Решение по жалба с рег. № ППН-01-70/24.01.2022 г.

Комисията за защита на личните данни (КЗЛД) в състав: председател: Венцислав Караджов и членове: Цанко Цолов и Веселин Целков на заседание, проведено на 16.11.2022г., на основание чл.10, ал.1 от Закона за защита на личните данни във връзка с чл.57, §1, буква„е” от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Регламента, ОРЗД), разгледа по същество жалба №ППН-01-70/24.01.2022г.

Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).

Комисията за защита на личните данни е сезирана с жалба №ППН-01-70/24.01.2022г., подадена от И.Т. срещу банка (Б.АД), с изложени твърдения за неправомерно обработване на личните му данни за целите на директен маркетинг, след прекратени договорни отношения с банката.

Жалбоподателят информира, че на 21.09.2021г. посетил клон на дружеството и открил на свое име банкова сметка, която закрил на 05.11.2021г. Допълва, че на 05.11.2021г., в клон на банката, подал заявление за заличаване на личните му данни, но в отговор, получен на 19.11.2021г., бил информиран, че искането му е оставено без уважение. Твърди, че на 07.12.2021г., след като вече не е клиент на банката и не ползва услугите ѝ, получил на електронната си поща предложение от дружеството за отпускане на потребителски кредит. Моли комисията да извърши проверка по случая.

В подкрепа на твърденията си прилага копие на: договор за откриване на сметка на клиент, потвърждение за закрита сметка от дата 05.11.2021г., заявление за изтриване на лични данни и отговор рег. №*****/19.11.2021г.

С оглед застъпените в административния процес принципи на равенство на страните и истинност, Б.АД е информирано за образуваното по случая административно производство, указана му е възможността да ангажира писмено становище по изложените в жалбата твърдения.

В отговор е депозирано становище ППН-01-70#3/03.06.2022г., с приложени към него относими доказателства. От дружеството информират за „допусната грешка” при изпращане на съобщението до жалбоподателя, като уточняват, че г-н И.Т. е „изключен от всички бъдещи кампании на Б.АД. Потвърждават, че на 06.12.2021г., след закриване на 05.11.2021г. на банковата сметка на г-н И.Т., последният е получил на електронната си поща маркетингово съобщение от Б.АД. Допълват, че са обработени „минимално количество лични данни (първо име и адрес на електронна поща), като „не е извършено профилиране”.

Информират, че изпращането на съобщението е следствие от приложен допълнителен контролен механизъм, който променя по – късно статусите на клиентите, закрили сметките си необичайно бързо след извършване на няколко трансакции по тях, а именно за тези от тях, които са били в отношения с банката за период по-кратък от три месеца. Този механизъм е свързан с евентуална необходимост от последващ мониторинг на клиентското поведение непосредствено след закриването на сметките и прекратяването на отношенията, с цел подпомагане за изпълнението на задълженията на Банката по противодействие изпирането на пари.

Сочат, че от момента, в който г-н И.Т. е встъпил в отношения с Банката (17.09.2021г.) като неин клиент, до закриването на неговата сметка (05.11.2021г.) са изминали по-малко от два месеца, поради което при регулярното прилагане на автоматичната функционалност за промяна на клиентските статуси от „активен” на „неактивен” през месец ноември 2021г. неговата клиентска позиция е останала непроменена. Това е повлияло на съставянето на списъците по конкретната маркетингова кампания и е причина за изпращане на приложеното към жалбата съобщение до г-н И.Т.

Посочват, че към дата на изразяване на становището до КЗЛД, г-н И.Т. е с клиентски статус „неактивен” и данните му се обработват единствено за ограничени цели, кактолицето е уведомено в отговора на подаденото от него заявление за изтриване на лични данни. За пълнота посочват, че независимо от изразеното от клиента желание, Б.АД не може да изтрие незабавно получените от г-н И.Т. лични данни, тъй като са налице законови изисквания напр. по Закона за мерките срещу изпирането на пари (ЗМИП), които налагат съхранението за по-дълъг период от време и допълват, че в случай, че клиентът не желае данните му да се обработват за определени цели, той е уведомен и е имал възможност да упражни правото си на ограничаване на обработването.

Твърдят, че стриктно спазват изискванията на Общия Регламент за защита на данните и местното законодателство, като банката е предвидила съответните механизми за предварителна проверка на основание за провеждане на кампаниите си. За законосъобразното организиране на маркетинговите кампании се прилага комбинация от критерии и условия, при кумулативното наличие на които кампанията може да бъде проведена. След изясняване на предмета и обхвата на кампанията се изготвят примерени списъци с клиенти, на които предстои да бъдат изпратени съобщения по различни канали с конкретен предмет. Споделят разбирането, че в общия случай за целите на директния маркетинг Регламентът допуска обработването на данните да бъде осъществено на основание съгласие или законен интерес и допълват, че прилагането на конкретното правно основание зависи от вида на продуктите, съответно офертите (персонализирани/ неперсонализирани), които Банката възнамерява да предлага на своите клиенти, но първото условие, което следва да бъде изпълнено е да се провери дали даден клиент, включен в изготвения списък, е активен клиент на Б.АД или не. Сочат, че за целта Банката е въвела автоматична функционалност, която регулярно след закриване на сметки и продукти в Банката променя статуса на съответния клиент от „активен” на „неактивен”.И допълват, че паралелно с проверката относно статуса на клиента („активен” или „неактивен”), при съставянето на примерните списъци с клиенти за всяка отделна кампания задължително се проверяват и изключват всички клиенти, които макар да са със статус „активен” – са декларирали отказ в случай на персонализиран директен маркетинг или възражение срещу обработване на личните им данни за целите на директния маркетинг, в случаите, когато данните на клиентите се обработват на основание законен интерес. В тази връзка сочат, че при встъпване в отношения с Банката г-н И.Т. не е подписал отказ от съгласие за обработване на личните му данни за целите на персонализирания директен маркетинг, включително не е направил възражение срещу обработване на данните му за целите на стандартния директен маркетинг.

Твърдят, че незабавно след установяване на обстоятелството, че г-н И.Т. не следва да е сред адресатите на конкретната маркетинговата кампания поради това, че вече не ползва банкови продукти, той е изключен от списъците за предстоящи кампании на Банката. Сочат, че банката е въвела детайлни процедури за установяване наличието на валидни правни основания за обработване на данните, особено за целите на директния маркетинг, като в конкретния случай не е целяла да увреди правата и интересите на екс-клиента си, напротив изпратеното съобщение е напълно безобидно и в следствие от сработването на допълнителния механизъм за проверка на клиенти, които са закрили сметките си необичайно бързо след откриването им. Споделят, че промяната на статуса на клиент, отрил и закрил сметка в краткосрочен план би затруднила извършваните проверки и допълнителни контроли, които се прилагат в случай на съмнителни действия/трансакции от страна на такъв тип клиенти, тъй като с промяната на статуса от „активен”, на „неактивен” част от личните данните, които не се обработват за ограничените цели след прекратяване на отношенията с банката, незабавно се архивират. Сочат, че „за съжаление” периодът на проверките е съвпаднал с подготовката на маркетинговата кампания около коледните празници и при прилагане на първоначалните критерии за организираните ѝ (статус в системата, респ. наличие на отказ/възражение срещу обработване на личните данни за целите на директния маркетинг), г-н И.Т. е попаднал в нея. Твърдят, че след приключване и отчитане на кампанията е установена допуснатата грешка, респ. екс – клиентът е изключен от всички бъдещи кампании на Б.АД. В допълнение сочат, че Б.АД се отнася сериозно към всяко клиентско оплакване и използва обратната връзка от клиентите си за непрекъснато подобряване на своите процеси.

Комисията за защита на личните данни е независим държавен орган, който осъществява защита на лицата при обработването на личните им данни и при осъществяване на достъпа до тези данни, както и контрол по спазването на ЗЗЛД и ОРЗД.

За да упражни правомощията си, комисията следва да бъде валидно сезирана.

Жалбата съдържа задължително изискуемите реквизити: данни за жалбоподателя, естеството на искането, дата и подпис, посочено е пасивно легитимираната страна и дата на извършване на твърдяното нарушение, с оглед което жалбата е редовна.

Жалбата е процесуално допустима – подадена от физическо лице с правен интерес срещу надлежна страна Б.АД– администратор на лични данни по смисъла на чл.4, ал.7 от Общия регламент ЕС 2016/679.

Предмет на жалбата е неправомерно обработване на личните данни на жалбоподателя за целите на директния маркетинг, посредством изпратено по електронен път на 06.12.2021г. от банката до жалбоподателя предложение за потребителски кредит, след като същия вече не е клиент на банката. Комисията е сезирана за случая на 24.01.2022г., по малко от два месеца след извършване на твърдяното нарушение, предвид което се налага извода, че жалбата е подадена срока по чл.38, ал.1 от ЗЗЛД.

Сезиран е компетентен да се произнесе орган– КЗЛД, която съгласно правомощията си по чл.10, ал.1 от ЗЗЛД във връзка с чл.57, §1, буква„е” от Регламент (ЕС) 2016/679, разглежда жалби подадени от субект на данни срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица свързани с обработване на личните данни, като не е налице изключенията по чл.2, §2, буква„в” и чл.55, §3 от Регламент (ЕС) 2016/679 предвид обстоятелството, че случая не касае дейности по обработване извършвани от физическо лице в хода на чисто лични или домашни занимания и/или дейности извършвани от съдилищата при изпълнение на съдебните им функции.

По изложените съображения на проведено на 14.09.2022г. заседание на комисията жалбата е приета за допустима и като страни в производство са конституирани: жалбоподател– И.Т. и ответна страна– Б.АД. Насрочено е открито заседание за разглеждане на жалбата по същество на 16.11.2022г., за което страните са редовно уведомени.

За изясняване на случая от фактическа страна от ответника е изискана информация и доказателства откъде дружеството разполага с данни за електронната поща на жалбоподателя, на която е изпратено съобщението; информация кои лица са определени като адресати на конкретната маркетингова кампания по повод която е изпратен имейла до жалбоподателя; предприети ли са и какви допълнителни технически и организационни мерки от страна на банката след констатираното нарушение.

В отговор ППН-01-70#8/14.10.2022г. от Б.АД информират, че електронната поща на г-н И.Т. е предоставена лично от него при попълване на въпросник за идентификация на клиент физическо лице при откриване на сметка на г-н И.Т. в Б.АД, заверено копие от който прилагат. Твърдят, че „след погрешно изпратения имейл, на неговата поща не е изпращано повторно маркетингово съобщение от Банката.”

Сочат, че изпратените съобщения представляват стандартен директен маркетинг, за който Банката е обосновала законния си интерес. Кампанията е проведена за периода 02.12.2021 – 10.12.2021, а включените клиенти са 107 636. Съобщенията с предложение за отпускане на потребителски кредит при стандартни условия и кандидатстване за кредит през мобилната апликация на Банката са изпратени до клиентите по електронна поща или Viber. Допълват, че за законосъобразното организиране на маркетинговите кампании се прилага комбинация от критерии и условия, при кумулативното наличие на които кампанията може да бъде проведена, а именно: активен клиент (настоящ клиент на Банката, който ползва продукт/услуга на Б.АД); да не е предоставил отказ/възражение срещу обработване на данните му за целите на директния маркетинг; да е български гражданин; да попада във възрастовата група 23 до 63 години; да не ползва потребителски кредит. Изключват се политически изявени лица, клиенти с висок рисков профил и клиенти, които са участвали в текущи маркетингови кампании през последните два месеца.

Потвърждават, че в конкретния случай с И.Т. съобщението е изпратено след закриване на сметката и прекратяване на отношенията с Банката, тъй като статусът на клиента не е променен от „активен” на „неактивен”. Отново посочват, че причината за по-късната промяна на статуса е въведен допълнителен контролен механизъм, който променя по-късно статусите на клиентите, закрили сметките си необичайно бързо след извършване на няколко трансакции по тях, а именно за тези от тях, които са били в отношения с Банката за период по-кратък от три месеца.

Информират, че изпратеното съобщение до посочената от г-н И.Т. електронна поща и полученият по този повод сигнал са мотивирали дружеството да преразгледа процедурите за селектиране на клиенти и провеждане на маркетингови кампании в Банката, съответно предприемане на допълнителни технически и организационни мерки, които да преустановят изпращането на подобни съобщения до неактивни клиенти, включително клиенти, които са прекратили отношенията си с Банката в изключително кратък период от време след откриване на сметката.

Твърдят, че към 12.10.2022г. са предприети стъпки за имплементиране на технологичното решение, чрез което статусът на клиентите, прекратили отношенията си с Банката, да се маркира от „активен на „неактивен” незабавно след закриване на сметка в Б.АД, независимо колко дълго дадено лице е продължило да бъде клиент на Банката. Допълват, че тъй като тази информация е важна за Б.АД, са предвидили друг маркер, който да сигнализира колко дълго са продължили отношенията с Банката и че е необходимо даден клиент да бъде поставен под наблюдение, тъй като твърде скоро е закрил сметките си в Б.АД. Информират, че ИТ специалистите на Банката ще разработят това ново технологично решение, с което от една страна ще запазят необходимия контролен механизъм, но от друга ще маркират клиентите, които са закрили сметките си необичайно бързо, като неактивни незабавно след прекратяване на отношенията им с Банката, за да се предотврати случайното им попадане в списъци с маркетингови кампании на Банката заради сработване на допълнителната контрола.

На проведено на 16.11.2022г. открито заседание на КЗЛД, жалбата е разгледана по същество.

Страните– редовно уведомени, не се явяват, не се представляват.

В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл.7 от АПК, изискващ наличието на установени действителни факти и предвид събраните доказателства и наведените твърдения, комисията приема, че разгледана по същество жалба №ППН-01-70/24.01.2022г. е основателна.

Предмет на жалбата са твърдения за неправомерно обработване на личните данни на жалбоподателя за целите на директния маркетинг, посредством изпратено по електронен път на 06.12.2021г. от Б.АД до жалбоподателя предложение за потребителски кредит, след като същия вече не е клиент на банката.

Няма спор по фактите. Жалбоподателят е бил клиент на банка Б.АД по-малко от два месеца, в периода 17.09.2021г. до 05.11.2021г. По инициатива на г-н И.Т. между страните на 17.09.2021г. е сключен договор за разкриване на разплащателна сметка в Б.АД в USD. Лицето доброволно е предоставило личните си данни за целите на договора, в това число електронен адрес посочен в попълнен от г-н И.Т. въпросник за идентификация на клиент физическо лице при откриване на сметката. На 05.11.2021г. сметката е закрита по инициатива на г-н И.Т. и след тази дата същият не е клиент на банката. Отправено от г-н И.Т. до Б.АД заявление за изтриване на лични данни от дата 05.11.2021г. е оставено без уважение, като в отговор на заявлението – *****/19.11.2021г., Б.АД информира жалбоподателя, че данните му „ще бъдат обработвани за ограничени цели в изпълнение на законовите изисквания” с уточнението, че банката е възприела като общ срок за обработване– съхранение на лични данни на клиентите си 10 години, считано от дата на прекратяване на отношенията с банката. В отговора изрично е посочено, че „за оставащия период от време Б.АД ще ограничи обработването на личните данни само за посочената цел и на посоченото правно основание”.

Безспорно установено е обаче, че на 06.12.2021г., месец след прекратяване на взаимоотношенията между страните, закриване на банковата сметка и след като г-н И.Т. вече не е клиент на банката, дружеството е обработило личните му данни за целите на директен маркетинг, въпреки отговора до лицето 0т 19.11.2021г., че обработването на личните му данни ще бъде ограничено. До жалбоподателя на имейл адрес е изпратено от Б.АД предложение за потребителски кредит предлаган от дружеството „изцяло дигитално”. Съобщението е персонифицирано макар и само с посочване на собствено име на лицето, като следва да се отбележи, че последното в съвкупност с данни за електронната поща на лицето имат характера на лични данни по смисъла на чл. 4, §1 от ОРЗД.

Съобщението, видно от съдържанието му, има характера на директен маркетинг– предлагане на стоки и услуги, в конкретния случай предлагани от банката кредитни услуги. Съобщението е част от кампания на банката проведена за периода 02.12.2021 – 10.12.2021г., с включени по данни на ответника 107636 клиенти, при изрично определение от банката условия, едно от които адресатите на съобщенията да са клиенти на банката. Въпреки въведените от банката критерии, към дата на изпращане на съобщението до г-н И.Т., той не е клиент на банката, респективно не следва да е адресата на предложението, обстоятелство което се потвърждава и от банката в становище до КЗЛД при направени вътрешна проверка. Към дата на обработване на данните за банката липсва основание за обработване на личните му данни за целите на конкретната кампания, още повече че лицето не отговаря на изрично зададените от банката критерии. Обработването на личните данни на г-н И.Т. за конкретната цел не се извършва в съответствие с ОРЗД. Причина за последното са въведи от банката технически и организационни мерки – приложен допълнителен контролен механизъм, който променя по-късно статусите на клиентите, закрили сметките си необичайно бързо след извършване на няколко трансакции по тях, а именно за тези от тях, които са били в отношения с банката за период по-кратък от три месеца. Този механизъм които по мнение на банката е въведен и свързан с евентуална необходимост от последващ мониторинг на клиентското поведение непосредствено след закриването на сметките и прекратяването на отношенията, с цел подпомагане за изпълнението на задълженията на Банката по противодействие изпирането на пари, обаче от гледна точна на ОРЗД се явява неподходяща мярка по отношение на обработването на лични данни на лица които не са клиенти на банката без значение от продължителността на договорните им отношения с банката. Поради въведената функционалност в резултат на която статусът на клиента г-н И.Т. не е променен от „активен” на „неактивен” повече от месец след прекратяване на правоотношенията с банката личните му данни са обработени от дружеството за целите на директния маркетинг в нарушение на ОРЗД.Въведените от администратора мерки не са подходящи и в състояние да гарантират и да докажат, че обработването се извършва в съответствие е ОРЗД, каквото е задължението на администратора по смисъла на чл.24 от ОРЗД. Дори напротив именно в резултат на мерките е допуснато констатираното и от банкатанарушение– допуснат грешка при изпращане на съобщението, респективно обработване на личните данни на жалбоподателя за целите на директния маркетинг, без той да е клиент на банката и адресата на кампанията.

След сезиране със случая по твърдения на администратора мерките са преразгледани и актуализирани и към 12.10.2022г. са предприети стъпки за имплементиране на технологичното решение, чрез което статусът на клиентите, прекратили отношенията си с Банката, да се маркира от „активен на „неактивен” незабавно след закриване на сметка в Б.АД, независимо колко дълго дадено лице е продължило да бъде клиент на Банката. В тази връзка комисията счита за целесъобразно издаването на официално предупреждение по чл.58, §2, буква„б” от ОРЗД на администратора. Останалите меркипо чл.58, §1, буква„а”, „в”, „г”, „д”, „е”, „ж”, „з” и „й” от ОРЗД са неприложими и нецелесъобразни поради естеството на нарушението и обстоятелството, че към момента на произнасяне въведените от администратора мерки/ фукционалност довели до нарушението са променени. Налагането на имуществена санкция на администратора би било прекомерно и в нарушение на принципа на съразмерност по чл.6 от АПК, доколкото обработените данни са в обем от име и електронна поща на жалбоподателя, като същите не са предоставяни на трети лица – адресат на съобщението е жалбоподателя.

Водима от горното и на основание чл.38, ал.3 от Закона за защита на личните данни, Комисията за защита на личните данни,

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд София – град.