Решение по жалба с рег. № ППН-01-267/25.04.2018 г.

Комисията за защита на личните данни (Комисията/КЗЛД) в състав: членове– Цанко Цолов, Цветелин Софрониев и Веселин Целков, на открито заседание, проведено на 23.01.2019г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни (ЗЗЛД) разгледа по същество жалба рег. №ППН-01-267/25.04.2018г., подадена от А.А.

Административното производство е по реда на чл.38, ал.1 от Закона за защита на личните данни.

Комисията е сезирана от г-жа А.А., която твърди, че финансова институция ЕООД (Ф.И.ЕООД) и финансова институция АД (Ф.И.АД) неправомерно, без нейно съгласие, обработват личните ѝ данни.

Г-жа А.А. описва следната фактическа обстановка: на 21.08.2007г. сключила договор за издаване и обслужване на международна кредитна карта при промоционална програма Cash Back. При сключването на договора не подписала никаква декларация, че е съгласна личните ѝ данни да бъдат използвани по какъвто и да било начин от Ф.И.АД. В договора също не се съдържала клауза, с която г-жа А.А. да се съгласява някой по някакъв повод да използва нейни лични данни. Ф.И.АД обаче предоставяла личните ѝ данни на търговци и на посредници при извършване на плащанията за закупени стоки или услуги, които се предлагат в търговски обекти. Международните правила за тристранните и четиристранни платежни картови схеми, съществували към момента на сключване на договора (Директива95/46/ЕО), не били приложени– в резултат на което личните ѝ данни били ползвани от трети лица, както и от финансови институции.

Другото нарушение, от което г-жа А.А. се жали, е, че на 30.06.2016г. между Ф.И.АД и Ф.И.ЕООД бил сключен договор за цесия, с което била създадена възможност Ф.И.ЕООД да ползва данните ѝ без нейно съгласие; още повече че в случая дейността на Ф.И.ЕООД била извън закона.

Оплаква се, че нивото на защита на личните ѝ данни не просто е ниско, а ниво на защита на личните данни просто няма. Твърди, че изцяло е заплатила задължението си към Ф.И.АД в размер на 529 лв., както и че не е уведомявана за цесията. Прави искане за обезщетение в размер на 20000 лв.

До жалбоподателката е изпратено писмо с цел уточняване предмета на жалбата, на което е отговорено в срок.

С писмо изх. №ППН-01-267/2018г.#4 Ф.И.АД e уведомена за започване на административно производство пред Комисията, изпратено е заверено копие от жалбата, изискани са писмено становище и относими доказателства.

С писмо изх. №ППН-01-267/2018г.#5 Ф.И.ЕООД e уведомено за започване на административно производство пред Комисията, изпратено е заверено копие от жалбата, изискани са писмено становище и относими доказателства.

В срок Ф.И.АД изразява становище, че между нея и жалбоподателката на 21.08.2007г. е сключен договор №***** за издаване и обслужване на международна кредитна карта при промоционална програма Cash Back. В чл.29 от договора е посочено, че картодържателят удостоверява, че е запознат с Общите условия на Ф.И.АД за издаване и ползване на международни кредитни карти, а чл.33 предвижда, че неразделна част от него са въпросните общи условия. В т.4, главаVIII– Допълнителни разпоредби, се посочва, че с приемане на настоящите общи условия клиентът „дава съгласие Ф.И.АД да обработва получените от него лични данни… и да предоставя същите… на договорно обвързаните страни (търговци и фирми) и на други трети лица, натоварени с обработката на картовите транзакции“. В допълнителна декларация към договора г-жа А.А. била заявила, че е запозната с правата на Ф.И.АД да прехвърли правата си към трето лице в случай на неизпълнение на задължения. Поради неизпълнение на картодържателя е извършена цесия на всички падежирали и изискуеми задължения съгласно договор за прехвърляне на вземания между Ф.И.АД и Ф.И.ЕООД. В тази връзка Ф.И.АД твърди, че обработването на личните данни на г-жа А.А. е правомерно– на договорно основание– чл.6, т.1, б. „б“ от ОРЗД. Позовава се на чл.9, т.4 от сключения договор за издаване и обслужване на международна кредитна карта, където изрично било закрепено правото на Ф.И.АД да предостави на външно дружество събирането на дължими суми в случай на неизпълнение. Счита за достатъчно, че г-жа А.А. е подписала договора, и намира, че допълнителни декларации в този дух не са необходими. Намира, че жалбата представлява злоупотреба с право, моли да се прекрати образуваното пред КЗЛД производство и да се остави жалбата без уважение.

В срок Ф.И.ЕООД изразява становище, че въз основа на договор за цесия се явява частен правоприемник на Ф.И.АД. Цедентът (Ф.И.АД) е упълномощил цесионера да уведоми от негово име длъжницата. Изтъква, че е било образувано гр. д. №**** по описа на софийски районен съд, III ГО, 151-ви състав, със страни– А.А.– ищец; Ф.И.АД– ответник и Ф.И.ЕООД– трето лице помагач. С отговора на исковата молба г-жа А.А. е била уведомена за извършената цесия. Решението е в полза на ответника и помагача, като в момента тече въззивно обжалване.

Дружеството намира, че обработва законосъобразното личните данни на г-жа А.А. на основание чл.4, ал.1, т.3 и 7 ЗЗЛД. Релевираните претенции за обезщетение били извън приложното поле на чл.10 ЗЗЛД и следователно се явявали недопустими. Счита жалбата за неоснователна и моли да бъде оставена без уважение. Прилага доказателства.

Доколкото жалбоподателката отрича да е уведомена за цесията, от Ф.И.ЕООД са изискани доказателства в тази насока. Ф.И.ЕООД изразява становище, че се е опитало да уведоми госпожа А.А. за извършената цесия и за информацията по чл.20 ЗЗЛД, изпращайки ѝ писма до четири адреса, като всички те са се върнали с отбелязване „непотърсена пратка“ или „неоткрит адрес“. В цитираното съдебно решение г-жа А.А. е заявила, че е научила за извършената цесия едва с отговора на исковата молба. В жалбата си твърди, че изобщо не е уведомена за нея.

С решение на Комисията, обективирано в Протокол №48/19.12.2018г., жалбата е обявена за редовна и допустима. Като страни в производството са конституирани: жалбоподател– А.А., и ответни страни– Ф.И.АД и Ф.И.ЕООД в качеството им на администратори на лични данни. На 23.01.2019г. е насрочено открито заседание на КЗЛД за разглеждане на жалбата по същество, за което страните са редовно уведомени.

На откритото заседание на Комисията Ф.И.АД и Ф.И.ЕООД изпращат представители, които поддържат становищата си за неоснователност на жалбата. Г-жа А.А. се явява лично и с адв. ****, с пълномощно по преписката.

Разгледана по същество, жалбата е неоснователна.

Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните), който се прилага пряко от 25 май 2018г., е нормативният акт, определящ правилата, свързани със защитата на физическите лица при обработването на личните им данни и относно свободното движение на тези данни. Общият регламент надгражда и доразвива предишния режим за защита на данните, въведен с Директива 95/46/ЕО, транспонирана в българския Закон за защита на личните данни от 2002г.

Съгласно чл.4, т.1 Общия регламент относно защитата на данните (ОРЗД), „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано посредством различни идентификатори, включително име, идентификационен номер, данни за местонахождение и пр. т.2 на същия член определя като „обработване“ всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, съхранение, разкриване чрез представяне и пр. Тези дефиниции на практика се припокриват със съдържащите се в чл.2, ал.1и §1, т.1 ДР към ЗЗЛД.

По отношение на първото искане в жалба рег. №ППН-01-267/25.04.2018г., касаещо неправомерното предоставяне от страна на Ф.И.АД личните данни на жалбоподателката на търговци и посредници при изпълнение на задълженията си по договор за обслужване на международна кредитна карта, КЗЛД приема, че нарушение всъщност няма: обработването личните данни на картодържателя е във връзка със и е строго ограничено до обработката на картовите трансакции. Нещо повече, това е неотменна част от самата същност на този вид договор, видно от анализа, направен от самата жалбоподателката. Личните данни на г-жа А.А. са обработвани на основание чл.6, §1, б. „б“– за изпълнение на договор, по който субектът на данните е страна (респ. чл.4, ал.1, т.3 ЗЗЛД).

По отношение на второто искане, за извършена цесия, жалбата също се явява неоснователна. Безспорно е, че жалбоподателката е била клиент на Ф.И.АД, която на договорно основание е обработвал нейни лични данни– три имена, ЕГН, адрес. Безспорно е, че между Ф.И.АД и Ф.И.ЕООД е сключен договор за цесия от дата 30.06.2016г., по силата на който вземането на г-жа А.А. е прехвърлено от цедента Ф.И.АД към цесионера Ф.И.ЕООД. Прехвърлянето на вземания се извършва по правилата на чл.99 Закона за задълженията и договорите (ЗЗД), който предвижда, че предишният кредитор е длъжен да предаде на новия намиращите се у него документи, които установяват вземането. Документите по необходимост съдържат лични данни на длъжника, а съгласието му е ирелевантно за валидността на този вид правна сделка.

От гореизложеното може да се направи извод, че по повод изпълнението на гражданскоправния договор за цесия се прехвърля определен обем лични данни на длъжника, което е вид обработване. Същевременно разпоредбите на ЗЗД се явяват специални по отношение на ЗЗЛД и съгласието на длъжника по смисъла на чл.6, §1, б.„а“ ОРЗД (респ. чл.4, ал.1, т.2 ЗЗЛД) не е релевантно. Основанията за обработване на лични данни в случая са други– чл.6, §1, б. „в“ и „е“ ОРЗД (респ. чл.4, ал.1, т.1 и 7 ЗЗЛД): обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора, и легитимен интерес. В този смисъл и „Практически насоки на КЗЛД в кои случаи не е необходимо съгласие за обработване на лични данни“, поместени на сайта на Комисията: „Законът задължава предишния кредитор да предаде на новия кредитор намиращите се у него документи, които установяват вземането. Това обстоятелство обуславя и предаването на личните данни, доколкото същите се съдържат в съответните документи. След получаване на вземането новият кредитор може да обработва данните на основание своя легитимен интерес за събиране на дължимата сума, включително по реда на принудителното изпълнение.“ За пълнота обаче следва да се отбележи, че в чл.9, т.4 от сключения договор за издаване и обслужване на международна кредитна карта, е закрепено правото на Ф.И.АД да предостави на трето лице (външно дружество) събирането на дължими суми в случай на неизпълнение, като съответната страница от договора е приподписана от г-жа А.А. Т.е. алтернативно може да се приеме, че е налице информирано съгласие на субекта на данни за предоставяне личните му данни на трети лица с цел събиране на задължения по договор.

Информацията, която е прехвърлена от цедента на цесионера, видно от Приложение №1 към договор за цесия от 30.06.2016г., в случая е: уникален номер на кредит, имена, адрес и ЕГН на длъжника, телефонен номер за връзка, дата на договор за кредит, първоначален размер на кредита (главница) остатък от дължима сума, лихва за забава. Т.е. личните данни са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват– чл.5, §1, б. „в“ ОРЗД.

Макар да липсват доказателства, че г-жа А.А. е получила уведомлението за цесия по чл.99 Закона за задълженията и договорите и информацията по чл.20 ЗЗЛД (респ. чл.14 ОРЗД), юридическият факт, който прави допустимо обработването на лични данни, е прехвърлянето на вземането, а не уведомлението. Освен това жалбоподателката е научила за цесията с отговора на исковата молба по гр. д. №**** по описа на софийски районен съд, III ГО, 151-ви състав, което е отразено в мотивите на съдебно решение №****** на Софийски районен съд.

Жалбоподателката отрича съществуването на задължение към Ф.И.АД, но не предоставя доказателства в тази насока, например влязло в сила съдебно решение. Извън правомощията на Комисията е да се произнесе по съществуването или не на едно облигационно отношение. Породил ли е договорът за цесия действие по отношение на длъжника, съществувало ли е вземането, какъв е неговият размер– това са въпроси, по които компетентен е гражданският съд. В този смисъл е налице законосъобразно обработване личните данни на г-жа А.А. на осн. чл.6, ал.1, б. „в“ от ОРЗД– за спазване законово задължение на администратора и б. „е“– легитимен интерес на администратора да събере вземането си.

Водима от горното, на основание чл.57, §1, б. „е“ от Регламента, съответно чл.10, ал.1, т.7, във връзка с чл.38, ал.2 от Закона за защита на личните данни, Комисията за защита на личните данни,

Оставя без уважение жалба рег. №ППН-01-267/25.04.2018г., подадена от А.А. срещу финансова институцияАД и финансова институцияЕООД.

Решението подлежи на обжалване в 14-дневен срок от връчването му чрез Комисията за защита на личните данни пред Административен съд София-град.