извършва въз основа на сключен договор №81/18.05.2012г. между НАП и „И.” ЕАД. Удостоверенията за електронен подпис се издават на служители и органи на НАП. Към административната преписка не е приложен като доказателство сключеният договор между НАД и дружеството, въпреки че е изискан както от ответната страна, така и от заинтересованите страни в производството. Комисията е изискала, да бъде представен договора, за да се установи наличието на договорни отношения, да се установят страните по договора, както и да бъде извършена проверка на клаузите на договора, които регламентират обема от информация, която лицето следва да предостави, за да му бъде издаден електронен подпис.

Въпреки липсата на договора като доказателство между страните не е спорно неговото съществуване. Не е спорно, че страни по него са НАП и „И.” ЕАД и жалбоподателят се явява трето лице, което ползва предоставяната услуга. Със Заповед №РД-635/ 03.10.2012г. на ТД на НАП – Бургас е наредено да бъде издадено удостоверение за електронен подпис, без вписване на единните граждански номер от вида i-Notary Compani Q Sing на служителите на териториалната дирекция, сред които е и господин С.З.Ч.

В случай, че НАП, счита, че има неизпълнение и допуснати съществени нарушения, които накърняват правата й, като страна по договора, сключен за предоставяне на универсален електронен подпис, следва да потърси правата си по ЗЗД, по който нормативен акт Комисията не е компетентна да се произнесе.

С решение, взето на 03.04.2013г. за назначаване на проверка на място в „И.” ЕАД, Комисията е разделила настоящето производство. От доказателствата по административната преписка и от твърденията на жалбоподателят, че не е предоставил копие на документа си за самоличност се установява, че дружеството не обработва свързаните със С.З.Ч. лични данни. В тази връзка за жалбоподателят липсва правен интерес от жалбата му в частта, с която визира оплаквания в тази насока. Наличието на правен интерес е основна предпоставка за допустимостта на жалбата.

С оглед правомощията си по чл.10, ал.1, т.1 от ЗЗЛД за извършване на цялостен контрол по спазване на нормативните актове в областта на защита на личните данни, КЗЛД ще произнесе по реда на чл.43 от ЗЗЛД по въпроса, дали е правомерно или не снемането на копия от документа за самоличност на физическите лица, независимо дали са в лично качество или като служители на организация, която е сключила договор с дружеството. За извършените от назначената на място проверка ще се състави констативен акт., В случай на установено административно нарушение, административният орган ще издаде и на наказателно постановление.

По въпроса, дали е налице мълчалив отказ на администратора на лични данни, да се произнесе по направено заявление с правно основание чл.28 от ЗЗЛД ще се произнесе в настоящето производство по разглеждане на жалбата по същество.

Към административната преписка е приложено запитване от С.З.Ч. с посочена дата на него 22.11.2012г., адресирано до „И.” ЕАД с копие до ЦУ на НАП гр.София. Със заявлението, заявителят иска, да му бъде посочено правното основание, на което се изисква от него копие от документа му за самоличност, собственоръчно заверено, както и да бъде уведомен, предоставените от него лични данни дали се обработват и за какви цели се извършва обработването, предоставяни ли са на трети лица. С.З.Ч. изразява желанието си, в случай на неиздаване на универсален електронен подпис, свързаните с него лични данни да бъдат заличени.

Заявлението е постъпило в „И.” ЕАД с вх.№1794/27.11.2012г. Заявлението не е подадено лично или по пощата от заявителя, а е изпратено с писмо изх.№ИТ-00-1660/ 23.11.2012 на ТД на НАП– гр.Бургас. Писмото на ТД на НАП– Бургас е адресирано както до „И.” ЕАД, така и до ЦУ на НАП гр.София.

Съгласно разпоредбата на чл.29 от ЗЗЛД, правото на достъп до лични данни, както и правото на физическото лице да получи информация по реда на чл.28 от ЗЗЛД се осъществява с писмено заявление отправено до администратора на лични данни. Законодателят дава възможност, заявлението да се подаде и по електронен път по реда на Закона за електронният документ и електронният подпис. Изискването на закона е заявлението да бъде подадено лично от физическото лице, което упражнява своето субективно право или от изрично упълномощено от него лице чрез нотариално заверено пълномощно.

В конкретният случай, заявлението не е подадено лично от С.З.Ч., нито от негов пълномощник с нотариална заверка на подписа. Заявлението е депозирано пред администратора на лични данни от работодателя на заявителя, който няма качеството на пълномощник, съгласно изискването на Закона.

По административната преписка се съдържа и електронен отговор на „И.” ЕАД до изпращача на заявлението, а именно ТД на НАП-Бургас, в който се сочи, че копие на документ за самоличност се представя само в случаите, когато се издава удостоверение за квалифициран електронен подпис. Сочи се още, че в случай, че има нежелание на даде служител да предостави копие от личната си карта, следва той лично да се яви в съответния регистриращ орган на ДУУ и да предостави необходимите документи.

На основание изложеното, следва да се приеме, че не са изпълнени специалните изисквания на ЗЗЛД, няма подадено от надлежна страна заявление с правно основание чл.28 и чл.28а от ЗЗЛД. Въпреки липсата на валидно подадено заявление, администраторът на лични данни е изпълнил задължението и е отговорил писмено на подателя на заявлението ТД на НАП– Бургас.

В конкретния случай, администратор на лични данни, спрямо личните данни на С.З.Ч. е НАП. „И.” ЕАД се явява обработващ лични данни, съгласно §1, т.3 от ДР на ЗЗЛД. НАП във връзка с изпълнение на правомощията си е възложила на ответното дружество да издава удостоверения за електронен подпис. Взаимоотношенията по възлагане на услугата електронен подпис са уредени писмено чрез договор. Жалбоподателят, както и всички служители на приходната агенция се явяват ползватели на предоставяната услуга. НАП определя, на кой свой служител да бъде издадено удостоверение за електронен подпис. Физическите лица не на собствено основание получават този вид услуга, за да могат да претендират промяна на вече договореният ред.

Липсата на валидно подадено заявление не води след себе си задължение на администратора на лични данни да отговори, от което следва че липсва и наличие на мълчалив отказ. За да е налице мълчалив отказ, то правото на достъп следва да е надлежно упражнено и задълженият субект следва да не е изпълнил задължението си за отговор в законоустановения срок. Въпреки липсата на валидно заявление, администраторът на лични данни е отговорил на своя съконтрахент.

В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в процесуалното производство, съгласно чл.7 от Административно-процесуалния кодекс (АПК), изискващ наличието на установени действителни факти от значение за случая, имайки предвид представените писмени доказателства и изразени становища, Комисията приема, че разгледана по същество жалбата е неоснователна, поради което на основание чл.10 ал.1, т.7 от ЗЗЛД и чл.38, ал.2 от Закона за защита на личните данни,

Решението да се съобщи на страните по реда на АПК.

Настоящото решение подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд София– град.