Решение по жалба с рег. № ППН-02-31/24.01.2019 г.

Комисията за защита на личните данни („Комисията”/„KЗЛД”) в състав: Председател– Венцислав Караджов и членове– Цанко Цолов, Мария Матева и Веселин Целков, на редовно заседание, проведено на 11.03.2020г., на основание чл.10, ал.1 от Закона за защита на личните данни във връзка с чл.57, параграф1, буква„е” от Регламент2016/679 разгледа по основателност жалба рег. №ППН-02-31/24.01.2019г., подадена от В.Т. срещу „П.“ ЕАД (накратко П.).

Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).

Жалбоподателят информира, че след като през лятото на 2018г. кандидатствал за работа в компания „П.“ и не получил отговор на кандидатурата си, на 30август 2018г. изпратил писмо до официалния им имейл адрес със заявление за заличаване на личните му данни от системата им, както и от системите на техните представители или трети страни, на които може да са предадени. В заявлението посочил, че би искал да получи потвърждение, когато личните му данни бъдат изтрити.

След дълго чакане без отговор, на 31.12.2018г. отново изпратил имейл. В отговор получил имейл от г-н К.П., от който не става ясно дали конкретно негови лични данни са били изтрити, като се казва, че по принцип всички заявления към тях по GDPR са обработени, а данните изтрити от системата на компанията, както и че компанията им няма практика да отговаря на подобни имейли, които също съдържат лични данни.

Г-н В.Т. моли КЗЛД да провери наистина ли неговото заявление е било взето под внимание и дали личните му данни действително са заличени, както и да се прецени дали е законосъобразно компанията да не изпраща отговор на заявлението.

Към жалбата е приложена кореспонденция по електронна поща.

В условията на залегналото в административния процес служебно начало и в изпълнение на чл.26 АПК, за започване на производството е уведомено лицето, срещу което е насочена жалбата. Предоставена е възможността по чл.34, ал.3 АПК за изразяване на становище с относими доказателства по предявените в жалбата твърдения. В Комисията постъпи отговор за неоснователност на жалбата.

От П. посочват, че кандидатурата за работа на жалбоподателя не е получена от него, а от трето лице– понастоящем бивш служител на дружеството, който бил помолен да го препоръча като подходящ кандидат.

От дружеството се противопоставят на твърдението на г-н В.Т., че не е получил своевременен отговор на подаденото искане за заличаване на лични данни. Това твърдение не се подкрепя от приложения към сигнала имейл с текст за заличаване, тъй като той не съдържа датата 30.08.2018г., както твърди субектът на данни, а датата 21.01.2019г. Видно от разменените между страните имейли от 31.12.2019г., дружеството не само че е взело под внимание заявлението за заличаване на лични данни, но е отговорило веднага на г-н В.Т., потвърждавайки изтриването на личните му данни от системите на дружеството.

Към становището е приложен Протокол за заличаване на лични данни.

За да упражни правомощията си, Комисията следва да бъде валидно сезирана.

В КЗЛД постъпи иницииращ документ, наименован „сигнал“, с който се търси защита на нарушени права на искателя, поради което по същество представлява „жалба“ по смисъла на чл.36, ал.1 от Правилника за дейността на Комисията за защита на личните данни и нейната администрация (ДВ, бр. 10 от 2016г.).

Разглежданата жалба съдържа задължително изискуемите реквизити, посочени в чл.30, ал.1 от ПДКЗЛДНА (ДВ, бр. 10 от 2016г.), а именно: налице са данни за жалбоподателя, естество на искането, дата и подпис, с оглед на което същата е редовна.

Жалбата е процесуално допустима– подадена в срока по §44, ал.2 от ПЗР на ЗЗЛД от физическо лице с правен интерес. Същата има за предмет твърдение за неправомерно обработване на лични данни на жалбоподателя и е насочена срещу администратор на лични данни. С жалбата е сезиран компетентен да се произнесе орган– Комисията за защита на личните данни, която съгласно правомощията си по чл.10, ал.1 ЗЗЛД във връзка с чл.57, параграф1, буква„е” от Регламент2016/679 и чл.38, ал.1 ЗЗЛД разглежда жалби, подадени от субекти на данни при нарушаване на правата им по Регламент2016/679 и ЗЗЛД.

На проведено на 05.02.2020г. закрито заседание на Комисията жалбата е обявена за допустима и като страни в производството са конституирани: жалбоподател В.Т. и ответна страна „П.“ ЕАД. Страните са уведомени за насроченото за 11.03.2020г. открито заседание за разглеждане на спора по същество.

На проведеното заседание за разглеждане на жалбата по същество жалбоподателят не се явява, не се представлява.

За ответната страна се явява надлежно упълномощен процесуален представител. Оспорва жалбата и я счита за неоснователна. Представя допълнително становище.

При така установеното Комисията разгледа жалбата по същество, като я приема за основателна въз основа на следното:

С Регламент2016/679 и Закона за защита на личните данни (ЗЗЛД) се определят правилата по отношение на защитата на физическите лица във връзка с обработването на личните им данни, както и правилата по отношение на свободното движение на лични данни. Целта е да се защитават основни права и свободи на физическите лица, по-специално тяхното право на защита на личните им данни.

Страните не спорят, че лични данни са предоставени доброволно за обработване от жалбоподателя на администратора за целите на подбор на персонал, която по сведения от администратора е неофициална процедура– чрез препоръка от служител на дружеството.

От сведенията в жалбата и представената към нея кореспонденция с П. е видно, че на 30.08.2018г. жалбоподателят е отправил до администратора оттегляне на съгласие за обработване на личните му данни и искане за заличаването им.

Поради липса на отговор, на 31.12.2018г. е отправено запитване до администратора относно резултата от подаденото заявление.

Комуникацията между жалбоподателя и администратора е осъществена между август и декември 2018г. В този период вече се прилага Регламент2016/679 (от 25.05.2018г.), но измененията в ЗЗЛД, направени с ДВ, бр. 17 от 26.02.2019г., които следва да синхронизират вътрешното национално законодателство с европейското, все още не приети. Поради това, към момента на подаване на искането разпоредбите за упражняване на права по Глава пета от ЗЗЛД все още не са отменени, въпреки че същите са вече уредени с Регламент2016/679. При това положение следва да приложат разпоредбите на общносното право– Регламент2016/679, предписани с нормативен акт от по-висок ранг.

Съгласно чл.17 от Регламент2016/679 субектът на данни има право да поиска от администратора изтриване на свързани с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни при наличие на някое от основанията по букви „а“ до „е“ от същия член, освен ако не е налице някое от основанията за отказ по параграф3 на същия член.

В случая са предприети действия по заявлението и видно от представения протокол от 03.09.2018г., заявлението е уважено и личните данни са заличени.

Освен предприемане на действия по заявлението, в срок от един месец от получаване на искането администраторът на лични данни дължи предоставяне на информация на заявителя относно действията, предприети във връзка с искането, съгласно чл.12, параграф3 от Регламент2016/679.

В конкретния случай липсва отговор до жалбоподателя относно предприетите действия. Такъв е предоставен едва след повторно запитване от страна на субекта. Неоснователно е твърдението на П., че на жалбоподателя е отговорено в срок, тъй като заявлението не е от 30.08.2018г., а от по-късна дата– второто запитване от жалбоподателя от 31.12.2018г. В самия протокол за заличаване, който е от 03.09.2018г., е посочено, че заличаването се прави по искане на жалбоподателя, отправено по имейл, т.е. искането от 30.08.2018г. е получено от администратора и е прието, че заявлението е надлежно подадено.

Предвид изложеното, администраторът на лични данни е предприел действия по заявлението за изтриване на данните по чл.17 от Регламент2016/679 в законоустановения срок, но в нарушение на чл.12, параграф3 от Регламент2016/679 не е изпълнил задължението си за уведомяване на субекта на данни за предприетите действия.

При така констатираното нарушение жалбата следва да бъде уважена.

В допълнение към горното, процесуалният представител на П. заяви, че дружеството е сертифицирано по ISO за информационна сигурност. Въпреки това е допуснато нарушение. Няма спор, че личните данни са предоставени на администратора за обработване от самия жалбоподател, макар и в една неофициална процедура за подбор. Не е ясно обаче как се обработват тези данни– не е представена политика за обработване на личните данни, която да посочва какви лични данни се обработват, за какви цели, по какъв начин се обработват, за какъв срок се съхраняват (в рамките на чл.25к от ЗЗЛД) и др. Предвид изложеното, администраторът следва да изготви ясни правила за обработване на лични данни при подбор на персонал, включително и при специфични ситуации като разглежданата неофициална процедура.

Освен горното, липсват правила как се обработват постъпили по електронната поща, посочена в Търговския регистър, искания за упражняване на права по чл.15-22 от Регламент2016/679. От една страна, съгласно чл.37б, ал.2 от ЗЗЛД заявленията за упражняване на права могат да бъдат подадени по електронен път при спазване на съответните правила за идентификация (напр. с електронен подпис по Закона за електронния документ и електронните удостоверителни услуги). От друга страна, съгласно чл.12, параграфи 2 и 6 от Регламент2016/679, администраторът съдейства за упражняването на правата по чл.15-22 от Регламента, но когато има основателни опасения във връзка със самоличността на физическото лице може да поиска допълнително информация за идентификация. В случай че не е в състояние да идентифицира лицето, администраторът може да откаже разглеждането на отправеното до него искане. И в двете хипотези администраторът дължи отговор на искателя. Освен това самото заявление следва да бъде заведено в регистратурата на администратора, за да бъде спазен принципът за отчетност по чл.5, параграф2 от Регламент2016/679– т.е. следва да има информация, че има постъпило заявление от субект на данни, какво е искането и какви са предприетите действия. В разглеждания случай заявлението е подадено без електронен подпис, но администраторът го е приел за надлежно и го е изпълнил, но не е отговорил. Предвид изложеното, администраторът следва да изготви и правила при получаване на заявления за упражняване на права по Регламента.

Комисията разполага с оперативна самостоятелност, като в съответствие с предоставените ѝ функции преценява кое от корективни правомощия по чл.58, пар. 2 от Регламент2016/679 да упражни. Преценката се основава на съображенията за целесъобразност и ефективност на решението при отчитане на особеностите на всеки конкретен случай и степента на засягане на интересите на конкретното физическо лице– субект на данни, както и на обществения интерес. Правомощията по чл.58, пар. 2, без тази по буква„и”, имат характера на принудителни административни мерки, чиято цел е да предотвратят или да преустановят извършването на нарушение, като по този начин се постигне дължимото поведение в областта на зашитата на личните данни. Административното наказание „глоба” или „имуществена санкция” по чл.58 пар. 2, буква„и” има санкционен характер. При прилагането на подходящата корективна мярка по член 58, пар. 2 от Регламента се взема предвид естеството, тежестта и последиците от нарушението, както и всички смекчаващи и отегчаващи отговорността обстоятелства. Оценката за това какви мерки са ефективни, пропорционални и възпиращи във всеки отделен случай отразява и целта, преследвана с избраната корективна мярка– предотвратяване или преустановяване на нарушението, санкциониране на неправомерното поведение или и двете, каквато възможност е предвидена в чл.58, пар. 2, буква„и” от Регламент2016/679.

В допълнение към горното, съгласно чл.10г от ЗЗЛД при упражняване на задачите и правомощията си по отношение на администратори или обработващи лични данни, които са микропредприятия, малки и средни предприятия, КЗЛД следва да вземе предвид техните специални потребности и налични ресурси. Това следва да се вземе предвид при преценката дали да се наложи административното наказание „имуществена санкция“ вместо друга корективна мярка по чл.58, параграф2 от Регламента или в допълнение към нея. Анализ на публикуваните данни на дружеството показва, че по смисъла на чл.3 от Закона за малките и средните предприятия администраторът е средно предприятие.

С оглед посочените общи изисквания при определяне на корективна мярка, в разглеждания случай са налице и следните смекчаващи обстоятелства– нарушението е първо за администратора, нарушени са правата на един субект, освен това действия по заявлението му са предприети и при повторното запитване е получил отговор (макар и не конкретен), че заявленията са разгледани и личните данни са изтрити.

Предвид горното, най-целесъобразна мярка, която има за цел да предотврати бъдещи нарушения, е по чл.58, пар. 2, буква„г” от Регламента– разпореждане до администратора на лични данни да съобрази операциите по обработване с изискванията на Регламента, като изготви и представи политика за обработване на лични данни в процедура за подбор на персонал, както и обработване на искания по чл.15-22 от Регламент2016/679, постъпили по електронен път.

При неспазване на разпореждане по чл.58, параграф2 от Регламент2016/679 може да бъде наложена имуществена санкция по чл.83, параграф6 от Регламент2016/679.

Така мотивирана и на основание чл.38, ал.3 от ЗЗЛД, Комисията за защита на личните данни

Настоящото решение може да бъде обжалвано в 14-дневен срок от връчването му чрез Комисията за защита на личните данни, пред Административен съд София– град.