РЕШЕНИЕ
№ППН-01-192/2017г.
София, 30.07.2018г.
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и членове: Цветелин Софрониев и Мария Матева на заседание, проведено на 09.05.2018г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни разгледа по същество жалба №ППН-01-192/29.11.2017г., подадена от Й.С.П.
Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).
Комисията за защита на личните данни е сезирана с жалба, подадена от Й.С.П. с изложени твърдения за неправомерно обработване на личните му данни от „МБАЛ-В.“ ЕООД.
Жалбоподателят информира, че от направена по електронен път справка чрез сайта на Национална агенция по приходите (НАП) установил, че в раздел „Справка за осигурителния доход за социално осигуряване по данни от декларации по наредба Н-8“ е посочено, че през месец юни 2017г. е получил възнаграждение от МБАЛ-В. ЕООД върху което е внесена сума по ДЗПО.
Жалбоподателят твърди, че никога не е работил в дружеството, категоричен е че не е сключвал трудов или друг договор с него, както и че не е получавал възнаграждение от болничното заведение.
Счита, че е налице злоупотреба с личните му данни, което уронва престижа му на лекар, професионалните му качества и етика и го поставя в неудобно положение пред настоящия му работодател – Университетска болница – Лозенец.
Към жалбата не са приложени доказателства.
В хода на производството г-н Й.С.П. допълва жалбата си и мотивиран от съдържанието на приложено копие на писмо от Изпълнителна агенция „Главна инспекция по труда“ твърдени неправомерно обработване на личните му данни и от страна на „А.С.К. УМБАЛ“ ЕООД, в хипотезата на предоставянето им, без негово знание и съгласие, на МБАЛ-В. ЕООД. Информира, че е бил в трудови правоотношения с „А.С.К. УМБАЛ“ ЕООД, същите прекратени на 25.05.2017г. и е категоричен, че не е уведомяван от бившия си работодател за предоставяне на данните му на „МБАЛ-В.“ ЕООД. Допълва че към дата на подадената в НАП информация за осигуряване, а именно за месец юни 2017г. вече не е бил служител на „А.С.К. УМБАЛ“ ЕООД и намира за недействителни договорите сключвани между двете дружества, по които е бил страна.
В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, от „МБАЛ-В.“ ЕООД и „А.С.К. УМБАЛ“ ЕООД са изискани становища по случая.
В отговор управителят на „МБАЛ-В.“ ЕООД представя заверено копие относими доказателства, в това число писмени обяснения по случая от него в качеството му управител на дружеството, на главния счетоводител и на оперативния счетоводител-деловодител на дружеството, граждански договор №*** и декларация към него, неподписани от изпълнителя – д-р Й.С.П., както и ведомости за заплати за юни 2017г.
От „А.С.К. УМБАЛ“ ЕООД е депозирано становище неоснователност и недоказаност на жалбата по отношение на дружеството.
С оглед изясняване на случая от правна и фактическа страна от НАП е изискана и в отговор е предоставена справка за актуалното състояние на всички регистрирани в агенцията трудови договори с жалбоподателя, както и справка-данни за осигуряване на жалбоподателя за периода 01.01 – 30.11.2017г.
В хода на производството и предвид обстоятелството, че за случая е сезирана и Изпълнителна агенция „Главна инспекция по труда“ от последната е изискана информация за извършена по случая проверка и резултатите от нея, както и заверено копие на дадени от управителя на дружеството писмени обяснения по случая и копие на представен по преписката договор №*****, съдържащ данни на жалбоподателя г-н Й.С.П. В отговор от Агенцията уведомяват, че извършената проверка не е установила данни за нарушения, свързани с материалната им компетентност и прилагат заверено копие на изисканите от КЗЛД документи.
Комисията за защита на личните данни е независим държавен орган, който осъществява защита на лицата при обработването на личните им данни и при осъществяване на достъпа до тези данни, както и контрол по спазването на Закона за защита на личните данни.
За да упражни правомощията си, Комисията следва да бъде валидно сезирана.
Жалба №ППН-01-192/29.11.2017г. съдържа задължително изискуемите реквизити, посочени в разпоредбата на чл.30, ал.1 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация, а именно: налице са данни за жалбоподателя, естеството на искането, дата и подпис, с оглед което същата е редовна.
Жалбата е процесуално допустима, подадена в срока по чл.38, ал.1 от ЗЗЛД от физическо лице с правен интерес. Същата има за предмет неправомерно обработване на личните данни на жалбоподателя от „МБАЛ-В.“ ЕООД във връзка с регистриран в НАП договор и подадена от дружеството декларация за социално осигуряване на жалбоподателя за месец юни 2017г. Предмет на жалбата са и твърденията за неправомерно обработване на личните данни на г-н Й.С.П., в хипотезата на предоставянето им от „А.С.К. УМБАЛ“ ЕООД на „МБАЛ-В.“ ЕООД за целите на договора.
С жалбата е сезиран компетентен да се произнесе орган – КЗЛД, която съгласно правомощията си по чл.10, ал.1, т.7 от ЗЗЛД разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по ЗЗЛД.
Наличието на администратор на лични данни е абсолютна процесуална предпоставка за допустимост на жалбата. В конкретния случай и предвид събраните по преписката доказателства е безспорно, че пасивно легитимираните в производството страни – „МБАЛ-В.“ ЕООД и „А.С.К. УМБАЛ“ ЕООД имат качеството на администратори на лични данни по отношение на жалбоподателя. От направена служебна справка в Електронния регистър на администраторите на лични данни и на водените от тях регистри се установи, че са регистрирани като администратор на лични данни съответно с идент. № 1873 и №411519.
На проведено на 14.03.2018г. заседание на Комисията жалбата е приета за процесуално допустима и като страни в производството са конституирани: жалбоподател – Й.С.П. и ответни страни – „МБАЛ-В.“ ЕООД и „А.С.К. УМБАЛ“ ЕООД, в качеството им на администратори на лични данни. Страните са редовно уведомени за насроченото за 09.05.2018г. открито заседание на Комисията за разглеждане на жалбата по същество и им е указано разпределянето на доказателствената тежест в процеса.
От „МБАЛ-В.“ ЕООД са изискани доказателства в подкрепа на твърденията, че данните на жалбоподателя са предоставени на лечебното заведение от „А.С.К. УМБАЛ“ ЕООД за „извършване на ФГС“, както и информация какъв е вида и обема на предоставените данни, кога и как са предоставени.
В отговор г-н Ч. твърди, че личните данни на жалбоподателя са предоставени от „А.С.К. УМБАЛ“ ЕООД по електронен път на служебния имейл на „МБАЛ-В.“ ЕООД и уточнява, че копие на личната карта на жалбоподателя е предоставена на 05.07.2017г., а на 29.06.2017г. са предоставени издадени на жалбоподателя дипломи за завършени висше образование и за специалност, сертификат и удостоверение от Български лекарски съюз. В подкрепа на изложеното е приложена заверена разпечатка на съдържанието на получените от „А.С.К. УМБАЛ“ ЕООД имейли и прикачените към тях файлове.
На жалбоподателят, както и на „А.С.К. УМБАЛ“ ЕООД е предоставено заверено копие на изразеното от „МБАЛ-В.“ ЕООД становище ведно с приложенията към него, като на адресатите е предоставен 7-дневен срок да изразят становище по него, да правят искания и/или възражения по доказателствата.
В oтговор г-н Й.С.П. информира, че поддържа жалбата и твърденията си посочени в нея, че предоставянето на личните му данни от „А.С.К. УМБАЛ“ ЕООД на „МБАЛ-В.“ ЕООД и обработването им от последното за изготвяне и регистриране в НАП на граждански договор е без него знание и съгласие. В тази връзка и предвид големия обем от лични данни които са обработени без правно основание от лечебните заведения моли Комисията да ангажира административно-наказателната отговорност и на двата администратора на лични даннипредвид високата обществена опасност на действията им касаещи освен нарушение на правата му по ЗЗЛД, така и „манипулиране на системата на финансиране на здравното осигуряване“.
От „А.С.К. УМБАЛ“ ЕООД не е изразено становище по доказателствата предстaвени от„МБАЛ-В.“ ЕООД.
На проведено на 09.05.2018г. заседание на Комисията, жалбата е разгледана по същество.
Жалбоподателят – редовно уведомен, явява се лично и чрез адвокати С.С. и А.А. от Софийска адвокатска колегия, които поддържат жалбата и молят Комисията да я уважи, като основателна и доказана.
„МБАЛ-В.“ ЕООД – редовно уведомено, не се представлява.
„А.С.К. УМБАЛ“ ЕООД – редовно уведомено, представлява се от юрисконсулт И. с пълномощно по преписката. Процесуалният представител на дружеството поддържа изразеното в хода на производството писмено становище, моли Комисията при постановяване на решение по основателност на жалбата да съобрази факта, че нарушението е първо за лечебното заведение и от него не са настъпили вреди за жалбоподателя.
В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл.7 от АПК, изискващ наличието на установени действителни факти, имайки предвид събраните доказателства и наведените твърдения, Комисията приема, че разгледана по същество жалба №ППН-01-192/29.11.2017г. е основателна по отношение и на двата администратора на лични данни – „А.С.К. УМБАЛ“ ЕООД и „МБАЛ-В.“ ЕООД.
Същата има за предмет неправомерно обработване на личните данни на жалбоподателя от „МБАЛ-В.“ ЕООД във връзка с регистриран в НАП договор и подадена от дружеството декларация за социално осигуряване на жалбоподателя за месец юни 2017г. Предмет на жалбата са и твърденията за неправомерно обработване на личните данни на г-н Й.С.П., в хипотезата на предоставянето им от „А.С.К. УМБАЛ“ ЕООД на „МБАЛ-В.“ ЕООД за целите на договора.
От събраните по преписката доказателства се установи, а и между страните не е спорно, че жалбоподателят е бил в трудови правоотношения с „А.С.К. УМБАЛ“ ЕООД в периода 05.01.2016г. – 25.05.2017г., във връзка с които г-н Й.С.П. е предоставил на лечебното заведениеличните си данни – имена, ЕГН, адрес, както и копие на документи свързани със спецификата на изпълняваната от него длъжност, а именно диплома за завършено висше образование по специалност „Медицина“, Свидетелство за призната специалност по Гастроентерология и Удостоверени за членство в Българския лекарски съюз.
Видно от събраните доказателства е, че на 29.06.2017г. „А.С.К. УМБАЛ“ ЕООД по електронен път от имейл адрес **** e предоставило на „МБАЛ-В.“ ЕООД на служебния имейл адрес – ****** копие на издадени на жалбоподателя документи, съдържащи личните му данни, а именно – диплома за завършено висше образование по специалност „Медицина“, Свидетелство за призната специалност по Гастроентерология и Удостоверени за членство в Българския лекарски съюз. На 05.07.2017г. от имейл адрес **** до имейл адрес ****** е предоставено копие на личната карта на жалбоподателя. Твърденията, че посочените имейл адреси са съответно ползвани от „А.С.К. УМБАЛ“ ЕООД и „МБАЛ-В.“ ЕООД не са оспорени.
Съдържащите се в документите данни за жалбоподателя, безспорно имат характера на лични данни по смисъла на чл.2, ал.1 от ЗЗЛД, тъй като чрез тях лицето може безспорно да бъде индивидуализирано, а действията по предоставянето им е форма на обработване на съдържащите се в тях лични данни и като такова следва да се извършва в съответствие с разпоредбите на ЗЗЛД и в частност в изпълнение на чл.23, ал.1 от ЗЗЛД.
Цитираната разпоредба задължава администратора на лични данни да предприеме необходимите технически и организационни мерки за да защита на данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване в това число и от незаконно предоставяне и употреба.
Твърденията на жалбоподателя, че личните му данни са обработени, в хипотезата на предоставяне от„А.С.К. УМБАЛ“ ЕООД на „МБАЛ-В.“ ЕООД без негово знание и съгласие кореспондират със събраните по преписката доказателства. Въпреки предоставената на „А.С.К. УМБАЛ“ ЕООД правна възможност дружеството не е ангажирало доказателства в обратна насока.
С оглед разпределяне на доказателствената тежест в процеса се налага извода, че подадената от г-н Й.С.П. жалба е основателна и личните данни на жалбоподателя са обработени – предоставени от „А.С.К. УМБАЛ“ ЕООД на „МБАЛ-В.“ ЕООД в нарушение на чл.23, ал.1 от ЗЗЛД – без администраторът на лични данни да е предприел технически и организационни мерки за защита на личните данни на жалбоподателя, в резултата на което са нарушени правата на лицето сезирало КЗЛД.
В рамките на оперативната си самостоятелност Комисията счита, че с оглед характера на констатираното нарушение налагането на принудителни административни мерки (задължително предписание или определяне на срок за отстраняване на нарушението) е нецелесъобразно и мерките са неприложими в случая, предвид обстоятелството че нарушението е довършено с акта на своето извършване и е неотстранимо. Даването на срок за отстраняване на нарушението се явява безпредметно. То, като принудителна административна мярка е приложимо в хипотеза, в която продължава извършването на съответното нарушение или същото е отстранимо. В настоящия случай, както беше отбелязано, това е невъзможно.
Комисията за защита на личните данни разполага с правомощие да даде задължително предписание на администратора на лични данни, но то касае ситуации в които, администраторът не е изпълнил свое задължение, който пропуск може да санира, като в предоставения му срок извърши пропуснатите действия и обективира изискваното от закона поведение.
Единствено имуществената санкция, като мярка на административна принуда, се явява най-целесъобразна и ефективна мярка. Следва да се отбележи, че освен чисто санкционна мярка, реакция на държавата към извършеното нарушение на нормативно установените правила, имуществената санкция има и дисциплиниращо действие, с оглед неизвършването на същото нарушение за напред. Администраторът е длъжен да познава закона и да спазва неговите изисквания, още повече, че той дължи необходимата грижа, предвидена в ЗЗЛД и произтичаща от предмета му на дейност, кадровия и икономически ресурс.
Мотивирана от горното и в рамките на оперативната си самостоятелност Комисията налага на администратора на лични данни – „А.С.К. УМБАЛ“ ЕООД административно наказание за нарушение на разпоредбите на ЗЗЛД, като счита, че същото ще има възпитателно въздействие и ще допринесе за спазване от страна на администратора на установения правен ред. При определяне на размерът на административното наказание Комисията отчита като утежняващо обстоятелство и основание за налагане на санкция над минимума предвиден в закона за това нарушение големия обем от лични данни на жалбоподателя предоставен от дружеството на „МБАЛ-В.“ ЕАД, включително и копие на документ за самоличност на лицето.
Следва да се отбележи, че в хода на производството се установи и друго нарушение на разпоредбите на ЗЗЛД от страна на „А.С.К. УМБАЛ“ ЕООД, а именно съхранение на копие от документ за самоличност на жалбоподателя във връзка с трудовоправните отношения между страните. Последното е в нарушение на принципите на които следва да се основава обработването на лични данни и в частност на принципа на пропорционалност на данните посочен в чл.2, ал.2, т.3 от ЗЗЛД съгласно които обработваните данни следва да са съотносими, свързани и ненадхвърлящи целите, за които се обработват. В тази връзка Комисията счита за целесъобразно да укаже на дружеството, че следва да унищожи съхраняваното копие на лична карта на жалбоподателя, предвид обстоятелството, че събирането от страна на работодателя и съхранението на копие от документ за самоличност в трудовото досие на работниците и служителите е несъотносимо и надхвърля целите за които се обработват данните на работника, а именно във връзка с трудовоправните отношения между тях.
От събраните по преписката доказателства се установи нарушение на правата на жалбоподателя и от страна на „МБАЛ-В.“ ЕООД. Личните данни на жалбоподателя в обем от три имена, ЕГН, адрес и номер на лична карта са обработени от „МБАЛ-В.“ ЕООД за съставянето на граждански договор №***** между страните: Възложител – МБАЛ-В.“ ЕООД и Изпълнител – Й.С.П. с предмет „консултации като гастроентеролог“, който не е подписан от г-н Й.С.П. Не е спорно също, че във връзка с договора на 07.08.2017г. дружеството е предоставило в НАП лични данни – имена и единен граждански номер за осигуряване на жалбоподателя във връзка с договора на 01.06.2017г.
Обработването на лични данни на жалбоподателя от „МБАЛ-В.“ ЕООД, в посочените по-горе хипотеза – употреба за съставяне на граждански договор, съхранение и предоставяне в НАП са в нарушение на чл.4, ал.1 от ЗЗЛД – извършени са без съгласието на жалбоподателя и без да е налице нито едно от останалите условия за допустимост на обработването посочени в чл.4, ал.1, т.1, 3, 4, 5, 6 и 7 от ЗЗЛД.
Предвид обстоятелството, че нарушението е първо за администратора на лични данни – „МБАЛ-В.“ ЕООД, както и предвид факта, че данните са предоставени на държавен орган НАП, който вече разполага с тях, във връзка с други регистрирани s лицето договори, Комисията счита за целесъобразно да издаде задължително предписание на „МБАЛ-В.“ ЕООД в изпълнение на разпоредбите на ЗЗЛД и задължението му за законосъобразно обработване на лични данни, предоставянето на лични данни на физически лица на НАП във връзка с регистрацията на договори и подаване на данни за осигуряване да става след сключване на съответния трудов или гражданскидоговор между страните.
Водима от горното и на основание чл.10, ал.1, т.7, във връзка с чл.38, ал.2 от Закона за защита на личните данни, Комисията за защита на личните данни,
РЕШИ:
1. Обявява жалба №ППН-01-192/29.11.2017г. за основателна.
2. На основание чл.42, ал.1 от ЗЗЛД налага на „А.С.К. УМБАЛ“ EOOД с ЕИК ***** със седалище и адрес на управление гр. *****, в качеството му на администратор на лични данни имуществена санкция в размер на 1000 лв. (хиляда лева) за нарушение на чл.23, ал.1 от ЗЗЛД.
3. На основание чл.38, ал.2 от ЗЗЛД за нарушение на чл.4, ал.1 от ЗЗЛД издава на „МБАЛ-В.“ ЕООД с ЕИК ***** със седалище и адрес на управление
гр. *****, в качеството му на администратор на лични даннизадължително предписание в изпълнение на разпоредбите на ЗЗЛД и задължението му за законосъобразно обработване на лични данни, предоставянето на лични данни на физически лица в НАП и НОИ, във връзка с регистрацията на трудови договори и подаване на данни за осигуряване, да става след сключване на съответния трудов или гражданскидоговор между страните.
гр. *****, в качеството му на администратор на лични даннизадължително предписание в изпълнение на разпоредбите на ЗЗЛД и задължението му за законосъобразно обработване на лични данни, предоставянето на лични данни на физически лица в НАП и НОИ, във връзка с регистрацията на трудови договори и подаване на данни за осигуряване, да става след сключване на съответния трудов или гражданскидоговор между страните.
Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд – София – град.
След влизане в сила на решението, сумата по наложените наказания да бъде преведена по банков път:
Банка БНБ – ЦУ
IBAN: BG18BNBG96613000158601
BIC BNBGBGSD
Комисия за защита на личните данни, БУЛСТАТ 130961721
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ | Цветелин Софрониев /п/ | |
| Мария Матева /п/ |
