Решение по жалба с рег. № ППН-01-368/09.04.2019 г.

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и членове: Цанко Цолов и Веселин Целков на заседание, проведено на 04.12.2019г., на основание чл.10, ал.1 от Закона за защита на личните данни във връзка с чл.57, §1, буква „е“ от Регламент (ЕС) 2016/679, разгледа по същество жалба рег. №ППН-01-368/09.04.2019г., подадена от И.С. и Т.С.

Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).

Комисията за защита на личните данни е сезирана с жалба, подадена от И.С. – лично и в качеството му на пълномощник на съпругата си Т.С., в която са изложени твърдения за неправомерно обработване на личните им данни от „Е.Е.“ ЕООД във връзка с получавани и изпращани пратки с наложен платеж, без да са клиенти на дружеството и без да са ползвали услугите му или да са представяли личните си данни на същото. Жалбоподателите информират, че са узнали за нарушението на 22.02.2019г. при връчени им от НАП покани във връзка с извършвани спрямо тях ревизии относно данъчни задължения касаещи недекларирани доходи отполучавани и изпращани, посредством дружеството, пратки с наложен платеж. Твърдят, че е налице злоупотреба с личните им данни и същите се обработват от дружеството без правно основание. В допълнение жалбоподателят И.С. сочи, че в периода на предоставяне на услугите е бил в болнично заведение, за престоя в което представя заверено копие на две епикриза. По отношение на съпругата си посочва, че е инвалид с 98% степен на увреждане, за което представя копие на Експертно решение №****, и е в обективна невъзможност лично да получава и/или подава пратки в офис на дружеството. Твърдят, че в резултат на нарушението са им нанесени нематериални вреди свързани с безпокойство и притеснения и молят Комисията да ангажира административно-наказателната отговорност на дружеството.

Към жалбата са приложени относими доказателства.

В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, от „Е.Е.“ ЕООД саизискани относими по случая доказателства, предоставена е и възможност за изразяване на писмено становище по изложените в жалбата твърдения.

В отговор ППН-01-368#2/25.04.2019г. от „Е.Е.“ ЕООД информират, че в базата данни на „Е.Е.“ ЕООД няма налична информация за жалбоподателката. Сочат, че дружеството обработва лични данни на жалбоподателя г-н И.С. и уточняват, че по случая тече вътрешно разследване, след приключване на което ще информират КЗЛД.

В хода на производството и с писмоППН-01-368#3/14.04.2019г. от „Е.Е.“ ЕООД информират, че в базата данни на дружеството лицето И.С. фигурира като клиент с клиентски картон създаден на 27.11.2017г. в 11:22:26 часа през онлайн платформа с регистрация на „Е.Е.“ ЕООД, а именно ****. Допълват, че посочените данни– имена и телефонен номер са предоставени от лицето създало регистрацията и уточняват, че посоченият номер е различен от този на жалбоподателя. Информират, че имената на г-н И.С. и неговият единен граждански номер са предоставени на дружеството от лице, което разполага с тях и се е представяло за г-н И.С. и в тази връзка твърдят, че лични данни на жалбоподателя „не изтичат“ от информационната система на „Е.Е.“ ЕООД и в този смисъл няма компроментиране на защитата им по подразбиране. Сочат, че по твърдения на представител на съответния офис, в който се извършвали услугите, „лицето е получавало сумите съгласно пълномощно“. Признават, че В.В.– служител на търговски партньор „Т.К.“ ЕООД, обслужващ съответния офис, е допуснал нарушение на стандартите на „Е.Е.“ ЕООД като не е изискал и архивирал копие на пълномощното, по силата на което клиента, представял се за г-н И.С. е получавал паричните суми. В тази връзка сочат, че дружеството е предприело мерки и г-н В.В. е освободен от длъжност, наложени са санкции на „Т.К.“ ЕООД, уведомен е НАП, че пощенските преводи, които са получавани от името на г-н И.С., са получени от друго лице и данните на г-н И.С. са предмет на злоупотреба. Допълват, че за случая е подаден сигнал до МВР, а на г-н И.С. е предложена компенсация за причиненото неудобство. В допълнение към становището и в подкрепа на изложените в него твърдения, с придружително писмо ППН-01-368#7/05.07.2019г., са приложени относими доказателства.

Предвид изложените от „Е.Е.“ ЕООД твърдения, от „Т.К.“ ЕООД са изискани относими към случая доказателства, предоставена е възможност и за изразяване на становище по случая, но такива не са ангажирани.

В хода на производството с писмо ППН-01-368#6/21.06.2019г. жалбоподателите информират, че при образуваните срещу тях ревизионни производства е установено, че в периода 01.01.2017г.– 31.12.2017г. от името на г-н И.С. са получавани и изпращани пратки и чрез „Л.Е.“ ЕООД, без същия да е ползвал услугите на дружеството или да е предоставял личните си данни на същото. В тази връзка молят Комисията да извърши проверка и по отношение на законосъобразността на обработване на личните данни на жалбоподателя и от страна на това дружеството.

В тази връзка „Л.Е.“ ЕООД е уведомено за образуваното производство и изложените от жалбоподателя твърдения, в отговор на което е изразено становище ППН-01-368#9/26.07.2019г. за неоснователност на жалбата, с приложени към него относими доказателства. От дружеството твърдят, че не обработват лични данни на жалбоподателката. Относно жалбоподателят г-н И.С. сочат, че в периода 19.12.2017г. до февруари 2018г. лицето е ползвало услугите на дружеството като изпращач на дрехи и материали чрез услуги с наложен платеж, за които са съставени съответните товарителници и разходни касови ордери, като в последните получателят е вписал трите си имена, ЕГН и подпис и е удостоверил самоличността си чрез предоставяне на документ за самоличност. В тази връзка сочат, че дружеството обработва личните данни на жалбоподателя законосъобразно – въз основа на съгласие обективирано в подписаните разходни касови ордери за получени от г-н И.С. сумите с наложен платеж, а твърденията на г-н И.С. намират за неоснователни и недоказани.

С оглед изясняване на случая от правна и фактическа страна от НАП е изискана информация относно образуваните ревизионни производства, резултатите от извършените по случая проверки и представени от куриерските дружества лични данни за жалбоподателите. В отговор и с писмо ППН-01-368#12/03.09.2019г. са представени относими доказателства свързани с ревизиите на жалбоподателите, а на по-късен етап в производството г-н И.С. представя и издадени ревизионни актове, в който е посочено „не са установени нарушения“.

В хода на производството е установено наличието на образувана по случая проверка по преписка с вх. №*** по описа на РУ-СДВР, при която, по данни на страните в производството, е извършена експертиза на подписа положен от получателя на пратките със заключения, че подписът не е положен от жалбоподателят г-н И.С. В тази връзка и с писмо ***** от РУ-СДВР е изискана информация за хода и резултатите от извършваната от РУ-СДВР проверка и заверено копие на изготвената по случая експертна справка/експертиза, а също и копие на предоставени от „Е.Е.“ ЕООД материали– записи от камери за видеонаблюдение, справка с информация за получени наложени платежи и парични преводи от И.С., разписки за прием на парични суми и електронни изявления по приемане/предавaне на пратки и парични суми.

В отговор и след повторно изпратено до РУ-СДВР писмо от последното е представена справка в която информират за образувана преписка с вх. №**** по описа на РУ-СДВР по сигнал подаден за случая от А.А. – управител на „Т.К.“ ЕООД. Сочат, че е изготвена експертна справка №*** от която е видно, че И.С. не е разписвал касови ордери на „Е.Е.“ ЕООД и допълват, че преписката е изпратена в СРП с мнение за образуване на наказателно производство, откъдето информират, че възложената по случая проверката не е приключила.

Комисията за защита на личните данни е независим държавен орган, който осъществява защита на лицата при обработването на личните им данни и при осъществяване на достъпа до тези данни, както и контрол по спазването на ЗЗЛД и Регламент (ЕС) 2016/679.

За да упражни правомощията си, Комисията следва да бъде валидно сезирана.

Жалбата съдържа задължително изискуеми реквизити – данни за жалбоподателите, естеството на искането, дата и подпис, с оглед което е редовна. Същата е процесуално допустима, подадена в срока по 38, ал.1 от ЗЗЛД от физически лица с правен интерес срещу надлежни страни– юридически лице – администратори на лични данни по смисъл чл.4, ал.7 от Регламент ЕС 2016/679, качеството което безспорно притежават „Е.Е.“ЕООД, „Л.Е.“ ЕООД и „Т.К.“ ЕООД.

Жалбата има за предмет злоупотреба с личните данни на жалбоподателите във връзка с получавани и изпращани от тяхно име пратки с наложен платеж.

Сезиран е компетентен да се произнесе орган– КЗЛД, която съгласно правомощията си по чл.10, ал.1 от ЗЗЛД във връзка с чл.57, §1, буква „е“ от Регламент (ЕС) 2016/679, разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на субекти на данни свързани с обработване на личните данни, като не са налице изключенията по чл.2, §2, буква „в“ и чл.55, §3 от регламента предвид обстоятелството, че случая не касае дейности по обработване извършвани от физическо лице в хода на чисто лични или домашни занимания и/или дейности извършвани от съдилищата при изпълнение на съдебните им функции.

По изложените съображения и с оглед липсата на предпоставки от категорията на отрицателни по чл.27, ал.2 от АПК, на проведено на 30.10.2019г. заседание на КЗЛД жалбата е приетаза процесуално допустима и като страни в производството са конституирани: жалбоподатели– И.С. и Т.С. и ответни страни– „Е.Е.“ ЕООД, „Л.Е.“ ЕООД и „Т.К.“ ЕООД.

Страните са редовно уведомени за насроченото за 04.12.2019г. открито заседание за разглеждане на жалбата по същество. Указана им е разпределянето на доказателствената тежест в процеса, възможността да се запознаят със събраните по преписката доказателства, както и възможността да правят искания по доказателствата и да представят нови такива относими към спора.

С оглед изясняване на случая от правна и фактическа страна е допуснато извършването на почеркова експертиза на подписа положен в представените от „Л.Е.“ ЕООД разходни касови ордери №*****, в частта касаеща положен подпис от лицето И.С. За целите на последната жалбоподателят е предоставил сравнителен материал, който е изпратен в Националния институт по криминалистика (НИК).

Изготвена е графическа експертиза отразена в Протокол №19/ДОК-286 от 25.11.2019г., по описа на НИК, изпратена в КЗЛД с придружително писмо ППН-01-36832/03.12.2019г., със заключение, че подписите – обект на експертизата не са положени от жалбоподателя И.С.

В хода на производството от „Е.Е.“ ЕООД са представени допълнителни доказателства и информация относима към случая, включително записи от камерите за видеонаблюдение, предоставени с писмо изх. №7772/19.06.2019г. по описа на дружеството на РУ-СДВР. От дружеството информират за предприети организационни и технически мерки за защита на личните данни и допълват, че е „актуализирана обучителната програма на служителите в системата на „Е.Е.“ ЕООД, касаеща задълженията за идентифициране на клиент и защита на личните данни“. Твърдят, че предвид констатираното нарушение е ограничено обработването на личните данни на г-н И.С. – клиентския картон, създаден на негово име, е служебно анулиран, а всички документи, съдържащи личните му данни са архивирани и се съхраняват в сроковете предвидените в ЗМПИП, ДОПК и ЗСЧ.

На проведено на 04.12.2019г. открито заседание на КЗЛД, жалбата е разгледана по същество.

Жалбоподателят И.С. – редовно уведомен, явява се лично и чрез пълномощника си адвокат В.Н., с пълномощно по преписката, поддържа жалбата.

Жалбоподателката– Т.С.– редовно уведомена, не се явява, представлява се от И.С. и адвокат В.Н., които поддържат жалбата.

„Е.Е.“ ЕООД– редовно уведомено– не се представлява.

„Л.Е.“ ЕООД– редовно уведомено– не се представлява.

„Т.К.“ ЕООД– редовно уведомено, представлява се от А.А. с пълномощно по преписката.

Страните, поотделно, заявяват че са запознати със събраните по преписката доказателства, нямат искания по доказателства, не сочат нови доказателства.

Жалбоподателят г-н И.С. и адвокат В.Н. поддържат становище за основателност на жалбата и молят комисията да санкционира неправомерните действия на дружествата. Господин И.С. сочи, че познава Ж.Г. доколкото същите са били съседи, но категорично заявява, че няма договорни отношения с нея, не е предоставял личните си данни на същата, не я е упълномощавалда го представлява пред трети физически и/или юридически лица.

Процесуалният представител на „Т.К.“ ЕООД– не оспорва жалбата. Информира, че процесните пратки с наложен платеж са обработвани от служител на „Т.К.“ ЕООД– В.В., същият привлечен като обвиняем по образувано по случая производство в Софийска районна прокуратура, инициирано от „Т.К.“ ЕООД. Допълва, че като обвиняем по същото дело е привлечена и Ж.Г.– лицето получавало и изпращало пратки с наложен платеж от името на жалбоподателя г-н И.С., което е подписало издадените от дружеството документи касаещи пратките. Сочи, че лично е констатирал, при преглед на камерите за видеонаблюдение в обекта, извършеното нарушение от страна на г-н В.В., който „не е архивирал“ пълномощно за представителна власт наЖ.Г. Твърди обаче, че личните данни на жалбоподателя „не са изтекли“ от „Т.К.“ ЕООД, доколкото същите са въведени през 2017г. в платформата ****, посредством която е направена регистрация на името на жалбоподателя. В допълнение уточнява, че при предоставяне на услугата в офис на дружеството задължително следва да се идентифицира лицето, поради което и счита, че „и господин В.В. носи отговорност“. Твърди, че „Т.К.“ ЕООД също е потърпевшо от случилото се.

В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл.7 от Административно-процесуалния кодекс, изискващ наличието на установени действителни факти, имайки предвид събраните доказателства и наведените от страните твърдения, Комисията приема, че разгледана по същество жалба №ППН-01-368/09.04.2019г. е частично основателна.

При постановяване на решението е отчетена настъпилата в периода от извършване на твърдените нарушения, респективно подаване на жалбата в КЗЛД до разглеждането ѝ по същество, промяна в правната рамка в областта на защита на личните данни и факта, че от 25.05.2018г. се прилага Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и обстоятелството, че от 02.03.2019г. е в сила Закон за изменение и допълнение на Закона за защита на личните данни. Отчетен е и факта, че Регламент (ЕС) 2016/679 има пряко действие, а юридически факти и породените от тях последици настъпили преди прилагане на Регламента, следва да се преценяват според материалния закон, който е бил в сила към момента на тяхното възникване. В конкретният случай, при събиране на данните, такива са материалните разпоредби разписани в ЗЗЛД в редакцията преди 02.03.2019г., с оглед обстоятелството, че събирането и употребата на данните е в период преди прилагане на Регламент ЕС 2016/679. По отношение на съхранението на личните данни на лицето относими са разпоредбите на ОРЗД доколкото се касае за обработване, което продължава и след дата от която се прилага Регламента, като е отчетен факта, че разпоредбата на чл.4, ал.1 от ЗЗЛД кореспондира с разпоредбата на чл.6, §1 от Регламента и не ѝ противоречи, като и двете разпоредби вменяват задължение за законосъобразно обработване на личните данни, в случая– съхраняване, при наличие на условие за допустимост на обработването.

Предвид събраните по преписката доказателства и разпределянето на доказателствената тежест в процеса се установи, че същата е неоснователна и недоказана по отношение на жалбоподателката Т.С., доколкото липсват доказателства за обработване на личните данни на последната от страна на „Е.Е.“ ЕООД, „Л.Е.“ ЕООД и „Т.К.“ ЕООД, като следва да се отбележи, че твърденията в обратна насока са оспорени от дружествата.

Жалба е основателна по отношение на жалбоподателя И.С.

От събраните по преписката доказателства се установи, че личните данни на г-н И.С. в обем от три имена и единен граждански номер са обработвани от „Е.Е.“ ЕООД, „Л.Е.“ ЕООД и „Т.К.“ ЕООД незаконосъобразно, без наличието на условие за допустимост на обработването. За последното свидетелстват изготвената по случая експертиза отразена в Протокол №19/ДОК-286 от 25.11.2019г., по описа на НИК, експертната справка №*** по описа на РУ-СДВР, както и резултатите от извършената по случая вътрешна проверка от страна на „Е.Е.“ ЕООД и предприетите от същото последващи действия, както и приложения по преписката видеоматериал и представените епикризи, последните свидетелстващи, че в процесния период лицето е било настанено в болнично заведение. Безспорно е, че личните данни на жалбоподателя са обработени без знанието и съгласието му и без наличие на валидни договорни отношения между страните. Обработването не е извършено в изпълнение на нормативно установено задължение, не е необходимо за защита на живота и здравето на физическото лице, нито за изпълнение на задача в обществен интерес или за упражняване на правомощия, предоставени на администратор със закон, както и за реализиране на законните интереси на администратор, които да са преимуществени пред интересите на физическото лице.

Доколкото се касае за различни форми на обработване на лични данни, а именно събиране, употреба и съхранение следва да се отбележи, че по отношение събирането на лични данни осъществено в периода януари– февруари 2018г. от „Л.Е.“ ЕООД и в периода декември 2017г.– февруари 2018г. от „Т.К.“ ЕООД, като относими следва да се разглежда материално правната норма на чл.23, ал.1 от ЗЗЛД, към настоящия момент отменена, но действаща към дата на нарушенията– събирането на данните. В тази връзка следва да се отбележи, че разпоредбата на чл.23, ал.1 от ЗЗЛД (отм.) кореспондира на разпоредбата на чл.25 от Регламента и не ѝ противоречи.

Във връзка с горното по отношение на събирането на лични данни на жалбоподателя от „Т.К.“ ЕООД на 17.10.2017г., 19.12.2017г., 03.01.2018г., 05.01.2018г., 10.01.2018г., 19.01.2018г., 05.02.2018г., 07.02.2018г. и 09.02.2018г. и употребата им за регистрирани на изпращани и получавани от името на г-н И.С. куриерски пратки, чрез „Е.Е.“ ЕООД, с наложен платеж, комисията счита, че е налице нарушение от страна на „Т.К.“ ЕООД на разпоредбата на чл.23, ал.1 от ЗЗЛД (отм.) доколкото се касае за неправомерно обработване– събиране на лични данни, същото в резултат на непредприети от дружеството технически и организационни мерки за защита на личните данни, респективно за индивидуализиране на подателя и получателя на пратките. Безспорно е и по преписката са налични разписани правила относно обработването, в това число и събирането на данни на клиенти и тяхната индивидуализация при ползване на конкретните услуги, но доказателства по преписката свидетелстват, че същите системно не се спазват от дружеството и са по-скоро формални. Поради тази причина и предвид обстоятелството, че от нарушението са настъпили вреди за жалбоподателя и същото е нееднократно, а многократно и системно доколкото се касае за обработване на данните 9 пъти в рамките на 5 месеца, комисията счита за целесъобразно да ангажира административно-наказателната отговорност на „Т.К.“ ЕООД и на последното да се наложи имуществена санкция. Следва да се отбележи, че доколкото г-н В.В. е служител на дружеството, то именно „Т.К.“ ЕООД носи административно-наказателна отговорност за действията му по събиране на личните данни на жалбоподателя и тяхната употреба за регистриране и предоставяне на услугите с наложен платеж.

Безспорно е, че данните на жалбоподателя са обработени, в хипотеза на съхранение от „Е.Е.“ ООД, в качеството му на клиент на дружеството във връзка с посочените по-горе услуги за изпращане и получаван на пратки с наложен платеж. Същото е без правно основание, факт който се признава и от дружеството, и е незаконосъобразно, в нарушение на чл.4, ал.1 от ЗЗЛД (отм.), респективно чл.6, §1 от Регламент ЕС 2016/679 доколкото липсва условие за допустимост/законосъобразност на обработването с оглед обстоятелството, че е безспорно установено, че данни са обработени без знанието и съгласието на жалбоподателя и без наличие на валидни договорни отношения между страните.

Макар данните да са събрани не от „Е.Е.“ ЕООД, а от „Т.К.“ ЕООД, за първото дружество не е отпаднало, а напротив, е налице задължение да обработва– съхранява същите при наличие на условие за допустимост/законосъобразност на обработването, каквото не е налице в конкретния случай. Следва обаче да се отбележи, че след като е уведомен за жалбата, администраторът „Е.Е.“ ЕООД е действал добросъвестно – предприел е действия за установяване и прекратяване на нарушението, като е уведомил и компетентните органи сезирани със случая– НАП и КЛЗД, санкционирал е поведението на търговския си партньор „Т.К.“ ЕООД, предложил е и финансово обезщетение на жалбоподателя за причинените от нарушението неимуществени вреди– „безпокойство“, а клиентския картон, създаден на името на г-н И.С. е служебно анулиран. Ограничил е обработването на личните данни на г-н И.С. – всички документи, съдържащи личните му данни са архивирани и се съхраняват в сроковете и за целите предвидените в ЗМПИП, ДОПК и ЗСЧ. Предвид горното и съпричастността на „Т.К.“ ЕООД към нарушението, комисията квалифицира тези действия на администратора „Е.Е.“ ЕООД като смекчаващи, при определяне на наложената на дружеството корективна мярка, и предвид констатираното нарушение и дейността на дружеството счита за целесъобразно и ефективно налагането на мярка по чл.58, §2, буква „г“ от Регламента– разпореждане да съобрази обработването на лични данни с разпоредбите на Регламент ЕС 2016/679, включително, но не само с тези по чл.6, §1 от него. В тази връзка и като счита за целесъобразно указва на „Е.Е.“ ЕООД, че следва да извършва регулярни проверки, включително, но не само, да прави риск-анализ на клиентите си по определени критерии, както и да извършва проверки на място в офисите на търговските си партньори, както и да провежда обучения на служителите си свързани с обработване на лични данни, доколкото въвеждането на такива механизми биха могли да доведат до предотвратяване на нарушенията и/или установяването им на много по-ранен етап.

Комисията намира жалбата е основателна и по отношение и на „Л.Е.“ ЕООД. Безспорни са доказателства, че дружеството е обработвало, в условията на събиране на лични данни в периода 19.12.2017г. до февруари 2018г., а и към момента на произнасяне, обработва – съхранява лични данни на жалбоподателя като клиент, ползвал на услугите на дружеството, изпращач на дрехи и материали чрез услуги с наложен платеж. Приложената по преписката експертиза свидетелства, че обработването е незаконосъобразно в нарушение на чл.4, ал.1 от ЗЗЛД (отм.), респективно чл.6, §1 от Регламент ЕС 2016/679 доколкото липсва условие за допустимост/законосъобразност на обработването с оглед обстоятелството, че е безспорно установено, че данни са обработени без знанието и съгласието на жалбоподателя и без наличие на валидни договорни отношения между страните. Обработването не е извършено в изпълнение на нормативно установено задължение на администратора на лични данни, не е необходимо за защита на живота и здравето на физическото лице, нито за изпълнение на задача в обществен интерес или за упражняване на правомощия, предоставени на администратора със закон, както и за реализиране на законните интереси на администратора, които да са преимуществени пред интересите на физическото лице.

От нарушението са произтекли вреди за жалбоподателя и предвид обстоятелството, че се касае не за еднократно, а за системно нарушение на етапа на събиране на личните данни– а именно 7 пъти в рамките на три месеца, a именно на 29.12.2017г., 08.01.2018, 12.01.2018г., 22.01.2018г., 07.02.2018г., 09.02.2018г. и 12.02.2018г., Комисията счита, че дружеството не е предприело необходимите технически и организационни мерки за защита на личните данни на физическото лице от неправомерно обработване, в резултат на което са нарушение правата на лицето сезирало КЗЛД. В тази връзка комисията счита за целесъобразно и ефективно налагането на имуществена санкция на „Л.Е.“ ЕООД за нарушение на чл.23, ал.1 от ЗЗЛД (отм.), последната разпоредба относима по аргумент на чл.142 от АПК, доколкото нарушенията– събирането на данните са извършени в периодапреди прилагане на Регламента, като следва да се отбележи съставомерността на деянието и по Регламент ЕС 2016/679.

По отношение на съхранението на лични данни на жалбоподателя в качеството му на клиент на дружеството, какъвто безспорно се установи, че не е по отношение на процесните пратки, и доколкото обработването за тези цели е незаконосъобразно и без наличие на условие за допустимост по чл.4, ал.1 (отм.) ЗЗЛД, респективно чл.6, §1 от Регламента, Комисията като взе предвид дейността на дружеството счита за целесъобразно и ефективно налагането на мярка по чл.58, §2, буква „г“ от Регламента – разпореждане да съобрази обработването на лични данни с разпоредбите на Регламент ЕС 2016/679, включително, но не само с тези по чл.6, §1 от него. В тази връзка и като счита за целесъобразно указва на „Л.Е.“ ЕООД, че следва да извършва регулярни проверки, включително, но не само, да прави риск-анализ на клиентите си, а също и на служителите си, по определени критерии, да провежда обучения на служителите свързани с обработване на лични данни, доколкото въвеждането на такива механизми биха могли да доведат до предотвратяване на нарушенията и/или установяването им на много по-ранен етап. В допълнение към това счита за целесъобразно, доколкото е безспорно доказано, че жалбоподателят не е клиент на дружеството по повод процесните пратки,да укаже на администратора, че следва да ограничено обработването на личните му данни, като унищожи/анулира клиентския картон, създаден на негово име, и да архивира и съхранява всички документи съдържащи личните му данни само за целите и сроковете предвидените в ЗМПИП, ДОПК и ЗСЧ.

Комисията счита, че по отношение на констатираните нарушения на чл.23, ал.1 от ЗЗЛД (отм.) налагането на различна от посочената в чл.58, ал.2, буква „и“ от Регламента корективна мярка– имуществена санкция, е нецелесъобразно в случая, като следва да се отбележи, че мерките по чл.58, §2, буква „а“, „в“, „д“, „е“, „ж“ и „й“ са неприложими поради естеството на нарушенията и тения интензитет. В конкретния случай имуществената санкция по член 58, параграф 2, буква „и“ от Регламента, се явява най-целесъобразна, ефективна, възпираща и пропорционална за защита на законовия обществен интерес. Следва да се отбележи, че освен чисто санкционна мярка, реакция на държавата към извършеното нарушение на нормативно установените правила, имуществената санкция има и дисциплиниращо действие, с оглед неизвършването на същото нарушение за напред. Администраторът е длъжен да познава закона и да спазва неговите изисквания, още повече, че той дължи необходимата грижа, предвидена в закона и произтичаща от предмета му на дейност, кадровия и икономически ресурс.

Съобразявайки целта на наказанието, което следва да има възпираща и предупредителна функция, естеството и тежестта на наказанието, обществените отношения които засяга, категориите лични данни засегнати от нарушението, Комисията счита, че с оглед принципа на пропорционалност между тежестта на нарушението и размера на наказанието, наложените имуществени санкции следва да са в размер на 5000 лева– размер много под средния минимум предвиден в Регламента за тези нарушения, същия предвиден и в нормата на чл.42, ал.9 от ЗЗЛД за нарушение на чл.23 от ЗЗЛД.

При определяне на размерът на имуществените санкции и в съответствие с условията по чл.83, ал.2 от Регламента, Комисията съобрази, че макар нарушенията да са първи за администраторите „Т.К.“ ЕООД и „Л.Е.“ ЕООД и да касаят нарушение на правата на едно лице, същите са с висока степен на обществена опасност.Като утежняващи обстоятелства при определяне на размерът на санкцията комисията взе предвид, че се касае за системни, а не за еднократни нарушения, както по отношение на „Т.К.“ ЕООД, така и по отношение на „Л.Е.“ ЕООД. Нарушенията са довършени с акта на извършването и са неотстраними, а същите са станали известни на КЗЛД, а и на дружествата, в следствие сезирането на Комисията от потърпевшото лице. Като утежняващо обстоятелство е отчетен и факта, че данните са използвани за създаване на финансова и договорна обвързаност на лицето, както и че се касае за неправомерно обработване и на единен граждански номер– специален идентификатор. Обстоятелствата по чл.83, ал.2, буква „б“ и „и“ от Регламента са неотносими доколкото се касае за администратори на лични данни– юридически лица, които не формират вина, а към момента на извършване на нарушенията одобрени кодекси за поведение, респективно одобрени механизми за сертифициране не са въведени.

Съобразявайки целта на наказанието, което следва да има възпираща и предупредителна функция, естеството и тежестта на нарушението, обществените отношения които засяга, категориите засегнати лични данни, Комисията счита, че наложените корективни мерки и санкция по вид и размер безспорно отговарят на търсените от ЗЗЛД и Регламент 2016/679 ефективност и възпиращ ефект, като в същото време не нарушава принципа на пропорционалност и изискването за съразмерност.

Водима от горното и на основание чл.38, ал.3 от Закона за защита на личните данни, Комисията за защита на личните данни,

1. Обявява жалба ППН-01-368/09.04.2019г. за неоснователна, в частта касаеща твърдения за неправомерно обработване на личните данни на жалбоподателката Т.С.

2. Обявява жалба за основателна, в частта касаеща твърдения за неправомерно обработване на личните данни на жалбоподателя И.С.

3. На основание чл.83, §4, буква „а“ във връзка с чл.58, §2, буква „и“ от Регламент ЕС 679/2016 налага на „Т.К.“ ЕООД с ЕИК *****, административно наказание– имуществена санкция в размер на 5000 лв. (пет хиляди лева) за обработване– събиране на личните данни на жалбоподателя в нарушение на чл.23, ал.1 от ЗЗЛД (отменен), респективно чл.25, ал.1 от Регламент ЕС 2016/679, а именно – непредприети технически и организационни мерки.

4. На основание чл.58, §2, буква „г“ от Регламента и за обработване– съхранение на личните данни на жалбоподателя в нарушение на чл.6, §1 от Регламент ЕС 2016/679 издава на „Е.Е.“ ЕООД с ЕИК ***, разпореждане да съобразява обработването на лични данни с разпоредбите на Регламент ЕС 2016/679, включително, но не само, с тези по чл.6, §1 от него. В тази връзка и като счита за целесъобразно указва на „Е.Е.“ ЕООД, че следва да извършва регулярни проверки, включително, но не само, да прави риск-анализ на клиентите и служителите си по определени критерии, да извършва проверки на място в офисите на търговските си партньори, както и да провежда периодични обучения на служителите свързани с обработване на лични данни, доколкото въвеждането на такива механизми биха могли да доведат до предотвратяване на нарушенията и/или установяването им на много по-ранен етап.

5. На основание чл.83, §4, буква „а“ във връзка с чл.58, §2, буква „и“ от Регламент ЕС 679/2016 налага на „Л.Е.“ ЕООД с ЕИК ***, административно наказание– имуществена санкция в размер на 5000 лв. (пет хиляди лева) за обработване– събиране на личните данни на жалбоподателя в нарушение на чл.23, ал.1 от ЗЗЛД (отменен), респективно чл.25, ал.1 от Регламент ЕС 2016/679, а именно – непредприети технически и организационни мерки.

6. На основание чл.58, §2, буква „г“ от Регламента и за обработване на личните данни на жалбоподателя в нарушение на чл.6, §1 от Регламент ЕС 2016/679 издава на „Л.Е.“ ЕООД с ЕИК ***, разпорежданеда съобразява обработването на лични данни с разпоредбите на Регламент ЕС 2016/679, включително, но не само, с тези по чл.6, §1 от него. Указва на дружеството, че следва да извършва регулярни проверки, включително, но не само, да прави риск-анализ на клиентите и служителите си по определени критерии, да провежда периодични обучения на служителите свързани с обработване на лични данни, доколкото въвеждането на такива механизми биха могли да доведат до предотвратяване на нарушенията и/или установяването им на много по-ранен етап. В допълнение указва на администратора, че следва да ограничени обработването на личните данни на жалбоподателя, като унищожи/анулира клиентския картон, създаден на негово име, и да архивира и съхранява всички документи съдържащи личните му данни само за целите и сроковете предвидените в ЗМПИП, ДОПК и ЗСЧ.

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съдСофия – град.

След влизане в сила на решението, сумата по наложените наказания следва да бъде преведена по банков път:

Банка БНБ– ЦУ, IBAN: BG18BNBG96613000158601, BIC BNBGBGSD

Комисия за защита на личните данни, БУЛСТАТ 130961721.