Решение по жалба с рег. № ППН-01-608/23.07.06.2018 г.

Комисията за защита на личните данни (КЗЛД, Комисията) в състав, председател– Венцислав Караджов и членове: Цветелин Софрониев, Мария Матева и Веселин Целков на редовно заседание, проведено на 17.04.2019г. и обективирано в протокол№18/17.04.2019г., на основание чл.10, ал.1 от Закона за защита на личните данни (ЗЗЛД) във вр. с чл.57, §1, б.„е“ от Регламент(ЕС)2016/679, разгледа по същество жалба с рег. №ППН-01-608/23.07.06.2018г., подадена от И.М. срещу „С.Т.“ ЕООД.

Административното производство е по реда на чл.38 от ЗЗЛД.

Комисията за защита на личните данни е сезирана с жалба рег. №ППН-01-608/23.07.2018г., подадена от И.М., в която са изложени твърдения, че при посещение на комплекс С. (Винарска изба С.) за регистрация в комплекса сапоискани личните карти на жалбоподателката и нейния съпруг.

В жалбата е посочено, че трите имена и номера на стаята фигурират в касовия бон, издаден от ресторанта. Госпожа М. сочи, че при резервацията по телефона, не е казвала бащиното си име, както и че при регистрацията на рецепция в хотела не е попълвала каквито и да било документи.

В жалбата се излагат твърдения, че за регистрацията в хотела, личните карти на гостите се поставят в „електронен четец“, без тяхното изрично съгласие за това действие.

Г-жа М. счита, че не би следвало данните от личните карти на гостите да се копират дигитално, както и че не ѝ е известно кои данни се копират и колко време се съхраняват. Моли за разследване по случая.

В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, от ответното дружество е изискано да представи писмено становище и относими към случая доказателства.

С писмо изх. №ППН-01-608#10/10.10.2018г. „С.Т.“ ЕООД е уведомено на основание чл.26 от АПК за образуваното административно производство и e предоставeна възможност за изразяване на становище и предоставяне на относими към случая доказателства.

В отговор от дружеството е депозирано становище, заведено с рег. №ППН-01-60811/19.10.2018г. От „С.Т.“ ЕООД информират, че дружеството е администратор на лични данни във връзка с извършване на дейност по предоставяне на туристически и хотелиерски услуги в обект „Комплекс за винен и СПА туризъм С.“, находящ се в с. С., община Х., област П. и обработват личните данни на физическите лица за цели, предвидени в политиките и във вътрешните правила на дружеството, които в зависимост на правното основание за обработване, могат да бъдат: цели, вързани свързани със спазване на законови задължения на дружеството при предлагане на туристически и хотелиерски услуги, предмет на основаната дейност;цели свързани с и/или необходими за изпълнението на договорите, сключвани с дружеството, или за предприемане са стъпки по искане на субекта на данните преди сключването на договора; цели н а легитимния (законов) интерес на дружеството или на трети лица, цели, за които субектът на данни е дал съгласие за обработването.

Информират, че г-жа М. и нейния съпруг действително са били гости на хотела на 12.06.2018г. Обяснено е, че за целите на настаняването и в изпълнение на законовите задължения на дружеството по чл.116, ал.1 от Закона за туризма и чл.6, пар. 1 от ОРЗД, „С.Т.“ ЕООД събира и обработва личните данни на клиентите, изискуеми за воденето на регистър, съгласно утвърден образец по чл.116, ал.2, т.3 от Закона за туризма, като сочат, че за неизпълнение на тези задължения са предвидени санкции за хотелиера, съгласно разпоредбата на чл.213, ал.1 и ал.2 от Закона за туризма.

Обясняват, че в изпълнение на законовото задължение, разписано в разпоредбата на чл.99, ал.3 от Закона за гражданската регистрация, лицата, предоставили подслон в хотел, мотел, почивен дом или друго място за подслон са длъжни да регистрират в специални книги отседналите, като при поискване предоставят данните от тях на органите на местната власт или на Министерство на вътрешните работи. Посочено е, че в разпоредбите на чл.28, ал.3 и ал.4 от закона за чужденците в Република България, лицата, осъществяващи хотелиерска дейност, при настаняване на чужденец го регистрират в специален регистър, в който вписват имената, датата на раждане, гражданство, номера и серията на документа за самоличност на чужденеца, като информацията за настанените чужденци се предоставя ежедневно от 06.00 ч. в службата за административен контрол на чужденците или в районното управление на Министерство на вътрешните работи по местонахождението на хотела. Посочено е, че предоставянето на личните данни от субекта е необходимо изискване за изпълнение на законовите задължения на дружеството като администратор на лични данни.

По отношение на твърденията на жалбоподателката за извършено дигитално копиране на личната карата е обяснено, че не е извършвано дигитално копиране на личните карти, а посредством четец са снети обемът от лични данни, необходими за администриране на регистрация и завеждане в клиентски регистър при настаняване, като е обяснено, че това е процесна идентифициране и регистриране на клиенти, като начините да се въвеждат данни в клиентския регистърза настаняване на гости в хотела са два: чрез прочитане на данни чрез електронен четец на личния документ и завеждане в клиентски регистър и чрез ръчно въвеждане на данните от хартиен носител в информационната на система на хотелския комплекс. Информират, че информационните системи за обслужване на хотели са проектирани така, че да може бързо да се пренася информация от личния документ, чрез четящото устройство към клиентския регистър и е обект на техническите и организационни мерки за защита на личните данни, с оглед невъзможността на други клиенти да виждатличния документ, докато се чете информацията от него.

По отношение на твърденията на жалбоподателката, че не ѝ е поискано съгласието за обработване на лични данни се аргументират, че дружеството събира и обработва личните данни при изпълнение на законово задължение. Аргументират се и че в практическите насоки, публикувани на страницата на КЗЛД, ясно са посочени случаите, при които не се изисква съгласие за обработване на личните данни.

По отношение на „касовата бележка“ и информацията, съдържаща се в нея е посочено, че процесният документ не е „касова бележка“,а се нарича „сметка за стая– служебен бон“, който удостоверява ползвани от клиента услуги, предоставяни в комплекса, като хранения в ресторанта, консумация на баровете, ползване на SPA услуги и други. Сочат, че тези сметки удостоверяват, че конкретен клиент, с наета от него конкретна стая е ползвал услуги в комплекса и е пожелал да бъдат прехвърленизадълженията (отложени плащания) към общата сметка за пребиваване (спане), като нареждането е персонално и се удостоверява с подпис на клиента, който се подписва под името, като по този начин се изписваттрите имена на клиента за идентификация на това кой и какво ползва, като се верифицира с подпис. Документът се издава в два екземпляра, като единият се предоставя на клиента, като потвърждение за прехвърляне на задължението му към сметката за пребиваване, а другият подписан екземпляр се депозира на рецепцията като основание при калкулиране на крайната сума за плащане при напускане на хотела, след което се унищожава, съгласно правилника и вътрешните правила.

Считат, че за дружеството е налице условие за допустимост за обработване на лични данни, при осъществяване на дейност като хотелиер, на основание разпоредбата на чл.6, пар. 1, буква „в“ от ОРЗД. Като доказателства по преписката са приложени: договор за наем на недвижим имот от 01.04.2018г., извлечение от 12.06.2018г. от информационната система на КЛОК, регистър клиенти, сметка за стая– служебен бон, информационна табела. В допълнение с молба, заведена с рег. №ППН-01-608/08.04.2019г. като доказателства към административната преписка са предоставени: Политика на „С.Т.” ЕООД за защита на личните данни относно персонала; политика за поверителност за защита на личните данни в „С.Т.” ЕООД, съгласно ОРЗД; политика на сайт за поверителностза защита на личните данни в „С.Т.” ЕООД, съгласно ОРЗД; информационна табела до субектите на данни при събиране на лични данни от субекта– образец; информационна табела, относно видеонаблюдение– образец; процедура по подаване на заявление във връзка с лични данни; заявление за ограничаване на обработването на лични данни по чл.18 от ОРЗД-образец; заявление за коригиране на лични данни по чл.16 от ОРЗД-образец; заявление за достъп до информация при обработването на лични данни по чл.15 от ОРЗД- образец; възражение за обработването на лични данни по чл.21 от ОРЗД- образец; заявление за изтриване на лични данни по чл.17 от ОРЗД- образец; заявление за преносимост на лични данни по чл.20 от ОРЗД- образец; декларация за конфиденциалност на служители – образец; декларация за даване или промяна на съгласие от служител-образец; правилник – програма за прилагане на технически и организационни мерки за защита на личните данни в „С.Т.“ ЕООД съгласно ОРЗД; мерки за прилагане на технически и организационни мерки за защита на личните данни в „С.Т.“ ЕООД съгласно процедурите на дружеството в изпълнение на изискванията на ОРЗД; Правилник за прилагане на мерки по ОРЗД, правилник за прилагане на технически и организационни мерки за защита на личните данни в „С.Т.“ ЕООД съгласно ОРЗД; процедура за условията и реда за даване на съгласия от клиенти -субекти на лични данни; процедура за условията и реда за даване на съгласия от кандидати за работа и служители – субекти на лични данни; процедура за управление на инциденти по сигурност на информацията във връзка със защита на личните данни; процедура за оценка на въздействието върху защитата на данните; процес за условията и реда за обработване на лични данни при резервации на клиенти и мерки за спазване на Регламента; протокол на ЕСК на „С.Т.“ ЕООД от 06.12.2018г.; препис от трудов договор от 12.10.2018г.

На основание чл.36, ал.1 от АПК и решение на КЗЛД, отразено в Протокол №10/27.02.2019г. е издадена Заповед №РД-15-99/25.03.2019г. на Председателя на КЗЛД за извършване на проверка във връзка с изясняване на фактите и обстоятелствата по жалбата, обективирана в Констативен акт №ППН-02-210/15.04.2019г.

В резултат от проверката е установено, че „С.Т.” ЕООД с ЕИК: ******* е юридическо лице, с основен предмет на дейност туристически и хотелиерски услуги предоставяни в обект „Комплекс за винен и СПА туризъм С.“, находящ се в с. С., Община Х., Област П. Дружеството е „администратор на лични данни“ по смисъла на чл.4, т.7 от Регламент(ЕС)2016/679. Във връзка с обработването на лични данни, дружеството е утвърдило редица документи, сред които: Политика на „С.Т.” ЕООД за защита на данните относноперсонала; Политика за поверителност за защита на личните данни съгласно ОРЗД; Политика на сайт за поверителност за защита на лични данни съгласно ОРЗД; Процедура по подаване на заявления във връзка с лични данни; Правилник-Програма за прилагане на технически и организационни мерки за защита на личните данни в „С.Т.” ЕООД; Мерки за прилагане на технически и организационни мерки в изпълнение на изискванията на ОРЗД; Правилник за прилагане на мерките по ОРЗД; Процедура за условията и реда за даване на съгласия от клиенти-субекти на данни; Процедура за условията и реда за даване на съгласия от кандидати за работа и служители; Процедура за оценка на въздействието върху защита на данните и др.; Информация за клиенти съгласно чл.13 и чл.14от ОРЗД, за предоставяне на лични данни при регистрация на клиенти; Информация за извършване на видеонаблюдение и данни за администратора на лични данни.

При проверката на място са установени факти и обстоятелства относно подадената жалба, както и процедурата за регистрация на физически лица– клиенти/гости на хотел „С.“, който е част от комплекса и е стопанисван от „С.Т.” ЕООД, съгласно сключен Договор за наем на недвижим имот от 01.04.2018г.

При настаняване в хотела, на обособено място за регистрация на клиенти/гости на хотела (рецепция), гостите предоставят документ за самоличност, от който посредством техническо устройство (електронен четец) позициониран на втори плот под горен,автоматично се снемат три имена, ЕГН, номер на лична карта, дата на издаванеи дата на валидност, държава, гражданство, пол и дата на раждане. Данните на гостите се пренасят автоматично в информационната система за обслужване на хотела„КЛОК“, която е проектирана да пренася информация от личния документ, чрез четящото устройство към клиентския регистър. Попълва се Адресна карта на клиента, която се води по утвърден образец от Министерство на туризма, съгласно разпоредбите на Закона за туризма. Начините навъвеждане на данни в клиентския регистър за настаняване на гости в хотеласа два: чрез електронен четец данните от личния документ се прочитат и завеждат в клиентския регистър на информационната система „КЛОК“ и чрез ръчно въвеждане на данни от хартиен носител в информационната система на хотела – „КЛОК“,

Установено е, че „С.Т.” ЕООД събира и обработва лични данни от клиентите си, изискуеми за воденето на регистър за настанените туристи, който се води съгласно утвърден образец по чл.116, ал.2, т.3 от Закона за туризма. Дружеството има нормативно задължение да предоставя данните от документите за самоличност на гостите на хотела на Министерство на вътрешните работи. При настаняване на чужденец го регистрират в специален регистър, в който вписват имената, датата на раждане, гражданството, номера и серията на документа за самоличност на чужденеца, като информацията за настанените чужденци се предоставя ежедневно от тези лица в срок до 06,00 часа в службата за административен контрол на чужденците или в районното управление на Министерството на вътрешните работи по местонахождението на хотела. При ползвани от клиентите услуги, предоставени им в комплекса, като хранения в ресторантите, консумация на баровете, ползване на SPA услуги и други се попълва -„Сметка за стая- служебен бон“ – документ, който удостоверява тези сметки, че конкретен клиент с наета от него конкретна стая е ползвал цитираните по-горе услуги и е пожелал да бъдат прехвърлени задълженията (отложени плащания) към общата сметка за спане (пребиваване). Нареждането е персонално и се удостоверява с подпис на клиента, който се подписва под името си. По тази причина на посочения документ се изписват трите имената на клиента за идентификация (прочетени от личната карта) на това кой ползва и какво ползва, като се верифицира с подпис. Въпросния документ – „Сметка за стая – служебен бон“ се издава в два екземпляра, като единия се дава на клиента, като потвърждение за прехвърляне на задължението му към сметката за пребиваване, а другият подписан екземпляр се депозира на Рецепцията като основание при калкулиране на крайната сума за плащане при напускане на хотела, след което се унищожава съгласно правилника за прилагане на Политиката за поверителност и Вътрешните правила. След въвеждане на данните в електронната система, документът за самоличност се връща на клиента/госта без да се снема копие от него на хартиен и/или електронен носител.

По време на проверката проверяващия екип констатира, че действително, на 12.06.2018г. г-жа И.М. и съпругът й М.М. са били гости на хотел „С.“ ипри регистрацията на рецепцията, служителката е обработила личните им данни като ги е въвела в клиентския регистър. По данни на служителката това е процес необходим за тяхното настаняване и идентифициране.След извършен оглед на документите за регистрация на клиенти/гости на хотела, както и втрудовите досиета на служителите на хотел „С.“, съхранявани на хартиен и електронен носител, не се установи наличие на копия на документи за самоличност.

На видно място на рецепцията на хотела са поставени информационни табели с необходимото съдържание, съгласно изискванията за предоставяне на информация на субекта на данни в момента на получаване на лични данни по чл.13 от Общия Регламент за защита на личните данни ( ОРЗД). Текстовете са съобразени с изискванията на ОРЗД и дават подробна информация за целите и необходимостта от обработване на лични данни исроковете за съхранение, в изпълнение на законовите задължения на дружеството при осъществяване на основната си дейност.

Констатирано е, че за целите на превантивна охранителна дейност, „С.Т.” ЕООД е изградило система за видеонаблюдение. Проверяващият екип установи, че на видни за всички посетители на търговския обект места има поставени информационни табели, предупреждаващи за осъществяваното видеонаблюдение.

Жалбата на И.М. е съобразена в цялост с изискванията за редовност, съгласно чл.30, ал.1 от Правилник за дейността на Комисията за защита на личните данни и нейната администрация (ПДКЗЛДНА), а именно: налице са данни за жалбоподателя, естеството на искането, дата и подпис.

Нормата на чл.38, ал.1 от ЗЗЛД предвижда преклузивен срок за сезиране на Комисията– в едногодишен срок от узнаване на нарушението, но не по-късно от пет години от извършването му. Не е изтекла една година от узнаването на твърдяното нарушение или пет години от извършването му. Предвидените в чл.38, ал.1 от ЗЗЛД срокове са спазени, предвид пар. 44, ал.2 от Преходните и заключителните разпоредби от ЗЗЛД.

В чл.27, ал.2 от АПК законодателят обвързва преценката за допустимост на искането с наличие на посочените в текста изисквания. Приложимостта на Закона за защита на личните данни е свързана със защитата на физическите лица във връзка с обработването на техните лични данни от лица, имащи качеството „администратори на лични данни” по смисъла на легалната дефиниция на чл.4, т.7 от Регламент(ЕС)2016/679.

„С.Т.“ ЕООД е администратор на лични данни, във връзка с извършване на дейност по предоставяне на туристически и хотелиерски услуги.

Жалбата е насочена срещу неправомерно обработване на лични данни на жалбоподателя И.М.

Съгласно чл.10, ал.1 във връзка с чл.38 от Закон за защита на личните данни, при сезирането ѝ Комисията за защита на личните данни разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по ЗЗЛД, както и жалби на трети лица във връзка с правата им по този закон.

На проведено на 27.02.2019г. закрито заседание на Комисията, жалбата е обявена за процесуално допустима и е назначена проверка. Конституирани са страни: жалбоподател– И.М.,ответна страна– „С.Т.“ ЕООД, редовно уведомени за насроченото на 17.04.2019г. открито заседание.

Отчита се фактът, че от 25.05.2018г. се прилага Регламент(ЕС)2016/679 на Европейския парламент и на Съвета от 27април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива95/46/ЕО (Общ регламент относно защитата на данните, Регламента) урежда правилата по отношение защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни. Прави се отбелязването, че съгласно чл.288 от ДФЕС „Регламентът е акт с общо приложение. Той е задължителен в своята цялост и се прилага пряко във всички държави-членки.“ Съгласно чл.15, ал.2 от Закона за нормативните актове (ЗНА) „ако нормативен акт противоречи на регламент на Европейския съюз, прилага се регламентът“. Законът за защита на личните данни урежда защитата на правата на физическите лица при обработване на личните им данни. Целта на закона е гарантиране нанеприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните. Регламент(ЕС)2016/679 на Европейския парламент и на Съвета от 27април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива95/46/ЕО (Общ регламент относно защитата на данните, Регламента) урежда правилата по отношение защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни. Целта на Регламента е да се защитят основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни.

Съгласно легалната дефиниция, дадена в чл.2, ал.1 от ЗЗЛД (отм.), лични данни са всяка информация, отнасяща се до физическото лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Обхватът на понятието за лични данни е доразвито в чл.4, пар.1, т.1 от Регламент(ЕС)2016/679– „лични данни” означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни”); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

Съгласно разпоредбата на §1, т.4 от Допълнителните разпоредби на ЗЗЛД обработване на лични данни е понятието регламентирано с чл.4, т.2 от Регламент(ЕС)2016/679, а именно „всяка операция или съвкупност от операции, извършвани с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространение или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване“.

По административната преписка не е спорно, че жалбоподателката е била гост в комплекс „С.Т.“ ЕООД на 12.06.2018г. Установи се, че за администратора „С.Т.“ ЕООД е налице нормативно установено задължение за водене на регистър и съгласно разпоредбата на чл.116 от Закона за туризма, „лицата, извършващи хотелиерство, водят регистър за настанените туристи със съдържание на данните, утвърдени от министъра на туризма и публикувани на интернет страницата на Министерството на туризма“, като регистъра съдържа определен реквизити. При извършена служебна справка в сайта на министерство на туризма, обективирана в протокол за извършени екранни разпечатки, се установиха необходимите, реквизити за водене на процесния регистър. Установи се също така, че с разпоредбата на чл.23, ал.3 и ал.4 от закона за чужденците в Република България е указано, че физическо или юридическо лице, предоставило подслон на чужденец, в срок до 3 дни след предоставянето на подслона писмено уведомява службата за административен контрол на чужденците или районното управление на Министерството на вътрешните работи по местонахождението си за това обстоятелство, като съобщава имената, датата на раждане, гражданството, номера и серията на документа за самоличност на чужденеца и лице, осъществяващо хотелиерска дейност, или негов служител при настаняване на чужденец го регистрира незабавно в специален регистър. Информацията за настанените чужденци се предоставя ежедневно от това лице в срок до 06,00 часа в службата за административен контрол на чужденците или в районното управление на Министерството на вътрешните работи по местонахождението на хотела.

По отношение на изложеното в жалбата от г-жа М. за дигитално копиране на личниданни от личната карта, са относими констатациите, обективирани в констативен акт №ППН-01-210/15.04.2019г., а именно, че при настаняване в хотела, на обособено място за регистрация на клиенти/гости на хотела (рецепция), гостите предоставят документ за самоличност, от който посредством техническо устройство (електронен четец),автоматично се снемат три имена, ЕГН, номер на лична карта, дата на издаванеи дата на валидност, държава, гражданство, пол и дата на раждане. Данните на гостите се пренасят автоматично в информационната система за обслужване на хотела „КЛОК“, която е проектирана да пренася информация от личния документ, чрез четящото устройство към клиентския регистър. Попълва се адресна карта на клиента, която се води по утвърден образец от Министерство на туризма, съгласно разпоредбите на Закона за туризма. Начините навъвеждане на данни в клиентския регистър за настаняване на гости в хотеласа два: чрез електронен четец данните от личния документ се прочитат и завеждат в клиентския регистър на информационната система „КЛОК“ и чрез ръчно въвеждане на данни от хартиен носител в информационната система на хотела – „КЛОК“.

Предвид изложеното следва, че за администратора „С.Т.“ ЕООД е налице нормативно установено задължение за обработването на личните данни на жалбоподателката, на основание разпоредбата на чл.6, пар.1, б.„в“ от Регламент(ЕС)2016/679, във връзка с чл.116, ал.2 от ЗТ, във връзка с чл.23, ал.3 и 4 от Закона за чужденците в Република България. Предвид предоставените като доказателства от администратора, политика за защита на личните данни, както и вътрешни правила, свързани с процеса на работа на администратора, следва, че обработването се извършва в съответствие с принципите за обработване на лични данни, регламентирани с разпоредбата на чл.5, пар.1 от Регламента.

Предвидгорното, на основание чл.10, ал.1 от Закона за защита на личните данни във връзка с чл.57, §1, б.„е“ от Регламента и чл.38, ал.3 от Закона за защита на личните данни, Комисията се произнесе със следното

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред административния съд по смисъла на чл.133, ал.1 и ал.2 от АПК.