Решение по жалба с рег. № ППН-02-420/01.08.2019 г.

Комисията за защита на личните данни (КЗЛД, Комисията) в състав, председател, Венцислав Караджов и членове: Мария Матева и Веселин Целков на редовно заседание, проведено на 11.12.2019г. и обективирано в протокол №49/11.12.2019г., на основание чл.10, ал.1 от Закона за защита на личните данни (ЗЗЛД) във вр. с чл.57, §1, б.„е“ от Регламент (ЕС) 2016/679, разгледа по същество жалба с рег. №ППН-02-420/01.08.2019г., подадена от В.М. срещу дружество за комунални услуги (ДКУ).

Постъпила е жалба с рег. №ППН-02-420/01.08.2019г., подадена от В.М. срещу ДКУ с предмет непълно и неточно произнасяне по подадено заявление по чл.15 от Регламент 2016/679.

Жалбоподателят сочи, че преди няколко седмици е изпратил искане до ДКУ да му бъде предоставена информация за това какви негови лични данни се обработват, целта на обработване, срок на съхранение и др. Сочи, че в двуседмичен срок е получи отговор от ДКУ, който не отговаря на минималните изисквания на чл.15 от Общия регламент за защита на личните данни и е в нарушение на принципа за прозрачност при обработване на лични данни.

В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, с писмо изх. №ППН-02-420#2/10.10.2019г. наДКУ е предоставен срок за изразяване на становище и представяне на относими доказателства.

В отговор e постъпилo становищe, заведено с рег. №ППН-02-420#9/17.10.2019г., в коeто е посочено, че личните данни на жалбоподателя В.М.се обработват законосъобразно и добросъвестно, при точно спазване на принципите за обработване на лични данни, прогласени с разпоредбата на чл.5 от Регламент (ЕС) 2016/679.

Информират, че г-н В.М.е клиент на топлинна енергия в качеството му на собственик на топлоснабден имот, съгласно разпоредбата на чл.153 от Закона за енергетиката. Посочена е разпоредбата на чл.150 от ЗЕ, в която е посочено, че продажбата на топлинна енергия от топлопреноснотопредприятие на клиенти на топлинна енергия за битови нужди се осъществява при публично известни общи условия, предложени от ДКУ и одобрени от КЕВР.

Топлопреносните предприятия задължително публикуват одобрените от комисията общи условия най-малко в един централен и в един местен всекидневник в градовете с битово топлоснабдяване. Общите условия влизат в сила 30 дни след първото им публикуване, без да е необходимо изрично писмено приемане от клиентите.

В срок до 30 дни след влизането в сила на общите условия клиентите, които не са съгласни с тях, имат право да внесат в съответното топлопреносно предприятие заявление, в което да предложат специални условия. Предложените от клиентите и приети от топлопреносните предприятия специални условия се отразяват в писмени допълнителни споразумения.

В случая, доколкото жалбоподателят е клиент на топлинна енергия, е налице облигационно-правна връзка при публично известни общи условия, личните му данни се обработват от ДКУ, на основание чл.6, ал.1, б.„б“ от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Регламента) – обработването е необходимо за изпълнение по договор, по който субектът е страна.

Считат, че зависимост от конкретното действие по обработване разпоредбите на същите се явяват правното основание съгласно чл.6, ал.1, буква „в“ от Регламента. В тази връзка събирането, обработката и съхранението на лични данни са необходими за спазване на правни задължения, които изискват обработване (арг. от чл.17, ал.3, буква „б“ от Регламента).

Посочено е, че дружеството разполага със следните лични данни на жалбоподателя: три имена, единен граждански номер, адрес, телефон и e-mail.

Източник на същите са списък на потребителите на топлинна енергия в сграда наадрес: ***, представен при присъединяване на сградата на 21.10.2003г., нотариален акт за покупко-продажба на недвижими имоти в груб строеж №***, списък на потребителите на топлинна енергия в сграда на адрес:***, представен при присъединяване на сградата на 26.01.2001г., нотариален акт №*** и заявления с рег. индекси **** като по същите са извършвани проверки и са предоставени официални отговори до жалбоподателя. С e-mail адреса на жалбоподателя дружеството разполага от Заявление с рег. индекс *** от същия за сключване на договор съгласно Общите условия за продажба на топлинна енергия за стопански нужди от ДКУ на клиенти в град София, както и сключен договор №*** между В.М. и ДКУ със същия предмет. Копие от горепосочените документи представям към настоящото становище.

Сочат, че в заявлението с рег. индекс **** г-н В.М. не е отправял искане да му бъдат предоставени цитираните по-горе документи, а само личните данни, които се обработват, като същите са предоставени. Считаме жалбата в тази й част за неоснователна.

Заявлението с рег. индекс *** е първо с такъв предмет, подавано от г-н В.М. Останалите му цитирани и в отговора заявления имат различен предмет.

Информират, че срещу г-н В.М. има образувани граждански дела пред Софийски районен съд, както следва: ****.

В качеството му на клиент на топлинна енергия, ДКУ съхранява лични данни на жалбоподателя за следните цели: изпълнение на нормативните и договорнизадължения във връзка с топлоснабдяването на имота му, финансово-счетоводна дейност, предприемане на необходими съдебни и/или извънсъдебни действия с оглед събиране на неизплатени задължения към дружеството.

В зависимост от основанието, на което се обработват личните данни срокът на съхранение на същите е различен.

Личните данни се съхраняват от ДКУ за срок от 5 години от прекратяване на договора/отпадане на основанието, въз основа на което данните са билисъбрани първоначално и в случай, че са изпълнени договорните задължения, в случаите в които обработваме личните данни за изпълнение на договорни задължения.След изтичането на този срок и в случай, че не съществува законово основание за продължаване съхранението на личните му данни, информацията за него се унищожава.

За изпълнение на поети задължения по възникналото договорно отношение с жалбоподателя, както и в изпълнение на нормативните си задължения, е посочено, че дружеството разкрива личните му данни на: дружества, предоставящи куриерски услуги. Това е свързано с изпращаната и получава до и от него кореспонденция. Разкриваните лични данни са три имена и адрес; дружеството, извършващо дялово разпределение за топлоснабдения имот. Това е свързано с извършваното дялово разпределение. Разкриваните лични данни са три имена и адрес (този на топлоснабдения имот); дружеството, извършващо отпечатване на съобщенията за фактурираните суми за топлоснабдния имот. Разкриваните лични данни са три имена и адрес (тозина топлоснабдения имот); дружествата инкасиращи суми. Това е свързано с извършваните от жалбоподателя плащания към дружеството, когато плащанията са извършени в офиси на тези дружества. Разкриваните лични данни са три имена и адрес (този на топлоснабдения имот).

Сочат, че ако г-н В.М. е посетил клиентските центрове на дружеството или зоните с ограничен достъп, по отношение на него е извършено видеозаснемане. В този случай данни се събират посредством изградената интегрирана система за видеонаблюдение, която е собственост на дружеството. Архивът от записите на камерите се съхранява за срок не по­ дълъг от законоустановения, като след изтичането му, данните се заличават. Считат, че тези лични данни се предоставят доброволно от лицата, които с влизането си в офисните помещения на дружеството изразяват валидно съгласие във връзка с извършваното видеонаблюдение. В съответствие с изискванията на закона, на входовете на сградите на дружеството, са поставени предупредителни табели за извършваното постоянно видеонаблюдение.

Данните се съхраняват на сървъри собственост на ДКУ и териториално разположени в България.

В заключение уведомяват, че ДКУ стриктно спазва разпоредбите в областта на защитата на личните данни. Спазването се отнася за всички действия по обработване, извършвани от дружеството.

Сочат, че с оглед обезпечаване сигурността на личните данни, с които борави ДКУ, информация по повод предприети мерки за защитата и опазването им не следва да се оповестява.

В зависимост от конкретното действие по обработване разпоредбите на същите се явяват правното основание съгласно чл.6, ал.1, буква „в“ от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Регламента). В тази връзка събирането, обработката и съхранението на лични данни на клиенти на топлинна енергия е необходимо за спазване на правни задължения, които изискват обработване (арг. от чл.17, ал.3, буква „б“ от Регламента).

В случая доколкото жалбоподателят е клиент на топлинна енергия и е налице облигационно-правна връзка при публично известни общи условия, личните му данни се обработват и на основание чл.6, ал.1, б. б от Общия Регламент за защита на личните данни – обработването е необходимо за изпълнение по договор, по който субектът е страна.

Разглежданата жалба е съобразена в цялост с изискванията за редовност, съгласно чл.28, ал.1 от Правилник за дейността на Комисията за защита на личните данни и нейната администрация (ПДКЗЛДНА), а именно: налице са данни за жалбоподателя, естеството на искането, дата и подпис.

Предвидените в чл.38, ал.1 от ЗЗЛД срокове са спазени. Същата има за предмет твърдение за непълно и неточно произнасяне по подадено заявление по чл.15 от Регламента от страна на жалбоподателя и е насочена срещу администратор на лични данни, което изискване се явява абсолютна процесуална предпоставка, с оглед на което следва да се прецени допустимостта на жалбата.

Предвид гореизложеното и с оглед липсата на предпоставки от категорията на отрицателните по чл.27, ал.2 от АПК на проведено на 30.10.2019г. заседание на Комисията, жалбата е приета за процесуално допустима и като страни в административното производство са конституирани: жалбоподател, В.М., ответна страна ДКУ им е указано разпределянето на доказателствената тежест в процеса. Страните са редовно уведомени за насроченото на 11.12.2019г., открито заседание.

Предмет на жалбата е произнасяне от ДКУ по подадено заявление по чл.15 от ОРЗД от г-н В.М.

Правото на достъп до данни и информация е регламентирано в чл.15 от ОРЗД. По силата на цитираната разпоредба, субекта на данни има право да поиска от администратора на лични данни потвърждение дали администратора обработва негови лични данни и ако това е така достъп до данни и информация в обема посочен в цитираната разпоредбата.

За да възникне задължение за произнася на администратора по искането по чл.15 от ОРЗД, съответно да се установи неизпълнение на задължение за произнасяне е необходимо да бъде установено, че администратора е бил надлежно сезиран, т.е. искането да е отправено от субект на данни до лице имащо качеството на администратор на лични данни, естество на искането, което от своя страна налага по дефиниция посочване на данни идентифициращи субекта на данни и администратора на лични данни.

На следващо място предвид строго личния характер на правата, регламентирани в ОРЗД, вкл. това на достъп до данни и информация и отчитайки неблагоприятните последствия, които биха настъпили за субекта на данни при упражняване на това право от едно трето лице, за администратора възниква и задължение за извършване напроверка на самоличността на субекта на данни (чрез използване на разумни мерки за това, като преценката дали използваната мярка е разумна се прави с оглед конкретния случай) с цел гарантиране точното изпълнение на задълженията, произтичащи за него от Регламента (по apr. от чл.12, §1, изр. последното и съображение 64).

Във връзка с горното, съображение 59 от Регламента, предвижда че следва да бъдат предвидени ред и условия за упражняването на правата на субектите на данни, вкл. механизми за искане и ако е приложимо – получаване.

По силата на чл.12 от ОРЗД, администратора има задължение да предприеме необходимите мерки за предоставяне на всякаква информация и комуникация,вкл. по чл.13, §2, б. „б“ и чл.15 от Регламента, която се отнася до обработването, на субекта на данни, в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език.

В конкретния случай, не е спорно между страните, а от събраните по административното производство доказателства, че ДКУ обработва лични данни за жалбоподателя възникнали от договорни взаимоотношения между страните и в този смисъл ДКУ има качеството на задължено лице по смисъла на чл.15 от ОРЗД.

Не е спорно, че на дата 12.07.2019г. жалбоподателят е упражнил правото си на информация по чл.15 от ОРЗД. Видно от заявлението е, че същото съдържа три имена, адрес за кореспонденция и телефон. Видно от доказателствата по преписката администраторът е предоставил отговор на 26.07.2019г., т. е спазен е едномесечният срок за произнасяне по подадено заявление.

Видно от публикувана на интернет страницата на дружеството политика за поверителност на личните данни в ДКУ на субектите на данни е предоставена информация за връзка с дружеството какви лични данни и на какво основание ги обработва ДКУ; с каква цел се събират; по какъв начин се обработват, колко време се съхраняват обработваните лични данни, на кого могат да се предоставят, какви са правата на субектите на данни, включително и правото им на подаване на жалба до надзорния орган.

В случая предмет на спора е непълното според жалбоподателя произнасяне от страна на ДКУ по направеното искане за получаване на информация по чл.15 от Регламентаот дата 12.07.2019г.

От предоставения от ДКУ отговор по чл.15 от Регламента е видно, че администраторът е отговорил на поставените въпроси от жалбоподателя. Посочен е обема от лични данни, които се обработват от администратора: а именно три имена единен граждански номер, адрес и телефона, като е посочени и документите, източник на личните данни на жалбоподателя В.М. .

Предвид оплакването, релевирано с подаването на жалбата, предмет на настоящото производство, а именно, че като част от личните данни, които се обработват от ДКУ не е посочен имейл адреса на г-н В.М. , следва да се посочи, че при разширително тълкуване на отговора, предоставен от ДКУ се прави извод, че администраторът е отговорил на страната, че дружеството разполага с „три имена, ЕГН, адрес и телефон“. Предвид технологичния прогрес, а и изброените документи, източник на лични данни следва да се приеме, че под адрес се има предвид както адрес за кореспонденция, така и електронен адрес.

Във връзка с искането за предоставяне на копия от документи, следва да се посочи, че ДКУ е посочила в отговора си до г-н В.М. , че предоставя копие от лични данни, представляващи три имена, ЕГН, адрес и телефонен номер. В тази връзка следва да бъде посочено, че формата на предоставяне на информация, относно обработваните лични данни не е елемент от правото на достъп, но това не изключва задължението на ДКУ да предоставят достъп на жалбоподателя до лични данни.

От предоставения от дружеството отговор е видно, че отговора на заявлението съдържа реквизитите, изискуеми по чл.15 от Регламента, с изключение на този по чл.15, пар. 1, б.„з“, а именно не е предоставен отговор за съществуването на автоматично вземане на решения, включително и профилиране.

Досежно изложените в жалбата твърдения, че не се предоставя информация за политиките и действията, които се предприемат зазащита на личните данни, следва да се посочи, че този въпрос е извън обхвата на задължението за произнасяне по заявление, подадено по чл.15 от Регламента.

Предвид гореизложеното се налага изводът, че ДКУ е предоставила отговор на г-н В.М. по подадено заявление по чл.15, пар. 1 от ОРЗД, в изискуемия по регламента в срок, като обаче предоставена информация е непълна, т. е налице е частично изпълнение, което е нарушение на разпоредбата на чл.12, ал.1 от Регламента.

Съобразявайки изложеното и факта, че все пак администраторът е предоставил подробен отговор по подаденото заявление, следва да се посочи, че ДКУ е изпълнила част от задължението си, от което следва, че частичното изпълнение не може да се отъждестви с пълно неизпълнение на задължение, произтичащо от чл.15 от Регламента за администратора. По тази причина считам, че най-целесъобразно би било по отношение на ДКУ да се приложат корективните правомощия на Комисията, разписани с разпоредбата на чл.58, пар. 2 от Регламента.

Предвид изложеното и на основание чл.10, ал.1 от Закона за защита на личните данни във връзка с чл.57, §1, б.„е“ от Регламента и чл.38, ал.3 от Закона за защита на личните данни, Комисията се произнесе със следното

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд – София – град.