Решение по жалба с рег. № ППН-01-151/12.03.2018 г.

Комисията за защита на личните данни (КЗЛД) в състав: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков на заседание, проведено на 10.04.2019г., на основание чл.10, ал.1 от Закона за защита на личните данни, респективно чл.57, §1, буква„е“ от Регламент(ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Регламента), разгледа по същество жалбa №ППН-01-151/12.03.2018г. подадена от Е.М.

Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).

Комисията за защита на личните данни е сезирана с жалба, подадена от Е.М. с изложени в същата твърдения за неправомерно обработване на личните му данни, а именно предоставянето му без негово знание и съгласие от финансова институция АД (Ф.И. АД) на финансова институция ЕООД (Ф.И. ЕООД) във връзка със сключен между страните договор за кредит.

Жалбоподателят информира, че на 15.09.2017г. кандидатствал за отпускане на кредит от Ф.И. АД чрез заявка направена чрез сайта ***. Допълва, че още същият ден с него се свързал служител на дружеството, за да извърши проверка и да oдобри заявката за кредита. Г-н Е.М. сочи, че по искане на кредитният консултант му продиктувал получения на мобилният си телефон потвърдителен код, в отговор на което бил уведомен, че кредита е одобрен. Допълва, че получил на имейла си **** образователно писмо и договор №****, изпратени от имейл *****Информира, че получил и имейл от ****** с договор и следното съдържание „Ако все още не сте потвърдили Договора за гарантирано получаване на парите до минути, отворете този линк и въведете получения SMS код“. Жалбоподателят твърди, че не е въвеждал получения от него потвърдителен коди допълва, че от получения SMS съдържащ кода не ставало ясно, че с въвеждането му се сключва договор за предоставяне на поръчителство. Твърди, че е предоставил кода само на кредитния консултант на Ф.И. АД с който разговарял и не бил уведомен, че през потвърждаването му ще сключи договор за поръчителство с Ф.И. ЕООД.

Твърди, че личните му данни са предоставени от Ф.И. АД на Ф.И. ЕООД и използвани са сключване на договор за предоставяне на поръчителство, без негово знание и съгласие, в резултат на което за него са настъпили имуществени вреди, които установил при погасяване на договора предсрочно на 16.01.2018г.

Към жалбата са приложени относими доказателства.

В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, от Ф.И. АД на Ф.И. ЕООД са изискани писмени становища и относими по случая доказателства.

В отговор от Ф.И. АД оспорват жалбата и молят Комисията да я остави без уважение, като неоснователна. Информират, че жалбоподателяте клиентна дружеството, във връзка с сключени3 (три)договора за кредит с Ф.И. АД, последният от който предмет на жалбата е погасенпредсрочно на 16.01.2018г.

Сочат, че договор за кредит №****, ведно с Приложение 1 към него, приложими към дата на сключване на договора Общи условия за предоставяне на кредита и Стандартен европейски формуляр е заявен на 15.09.2017г. от Жалбоподателя, чрез заявление за отпускане на кредит за кредитния продукт „****“. Допълват, че договорът е заявен потелефон, съгласно реда и условията, уговорени в т.III.3 ОУ, в това число, жалбоподателят е заявил гарантиран кредит по смисъла на §20 от ОУ и чл.4, ал.1 от Договора. Твърдят, че жалбоподателят сам е избрал да обезпечи изпълнението на задължениятасипосключения между него и Ф.И. АД договор, като осигури поръчителство от трето лице, като е имал възможност да избере необезпечен кредит или да предостави банкова гаранция.

Към становището са приложени относими доказателства.

В хода на производството Ф.И. ЕООД ангажират становище за неоснователност на жалбата, с приложени към него относими доказателства. Информират, че на 15.09.2017г. жалбоподателят е подписал договор за кредит с Ф.И. АД за сумата от 600,00лв., по силата на които дружеството следва да предостави на жалбоподателя заемната сума при договорените условия, след предоставяне на обезпечение на задълженията на жалбоподателя по договора за кредит под формата на поръчителство, под условие, че подаденото от жалбоподателя заявление е одобрено.

След подаване на заявка за кредита, жалбоподателят е подписал договор за предоставяне на поръчителство на 15.09.2017г. с Ф.И. ЕООД „Договор за предоставяне на поръчителство“. Договорът за предоставяне на поръчителство е подписан от разстояние при спазване на изискванията на Закона за електронния документ и електронния подпис, като жалбоподателят е използвал индивидуално генерирания петцифрен код за достъп, получен чрез кратко съобщение на посочения от него телефонен номер, а именно – ******. В допълнение сочат, че на посочения от жалбоподателя електронен адрес **** е получил автоматичен е-майл с приложен договора за предоставяне на поръчителство. Информиарт, че по силата на така подаденото заявление и сключен договор за кредит, Ф.И. ЕООД е получил от Ф.И. АД личните данни на жалбоподателя с оглед извършване на оценка на кредитоспособността му във връзка със сключването на договора за предоставяне на поръчителство. Считат че не е налице нарушение на правата на жалбоподателя и законосъобразност при обработване на личните му данни за целите на договора за поръчителство и в тази връзка молят Комисията да остави жалбата без уважение, като неоснователна.

Комисията за защита на личните данни е независим държавен орган, който осъществява защита на лицата при обработването на личните им данни и при осъществяване на достъпа до тези данни, както и контрол по спазването на ЗЗЛД и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни

Жалбата съдържа задължително изискуемите реквизити, посочени в разпоредбата на чл.30, ал.1 от ПДКЗЛДНА- налице са данни за жалбоподателя, естеството на искането, дата и подпис, с оглед което същата е редовна.

Жалбата е процесуално допустима, подадена в срока по §44, ал.2 от Преходните и заключителни разпоредби на ЗЗЛД от физическо лице с правен интерес срещу надлежна страна– администратори на лични данни, каквото качеството Ф.И. АД на Ф.И. ЕООД безспорно притежават по отношение на жалбоподателя по смисъла на чл.4, ал.7 от Общия регламент ЕС 2016/679 и чл.3 от ЗЗЛД и предвид събраните по преписката доказателства.

Жалбата има за предмет неправомерно обработване на личните данни на жалбоподателя в хипотезата на предоставянето им от Ф.И. АД на Ф.И. ЕООД и обработването им от последното за целите на сключен на 15.09.2017г. договор за предоставяне на поръчителство.

С жалбата е сезиран компетентен да се произнесе орган– КЗЛД, която съгласно правомощията си по чл.10, ал.1, т.7 от ЗЗЛД (отменен) респективно чл.57, §1, буква„е“ от Регламент (ЕС) 2016/679, разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица свързани с обработване на личните данни, като не е налице изключенията по чл.2, §2, буква„в“ и чл.55, §3 от Регламент (ЕС) 2016/679 предвид обстоятелството, че случая не касае дейности по обработване извършвани от физическо лице в хода на чисто лични или домашни занимания и/или дейности извършвани от съдилищата при изпълнение на съдебните им функции.

По изложените съображения и с оглед липсата на предпоставки от категорията на отрицателни по чл.27, ал.2 от АПК, на проведено на 20.02.2019г. заседание на Комисията жалбата е приета за процесуално допустима и като страни в производството са конституирани: жалбоподател– Е.М. и ответни страни Ф.И. АД и Ф.И. ЕООД, в качеството им на администратори на лични данни. Насрочено е открито заседание за разглеждане на жалбата по същество, за което страните са редовно уведомени.

С оглед изясняване на случая от правна и фактическа страна от Ф.И. АД е изискан запис на телефонният разговор проведен с жалбоподателя на 15.09.2017г. за сключване на процесния договор за кредит. В отговор и с придружително писмо ППН-01-151#12/18.03.2019г. дружеството представя записи на проведени с жалбоподателя телефонни разговори с допълнително уточнение относно процедурата за рефинансиране на задължения.

В хода на производството г-н Е.М. депозира писмено становище ППН-01-151#11/14.03.2019г. относно основателността на жалбата и прави доказателствени искания. С писмо ППН-01-151#13/25.03.2019г. на ответната страна Ф.И. ЕООД е предоставено заверено копие на цитираното писмено становище с указания в 7-дневен срок от получаването му да представи информация и доказателства по направените в т.3, 4, 5 и 6 от същото доказателствени искания.

В отговор е изразено становище №ППН-0-151#14/08.04.2019г. за неоснователност на жалбата с аргументи, че се касае за обработване на лични данни на жалбоподателя „още към 15.09.2017г.“ по предходен договор за поръчителство и „няма ново прехвърляне на лични данни“, а „дори и да има предоставяне на лични данни, то е законосъобразно с оглед даденото от г-н Е.М. съгласие с приемането на ОУ на Ф.И. АД, действащи към 15.09.2017г., вкл. XIV т.6.“ и последващите потвърдителни действия на жалбоподателя.

На проведено на 10.04.2019г. заседание на КЗЛД, жалбите са поставени за разглеждане по същество.

Жалбоподателят– редовно уведомен, не се явява, не се представлява.

Ответните страни– редовно уведомени, представляват се от П.С.– длъжностно лице по защита на данните с пълномощно представено в заседанието. Господин П.С. оспорва жалбата и моли Комисията да я остава без уважение, като поддържа изразените от дружествата писмени становища за неоснователността ѝ

В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл.7 от Административно-процесуалния кодекс, изискващ наличието на установени действителни факти, имайки предвид събраните писмени доказателства и наведените от страните твърдения Комисията приема, че разгледани по същество жалба ППН-01-151/12.03.2018г. е основателна.

При постановяване на решението е отчетена настъпилата, в периода от подаване на жалбата до разглеждането ѝ по същество, промяна в правната рамка в областта на защита на личните данни и факта, че от 25.05.2018г. се прилага Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и обстоятелството, че от 02.03.2019г. е в сила Закон за изменение и допълнение на Закона за защита на личните данни. Отчетен е и фактът, че Регламент (ЕС) 2016/679 има пряко действие, аюридически факти и породените от тях последици настъпили преди прилагане на Регламента, следва да се преценяват според материалния закон, който е бил в сила към момента на тяхното възникване. В конкретният случай такива са материалните разпоредби разписани в ЗЗЛД в редакцията преди 02.03.2019г., с оглед обстоятелството, че юридическите факти и правните последици свързани с обработването- предоставянето на данните и сключване на договора за поръчителство е извършено на 15.09.2017г. Отчетен е и факта, че разпоредбите на чл.2, ал.2, т.1 и 2 от ЗЗЛД (отменени, но действали към дата на осъществяване на обработването) кореспондират с разпоредбите на чл.5, ал.1, буква„а“ и „б“ от Регламента и не им противоречат.

В чл.2, ал.2 от ЗЗЛД (отменен), но приложим към момента на обработване, е предвидено задължението на администратора на лични данни да обработва личните данни в съответствие с принципите, посочени в цитираната разпоредба, а именно да обработва същите законосъобразно и добросъвестно, както и да събира същите за конкретни, изрично указани и легитимни цели и да не ги обработва допълнително по начин несъвместим с тези цели. В приложимия към момента на разглеждане на жалбата по същество и произнасяне на Комисията чл.5, ал.1 буква„а“ и „б“ от Регламента е разписано идентично задължение спрямо администратора.

Предмет на жалбата е неправомерно обработване, в хипотезата на предоставяне от Ф.И. АД на Ф.И. ЕООД, на личните данни на жалбоподателя в обем от три имена, единен граждански номер, адрес и номер на лична карта и обработването им– употребата им от Ф.И. ЕООД за целите на сключен с Ф.И. ЕООД договор за поръчителство, същия с дата 15.09.2017г., във връзка със сключен между г-н Е.М. и Ф.И. АД договор за кредит в размер на 600 лв. от същата дата.

Не е спорно между страните, а и от събраните по преписката доказателства се установи, че на 15.09.2017г. между жалбоподателя, в качеството му на кредитополучател, и Ф.И. АД, в качеството му на кредитор, е сключен договор за потребителски кредит №***** за сума в размер на 600 лв. Договорът е заявен по телефон, като за целите на сключването му жалбоподателят е предоставил доброволно личните си данни на дружеството. Екземпляр от договора, в едно с приложен към него стандартен европейски формуляр за предоставяне на информация за потребителски кредит и Общи условия на дружеството са предоставени на жалбоподателя на 15.09.2017г. в 14:15 часа на посочена от него електронна поща, а именно ******.

Безспорно се установи, че на посочения имейл още същият ден, няколко минути по-късно, а именно в 14:19 часа, жалбоподателят е получил електронно съобщение от Ф.И. ЕООД от имейл ***** съдържащ договор за предоставяне на поръчителство от дата 15.09.2017г. със страни Ф.И. ЕООД– поръчител и Е.М.– потребител. В договорът се съдържат три имена, единен граждански номер, адрес и номер на лична карта на жалбоподателя, последните обработени от Ф.И. ЕООД за изготвяне на договора. Не е спорно, че данните на жалбоподателя са предоставени от Ф.И. АД на Ф.И. ЕООД, а между дружествата е налице сключен договор запоръчителство, по който жалбоподателят не е страна.

Твърденията на жалбоподателя, че личните му данни са предоставени от Ф.И. АД на Ф.И. ЕООД без него знание и съгласие са основателни. Същите, макар и оспорени от ответните страни, се подкрепят от събраните по преписката доказателства. Видно от съдържанието на представените от Ф.И. АД записи на телефонни разговори е, че служител на Ф.И. АД е изискал от жалбоподателя да продиктува получен от същия по телефон уникален код за потвърждаване на договора за отпускане на кредит. В изпълнение на указаниятаг-н Е.М. е продиктувал получения чрез кратно текстово съобщение код– ****, а служителят на дружеството го е уведомил, че кредита е отпуснат с указания за дължими по договора вноски. Липсват доказателства жалбоподателят да е уведомен, че с предоставянето на кода за достъп личните му данни да бъдат предоставени на трето лице, различно от страните по договора за кредит, а именно за обезпечаване на задължението и сключване на договор за предоставяне на поръчителство между г-н Е.М. и Ф.И. ЕООД. Още по-малко липсва съгласие- свободно изразено, конкретно и информирано волеизявление по смисъла на §1, т.13 от ДР на ЗЗЛД (действали към дата на предоставяне на данните) от г-н Е.М., което да обоснове законосъобразност на действията по предоставяне на личните му данни от Ф.И. АД на Ф.И. ЕООД. Неоснователни са твърденията на представителя на Ф.И. АД, че „плащанията са признание за сключването на всеки от договорите (Договор за кредит и Договор за предоставяне на поръчителство), с което жалбоподателя пряко и недвусмислено заявява, че е бил задължен към Ф.И. АД и Ф.И. ЕООД именно по въпросните договори и същите надлежно са обработвали негови лични данни“.

От събраните по преписката доказателства се установява, че обработването не е извършено и в изпълнение на нормативно установено задължение на администратора на лични данни, не е необходимо за защита на живота и здравето на физическото лице, нито за изпълнение на задача в обществен интерес или за упражняване на правомощия, предоставени на администратора със закон, както и за реализиране на законните интереси на администратора, пред които интересите на физическото лице нямат приоритет. Налага се извода, че данните са обработени– предоставени незаконосъобразно– без наличие на условие за допустимост на обработването в нарушение на принципа на законосъобразност и добросъвестност посочен в чл.2, ал.2, т.1 от ЗЗЛД (отменен), респективно чл.5, ал.1 , буква„а“ от Регламента. Предвид обстоятелството, че данните са събраните от Ф.И. АД за целите на договора за кредит, а са обработени допълнително по начин несъвместим с тези цели, а именно– предоставени на Ф.И. ЕООД за сключване на договор за поръчителство, се налага извода, че обработването е в нарушен и на принципа по чл.2, ал.2, т.2 от ЗЗЛД (отменен), респективно чл.5, ал.1, буква„б“ от Регламента за „ограничение на целите“ на обработване на данните.

От събраните по преписката доказателства се налага извода за неправомерно обработване на личните данни на жалбоподателя и от страна на Ф.И. ЕООД. Личните данни на жалбоподателя са употребени за изготвяне на договор за предоставяне на поръчителство с дата 15.09.2017г., същия изпратен на жалбоподателя, без наличие на нито едно от посочените в разпоредбата на чл.4, ал.1 от ЗЗЛД (отменена), но действала към дата на нарушението, условия за допустимост и законосъобразност на обработването, респективно в нарушение на чл.6, ал.1 от Регламента. По преписката липсват доказателства в обратна насока, въпреки предоставената на дружеството изрична възможност да ангажира такива във връзка с направените от г-н Е.М. доказателствени искания в становище ППН-01-151#11/14.03.2019г.

Комисията счита, че корективните мерки по чл.58, §2, буква„а“, „б“,„в“, „г“, „д“, „е“, „ж“, „з“ и „й“ от Регламента са неприложими и нецелесъобразни в случая, предвид тежестта на нарушението и обстоятелството, че същото е довършено, като от него са произтекли и имуществени вреди за жалбоподателя.

Предвид характера и вида на констатираните нарушения, Комисията счита за целесъобразно, пропорционално и възпиращо налагането на корективна мярка по чл.58, §2, буква„и“ от Регламента, а именно налагане на имуществени санкции на администраторите на лични данни Ф.И. АД и Ф.И. ЕООД, като счита, че същите ще имат предупредително и възпиращо действие и ще допринесат за спазване от страна на администраторите на установения правов ред. Като освен чисто санкционна мярка, реакция на държавата към извършеното нарушение на нормативно установените правила, имуществената санкция има и дисциплиниращо действие. Администраторите са длъжни да познават закона и да спазват неговите изисквания, още повече, че дължат необходимата грижа, предвидена в ЗЗЛД и Регламента и произтичаща от предмета им на дейност, кадровия и икономически ресурс.

Комисията съобразявайки целта на наказанието, което следва да има възпираща и предупредителна функция, естеството и тежестта на наказанието, обществените отношения които засяга, категориите лични данни засегнати от нарушението, счита, че с оглед принципа на пропорционалност между тежестта на нарушението и размера на наказанието, наложените имуществени санкции следва да са в размер на 10000 лева– размер много под средния минимум предвиден в Регламента за тези нарушения, същия предвиден и в нормата на чл.42, ал.1 от ЗЗЛД за нарушение на чл.4, ал.1, респективно чл.2 от същия закон.

При определяне на размерът на санкцията и в съответствие с условията по чл.83, ал.2 от Регламента, Комисията съобрази, че нарушението е първо за администраторите, както и че се касае за нарушение на правата на едно лице.

Като утежняващи обстоятелства при определяне на размера на санкцията Комисията взе предвид, че няма данни за предприети от администраторадействия за смекчаване на последиците от вредите, претърпени от субекта на данните, както и обстоятелството, че администраторите не осъзнават извършените нарушение и не определят действията си като незаконосъобразни. Нарушението е довършено с акта на своето извършване и е неотстранимо, а същото е станало известно на КЗЛД в следствие сезирането ѝ от потърпевшото лице. Като утежняващо обстоятелство е отчетен и факта, че обработваните лични данни са в голям обем, а именно три имена, адрес, номер на лична карта и единен граждански номер на лицето, и същите са използвани за създаване на финансова обвързаност с Ф.И. ЕООД във връзка с договора за поръчителство. Обстоятелствата по чл.83, ал.2, буква„б“ и „и“ от Регламента са неотносими доколкото се касае за администратори на лични данни– юридически лица, които не формират вина, а към момента на извършване на нарушенията одобрени кодекси за поведение, респективно одобрени механизми за сертифициране не са въведени.

Водима от горното и на основание чл.38, ал.3 от ЗЗЛД, Комисията за защита на личните данни,

След влизане в сила на решението, сумата по наложените наказания да бъде преведена по банков път:

Банка БНБ– ЦУ, IBAN: BG18BNBG96613000158601, BIC BNBGBGSD

Комисия за защита на личните данни, БУЛСТАТ 130961721

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд София – град.