Решение по жалба с рег. № ППН-01-67/05.02.2018 г.

Комисията за защита на личните данни (КЗЛД, Комисията) в състав, председател: Венцислав Караджов и членове: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков на редовно заседание, проведено на 05.09.2018г. и обективирано в протокол№34/05.09.2018г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни (ЗЗЛД), разгледа по същество жалба рег. №ППН-01-67/05.02.2018г., подадена от В.С.

Административното производство е по реда на чл.38 от ЗЗЛД.

Жалбоподателят е сезирал Комисията за защита на личните данни с жалба, с предмет неправомерно разпространение на лични данни.

След подадена молба от страна на жалбоподателя до „4Ф“ ЕООД за липса на задължения към институцията, получава документ, изпратен чрез куриерска фирма „С.“АД, при което установява, че в полето за попълване на телефонен номер, е попълнен неговия единен граждански номер.

Счита, че личните му данни са станали „достояние на неограничен кръг лица“.

В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая с писма изх. №№ППН-01-67#2/07.03.2018г., №ППН-01-67#3/07.03.2018г., е предоставен срок за писмени становища по предмета на жалбата и представяне на относими доказателства на „4Ф“ЕООД и „С.“ АД.

В отговор със становище, заведенос рег. №ППН-01-67#5/28.03.2018г. от „4Ф“ ЕООД (Дружеството) информират, че ,,4Ф“ ЕООД е юридическо лице, регистрирано в Търговския регистър към Агенция по вписванията с ЕИК ****, с предмет на дейност: отпускане на заеми със средства, които на са набрани чрез публично привличане на влогове или други възстановими средства. Седалището и адресът на управление на дружеството са: ****, а електронният адрес: ***** .

Сочат, че дружеството е финансова институция, вписана във водения от БНБ Регистър на финансовите институции по член3 а от ЗКИ под номер BG00313. Дружеството е вписан в Регистъра на администраторите на лични данни и водените от тях регистри при КЗЛД на РБ – Администратор на лични данни, за което има издадено удостоверение №371033. Търговската марка, под която дружеството оперира на българския пазар, е Vivus.bg . Предметът на дейност, която дружеството развива, е предоставяне само на физически лица на кредити във формата на заеми (член 9, ал.1 от ЗПК), изцяло подчинявайки се на изискванията на Закона за предоставяне на финансови услуги от разстояние (ЗПФУР), Закона за потребителския кредит (ЗПК), Закона за електронния документ и електронния подпис и др.

Информират, че към датата на изготвянето на становище във вътрешната оперативно-информационна система фигурира договор за кредит №***, сключен на 20.09.2017г., между „4Ф“ ЕООД, в качеството на кредитодател, и В.С., адрес: *****, в качеството му на кредитополучател, като е посочено, че това е пореден кредит на В.С., като всички задължения са погасявани винаги коректно и в срок. Считат г-н В.С. за коректен клиент на когото държат и сочат, че неговото мнение е важно за тях.

Сочат, че на 30.01.2018г. е постъпило телефонно обаждане, с което клиентът В.С. е поискал издаването на удостоверение за наличие или липса на задължения към „4Ф“ ЕООД по договор/и за кредит, по които е страна, като кредитополучател. От дружеството информират, че такива се издават ежедневно на голям брой техни клиенти, както и че издаването на удостоверение е техническа дейност, тъй като касае попълване на предварително изготвена бланка с информация за конкретно лице, взета от вътрешната оперативно-информационна система. Информират, че с тази дейност се занимава един единствен човек г­жа Е.С. на длъжност мениджър контрол на качеството на разговорите в отдел „Обслужване на клиенти“ и че всички издадени удостоверения се изготвят от нея. Също така тя попълва и товарителниците в системата за обслужване на „С.“ АД, с които се изпращат издадените удостоверения до клиенти на „4Ф“ ЕООД на посочен от тях адрес.

Обяснено е, че след изготвянето на удостоверението за г-н В.С., служителката Е.С. е пристъпила към попълването на графите в информационната система на „С.“ АД, за да може да изпрати документа. Видно от приложената извадка от информационната система по профила на клиента В.С., в нея на два реда, един под друг, в който стоят записите на информация на ЕГН (отгоре) и на номер на мобилен телефон (отдолу). При попълването, самата служителка е споделила, че вероятно е допуснала техническа грешка и взела номера на ЕГН, вместо номера на телефона. Видно от обясненията й, това не е практика, а е техническа грешка. Сочат, че това никога не се е случвало преди този случай и, очевидно, става въпрос за изключение и човешка грешка.

От „4Ф“ ЕООД обясняват още, че „С.“ АД, като администратор на лични данни, са предприели действия за поправянето на грешката: ,,.Когато пратката пристига в офиса на „С.“ АД в Бургас, там виждат, че има въведен номер, който не е телефонен номер, а нещо друго, свързват се с кол центъра ни и диктуват този номер, а агентът отговорил на повикването намира клиента В.С. и дава телефонния му номер на куриерската фирма. В системата „С.“ АД се прави промяна, за да не се вижда ЕГН на лицето, а само телефонния номер, но клиентът получава оригиналната товарителница с въведеното от нас ЕГН в него. Когато са направили корекцията в системата излиза телефонен номер, а не ЕГН-то на клиента и затова в момента в товарителницата в платформата на „С.“ АД излиза номера на клиента“.

В допълнение на изложеното становище, молят да се види и списък на изпратени през „С.“ АД документи на физически лица, от която извадка е видно, че няма посочени ЕГН– та в нея при данните на получателите, а действително е посочен само телефонен номер за връзка и то в самата товарителница.

Като доказателство са приложени и писмените обяснения на г-жа Е.С.– мениджър контрол на качеството на разговорите в отдел обслужване на клиенти, в които е посочено, че на 30.01.2018г. е постъпило входящо обаждане от В.С. с искане за изготвянето на документ, което да бъде изпратено по куриер до адрес, посочен от него. Г-жа Е.С. е посочила, че лично е изготвила изисканото удостоверениеза наличие или липса на кредитно задължение, като е заявила куриер на „С.“ АД, за да бъде изпратено.

Информира, че при пускане на заявка за куриер, се попълват данните на клиента в товарителницата: първо се вписва нула пред телефонния номер на клиента, тъй като система телефонният номер е заведен без нула отпред. Сочи, че „за съжаление, когато е трябвало да копирам телефонния номер, без да искам съм копирала ЕГН-то на клиента, защото полетата с телефонен номер и ЕГН на клиента в системата ни са едно под друго и вместо номера на клиента съм пренесла в платформата за заявка на куриера ЕГН-то му“.

Г-жа Е.С. желае да бъде обърнато внимание и на принт скрийн (копиран изглед на страницата на профила на клиента в системата ни) на профила на клиента, на който ясно се вижда, че двете полета са едно под друго и че става въпрос за техническа грешка при избирането на текст за копиране.

Приложени са копия на други товарителници, които е изпращала с посочен телефон, а не ЕГН, с цел да покажат каква е практиката на „4Ф“ ЕООД.

От „С.“ АД е депозирано становище, заведено с рег. № ППН-01-67#4/16.03.2018г., в което е посочено, че пратка по товарителница *** е изпратена на 30.01.2018г. от „4Ф“ ЕООД, гр. София, за доставка до жалбоподателя г-н В.С., до поискване на адрес офис на „С.“ АД в *****. Пратката е пътувала с икономична куриерска услуга за получаване на 01.02.2018г., предадена на получателя на 01.02.2018г. в 9:58 ч. Сочат, че „С.“ АД и „4Ф“ ЕООД са страни по индивидуален договор за куриерски услуги, на основание на който „4Ф“ ЕООД заявява като възложител, а

При заявяването на услугите, „4Ф“ ЕООД ползва модул за самообслужване на пощенския оператор, като самостоятелно генерира товарителниците, по които иска изпълнение. След генерирането на всяка товарителница, същата се принтира от подателя и придружава пратката.Отбелязано е, че в случая при генериране на товарителница **** в полето за въвеждане на телефон за връзка с получателя, подателят е задал погрешно други цифри, които жалбоподателят сочи за негово ЕГН. Пощенският оператор установява грешка във въведения телефон за връзка с получателя след получаване на пратката в офис Бургас при опит за изпращане на съобщение за получената пратка. Информират, че практиката в такива случаи е да се направи контакт с подателя на пратката, който е предоставил правилния телефон за връзка. Грешката в същия момент е изправена в системата на пощенския оператор, като е направена корекция на телефонния номер за контакт с получателя. Пратката обаче е пътувала с прикрепена към нея от подателя първоначално създадената товарителница. Това е документ, създаден, принтиран и прикрепен от подателя към пратката, поради което пощенският оператор не може да го коригира. От друга страна, фактът, че въведените цифри представляват защитени лични данни, става известен на пощенския оператор едва при получаване на подадената жалба. До този момент на пощенския оператор е известно единствено, че по тази товарителница е налице погрешно въведен телефонен номер за контакт и същият е бил коригиран в хода на изпълнението.

За да упражни правомощията си, Комисията следва да бъде валидно сезирана.

Жалба рег. №ППН-01-67/05.02.2018г. съдържа задължително изискуемите реквизити, посочени в разпоредбата на чл.30, ал.1 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация (ПДКЗЛДНА), а именно: налице са данни за жалбоподателя, естеството на искането, дата и подпис, с оглед което същата е редовна.

Съгласно чл.38, ал.1 от Закона за защита на личните данни (ЗЗЛД) при нарушаване на правата му по ЗЗЛД, всяко физическо лице има право да сезира Комисията за защита на личните данни в едногодишен срок от узнаване на нарушението, но не по-късно от пет години от извършването му. Жалбата е подадена в срока на чл.38, ал.1 от ЗЗЛД и е допустима.

В чл.27, ал.2 от АПК законодателят обвързва преценката за допустимостта на искането с наличие на посочените в текста изисквания. Приложимостта на Закона за защита на личните данни е свързана със защитата на физическите лица във връзка с обработването на техните лични данни от лица, имащи качеството администратори на лични данни по смисъла на легалната дефиниция на чл.3 от Закона.

На проведено на 04.07.2018г. заседание на Комисията жалбата е приета за процесуално допустима и като страни в административното производство са конституирани: жалбоподател– В.С.и ответни страни– „С.“ АД и „4Ф“ ЕООД. Страните са редовно уведомени за насроченото за 05.09.2018г. заседание на Комисията за разглеждане на жалбата по същество.

Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива95/46/EО (Общ регламент относно защитата на данните, Регламента) определя правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни. С Регламента се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни.

Жалбата има за предмет незаконосъобразно обработване на лични данни, в хипотезата на предоставяне– единния граждански номер на г-н В.С. Съгласно определението по член 4, точка 1 от Регламента „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

В тази връзка единния граждански номер безспорно представлява лични данни. Определението по член 4, пар. 2 от Регламента сочи, че „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

По преписката е установено, че „4Ф“ ЕООД са обработвали законосъобразно личните данни на жалбоподателя за целите на сключен договор за кредит №***, но от „4Ф“ ЕООД при попълване на данните на заявка за куриер не са предприели необходимите технически и организационни мерки за защита на личните данни на жалбоподателя от неправомерно обработване, а предприетите такива са се оказали недостатъчни и неефективни в случая, предвид факта, че попълнените данните за жалбоподателя в товарителницата, на мястото за телефонен номер е попълнено ЕГН-то на г-н В.С., което представляван нарушение на разпоредбата на чл.23, ал.1 от ЗЗЛД, респективно чл.24 от Регламента, съгласно която администратор на лични данни предприема необходимите технически и организационни мерки за защита на личните данни на лицата от незаконни форми на обработване. По отношение на тези констатации е изразено особени мнение от г-жа Мария Матева, член на Комисията, приложено като неразделна част от настоящото решение.

Комисията действа в условията на оперативна самостоятелност като преценява кое от своите правомощия да реализира. Преценката се основава на съображенията за целенасоченост, целесъобразност и ефективност на решението, като следва да се постанови акт, който в най-пълна степен да защитава обществения интерес. Правомощието относно прилагане на подходяща корективна мярка по отношение на администратора на лични данни касае ситуации, в които администраторът не е изпълнил свое задължение, който пропуск може да санира, като в предоставения му срок извърши пропуснатите действия и обективира изискваното от закона поведение. Относно прилагането на подходящата корективна мярка по член 58, параграф 2 от Регламента следва да се има предвид естеството, тежестта и последиците от нарушението, като се оценят всички факти по случая. Оценката за това, какви мерки са ефективни, пропорционални и възпиращи във всеки отделен случай ще трябва да отразява целта, преследвана с избраната корективна мярка, т.е. възстановяване на спазването на правилата или санкциониране на неправомерно поведение (или и двете). Следва да бъде отбелязано, че „4Ф“ ЕООД след подаване на процесната жалба са предприели всички необходими технически мерки за саниране на допусканата грешка, както и да не бъдат допускани повече подобни грешки, с назначаване на втори човек, който при разпечатване на товарителницата да проверява вписаните в нея данни.

В конкретния случай корективня мярка по буква „г“ на член 58, параграф 2 от Регламента е приложима предвид факта, че се касае за несъобразяване на операция по обработване (буква „г“)., която в момента на установяването е била санира, а в последствие са предприети и последващи мерки.

По отношение на „С.“ АД следва да бъде отбелязано, че жалбата е неоснователна, предвид факта, че то като администратор на лични данни са предприели необходимите технически и организационни мерки за защита на правата на жалбоподателя. Безспорно по административната преписка е установено, че извършената техническа грешка е констатирана от служители в офиса на „С.“ АД, свързали с „4Ф“ ЕООД за установяване и саниране на допуснатата техническа грешка, направили корекция на телефонния номер на получателя в системата.

В тази връзка Комисията за защита на личните данни се произнесе със следното

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд – София– град.

Гласувам с особено мнение Решението по настоящата жалба.

Считам жалбата на В.С. за неоснователна както по отношение на администратора „С." АД, така и по отношение на администратора „4Ф" ЕООД.

В настоящия случай се касае за допусната техническа грешка от оператора, въвеждащ данните, която обаче по никакъв начин не води до индивидуализиране на жалбоподателя.

Фактът, че неговото ЕГН е било вписано в графата за телефонен номер, не води до разкриване на лични данни на жалбоподателя, тъй като това са просто 10 цифри, описани като телефонен номер. Единствено жалбоподателят е бил в състояние да разбере, че описания в документа телефонен номер, на практика е неговото ЕГН.

Предвид това, в настоящия случай не е налице неправомерно обработване на личните данни на жалбоподателя, както и разкриването на неговата идентичност на трети лица.

От друга страна, администраторите са взели своевременно мерки за отстраняване на възможността за повторно допускане на такава техническа неточност в резултат на човешка грешка.

Ето защо гласувам Решението на КЗЛД №ППН-01-67/2018 с особено мнение.