РЕШЕНИЕ
№ППН-01-898/2020г.
София, 05.05.2022г.
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков на заседание, проведено на 23.03.2022г., на основание на основание чл.10, ал.1 от Закона за защита на личните данни, респективно чл.57, §1, буква„е“ от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Регламента, ОРЗД), разгледа по същество жалбa №ППН-01-898/17.12.2020г. подадена от С.Д.
Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).
Комисията за защита на личните данни е сезирана с жалба, подадена от С.Д., с изложени твърдения за неправомерно обработване на личните ѝ данни от „Д.К.“ ЕООД, с ЕИК ********, във връзка с регистриран в Национална агенция за приходите (НАП) трудов договор, какъвто твърди, че не е сключвала с дружеството. Жалбоподателката допълва, че личните ѝ данни са неправомерно обработени от „Д.К.“ ЕООД и за кандидатстване за издаване на Сертификат за Орган за контрол от вид С за електрически уредби и съоръжения и физически фактори на работната среда от Изпълнителна агенция „Българска служба за акредитация“ (ИА БСА), като са предоставени от дружеството на агенцията без правно основание.
Жалбоподателката сочи, че е установила нарушението свързано с регистрирания в НАП трудов договор в края на месец ноември 2020г., след справка в сайта на НАП, чрез ПИК, а нарушението касаещо предоставяне на личните ѝ данни на ИА БСА– през декември 2020г., във връзка с получен от агенцията отговор. Допълва, че след като е констатирала нарушението се е свързала по телефон с представител на „Д.К.“ ЕООД от който получила копие на регистрирания в НАП трудов договор, съдържащ личните ѝ данни, но не носещ подписа ѝ. Твърди, че в хода на разговора г-жа П.- управителят на дружеството я информирала, че през месец октомври 2020г. „Д.К.“ ЕООД е сключило договор за продажба на сертифициран контролен орган с „Ф.“ ЕООД, бивш работодател на жалбоподателката, като за да подаде заявление за издаване на Сертификат С на „Д.К.“ ЕООД е било необходимо ползване на личните данни от трудовото досие на жалбоподателката – копие на лична карта, диплома за завършено висше образование, сертификат за работа, „за прехвърляне на Сертификат от едно юридическо лице на друго“, под условие, че ръководния персонал е същия.
Жалбоподателката е категорична, че няма трудово-правни отношения с „Д.К.“ ЕООД и личните ѝ данни са обработени от дружеството без нейно знание и съгласие. Информира, че от 06.01.2020г. е в трудово-правни отношения с „Р.К.Г.“ ООД, където заема длъжността на инспектор по факторите на работна среда. В тази връзка допълва, че с оглед спецификата на заеманата от нея длъжност е недопустимо и несъвместимо упражняване на същата или идентична дейност в друго предприятие, обстоятелство което е декларирала пред работодателя си– „Р.К.Г.“ ООД.
Моли комисията да извърши проверка по случая.
Към жалба е приложено копие на справка №***** за приети и отхвърлени уведомления по чл.62, ал.5 от КТ, трудов договор №*****, по описа на „Д.К.“ ЕООД, писмо с изх. №***** от 10.12.2020г. по описа на ИА БСА.
С оглед застъпените в административния процес принципи на равенство на страните и истинност, „Д.К.“ ЕООД е информирано за образуваното по случая административно производство, указана му е възможността да ангажира писмено становище по изложените в жалбата твърдения и да представи относими доказателства.
В отговор от дружеството не оспорват изложените в жалбата твърдения за неправомерно обработване на личните данни на жалбоподателката. Потвърждават, че г-жа С.Д. не е подписала регистрирания в НАП трудов договор, не е започвала работа в Органа за контрол и не е участвала е дейността му. Като причина за действията си сочат „неправилния регламент в т.5.3.2 и т.2.7.5 от Процедура BAS QA 2 на ИА БСА“ по повод която твърдят, че „Преминаването на ООС от едно към друго юридическо лице става с нотариално заверен договор за покупко-продажба, с който освен всичко останало си купуваш и персонал“ и допълват, че „следвайки инструкциите за прилагане на BAS QA 2 са направили нарушения“.
Молят комисията да остави жалбата без уважение, като неоснователна, доколкото с действията си дружеството не е уронило престижа на жалбоподателката и са предприети действия за заличаване на договора още същия месец, след осъществен с г-жа С.Д. контакт по телефона.
Към становището са приложени относими доказателства, в това число заверено копие на: трудов договор №*****, по описа на „Д.К.“ ЕООД, приемо-предавателен протокол с дата 12.06.2020г. между „Ф.“ ЕООД и „Д.К.“ ЕООД и договор за покупко-продажба сключен между дружествата на 12.06.2020г.
В хода на производството от НАП е изискана и представена справка за регистрирани в НАП трудови договори със С.Д. От НАП информират, че за лицето има данни за подадени уведомления по чл.62, ал 5 от КТ за сключен трудов договор с „Д.К.“ ЕООД, както следва: 1. за сключен трудов договор с дата на сключване 17.07.2020г., заличен на 04.11.2020г. и 2. за сключен трудов договор с дата на сключване 01.11.2020г., заличен на 27.11.2020г.
Комисията за защита на личните данни е независим държавен орган, който осъществява защита на лицата при обработването на личните им данни и при осъществяване на достъпа до тези данни, както и контрол по спазването на ЗЗЛД и ОРЗД. За да упражни правомощията си, комисията следва да бъде валидно сезирана.
Жалбата съдържа задължително изискуемите реквизити: данни за жалбоподателя, естеството на искането, дата и подпис, посочена е пасивно легитимираната страна и дата на установяване на нарушенията, с оглед което жалбата е редовна.
Предмет на жалбата са твърдения за неправомерно обработване на личните данни на жалбоподателката от „Д.К.“ ЕООД във връзка с регистриран в НАП трудов договор с дата 01.11.2020г. съдържащ три имена, ЕГН и степен на образование на жалбоподателката, същите лични данни, предвид обстоятелството, че посредством тях лицето може да бъде безспорно индивидуализирано. Комисията е сезирана на 17.12.2020г., по-малко от два месец след извършване на твърдяното нарушение, предвид което се налага извода, че жалбата е подадена срока по чл.38, ал.1 от ЗЗЛД.
Предмета на жалбата са и твърдения за неправомерно предоставяне на лични данни на жалбоподателката– имена, образование и специалност- диплома за завършено висше образование и сертификат за работа, на ИА БСА за целите на издаден на дружеството Сертификат за Орган за контрол С за електрически уредби и съоръжения и физически фактори на работната среда. Комисията е сезирана на 17.12.2020г., по-малко от месец след извършване на твърдяното нарушение, предвид което се налага извода, че жалбата е подадена срока по чл.38, ал.1 от ЗЗЛД, доколкото видно от приложения към преписката отговор от ИА БСА личните данни са предоставяни на 26.11.2020г., обстоятелство за което жалбоподателката е уведомена на 10.12.2020г.
Жалбата е подадена от физическо лице с правен интерес срещу надлежна страна– администратор на лични данни, каквото качеството „Д.К.“ ЕООД безспорно притежава по смисъла на чл.4, ал.7 от Общия регламент ЕС 2016/679 по отношение на жалбоподателката, предвид събраните по преписката доказателства и обстоятелството, че същото е юридическо лице, което само определя целите и средствата за обработване на лични данни. Сезиран е компетентен да се произнесе орган– КЗЛД, която съгласно правомощията си по чл.10, ал.1 от ЗЗЛД във връзка с чл.57, §1, буква„е“ от Регламент (ЕС) 2016/679, разглежда жалби подадени от субект на данни срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица свързани с обработване на личните данни, като не е налице изключенията по чл.2, §2, буква„в“ и чл.55, §3 от Регламент (ЕС) 2016/679 предвид обстоятелството, че случая не касае дейности по обработване извършвани от физическо лице в хода на чисто лични или домашни занимания и/или дейности извършвани от съдилищата при изпълнение на съдебните им функции.
По изложените съображения и предвид липсата на отрицателните предпоставки посочени в чл.27, ал.2 от АПК, на проведено на 26.01.2022г. заседание на комисията жалбата е приета за допустима и като страни в производство са конституирани: жалбоподател– С.Д. и ответна страна– „Д.К.“ ЕООД. Насрочено е открито заседание за разглеждане на жалбата по същество на 23.03.2022г. от 13.00 часа, за което страните са редовно уведомени. На жалбоподателката е предоставено, за запознаване, копие на изразено от ответника писмено становище.
С оглед изясняване на случая от фактическа страна от ИА БСА са изискани заверено копие на писмо с вх. №***** от„Д.К.“ ЕООД, ведно с приложения към него, в това число приложение BAS QA 2.7.5 от 26.11.2020г., със заличени лични данни на лица различни от жалбоподателката, както и справка на предоставени документи/записи за прехвърляне на предоставена акредитация на Орган за контрол от вид С при „Ф.“ ЕООД на „Д.К.‘“ ЕООД касаещи лицето С.Д., включително заверено копие на представено приложение BAS QA 2.7.5 от 15.06.2020г. съгласно адресиран до г-жа С.Д. отговор изх. №***** от 10.12.2020г. по описа на ИА БСА. Агенцията е уведомена за позицията на дружеството и твърденията, че допуснатото нарушение се дължи на „неправилния регламент т.5.3.2 и т.2.7.5 от Процедура BAS QA 2 на ИА БСА“.,
В отговор и с придружително писмo ***** от ИА БСА са приложени изисканите документи. Взето е отношение по повод твърденията на дружеството за причината за допуснатото нарушение, за което е сезирана КЗЛД. В тази насока от ИА БСА сочат, че твърденията за „неправилен“ регламент на процедури на Агенцията, са напълно неоснователни. Считат, че се касае за порочно и напълно неправилно тълкуване на Процедура за акредитация / BAS QR 2/ и показва както дълбокото ѝ непознаване, така и цялостно непознаване на процесите по акредитация от страна на „Д.К.“ ЕООД.
Информират, че към момента на действие на Процедура за акредитация /която се твърди, че е незаконосъобразна/, а и към настоящия момент, ИА БСА е с потвърден статут и действащо многостранно споразумение за взаимно признаване както от Европейска организация за акредитация, така и от другите международни организации в областта на акредитацията. Допълват, чесъгласно т.7.1 от Изисквания за акредитация описани в ENISO/IEC 17011:2017 следва общите изисквания за акредитация на органите за оценяване на съответствието да бъдат тези, определени в съответните международни стандарти и/или други нормативни документи за функционирането на органите за оценяване на съответствието. Изискванията за персонал по отношение на всяко лице, което желае да получи акредитация /независимо дали е кандидат за първоначална акредитация, кандидат преакредитация или разширяване на обхвата на акредитацията, или кандидат за акредитация в процедура за прехвърляне на акредитация/, са свързани именно с приложението на международни стандарти, посочени изрично в Регламент /ЕО/ 765/2008. Особеностите на приложимата нормативна рамка определят императивно, че критериите и условията за прехвърляне на акредитация включително разписаните в тази връзка правила, касаещи специфични изисквания за персонал, както на акредитираното лице, така и на лицето, което желае да му бъде прехвърлена акредитацията,могат да бъдат обект на преценка само и единствено от признаващите организации (ЕА) и то по реда, определен в Регламента. От друга страна и съгласно Регламент /ЕО/ 765/2008г., и съгласно ЗНАООС единствен компетентен орган на територията на Република България в областта на акредитацията, респективно и прехвърляне на акредитация, включващо винаги оценяване на съответствие с определени хармонизирани стандарти и специфичните им изисквания за персонал на ООС и на акредитираното лице, е Изпълнителна агенция Българска служба за акредитация. Категорични са, „нито в ЗНАООС, нито в процедурите за акредитация, нито в които и да е от разпоредбите, регламентиращи изисквания за персонал, никога и никъде не е била и не е уреждана нито „продажба" на 00C- та, нито „продажба" на персонал!“
На проведено на 23.03.2022г. заседание на комисията, жалбата е разгледана по същество.
Страните– редовно уведомени, не се явяват, не се представляват.
В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл.7 от АПК, изискващ наличието на установени действителни факти и предвид събраните доказателства и наведените твърдения, комисията приема, че разгледана по същество жалба №ППН-01-898/17.12.2020г. е основателна.
Предмет на жалбата са твърдения за неправомерно обработване на личните даннина жалбоподателката от „Д.К.“ ЕООД във връзка с регистриран в НАП трудов договор с дата 01.11.2020г. съдържащ три имена, ЕГН и адрес на жалбоподателката.
Предмета на жалбата са и твърдения за неправомерно предоставяне на лични данни на жалбоподателката– имена, образование и специалност- диплома за завършено висше образование и сертификат за работа, за целите на издаден на дружеството Сертификат за Орган за контрол от вид С за електрически уредби и съоръжения и физически фактори на работната среда.
Фактическата обстановка не е спорна между страните– жалбоподателката няма трудово-правни отношения с „Д.К.“ ЕООД, не е предоставяла личните си данни на дружеството, не е подписала регистрирания в НАП трудов договор, не е започвала работа в Органа за контрол от вид С за електрически уредби и съоръжения и физически фактори на работната среда на „Д.К.“ ЕООД и не е участвала е дейността му, последното потвърдено в писмено становище на дружеството до КЗЛД.
Въпреки горно обаче, данните по преписката свидетелстват за обработване на лични данни на жалбоподателката от страна на „Д.К.“ ЕООД за изготвен трудов договор с дата 01.11.2020г., със страни работодател „Д.К.“ ЕООД и служител С.Д., съдържащ три имена, ЕГН и адрес на жалбоподателката. Въпреки че трудовият договор не е подписан от работника, дружеството е подало в НАП уведомление на основание чл.62, ал.5 от Кодекса на труда, за регистрирането му, като следва да се отбележи, че по инициатива на дружеството трудовия договор е заличен.
В хода на производството е констатирано и обработване на личните данни на жалбоподателката от „Д.К.“ ЕООД в хипотезата на предоставянето им в НАП за регистриране и на друг трудов договор между страните, с дата на сключване 17.07.2020г., заличен на 04.11.2020г., пак по инициатива на дружеството.
Обработването на личните данни на жалбоподателката за регистриране на трудовите договори в НАП е незаконосъобразно и в нарушение на чл.6, §1 от ОРЗД. Нормативно установен е редът и съдържанието на уведомлението по чл.62, ал.5 от КТ, същият регулиран съответно от Наредба №5 от 29 декември 2002г., издадена от Министъра на труда и социалната политика. Съгласно цитираните актове, в уведомлението се съдържат данни за работника и служителя в обем от три имена и единен граждански номер, същите лични данни за физическото лице предвид обстоятелството, че лицето може да бъде безспорно индивидуализирано.
Твърденията на жалбоподателката, че личните ѝ данни са обработени от дружеството без нейно знание и съгласие за целите на трудовия договор и са предоставени в НАП за регистрацията му не са оспорени от ответната страна. В тази връзка и предвид категоричните твърдения на жалбоподателката, че не e сключвала такъв, следва извода, че не е налице съгласие на субекта на данни за обработване на личните му данни за целите на договора. Липсват доказателствата които да обосноват законосъобразност на обработването основано на сключен между страните договор за изпълнението на който да е необходимо обработване на лични данни на г-жа С.Д. или за предприемане на стъпки по искане на субекта на данни преди сключване на договора. Не е налице и нормативно установено задължение на дружеството, като работодател и осигурител, каквото качество в случая безспорно не притежава по отношение на жалбоподателката, да подаде в НАП уведомления по чл.62, ал.3 от КТ съдържащи лични данни на г-жа С.Д.
В конкретния случай не е налице и никое от останалите условия за допустимост на обработването. Доказателства в обратен смисъл не са ангажирани и не се твърдят от ответното дружество, което сочи че липсват трудово-правни отношения между страните. Неприложима е хипотезата за наличие на легитимен интерес на администратора който да е преимуществен пред интереса на засегнатото физическо лице. Останалите условия са неотносими- приложими са в други, различни и несъвместими с настоящата хипотези касаещи обработване на лични данни за защита на жизненоважни интереси свързани с живота и здравето на субекта на данни или изпълнение на задача от обществен интерес, както и при упражняването на официални правомощия, каквито в настоящето производство не са установени да са делегирани на дружеството.
От анализ на събраните доказателства се налага извода, че личните данни на жалбоподателката са обработени в нарушение на чл.6, §1 от Регламента, без да е налице нито едно от посочените в разпоредбата условия за законосъобразност на обработването, като са нарушени правата на лицето сезирало КЗЛД.
Нарушение на чл.6, §1 от ОРЗД е констатирано и по отношение на предоставяне на личните данни на жалбоподателката от страна на „Д.К.“ ЕООД на ИА БСА за кандидатстване в Процедура по акредитация за издаване на Сертификат за Орган за контрол С за електрически уредби и съоръжения и физически фактори на работната среда. Лични данни на жалбоподателката в обем от имена, образование и специалност- диплома за завършено висше образование и сертификат за работа, са обработени в хипотезата на употреба и предоставяне от страна на дружеството на ИА БСА на 26.11.2020г. Обработването е незаконосъобразно, без наличие на която и да е било от предпоставките по чл.6, §1 от ОРЗД, предвид установената по случая фактическа обстановка и обстоятелството, че жалбоподателката няма трудово-правни отношения с „Д.К.“ ЕООД, не е предоставяла личните си данни на дружеството, не е започвала работа в Органа за контрол от вид на „Д.К.“ ЕООД и не е участвала в дейността му.
Не могат да се споделят твърденията на дружеството, че допуснатото нарушение се дължи на „неправилния регламент в т.5.3.2 и т.2.7.5 от Процедура BAS QA 2 на ИА БСА“ и обстоятелството, че „Преминаването на ООС от едно към друго юридическо лице става с нотариално заверен договор за покупко-продажба, с който освен всичко останало си купуваш и персонал“. Липсват указания или законово регламентира процедура в смисъла вложен от ответника, като следва по-скоро да се приеме, че в случая се касае за непознаване и/или превратно тълкуване на разпоредбите относно акредитацията, мнение което се споделя и от ИА БСА. В тази връзка не може да се приеме, че обработването на лични данни за жалбоподателката от страна на дружеството в процедура по акредитация е необходимо за спазването на законово задължение, което се прилага спрямо администратора, като не може да бъде споделено и виждането за наличието на преимуществен легитимен интерес на „Д.К.“ ЕООД над интересите на субекта на лични данни. Противно на твърденията на ответника, макар данните да са предоставени на ИА БСА в рамките на законоустановена процедура, то обработването им от страна на дружеството е незаконосъобразно предвид липсата на валидни договорни отношения между дружеството и г-жа С.Д. Това обстоятелство е напълно известно на дружеството към дата на кандидатстване по процедура по акредитация, което навежда на извода, че действията на дружеството са целенасочени и съзнателни (умишлени), имащи за цел да въведат в заблуждение органа по акредитация– ИА БСА.
Поради естеството на констатираните нарушения и в условията на оперативна самостоятелност комисията счита, че с оглед установената фактическа обстановка и събраните по преписката доказателства, мерките по чл.58, §2, буква„а“, „в“, „д“, „е“, „ж“, „з“ и „й“ от Регламент ЕС 2016/679 са неприложими, а налагането на корективни мерки по чл.58, §2, буква„б“ и „г“ от ОРЗД е нецелесъобразно и непропорционално на нарушенията и обстоятелствата при които са допуснати от страна на администратора. Счита за целесъобразно, възпиращо и пропорционално, предвид тежестта на нарушенията, големия обем от обработени лични данни и обстоятелството, че същите са довършени и целенасочени, ангажирането на административно-наказателната отговорност на дружеството с налагане на имуществена санкция за нарушение на чл.6, §1 от ОРЗД.
При определяне на вида и размера на наложената на администратора корективна мярка, като утежняващи комисията квалифицира обстоятелствата, че се касае за извършени от администратора три нарушения, обработените лични данни са в голям обем, нарушенията са довършени, действията на администратора са целенасочени и съзнавани, а нарушенията са станали известни на КЗЛД в следствие сезирането ѝ от потърпевшото лице. Като смекчаващи комисията отчита обстоятелствата, че: се касае за нарушаване на правата на едно физическо лице; до настоящия момент по отношение на администратора КЗЛД не е упражнявала корективни правомощия; предприети са действия за преустановяване на нарушението касаещо регистрирани в НАП трудови договори – по инициатива на дружеството са подадени до НАП уведомления за заличаване на договорите; дружеството е микропредприятие по смисъла на чл.3, ал.3, т.1 от Закона за малките и средни предприятия доколкото обявения средносписъчен брой на персонала е по-малко от 10 души, а именно 3 човека, аобща стойност на активите, съгласно последния публикуван отчет за 2020г., е в размер на 10 000 лв. Обстоятелствата по чл.83, §2, букви „б“ и „и“ от Регламента са неотносими доколкото се касае за администратор– юридическо лице, което не формира вина, а към момента на извършване на нарушението одобрени кодекси за поведение, респективно одобрени механизми за сертифициране не са въведени.
По изложените съображения комисията счита, че с оглед принципа на пропорционалност между тежестта на нарушението и размера на наказанието, наложената санкция следва да е в размер на 5000 лв. (пет хиляди лева)– размер около минимума и много под средния предвиден в регламента за това нарушение.
Съобразявайки целта на наказанието, което следва да има възпираща и предупредителна функция, естеството и тежестта на нарушението, обществените отношения които засяга, категориите засегнати лични данни, комисията счита, че упражненото корективно правомощие по вид и размер безспорно отговаря на търсените от ЗЗЛД и Регламент 2016/679 ефективност и възпиращ ефект, като в същото време не нарушава принципа на пропорционалност и изискването за съразмерност.
Водима от горното и на основание чл.38, ал.3 от ЗЗЛД, Комисията за защита на личните данни,
РЕШИ:
1. Обявява жалба №ППН-01-898/17.12.2020г. за основателна.
2. На основание чл.83, §5, буква„а“ във връзка с чл.58, §2, буква„и“ от Регламент ЕС 2016/679 налага на „Д.К.“ ЕООД с ЕИК ********, административно наказание– имуществена санкция в размер на 5000лв. (пет хиляди лева) за нарушение на чл.6 §1 от Регламента.
Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни, пред Административен съд София- град.
След влизане в сила на решението, сумата по наложеното наказание следва да бъде преведена по банков път:
Банка БНБ– ЦУ, IBAN: BG18BNBG96613000158601
BIC BNBGBGSD
Комисия за защита на личните данни, БУЛСТАТ 130961721.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ | Цанко Цолов /п/ | |
| Мария Матева /п/ | ||
| Веселин Целков /п/ |
