Решение по жалба с рег. № ППН-01-312/10.05.2018 г.

Комисията за защита на личните данни (КЗЛД, Комисията) в състав, членове: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков на редовно заседание, проведено на 31.10.2018г. и обективирано в протокол №41/31.10.2018г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни (ЗЗЛД), разгледа по същество жалба рег. №ППН-01-312/10.05.2018г., подадена от Н.Е.– ученичка в учебно заведение (У.З.), с потвърдени действия и съгласие от родителите: Х.Е.– майка и Г.Е.– баща.

Административното производство е по реда на чл.38 от ЗЗЛД.

Комисията за защита на личните данни е сезирана с жалба с рег. №ППН-01-312/10.05.2018г., подадена от Х.Е., в качеството ѝ на родител на ученичка в У.З. до МОН, препратена по компетентност до КЗЛД, в която са изложени твърдения за неправомерно обработвани лични данни в следствие на договор, сключен между директора на У.З. и финансова институция (Ф.И.), за изплащане на стипендии на ученици.

Изложено е, че на 07.03.2018г., Х.Е. в качеството си на родител– настойник на дъщеря си: Н.Е.– ученичка в У.З., г-жа Х.Е.„подписва листче“ за съгласие за получаване на стипендия за отличен успех по банкова сметка без банкови такси, открита във Ф.И. на името на Н.Е. Г-жа Х.Е. не дава съгласие за предоставяне от страна на У.З. на личните данни на дъщеря ѝ на трето лице.

На 15.03.2018г. и на 16.03.2018г. служители на Ф.И. са посетили У.З., които, според твърдения в жалбата, са указали натиск върху учениците, за да подпишат документи от името на своите родители, за да им предоставят пластика на дебитна карта и персонален идентификационен код за активиране /PIN/ на предоставената дебитна карта.

Изготвените документи представляват, както следва:

„Преференциални условия за учениците от У.З. със записани имена и телефони за контакт с гореспоменатите служители на Ф.И., липса на: посочен период за валидност на офертата, подписи на лицата, изготвили офертата, данни за дължими такси, печат на Ф.И., изх. №, доказателства за автентичност.

Предварително изготвен и попълнен служебно формуляр от Ф.И. с предварително попълнените лични данни– три имена и ЕГН, на дъщерята на жалбоподателя, както и попълнени данни за достъп ***** и цитиран плик №****. Датата от банковата система е 22.02.2018г. Документът е подписан от служител на Ф.И.;договор за платежна сметка.

Договор за издаване на дебитна карта Debit MasterCard PayPass със служебно маркирани характеристики на картата

Жалбоподателката моли да бъде извършена проверка от МОН във връзка с наличието на сключен договор от У.З. с Ф.И., с предмет: предоставяне на банкови карти, наличието на който е бил потвърден устно по телефона в телефонен разговор проведен от жалбоподателя на 16.03.2018г. с Ю.С.– служител на Ф.И. В допълнение, жалбоподателката моли да бъде гарантирана защитата на личните данни на учениците в У.З., като бъдат санкционирани виновните за неправомерното предоставяне на лични данни лица.

С писмо с рег. №ППН-01-312/#1 КЗЛД Комисията уведомява на основание чл.26 от Административнопроцесуалния кодекс (АПК) директора на У.З. за образуваното административно производство по жалбата и възможността за предоставяне на писмено становище в 7-дневен срок от получаване на писмото.

В становището на директора на У.З., са изложени твърдения, за недопустимост на жалбата, тъй като жалбата е насочена срещу директора лично, в качеството на директор на гимназията, а като такава тя не е в качеството на администратор на лични данни.

На второ място, в случай, че тезата за недопустимост не се приеме, счита жалбата за неоснователна. В становището се посочва, че г-жа Ш., в качетсвото ѝ на директор (към момента на подаване на жалбата) на У.З. е предприела експериментални действия за учебната 2017/2018г., относно въвеждането на нова практика във връзка с получаването на сумите за стипендиите на учениците на У.З., а именно да се премине към плащане по банков път, за което получава одобрението и подкрепата на колегите си. Поради факта, че обслужващата банка на У.З. е Ф.И.2, задължение на банка Ф.И.2 е да нареди препращането на сумите по ученическите стипендии по сметки, заявени като желание от страна на учениците. С цел по-бърз процес, е сключена спогодба между директора на У.З. и директора на клон в Ф.И. да бъдат разкрити служебни неактивни сметки на всички стипендианти за втори срок на учебната 2017/2018г., които да бъдат активирани едва след подписване и получаване на необходимия набор от документи за тази цел. Изискани са декларации– съгласие на родителите на бланка, съставена от У.З>, за подаване на заявление за издаване на дебитна карта с преференциални условия за получаване на стипендия. В тази връзка по силата на подписаната спогодба се предоставя на Ф.И. необходимата информация за учениците– стипендианти по електронен път на г-жа M.K., която като представител на Ф.И. се задължава данните да се използват само за тази цел. В У.З. служители на Ф.И. раздават на учениците декларации за съгласие, които се подписват от желаещите ученици и техните родители. В случай на отказ декларацията да бъде подписана, неактивните сметки се закриват.

Приложени са копия на документи, заверени „Вярно с оригинала“, както следва: оферта от Ф.И., спогодба, декларации, решение на педагогическия съвет, платежно за превод от Ф.И.2 към Ф.И.

В писмо с изх. №ППН-01-312#2/31.05.2018г. КЗЛД информира Ф.И. за образуваното административно производство и възможността за предоставяне на писмено становище и относими доказателства в 7-дневен срок от получаване на писмото.

В отговор Ф.И. излага следните твърдения:

На 12.02.2018г. е представено на У.З.– гр. София, предложение за преференциални тарифни условия за ученици на гимназията, като на 14.02.2018г. е сключен договор между У.З. и Ф.И., по силата на който Ф.И. поема задължението да открие сметки на учениците– стипендианти, с условието сметките да бъдат активирани след събирането на пълен набор от необходимите документи, включително съгласие от родител. Поради факта, че писмено съгласие от родител на Н.Е. не е получена, сметката ѝ е закрита.

Данните на учениците са получени от У.З. На срещата между представителите на Ф.И. и учениците на последните са предоставени документи, от които е виден обемът на получените данни. Предоставени са им и общите условия, съдържащи подробна информация относно обработването на данните.

Приложени са споразумението между Ф.И. и У.З. и образец на декларация– съгласие.

Жалба с рег. №ППН-01-312≠7/23.07.2018г. е подадена от Н.Е.– ученичка в У.З. с потвърдени действия и съгласие от родителите: Х.Е.– майка и Г.Е.– баща срещу осъществени едностранни действия от директора на У.З. и сключване на договор с Ф.И. за изплащане на стипендии на ученици, в т.ч. неправомерно по смисъла на ЗЗЛД предоставяне на лични данни на ученици на трети лица. Съдържанието на жалбата еидентично с това на жалба с рег. №ППН-01-312/10.05.2018г.

Писмо с изх. №ППН-01-312#9/07.08.2018г. е изпратено от КЗЛД до директора на У.З. с указание да бъде изпратена на Комисията информация какъв обем лични данни са предоставени на Ф.И. за разкриване на служебни неактивни сметки и на какво основание. Уведомени са, че на основание чл.58, § 1, б. „а“ и „д“ от Общ регламент за защита на личните данни (Регламента), във връзка с чл.22, ал.5 от ЗЗЛД, са длъжни да предоставят на Комисията всяка информация, която тя поиска за изпълнение на задачите си. При неизпълнение на дадените указания, на основание чл.83, § 5, б. „д“ от Регламента, ще бъде наложено административно наказание на У.З. за непредоставяне на достъп до цялата информация, от която КЗЛД се нуждае, за да упражни правомощията си.

Писмо с изх. №ППН-01-312#8/ 07.08.2018г. е изпратено от КЗЛД управителя на Ф.И. със съдържание горепосочените указания и поискана информация за необходимите документи и използваните лични данни за разкриване на служебни неактивни сметки.

Жалбата на Н.Е. с потвърдени действия и съгласие от родителите: Х.Е. и Г.Е. е съобразена в цялост с изискванията за редовност, съгласно чл.30, ал.1 от Правилник за дейността на Комисията за защита на личните данни и нейната администрация (ПДКЗЛДНА), а именно: данни за жалбоподателя, естество на искането, дата и подпис. Жалбата е процесуално допустима. Подадена е в срока по чл.38, ал.1 ЗЗЛД, а именно едногодишен срок от узнаване на нарушението, но не по-късно от пет години от извършването му.

В чл.27, ал.2 от АПК законодателят обвързва преценката за допустимост на искането с наличие на посочените в текста изисквания. Приложимостта на ЗЗЛД е свързана със защитата на физически лица във връзка с обработването на техните лични данни от лица, имащи качеството „администратори на лични данни“.

На проведено закрито заседание на 03.10.2018г., обективирано в протокол №38/03.10.2018г., жалбата е обявена за процесуално допустима, конституирани са страни – жалбоподател Н.Е. и ответни страни– У.З. и Ф.И., редовно уведомени за насроченото на 31.10.2018г. открито за заседание.

На проведеното открито заседание, представителят на Ф.И. предоставя като доказателство декларация от 07.03.2018г., от която е видно изразеното от г-жа Х.Е., майка на Н.Е., съгласие за издаване на дебитна карта.

Процесуалният представител на У.З. разяснява, че родителите са били уведомени от класните ръководители на проведена родителска среща през месец януари за идеята за откриване на банкови сметки на учениците.

Жалбата е подадена от физическо лице с правен интерес, чиито лични данни, са обработвани от У.З., която има качеството на администратор на лични данни.

Съгласно чл.57,§. 1, т.„е“ от Регламент 2016/679 при сезирането ѝКомисията за защита на личните данни разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на субекти на данни.

Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните, Регламента) урежда правилата по отношение защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни. Целта на Регламента е да се защитят основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни.

Предвид влизането в сила на 25.05.2018г. на Регламент 2016/679 следва да бъде направено и отбелязването, че съгласно чл.288 от ДФЕС „Регламентът е акт с общо приложение. Той е задължителен в своята цялост и се прилага пряко във всички държави-членки.“ Съгласно чл.15, ал.2 от Закона за нормативните актове (ЗНА) „ако нормативен акт противоречи на регламент на Европейския съюз, прилага се регламентът“.

Разгледана по същество жалбата е частично основателна. Същата има за предмет неправомерно обработване– предоставянето и употребата на името и единния граждански номер (ЕГН) на ученичка– стипендиант (жалбоподателката) от У.З. за разкриване на неактивна сметка и създаване на банкова карта (пластика) от Ф.И. за получаване на ученическа стипендия.

От събраните по преписката доказателства се установи, а и между страните не спорно, че през учебната 2017/2018г. Н.Е. е била ученичка в У.З. От изразените становища и предоставените доказателства от У.З. и Ф.И. е видно, че между Ф.И. и У.З. е подписан спогодба за разкриване на банкови сметки и карти (пластики) на 12.02.2018г. От Ф.И. със становище заведено с рег. №ППН-01-312#3/11.06.2018г. е посочено, че на 14.02.2018г. е сключен договор между Ф.И. и У.З., по силата на който Ф.И. поема задължението за откриванена сметки. Не е спорно по преписката а и между страните, че декларации с които се изисква съгласието от родителя на непълнолетно дете са предоставени на 07.03.2018г. на учениците. Безспорно е установено по административната преписка, че служители на Ф.И. на 15-16.03.2018г. са посетили У.З., за да бъдат раздадени индивидуалните договори на учениците, които следва да бъдат подписани от техните родители. От предоставените от жалбоподателката доказателства е видно, че договорът за платежна сметка и договорът за издаване на дебитна карта съдържат трите имена и единния граждански номер на жалбоподателката, като същите са с дата 20.02.2018г. От събраните в административното производство доказателства е видно, че данните са предоставени от У.З. на Ф.И. по електронен път в периода от 14.02.2018 до 20.02.2018г. (датата на извършване на нарушението от стана на У.З.). От хронологията на извършените действия следва, че данните са предоставени от У.З. на Ф.И. преди да е изискано и получено съгласието от родителя на ученика от една страна и от друга страна, Ф.И. е използва данните, подготвяйки договор за платежна сметка и договор за издаване на дебитна карта.

За пълнота следва да бъде отбелязана целта за разкриването на банкови сметки на учениците– стипендианти, а именно улесняване на процеса на получаване на стипендия. Следва също така да се има предвид, че е подготвена декларация за съгласие за обработване на личните данни на учениците– стипендианти от училището, макар и на един по– късен етап от У.З.

В допълнение по отношение на Ф.И. се прави отбелязването, че за откриване на банкови сметки, информацията, което е необходима на банките е регламентирана в разпоредбата на чл.5, ал.2 от Наредба №3 на БНБ за условията и реда за откриване на платежни сметки, за изпълнение на платежни операции и за използване на платежни инструменти. Съгласно т.1 от цитираната Наредба на Ф.И. са необходими личните данни на титуляря на сметката подокумент за самоличност. Видно от вътрешните правила на Ф.И. и инструкция 216 „Мерки срещу изпирането на пари и финансирането на тероризъм; Познай своя клиент– общи познания“, за всички физически лица трябва да бъдат събрани поне следните идентификационни данни: имена; ЕГН; дата и място на раждане; адрес– постоянен и настоящ; гражданство; държава на постоянно пребиваване; вид, номер и издател на идентификационния документ. По отношение на Ф.И., съгласно разпоредбата на чл.1, ал.7 от Правилника за прилагане на Закона за мерките срещу изпирането на пари, банката разполага със законова възможност за откриване на сметка преди да е приключила процедурата по идентификация на клиента.

Съгласно легалната дефиниция, посочена в чл.2, ал.1 от Закона за защита на личните данни (ЗЗЛД), респективно чл.4, т.1 от Регламент (ЕС) 2016/679 (Общ регламент относно зашитата на данните), който се прилага от 25.05.2018г., лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци, тъй като чрез тях лицето може безспорно да бъде индивидуализирано.

Съгласно ЗЗЛД, респективно Регламент (ЕС) 2016/679 обработването на лични данни от администратори на лични данни, както в публичната, така и в частната сфера е законосъобразно, ако е налице някое от правните основания, изчерпателно изброени в чл.6, параграф 1 от Регламент (ЕС) 2016/679: субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели; обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор; обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора; обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице; обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора; обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

Съгласието е едно от основанията за събиране и обработване на лични данни. Независимо от факта, че то е посочено на първо място, важно е да се знае, че всички правни основания са алтернативни и равнопоставени, като същите не са подредени в йерархична зависимост. Наличието на което и да е от тях прави обработването законосъобразно, при условие, че са спазени и другите изисквания на регламента.

От събраните в административното производство доказателства е видно, че между Ф.И. и У.З. е налице договорно основание за обработване на личните данни, съгласно разпоредбата на чл.4, ал.1, т.3 от ЗЗЛД, респективно чл.6, пар. 1, б. „б“ от ОРЗД и по този начин за Ф.И. е налице правно основание за обработване на личните данни. Несъгласен с последното, г-н Цанко Цолов, член на Комисията е изразил особено мнение, което е приложено катонеразделна част от настоящото решение.

От събраните по административната преписка доказателства следва, че личните данни са предоставени по електронен път от У.З. на Ф.И. в периода 14.02.-20.02.2018г., а декларациите, с които се изисква съгласие от родителите на непълнолетни деца са предоставени на 07.03.2018г. От представените доказателства учебното заведение не е предоставило, правила– технически и организационни мерки относно обработването на лични данни на учениците в хипотезата на предоставянето им от страна на учебното заведение на Ф.И. за откриване на банкова сметка на ученик, по която да се изплащат стипендии. В изготвените от У.З. образци на декларации за информирано съгласие на правоимащия ученик и неговия родител, същите предоставени на учениците след откриването на банкова сметка на жалбоподателката, също не е разписан начина на обработване– събиране и употреба на три имена и ЕГН на учениците за посочената цел.

Договорът за платежна сметка и договорът за издаване на дебитна карта са с дата 20.02.2018г., т.е личните данни са предоставени от У.З. на Ф.И. без да е налице изрично съгласие от страна на субекта на данни.

Предвид обстоятелството, че в конкретния случай, че не е налице нито една от алтернативно посочени хипотези в чл.4, ал.1 от ЗЗЛД, респективно чл.6, апр. 1 от Регламент 2016/679 следва, че личните данни на жалбоподателката са предоставени от У.З. на Ф.И. в периода от 14.02.-20.02.2018г. за откриване на сметка и издаване на дебитна карта в нарушение на чл.4, ал.1 от ЗЗЛД, респективно чл.6, апр. 1 от Регламент 2016/679, без наличие на условие за допустимост на обработването. По отношение на учебното заведение, г-жа Мария Матева, член на Комисията, не споделя изводите на КЗЛД, предвид което е изразила особено мнение, приложено, като неразделна част от настоящото решение.

Комисията разполага с оперативна самостоятелност, като преценява кое от своите корективни правомощия по чл.58, пар. 2 от Регламент 2016/679 да реализира. Преценката се основава на съображенията за целенасоченост, целесъобразност и ефективност на решението, като следва да се постанови акт, който в най-пълна степен да защитава обществения интерес. Правомощията по чл.58, пар. 2, без тази по буква „и”, имат характера на принудителни административни мерки, чиято цел е да предотвратят извършването на нарушение или ако извършването е започнало– да го преустанови, като по този начин се обективира изисканото от закона поведение. Административното наказание „глоба” или „имуществена санкция” по чл.58 пар. 2, буква „и” има санкционен характер. Относно прилагането на подходящата корективна мярка по член 58, пар. 2 от Регламента следва да се има предвид естеството, тежестта и последиците от нарушението, като се оценят всички факти по случая. Оценката за това, какви мерки са ефективни, пропорционални и възпиращи във всеки отделен случай трябва да отразява целта, преследвана с избраната корективна мярка, т.е. възстановяване на спазването на правилата, санкциониране на неправомерно поведение или и двете (каквато възможност е предвидена в чл.58, пар. 2, буква „и”).

Съгласно гореизложеното и в рамките на оперативната самостоятелност, и като прецени факта, че нарушението на правилата за обработване на личните данни е довършено и последиците от него са настъпили за субекта на данните, и с цел да поправи настъпилите неблагоприятни последици, единствено имуществена санкция, като мярка на административна принуда, се явява най-целесъобразна и ефективна мярка, предвид което Комисията налага на администратора на лични данни У.З. административно наказание– имуществена санкция, като корективна мярка по член 58, параграф 2, буква „и“ от Регламента, за нарушение на разпоредбата на чл.4, ал.1 от ЗЗЛД, респективно чл.6, пар. 1 от ОРЗД, като същата се явява целесъобразна и ефективна мярка, за защита на законовия обществен интерес. Комисията счита, че имуществената санкция ще има възпитателно въздействие и ще допринесе за спазване от страна на администратора на установения правен ред, като при определяне на размера на наложена санкция взе предвид, че нарушението е първо за администратора. Следва да се отбележи, че освен чисто санкционна мярка, реакция на държавата към извършеното нарушение на нормативно установените правила, имуществената санкция има и дисциплиниращо действие, с оглед неизвършването на същото нарушение за напред. Администраторът е длъжен да познава закона и да спазва неговите изисквания, още повече, че той дължи необходимата грижа, предвидена в закона и произтичаща от предмета му на дейност, кадровия и икономически ресурс.

С оглед гореизложеното, Комисията за защита на личните данни се произнесе със следното

1. При особено мнение на г-н Цолов, но при мнозинство от три гласа, оставя без уважение като неоснователна жалба с рег. №ППН-01-312/10.05.2018г., подадена от Н.Е.– ученичка в учебно заведение, с потвърдени действия и съгласие от родителите: Х.Е.– майка и Г.Е.– баща по отношение на финансовата институция, предвид факта, че за финансовата институция е установено договорно основание за обработване на данните, съгласно разпоредбата на чл.6, § 1, , б. „б“ от Общия регламент за защита на данните.

2. При особено мнение на г-жа Матева, но с мнозинство от три гласа, обявява жалба с рег. №ППН-01-312/10.05.2018г. за основателна по отношение на учебното заведение.

3. Във връзка с т.2 и на основание чл.58, § 2, буква „г“ от Общия регламент за защита на данните налага на учебно заведение, БУЛСТАТ *******, със седалище и адрес на управление *******, в качеството му на администратор на лични данни, административно наказание– имуществена санкцияв размер на 1000лв. (хиляда лева), съгласно разпоредбата на чл.83, § 5, буква „а“ за нарушение на чл.6, § 1 от Регламент (ЕС) 2016/679.

След влизане в сила на решението, сумата по наложените наказания да бъде внесена в брой в касата на Комисията за защита на личните данни, находяща се в гр. София, бул. „Проф. Цветан Лазаров“ №2 или преведена по банков път:

Банка БНБ– ЦУ

IBAN: BG18BNBG96613000158601

BIC BNBGBGSD

Комисия за защита на личните данни, БУЛСТАТ 130961721

Решението на Комисията за защита на личните данни може да се обжалва пред Административен съд София– град в 14-дневен срок от получаването му.