Решение по жалба с рег. № ППН-01-1746/12.11.2019 г.

Комисията за защита на личните данни („Комисията”/„KЗЛД”) в състав: Председател– Венцислав Караджов и членове– Цанко Цолов и Мария Матева, на редовно заседание, проведено на 09.12.2020г., на основание чл.10, ал.1 от Закона за защита на личните данни във връзка с чл.57, параграф1, буква„е” от Регламент 2016/679, разгледа по основателност жалба рег. №ППН-01-1746/12.11.2019г., подадена от В.С.

Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).

Г-жа В.С. моли да бъде разгледана подадената от нея жалба срещу Контактен центьр за полицейско и митническо сътрудничество– Промахон. Счита, че същият е нарушил правата ѝ, като е дал неправомерно личните ѝ данни и я е идентифицирал като лице, срещу което е образувано впоследствие наказателно преследване.

Жалбоподателката посочва, че на 24.02.2018г. е сезирана гръцката полиция от гръцката гражданка К.С., която дала показания за извършено престъпление през социалната мрежа– Facebook. Някой е изполвал името на нейния профил и представяйки се за нея заявява, че се намира на територията на България и има личен проблем, поради който се нуждае от превод на 250 евро по сметка чрез WESTERN UNION с данни на вложител ****** и телефон за контакт **********.

От полицейската служба е поискана информация от Контактен център за полицейско сътрудничество при отдел паспортен „Промахон”, при което е върнат отговор с документ №***, според който вероятен резултат е получен за гражданин на Република България с данни **************.

Без абсолютно никаква аргументация относно начина на идентифициране на лицето и още повече, че за това име и фамилия съществуват над 100 резултата, гръцките власти повдигат обвинение срещу г-жа В.С.

Първото констатирано от жалбоподателката нарушение е, че тази служба няма правомощието да дава лични данни на физически лица, освен на изрично посочените основания в чл.4 от „Споразумението между правителството на Република България и Република Гърция за изграждане и функциониране на контактен центьр за сътрудничество” (Приложение №2 от Споразумението). За разследването, което се е водило в този случай– опит за измама, не е предвиден ред за предоставяне на информация и даване на лични данни чрез Контактен център– Промахон. Отделно от горното, за физически лица с двете имена на жалбоподателката излизат над 100 резултата, а този номер, който е посочен, не е бил свързван никога с нея и при набиране излиза, че такъв номер няма.

Тези две основания– че службата е превишила правомощията си да дава лични данни и второто нарушение, че са определени на база две имена и несъществуващ телефонен номер или при липсваща обосновка как и защо този номер е обвързан с конкретното име и са предоставени лични данни, жалбоподателката счита за достатьчни основания да се извърши проверка от КЗЛД и да се констатира нарушението от съответния служител.

В условията на залегналото в административния процес служебно начало и в изпълнение на чл.26 АПК, за започване на производството е уведомен заинтересованият орган– министърът на вътрешните работи, който съгласно ЗМВР е администратор на лични данни. Предоставена е възможността по чл.34, ал.3 АПК за изразяване на становище с относими доказателства по предявените в жалбата твърдения. В Комисията постъпи отговор за неоснователност на жалбата.

Пълномощник на министъра посочва, че Контактен център– Промахон е създаден от Правителството на Република България и Правителството на Република Гърция за сътрудничество между органите на гранична охрана полицията, митниците и службите за административен контрол на чужденците. Дейността му е организирана в споразумение, утвърдено с Решение №380 от 17 юни 2008г. на Министерски съвет, в сила от 10 октомври 2009г. Обнародвано е в ДВ, бр. 8З от 20 октомври 2009г.

Видно от чл.2, ал.1 на Споразумението, Контактният център е разположен на територията на Република Гърция, Промахон. В раздел Пети на това споразумение са разписани подробни разпоредби, касаещи защитата на взаимно предоставяните лични данни и информация. Предвидено е, че предоставените данни не бива да се използват без одобрение на изпращащия орган за други цели освен за целите, за които са предоставени (чл. 13, т.1). Както е посочено и в писмото от ГДГП до г-жа В.С., предоставената информация е нямала за цел ползване от правоприлагащите органи на друга страна в хода на съдебно разследване. Вътрешноадминистративният ред в Република България е официалната информация в подобни случаи да бъде предоставена от Дирекция „Международно оперативно сътрудничество”– МВР или чрез процедура за правна помощ.

При предоставяне на информацията изрично е посочено, че „повече данни могат да бьдат изискани по изключение и само от компетентните власти сьгласно закона“.

В Контактен центьр– Промахон не е постъпвала информация за уточнения по така подадената оперативна информация, както и че представените данни ще се използват от други органи различни от компетентните, като се посочи всеки един от органите. Предоставената информация е била използвана неточно извън контекста на подаването ѝ от българска страна.

По отношение на нея е осъществено последващо обработване от гръцките власти, като същата е била е ползвана от орган, който не е компетентен съгласно споразумението, а именно съдебен орган на Република Гърция. Информацията е била използвана последващо и за цели, различни от целите, за които данните са предоставени, а именно с доказателствена стойност, когато тези данни не следва да се ползват като такива.

С оглед сигнала, г-жа В.С. е информирана от ГДНП, че е изготвена молба получените от гръцка страна данни по отношение на ************, да бъдат унищожени.

За да упражни правомощията си, Комисията следва да бъде валидно сезирана.

Разглежданата жалба е съобразена с изискванията за редовност по чл.29 от АПК, чл.38, ал.2 от ЗЗЛД и по чл.28, ал.1 от Правилник за дейността на Комисията за защита на личните данни и нейната администрация (ПДКЗЛДНА)– налице са данни за жалбоподателя; естество на искането; дата на узнаване на нарушението; лице, срещу което се подава жалбата; дата и подпис.

Жалбата е процесуално допустима– подадена в срока по чл.38, ал.1 от ЗЗЛДот субект на данни с правен интерес. Същата има за предмет твърдение за нарушаване на права по Регламент 2016/679 или ЗЗЛД. С жалбата е сезиран компетентен да се произнесе орган– Комисията за защита на личните данни, която съгласно правомощията си по чл.10, ал.1 ЗЗЛД във връзка с чл.57, параграф1, буква„е” от Регламент 2016/679 разглежда жалби, подадени от субекти на данни. Налице са предпоставките за допустимост и по чл.27, ал.2 от АПК.

На проведено на 21.10.2020г. закрито заседание на Комисията жалбата е обявена за допустима и като страни в производството са конституирани: жалбоподател В.С. и ответна страна министърът на вътрешните работи, в качеството му на администратор на лични данни. Страните са уведомени за насроченото за 09.12.2020г. открито заседание за разглеждане на спора по същество.

От министъра на вътрешните работи са изискани:

1. Искането от гръцките власти за предоставяне на информация и отговор от органите на МВР;

2. Информация, по какъв начин по 2 имена и непълен телефонен номер са достигнали (идентифицирали) до жалбоподателката;

3. На какво основание са предоставени личните данни на гръцките власти;

4. Изпратената до гръцките власти молба за унищожаване на личните данни и отговор по нея.

Информацията и изисканите доказателства постъпиха по преписката.

На проведеното открито заседание страните не се явиха и не изпратиха представители.

При така установеното Комисията разгледа жалбата по същество, като я приема за неоснователна въз основа на следното:

С Регламент 2016/679 и Закона за защита на личните данни (ЗЗЛД) се определят правилата по отношение на защитата на физическите лица във връзка с обработването на личните им данни, както и правилата по отношение на свободното движение на лични данни. Целта е да се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни.

Предмет на жалбата е твърдение за неправомерно предаване на личните данни на жалбоподателката от Контактен център за митническо и полицейско сътрудничество – Промахон (накратко по-нататък „Контактния център“) на гръцки разследващи органи.

От фактическа страна се установи, че гръцки разследващи органи са поискали от Контактния център предоставяне на информация за лице ****** с телефонен номер **********. След справка в системата „Български документи за самоличност“ са установени над сто лица, отговарящи на посоченото име и фамилия. Тъй като посоченият телефонен номер е с тел. код на град В., е направена проверка относно лица с тези имена, живущи в района. По този начин е достигнато до жалбоподателката и за нея са предадени на гръцките власти следните данни: три имена, постоянен и настоящ адрес, данни за документ за самоличност, снимков материал, данни за криминалистическа регистрация и съдебно минало.

Информация за лицето е изискана и предадена във връзка с разследване по образувано наказателно производство в Република Гърция. Видно от представеното искане за предаване и отговора по него, предаването е извършено на 07.03.2018г. Следователно, приложими са разпоредбите на ЗЗЛД в редакцията им ДВ, брой 7 от 2018г., тъй като Директива (ЕС) 2016/680 на Европейския парламент и на Съвета е следвало да бъде транспонирана до 06.05.2018г. Към датата на предоставянето транспонирането на директивата с Глава осма от ЗЗЛД (изм. ДВ бр. 19 от 2019г.) не е било факт, а позоваване на разпоредбите на директивата (доколкото е възможно) преди изтичане на срока за транспониране, не е допустимо.

Съгласно чл.1, ал.6 от ЗЗЛД (прил. ред.), когато в рамките на полицейско или съдебно сътрудничество данни по ал.5, т.4 (наказателно производство) са получени от или са предоставени на държава-членка на ЕС, те се обработват при условията и по реда на този закон.

Чл.4, ал.1 от ЗЗЛД (прил. ред.) предписва, че обработването на лични данни е допустимо само в случаите, когато е налице поне едно от условията, посочени в т.1-7 или по ал.2.

Предвид статута на администратора, извършил обработването на личните– орган на власт, следва да се разгледа основанието по чл.4, ал.1, т.6 от ЗЗЛД (прил. ред.)– обработване, необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните.

Относими за случая са разпоредбите на Глава 3, Раздел II от ЗМВР, озаглавена „Опростен обмен на информация или данни с компетентни органи на държави– членки на Европейския съюз, с цел предотвратяване, разкриване и разследване на престъпления“– чл.108 и сл. от ЗМВР. Тези разпоредби са предвидени като мерки за изпълнение на Рамково решение 2006/960/ПВР На Съвета от 18 декември 2006 година за опростяване обмена на информация и сведения между правоприлагащите органи на държавите-членки на Европейския съюз (накратко по-нататък „Рамковото решение“).

Съгласно чл.108, ал.1 от ЗМВР (прил. ред ДВ, бр. 27 от 2014г.): „По реда на този раздел МВР чрез компетентна специализирана структура осъществява опростен обмен на информация или данни с компетентните правоприлагащи органи на държавите– членки на Европейския съюз, и държавите, прилагащи Шенгенското законодателство, с цел предотвратяване, разкриване и разследване на престъпления.“ В ал.2, т.1 е посочено, че „Министерството на вътрешните работи чрез компетентна специализирана структура може да предоставя информация или данни от информационните фондове на министерството.“

В чл.2, буква„а“ на Рамковото решение е дадено определение за „компетентен правоприлагащ орган“– национален полицейски, митнически или друг орган, който е оправомощен по националното право да открива, предотвратява и разследва престъпления или престъпна дейност, както и да упражнява власт и да предприема принудителни мерки в контекста на такива дейности.

Предвид горното следва да се разгледа статутът на Контактен център за полицейско и митническо сътрудничество– Промахон. Съгласно чл.7 и чл.8, ал.1 от Споразумение между правителството на Република България и правителството на Република Гърция за изграждане и функциониране на контактен център за сътрудничество между органите на граничната охрана, полицията, митниците и службите за административен контрол на чужденците, утвърдено с Решение №380 от 17 юни 2008г. на Министерския съвет, в сила от 10 октомври 2009г. (накратко по-надолу „Споразумението“), Контактният център няма статут на самостоятелно структурно звено на службите на двете страни и няма ръководни функции. Служителите на Контактния център са пряко подчинени на съответните регионални и централни структури на своята служба в съответствие с действащото им национално законодателство. В чл.3 на Споразумението като компетентен орган за прилагане на споразумението е посочена и Национална служба „Полиция“ (вече Главна дирекция „Национална полиция“– накратко ГДНП).

В чл.39, ал.1 от ЗМВР ГДНП е национална специализирана структура за осъществяване на дейностите по чл.6, ал.1, т.1 (оперативно-издирвателна) и т.3 (разследване на престъпления).

Горното води до извод, че макар Контактният център да е предал личните данни на жалбоподателката на гръцките разследващи органи, същите са обработени от името и на ГДНП, която е компетентен правоприлагащ орган по смисъла на чл.2, буква„а“ от Рамковото решение. Следователно, личните данни са предадени от български правоприлагащ орган на правоприлагащ орган на държава-членка на ЕС, въз основа на чл.108 и сл. от ЗМВР. Обработване на лични данни, което е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните, е условие за законосъобразното им обработване по чл.4, ал.1, т.6 от ЗЗЛД (прил. ред.).

В допълнение към горното, чл.6 от Рамковото решение посочва, че обменът на информация и сведения по рамковото решение може да се извършва чрез всеки един от съществуващите канали за международно сътрудничество в областта на правоприлагането, какъвто е и Контактният център.

Що се отнася до факта, че личните данни са предоставени въз основа на посочени от гръцка страна само две имена и телефонен номер, следва да се има предвид, че в отговора ясно е посочено, че не е възможно да бъде предоставена сигурна информация относно лицето. Компетентната структура на МВР не разполага с възможност да откаже предоставяне на информация, извън случаите по чл.110 от ЗМВР. Задължение на гръцките разследващи органи е да проведат всестранно и пълно разследване по случая и да съберат необходимите доказателства, които по несъмнен начин да установят извършителя на престъплението, преди предаването му на съда.

Така мотивирана и на основание чл.38, ал.3 от ЗЗЛД, Комисията за защита на личните данни

Настоящото решение може да бъде обжалвано в 14-дневен срок от връчването му чрез Комисията за защита на личните данни, пред Административен съд София– град.