Решение по жалби с рег. № ППН-01-71/06.02.2018 г. и ППН-01-84/12.02.2018 г.

Комисията за защита на личните данни (КЗЛД) в състав: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков на заседание, проведено на 10.04.2019г., на основание чл.10, ал.1 от Закона за защита на личните данни, респективно чл.57, §1, буква„е“ от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Регламента/Общия регламент), разгледа по същество жалби №ППН-01-71/06.02.2018г. и ППН-01-84/12.02.2018г. подадени от П.Д.

Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).

Комисията за защита на личните данни е сезирана с жалба, подадена от П.Д., с изложени твърдения за неправомерно обработване на личните й данни.

Жалбоподателката информира, че на 01.12.2017г. подала сигнал до Националния осигурителен институт за проверка за период от началото на 2016г. до края на 2017г.относно осъществяван неправомерен достъп до данните й съхранявани в масивите на НОИ от служител на института, а именно И.Т. на длъжност началник на отдел „ПОБГВ“, дирекция „КПК“ при ТД на НОИ – София град. Допълва, че в отговор получен на 09.01.2018г. била информирана за констатирано нарушение на посоченото длъжностното лице, което без доказана служебна необходимост или получено съгласие за това е достъпвало личните й данни в „Справка за ЕГН или ЛНЧ-всички подадени уведомления“.

Жалбоподателката счита, че е налице нарушение на правата й по ЗЗЛД и неправомерно достъпване на личните й данни съхраняване в НОИ свързани с регистрирани трудови договори, болнични и осигуровки. Моли Комисията за проверка по случая относно достъпа до личните й данни съхранявани в НОИ за периода 01.01.2016г. до датата на сезиране на Комисията, както и проверка относно предприетите от НОИ мерки за предотвратяване на неправомерен достъп до лични данни от служители на НОИ без доказана необходимост.

Жалбата е подадена по електронен път и заведена с №ППН-01-7106.02.2018г., а в последствие е депозирана и по пощата и заведена с рег. №ППН-01-84/12.02.2018г. по описа на Комисията. Приложени са относими доказателства.

В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, от НОИ е изискано писмено становище.

В отговор е изразено становище рег. №ППН-01-71#1/19.03.2018г., с приложени към него относими доказателства, в това число и справка за достъп до лични данни на жалбоподателката в период от 01.01.2016 до 04.12.2017г. От НОИ информират, че от извършена по случая проверка е установено, че в периода 01.01.2016г. до 01.12.2017г. са направени две заявки за достъп до регистрите на НОИ, съдържащи лични данни на жалбоподателката, а именно направена „при доказана необходимост справка“ на 19.05.2016г. от С.Б. – старши експерт по осигуряване в сектор „Контрол“, отдел „Парични обезщетения за временна неработоспособност“ в ТД на НОИ – София, и справка осъществена на 29.11.2016г. от И.Т. – на длъжност началник на отдел ПОБГВ в ТД на НОИ – София. За последната, сочат че от направената проверка и дадените по случая обяснения на служителя не е установено справката и достъпа до лични данни на жалбоподателката да са в изпълнение на служебните задължения на г-жа И.Т. Твърдят, че НОИ обработва личните данни на физическите лица законосъобразно в съответствие с разпоредбите на ЗЗЛД и издадената на основание чл.23, ал.4 от ЗЗЛД Наредба и Инструкция №14/23.07.2013г. за мерките и средствата за защита на личните данни, обработвани от НОИ.

Комисията за защита на личните данни е независим държавен орган, който осъществява защита на лицата при обработването на личните им данни и при осъществяване на достъпа до тези данни, както и контрол по спазването на ЗЗЛД и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни

Жалбите съдържат задължително изискуемите реквизити, посочени в разпоредбата на чл.30, ал.1 от ПДКЗЛДНА – налице са данни за жалбоподателя, естеството на искането, дата и подпис, с оглед което същите са редовни.

Подадени са в срока по §44, ал.2 от Преходните и заключителни разпоредби на ЗЗЛД от физическо лице с правен интерес. Същите имат за предмет неправомерен достъп от служители на НОИ в периода 01.01.2016г. – 05.02.2018г. до обработваните от НОИ лични данни на жалбоподателката.

С жалбата е сезиран компетентен да се произнесе орган – КЗЛД, която съгласно правомощията си по чл.10, ал.1, т.7 от ЗЗЛД/ респективно чл.55, §1 от Регламент (ЕС) 2016/679, разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица свързани с обработване на личните данни, като не са налице изключенията по чл.2, §2, буква„в“ и „г“ и чл.55, §1 от Регламент (ЕС) 2016/679 предвид обстоятелството, че случая не касае дейности по обработване извършвани от физическо лице в хода на чисто лични или домашни занимания или дейности извършвани от съдилищата при упражняване на съдебните им функции.

Наличието на администратор на лични данни е абсолютна процесуална предпоставка за допустимост на жалбата. В конкретния случай жалбата е насочена срещу НОИ, който с оглед събраните по преписката доказателства и направените от страните изявления безспорно притежава качеството на администратор на лични данни по отношение на жалбоподателката съгласно определението дадено в чл.4, §7 от Регламента, респективно чл.3 от ЗЗЛД.

По изложените съображения и с оглед липсата на предпоставки от категорията на отрицателни по чл.27, ал.2 от АПК, на проведено на 02.05.2018г. заседание на Комисията жалби ППН-01-71/06.02.2018г. и ППН-01-84/12.02.2018г. са обявени за допустими, обединени са за разглеждане в едно общо административно производство със страни: жалбоподател– П.Д. и ответна страна – НОИ, в качеството му на администратор на лични данни. Нарочено е открито заседание за разглеждане на жалбата по същество за 20.06.2018г., за което страните са редовно уведомени.

С оглед изясняване на случая от правна и фактическа страна от администратора на лични данни са изискани допълнителни доказателства, а именно: логфайлове за осъществявания от 04.12.2017г. до 05.02.2018г. достъп до лични данни на жалбоподателката обработвани от НОИ, както и информация достъпвани ли са по друг начин съхраняваните от НОИ личните данни на жалбоподателката. Изискани са и заверено копие на длъжностните характеристики на служителите достъпвали личните данни на жалбоподателката в периода 01.01.2016 – 05.02.2018г. и писмени обяснения по случая от И.Т. – служител на НОИ.

В отговор в КЗЛД е постъпило придружителни писмо рег. ППН-01-84#2/06.06.2018г., без да са приложени описаните в него доказателства, същите относими към спора.

С писмо изх. №ППН-01-84#3/12.06.2018г. ответната страна е информирана за обстоятелството, че описаните в писмото документи не са изпратени в Комисията и е уведомена, че следва в три дневен срок същите да бъдат депозирани по преписката.

В отговор и с придружително писмо ППН-01-84#5/19.06.2018г. от НОИ са предоставени заверено копие на длъжностни характеристики на служителите, достъпвали личните данни на жалбоподателката в периода 01.01.2016г. – 05.02.2018г. и писмени обяснения по случая от И.Т. – началник на отдел „Парични обезщетения за безработица и гарантирани вземания“, дирекция „Краткосрочни плащания и контрол“, териториално поделение на НОИ-София-град. Представена е и справка за осъществяван в периода 04.12.2017г. – 05.02.2018г.достъп до личните данни на жалбоподателката, обработвани от НОИ.

На проведено на 20.06.2018г. открито заседание на Комисията жалбата е поставена за разглеждане по същество. Предвид направени от жалбоподателката искания по доказателствата, а именно събиране на допълнителни доказателства и изискване на информация от НОИ, разглеждането на жалбата по съществото е отложено.

В хода на производството от ответната страна изразяват становище относно контролът върху използването на информационните масиви и бази данни на НОИ, съдържащ лични данни на лицата, критериите за достъп до информацията и „консистентността на системата“.

Предвид представените от страните доказателства с решение от проведено на 13.02.2019г. заседание на комисията, жалбата е насрочена за разглеждане по същество на 10.04.2019г., за което страните са редовно уведомени. Предоставена им е възможност да се запознаят със събраните по преписката доказателства, от която жалбоподателката се евъзползвала, видно от протокол №ППН-01-71#14/04.04.2019г. и писмо изх. №ППН-01-71#15/05.04.2019г.

На проведено на 10.04.2019г. заседание на КЗЛД, жалбите са поставени за разглеждане по същество.

Жалбоподателката – редовно уведомена, явява се личнo и чрез адвокат Д.Ч., с пълномощно по преписката.

Ответната страна – редовно уведомена, представлява се от юрисконсулт А.

Страните не сочат нови доказателства, нямат доказателствени искания, отхвърлят възможността за сключване на споразумение, като поддържа изразените в хода на производството становища.

В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл.7 от Административно-процесуалния кодекс, изискващ наличието на установени действителни факти, имайки предвид събраните писмени доказателства и наведените от страните твърдения Комисията приема, че разгледани по същество жалби ППН-01-71/06.02.2018г. и ППН-01-84/12.02.2018г. са основателни.

При постановяване на решението е отчетена настъпилата в периода от подаване на жалбата до разглеждането ѝ по същество промяна в правната рамка в областта на защита на личните данни и факта, че от 25.05.2018г. се прилага Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и обстоятелството, че от 02.03.2019г. е в сила Закон за изменение и допълнение на Закона за защита на личните данни. Отчетен е и факта, че Регламент (ЕС) 2016/679 има пряко действие, аюридически факти и породените от тях последици настъпили преди прилагане на Регламента, следва да се преценяват според материалния закон, който е бил в сила към момента на тяхното възникване. В конкретният случай такива са материалните разпоредби разписани в ЗЗЛД в редакцията преди 02.03.2019г., с оглед обстоятелството, че юридическите факти и правните последици свързани с обработването на данните касаят период 01.01.2016 – 05.02.2018г. Отчетен е и факта, че разпоредбата на чл.23, ал.1 от ЗЗЛД кореспондира с разпоредбата на чл.25, ал.1 от Регламента и не ѝ противоречи.

В чл.23, ал.1 от ЗЗЛД (отменен), но приложим към момента на обработване е предвидено задължението на администратора да предприема необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване. В съответствие с чл.142, ал.1 АПК – в приложимия към момента на разглеждане на жалбата по същество и произнасяне на комисията чл.25, параграф 1 от Регламент 2016/679 е предвидено, че администраторът въвежда, както към момента на определяне на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, за да се осигури защита на правата на субектите на данни.

Съгласно легалното определение на чл.4, ал.1 от Регламент ЕС 2016/6779 , респективно чл.2, ал.1 от ЗЗЛД (отменен) съдържащите се в база данни на НОИ данни за физическите лица безспорно имат качеството на лични данни, а достъпа до данни, е действие по обработването им и следва да се осъществяват съобразно разпоредбите в сферата на защита на личните данни – ЗЗЛД и Регламент ЕС 2016/679 при предприемане от страна на администратора на лични данни – НОИ на необходимите технически и организационни мерки за защита на данните от случайно или незаконно унищожаване, от случайна загуба, или от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.

Между страните не спорно, че в електронната база данни на НОИ се съхраняват лични данни на жалбоподателката, а от събраните по преписката доказателства безспорно се установи, че същите са достъпвани от служители на НОИ в периода 01.01.2016 – 05.02.2018г. три пъти. Не се установи друг достъп до личните данни на жалбоподателката, а и от последната липсват конкретни твърдения за такъв в дати различни от посочените.

Посредством използван идентификатор – единен граждански номер на жалбоподателката, данни са достъпвани по електронен път на 19.05.2016г. и 06.12.2017г. от С.Б. – старши експерт по осигуряване в сектор „Контрол“, отдел „Парични обезщетения за временна неработоспособност“ в ТД на НОИ – София, чрез потребителско име***. На 29.11.2016г. чрез справка „7-справки за ЕГН – всички подадени уведомления“ данните са достъпени от И.Т. – на длъжност началник на отдел ПОБГВ в ТД на НОИ – София, чрез потребителско име ****. За последния достъп администраторът не може да обоснове доказана служебна необходимост от справката. Аргументи за тава липсват и в дадените по случая обяснения на служителката. От последните и от направената служебна проверка не е установено справката и достъпа до лични данни на жалбоподателката да са в изпълнение на служебните задължения на г-жа И.Т., за която по твърдения на жалбоподателката е налице не служебен, а личен мотив за достъп до данните свързан с отношения на г-жа И.Т. с бившия съпруг на жалбоподателката.

Неоснователни са твърденията на НОИ, че личните данни на жалбоподателката са обработени – достъпени законосъобразно в съответствие с разпоредбите на ЗЗЛД и издадената на основание чл.23, ал.4 от ЗЗЛД Наредба и Инструкция №14/23.07.2013г. за мерките и средствата за защита на личните данни, обработвани от НОИ. Съгласно приетата и представена от НОИ Инструкция №14/23.07.2013г. за мерките и средствата за защита на личните данни, обработвани от НОИ (приложима към дата на извършване на обработването), достъпа на служители на НОИ до регистрите съдържащи лични данни се осъществява от служителите в изпълнение на възложени им конкретни служебни задължения, каквито в случая категорично не са налице за служителя на НОИ И.Т. по отношение на жалбоподателката, предвид съдържанието на дадените от нея обяснения, а и липсата на ангажирани от НОИ доказателства в обратна насока.

Предвид събраните по преписката доказателства се налага извода, че администраторът на лични данни не е предприел необходимите технически и организационни мерки за защита на личните данни на жалбоподателя от неправомерен достъп, или предприетите такива са явно недостатъчни, предвид обстоятелството, че съдържащите се в регистрите на НОИ личните данни на жалбоподателя са достъпвани без доказана служебна необходимост от служител на НОИ, без това да е свързано със служебните задължения на г-жа И.Т. Липсата на мерки от страна на НОИ, в това число по превантивен и текущ контрол, относно достъпа на служители на НОИ до лични данни на физическите лица в регистрите поддържани от администратора, са довели до осъществения по електронен път на 29.11.2016г. неправомерен достъп до лични данни на жалбоподателя от И.Т. – служител на ТД на НОИ- София – град, същият в резултат от неизпълнението на вмененото на администратора на лични данни задължениеза предприемане на технически и организационни мерки.

С оглед разпределяне на доказателствената тежест в процеса и събраните по преписка доказателства се налага извода, че подадените жалби са основателни и личните данни на жалбоподателката съхранявани в НОИ са обработени, достъпвани, без доказана служебна необходимост от страна на И.Т. – служител на ТД на НОИ- София – град. Нарушени са правата на лицето сезирало КЗЛД.

Предвид характера и вида на констатираното нарушение и обстоятелството, че същото е довършено и не е първо за администратора на лични данни, Комисията счита за целесъобразно, пропорционално и възпиращо налагането на корективна мярка по чл.58, §2, буква„и“ от Регламента, а именно налагане на имуществена санкция на администратора НОИ за нарушение на чл.23 от ЗЗЛД, респективно чл.25 от Регламента, като счита, че същата ще има предупредително и възпиращо действие и ще допринесе за спазване от страна на администратора на установения правов ред. Като освен чисто санкционна мярка, реакция на държавата към извършеното нарушение на нормативно установените правила, имуществената санкция има и дисциплиниращо действие. Администраторът е длъжен да познава закона и да спазва неговите изисквания, още повече, че той дължи необходимата грижа, предвидена в ЗЗЛД и Регламента и произтичаща от предмета му на дейност, кадровия и икономически ресурс.

При определяне на размерът на санкцията и в съответствие с условията по чл.83, ал.2 от Регламента, Комисията съобрази, че администраторът е санкциониран за идентично нарушение с влязло в сила Решение №ППН-01-65/2018г., с което му е наложена санкция в размер на 1000лв., последната доброволно платена от НОИ, т.е. нарушението не е първо за администратора. Касае се за нарушение на правата на едно лице, като няма данни за предприети от администраторадействия за смекчаване на последиците от вредите, претърпени от субекта на данните или пък такива във връзка с влязлото в сила цитирано санкционно решение на Комисията. Нарушението е довършено с акта на своето извършване и е неотстранимо, а нарушението е станало известно на КЗЛД в следствие сезирането ѝ от потърпевшото лице. Като утежняващо обстоятелство е отчетен и факта, че информацията съдържаща се в базата данни на НОИ е в голям обем и съдържа данни освен за три имена, адрес и ЕГН, така и специална категория лични данни свързани с осигурителните права на лицето. Обстоятелствата по чл.83, ал.2, буква„б“ и „и“ от Регламента са неотносими доколкото се касае за администратор на лични – юридическо лице, което не формира вина, а към момента на извършване на нарушението одобрени кодекси за поведение, респективно одобрени механизми за сертифициране не са въведени.

Водима от горното и на основание чл.38, ал.3 от ЗЗЛД, Комисията за защита на личните данни,

След влизане в сила на решението, сумата по наложеното наказание да бъде внесена в брой в касата на Комисията за защита на личните данни, находяща се в гр. София, бул. „Проф. Цветан Лазаров" №2 или преведена по банков път:

Банка БНБ – ЦУ, IBAN: BG18BNBG96613000158601, BIC BNBGBGSD

Комисия за защита на личните данни, БУЛСТАТ 130961721

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд – София – град.