Решение по жалба с рег. № ППН-01-111/20.02.2018 г.

Комисията за защита на личните данни („Комисията”/„KЗЛД”) в състав: членове– Цанко Цолов, Цветелин Софрониев и Веселин Целков, на редовно заседание, проведено на 10.10.2018г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни, разгледа по основателност жалба с рег. №ППН-01-111/20.02.2018г., подадена от В.А. срещу финансова институция (Ф.И.).

Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).

Жалбоподателят информира, че на 09.02.2018г. получил обаждане на мобилния си телефонен номер. Търсещият попитал за лице, което е негова съседка. Г-н В.А. узнал, че обаждането е от представител на Ф.И., който чрез жалбоподателя търси въпросната жена, с която Ф.И. има неуредени отношения. Обяснили му, че през 2015г. е бил клиент на Ф.И. и от там имат достъп до личните му данни.

Предвид факта, че г-н В.А. не е страна по действащ към момента договор с Ф.И., същият подал заявление за достъп до лични данни, с копие до КЗЛД. В него е изразено и желание по чл.28а от ЗЗЛД за блокиране и заличаване на личните му данни. На 22.03.2018г. г-н В.А. уведоми Комисията, че администраторът не се е произнесъл по искането.

На 09.05.2018г. жалбоподателят подал отново заявлението, по което е получен отговор. Счита, че отговорът не отговаря на нормативните изисквания и не съдържа изисканата информация.

С допълнение към жалбата г-н В.А. уведомява, че на 16.08.2018г. отново е потърсен от служител на Ф.И. във връзка с издирване на трето лице.

Жалбоподателят счита, че администраторът Ф.И. в качеството си на администратор на лични данни е нарушило правата му по глава пета от ЗЗЛД, като нарушенията продължават и към настоящия момент.

Към жалбата и допълненията към нея са приложени: заявление за достъп и заличаване на лични данни, касов бон с данни за адресант и адресат, отговор на заявлението.

В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, с писмо изх. №ППН-01-111/2018#8/20.07.2018г. администраторът на лични данни Ф.И. е уведомен на основание чл.26 от АПК за образуваното административно производство. Предоставена е възможност за изразяване на становище с относими доказателства. В Комисията е постъпило такова с рег. №ППН-01-111#7/02.07.2018г. за неоснователност на жалбата.

От Ф.И. информират, че не са открили заявление от 09.02.2018г. да е било регистрирано във Ф.И. Във Ф.И. е постъпило заявление от г-н В.А. с дата 09.05.2018г., което е регистрирано с вх. №0100/2336 от дата 14.05.2018г. (,,Заявлението”) и на което е изпратен отговор на 07.06.2018г.

По т.1, т.2, т.3, т.5 и т.7 от заявлението отбелязват, че на 18.12.2014г. между Ф.И. и г-н В.А. е сключен Договор за потребителски кредит №**** (,,Договора”). Преди сключването на Договора и в изпълнение на приложимия към 18.12.2014г. Закон за защита на личните данни на г-н В.А. е предоставено срещу подпис Искане-декларация за потребителски кредит. Предоставеното Искане-декларация от 18.12.2014г. изчерпателно отговаря на поставените в Заявлението въпроси пот. 1, т.2, т.3, т.5 и т.7 въпроси. Жалбоподателят г-н В.А. е подписал така предоставената му информация, с което е декларирал, че е запознат с нея. Информация относно обработването на личните данни е предоставена отново на жалбоподателя и в подписания от него Договор (чл. 25.13.2).

По отправените от жалбоподателя въпроси при първоначалното сключване на Договора информация не е предоставена единствено по т.7 от Заявлението, доколкото ЗЗЛД не изисква в информацията към субекта на данните администраторът да посочва гаранциите за защита на личните данни, които е предприел. Правото на достъп съгласно чл.28 от ЗЗЛД (съответно чл.13 от Общия регламент относно защитата на данните) също не предвижда задължение за администратора да информира субекта на данните относно приложените от администратора мерки за защита.

От Ф.И. отбелязват, че в отговора до жалбоподателя са посочили, че данните му се обработват за запознаването му с „информация за повишаване на финансовата култура, включително информация с рекламно и промоционално съдържание, чрез наличните канали за дистанционна комуникация”, което е разновидност на директен маркетинг. Отбелязват, че въз основа на предоставеното съгласие за обработване на личните данни за целите на директния маркетинг, което не е оттеглено във времето след сключването на Договора, на г-н В.А. са изпращани и рекламни SMS съобщения, за които жалбоподателят неоснователно твърди, че са неправомерно изпращани. Датите, на които са изпратени съобщенията, предхождат датата 07.06.2018г., на която е обработено Заявлението и е изпратен отговорът до г-н В.А. В този смисъл не е било възможно Ф.И. да отрази направените от жалбоподателя възражения за използване на личните му данни за целите на директния маркетинг към момента на изпращане на въпросните съобщения.

Във връзка с т.6 от Заявлението, в отговора от 07.06.2018г. изрично е посочено, че личните данни на жалбоподателя се обработват само от оторизирани служители на Ф.И. или от физически или юридически лица със статут на „обработващи данните” по смисъла на Регламента. Направеното от В.А. искане по т.6 да разбере по какъв начин служителите на Ф.И. се оторизират да обработват лични данни е недопустимо поради своята прекомерност и доколкото налага предоставянето на длъжностни характеристики и друга поверителна информация, до която нито ЗЗЛД, нито Регламентът предоставя право на достъп на субектите на данните.

Относно въпросите, изложени в т.4 от Заявлението, становището на Ф.И. е, че полага дължимата грижа за защитата на личните данни на своите клиенти, настоящи и бивши. От Ф.И. считат, че винаги са прилагали изискванията на приложимото законодателство относно защитата на личните данни в Република България, като никога не са си позволявали компромиси при прилагането на законовите изисквания.

По т.8 от Заявлението от Ф.И. отбелязват, че ще приемат Заявлението на В.А. като упражняване на право на ограничение на обработването и ще бъдат предприети необходимите стъпки в тази насока. Също така Ф.И. ще приеме заявлението като упражняване на право на възражение срещу получаването на информация с рекламно и промоционално съдържание и ще преустанови обработването на данните на г-н В.А. за тази цел.

С писмо изх. №ППН-01-111/2018#8/20.07.2018г. от Ф.И. е изискано да предостави резултати от проверката във връзка с проведения на 09.02.2018г. разговор между служител на Ф.И. и г-н В.А., както и самия разговор. В отговор е постъпило становище с изисканата информация и запис на разговора.

В Комисията постъпи допълнение към жалбата, заведено с рег. №ППН-01-111#10/22.08.2018г. Г-н В.А. уведомява за повторно проведен разговор по инициатива на служител на Ф.И.

За да упражни правомощията си, Комисията следва да бъде валидно сезирана.

Разглежданата жалба съдържа задължително изискуемите реквизити, посочени в чл.30, ал.1 от Правилника за дейността на Комисията за защита на личните данни и нейната администрация, а именно: налице са данни за жалбоподателя, естество на искането, дата и подпис, с оглед на което същата е редовна.

Жалбата е процесуално допустима– подадена в срока по чл.38, ал.1 ЗЗЛД от физическо лице с правен интерес. Същата има за предмет твърдение за неправомерно обработване на лични данни на жалбоподателя и е насочена срещу администратор на лични данни. С жалбата е сезиран компетентен да се произнесе орган– Комисия за защита на личните данни, която съгласно правомощията си по чл.10, ал.1, т.7 от ЗЗЛД разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по ЗЗЛД.

На проведено на 05.09.2018г. заседание на Комисията жалбата е приета за процесуално допустима и като страни в административното производство са конституирани: жалбоподател– В.А. и ответна страна– Ф.И., в качеството на администратор на лични данни. Страните са редовно уведомени за насроченото за 10.10.2018г. открито заседание на Комисията за разглеждане на жалбата по същество. За изясняване на случая е поискан вторият разговор, посочен в допълнението към жалбата. Изисканото доказателство е постъпило в Комисията.

В откритото заседание за разглеждане на жалбата по същество страните не се явяват, не се представляват.

При така установената фактическа обстановка Комисията разгледа жалбата по същество, като прие жалбата за частично основателна, въз основа на следните изводи:

Комисията отчита факта, че определени действия по обработване на лични данни са извършени и са приключили преди започне прилагането на Регламент2016/679 (от 25.05.2018г.), а други– след 25.05.2018г. В този смисъл обработването обхваща приложението и на двете нормативни регулации– ЗЗЛД и Регламент2016/679.

Законът за защита на личните данни урежда защитата на правата на физическите лица при обработване на личните им данни. Целта на закона е гарантиране нанеприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните. Регламент(ЕС) 2016/679 на Европейския парламент и на Съвета от 27април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните, Регламента) урежда правилата по отношение защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни. Целта на Регламента е да се защитят основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни.

В жалбата и допълненията към нея са наведени три твърдения за извършени нарушения:

Безспорно е, че между страните е съществувало правоотношение във връзка с предоставяне на потребителски кредит. Договорът е изпълнен на 25.09.2015г. Не се спори и за проведените на 09.02.2018г. и 16.08.2018г. разговори между служители на Ф.И. и г-н В.А. Разговорите са проведени съответно преди и след прилагане на Регламент2016/679. Релевантните за конкретния случай разпоредби са сходни по съдържание и не е налице противоречие между тях.

Съгласно легалната дефиниция, дадена в чл.2, ал.1 от ЗЗЛД, лични данни са всяка информация, отнасяща се до физическото лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Обхватът на понятието за лични данни е доразвито в чл.4, пар.1, т.1 от Регламент(ЕС) 2016/679– „лични данни” означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни”); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице. От представените записи на разговорите се установи, че жалбоподателят безспорно е идентифициран от служителите на Ф.И.

От приложеното Искане-декларация за потребителски кредит и последвалото сключване на самия договор за кредит следва, че личните данни на г-н В.А. са обработвани от администратора на основание чл.4, ал.1, т.1, 2, 3 и 7 от ЗЗЛД съответно чл.6, пар.1, б. „а”, „б”, „в”, е” от Регламента, но посочените основание се отнасят само до обработването на данните за конкретната цел, за която данните са събрани– сключения конкретен договор за потребителски кредит.

Използването на личните данни на жалбоподателя при позвъняването до него за осъществяване на контакт с трето лице, което няма връзка с договора за кредит на г-н В.А., представлява обработване на данните „употреба” по смисъла на §1, т.1 от Допълнителните разпоредби на ЗЗЛД съответно чл.4, т.2 от Регламента. Като действие по обработване на данните, същото следва да се извършва в съответствие с разпоредбите на ЗЗЛД и Регламент2016/679.

Както беше посочено, личните данни на г-н В.А. са събрани за точно определена цел– сключване и изпълнение на договор за потребителски кредит. Използването на данните на жалбоподателя, за да бъде потърсено трето лице чрез него, няма връзка с целите, за които първоначално са събрани данните. Още повече, договорните отношения между Ф.И. и жалбоподателя са приключили още през септември 2015г. и обработването е следвало да се ограничи единствено до съхраняване на данните за определен срок във връзка с нормативно установените спрямо администратора задължения и легитимните интереси на администратора (за доказуемост при насрещни правни претенции, проверки на държавни органи при осъществяване на техните правомощия). Търсенето на трето лице– длъжник на Ф.И. не представлява легитимен интерес, тъй като интересите на администратора нямат преимущество пред тези на физическото лице, за което се отнасят данните, каквото е изискването на чл.4, ал.ал. 1, т.7 ЗЗЛД съответно чл.6, пар.1, буква „е” от Регламента.

От изложеното се налага извод, че личните данни на г-н В.А. са допълнително обработени за цели, различни и несъвместими с първоначалните конкретни, изрично указани и легитимни цели, за които са събрани, при което е нарушен принципът за ограничаване на целите на обработването по чл.2, ал.2, т.2 от ЗЗЛД съответно чл.5, пар.1, б. „б” от Регламент2016/679.

При така констатираното нарушение жалбата следва да бъде уважена в тази част. Комисията разполага с оперативна самостоятелност, като преценява кое от своите корективни правомощия по чл.58, параграф. 2 от Регламент2016/679 да реализира. Преценката се основава на съображенията за целенасоченост, целесъобразност и ефективност на решението, като следва да се постанови акт, който в най-пълна степен да защитава интереса на обществото и субекта на данни. Правомощията по чл.58, пар.2, без буква „и”, имат характера на принудителни административни мерки, чиято цел е да предотвратят извършването на нарушение или ако извършването е започнало– да го преустанови, като по този начин се обективира изисканото от закона поведение. Административното наказание „глоба” или „имуществена санкция” по чл.58 пар.2, буква „и” има санкционен характер. Относно прилагането на подходящата корективна мярка по член 58, пар.2 от Регламента следва да се има предвид естеството, тежестта и последиците от нарушението, като се оценят всички факти по случая. Оценката за това, какви мерки са ефективни, пропорционални и възпиращи във всеки отделен случай ще трябва да отразява целта, преследвана с избраната корективна мярка, т.е. възстановяване на спазването на правилата, санкциониране на неправомерно поведение или и двете (каквато възможност е предвидена в чл.58, пар.2, буква „и”).

При определяне на корективна мярка Комисията отчита, че съобразно характера на извършеното нарушение, както и желанието на жалбоподателя да не бъде търсен за връзка с трето лице, подходяща мярка се явява тази по чл.58, параграф. 2, буква „е” от Регламента– да наложи на администратора окончателно ограничаване на обработването на лични данни до изтичане срока за съхраняването им, тъй като отношенията между жалбоподателя и администратора са приключили.

Наред с посочената корективна мярка, разглеждайки конкретните обстоятелства по случая в съответствие с чл.83, параграф 2, Комисията намира, че следва да наложи в допълнение и имуществена санкция на администратора на основание чл.58, параграф 2, буква „и” от Регламент2016/679.

При определяне дали да се наложи имуществена санкция, както и нейният размер са взети предвид следните обстоятелства съгласно чл.83, параграф 2 от Регламента:

Буква „а”– това е основният мотив за налагане на имуществена санкция. Позвъняванията са две– на 09.02.2018г. и 16.08.2018г., като второто е извършено след уведомяване на администратора за образуваното производство в Комисията във връзка със същото обработване. В становищата си до надзорния орган представляващите администратора посочват, че намират изложеното в жалбата за притеснително, назначили са вътрешна проверка, по която е установено, че служителят неправомерно и по собствена инициатива е действал в отклонение на правилото, че лични данни могат да се обработват единствено за целите, за които са събрани, но въпреки това на 16.08.2018г. е последвало същото нарушение. Като смекчаващи обстоятелства са взети предвид, че са обработени неправомерно личните данни на един субект и не са настъпили имуществени вреди;

Буква „б”– администраторът е юридическо лице, което не формира воля;

Буква „в”– няма причинени имуществени вреди, които да налагат отстраняване;

Буква „г”– не са предприети достатъчно стъпки за привеждане на дължимото поведение в съответствие с чл.32, пар.4 от Регламента, дори след образуваното пред Комисията производство;

Буква „д”– предмета на жалбата не засяга нарушение на сигурността на данните по смисъла на член 33 от Регламента;

Буква „е”– администраторът признава извършеното нарушение, в хода на производството сътрудничи на надзорния орган, извършил е вътрешна проверка по случая;

Буква „ж”– обработени са имена, адрес и телефонен номер. Посочените данни не са специални категории лични данни или национален идентификатор, които подлежат на по-голяма закрила;

Буква „з”– след сезиране на надзорния орган от субекта на данни;

Буква „и”– не са налагани мерки по чл.58, пар.2 от Регламента;

Буква „й”– към момента на извършване няма одобрени кодекси за поведение;

Буква „к”– не са установени.

При така обсъдените обстоятелства в тяхната съвкупност Комисията намира, че имуществената санкция следва да е в размер, близък до минималния размер.

Жалбоподателят твърди, че е подал на 09.02.2018г. заявление до Ф.И. за достъп до лични данни и искане за заличаването им, по което няма отговор. Доколкото липсват доказателства за изпращането и получаването му от администратора, не може да се направи категоричен извод за довеждането му до знанието на Ф.И. В този смисъл твърденето за липса на отговор остава недоказано.

На 09.05.2018г. е изпратено друго заявление, получено на 14.05.2018г. В случая заявлението е подадено на основание разпоредбите на ЗЗЛД– чл.26 във връзка с чл.28, ал.1 и чл.28а, т.1. Срокът за отговор по ЗЗЛД е 14-дневен, но до изтичането му е започнало прилагането на Регламент2016/679, в който срокът е един месец от получаване на искането. При възникналата колизия на срокове следва да се приложи по-благоприятния срок за лицето, за което е определен. Освен това е уреден и с нормативен акт от по висок ранг. В този смисъл е основателно твърдението на Ф.И., че срокът за произнасяне е един месец и изпратения отговор на 07.06.2018г. е в срок.

2.2. Съдържание на отговора на заявлението.

Жалбоподателят оспорва получения отговор, за който намира, че не предоставя необходимата информация и не отговаря конкретно на нито един от зададените въпроси.

В заявлението са поставени 7 въпроса.

Четири от въпросите не са предмет на правото на достъп нито по чл.28, ал.1 ЗЗЛД, нито по чл.15, пар.1 от Регламента. Въпроси 3 и 4– свързани със законосъобразното обработване на лични данни в конкретния случай, както и относимостта с целите на обработване, могат да са предмет на надзор от КЗЛД или съда. Въпрос 6 също не се отнася до правото на достъп, доколкото служителят на администратора не е „обработващ лични данни” по смисъла на чл.4, т.8 от Регламента. Въпрос7– за предприетите гаранциите за защита на личните данни е налице нормативно установено задължение за администратора съобразно обработваните лични данни и възможните рискове да предприеме необходимите технически и организационни мерки за защитата им, но тези мерки също не са предмет на право на достъп от субектите на данни.

Въпроси 1 и 5 са обвързани един с друг и по тях е предоставена частична информация. Посочено е, че въз основа на сключения договор за кредит личните данни се съхраняват като форма на обработване, а основанието е нормативно установено задължение и легитимен интерес на администратора, от което следва, че личните данни не са заличени. Относно предоставянето на данни на трети лица е посочено, че данните на жалбоподателя могат да бъдат предоставяни на „обработващи лични данни”. Това, което липсва в отговора, е останала част от чл.15, пар.1, б. „в” от Регламента, а именно „получателите или категориите получатели, пред които са… разкрити данните”, т.е. липсват конкретните получатели, пред които действително са били разкрити данните.

По т.2 от Заявлението не се съдържа информация в отговора. Администраторът на лични данни е длъжен да отговори ясно дали съществува автоматизирано вземане на решение по смисъла на чл.22, пар.1 от Регламента. Относно логиката на обработване, както по ЗЗЛД, така и по Регламент2016/679, информацията за използваната логика не е дължима във всички случаи. Съгласно чл.15, пар.1, б. „з” от Регламента на субекта на данни се предоставя информация за съществуването на автоматизирано вземане на решения, включително профилиране, посочено в чл.22, пар.1 и 4, и поне в тези случаи се дължи предоставяне информация за използваната логика. Това е въпрос, свързан със самото обработване, който администраторът следва да прецени дали попада в хипотезата на чл.22, пар.1 и 4, отчитайки спецификата на конкретното автоматизирано обработване.

При така установеното нарушения на правото на достъп на субекта по чл.15 от Регламента, жалбата в тази част също следва да бъде уважена. Като най-целесъобразна корективна мярка в рамките на оперативната си самостоятелност съобразно мотивите, изложени в т.1 на изложението, Комисията намира, че е тази по чл.58, пар.2, б. „в” от Регламента– да отговори на поставените в заявлението за достъп въпроси, които са съответно посочени в чл.15, пар.1 букви „в” и „з” от Регламента.

Във втората част на заявлението е направено искане за заличаване на обработваните данни на заявителя. В отговора е посочено, че в изпълнение на законово задължение да съхранява данните за ограничен период от време, както и с оглед легитимния си интерес администраторът съхранява личните данни за срок 5 години след прекратяване на договорните отношения. Така определеният срок е пропорционален предвид задължението на администратора за съхраняване на счетоводни документи, както и възможността да докаже твърденията си при възникване на насрещни правни претенции или проверки от компетентни органи.

В този смисъл отказът за заличаване на лични данни е законосъобразен.

Жалбоподателят информира за получени две съобщения от Ф.И. с предложения за финансиране– на 24.04.2018г. и 01.06.2018г. Последното е изпратено след подаване на заявлението за достъп и заличаване на лични данни, но преди изпращане на отговора по него.

Директният маркетинг представлява предлагане на стоки и услуги на физически лица по пощата, по телефон или по друг директен начин, както и допитване с цел проучването относно предлаганите стоки и услуги. Съдържанието на двете текстови съобщения е именно предлагане на услуги. Що се отнася до отговора, че данните се обработват и за предоставяне на „информация за повишаване на финансовата култура”, Комисията споделя твърдението на Ф.И., че това е начин за популяризиране дейността на дейността на финансовата институция и може да се приеме за разновидност на директния маркетинг.

В т.2 на представеното Искане-декларация за потребителски кредит, г-н В.А. е дал изричното си съгласие личните му данни да бъдат обработвани за директен маркетинг по смисъла на ЗЗЛД, включително да му бъдат изпращани писма с рекламно и промоционално съдържание, рекламни SMS-и и e-mail-и, включително и такива, свързани с предлагането на други финансови или комбинирани продукти. В този смисъл е неоснователно твърдението на жалбоподателя, че не е дал съгласието си за обработване на личните му данни за целите на директния маркетинг.

Субектът на данни има право по всяко време да възрази срещу обработване на данните му за целите на директния маркетинг. В случая няма изрично възражение в този смисъл, макар по косвен път заявлението за заличаване на лични данни да цели и това. Във връзка с последното се кредитира твърдението на администратора, че заявлението за достъп и заличаване на лични данни е обработено на 07.06.2018г.– след изпращането на второто текстово съобщение на 01.06.2018г. Тъй като заявлението за заличаване не е уважено, администраторът е указал на заявителя възможността за конкретно възражение, отнасящо се за обработване на данните за целите на директния маркетинг.

От изложеното следва, че администраторът не е нарушил правата на жалбоподателя във връзка с осъществения директен маркетинг.

Твърдението на жалбоподателя за ограничаване на възможността за подаване на възражение само по електронен път също е неоснователно. Действително в заявлението на г-н В.А. е посочен електронният път за комуникация като предпочитан, поради което администраторът е посочил този начин за упражняване правата от субекта на данни.

Комисията за защита на личните данни, като взе предвид фактите и обстоятелствата, изнесени в настоящето административно производство, и на основание чл.38, ал.2 от ЗЗЛД,

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни, пред Административен съд София– град.

След влизане в сила на решението, сумата по наложеното наказание да бъде преведена по банков път:

Банка БНБ– ЦУ

IBAN: BG18BNBG96613000158601 BIC BNBGBGSD

Комисия за защита на личните данни, БУЛСТАТ 130961721

В случай че санкцията не бъде платена в 14-дневен срок от влизане в сила на решението, ще бъдат предприети действия за принудителното му събиране.