Решение по жалба с рег. № ППН-01-342/20.04.2021 г.

Комисията за защита на личните данни (КЗЛД, Комисията) в състав, председател, Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков на редовно заседание, проведено на 13.10.2021г. и обективирано в протокол№42/13.10.2021г., на основание чл.10, ал.1 от Закона за защита на личните данни (ЗЗЛД) във вр. с чл.57, §1, б.„е“ от Регламент(ЕС) 2016/679, разгледа по същество жалба с рег. №ППН-01-342/20.04.2021г., подадена от Й.М. срещу Столична община.

В жалбата Й.М. е посочила, че е подала сигнал в Столична община, през Контактния център за гражданите, като сигналът, който подала е препратен от Столична община на трето лице, без нейно съгласие, в нарушение на правата ѝ по ЗЗЛД.

В условията на залегналото в административния процес служебно начало и в изпълнение на чл.26 АПК, за започване на производството е уведомена Столична община. Предоставена е възможността по чл.34, ал.3 АПК за изразяване на становища с относими доказателства по предявените в жалбата твърдения.

От общината е постъпило становище с рег. №ППН-01-290#4/21.06.2021г., в което е описано, че сигналът, подаден от г-жа Й.М. с №СОА21-КЦ01-10146/24.02.2021г. е насочен съгласно „Вътрешните правила за организацията на работа и задълженията на служителите в отдел „Контактен център на Столична община“ на дирекция ”Административно обслужване” към направление „Обществено строителство” за процедиране по компетентност. След разглеждане на сигнала и във връзка със сключен договор между Столична община и ДЗЗД с рег.№*** с предмет „Осъществяване на инвеститорски контрол по изпълнението на обет СМР за отводняване на пътното платно по ул.“Шумако” от ул.“Св.Мария Магдалина“ до ЧОУ „Дрита”, кв.”Симеоново”, направление „Обществено строителство”, като сигнала е изпратен до ДЗЗД, тъй като в рамките на гаранционния срок на обекта консултантът има задължение за извършване на периодичен оглед на обекта след неговото приемане, с цел своевременно документиране и отстраняване на евентуално появили се дефекти в гаранционния срок. Сигналът на г-жа Й.М. е следвало да бъде изпратен до дружеството със заличени лични данни, но служителят, към който е разпределена преписката за процедиране поради натовареността на администрацията и по невнимание допуска грешка и същият е изпратен без да са обезличени личните данни. В случая данните са изпратени на лице, с което Столична община има сключен договор да осъществява контрол върху строителната дейност, по повод на която е сигналът.

За да упражни правомощията си, Комисията следва да бъде валидно сезирана.

Разглежданата жалба съдържа задължително изискуемите реквизити, посочени в разпоредбата на чл.30, ал.1 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация (ПДКЗЛДНА), а именно: налице са данни за жалбоподателя, естеството на искането , дата и подпис, с оглед което същата е редовна.

Съгласно чл.38, ал.1 от Закона за защита на личните данни (ЗЗЛД) при нарушаване на правата му по Регламент 2016/679 и ЗЗЛД всеки субект на данни има право да сезира Комисията за защита на личните данни в срок 6 месеца от узнаване на нарушението, но не по-късно от две години от извършването му.

В чл.27, ал.2 от АПК законодателят обвързва преценката за допустимостта на искането с наличие на посочените в текста изисквания. т.6 на посочената разпоредба препраща към процесуалнипредпоставки,посоченив други нормативни актове. Съгласно чл.57, пар. 1, 6. ,,е“ от Регламент 2016/679 във връзка с уточнението, направено в съображение 122 към Регламента, при сезирането и, Комисията разглежда жалби, подадени от субектина данни срещуадминистраторили обработващлични данни, публиченорганили частна структура, действаща в обществен интерес.

На заседание на Комисията, проведено на 14.07.2021г., жалбата е обявена за процесуално допустима, а като страни в производството са конституирани: жалбоподател Й.М. и ответна страна Столична община, посочено като пасивно легитимирана страна от жалбоподателя. На страните е указано разпределянето на доказателствената тежест. Уведомени са за разглеждането на жалбата по същество.

Комисията за защита на личните данни е независим държавен орган, който осъществява защита на лицата при обработването на личните им данни и при осъществяване на достъпа до тези данни, както и контрол по спазването на Регламент 2016/679 и Закона за защита на личните данни.

Предмет на жалбата е неправомерно предоставяне на лични данни в обем три имена, телефонен номер, имейл адрес и адрес на жалбоподателката от Столична община на трето лице.

По административната преписка не е спорно, че г-жа Й.М. е подала сигнал за некачествен ремонт на ул. „Шумако“, ж.к. Симеоново до Столична община чрез контактен център, заведен с рег. №СОА21-КЦ01-10146/24.02.2021г. Не е спорно, че Столична община е изпратила сигнала на ДЗЗД с писмо изх. №СОА21-ТД26-3004 на 11.03.2021г.

Разгледана по същество жалбата е основателна.

Понятието “лични данни“, което фигурира в тези разпоредби, включва, съгласно определението в член 4, §1 от Регламент (ЕС) 679/2016 “всяка информация, свързана с идентифицирано или подлежащо на идентификация лице“. За подлежащо на идентифициране лице се смята “лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор, идентификационен номер …. или чрез един или повече специфични признаци, отнасящи се до неговата физическа, физиологична …. идентичност“.

По административната преписка не е спорно, че личните данни на жалбоподателката, в обем: три имена, електронен адрес, телефонен номер и постоянен адрес, са изпратени с писмо от Столична община на ДЗЗД, без да е направено необходимото заличаване на данните на жалбоподателката. Не е спорно, че от общината е сключен договор №СОРД55-709 от 05.11.2014г., с предмет „Осъществяване на инвеститорски контрол по изпълнението на обект СМП за отводняване на пътното платно по ул. „Шумако“ от ул. „Св. Мария Магдалена“ до ЧОУ „Дрита“, кв. „Симеоново“. Не е спорно, че от Столична община е изработена „Инструкция за работа на служителите на Столична община при обработка на документи, получени чрез Контактния център“. Столична община не отрича допуснатата техническа грешка, предвид натовареност на служителите от общината. Въпреки сключени между общината и ДЗЗД договор, не е налице основание за предоставяне на данните на жалбоподателката на последното. Безспорно е, че от Столична община при установяване на нарушението са сигнализирали ДЗЗД, следствие на което е налице декларация за унищожаване на данните на жалбоподателката, която съдържа в себе си и изявление, че данните не са предоставени на трети лица.

С оглед разпределяне на доказателствената тежест в процеса и събраните по преписка доказателства се налага изводът, че личните данни на г-жа Й.М. са обработени в нарушение на принципа за свеждане на данните до минимум, разписан в разпоредбата на чл.5, §1, б.„в“ от Регламент (ЕС) 2016/679.

Предвид характера и вида на нарушението, обстоятелството, че от Столична община са предприели последващи действия и факта, че са налице правила за обработване лични данни при постъпване по електронен път, Комисията счита, че е целесъобразно да бъде отправено официално предупреждение до администратора по смисъла на чл.58 §2, б.„б“ от Регламента.

Комисията действа в условията на оперативна самостоятелност като преценява кое от своите правомощия да реализира. Преценката се основава на съображенията за целенасоченост, целесъобразност и ефективност на решението, като следва да се постанови акт, който в най-пълна степен да защитава обществения интерес. Правомощието относно прилагане на подходяща корективна мярка по отношение на администратора на лични данни касае ситуации, в които администраторът не е изпълнил свое задължение, който пропуск може да санира, като в предоставения му срок извърши пропуснатите действия и обективира изискваното от закона поведение. Относно прилагането на подходящата корективна мярка по член 58, параграф2 от Регламента следва да се има предвид естеството, тежестта и последиците от нарушението, като се оценят всички факти по случая. Оценката за това, какви мерки са ефективни, пропорционални и възпиращи във всеки отделен случай ще трябва да отразява целта, преследвана с избраната корективна мярка, т.е. възстановяване на спазването на правилата или санкциониране на неправомерно поведение (или и двете). В конкретния случай корективните мерки по букви „а“ – „з“ и буква„й“ на чл.58, параграф2 от Регламента са приложими предвид факта, че се касае за липса на „свеждане на данните до минимум“, което е нарушение на настоящия регламент (буква чл.5, §1, буква„в“). Комисията съобразява обстоятелството, че от Столична община са извършени всички необходими действия за отстраняване на нарушението, в момента, в който е установено то, включително, предприели са последващи действия, предоставени са правила за обработване лични данни при постъпване по електронен път. Предвид изложеното и на основание чл.57, §1, б.„е“ от Регламента, съответно чл.10, ал.1, във връзка с чл.38, ал.3 от Закона за защита на личните данни, Комисията

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд – София-град.