РЕШЕНИЕ
№ППН-01-291
София, 17.01.2023г.
Комисията за защита на личните данни /„Комисията”, „КЗЛД”/ в състав: Председател– Венцислав Караджов и членове– Цанко Цолов и Веселин Целков, на редовно заседание, проведено на 16.11.2022г., на основание чл.10, ал.1 от Закона за защита на личните данни /ЗЗЛД/, чл.57, §1, б.„е” от Регламент 2016/679 и чл.40, ал.1 от Правилника за дейността на КЗЛД и на нейната администрация /ПДКЗЛДНА/ разгледа по основателност жалба №ППН-01-291/03.05.2022г., подадена от П.А. срещу телекомуникационен оператор (Т.О.1).
Административното производство се развива по реда на Административнопроцесуалния кодекс /АПК/ и чл.38 от Закона за защита на личните данни.
Комисията за защита на личните данни е сезирана с Жалба №ППН-01-291/03.05.2022г. /препратена по компетентност от Комисията за защита на потребителите/, подадена от П.А. срещу Т.О. В жалбата се посочва, че без знанието и съгласието на г-жа П.А. мобилният ѝ номер е прехвърлен от друг телекомуникационен оператор (Т.О.2) към мрежата на Т.О.1. Счита, че личните ѝ данни– три имена, ЕГН и телефонен номер са обработвани незаконосъобразно за целите на съставяне на заявление за преносимост на национално значим номер при смяна на доставчика на мобилни услуги, което е използвано при опит мобилният ѝ номер да се прехвърли към друга мрежа. Посочва, че заявлението не е подписано от нея, като дори не е посещавала офис на Т.О.1.
В съответствие с чл.26 от АПК страните са уведомени за образуваното административно производство, като са изискани представяне на становища и доказателства по случая. На основание чл.34, ал.3 от АПК на страните е предоставена възможност за изразяване на позиция по административната преписка и за представяне на допустими, относими и необходими доказателства.
В становище на Т.О.1 жалбата се оспорва като неоснователна. Посочва се, че въз основа на получен сигнал на 19.04.2022г. от г-жа П.А. до Т.О.1 е извършена незабавна проверка, от която се е установило, че съпругът на жалбоподателката– И.А. е поискал прехвърляне на 3 мобилни номера, включително и този на г-жа П.А., към мрежата на Т.О.1. И.А. е посочил, че е титуляр на всички мобилни номера. Поради това мобилният номер на г-жа П.А. е погрешно пренесен към мрежата на Т.О.1 на 18.04.2022г. Въз основа на жалба на П.А. е извършена проверка, като са предприети незабавни действия и на 21.04.2022г. номерът е върнат обратно към мрежата на Т.О.2.
В допълнително изразени становища по случая /писма с рег. №ППН-01-291#6/29.07.2022г. и №ППН-01-291#8/09.09.2022г./ жалбоподателката акцентира върху това, че не е предоставила съгласие за прехвърляне на нейния личен мобилен номер към друга мрежа, респективно– за използване на личните ѝ данни за тази цел от служителите в офиса на Т.О.1. Твърди, че в резултат на тези действия е останала без мобилна услуга. Посочва, че никога не е подавала каквито и да е заявления във „Т.О.1, предвид което неуместно мобилният оператор релевира аргументи за недължимост на неустойки, както и че не са на място възраженията за семейното ѝ положение и за дружествата на съпругът ѝ– същите нямат отношение към спора, тъй като мобилният номер е неин личен.
На основание чл.38, ал.1 от ПДКЗЛДНА Комисията се е произнесла с Решение по редовността и допустимостта на жалбата на закрито заседание, проведено на 14.09.2022г., въз основа на което са конституирани страните П.А.– жалбоподател и Т.О.1– ответник. Страните са надлежно уведомени за откритото заседание на КЗЛД, насрочено за 16.11.2022г.
Постъпило е допълнително становище №ППН-01-291#14/03.10.2022г. на ответника, в което се препотвърждава, че номерът е погрешно пренесен към мрежата на Т.О.1 на 18.04.2022г. и активиран при условията на договора, сключен с И.А. при посещението му в офис на 11.04.2022г. Посочва се, че г-жа П.А. не е посещавала офис на дружеството, както и че не е полагала подпис върху заявлението за преносимост. Изразява се мнение, че това е сторено от г-н И.А. Към момента на представяне на отговора администраторът не обработва лични данни на г-жа П.А. за целите на предоставяне на електронни съобщителни услуги, а само за целите на осъществяване на защитата си в настоящото административно производство. Представя се доказателство– копие от системен екран, от който е видно, че при въвеждане на ЕГН на жалбоподателката не се визуализира резултат. Апелира се при разглеждане на случая да бъде съобразено, че при установяване на грешката администраторът незабавно е предприел действия по прекратяване на договора с Т.О.1 без неустойки, като на 21.04.2022г. мобилният номер е върнат обратно в мрежата на предишния оператор.
С Протокол №ППН-01-291#15/11.11.2022г. са приобщени към административната преписка правилата и политиките за защита на лични данни, които са надлежно оповестени до субекта на данни и до трети лица чрез публикуването им на сайта на мобилния оператор.
На проведеното открито заседание на КЗЛД, страните не се явяват и не се представляват, като не взимат и допълнителни становища по случая.
При така установеното от фактическа страна, от правна страна жалбата е допустима и основателна.
В Регламент 2016/679 и ЗЗЛД са въведени правилата за защита на физическите лица във връзка с обработването на лични данни, както и правилата относно свободното движение на лични данни /арг. от чл.1 от Регламента и чл.1 от ЗЗЛД/.
Комисията е постоянно действащ независим надзорен орган, който осъществява защитата на лицата при обработването на личните им данни /чл. 6 от ЗЗЛД/. Същата упражнява по целесъобразност правомощията си по чл.58 от Регламента– за разследване, за налагане на санкции и за издаване на указания по законосъобразното и правилно приложение на Регламента, така че да бъде постигната целта на чл.1, т.2 от Регламента– за защита на основни права и свободи на физическите лица, към които принадлежи и правото им на защита на личните им данни.
Дефиницията за „лични данни“ се съдържа в разпоредбата на чл.4, т.1 от Регламент 2016/679, а именно: „всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано … пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице“. В настоящата хипотеза са обработвани лични данни на лицето, представляващи три имена, ЕГН и телефонен номер.
Ответната страна Т.О.1 е юридическо лице– администратор на лични данни по смисъла на чл.4, с-е 7 от Регламента и обработва личните данни на жалбоподателката чрез операциите по събиране, съхранение и употреба по смисъла на чл.4, с-е 2 от Регламента.
По въпроса относно законосъобразността на процесните действия по обработване на лични данни следва да се отбележи, че същите са извършени без правно основание по смисъла на чл.6, §1 от Регламента, в противоречие с принципа на законосъобразност и добросъвестност по чл.5, §1, б.„а” от Регламент 2016/679, както и в нарушение на общите задължения на администратора за предприемане на подходящи организационни и технически мерки по чл.24, §1 и §2 от Регламента.
Между страните не се спори, че процесното обработване е станало в резултат на грешка, че жалбоподателката не желае да сключи договор с ответното дружество, че не е възникнала хипотезата на преддоговорни отношения, както и че не се е явила в офис на мобилния оператор, за да попълни процесното заявление, дало повод за прехвърлянето на мобилния ѝ номер към друг оператор. Безспорно е и обстоятелството, че най-малкото за времето от 18.04.2021г. до 21.04.2022г. личните данни на жалбоподателката са обработвани незаконосъобразно от администратора. Едностранно изложените твърдения на жалбоподателката, че е останала без мобилна услуга не биха могли да бъдат възприети, тъй като прехвърлянето на мобилен номер между различни оператори не е равнозначно на оставането без мобилна услуга.
Дори и да бъдат възприети твърденията на ответника, че прехвърлянето е станало в резултат на грешка, то следва да се отбележи, че това обстоятелство не би могло да освободи администратора от отговорност, съобразявайки това, че отговорността на администратора е обективна /безвиновна/, че същият следва да е в състояние да докаже спазването на Регламента, че в настоящата хипотеза не са предприети подходящи организационни и технически мерки, както и не са налице достатъчно ефективни политики за защита на личните данни /или поне не е упражнен достатъчно контрол по спазването им/, отчитайки обстоятелството, че администраторът следва еднозначно да идентифицира физическото лице– субект на данни, преди да встъпи в договорни отношения с него, така че да е налице правното основание за обработване на лични данни по чл.6, §1, б.„б“ от Регламента, и преди всичко съобразявайки обстоятелството, че администраторът обработва лични данни на голям кръг физически лица, поради което само при наличието на подходящи и ефективни правила и политики за защита на личните данни, както и при адекватен контрол по тяхното изпълнение, администраторът би могъл да осигури и да докаже спазването на настоящия Регламент.
Позоваването на грешка от страна на администратора, както и противоречивите и необективни доказателства, представени от ответника, от които не става ясно въз основа на кое конкретно заявление е осъществено прехвърлянето, както и на какво основание, водят до извод освен за незаконосъобразно, също така и за недобросъвестно и непрозрачно обработване на лични данни по смисъла на чл.5,§1, б.„а“ от Регламента.
Независимо, че между страните не е спорно, че въпросното заявление не е подписано от жалбоподателката, както и че същата не е била физически в офис на дружеството за целите на подаване на заявление за прехвърляне на мобилния номер, администраторът на лични данни Т.О.1 носи отговорност за незаконосъобразното обработване на лични данни по смисъла на Регламента, тъй като субектът на данни следва да бъде еднозначно идентифициран и да положи подпис в присъствието на съответните служители в офис на дружеството. Отговорност за това носи администраторът на лични данни, а не конкретните служители, които са извършили преноса. Доколкото липсва еднозначна идентификация на субекта на данни, следва да се отбележи, че не е осъществен системен контрол върху действията на служителите, което попада в обхвата на задълженията на администратора за добросъвестно и законосъобразно обработване на данните.
Независимо, че администраторът има разписани правила и политики за защита на данните, се установява, че няма практическо изпълнение на същите. Действията от страна на администратора и на неговите служители водят до безспорния извод, че практически с тези политики или съответните служители не са запознати, или не се прилагат, като и в двата случая не е осъществен съответният контрол. В този смисъл разписаните правила и политики следва да се развият в посока допълване механизмите за контрол.
Твърденията на мобилния оператор, че действията са извършени от съпруга нажалбоподателката не го освобождават от отговорност, в качеството му на администратор на лични данни и същите няма как да бъдат кредитирани като смекчаващо отговорността обстоятелство, тъй като администраторът по Регламента има задължение да обработва личните данни добросъвестно, а за да стори това, трябва съобразно неговите правила и политики да се увери, че лицето е поискало личните му данните да бъдат обработени с цел прехвърляне на номера, както и съответното лице да бъде еднозначно идентифицирано.
Предвид възможността на Комисията по целесъобразност да извърши преценка кое от своите корективни правомощия да упражни съобразно чл.58, §2 от Регламент 2016/679, то в разглеждания казус следва да се приложи мярката по чл.58, §2, б.„г“ от Регламент 2016/679, като на администратора се издаде разпореждане да съобрази операциите по обработване на лични данни с разпоредбите на Регламента, като целесъобразно в случая е да бъдат подходящо допълнени правилата за защита на личните данни, като се извърши вътрешен преглед на правилата, свързани с идентификация на физическите лица, със съответното подходящо обучение на служителите на дружеството, с релевантни и подходящи политики за защита на данните, отнасящи се до дейностите по прехвърляне на мобилни номера между трите мобилни оператора и най-вече обработваните в резултат на това лични данни, както и упражняваният от администратора контрол.
В настоящата хипотеза следва да се предвиди подходящ механизъм за входящо обучение на нови служители, както и периодично обучение на останалите служители, в което да бъдат включени изрично измените процедури за идентификация на физическите лица, както и да се обърне специално внимание на обработването на лични данни при прехвърлянето на мобилни номера между трите мобилни оператора.
Корективната мярка следва да се кумулира с имуществена санкция по чл.58, §2, б.„и“ от Регламент 2016/679, за да бъдат изпълнени санкционните функции на Регламента, както и да се въздейства предупредително на администратора предвид опасността от извършване на други такива нарушения, от които биха могли да бъдат засегнати немалък кръг физически лица.
Доколкото при налагането на имуществена санкция надзорният орган следва да съобрази общите условия по чл.83, §2 от Регламента така, че наложената санкция да бъде ефективна, пропорционална и възпираща, но и да не се явява прекомерна спрямо установеното нарушение, то в разглеждания случай подходящо би било налагането на имуществена санкция в размер, близък до минималния, по следните съображения:
Администраторът е поправил и установил грешката си, като се е сезирал въз основа на възражението на субекта на данни. Последният не е претърпял вреди, независимо, че това е станало по обективни причини. Нарушението е преустановено в сравнително кратки срокове.
Нарушението представлява обработване на лични данни на един субект на данни като същото е продължило относително кратък времеви интервал, но не поради това, че администраторът е предприел действия по преустановяване на нарушението, а по обективни причини. Надзорният орган е узнал за нарушението не от уведомление, получено от администратора, а въз основа на жалба на субекта на данни.
Аргументите на ответника, че нарушението не е съпроводено с имуществени вреди за субекта на данни, изразяващи се в неустойки, не следва да се възприемат като смекчаващо отговорността обстоятелство, най-малкото поради това, че субектът на данни не е допринесъл с действията си за процесното обработване на лични данни.
Тъй като администраторът е юридическо лице, то въпросът за умисъла не е приложим.
Смекчаващо отговорността обстоятелство е, че администраторът е преустановил нарушението по собствена инициатива.
Степента на отговорност на администратора следва да се категоризира като относително висока, имайки предвид, че въведените от същия организационни и технически мерки в съответствие с чл.24, §1 и §2 от Регламента, включително и политики за защита на данните, респективно упражненият контрол върху тях, не са достатъчни, за да бъде преустановено или избегнато нарушението. От това, че в първоначално подадената заявка за пренос на мобилен номер към друг мобилен оператор /Заявление за преносимост №****/ не е имало съответствие между титуляря на мобилния номер и лицето, подало заявката, от това, че въз основа на същото заявление е сключен Договор №****, в който е обективирано, че номер ***** с титуляр жалбоподателката П.А. е такъв на лицето И.А. /посочващ в заявление за преносимост от 15.04.2022г., че действа в качеството си на управител на дружество ****/, следва извод, че не са осъществени съответните превантивни и контролни механизми по отношение на действията, предхождащи смяната на доставчик на мобилни услуги, така че субектът на данни да бъде идентифициран еднозначно, да се изясни действителната му воля преди встъпването в договорни взаимоотношения с мобилния оператор, както и да се изясни въпросът дали заявеният за пренос номер принадлежи на лицето, представило го като свой. Същите изисквания са изрично въведени в разпоредбите на чл.230б, ал.4, изр. 21 и чл.230в, ал.22 от Закона за електронните съобщения.
Комисията не възприема аргументите на жалбоподателката, че същата е останала без мобилна услуга, доколкото това, че мобилният ѝ номер е преминал от една мобилна мрежа към друга не е равнозначно на оставане без услуга, предвид което така релевираните твърдения не биха могли да представляват отегчаващи отговорността обстоятелства.
Администраторът е осигурил съдействие на надзорния орган, но в хода на производството е предоставил противоречива и недостатъчна информация, така че да се идентифицират рисковете и причините, довели до извършеното нарушение.
В настоящата хипотеза администраторът не е реализирал преки или косвени финансови ползи, нито е избегнал загуби вследствие на нарушението, като същото е в резултат на независещи от него обстоятелства /нежеланието на жалбоподателката да ползва мобилните услуги на този оператор/.
Администраторът на лични данни Т.О.1 има предишни нарушения, свързани с основанията за обработване на лични данни и със сигурността на данни /така напр. Решение №ППН-01-162(2020)/2021г., с което на администратора е наложена санкция за нарушение на принципа на чл.6, §1 от Регламента/, нееднократно действията му са били обект на санкция от Комисията, като същата е разяснявала в редица свои решения приложението и смисъла на Регламента за защита на личните данни.
Предвид гореизложеното и на основание чл.38, ал.3 от ЗЗЛД, Комисията за защита на личните данни с 3 гласа „за“ и 0 „против“
РЕШИ:
1. Обявява Жалба №ППН-01-291/03.05.2022 на П.А. срещу Т.О.1 с за основателна.
2. На основание чл.58, §2, б.„и“ и чл.83, §5, б.„а“ от Регламента за нарушение на чл.6 и чл.5, §1, б.„а“ от Регламент (ЕС) 2016/679 налага на администратора Т.О.1 административно наказание– имуществена санкция в размер на 2000 /две хиляди/ лв.
3. На основание чл.58, §2, буква „г“ за нарушение на чл.24, §1 и §2 от Регламент /ЕС/ 2016/679 издава разпореждане на администратора Т.О.1 да съобрази операциите по обработването на лични данни с разпоредбите на Регламента съгласно мотивите на настоящото Решение, за изпълнение на което да представи доказателства в 3-месечен срок от влизане в сила на Решението.
След влизане в сила на настоящото Решение сумата по наложената административна санкция следва да бъде изплатена по следната банкова сметка на Комисията:
Банка БНБ– ЦУ
IBAN: BG18BNBG96613000158601 BIC BNBGBGSD
Титуляр: Комисия за защита на личните данни, БУЛСТАТ 130961721
Имуществената санкцията следва да бъде платена в 14-дневен срок от влизане в сила на Решението в противен случай ще бъдат предприети действия по принудително изпълнение.
Настоящото Решение може да бъде обжалвано в 14-дневен срок от връчването му чрез Комисията за защита на личните данни пред Административен съд София– град.
__________
1 „Доставчиците са длъжни да не забавят, да не злоупотребяват с процесите на смяна на доставчика и да не правят смяна на доставчика без изричното съгласие на крайните ползватели.“
2 „Крайните ползватели трябва да са подходящо осведомени и защитени по време на процеса и да не се прехвърлят към друг доставчик против волята им.“.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ | Цанко Цолов /п/ | |
| Веселин Целков /п/ |
