Решение по жалба с рег. № ППН-01-1416/23.08.2019 г.

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и членове: Цанко Цолов и Мария Матева на заседание, проведено на 26.02.2020г., на основание чл.10, ал.1 от Закона за защита на личните данни във връзка с чл.57, §1, буква„е“ от Регламент(ЕС) 2016/679, разгледа по същество жалба рег.№ППН-01-1416/23.08.2019г., подадена от Я.К.

Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).

Комисията за защита на личните данни е сезирана с жалба, подадена от Я.К. срещу Национална агенция за приходите (НАП), с предмет непроизнасяне по заявление за достъп до лични данни.

Жалбоподателят информира, че на 25.07.2019г. след направена справка чрез приложението на НАП https://check.nra.bg установил, че е потърпевш от „изтичането“ на лични данни от НАП, като в отговор на направена от него заявка до агенцията, с номер ****, бил уведомен с текстово съобщение, че „ИМА неправомерно разкрити лични данни“. Твърди, че на 31.07.2019г. подал до администратора на лични данни– НАП искане, на което не е получил отговор, за предоставяне на конкретна информация относно личните му данни които са достъпени и информация какви технически и организационни мерки е предприела агенцията да ограничи вредоносните последици от това. Моли комисията да извърши проверка по случая и да задължи НАП да му предостави изисканата информация.

Към жалбата не са приложени доказателства.

В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, от НАП са изискани относими по случая доказателства, предоставена е възможност за ангажиране на писмено становище.

В отговор е изразено становище за неоснователност на жалбата, с приложени към него доказателства. Информират, че на 31.07.2019г. в Централното управление на НАПе постъпило искане №*****, подадено от Я.К., относно предоставяне на информация за осъществен неоторизиран достъп до информационната система на НАП и по-конкретно за неправомерно разпространени лични данни на г-н Я.К. Твърдят, че в срока посочен в чл.12, ал.3 от Регламент ЕС 679/2016г., а именно едномесечен от подаване на искането, с писмо-отговор на Изпълнителният директор на НАП, същото с №*****#1/22.08.2019г., получено от г-н Я.К. на 27.08.2019г., на последният „е предоставена актуална информация относно упражняване на неговите права по повод осъщественото спрямо НАП компютърно престъпление.“

Комисията за защита на личните данни е независим държавен орган, който осъществява защита на лицата при обработването на личните им данни и при осъществяване на достъпа до тези данни, както и контрол по спазването на ЗЗЛД и Регламент(ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.

За да упражни правомощията си, Комисията следва да бъде валидно сезирана.

Жалбата съдържа задължително изискуеми реквизити – налице са данни за жалбоподателя, естеството на искането, дата и подпис, с оглед което същата е редовна.

Жалбата е процесуално допустима, подадена в срока по чл.38, ал.1 от ЗЗЛД от физическо лице с правен интерес срещу надлежна страна администратор на лични данни по смисъл чл.4, ал.7 от регламента. Сезиран е компетентен да се произнесе орган– КЗЛД, който съгласно правомощията си по чл.10, ал.1 от ЗЗЛД във връзка с чл.57, §1, буква„е“ от Регламент(ЕС) 2016/679, разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на субекти на данни свързани с обработване на личните данни, като не са налице изключенията по чл.2, §2, буква„в“ и чл.55, §3 от регламента предвид обстоятелството, че случая не касае дейности по обработване извършвани от физическо лице в хода на чисто лични или домашни занимания и/или дейности извършвани от съдилищата при изпълнение на съдебните им функции.

По изложените съображения и с оглед липсата на предпоставки от категорията на отрицателните по чл.27, ал.2 от АПК, на проведено на 22.01.2020г. заседание на КЗЛД жалбата е приета за допустима и като страни в производство са конституирани: жалбоподател– Я.К. и ответна страна– Национална агенция за приходите. Насрочено е открито заседание на 26.02.2020г. за разглеждане на жалбата по същество, за което страните са редовно уведомени. Жалбоподателят е информиран за депозираното от ответната страна писмено становище, заверено копие от което му е предоставено, като му е указана правната възможност да изрази становище по изложените от НАП твърдения и представените писмени доказателства, както и да сочи нови доказателства, да прави искания по доказателствата.

В хода на производството г-н Я.К. изразява становище по изложените от НАП твърдения, в което сочи, че липсва „адекватна реакция“ от страна на агенцията по поставените от него въпроси, а становището на НАП намира за „изпразнено от съдържание“.

На проведено на 26.02.2020г. открито заседание на КЗЛД, жалбата е разгледана по същество.

Страните – редовно уведомени, не се явяват, не се представляват.

В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл.7 от Административно-процесуалния кодекс, изискващ наличието на установени действителни факти, имайки предвид събраните доказателства и наведените от страните твърдения, комисията приема, че разгледана по същество жалба №ППН-01-1416/23.08.2019г. е неоснователна.

Предмет на жалбата е непроизнасяне по заявление за достъп до лични данни.

От събраните по преписката доказателства се установи, а и между страните не е спорно, че на 31.07.2019г. жалбоподателят Я.К. е подал до администратора на лични данни– НАП искане относно предоставяне на информация за осъществен неоторизиран достъп до информационната система на НАП и по-конкретно за неправомерно разпространените и достъпени лични данни на г-н Я.К. обработвани от НАП. Искането е заведено с вх. №№*****/31.07.2019г. по описа на НАП и видно от съдържанието му има характера на заявление по чл.15, §1 от Регламент ЕС 2016/679, с което е упражнено право на достъп до лични данни.

С писмо– отговор на Изпълнителният директор на НАП, същото с №*****#1/22.08.2019г., г-н Я.К. е уведомен за предприетите от НАП действия относно нерегламентирания достъп до информационната система на агенцията– за разработеното специално приложение достъпно на адрес https://check.nra.bg, чрез което всеки може да провери дали негови лични данни са станали обект на неоторизиран достъп, за практически съвети по темата, публикувани на сайта на НАП. В писмото се съдържа и информация за разработвано към 22.08.2019г. от НАП приложение, чрез което всяко физическо лице, ще може да получи информация за конкретния тип лични данни, които са били обект на неоторизиран достъп, с уточнението, че „такава справка ще може да се извърши в близките седмици“, като е посочено, че се извършва индивидуално съпоставяне на над 70млн. записи на данни, които са били неоторизирано достъпени, с реалните бази данни на НАП за установяване на установяване на евентуални промени или манипулации на данните. Посочено е, че „освен чрез приложението, информация гражданите могат да получат и във всички офиси на НАП след идентификация с лична карта“. Видно от представено по преписката копие на известие за доставяне №**** по описа на „М.Б.М.“ ООД писмото е получено от г-н Я.К. на 27.08.2019г., след сезиране на КЗЛД.

Неоснователни са твърденията на жалбоподателя за непроизнасяне в срок по заявлението за достъп до лични данни. Доколкото същото е получено на 31.07.2019г. относими са разпоредбите на ОРЗД и по-конкретно тези касаещи сроковете за произнасяне по искането – чл.12, §3 от ОРЗД. Съгласно същите администраторът предоставяне на субекта на данните информация относно действията предприети по искането без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. В конкретният случай искането е получено на 31.07.2019г. от администратора и в посочения едномесечен срок– на 27.08.2019г. субектът на данни е получил отговор на същото, като следва да се отбележи, че КЗЛД е сезира с жалба на 23.08.2019г., т.е преди изтичане на срока за произнасяне по искането. В тази връзка и предвид мащабите на неоторизирания достъп до лични данни в масивите на НАП, се налага извода, че отговорът е предоставен без ненужно забавяне.

Макар в отговорът да не се съдържа конкретна информация за личните данни на г-н Я.К., които са били обект на неоторизиран достъп, то същият удовлетворява изискванията на закона доколкото администраторът, в съответствие с чл.12, §2 от ОРЗД, съдейства на субекта на данни за упражняване на правата му, като му указва, че търсената информация може да получи във всеки офис на НАП след идентификация с лична карта. Отделно от това администраторът е изпълнил и задължението си по чл.12, §3 от ОРЗД като е информирал г-н Я.К. за действията предприети във връзка с искането, като е мотивирал същите и с необходимостта за извършва индивидуално съпоставяне на над 70 млн. записи на данни, които са били неоторизирано достъпени, с реалните бази данни на НАП за установяване на евентуални промени или манипулации на данните.

Информацията е предоставена в кратка, прозрачна, разбираема и лесно достъпна форма в съответствие с чл.12, §1 от ОРЗД. На жалбоподателят е предоставенавъзможност за достъп до изисканата от него информация, с оглед на което не може да се възприеме виждането, че достъпа до лични данни е възпрепятстван от администратора, още повече, че такива твърдения не са наведени от страна на г-н Я.К. Напротив, администраторът е въвел допълнителни гаранции, че достъпа ще се осъществява от субекта на данни, за които личните данни се отнасят, и същия ще е законосъобразен, като е въвел мерки за идентификация на субекта посредством представяне на лична карта за справка, на място в офис на НАП.

Водима от горното и на основание чл.38, ал.3 от Закона за защита на личните данни, Комисията за защита на личните данни,

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съдСофия – град.