Решение по жалба с рег. № ППН-01-116/30.01.2019 г.

Комисията за защита на личните данни („Комисията”/„KЗЛД”) в състав: членове– Цанко Цолов, Цветелин Софрониев и Веселин Целков, на редовно заседание, проведено на 11.09.2019г., на основание чл.10, ал.1 от Закона за защита на личните данни във връзка с чл.57, параграф1, буква„е” от Регламент 2016/679 разгледа по основателност жалба с рег. №ППН-01-116/30.01.2019г., подадена от Г.И. срещу Е.К ЕООД (Е.К.).

Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).

Жалбоподателят информира, че след прекратяване на трудовото му правоотношение с Е.К. се възползвал от правото на достъп до личните му данни съгласно разпоредбата на чл. 26, ал. 1 от ЗЗЛД. С молба от 20.11.2018г., адресирана до Е.К. в качеството му на администратор на лични данни, г-н Г.И. поискал предоставянето на информация на хартиен носител за това какви лични данни отнасящи се до него се обработват, за какви цели, на какво основание и за какъв срок, включително желание да му бъдат върнати оригиналите на две удостоверения за професионално обучение, които се съхраняват от бившия му работодател.

Видно от известието за доставка, заявлението е получено на 21.11.2018г. Към момента на подаване на жалбата администраторът на лични данни не се е произнесъл по заявлението, нито е изпратил заявените документи.

Жалбоподателят моли КЗЛД да упражни законовите си правомощия и да издаде задължително предписание на дружеството да се произнесе по молбата от 20.11.2018г., да предостави изисканите документи в оригинал, както и да бъде наложена санкция на администратора.

С допълнение към жалбата се оспорва решение изх. №***, получено като незаверено копие с придружително писмо изх. №***, с което е отказан достъп до личните данни. Направени са възражения, че съгласно чл.15, параграф3 от Регламента копието на лични данни се предоставя именно под формата на съответните документи. Освен това, приложими в случая са и разпоредбите на чл.5, параграф1, буква„б“ и чл.88, параграф1 от Регламент 2016/679 във връзка с чл.25к, ал.2 и чл.25а от ЗЗЛД.

Направено е искане за представяне на доказателство за предаване на оригиналите на документите при прекратяване на трудовия договор и искане за присъждане на направени разноски.

В условията на залегналото в административния процес служебно начало и в изпълнение на чл.26 АПК, за започване на производството е уведомено лицето, срещу което е насочена жалбата. Предоставена е възможността по чл.34, ал.3 АПК за изразяване на становище с относими доказателства по предявените в жалбата твърдения. В Комисията е постъпил отговор за недопустимост и неоснователност на жалбата.

Прокуристът счита жалбата за недопустима, тъй като не отговаря на изискванията на чл.30 от ПДКЗЛДНА– в нея липсва дата. Освен това е подадена извън срока по чл.38, ал.1 ЗЗЛД и е подадена срещу лице, което не е администратор на лични данни.

Относно неоснователността на жалбата, на първо място се посочва, че понятието „копие от лични данни” не следва да се отъждествява с понятието „копие на документи”. Обратното на практика не кореспондира с идеята за естеството на информацията– предмет на достъп по чл.28, ал.1 ЗЗЛД. Посочено е и становище на КЗЛД, съгласно което правото на достъп до лични данни по смисъла на чл.26, ал.1 във връзка с чл.28, ал.1 ЗЗЛД не включва получаването на копия от документи, създавани или съхранявани от администратора.

Достъпът до документи, създадени във връзка с вече прекратеното трудово правоотношение, следва да се осъществи по реда на Кодекса на труда и другите нормативни актове.

На следващо място се твърди неоснователност на жалбата, тъй в предвидения в закона срок има произнасяне по заявлението с решение от 26.11.2018г., с което е постановен отказ за достъп до лични данни. Писмото е изпратено по пощата на посочения в заявлението адрес, но се е върнало като непотърсено от получателя.

Дори да се приеме, че липсва решение на администратора, поради факта, че същото не е стигнало до знанието на лицето, прокуристът счита, че срокът по чл.32, ал.4 ЗЗЛД е инструктивен и произнасянето след него не е съществено нарушение, което да опорочава акта до степен, препятстваща пораждането на целените правни последици.

Към становището е приложено решение изх. №****

Във връзка с изложеното в становището, от Е.К. е изискано доказателство за изпращане на решение изх. №**** до заявителя. Изисканото доказателство не е постъпило в КЗЛД.

За да упражни правомощията си, Комисията следва да бъде валидно сезирана.

Разглежданата жалба съдържа задължително изискуемите реквизити, посочени в чл.30, ал.1 от Правилника за дейността на Комисията за защита на личните данни и нейната администрация, а именно: налице са данни за жалбоподателя, естество на искането, дата и подпис, с оглед на което същата е редовна. Възражението на Е.К. за недопустимост, поради липса на дата, е неоснователно. Жалбата е постъпила в КЗЛД на ръка, при което е регистрирана в системата на органа, което свидетелства за датата на подаване.

Жалбата е процесуално допустима– подадена в срока по § 44, ал.2 от ПЗР на ЗЗЛД от физическо лице с правен интерес. Същата има за предмет твърдение за нарушени права при обработване на лични данни на жалбоподателя и е насочена срещу администратор на лични данни. С жалбата е сезиран компетентен да се произнесе орган– Комисия за защита на личните данни, която съгласно правомощията си по чл.10, ал.1 от ЗЗЛД във връзка с чл.57, пар. 1, буква„е” от Регламент 2016/679 разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по Регламент 2016/679 и ЗЗЛД.

Възраженията за недопустимост на жалбата, поради подаването ѝ извън срока по ЗЗЛД и липса на администратор на лични данни, са неоснователни. Жалбата е подадена на 30.01.2019г. Съгласно § 44, ал.2 от ПЗР на ЗЗЛД за нарушения на закона и Регламент 2016/679, извършени до влизане в сила на този закон (02.03.2019г.), срокът за сезиране на Комисията по чл.38 е една година от узнаването на нарушението, но не по-късно от 5 години от извършването му. Заявлението за достъп до лични данни е подадено на 20.11.2018г., а отговорът по него е дължим в едномесечен срок от получаването, от когато се брои и срокът за узнаване и извършване на нарушението. Видно от датата на жалбата, сроковете са спазени. Жалбата е подадена срещу администратор на лични данни– Е.К. Администратор на лични данни по смисъла на чл.4, т.7 от Регламент 2016/679 е юридическо лице, което само или съвместно с други определя целите и средствата за обработването на личните данни. Видно от представените по преписката доказателства, че жалбоподателят е бивш служител в дружеството, както и извършената справка за социалното и здравното осигуряване на повече от 100 физически лица, прави дружеството администратор на лични данни. Освен това правноорганизационната форма на търговец-юридическо лице също предполага обработването на лични данни на физически лица.

Предвид изложеното, на проведено на 03.07.2019г. закрито заседание на Комисията жалбата е обявена за допустима и като страни в производството са конституирани: жалбоподател Г.И. и ответна страна „Е.К.“ ЕООД. Страните са уведомени за насроченото за 11.09.2019г. открито заседание за разглеждане на спора по същество. От Е.К. е изискано да представи доказателства в подкрепа на твърдението си, че оригиналните документи са предадени на жалбоподателя при прекратяване на трудовите му правоотношения. Доказателства в тази насока не са представени.

На проведеното заседание за разглеждане на жалбата по същество жалбоподателят се представлява от пълномощник, който поддържа жалбата и изложеното към момента. Моли същата да бъде уважена и претендира разноски.

Ответната страна– не изпраща представител. Непосредствено преди заседание постъпи молба от процесуален представител на Е.К., с което се поддържа подадения отговор и изложените в него обстоятелства.

При така установеното Комисията разгледа жалбата по същество, като я приема за основателна въз основа на следното:

С Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните, накратко Регламента или Регламент 2016/679) и Закона за защита на личните данни (ЗЗЛД) се определят правилата по отношение на защитата на физическите лица във връзка с обработването на личните им данни. Целта е да се защитават основни права и свободи на физическите лица, по-специално тяхното право на защита на личните данни.

Предмет на жалбата е право на достъп до обработвани от администратор лични данни.

Видно от представените доказателства, на 20.11.2018г. жалбоподателят е изпратил до Е.К. молба за достъп до лични данни. Макар наименова като „молба“ с посочване на разпоредби по ЗЗЛД, същата има характера на искане за достъп до лични данни. Въпреки че към момента на подаване на искането за достъп Глава пета от ЗЗЛД (Права на физическите лица– чл.26 и сл.) не е все още отменена, към този момент вече е приложим Регламент 2016/679, който урежда същите отношение, с оглед на което Регламентът следва да се приложи като нормативен акт от по-висока степен.

Съгласно чл.15, пар. 1 от Регламент 2016/679 субектът на данни има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и определената в букви „а“ до „з“ информация. В параграф3 е посочено, че администраторът предоставя копие от личните данни, които са в процес на обработване.

Представената към жалбата товарителница свидетелства, че заявлението е получено от администратора на 21.11.2018г. чл.12, параграф3 от Регламент 2016/679 задължава администратора на лични данни да предостави на субекта на данни информация относно действията, предприети с искане по чл.15 от Регламента, без ненужно забавяне и във всички случаи в срок един месец от получаване на искането. При сложност и брой на исканията срокът може да бъде удължен с още два месеца. Ако не се преприемат действия по исканията, отново се уведомява субекта на данни, с посочване на приничите за това (параграф4).

В конкретния случай липсва произнасяне и уведомяване за предприетите действия по заялението за достъп до лични данни, което представлява нарушение на чл.12, параграф3 от Регламент 2016/679. Твърдението на Е.К., че е налице произнасяне с Решение №****, което е изпратено на жалбоподателя, е недоказано. В становището на Е.К. е посочено, че изпратеното до жалбоподателя решение е върнато като непотърсено. Вследствие на това твърдение, от администратора е поискано доказателство в подкрепа на това твърдение, но такова не е представено, което навежда на извода, че решението на администратора е изготвено за целите на административното производство.

С допълнение към жалбата се оспорва и съдържанието на отговора на искането за достъп до лични данни, обективирано в Решение №****, с което е отказан за достъп до личните данни.

Заявлението за достъп до лични данни се състои от две части.

В първата част се иска информация за това какви лични данни обработва администратора, за какви цели, на какво основание и за какъв срок. Изисканото отговаря на информацията, която субектът на данни може да поиска по чл.15, ал.1 от Регламент 2016/679. Видно от решение №****, администраторът е посочил, че такава информация е изискана от него, но не отговаря конкретно на нито едно от исканията. чл.15, параграф1 от Регламент 2016/679 се посочва, че администратът следва да потвърди дали се обработват лични данни на субекта на данни и да предостави информацията по букви „а“– „з“, което в случая не е направено, с оглед на което е нарушена разпоредбата на чл.15, параграф1 от Регламента.

Във втората част от заявлението жалбоподателят иска от администратора да му бъдат върнати всички оригинални документи, съдържащи личните му данни, включително Удостоверение за завършен курс „Машинист на котли високо налягане III степен“ и Удостоверение за професионално обучение „Оператор на парни и водогрейни съоръжения“ част от професията „Огняр“. В тази част има произнасяне от администратора, с което се отказва достъп, тъй като с молбата не се иска достъп до лични данни, а се иска достъп до документи.

В чл.15, параграф3 от Регламент 2016/679 е посочено, че администраторът предоставя копие от личните данни, които са в процес на обработване. В случая се искат оригинални документи, които съдържат копие на личните данни на жалбоподателя. Не е налице основание за админстратора– бивш работодател да задържа тези документи в оригинал, с оглед на което с отказа си е допуснал нарушение на чл.15, параграф3 от Регламент 2016/679. Твърдението на Е.К., че документите са върнати при прекратяване на трудовото правоотношение, остава недоказано от дружеството.

При така констатираните нарушения жалбата следва да бъде уважена. Комисията разполага с оперативна самостоятелност, като в съответствие с предоставените ѝ функции преценява кое от корективни правомощия по чл.58, пар. 2 от Регламент 2016/679 да упражни. Преценката се основава на съображенията за целесъобразност и ефективност на решението при отчитане на особеностите на всеки конкретен случай и степента на засягане на интересите на конкретното физическо лице– субект на данни, както и на обществения интерес. Правомощията по чл.58, пар. 2, без тази по буква„и”, имат характера на принудителни административни мерки, чиято цел е да предотвратят или да преустановят извършването на нарушение, като по този начин се постигне дължимото поведение в областта на зашитата на личните данни. Административното наказание „глоба” или „имуществена санкция” по чл.58 пар. 2, буква„и” има санкционен характер. При прилагането на подходящата корективна мярка по член 58, пар. 2 от Регламента се взема предвид естеството, тежестта и последиците от нарушението, както и всички смекчаващи и отегчаващи отговорността обстоятелства. Оценката за това какви мерки са ефективни, пропорционални и възпиращи във всеки отделен случай отразява и целта, преследвана с избраната корективна мярка– предотвратяване или преустановяване на нарушението, санкциониране на неправомерното поведение или и двете, каквато възможност е предвидена в чл.58, пар. 2, буква„и” от Регламента.

За нарушенията по чл.15, параграф1 и 3 от Регламент 2016/679 Комисията намира, че следва да разпореди на Е.К. по чл.58, параграф2, буква„в“ от Регламента да изпълни исканията на субекта на данни да упражни правата си, което ще преустанови извършените нарушения и ще постигне дължимото от администратора поведение.

Комисията намира, че в допълнение към мярката по чл.58, параграф2, буква„в“ от Регламента за нарушението по чл.15, параграф1 и чл.12, параграф3 на админситратора следва да бъде наложено и административно наказание „имуществена санкция“ по чл.58, параграф2, буква„и“ от Регламента.

Мотивите за налагане на административно наказание „имуществена санкция” и неговия размер в съответствие с чл.83, параграф2 от Регламента, са следните:

Буква„а”– непроизнасянето по искане за достъп до лични данни в срок и неуведомяването на субекта на данни за отговора по него, както и липсата на конкретната дължима информация, води до възпрепятстване на субекта на данни да упражни редица други права по Регламент 2016/679– правото да оттегли съгласието си за обработване на личните му данни, ако то се основава на това (по чл.7 от Регламента), правото да поиска коригиране, изтриване, преносимост на данните, ограничаване на обработването им, възражение срещу обработване на данните за директен маркетинг, автоматизирано обработване или профилиране (чл. 16-22 от Регламент 2016/679) и др.;

Буква„б”– нарушението е извършено от юридическо лице, което не формира вина;

Буква„в”– в хода на производството не са доказани вреди;

Буква„г”– нарушението не се отнася до непредприемане на технически и организационни мерки;

Буква„д”– няма нарушение на сигурността на данните по смисъла на член 33 от Регламента или други свързани нарушения;

Буква„е”– има частично произнасяне след уведомяването за подадената в КЗЛД жалба, което обаче отново не отгаваря на изискванията;

Буква„ж”– нарушението не е за обработване на личните данни, а за нарушено право на достъп;

Буква„з”– след сезиране на надзорния орган от субекта на данни;

Буква„и”– не са налагани мерки по чл.58, пар. 2 от Регламента или по ЗЗЛД преди Регламент 2016/679;

Буква„й”– няма одобрени кодекси за поведение;

Буква„к”– не са установени.

При така обсъдените обстоятелства в тяхната съвкупност, Комисията намира, че имуществената санкция следва да е в размер, близък до минималния.

В хода на производството е направено искане за присъждане на разноски от жалбоподателя. Предвид основателността на жалбата, разноските също следва да бъдат уважени.

Така мотивирана и на основание чл.38, ал.3 от ЗЗЛД, Комисията за защита на личните данни

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни, пред Административен съд София– град.