Решение по жалба с рег. № ППН-02-214/06.04.2023 г.

РЕШЕНИЕ

Рег. №  ППН-02-214

    от 06.04.2023 г.

На основание чл. 58, § 2, буква „и“, във връзка с чл. 57, § 1, буква „а“ от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. (Регламента), на заседание на Комисията за защита на личните данни (КЗЛД), отразено в Протокол № 33 от 27.09.2023 г. в състав Венцислав Караджов – председател и членове: Цанко Цолов, Мария Матева и Веселин Целков, след като разгледа и обсъди докладна записка с рег. № ППН-02-214#17 от 15.09.2023г. на дирекция „Правни производства и надзор” относно постъпил сигнал с вх. № ППН-02-214/2023 г., намери за

УСТАНОВЕНО:

В Комисията за защита на личните данни (КЗЛД) е постъпил сигнал с вх. № ППН-02-214/06.04.2023 г. от В. В – ПР на СИК 320270104 в гр. С, Г-я извън страната за изборите за народни представители на 2 април 2023 г. (препратен по компетентност и от Централна избирателна комисия (ЦИК)), съдържащ твърдения относно нарушения на законодателството за защита на личните данни.

В сигнала г-жа В твърди, че на 02.04.2023 г. след приключване на изборния ден, преброяване на бюлетините и попълване на съответните протоколи е изпратено електронно писмо към ЦИК с прикачени всички сканирани документи и материали, съгласно методическите указания на ЦИК, за приключване на изборния ден в СИК. Към електронното писмо е било прикачено и сканиран допълнителен списък на лица, гласували в СИК, но не са вписани в списъка за гласуване. Списъците за гласуване съдържат три имен, ЕГН, номер на документа за самоличност, адрес по документа за самоличност и положен подпис на лицата, гласували в секцията. Докато са изчаквали официално ЦИК да разпусне състава на СИК, секретарят на СИК – К. Н е препратил официалното писмо до ЦИК на собствената си електронна пощенска кутия – k@hotmail.com. Г-жа В предполага, че г-н Н разполага незаконосъобразно с личните данни на гласоподавателите.

Във връзка с изясняване на сигнала с писмо с изх. № ППН-02-214#6/16.05.2023 г. е изискано от ЦИК да представи становище и допълнителна информация относно фактите, изнесени в сигнала и приложи относими доказателства.

С писма с вх. № ППН-02-214#11/05.06.2023 г., № ППН-02-214#12/14.06.2023 г. и № ППН-02-214#13/14.06.2023 г. от ЦИК информират, че с Решение № 1802/20.03.2023 г. на ЦИК г-н К. Л. Н, ЕГН  е назначен за секретар на СИК № 320270104, Г-я, С, извън страната за изборите за народни представители на 2 април 2023 г. и не разполагат с други данни на лицето. От ЦИК е предоставено копие на електронното писмо, изпратено от sik104@cik.bg до k@hotmail.com на 02.04.2023 г. в 23:43 часа в едно с прикачените документи, от което е видно че същото съдържа 5 прикачени файла, от които 3 сканирани документа в .pdf формат, както следва:

• Списък за гласуване извън страната в изборите за народни представители на 2 април 2023 във Федерална република Германия/Саарбрюкен в едно с Допълнителна страница към него;
• Протокол на СИК в избирателна секция № 320270104;
• Финален отчет за резултатите от машинно гласуване в избирателна секция след приключване на гласуването.

Останалите 2 прикачени файла, съдържащи данни в специфичен формат, който дава възможност данните да се запазват в табличен структуриран вид и в които не се съдържат лични данни на физически лица, са идентични компресирани (zip) папки, съдържащи по 5 идентични файла, както следва:

• два .xls файла с наименование „csv“ и „320270104-zero-result.csv“ и два файла с разширения .p7m за електронно подписани документи и
• 1 файл в .pdf формат с наименование „votes.p7m“.

От петте прикачени документа в файла „Списък за гласуване извън страната в изборите за народни представители на 2 април 2023 във Федерална република Г-я/С“ в едно с „Допълнителна страница“ към него се съдържат личните данни (три имена, ЕГН, номер на документа за самоличност, адрес по документа за самоличност и положен подпис) на 329 (триста двадесет и девет) лица, гласували в секцията и личните данни (три имена и адрес по документа за самоличност) на 8 (осем) лица, не упражнили правото си на глас, но вписани в съответния списък.

След поискана от страна на ЦИК справка от „Информационно обслужване“ АД е установено, че конкретното електронно съобщение не е доставено до адресата (k@hotmail.com), тъй като обемът на съобщението надвишава максимално допустимия на ползваната от него пощенска кутия. Липсва информация и данни дали информацията е копирана или прехвърлена на външен носител.

От ЦИК и Министерство на външните работи (МВнР) (с писмо с изх. № ППН-02-214#14/28.07.2023 г.) е изискана информация на кого са предоставени правата за достъп до електронната пощенска кутия sik104@cik.bg.

От ЦИК и МВнР е получена информация, че ЦИК администрира електронната поща в домейна cik.bg. Електронната пощенска кутия sik104@cik.bg е създадена в домейна на ЦИК, като данните за достъп (потребителско име и парола) са предоставени на МВнР, за да бъдат предадени на СИК.

Данните за достъп до посочената електронна пощенска кутия са запечатани в плик с надпис „Комуникационни параметри” и заедно с останалите изборни книжа и материали са изпратени до Генералното консулство на РБългария във Фр за последващото им предаване на СИК № 320270104. На 22.03.2023 г. в Генералното консулство във Франкфурт е извършена проверка на изпратените изборни книжа и материали, при което е установено успешното получаване съгласно предоставен Опис на документите за Народно събрание на 2 април 2023 г.

Съгласно чл. 217 от Изборния кодекс (ИК) Председателят и секретарят на СИК извън страната получават изборните книжа и материали, включително и списъка за гласуване извън страната от ръководителя на българското дипломатически или консулско представителство или от оправомощено от него длъжностно лице. В Методическите указания на ЦИК по прилагане на ИК за секционните избирателни комисии извън страната за изборите за народни представители на 2 април 2023 г., при гласуване с хартиени бюлетини и със специализирани устройства за машинно гласуване, приети с Решение № 1811-НС/22.03.2023 г., са описани действията на СИК в предизборния ден 1 април 2023 г. В Раздел II „Предизборен ден – 1 април 2023 г.“ е описана процедурата по получаване на изборните книжа и материали, където е отбелязано, че „В предизборния ден – 01.04.2023 г. председателят и секретарят на СИК получават от ръководителят на дипломатическо или консулско представителство или оправомощено от него длъжностно лице:“ „Запечатани в плик индивидуални комуникационни параметри за всяка СИК, заедно с указания за изпращане на сканирани документи до ЦИК”. Съгласно същия раздел, протоколите за приемане и предаване на списък за гласуване и изборните книжа и материали се съставят и подписват в два еднообразни екземпляра – за СИК и за ръководителя на дипломатическо или консулско представителство или оправомощения от него представител. От страна на МВнР не е представен такъв протокол за приемане и предаване на списък за гласуване и изборните книжа и материали предоставени на СИК в избирателна секция № 320270104 в гр. С, Г-я. След подписване на протоколите отговорността за опазване на изборните книжа и материали носи председателят, съответно заместник-председателят на СИК. Протоколите от предаването на изборните книжа и материали от оправомощеното лице на секционната избирателна комисия, както и от приемането на торбата (чувал) с резултатите от изборите, се съхраняват в запечатаната от СИК торба (чувал).

В подточка 3.2. от т. 3. Действия след отварянето на помещението на Раздел III. Изборен ден – 2 април 2023 г. е вписано, че членовете на СИК разпределят помежду си функциите, които ще изпълняват в изборния ден, с решение, за което се съставя протокол.

От правна страна:

Съгласно Указанията относно обработването и защитата на личните данни в изборния процес, приети съвместно от ЦИК и КЗЛД, на основание чл. 57, ал. 1, т. 49 от Изборния кодекс, публикувани на сайта на КЗЛД на 12.02.2021 г., СИК е администратор на лични данни, съгласно чл. 4, т. 7 от Регламент (ЕС) 2016/679, за целите на произвеждането на изборите за народни представители на 2 април 2023 г. В конкретния случай секретарят на СИК – Константин Нинов съзнателно, извън служебните си задължения като член на СИК е изпратил електронно съобщение до личната си електронна пощенска кутия k@hotmail.com, съдържащо лични данни (три имена, ЕГН, номер на документа за самоличност, адрес по документа за самоличност и положен подпис) на 329 (триста двадесет и девет) лица, гласували в секцията и личните данни (три имена и адрес по документа за самоличност) на 8 (осем) лица, не упражнили правото си на глас, но вписани в съответния списък. Единствено не доставянето на електронното съобщение до адресата (k@hotmail.com) поради надвишаване обема на съобщението над максимално допустимия на ползваната от него пощенска кутия, предотвратява нераглементирано разпространение на личните данни на 337 (триста тридесет и седем) физически лица, вписани в „Списък за гласуване извън страната в изборите за народни представители на 2 април 2023 във Федерална република Г-я/С“ в едно с „Допълнителна страница“. Видно от гореизложеното, г-н Н се явява администратор като физическо лице, тъй като незаконосъобразно е обработил личните данни за собствени лични цели, независимо че не ги е достъпил. Обработването е чрез самото изпращане, достъпването е последващо действие, което не се е осъществило поради случайни обстоятелства, каквато е констатацията на „И. об“ АД. Сигурността е от особено значение в контекста на изборите, предвид големия обем от лични данни, които се обработват. Общият регламент изисква, както от администраторите, така и от обработващите лични данни да прилагат подходящи технически и организационни мерки за осигуряване на ниво на сигурност, съобразено с рисковете, които обработването поражда за правата и свободите на физическите лица.

Предвид гореизложеното, с действията си г-н Н е нарушил разпоредбата на чл.6 § 1, букви „ а“, „б“, „в“, „г“, „д“, „е“ от Регламент (ЕС) 2016/679.

След преглед и анализ на всички събрани документи по административната преписка КЗЛД, като взе предвид естеството, тежестта на нарушението в контекста на изборите, предвид големия обем от лични данни, които се обработват, на основание чл. 58, § 2, буква „и“, във връзка с чл. 57, § 1, буква „а“ и чл. 83, § 2, букви „а“, „в“, „г“, „е“, „ж“, „и“ и  „к“ от Регламент (ЕС) 2016/679

РЕШИ:

За нарушение на чл. 6, § 1, букви „ а“, „б“, „в“, „г“, „д“, „е“, на основание чл. 58, § 2, буква (и) от Регламент (ЕС) 2016/679, и чл. 83, § 5, буква (а) от Регламент (ЕС) 2016/679 налага на К. Л. Н, ЕГН в качеството му на администратор на лични данни,  административно наказание  – глоба в размер на 1 500(хиляда и петстотин) лева.

На основание чл. 78 § 1 от Регламент (ЕС) 2016/679 във връзка с чл. 59 ал. 2 т. 7 и чл. 149 ал. 1 от Административно процесуалния кодекс, нарушителят може да обжалва разпореждането в 14-дневен срок от връчването пред Административен съд – София град.

След влизане в сила на решението, сумата по наложеното наказание да бъде преведена по банков път:

Банка БНБ – ЦУ

IBAN: BG18BNBG96613000158601 BIC BNBGBGSD

Комисия за защита на личните данни, БУЛСТАТ 130961721

В случай че санкцията не бъде платена в 14-дневен срок от влизане в сила на настоящето решение, ще бъдат предприети действия за принудителното и събиране.