Решение по жалба с рег. № ППН-01-267/13.09.2020 г.

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков на заседание, проведено на 30.09.2020г., на основание на основание чл.10, ал.1 от Закона за защита на личните данни, респективно чл.57, §1, буква„е“ от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Регламента), разгледа по същество жалбa №ППН-01-267/13.09.2020г. подадена от Х.

Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).

Комисията за защита на личните данни е сезирана с подадена от Х.жалба с изложени твърдения за неправомерно обработване на личните ѝ данни посредством разпространението им чрез телевизионното предаване, същото достъпно на електронен адрес в платформата youtube.com.

Жалбоподателката информира, че по време на интервю в ефир, „за доста продължителен период“ са показани нейни лични данни, в това число единен граждански номер.

Към жалбата не са приложени доказателства, същата е адресира и до съответната електронна медия (Е.М.) иСъвета за електронни медии.

В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, на 28.04.2020г. е направена екранна разпечатка на съдържанието на посочения в жалбата електронен адрес, обективирана в протокол ППН-01-267#1/28.04.2020г.

От Съвета за електронни медии е изискана информация за извършената по случая проверка, предвид обстоятелството, че жалбата е адресиран и до този орган.

В отговор от СЕМ прилагат запис на процесното предаване, излъчено от доставчика на медийна услуга, с уточнението, че предоставения запис се различава от архивния запис на предаването, наличен на сайта на Е.М., в който единният граждански номер на г-жа Х. е заличен с телевизионна маска, като в края на разговора със събеседника се виждат за кратко само част от цифрите. Сочат, че в оригиналния запис от ефирното излъчване единният граждански номер се вижда изцяло и престоява на екран почти минута.

В тази връзка и в съответствие с принципите на равенство на страните в административното производство и истинност, Е.М. е уведомен за образуваното производството, указана му е възможността да ангажира писмено становище по изложените в жалбата твърдения ида представи относими доказателства относно законосъобразното обработване на лични данни на жалбоподателката.

В писмен отговор ППН-01-267#5/01.06.2020г., с приложени към него относими доказателства, от дружеството не оспорват изложените в жалбата твърдения. Сочат, че по случая е извършена вътрешна проверка, репортажът е бил незабавно свален и направен недостъпен за зрители на Е.М. по всички канали на разпространение, включително и YouTube. Информират за внедрени и използвани от дружеството програмни продукти, в случая Fast blur на софтуер за обработка Adobe Premiere Pro, за автоматично заличаване на част от кадри с т.нар „маска“. Допълват, че излъчването в ефир на ЕГН на жалбоподателката е в резултат на човешка грешка при използване на продукта, за която монтажиста е санкциониран по реда на Кодекса на труда.

На проведено на 26.08.2020г. заседание на КЗЛД жалбата е приета за редовна и допустима – съдържа задължително изискуеми реквизити, подадена е в срока по чл.38, ал.1 от ЗЗЛД, от физическо лице с правен интерес, срещу надлежна страна администратор на лични данни по смисъл чл.4, ал.7 от Регламента. Сезиран е компетентен да се произнесе орган– КЗЛД, която съгласно правомощията си по чл.10, ал.1 от ЗЗЛД във връзка с чл.57, §1, буква„е“ от Регламент (ЕС) 2016/679, разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на субекти на данни свързани с обработване на личните данни, като не са налице изключенията по чл.2, §2, буква„в“ и чл.55, §3 от регламента предвид обстоятелството, че случая не касае дейности по обработване извършвани от физическо лице в хода на чисто лични или домашни занимания и/или дейности извършвани от съдилищата при изпълнение на съдебните им функции. Не са налице отрицателните предпоставки посочени в чл.27, ал.2 от АПК.

Като страни в производството са конституирани: жалбоподател– Х. и ответна страна– Е.М., администратор на лични данни по смисъл чл.4, ал.7 от Регламента, доставчик на медийната услуга телевизия. Насрочено е открито заседание за разглеждане по същество на 30.09.2020г. за което страните са редовно уведомени.

С оглед изясняване на случая от фактическа страна и съобразно разпределянето на доказателствената тежест в процеса от ответната страна са изискани: заверено копие на въведени от дружеството технически и организационни мерки относно обработването на лични данни, в частност такива свързани с използването на програмни продукти за автоматично заличаване на кадри съдържащи лични данни; резултатите от извършената по случая проверка; данни за конкретната дата на която твърдяното нарушение е преустановено; информацията за дата на която ЕГН на жалбоподателката е заличено от каналите за разпространение на предаването, както и вътрешни правила и/или процедури относно разпространението напредаването в YouTube.

В последователни отговори ППН-01-267#11/23.09.2020г. и ППН-01-267#12/24.09.2020г. от дружеството информират, че на 10.04.2020г. лицето отговарящо за защита на личните, данни обработвани от администратора, е сигнализирано за процесното нарушение– нерегламентирано излъчване на лични данни– ЕГН на жалбоподателката, като същия ден е получена и жалба от г-жа Х. с идентичен предмет. Информират, че възложена и извършена незабавна проверка е установила, че ЕГН на жалбоподателката е излъчено е ефира на медията и конкретното предаване във времеви интервал от 40 секунди. Още същия ден въпросният материал е свален от каналите на излъчване на предаването, включително You Tube и е коригиран. Уточняват, че предаването е излъчено телевизионно във вида, съдържащ лични данни– ЕГН на г-жа Х. само еднократно, на 01.04.2020г. Информират за въведени от администратора Технически и организационни мерки за обработване на лични данни и План за действие в случай на нарушение на сигурността на данните, копие от който прилагат, ведно с Инструктаж от 11.04.2020г. за обработка на аудио-визуални материали с цел предотвратяване на нерегламентираното излъчване на лични данни в ефира на телевизионните програми на Е.М.

По отношение на разпространението на предаването в YouTube сочат, че „излъчването на предаването на 01.04.2020г., става едновременно в канала YouTube, като в последствие то остава в същия, като достъпно за потребителите“, съобразно общите правила и условия на канала. Уточняват, че „администрирането на процеса по качване на съдържание и респективно корекция на същото се извършва от администратора Е.М.

На проведено на 30.09.2020г. заседание на комисията, жалбата е разгледана по същество.

Жалбоподателката– редовно уведомена, не се явява, не се представлява.

Ответната страна– редовно уведомена, представлява се от адвокат Н. и П.С., с представени в заседанието пълномощни. Процесуалните представители декларират, че са запознати във събраните по преписката материали, несочат нови доказателства, нямат искания по доказателствата. Твърдят, че показания в ефир документ, съдържащ лични данни на жалбоподателката, е част от публичен регистър, предвид което съдържащите се в него лични данни са общодостъпни. Сочат, че администраторът е действал добросъвестно и след констатиране на допуснатата техническа грешка е предприел незабавни мерки за отстраняване на нарушението, като в последствие е въвел допълнителни организационни мерки свързани с предварителен контрол относно представените на медията материали, излъчвани в ефир.

В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл.7 от АПК, изискващ наличието на установени действителни факти и предвид събраните доказателства и наведените твърдения, комисията приема, че разгледана по същество жалба №ППН-01-267/13.04.2020г. е основателна.

Предмет на жалбата е неправомерно обработване – разпространение на лични данни– единен граждански номер на жалбоподателката посредством излъчването му в телевизионно предаване.

Между страните няма спор по фактите. Ноторно е, че Е.М. е доставчик на медийни услуги– телевизионна програма. Видно от справка в Публичния регистър към СЕМ е издадено Удостоверението за регистрация на услугатас начална дата на разпространение 01.11.2001г. и обхват– национален. Не е спорно също, че в ефира на медията на 01.04.2020г. е излъчено телевизионно предаване, същото едновременно излъчвано и в You Tube канала на предаването, където в последствие и достъпно за потребителите на платформата на адрес ***1. Архивен запис на предаването е достъпен и на сайта на медията на адрес ***2.

Не е спорно и видно от представения от СЕМ запис на предаването излъчено в ефира на медията е, че в рамките на същото, във времеви интервал от около минута, в ефир е показан документ съдържат лични данни на жалбоподателката е обем три имена, единния граждански номер и заемана длъжност. Документът е предоставен от гост в предаването, като между страните не е спорно, че личните данни на жалбоподателката са обработени, разпространени до неограничен кръг от лица, чрез показването им в ефира на медията без нейно знание и съгласие. Следва да се отбележи, че информацията за имената и заеманата от г-жа Х. длъжност е общоизвестна, поради което и разпространението ѝ не е предмет на жалбата. Предмет на жалбата е разпространение на лични данни– единен граждански номер на жалбоподателката посредством излъчването му в телевизионно предаване, факт който е безспорен.

Обработването е незаконосъобразно, като този извод не се променя от обстоятелството, че се касае за обработване на ЕГН-то от медия в рамките на журналистическа дейност, осъществяване на свобода на изразяване и право на информация, доколкото не е съобразено зачитането на неприкосновеността на личния живот на лицето и доколкото ЕГН-то на лицето е неотносимо към дебата в предаването касаещ иновации при лечение на пандемията от COVID-19.

Нарушението е извършено еднократно на 01.04.2020г. по отношение на показване на данните/ЕГН-то в ефира на медията. Предаването обаче е излъчено едновременно и в канала YouTube, като в последствие то остава в същия, като достъпно за потребителите на платформата, във видът, в който е излъчено. В тази връзка се налага изводът, че нарушението е продължавано по отношение на разпространението на личните данни посредством платформата You Tube, в периода 01.04 -10.04.2020г., когато материалъте свален и коригиран.

Събраните по преписката доказателства и твърденията на страните свидетелстват, че администратор на лични данни, съдържащи се в излъченото в ефира на медията предаване и достъпното посредством платформата You Tube, е Е.М.– дружество определя целите и средствата за обработване на данните, а по отношение на платформата е отговорно за процеса по качване на съдържание и респективно корекция на същото. За последното свидетелстват и взетите в последствие мерки за преустановяване на нарушението, извършената вътрешна проверка и проведен Инструктаж от 11.04.2020г. за обработка на аудио-визуални материали с цел предотвратяване на нерегламентираното излъчване на лични данни в ефира на телевизионните програми на Е.М.

Видно от представените доказателства администраторът им разписана политика за поверителност, приета май 2018, допълнена на 22.05.2020г. в отделен документ Технически и организационни мерки за обработване на лични данни и План за действие в случай на нарушение на сигурността на данните от 15.05.2018г. подробно е разписан механизма на работа с документи съдържащи лични данни относно излъчването им в телевизионен ефир. В т.3 от същите е посочено, че „с цел недопускане на излъчване на лични данни в предавания, излъчвани на запис, следва да се осигури обучения на всички оператори, работещи в телевизията за работа с програмен продукт Adeobe Premier Pro. Преди излъчването на всяко предаване същото да се преглежда от дежурния видеомонтажист с цел недопускане на нарушение на ЗЗЛД. При наличие на лични данни в предаването да се използва горепосочения програмен продукт и ефекта Fast Blur за заличаване на съответните лични данни чрез тяхното замъгляване.“

В случая обаче указанията на администратора не са изпълнени, допусната е грешка, за която и ответната страна признава, при работа с внедрени и използвани от дружеството програмни продукти, в случая Fast blur на софтуер за обрабока Adobe Premiere Pro, за автоматично заличаване на част от кадри с т.нар „маска“, в резултат на което личните ЕГН-то на лицето не е заличено от документа показан в ефира на предаването. Монтажистът е санкциониран по реда на Кодекса на труда със „Забележка“, видно от Заповед №01-10/10.04.2020г., на 10.04.2020г. нарушението е преустановено, проведен е и допълнителен инструктаж на 11.04.2020г. Предприетите от дружеството действия в тази насока обаче не санират нарушението, доколкото същото е резултатно, а администраторът е следвало да предприеме стъпки всяко физическо лице действащо по негово ръководство, което има достъп до лични данни да ги обработва само по начин указан от администратора– чл.32, §4 от ОРЗД.

Факт е, че дружеството преди констатиране на нарушението е разписало процедура относно обработване на лични данни, въведени са и технически мерки за тяхната защита, като в последствие е проведен и допълнителен инструктаж, същите обаче са явно недостатъчни от организационна гледна точка на превантивен и текущ контрол, като следва да се отбележи, че липсват протоколи за приемане и проверка на предоставените за излъчване материали съдържащи лични данни, липсват разработени и внедрени формуляри или чек лист по отношение на необходимите и задължителни действия по проверка на съдържанието на материалите и привеждането на съдържанието им, излъчено в ефир, в съответствие е нормативната база за защита на личните данни.

Предвид събраните по преписката материали и с оглед характера на нарушението, неговата продължителност, вида на обработваните лични данни, предприетите от дружеството мерки за преустановяване на нарушението, съдействието на КЗЛД при изясняване на случая и не на последното място обстоятелството, че нарушението е първо за администратора, както и предвид дейността му, комисията счита за целесъобразно издаването на разпореждане по чл.58, §2, буква„г“ от ОРЗД, като намира, че налагането на имуществена санкция за констатираното нарушение би била прекомерна и в нарушение на принципа на съразмерност по чл.6 от АПК съгласно който „когато с административния акт се засягат права или се създават задължения за граждани, се прилагат онези мерки, които са по-благоприятни за тях, ако и по този начин се постигне целта на закона“. Счита, че упражненото корективно правомощие отговаря на търсените от ЗЗЛД и Регламент 2016/679 ефективност и възпиращ ефект, като в същото време не нарушава принципа на пропорционалност и изискването за съразмерност.

Водима от горното и на основание чл.38, ал.3 от ЗЗЛД, Комисията за защита на личните данни,

1. Обявява жалба №ППН-01-267/13.04.2020г., подадена от Х. срещу електронна медия, за основателна.

2. На основание чл.58, §2, буква„г“ от Регламент ЕС 2016/679 и за нарушение на чл.32, §4, от регламента издава разпореждане на електронната медия да съобрази операциите по обработване на личните данни с разпоредбите на ОРЗД, като предприеме и разпише допълнителни мерки и стъпки по текущ, предварителен и последващ контрол относно обработка на аудио-визуални материали, включително чрез въвеждане на протоколи за действия и отчетност при проверка на съдържанието им, с цел предотвратяване на нерегламентираното излъчване на лични данни в ефира на телевизионните програми на електронната медия и в платформата You Tube.

3. Срок за изпълнение на разпореждането– три месеца от влизане на решението в сила, след което да уведоми комисията за изпълнението, като представи съответните доказателства.

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни, пред Административен съд София – град.