Решение по жалба с рег. № ППН-01-197/14.03.2022 г.

Комисията за защита на личните данни в състав: председател Венцислав Караджов и членове Цанко Цолов и Веселин Целков на редовно заседание, проведено на 16 ноември 2022г., обективирано в протокол №42, на основание чл.10, ал.1 от Закона за защита на личните данни (ЗЗЛД) и чл.57, §1, б.„е” от Регламент (ЕС) 2016/679 (ОРЗД), като разгледа жалба с рег. №ППН-01-197/14.03.2022г., за да се произнесе взе предвид следното:

Административното производство е по реда на чл.38 от ЗЗЛД и чл.77, §1 от Регламент (ЕС) 2016/679.

Комисията за защита на личните данни (КЗЛД) е сезирана с жалба ППН-01-197/14.03.2022г. подадена от г-н И.Р. В жалбата са изложени твърдения за неправомерно обработване на лични данни от страна на дружеството „Д.” АД с ЕИК-*******.

Жалбоподателят сочи, че получава на негово име акт за административно нарушение извършено във Федерална република Германия. В акта се твърди, че на 15.09.2020г. г-н И.Р. е управлявал превозно средство с рег. №****, собственост на фирма „Д.” АД, с адрес: ****, което според него, не отговаря на истината.

Жалбоподателят сочи, че в същия момент е бил в болничен (временна неработоспособност), което е потвърдено и от извършена проверка на Изпълнителна агенция "Главна инспекция по труда".

Господин И.Р. допълва, че вероятно лице от „Д.” АД е използвал негови данни, тъй като германските власти няма как да знаят кое е лицето управлявало същото превозно средство. В тази връзка жалбоподателят изразява силното си притеснение за създалата се ситуация защото не знае, какво може да очаква и дали това няма да се случи отново, предвид което желае от КЗЛД съдействие за нарушените му права.

Към жалбата прилага: 1. Отговор на ИА „Главна инспекция по труда“ с изх.№****; 2. Медицински протокол ЛКК №***; 3.Заповед за прекратяване на трудово правоотношение; 4. Покана за предаване на трудовата книжка; 5. Заявление за прекратяване на трудов договор; 6. Фактура *****. — за използвани мед. услуги; 7. Платежно нареждане от 13.01.2022г. на стойност 83,50 евро /размера на глобата/; 8. Акт издаден от германските власти.

На основание чл.26 от АПК e уведомено дружеството „Д.” АД с ЕИК-*******, за образуваното пред КЗЛД административно производство по жалбата на г-н И.Р. Съответно на осн. чл.34, ал.3 от АПК, епредоставена възможност на администратора да изрази становище по жалбата.

От страна на дружеството, чрез процесуалния им представител– адв.Н.Н.– САК, предоставят становище, в което сочат следното:

По същество не оспорват изложените в жалбата обстоятелства– жалбоподателят наистина е бивш служител на „Д.” АД, който към датата на нарушението, извършено на територията на ФР Германия– 15.09.2020г., е бил в отпуск поради временна неработоспособност. Нещо повече, към същата дата, процесният камион с рег. ****, който до 23.07.2020г. е бил в държане на „Д.” АД по силата на договор за лизинг, вече е бил ползван от друг лизингополучател — „В.“ ЕООД, с ЕИК ****. Тоест, към датата на нарушението– 15.09.2020г. камионът изобщо не е бил ползван от „Д.” АД, а вече от друго лице, като по същото време И.Р. е бил в болнични.

Независимо от това, в деловодството на „Д.” АД е постъпил електронният фиш от компетентните органи на ФР Германия за нарушението от 15.09.2020г. Тъй като нарушителят е юридическо лице, във фиша е предоставена възможност да бъде посочено конкретното физическо лице, което е управлявало МПС-то към датата на нарушението. Видно от приложения към настоящото становище фиш, заедно с приложенията към него, на 29.06.2021г., служителката на „Д.” АД П.Х., вместо да възрази, че към датата на нарушението 15.09.2020г. камионът вече не е бил ползван от дружеството, а от трето лице и да представи наличните доказателства за това, погрешно е приела фиша и е посочила като отговорно за нарушението лице И.Р. Касае се за неволна техническа грешка, объркване на релевантните дати, той като според обясненията на служителката, И.Р. е управлявал камиона на 15.07.2020г., а тя е объркала тази дата с датата на нарушението 15.09.2020г. Обстоятелството, че се касае за неволна грешка в датите се потвърждава и от това, че към 15.09.2020г. безспорно камионът изобщо не е бил в държане на „Д.” АД, но служителката не е възразила дори в това отношение– очевидно е изпаднала в заблуда относно датите.

Същевременно, тя е разкрила на компетентните органи на ФР Германия (страна– член на ЕС) личните данни на жалбоподателя в изпълнение на законово задължение, което се прилага спрямо администратора „Д.” АД (чл. 6, т.1, б.„в” от Регламент ЕС 2016/679 на Европейския парламент и на Съвета), както и поради необходимостта от защита на легитимните интереси на администратора (чл. 6, т.1, б.„е” от Регламента). Освен това, жалбоподателят е дал съгласие за обработване на личните му данни от работодателя (чл. 6, т.1, б.„а” от Регламента) за конкретни цели, описани в писмена декларация. Глобата, наложена на субекта на личните данни от компетентните органи на ФР Германия му е възстановена изцяло и той е изразил готовност за споразумение в тази връзка с бившия си работодател.

Предвидгореизложените съображения от „Д.” АД считат, че не е извършило нарушение по ЗЗЛД и по Регламент ЕС 2016/679 на Европейския парламент и на Съвета имолят КЗЛД да отхвърли жалбата, като неоснователна.

Към становището прилагат: 1.Фиш за установяване на нарушението, включващ бланка, в която са посочени данните на И.Р.; 2.Декларация за доброволно предоставяне на лични данни и за тяхното обработване; 3. Декларация за предоставяне на информация по чл.6 от Регламент ЕС 2016/679 на Европейския парламент и на Съвета; 4.Тристранно споразумение от 23.07.2020г. за отстъпване на права по договор за лизинг; 5.Пълномощно.

Във връзка с изложеното от ответната страна, касателно и наличието на постигнато споразумение, на основание чл.43 от ПДКЗДНА, на жалбоподателя е предоставена възможността да се запознае със становището на администратора и да изрази своето отношение по него, като уведоми КЗЛД поддържа ли жалбата си при тези обстоятелства.

С писмо №ППН-01-197#6/18.08.2022г., г-н И.Р. уведомява КЗЛД, че не е налице споразумение и поддържа подадената от него жалба.

След запознаване със становището на „Д.” АД сочи, за безпокойство и тревожност, поради липсата на гаранции, че това няма да се случи отново.Друг служител отново да допусне „неволна техническа грешка”. Допълва, че ако във въпросния ден– 15.09.2020 г, е имало ПТП с камиона, не става ясно кой ще да носи отговорност. Счита за по-правилно, преди да се предостави информация на трети лица, съдържаща лични данни, да бъде извършена проверка от администратора.

Относно подписаните от него декларации за доброволно представяне и обработване на лични данни, становището му е, че е те трябва да бъдат използвани законосъобразно и правомерно.

Уточнява, че действително е бил възстановен размера на глобата на 02.08.2022г., по банков път от „Д.” АД, но неговото притеснение е свързано с обработката на личните му данни. Не е декларирал, че няма други претенции, както твърди бившият му работодател.

В заключение сочи, че така наречената „неволната техническа грешка” на администратора му е причини много морални и неимуществени вреди. Като пълноправен гражданин на Република България спазващ законите смята, че личните данни на всеки трябва да бъдат защитени и се надява отговорните за тази „неволна техническа грешка” да понесат отговорността си обективно.

От дружеството е изискана допълнителна уточняваща информация, с цел изясняване на случая от правна и фактическа стана.

В отговор с вх. №ППН-01-197#7/26.08.2022г. от страна на администратора чрез процесуалният му представител– адв.Н.Н., сочат следното:

1. В случаите, когато в „Д.” АД постъпят уведомления от европейски контролен орган по организация на движението по пътищата, като например Федералната служба за товарен транспорт– Германия, длъжностните лица в дружеството следват правилата, разписани в Инструкция за обработка н получени глоби в „Д.” АД.

2. Понякога са констатирани нарушения на правилата във връзка с работата на служителите на „Д.” АД, осъществяващи превиши на територията на Европейския съюз. Предвид естеството на работата, тези нарушения най-често са установявани въз основа на получени съобщения за глоби, наложени от европейски контролни органи. В тези случаи дружеството плаща глобите и ако бъде установено виновно и неправомерно поведение от страна на служителя, спрямо него бива реализирана имуществена отговорност при условията на чл.203 и следващите от КТ. Ако се окаже, че глобата не се дължи на причина, за която служителят отговаря, тя остава за сметка на работодателя. Принципно, спазването на правилата за движението по пътищата е вменено и като трудово задължение за шофьорите по силата на длъжностните им характеристики. Поради това, нарушаването им в някои случаи е основание за реализиране и на дисциплинарна отговорност по КТ.

3. Представят Инструкция за обработване на лични данни в „Д.” АД и за създаване на технически и организационни мерки за защитата им.

4. Жалбоподателят И.Р. е заявил на представители на „Д.” АД, че се е почувствал засегнат, защото му се е наложило да плати глоба за нещо, което не е извършил. Поради това, той е поел ангажимент, ако платената от него сума му бъде възстановена, незабавно да оттегли жалбата пред КЗЛД. След като е установено, че жалбоподателят наистина няма никаква вина за създалата се ситуация, са му поднесени извинения от името на дружеството и сумата му е възстановена. След получаването на сумата обаче, жалбоподателят е заявил, че всъщност е обещал само да размисли за оттеглянето на жалбата, но след като го е направил, е решил да не я оттегля.

Към допълнителното становище прилагат: 1. Инструкция за обработка на получени глоби в „Д.” АД; 2. Инструкция за обработване на лични данни в „Д.” АД и за създаване на технически и организационни мерки за защитата им; 3. Платежен документ за плащане на глобата от И.Р.; 4. Платежен документ за възстановяване на платената от шофьора глоба; 5. Представения към писмения отговор фиш, заедно с превод на български език.

Жалбата е разгледана на заседание на КЗЛД, обективирано в Протокол №34 от 14.09.2022г., на което е взето решение, същата да бъде приета за допустима и да бъде насрочена за разглеждане на открито заседание. Като страни в административното производство са конституирани: жалбоподател– г-н И.Р. и ответна страна– администратора „Д.” АД с ЕИК-*******.

На проведеното на 16.11.2022г.открито заседание на Комисията, обективирано в Протокол №42, жалбоподателят редовно уведомен, не се явява и не се представлява. Ответника, редовно уведомен се представлява от адв.Н.Н. с пълномощно по преписката.

Разглеждана по същество жалба е основателна.

Жалбата на г-н И.Р. е съобразена в цялост с изискванията за редовност, а именно: налице са данни за жалбоподателя, естеството на искането, дата и подпис.

Нормата на чл.38, ал.1 от ЗЗЛД предвижда преклузивен срок за сезиране на Комисията– шестмесечен срок от узнаване на нарушението, но не по-късно от две години от извършването му. Жалбоподателят сочи, че е узнал за неправомерното обработване на личните му данни след получаване на акт за нарушение на движението по пътищата на Федерална република Германия на 13.01.2022г., който заплаща.

Жалбата е подадена до Комисията за защита на личните данни на 14.03.2022г. Посочените в чл.38, ал.1 от ЗЗЛД срокове са спазени.

В чл.27, ал.2 от АПК законодателят обвързва преценката за допустимост на искането с наличие на посочените в текста изисквания. Компетентността на Комисията при разглеждане на жалбите е свързана със защитата на физическите лица, във връзка с обработването на техните лични данни от лица имащи качеството „администратори на лични данни”. Това изискване се явява абсолютна процесуална предпоставка, с оглед на което се преценява допустимостта на жалбата. Жалбата е насочена срещу „Д.” АД с ЕИК-*******, което дружество безспорно е администратор на лични данни по смисъла на чл.4, т.7 от Регламент (ЕС) 2016/679.

Жалбата е подадена от физическо лице с легитимен правен интерес. Същото твърди, че личните му данни в обем: три имена и точен адрес, дата и място на раждане са обработени неправомерно от работодателя „Д.” АД чрез предоставянето им на трето лице „Федерална служба за превоз на стоки” ФРГ, за съставяне на акт за правонарушение, осъществено на 15.09.2020г. в 01:08 часа, представляващо ползването на път А3 гр.Зинцинг, посока гр.Нитендорф– ФРГ от МПС с рег. №****, с общо тегло на 18,00тона, за което се дължи пътна такса в размер на 55€, без да бъде заплатена същата, в нарушение на условията за обработване по смисъла на чл.5, § 1, букви „а” и „б” от Регламент (ЕС)2016/679, , във връзка с чл.6, § 1 от същия.

Съгласно чл.57, § 1, т.„е” от Регламент (ЕС) 2016/679, при сезирането ѝ, КЗЛД разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на субектите на данни. Следователно жалбата е от компетентността на КЗЛД.

Между страните не е спорно, г-н И.Р. е бил служител на дружеството „Д.” АД.

Не е спорно, че трудовият договор на г-н И.Р. е прекратен на 01.11.2020г. с работодателя „Д.” АД.

По преписката не е спорно, че по силата на Медицински протокол №**** издаден от ДКЦ **** с рег. №***, г-н И.Р. е бил във временна неработоспособност за срок от 30 дни, от 01.09.2020г. до 30.09.2020г. отразена в болничен лист №***.

По преписката не е спорно, че за констатираното нарушение от германските транспортни органи, осъществено на 15.09.2020г., е изпратено писмо от Федералната служба за превоз на стоки до „Д.” АД уведомяващо за констатираното от тях нарушение и необходимостта от заплащането на глоба в размер на 55€. Към писмото е приложен формуляр, който се попълва в случай, че лицето собственик на превозното средство не извършило нарушението и следва да посочи имена и адрес на извършителя на нарушението.

Съответно, служител на „Д.” АД, на 29.06.2021г. изпраща на „Федерална служба за превоз на стоки” ФРГ личните данни на г-н И.Р. в обем: три имена, точен адрес, дата и място на раждане, в качеството му на физическия нарушител на Федералния закон за задължителните такси за магистрала и главни пътища (BFStrMG), на 15.09.2020г. с МПС ****.

От събраните по преписката доказателства и сведения е видно, че до 23.07.2020г. камион с рег. №**** е стопанисван от „Д.” АД, като след тази дата, по силата на тристранно споразумение между „Л.” ООД, „Д.” АД и „В.” ЕООД, същия преминава под управлението на лизингодателя и „В.” ЕООД. Тоест, към 15.09.2020г. камионът вече не е бил ползван от администратора

„Д.” АД, като в същото време г-н И.Р. е бил в болничен.

Действително, г-н И.Р. на 16.04.2020г. е подписал „Декларация за доброволно предоставяне на лични данни и тяхното обработване”, с която декларира предоставянето на лични данни на работодателя „Д.” АД за възникването, осъществяването или прекратяването на трудовите и осигурителните му задължения (чл. 1.1 от Декларацията). Също така, г-н И.Р. е дал съгласието си за обработване на личните му данни от „Д.” АД, в качеството му на работодател, обективирано в „Декларация за предоставяне на информация по чл.13 от Регламент (ЕС)2016/679 на ЕК и на Съвета от 27.04.2016г.”.

По смисъла на чл.6 §1 от ОРЗД, обработването на личните данни е законосъобразно, само и доколкото е приложимо поне едно от условията посочени от буква „а” до буква „е” от същия параграф.

От събраните по преписката доказателства и сведения е видно, че в качеството на работодател по сключен трудов договор, администратора обработва личните данни на г-н И.Р. на основание чл.6, §1, б.„б” от ОРЗД– „обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор”.

На следващо място. По силата на представените декларации от г-н И.Р., администратора обработва личните данни на основание чл.6, §1, б.„а” от ОРЗД– „субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели”.

Следва обаче да бъде отбелязано, че предоставянето на личните данни на г-н И.Р. на администратора Федерална служба за превоз на стоки– ФРГ, за нарушение на Федералния закон за задължителните такси за магистрала и главни пътища (BFStrMG), на 15.09.2020г. осъществено с МПС ****, не попада вхипотезите на чл.6, §1 б.„а” и „б” от ОРЗД, за законосъобразност на обработването. Това е така, защото работодателя няма задължение, по силата на трудовото правоотношение да предоставя личните данни на служителите си, на трети лица, за които не е налице законово основание за предоставяне на тези данни, касаещи трудовото право.

На следващо място, съгласието изразено вдвете декларации от 16.04.2020г., също така не обективира обстоятелството, че същото е дадено за тези цели, тъй като чл.6, §1 б.„а” сочи за една или повече конкретни цели.

Необходимо е отбелязването, че дори да е налице съгласие за предоставяне личните данни за тези цели, то следва да са налице и допълнително обективни предпоставки за това. т.е. субекта да е упражнявал трудовата си дейност с предоставеното му транспортно средство, в следствие на което, да е допуснал нарушение на правилата за движение във въпросния ден и място. В конкретния случай лицето е било в болничен на посочената дата.

По отношение на твърденията, че за администратора са налице основанията посочени в чл.6, §1, б.„е” от ОРЗД– „обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете”. Визирайки наличието на легитимен интерес на администратора за обработването чрез предоставяне на трето лице следа да бъде посочено, че както и самият администратор отбелязва, на 15.09.2020г. МПС с рег. №**** е било във владение на нови лизингополучател „В.” ЕООД, който не е работодател на г-н И.Р. и няма данни за други договорни отношения с него.

По административната преписка не са предоставени доказателства за обстоятелството, че г-н И.Р. е бил запознат с получените от бившия му работодател сведения за извършено нарушение на 15.09.2020г., за което „Д.” АД е счело, че той е физическия извършител на нарушението. Не са представени доказателства от администратора за извършена проверка от негова страна, за установяване на лицето управлявало служебния камион с рег. №**** на 15.09.2020г. Възможността да бъде ангажирана дисциплинарната отговорност на субекта на данните се преклудира с прекратяване на трудовото правоотношение на 01.11.2020г. Писмото, с което Федералната служба за превоз на стоки гр. Кьолн– ФРГ информира дружеството за нарушението е от 11.01.2021г., т.е. след прекратяване на правоотношението с г-н И.Р.

Горното, както и обстоятелствата, че камионът, считано от 23.07.2020г. е преминал в разпореждане на „В.” ЕООД, а г-н И.Р. е бил в болничен, които обстоятелства са били безспорно известни на администратора, обуславят извода, за извършено нарушение на принципите посочени в чл.5, § 1, б.„а” и „б” във връзка с чл.6, § 1 от ОРЗД, за обработване на личните данни по законосъобразен, прозрачен и добросъвестен начин от администратора, които да не се обработват по начин несъвместим с тези цели. Личните данни на г-н И.Р. са предоставени на Федерална служба за превоз на стоки гр. Кьолн– ФРГ, на 29.06.2021г., т.е. повече от шест месеца след прекратяване на правоотношението с работодателя. Необходимо е да бъде отбелязано, че администраторът не е предприел последващи действия, след установяване на фактическата обстановка, да бъдат премахнати данните за г-н И.Р., който продължава да се води нарушител на Федерална служба за превоз на стоки гр. Кьолн– ФРГ, което при евентуално на нарушение в последствие, би могло да бъде възприето, като рецидив и лицето да бъде санкционирано по-строго от закона.

Необходимо е да бъде посочено, че не е предоставена информация, в хода на административното производство, за установяване на действителния нарушител, което да подчертае отговорното поведение на администратора спрямо субекта на данните.

Комисията за защита на личните данни е компетентния орган по смисъла на чл.6 от ЗЗЛД във връзка с нарушения при обработването на личните данни на физическите лица. Компетентността представлява, както право на органа, така и негово задължение да упражни своите правомощия, произтичащи от закона. Комисията разполага с оперативна самостоятелност, като преценява кое от своите корективи правомощия по чл.58, §. 2 от Регламент (ЕС) 2016/679 е целесъобразно да реализира във всеки конкретен случай. Преценката се основава на съображенията за целенасоченост, целесъобразност и ефективност на решението, като следва да се постанови акт, който в най-пълна степен да защитава обществения интерес. Правомощията по чл.58, §. 2 от Регламент (ЕС) 2016/679, с изключение на посочените в б.„и”, имат характера на принудителни административни мерки, чиято цел е да предотвратят извършването на нарушение или ако извършването е започнало– да го преустановят, като по този начин се обективира дължимото от закона поведение.

Административното наказание „глоба” или „имуществена санкция” по смисъла на чл.58, §. 2 от Регламент (ЕС) 2016/679, б.„и”има санкционен характер. По отношение прилагането на подходящата корективна мярка по чл.58, §. 2 от Регламент (ЕС) 2016/679, следва да се вземе предвид естеството, тежестта и последиците от нарушението, като се оценят всички факти от значение за случая и тяхната причинно-следствена връзка. Посочените правомощия са относими за случай, при които администраторите не са изпълнили свое задължение, който пропуск може да санират, като в предоставеният им срок извършат пропуснатите действия и обективират изисканото от закона поведение. В случая не е налице пропуск, а са извършени действия в повече, което налага извода за неприложимост на това правомощие. Установеното конкретно нарушение е довършено с акта на предоставяне личните данни на г-н И.Р. на трето лице без основание.

Така неправомерно предоставените лични данни са послужили за индивидуализиране нарушителя на констатираното от Федералната служба нарушение, за което е предвидена глоба в размер на 55.00 €, която заедно с таксите е достигнала размер от 83,50 €, заплатени лично от г-н И.Р., за нарушение на Федералния закон за задължителните такси за магистрала и главни пътища (BFStrMG)- ФРГ, извършено на 15.09.2020г., с МПС ****, период в който лицето е било в доказано болничен отпуск, което МПС освен горното, към тази дата е било вече предоставено на друг лизингополучател „В.” ЕООД.

Съответно така предоставените лични данни на жалбоподателя, представлява нарушение на принципите за законосъобразно, добросъвестно и по прозрачен начин обработване, по отношение на субекта на данните, които събрани за целите на трудовото правоотношение са обработени по нататък по начин, несъвместим с тези цели(чл. чл.5, § 1, б.„а” и „б” от ОРЗД), във връзка с чл.6, § 1 от ОРЗД.

Във връзка с горното, даването на срок за отстраняване на нарушението се явява неприложимо и в тази връзка неправомерното обработване е неотстранимо.

На основание гореизложеното и вземайки предвид факта, че нарушението на правилата за обработване на личните данни е довършено и са налице последиците от него настъпили за жалбоподателя, единствено имуществената санкция, като мярка на административна принуда, се явява най-подходящата целесъобразна и ефективна мярка, предвид което Комисията намира, че следва да наложи на администраторите на лични данни „Д.” АД, административно наказание– имуществена санкция, като корективна мярка по чл.58, §. 2, б.„и” от Регламент (ЕС) 2016/679, за нарушение на разпоредбите на чл.чл. 5, § 1, б.„а” и б.„б”, във връзка с чл.6, § 1 от ОРЗД, във връзка с чл.38, ал.3 от ЗЗЛД, като санкцията се явява целесъобразна и ефективна мярка за защита на обществения интерес. Комисията намира, че имуществената санкция ще има нужното коригиращо въздействие върху администратора и ще допринесе за последващо спазване на установения правов ред от негова страна.

При определяне на размера на наказанието, съгласно чл.83, §2 от Регламент (ЕС) 2016/679 следва да бъдат взети под внимание следните елементи по отношение на извършеното от „Д.” АД:

а) В конкретния случай са нарушени принципите за обработване на личните данни по смисъла на Регламента, данните да са събрани за конкретни цели във връзка с Кодекса на труда, да бъдат обработвани законосъобразно добросъвестно и по прозрачен начин спрямо субекта на данните. Личните данни са обработени за цели извън тези за които са предоставени, чрез предоставянето им на трети лица. За информацията предоставена на Федералната служба за превоз на стоки гр. Кьолн– ФРГ няма данни същата да е заличена или коригирана от масивите на службата към момента. Целта на обработването е икономическия интерес на администратора. От обработването е засегнато едно лице, като по отношение на вредата може да бъде посочено, че макар и възстановена сумата на платената от него глоба, то информацията, че същото е извършител на нарушение в електронното досие на Федералната служба за превоз на стоки гр. Кьолн– ФРГ, ще продължава да фигурира, което при повторно нарушение ще бъде негативно отразено спрямо субекта на данните;

б) Установено е в административното производство, че нарушенията са извършени умишлено, от служител на администратора;

в) Няма данни администраторът да е предприел технически и организационни мерки да коригира или премахне информациятапогрешно предоставена на Федералната служба за превоз на стоки гр. Кьолн– ФРГ. Няма данни за наложено, съответното дисциплинарно наказание на служителя;

г) Степента на отговорност на администратора е по-висока от обичайната, предвид обстоятелството, че същия обработва лични данни свързани с лица с които вече не е в договорни взаимоотношения. Съответно нивото на въведените технически и организационни мерки следва да по-високо и съобразно финансовите и технически възможности с които разполага;

д) Отчетена е липсата на предишни нарушения от администратора на Регламента;

е) Администраторът е оказал необходимото сътрудничество с надзорния орган с цел отстраняване на нарушението и смекчаване на последиците за субекта на данните.

ж) Засегнатите лични данни не са от категорията на специалните, по смисъла на чл.9, § 1 от Регламента. Същите не са свързани с поведението на субекта на данните по смисъла на чл.10 от Регламента;

з) Нарушенията са станали известни на надзорния орган от информацията в жалбата. Администратора не е уведомил за нарушението, поради неприемане за извършването на такова.

и) На администратора не са налагани мерките по чл.58, §2, във връзка със същия предмет на обработването;

й) Обстоятелствата по тази буква са неотносими, доколкото към момента на извършване на нарушенията няма приети кодекси за поведение от администраторите, съответно одобрени механизми за сертифициранене са въведени;

к) Като утежняващо обстоятелство следва да бъде отчетено, че нарушенията са довършени с акта на своето извършване и са неотстраними, същите са резултатни, и като такива са довели до негативна намеса в личния живот на жалбоподателя, предвид естеството им.

За пълнота следва да бъде посочено, че администраторът разполага с 2143 служители, по информация за 09/2022г. и е с годишен оборот от 259 382 000 лв., по информация за 2021г. предприятието не попада в чл.3 от Закона за малките и средни предприятия.

Изхождайки от критериите по чл.83, §2 отОРЗД, имущественото състояние на администратора (същото не попада в категорията малки и средни предприятия по смисъла на Закона за малките и средни предприятия), Комисията за защита на личните данни намира, че определянето на размер на санкцията от 10000.00 лв. (десет хиляди лева), се явява справедлив и обоснован и възпиращ.

В хода на производството не са направени искания за признаване на разходи, поради което Комисията за защита на личните данни не дължи произнасяне по този въпрос.

Мотивирана от гореизложеното и на основание чл.38, ал.3 от ЗЗЛД, във връзка с чл.58, §2 от Регламент (ЕС)2016/679 Комисията за защита на личните данни

Настоящото Решение подлежи на обжалване в 14-дневен срок от съобщаването му чрез КЗЛД, пред Административен съд– град София.

След влизане в сила на решението, сумата по наложеното наказание да бъде преведена по банков път към:

Банка БНБ– ЦУ;

IBAN: BG18BNBG96613000158601;

BIC: BNBGBGSD

Комисия за зашита на личните данни, БУЛСТАТ 130961721.