РЕШЕНИЕ
№ППН-01-3/2018г.
София, 01.08.2018г.
Комисията за защита на личните данни (КЗЛД) в състав: Цанко Цолов, Мария Матева и Веселин Целков на заседание, проведено на 25.04.2018г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни, разгледа по същество жалба рег.№ППН-01-3/02.01.2018г., подадена от Л.И.Л.
Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).
Комисията за защита на личните данни е сезирана с жалба, подадена от Л.И.Л., в която са изложени твърдения за неправомерен достъп до личните й данни от страна на „Банка ДСК“ ЕАД посредством осъществена на 22.12.2017г. справка по електронен път в базата данни на НОИ касаеща данни за трудовия и осигурителния й статус.
Жалбоподателката информира, че е била в трудови правоотношения с „Банка ДСК“ ЕАД, същите прекратени на 18.12.2017г. Твърди, че на 22.12.2017г., след прекратяване на отношенията си с дружеството, служител на банката, полагащ труд в Дирекция „Недвижими имоти“, е направил справка посредством електронния достъп предоставен от НАП на дружеството и е генерирал от базата данни на НАП справка за осигурителния й статус и наличието на регистрирани трудови договори, по които е страна. Жалбоподателката твърди, че достъпването до личните й данни от вече бившия й работодател е неправомерно – без нейно знание и съгласие и без наличие на правно основание и в нарушение на правата й по ЗЗЛД. В тази връзка моли Комисията за проверка по случая и ангажиране на административно-наказателната отговорност на дружеството.
Към жалбата е приложено копие на Заповед за прекратяване на трудов договор№125/20.11.2017г., по описа на „Банка ДСК“ ЕАД.
В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, от „Банка ДСК“ ЕАД е изисканописмено становище.
В отговор от дружеството изразяват становище, без приложени към него доказателства. Информират, че жалбоподателката е била служител на банката назначена на длъжност в дирекция „Недвижими имоти“ и допълват, че на 18.12.2017г. трудовото правоотношение между страните е прекратено. Твърдят, че от извършена служебна проверка по повод образуваното в Комисията производство е установено, че на 22.12.2017г. от служител на банката, който има достъп за служебни цели, е извършена справка по индивидуалната партида на г-жа Л.И.Л. в електронния регистър за социално осигуряване на НОИ. Сочат, че справката е извършена без основание и извън служебните задължения на служителя, в нарушение на закона и вътрешните правила на дружеството и са предприети действия за налагане на дисциплинарно наказания на отговорни служител.Информират, че от страна на банката ще бъдат предприети допълнителни организационни мерки за предотвратяване на бъдещи нарушения.
Комисията за защита на личните данни е независим държавен орган, който осъществява защита на лицата при обработването на личните им данни и при осъществяване на достъпа до тези данни, както и контрол по спазването на Закона за защита на личните данни.
За да упражни правомощията си, Комисията следва да бъде валидно сезирана.
Жалбата съдържа задължително изискуемите реквизити, посочени в разпоредбата на чл.30, ал.1 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация, а именно: налице са данни за жалбоподателя, естеството на искането, дата и подпис, с оглед което същата е редовна.
Жалбата е процесуално допустима, подадена в срока по чл.38, ал.1 от ЗЗЛД от физическо лице с правен интерес. Същата има за предмет неправомерен достъп от страна на „Банка ДСК“ ЕАД до лични данни на жалбоподателката касаещи осигурителни и трудовия й статус посредством достъпването им по електронен път на 22.12.2017г. С жалбата е сезиран компетентен да се произнесе орган– КЗЛД, която съгласно правомощията си по чл.10, ал.1, т.7 от ЗЗЛД разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по ЗЗЛД.
Наличието на администратор на лични данни е абсолютна процесуална предпоставка за допустимост на жалбата. Жалбата е насочена срещу „Банка ДСК“ ЕАД което видно от събраните доказателства и твърденията на страни има качеството на администратор на лични данни по отношение на жалбоподателката. От направена служебна справка в Електронния регистър на администраторите на лични данни и на водените от тях регистри се установи, че дружеството е регистрирано като администратор на лични данни с идент. №7302 и заявени 12 регистъра.
На проведено на 28.03.2018г. заседание на Комисията жалбата е приета за процесуално допустима и като страни в производството са конституирани: жалбоподател– Л.И.Л. и ответна страна– „Банка ДСК“ ЕАД. С оглед изясняване на случая от правна и фактическа страна от ответната страна са изискани допълнителни доказателства, които в отговор и с писмо ППН-01-3#11/16.04.2018г. са предоставени.
В хода на производството от НОИ служебно са изискани и в отговор е предоставена информация за достъпване на личните данни на жалбоподателката съдържащи се информационните масиви на НОИ от страна на „Банка ДСК“ ЕАД на 22.12.2017г. посредством услугата „Уеб Сервис“.
На проведено на 25.04.2018г. заседание на КЗЛД, жалбата е разгледана по същество.
Жалбоподателката– редовно уведомена, не се явява, не се представлява.
Ответната страна– „Банка ДСК“ ЕАД– редовно уведомена, представлява се от юрисконсулт П. Процесуалният представител на дружеството поддържа изразеното е хода на административното производство писмено становище, не оспорва жалбата и потвърждава извършеното нарушението. Твърди, че дружеството е предприело мерки и на виновните лица са връчени заповеди за наложени дисциплинарни наказания, копие от които представя в заседанието.
В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл.7 от Административно-процесуалния кодекс, изискващ наличието на установени действителни факти, имайки предвид събраните писмени и гласни доказателства и наведените от страните твърдения Комисията приема, че разгледана по същество жалба №ППН-01-3/02.01.2018г. е основателна.
Същата има за предмет неправомерен достъп от страна на „Банка ДСК“ ЕАД до лични данни на жалбоподателката касаещи осигурителни и трудовия й статус посредством достъпването им по електронен път на 22.12.2017г.
От събраните по административна преписка доказателства се установи, а и между страните не е спорно, че жалбоподателката е била в трудови правоотношения с дружеството, същите прекратени считано от 18.12.2017г. Не е спорно, че между НОИ и „Банка ДСК“ ЕАД има сключен договор за предоставяне на информация за дейности по социално осигуряванеи съгласно КСО в съответствие с Правилата за реда и условията за сключване на договори за предоставяне на информация и на информационни продукти за обработване на информация и за дейности по социално осигуряване, на дружеството е предоставена възможност да се проверяват данни относно осигуряването на физическите лица, данни от регистъра за трудовите договори, данни за внесените от осигурителя осигурителни вноски.
Видно от събраните доказателства на 22.12.2017г. в интервала между 12:27 и 12:34 часа чрез услугата „Уеб Сервис“ и с потребителско име ****, предоставено за достъп до базата данни на НОИ на „Банка ДСК“ ЕАД, чрез въвеждане на единен граждански номер на жалбоподателката са достъпени личните й данни съхранявани в базата данни на НОИ и са направени справки за текущо състояние (социално осигуряване) и справка за регистрирани трудови договори с лицето.
Видно от доказателствата по преписката справките са направени от служители на дружеството– Д.В. и Н.В. същите на длъжност в дружеството съответнo **** и *****. Отделно от това и видно от доказателствата на 21.12.2017г. личните данни на жалбоподателката са достъпвани и от Ж.Р. на длъжност *****.
Между страните не е спорно, че данните са достъпвани без наличие на правно основание – без изразено от жалбоподателката съгласие и без наличие на условие за допустимост на обработването. На тази извод навеждат и дадените от служителите Д.В., Ж.Р. и Н.В. писмени обяснения по случая, както и аргументите на ответната страна за осъществявания достъп мотивиран от интереса на бившите колеги на жалбоподателката да установят „кой е новия й работодател“.
Съгласно легалното определение на чл.2, ал.1 от ЗЗЛД съдържащите се в база данни на НОИ данни за физическите лица безспорно имат качеството на лични данни, а достъпа до данни, е действие по обработването им– достъпването им следва да се осъществяват съобразно разпоредбите на ЗЗЛД, при предприемане от страна на администратора на лични данни достъпващ данните на необходимите технически и организационни мерки за защита на данните от случайно или незаконно унищожаване, от случайна загуба, или от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.
Предвид събраните по преписката доказателства се налага извода, че администраторът на лични данни не е предприел необходимите технически и организационни мерки за защита на личните данни на жалбоподателката от неправомерен достъп, или предприетите такива са явно недостатъчни, предвид обстоятелството, че съдържащите се в регистрите на НОИ личните данни на жалбоподателя са достъпвани от посочените служителите на дружеството, без това да е свързано със служебните им задължения и след прекратяване на правоотношението с жалбоподателката. Липсата на мерки от страна на „Банка ДСК“ ЕАД по текущ контрол, относно достъпа на служители на дружеството до лични данни на физическите лица в регистрите поддържани от НОИ, са довели до осъществения по електронен път на 21-22.12.2017г. неправомерен достъп до лични данни на жалбоподателката от посочените служители на дружеството посредством предоставено на „Банка ДСК“ ЕАД потребителско име ****** за служебен достъп до НОИ, същият резултат от неизпълнението на вмененото на администратора на лични данни задължениепо чл.23, ал.1 от ЗЗЛД.
В рамките на оперативната си самостоятелност Комисията счита, че с оглед характера на констатираното нарушение налагането на принудителни административни мерки (задължително предписание или определяне на срок за отстраняване на нарушението) е нецелесъобразно и мерките са неприложими в случая, предвид обстоятелството че нарушението е довършено с акта на своето извършване и е неотстранимо. Даването на срок за отстраняване на нарушението се явява безпредметно. То, като принудителна административна мярка е приложимо в хипотеза, в която продължава извършването на съответното нарушение или същото е отстранимо. В настоящия случай, както беше отбелязано, това е невъзможно.
Комисията за защита на личните данни разполага с правомощие да даде задължително предписание на администратора на лични данни, но то касае ситуации в които, администраторът не е изпълнил свое задължение, който пропуск може да санира, като в предоставения му срок извърши пропуснатите действия и обективира изискваното от закона поведение.
Единствено имуществената санкция, като мярка на административна принуда, се явява най-целесъобразна и ефективна мярка. Следва да се отбележи, че освен чисто санкционна мярка, реакция на държавата към извършеното нарушение на нормативно установените правила, имуществената санкция има и дисциплиниращо действие, с оглед неизвършването на същото нарушение за напред. Администраторът е длъжен да познава закона и да спазва неговите изисквания, още повече, че той дължи необходимата грижа, предвидена в ЗЗЛД и произтичаща от предмета му на дейност, кадровия и икономически ресурс.
Мотивирана от горното и в рамките на оперативната си самостоятелност Комисията налага на администратора на лични данни административно наказание за нарушение на разпоредбите на ЗЗЛД, като счита, че същото ще има възпитателно въздействие и ще допринесе за спазване от страна на администратора на установения правен ред. При определяне на размерът на административното наказание Комисията отчита като утежняващо обстоятелство и основание за налагане на санкция над минимума предвиден в закона за това нарушение факта, че нарушението е извършено нееднократно, както и факта, че нарушението не е първо за администратора на лични данни, на който с влязло в сила Решение №512/24.10.2016г. на КЗЛД е наложена санкция за нарушение на чл.23, ал.1 от ЗЗЛД.
Водима от горното и на основание чл.38, ал.2, във връзка с чл.10, ал.1, т.7 от Закона за защита на личните данни, Комисията за защита на личните данни,
РЕШИ:
1. Обявява жалба №ППН-01-3/02.01.2018г. за основателна.
2. На основание чл.42, ал.9 от ЗЗЛД налага на „Банка ДСК“ ЕАД с ЕИК 121830616, със седалище и адрес на управление гр. София, ул. „Московска“ №19, в качеството му на администратор на лични данни, административно наказание – имуществена санкция в размер на 2500 лв. (две хиляди и петстотин лева) за нарушение на чл.23, ал.1 от ЗЗЛД.
След влизане в сила на решението, сумата по наложеното наказание да бъде внесена в брой в касата на Комисията за защита на личните данни, находяща се в гр.София, бул.„Проф. Цветан Лазаров" №2 или преведена по банков път:
Банка БНБ– ЦУ,
IBAN: BG18BNBG96613000158601,
BIC BNBGBGSD
Комисия за защита на личните данни, БУЛСТАТ 130961721
Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд – София – град.
| ЧЛЕНОВЕ: | ||
| |
Цанко Цолов /п/ | |
| Мария Матева /п/ | ||
| Веселин Целков /п/ |
