РЕШЕНИЕ
№ П-6101/2012
гр. София,17.06.2013 г.
Комисията за защита на личните данни /КЗЛД/ в състав: Председател- Венета Шопова и членове- Валентин Енев и Мария Матева на открито заседание, проведено на 22.05.2013г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни /ЗЗЛД/, разгледа по същество жалба с рег.№П-6101/19.11.2012г. от Б.Т. срещу МБАЛ „Д.С.И.“ АД- гр. М. за нарушения на Закона за защита на личните данни.
С Решение от 13.03.2013г. (Протокол №9) Комисията конституира като ответна страна в качеството й на администратор на лични данни МБАЛ „Д.С.И.“ АД- гр. М. и като заинтересовани страни– Министерство на здравеопазването и ЦСМП- М.
Страните са редовно уведомени за разглеждане на жалбата по същество- не се явяват, не се представляват, не ангажират допълнително доказателства за целите на административното производство по жалбата.
На 19.11.2012г. в деловодството на КЗЛД постъпва жалба, служебно препратена по компетентност от Министерство на здравеопазването. В жалбата засегнатото лице Б.Т. твърди, че е налице неправомерно обработване на личните й данни от Е.Х.- шофьор на линейка в Центъра за спешна помощ към МБАЛ „Д.С.И.“ АД- гр. М. Фактическата обстановка по случая съгласно изложеното в жалбата е следното:
Като ответна страна по гр.д. №560/2012г. по описа на РС- М., Е.Х. представя в съдебно заседание в оригинал епикриза за здравословното състояние на жалбоподателката и провежданото й лечение през м. януари 2012г., без документът да е изискан за нуждите на делото. Г-жа Б.Т. е била призована в качеството й на свидетел по гражданския спор. Твърди, че никога не е предоставяла епикризата си на Е.Х., както и че не е предоставяла съгласието си данните за здравословното й състояние да бъдат предоставяни на трети лица. Представената епикриза е издадена от МБАЛ „Д.С.И.“ АД- гр. М.
Г-жа Б.Т. настоява да се провери по какъв начинЕ.Х. се е сдобил с нейната епикриза, да му бъде наложена санкция за злоупотреба със служебно положение, тъй като счита , че авторитетът и доброто й име са накърнени.
В условията на служебното начало и при спазване на принципа за процесуална икономия и бързина, с огледизясняване на фактическата и правна страна на жалбата, се предприеха следните действия:
С писмо изх.№П-6584/07.12.2012г. от Министерството на здравеопазването е изискано становище по случая, както и информация дали е налице произнасяне по случая.
С писмо вх.№П-6934/27.12.2012г. от страна на МЗ се съобщава, че не е налице произнасяне по компетентност от негова страна. С писмо вх.№П-105/08.01.2013г. МЗ прилага справка от РС- М. относно епикризата на Б. Б.Т., представена по гр.д. №560/2012 от описа на съда.
С писмо изх.№П-6585/07.12.2012г. от председателя на РС- М. е изискано да представи писмено становище относно изложените в жалбата факти. С писмо вх.№П-6835/ 18.12.2012г. от страна на съдасе съобщава, че делото е изпратено на Окръжен съд- М. От протокола в електронната папка по делото е видно, че на открито съдебно заседание от 05.11.2012г., е представена епикриза на свидетелката Б.Т. чрез адвоката на ответника и която епикриза е оттеглена от същия със заявление, че се отказва от това доказателство и с резолюция на съдията-докладчик посоченият документ е върнат срещу удостоверяване за получаване на 08.11.2012г.
С писмо изх.№П-6586/07.12.2012г. от изпълнителния директор на МБАЛ „Д.С.И.“ АД- гр. М. също е изискано становище по изложените в жалбата твърдения.
С писмо вх.№П-6751/14.12.2012г. от болницата уведомяват, че е извършена проверка по случая и за резултатите от нея е уведомена жалбоподателката и Министерство на здравеопазването. Твърди се, че не е извършено нарушение във връзка с предоставяне на информация за личните данни на г-жа Б.Т. Предоставят се копия от писма-кореспонденция между болничното заведение, жалбоподателката, МЗ и Инспектората към МЗ, от която се установява, че Б.Т. е била настанена в болничното заведение в периода 5-9 януари 2012г.
С писмо изх.№П-336/18.01.2013г. запитване за становище по жалбата е отправено и към директора на ЦСМП- М., както и обяснения по случая от служителя Е.Х.
С писмо вх.№С-86/08.02.2013г. от страна на ЦСМП- М. се заявява, че по случая е извършена проверка. Пояснява се, че диагностицирането и лечението на жалбоподателката е извършено в психиатричното отделение на МБАЛ- М. Според изисканите от служителя Е.Х. обяснения, последният се е сдобил с епикризата на г-жа Б.Т. чрез старшата сестра на психиатричното отделение на МБАЛ- М. За целта на Е.Х. е наложено дисциплинарно наказание по чл.188, ал.2 от КТ, като се прилага копие от заповедта.
С писмо изх.№П-1184/20.02.2013г. от Окръжен съд– М. е изискано да предостави предоставите копие от протокол от съдебно заседание от 05.11.2012г. по гр.д. №560/2012г. по описа на Районен съд- М., образувано по Закона за защита от домашно насилие от А.К.Х. срещу Е.Р.Х. с оглед безспорно установяване на факта, че епикризата на жалбоподателката е била предоставена от Е.Х. на съда по повод образуваното дело.
С писмо вх.№П-1447/04.03.2013г. от Районен съд- М. предоставят копие отпротокол от съдебно заседание от 05.11.2012г. по гр.д. №560/2012г. по описа на съда. От стр. 15 от същия е видно, че адвокатът на ответната страна представя и съдът приема епикриза от МБАЛ „Д.С.И.“- гр. М. за психическото състояние на свидетелката Б.Т.
Видно от ангажирания по случая доказателствен материал се установява, че жалбата се явява редовна, респ. процесуално допустима- подадена е от физическо лице- Б.Т., в законоустановения срок, при наличие на правен интерес срещу МБАЛ „Д.С.И.“- М. в качеството й на администратор на лични данни обработващличните данни на жалбоподателката по силата на законоустановените му правомощия в качеството й на негова пациентка. С оглед на това Комисията следва да упражни правомощието си по чл.10, ал.1, т.7 от ЗЗЛД за разглеждане на жалби на физически лица срещу актове и действия на администраторите, с които се нарушават правата им по ЗЗЛД.
По отношение на основателността Комисията счита, че жалбата е основателна, поради следните съображения:
В жалбата си до КЗЛД Б.Т. оспорва законосъобразността на обработването на личните й данни от страна на МБАЛ „Д.С.И.“ АД- М. с твърдението, че те са неправомерно предоставени на Е.Р.Х., с който са участници в съдебен спор. Предмет на твърдяното нарушение е издадена от МБАЛ „Д.С.И.“- М. епикриза за здравното състояние на лицето, издадена по повод проведено лечение през м. януари 2012г. и която епикриза по-късно се предоставя от Е.Х. в съдебно заседание с оглед оспорване способността на Б.Т. за правилна преценка на събитията, респ. за надеждността й като свидетел.
Твърденията на жалбоподателката, че Е.Х. се е сдобил неправомерно и използвал епикриза за психическото й състояние се доказват от обяснение на лицето, дадено до работодателя- ЦСМП- гр. М. и заведено с вх.№1315/05.12.2012г. В него се пояснява, че се сдобил с епикризата за диагнозата на жалбоподателката от старшата сестра на психиатрична клиника на МБАЛ „Д.С.И.“- М. След представянето й в съда се оттегля от адвоката на ответника в съдебния спор и отново се връща в болничното заведение.
Законът за защита на личните данни урежда защитата правата на физическите лица при обработване на личните им данни. Неговата цел съгласно чл.1, ал.2 е да гарантира неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните. В тази връзка в чл.2, ал.2 от него законодателят установява принципите, на които следва да бъде подчинено правомерното обработване на данните на физическите лица от администраторите на лични данни, като тези принципи в своята цялост се съотнасят към конкретните хипотези, уредени в чл.4 , ал.1 от ЗЗЛД, които обуславят допустимостта на обработване на данните.
В изпълнение на законоустановените си правомощия МБАЛ „Д.С.И.“- М. събира и обработва значителен обем информация, касаеща широк кръг лични данни на физически лица, в т.ч. и т.нар. чувствителни данни, които се ползват с по-висока степен на защита от ЗЗЛД. Независимо, че болницата осъществява обработване на лични данни на основание чл.4, ал.1, т.1 от ЗЗЛД за нея не отпадат задълженията и отговорностите по чл.2, ал.2 от ЗЗЛД, в който са регламентирани принципите, които следва да се спазват от всички администратори на лични данни при работата им с тях.
Предприемането на технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване е вменено като задължение на МБАЛ „Д.С.И.“- М. в качеството й на администратор на лични данни по силата на разпоредбата на чл.23, ал.1 от ЗЗЛД. Не се оспорва въпреки това фактът, че част от обработваната информация, касаеща личните данни на жалбоподателката не е била адекватно защитена, поради което достъп до нея е бил предоставен на трето лице, с което се нарушават правата на жалбоподателя.
Предприемането на технически и организационни мерки по чл.23, ал.1 от ЗЗЛД следва да са съобразени със съвременните технологични постижения и да осигуряват ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които трябва да бъдат защитени. В конкретния случай извършеното нарушение очевидно е резултат на пропуски в установените от администратора технически и организационни мерки за защита на личните данни, за което следва да бъде наложена предвидената в чл.42, ал.9 от ЗЗЛД имуществена санкция. Санкцията следва да бъде определена в максимален размер с оглед на факта, че са нарушени права, касаещи обработване на лични данни, които се ползват от закона със специална защита. Категорията на тези данни и техният специален режим на обработване са регламентирани в чл.5 от ЗЗЛД и в тях попадат този обем данни, касаещи здравословното състояние на лицето. В подкрепа на решението за налагане на максималната санкция се явява обстоятелството, че допуснатото нарушение на непредприемане на необходимите технически и организационни мерки по чл.23, ал.1 от ЗЗЛД е свързано с действия по обработване на данните на жалбоподателката без нейно знание и съгласие, което би могло да бъде и самостоятелно основание за налагане на санкция в значително по-висок размер. Отчитайки факта, че нарушението се явява първо за администратора на лични данни, Комисията приема, че размерът на така определената санкция е адекватен на извършеното нарушение.
С оглед гореизложеното Комисията
РЕШИ:
1. Уважава жалба с рег.№П-6101/19.11.2012г. от Б.Т. срещу МБАЛ „Д.С.И.“ АД- гр. М.;
2. На основание чл.10, ал.1, т.7, чл.38, ал.2 и чл.42, ал.9 налага имуществена санкция в размер на 5000 (пет хиляди) лева на МБАЛ „Д.С.И.“ АД- гр. М. с ЕИК****** и седалище- гр. М., ******** с представляващ Ц.Т. за нарушение на чл.23, ал.1 от ЗЗЛД за това, че не е взело необходимите организационни и технически мерки за защита личните данни на Б.Т. при тяхното обработване, което е довело до неправомерното им предоставяне на Е.Х. и използването им от него за целите на съдебен спор, в който лицата са страни.
Решението може да се обжалвав 14-дневен срок от получаването му, чрез КЗЛД пред Административен съд- София град.
След влизане в сила на настоящото решение, сумата по наложеното наказание да бъде внесена в брой в касата на Комисията за защита на личните данни, гр. София, бул. „Акад. Иван Гешов”-№15 или преведена по банков път:
Банка БНБ- ЦУ
IBAN: BG18BNBG96613000158601
BIC BNBGBGSD
Комисия за защита на личните данни, Булстат 130961721
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венета Шопова /п/ |
Валентин Енев /п/ |
