Решение по жалба с рег. № ППН-01-169/02.03.2022 г.

Комисията за защита на личните данни в състав: Председател– Венцислав Караджов и членове– Цанко Цолов, Мария Матева, Веселин Целков, на редовно заседание, проведено на 12.10.2022г., на основание чл.10, ал.1 от Закона за защита на личните данни, чл.57, §1, б.„е” от Регламент 2016/679 и чл.40, ал.1 от Правилника за дейността на КЗЛД и на нейната администрация /ПДКЗЛДНА/ разгледа по основателност жалба №ППН-01-169/02.03.2022г., подадена от В.И.

Административното производство се развива по реда на Административнопроцесуалния кодекс /АПК/ и чл.38 от ЗЗЛД.

Комисията за защита на личните данни е сезирана с жалба №ППН-01-169/02.03.2022г., подадена от В.И. срещу телекомуникационен оператор (Т.О.) за неправомерно обработване на лични данни, за да бъде създаден профил на жалбоподателя в „приложение на Т.О.“

В жалбата се посочва, че от електронно съобщение, постъпило на 17.02.2022г. от емейл-1, е узнал, че документи, съдържащи негови лични данни /три имена, ЕГН, адрес, телефонен номер, имейл и саморъчен подпис/, са използвани са създаването на профил в „приложение на Т.О.“. Иницииращият документ не е подписан от него, поради което в същия ден е поискал разяснение от мобилния оператор, като е върнал отговор на емейл-1 и емейл-2, в който уведомява администратора, че не той е подписвал заявлението и предявява искане профилът да бъде анулиран. Жалбоподателят изпраща повторно възражение до емейл-2 на 23.02.2022г., като се свързва и с колцентъра на мобилния оператор, но казусът му не е бил разрешен.

В съответствие с чл.26, ал.1 от АПК страните са уведомени за образуваното административно производство, като са изискани представяне на становище и доказателства по случая.

В становището на Т.О. /писмо №ППН-01-169#5/22.06.2022г./ се посочва, че жалбоподателят е абонат на мобилния оператор, като се представя договор за предоставяне на мобилни услуги №*****, ведно с приложение №1 и №2 от 02.04.2018г. Дружеството разполага с алтернативна функционалност, в допълнение на конвенционалните опции за сключване на договор, която позволява извършване на поръчки посредством т.нар. “е-подпис на Т.О.“, представляващ поредица от действия– оторизация чрез мобилен телефон за връзка, поръчка чрез „приложение на Т.О.“, получаване на уникален идентификационен код за всяка отделна дейност. Въз основа на това към партидата на В.И. е добавена „бланка за съгласие“ относно описания механизъм за сключване на договор. Мобилният оператор не е отговорил на възражението на жалбоподателя, тъй като имейлът му е третиран като зловреден.

Администраторът посочва, че въз основа на резултатите от извършената вътрешна проверка е установено, че заявлението наистина не е подписано от В.И., предвид което са предприети мерки същото да бъде премахнато от неговата партида, за което представят системен екран. Според процесуалния представител на Т.О. за жалбоподателя не са настъпили неблагоприятни последици, доколкото случаят не касае извършването на услуга, респективно В.И. не дължи възнаграждение.

В предоставения срок за изразяване на становище на основание чл.34, ал.3 от АПК жалбоподателят посочва /писма с вх. №ППН-01-169#3/07.06.2022г. и №ППН-01-169#8/30.06.2022г./, че не е получил отговор от Т.О., но е удовлетворен, че администраторът е признал грешката си и че функционалността е деактивирана.

На основание чл.38, ал.1 от ПДКЗЛДНА Комисията се е произнесла с Решение по редовността и допустимостта на жалбата на закрито заседание, проведено на 20.07.2022г., а жалбата, като редовна и допустима, е взето решение да бъде разгледана по същество на 12.10.2022г. В административното производство са конституирани страните В.И.– жалбоподател и Т.О. с ЕИК *******– ответник. Страните са редовно уведомени за насроченото открито заседание за разглеждане на жалбата по същество.

В допълнителни становища на ответника /писма с вх. №ППН-01-169#13/17.08.2022г. и №ППН-01-169#15/06.10.2022г./ се посочва, че за твърдяното нарушение е узнато в хода на настоящото административно производство, като незабавно е извършена проверка и са предприети действия за преустановяване на нежеланите действия. Според администратора не е налице нарушаване сигурността на личните данни в Т.О. Разяснява се, че допълнителната функционалност се активира след идентификация на лицето във физическия магазин на Т.О. и подписване на документ за съгласие. В конкретния случай е установено, че подписът на бланката не е положен от жалбоподателя, тъй като служителят във физическия магазин не е спазил правилата за идентификация на физическото лице.

На проведеното открито заседание на КЗЛД, жалбоподателят не се явява и не се представлява. Ответникът, представляван от юрисконсулт Я.З., оспорва жалбата. Представя доказателства, както следва: Инструкция №1 за идентификация на лицата в Т.О.; Инструкция №10– преглед на жалби за злоупотреба с лични данни; Инструкция за идентификация на физическо лице с приложение; работа с чувствителна информация на Т.О.; протокол за проверка за спазване на правилата за работа с лични данни и друга чувствителна информация. Изразява мнение, че от представените доказателства е видно, че дружеството е взело всички възможни мерки. Потвърждава изразената позиция, че въз основа на извършената проверка е установено, че В.И. не е полагал подпис върху заявлението, респективно не е предоставил съгласие по смисъла на Регламента за обработване на лични данни за целите на функционалността „приложение на Т.О.“. Същата представлява алтернативен метод, с който лицето би могло да встъпва във или да прекратява договорни отношения с дружеството.

На въпрос на Комисията как е създаден въпросният профил при положение, че субектът на данни физически не се е явил в търговски обект на Т.О., а според собствените изисквания на администратора физическото лице следва безспорно да бъде идентифицирано, юрисконсулт Я.З. посочва, че не може да каже по какъв начин това се е случило, но поради това, че събитието е от м. февруари т.г. не се съхраняват видеозаписите от магазина. На въпрос на Комисията какви действия е предприел администраторът, така че да не се случва инцидент със сигурността на личните данни от такова естество, юрисконсулт Я.З. посочва, че администраторът се старае да минимизира шанса от злоупотреби, но не е възможно това да се подсигури на 100%. На въпрос на Комисията какви възможности дава т.нар. “е-подпис на Т.О.“ юрисконсулт Я.З. посочва, че това е алтернативен метод, с който биха могли да се сключват, изменят или прекратяват договори, като същият може да се активира само за съществуващи клиенти на Т.О. Посочва, че след като е установено нарушението на лични данни, са предприети допълнителни мерки.

На въпрос на Комисията дали при прекратяване или създаване на нов договор има някакви последващи действия за валидация юрисконсулт Я.З. посочва, че след подаване на заявка за сключване, промяна или прекратяване на договора, същият се визуализира като текст в приложението и абонатът може да изрази съгласието си чрез натискане на бутон /а не с полагане на саморъчен или електронен подпис/. Доколкото мобилният оператор е разписал процедура, че при сключване на нов договор и заявяване на нови услуги, както и при закупуване на устройства, се изпраща текстово съобщение с разписани условия, то субектът на данни би следвало да бъде уведомен за евентуално договорно правоотношение или за липсата на такова. На въпрос на Комисията как лицето е разбрало, че въпросната функционалност е активирана и дали получава хартиено копие от съответната документация, процесуалният представител на ответника посочва, че по процедура следва да се получи копие от документа, но в настоящия случай субектът на данни не е получил такова. Юрисконсулт Я.З., поддържайки предходните становища на администратора, посочва, че в конкретния случай не става въпрос за предоставяне на някаква нова услуга, въз основа на която да се генерират приходи за администратора или да се създадат нови правоотношения между страните, а се касае за алтернативен начин за изразяване на волеизявления в рамките на съществуващото правоотношение между страните. Личните данни на жалбоподателя са обработвани във връзка с действащото правоотношение между страните– договор за ползване на мобилни услуги, който жалбоподателят изпълнява надлежно и страните нямат претенции помежду си във връзка с изпълнението. В конкретното заявление не фигурират лични данни, по-различни от тези, които са обработвани на договорно основание. По никакъв начин чрез този метод не се е стигнало до сключването на договор, до предоставянето на услуга или до закупуването на устройства, нито са се променяли параметрите на съществуващата услуга. Според Я.З. не са настъпили вреди, нито са осъществени злонамерени действия по повод създадения метод на подписване. При проверката се е оказало, че заявката за създаване на профил не е подписана от жалбоподателя, след което алтернативната функционалност е заличена от профила на абоната. Счита, че от предоставените правила и процедури е видно, че мобилният оператор е предприел множество мерки, с които се старае да сведе до минимум както възможността за злоупотреби, така и повторност на подобни хипотези. По тези причини апелира Комисията да възприеме тезата, че не е налице нарушение, а при условията на евентуалност– че същото не е съществено.

В отговор на уточняващ въпрос на председателя на Комисията в какъв срок В.И. е подал жалба до администратора и по-конкретно дали това е сторено в двумесечния срок за съхраняване на кадрите от видеонаблюдението в търговския обект, юрисконсулт Я.З. посочва, че при проверката се е установило, че възражението до администратора от 23.02.2022г. срещу уведомлението от 17.02.2022г. е попаднало в папка „нежелана поща“ и поради това не е било разгледано, както и че според него администраторът не е бил сезиран с жалба. В отговор на уточняващ въпрос дали във вътрешните правила на администратора има изискване, ако се подаде жалба в срока на съхранение на видеокадрите, същите да бъдат запазени до приключване на разглеждания спор, юрисконсулт Я.З. посочва, че ако има жалба кадрите се запазват, стига към момента на подаването на жалбата и разглеждането ѝ този запис да бъде наличен, като практиката сочи, че жалбите се разглеждат ежемесечно.

Комисията обръща внимание на процесуалния представител на ответника, че защитната му теза, че личните данни на жалбоподателя са обработени на основание договора му с мобилния оператор, е невярна. В случая личните данни на В.И. не са обработени за целите, за които са събрани. Те са събрани на основание чл.6, §1, б.„б“ от Регламента, т.е. за целите на сключване на договор, като впоследствие са обработени за цел, различна от първоначалната– за създаването на допълнителна функционалност, чрез която могат да се правят алтернативни волеизявления от името на физическото лице, които биха могли да създадат съответните права и задължения за субекта на данни, дори и по независещи от него причини, както и без същият да е изразил съгласие по смисъла на Регламента. Юрисконсулт Я.З. посочва, че според него няма как да се стигне до сключване на договор, защото дори и да е активирана функционалността „приложение на Т.О.“, лицето трябва да влезе в профила си, като въведе паролата си. Когато се заяви подписване, промяна или прекратяване на такъв договор, се изпраща повторно SMS с код, който служи за верификация.

При така установеното от фактическа страна, от правна страна жалбата е допустима и основателна.

С Регламент 2016/679 и Закона за защита на личните данни се определят правилата за защита на физическите лица във връзка с обработването на личните им данни, както и правилата по отношение на свободното движение на лични данни, така че да бъдат защитени основни права и свободи на физическите лица и по-конкретно правото им на защита на лични данни.

Предмет на жалбата е твърдение за неправомерно обработване на лични данни чрез употребата им за цел, различна от тази за която са били първоначално събрани, а именно– съставяне на заявка и активиране на онлайн функционалността „приложение на Т.О.“, респективно създаването на т.нар. “е-подпис на Т.О.“, който не е равносилен на електронен подпис по смисъла на Закона за електронния документ и електронните удостоверителни услуги, но активирането му би могло да доведе до правни последствия за субекта на данни.

Ответната страна Т.О. е юридическо лице– администратор на лични данни по смисъла на чл.4, т.7 от Регламента и е обработвал личните данни на жалбоподателя чрез съвкупност от операции като съхранение и употреба за цели, различни от тези, които може да обоснове като легитимни, което представлява нарушение на чл.5, §1, б.„б“ от Регламента.

В случай че беше надлежно сезиран, администраторът не би могъл да се позовава на това, че имейлът на жалбоподателя е третиран като зловредна поща. Администраторът е длъжен да осигури надежден и сигурен канал за комуникация с клиентите си. От обстоятелство, че имейлът на В.И. евентуално е идентифициран като зловредна поща следва извод, че не са предприети подходящи организационни и технически мерки, доколкото имейлът е получен именно от електронния адрес, с който жалбоподателят е идентифициран от Т.О. Нещо повече– администраторът е имал други данни за кореспонденция със субекта на данни като телефонен номер и физически адрес, поради което е имал възможност да се свърже с лицето и да извърши насрещна проверка на информацията, която твърди, че представлява зловредна поща, но не го е сторил.

Между страните не се спори, че между тях е налице договорно правоотношение и че на това основание мобилният оператор първоначално е обработвал личните данни на лицето. В хода на съществуващото договорно правоотношение администраторът е продължил да обработва личните данни на субекта, като съществено е изменил заложената в договора цел– данните му /три имена, ЕГН, адрес, електронен адрес, телефонен номер и подпис/ са достъпени от служител в магазин на Т.О., след което са разпространени и използвани за генерирането на „Заявление-декларация за електронна идентификация и подписване на договори с електронен подпис“. Между страните няма спор, че заявлението не е подписано от жалбоподателя, респективно, че същият не е предоставил съгласие по смисъла на Регламента за използване на личните му данни за целите на допълнителната функционалност.

Администраторът на лични данни и ответник в настоящото производство се позовава на грешка, като признава, че субектът на данни не е бил надлежно идентифициран, както и че въпросната функционалност е била деактивирана на 15.06.2022г. в хода на извършена вътрешна проверка след подаване на жалбата /така напр. Приложение №2 към становище на Т.О. с вх. №ППН-01-169#5/22.06.2022г./. Доколкото между страните няма спор, че жалбоподателят не е подписал процесното заявление, както и поради това, че не са налице доказателства в обратната посока, следва извод, че личните му данни са използвани неправомерно за целите на създаване на допълнителната функционалност “е-подпис на Т.О.“. Същата, независимо, че не е равносилна на електронен подпис по смисъла на ЗЕДЕП, представлява механизъм за изразяване на волеизявления, въз основа на който администраторът на лични данни счита, че биха могли да възникнат, да се изменят или да се прекратят договорни правоотношения със субекта на данни. Въпросът дали този алтернативен метод на изразяване на волеизявления, верифицирането на които не се извършва нито чрез полагане на саморъчен подпис, нито чрез употреба на електронен подпис, е годен да породи гражданскоправни последици, не е предмет на произнасяне на Комисията.

Предвид гореизложеното, действията на администратора по обработване на личниданни са извършени в нарушение на принципа за „ограничение на целите“, регламентиран в чл.5, параграф 1, буква „б“ от Регламент 2016/679.

Администраторът е извършил проверка по случая и е установил, че не жалбоподателят е положил подпис върху заявлението и не той е предявил искане за активиране на онлайн функционалността на Т.О., като това е станало поради неспазване правилата за идентификация на субекта на данни във физическия магазин на мобилния оператор /така напр. Инструкция за идентифициране на клиенти в магазин на Т.О./. Същото представлява нарушение на принципа на чл.5, §1, б.„е“ от Регламента, поради това, че личните данни са обработени по начин, който не гарантира подходящо ниво на сигурност, включително защита срещу неразрешено обработване, което е сторено от служителя в магазина на администратора, а не от субекта на данни.

В хода на административното производство и в проведеното открито заседание за разглеждане на жалбата по същество се установи, че администраторът е нарушил собствените си правила за идентификация на физическите лица. Администраторът е узнал от възражението на субекта на данни още в същия ден, че В.И. не е подписвал декларацията, с която се иска активиране на допълнителната функционалност “е-подпис на Т.О.“, но не е предприел действия. Видно е, че възражението на субекта на данни и искането за анулиране на създадената функционалност е постъпило до официалните имейли за кореспонденция с Т.О. още в същия ден /17.02.2022г./. Администраторът не би могъл да се позовава на евентуални съмнения относно самоличността на лицето, от което изхожда искането, доколкото същият този администратор е могъл да извърши безспорна идентификация на субекта на данни преди да откаже да разгледа искането му. Доколкото към онзи момент не е бил изтекъл срокът за съхранение на записите от видеонаблюдението, администраторът е следвало, след като се увери в самоличността на субекта на данни, да предприеме съответните мерки по извършване на проверка по жалбата.

Видно от представените в откритото заседание доказателства администраторът разполага с вътрешни правила и процедури за защита на личните данни, но от предприетите действия по случая става ясно, че не е осъществен системен контрол. Извършената проверка е могла да се реализира на много по-ранен етап, в който администраторът е разполагал с възможността на провери видеокамерите в търговския обект, така че да може да удостовери, че В.И. не е бил вътре, респективно– че не е подписал заявката за активиране на допълнителната функционалност.

Независимо, че жалбоподателят незабавно е уведомил администратора за нежеланието си личните му данни да бъдат използвани за целите на алтернативния метод за комуникация с мобилния оператор чрез „приложението на Т.О.“, последният не е предприел необходимите действия за преустановяване на нарушението. Нарушението се дължи освен на липсата на съответните организационни и технически мерки, също така и на неоказването на достатъчен контрол върху дейността на служителите в магазина на Т.О., което не е позволило на администратора да обработи своевременно информацията и да извърши необходимите действия в разумен срок.

Несвоевременната проверка, която администраторът е извършил, всъщност е довела до неефективност на предприетите мерки. Същите не водят до превенция, каквито са изискванията на Регламента, поради което Комисията счита, че за да има превантивен и възпиращ ефект наложената мярка, следва на администратора да бъде наложена имуществена санкция. На същия администратор многократно са налагани корективни мерки, които да подобрят организационните и техническите условия при него. В настоящия случай е установено, че въведените правила не се спазват от служителите, което води до извод за извършено нарушение по чл.5, §1, б.„е“ и чл.24, §1 и §2 от Регламента, именно защото въвеждането на организационни и технически мерки включва и контролът по тяхното изпълнение.

Администраторът признава грешката си, като освен това става ясно, че мерките за безспорна идентификация на физическите лица, въведени от администратора, са се оказали неподходящи. Дори и да беше вярно обратното, по тяхното спазване не е упражнен необходимият контрол.

В отношенията между мобилния оператор и субекта на данни действията, извършени във функционалността „приложение на Т.О.“, имат силата на електронна идентификация и от тях биха могли да възникнат неблагоприятни правни последици за субекта на данни. Самият администратор не извършва последваща идентификация и верификация на евентуално извършените действия /натискането на бутон след „преглед“ на договора не представлява действие по идентификация на субекта на данни/. Независимо от това, следва да се отбележи, че не са възникнали неблагоприятни последици за субекта на данни, но не защото администраторът е предприел подходящи мерки, позволяващи безспорна идентификация на субекта на данни, а поради това, че В.И. не е встъпил в договорни правоотношения с администратора.

Комисията разполага с правомощия по целесъобразност, въз основа на които преценява кое от корективните правомощия по чл.58, §2 от Регламент 2016/679 да упражни. Нарушението, изразяващо се в обработване на лични данни за цели, несъвместими с първоначално създадените– неспазване на принципа на чл.5 §1, б.„б“ от Регламента, е преустановено с деактивирането на създадената функционалност “е-подпис на Т.О.“ на 15.06.2022г., поради което не биха могли да намерят приложение корективните правомощия на Комисията с предупредителен или преустановителен характер, а би следвало да се наложи административно наказание имуществена санкция по чл.58, §2, б.„и“ от Регламента.

При налагането на имуществена санкция надзорният орган е ограничен от съответните лимити по чл.83, §5, б.„а“, вр. с чл.5, §1, б.„б“ и б.„е“ от Регламента. В настоящия случай ефективна, пропорционална и възпираща мярка би била имуществена санкция в размер, близък до минималния– администраторът е поправил грешката си, субектът на данни не е претърпял вреди, а нарушението е преустановено в сравнително кратки срокове. Нарушението представлява обработване на лични данни на един субект на данни чрез съхранение и употреба за цели, различни от тези, за които личните данни са били първоначално събрани от администратора, като същото е продължило през относително кратък период от време /по малко от 4 месеца или от 17.02.2022г. до 15.06.2022г./. Личните данни на физическото лице не са се разпространили до лица, извън служителите на администратора. Независимо, че нарушението не е съпроводено с вреди за субекта на данни, това се дължи не на предприетите мерки от администратора, а на случайно събитие. От нарушението са могли да възникнат имуществени вреди за физическото лице. Чрез разкриването на профил в приложението биха могли да възникнат частноправни последици и не е вярно твърдението, че единствено съответният абонат може да ползва функционалността, доколкото Т.О. не извършва последваща идентификация на физическото лице, освен че в разглеждания случай не е извършил и предварителна такава.

Смекчаващо отговорността обстоятелство е, че администраторът е преустановил нарушението по собствена инициатива в хода на настоящото административно производство. Отегчаващо обстоятелство е, че администраторът не е предприел действия по възражението на субекта на данни, доколкото същият няма разписани ефективни механизми за последващ контрол или поне не е доказал наличието и спазването на такива.

Степента на отговорност на администратора следва да се категоризира като относителна висока, имайки предвид, че въведените от същия технически и организационни мерки, както и оказания контрол върху тях не са достатъчни, за да бъде избегнато или преустановено нарушението, предвид това, че поради липсата на подходящи организационни и технически мерки, и неупражняването на достатъчен контрол личните данни на лицето са били достъпени от служител в магазин на Т.О., същият ги е обработил за цели, несъвместими със законосъобразното обработване на лични данни и това е останало без съответните последствия.

Администраторът не е предприел необходимите мерки за преустановяване на нарушението след като още в същия ден и впоследствие на 23.02.2022г. субектът на данни е представил обратна комуникация на Т.О. /независимо, че същата не представлява искане за упражнява на права по Регламента/, че никога не подписвал документите, както и че не му е известно как личните му данни са попаднали в искането за използване на “е-подпис на Т.О.“. Нарушението не е преустановено, което говори, че администраторът няма подходящо разписани вътрешни механизми за превенция и за контрол по отстраняване на нарушения на сигурността на данните. Администраторът е осигурил съдействие на надзорния орган, за да бъде отстранено нарушението, като все пак е смекчил евентуалните неблагоприятни последици от него по отношение на субекта на данни, деактивирайки функционалността. В настоящата хипотеза администраторът не е реализирал преки или косвени финансови ползи, нито е избегнал загуби вследствие на нарушението /това не е станало поради предприетите мерки от администратора, а поради това, че функционалността не е била ползвана от физическото лице/.

Администраторът на лични данни Т.О. има предишни нарушения, свързани със сигурността на личните данни, нееднократно действията му са били обект на санкция от Комисията, която в редица свои решения е разяснявала приложението и смисъла на Регламента за защита на личните данни /така напр. в Решение №ППН-01-130/2019г. администраторът е санкциониран за несъобразяване с условията за предоставяне на съгласие от субекта на данни, а в Решение №ППН-01-313/2019г. на администратора е наложена санкция за неспазване на подходящи организационни и технически мерки/.

Предвид гореизложеното и на основание чл.38, ал.3 от ЗЗЛД Комисията за защита на личните данни

Имуществената санкцията следва да бъде изплатена в 14-дневен срок, считано от влизане в сила на настоящото Решение по следната банкова сметка на КЗЛД в БНБ:

IBAN: BG18BNBG96613000158601 BIC BNBGBGSD

Титуляр: Комисия за защита на личните данни, БУЛСТАТ 130961721,

в противен случай ще бъдат предприети мерки по принудително изпълнение.

Настоящото решение може да бъде обжалвано в 14-дневен срок от връчването му чрез Комисията за защита на личните данни пред Административен съд София– град.