РЕШЕНИЕ
№ 17/2011 г.
София, 06.12.2011г.
Комисия за защита на личните данни /КЗЛД/ в състав: Председател: Венета Шопова и членове: Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков на открито заседание, проведено на 21.09.2011г., на основание чл. 10, ал. 1, т. 7 от Закона за защита на личните данни /ЗЗЛД/, разгледа по същество жалби с рег.№№17/06.01.2011г., подадена от К.С.М., №49/07.01.2011г., подадена от К.К.К. и №51/07.01.2011г., подадена от М.Й.К. срещу ЕТ „Е.-А.Г.”.
Административното производство е по реда на чл.38 от Закона за защита на личните данни.
В чл.30, ал.1 от ПДКЗЛДНА са определени реквизитите, които трябва да съдържа жалбата, с която физическите лица сезират Комисията за нарушения на техните права по ЗЗЛД. Жалбите отговаря на нормативно установените изисквания, поради което се явяват редовни. С решение на КЗЛД, взето на закрито заседание проведено на 16.02.2011г. жалбите са обявени за допустими, на основание чл.32 от Административно-процесуалния кодекс /АПК/ са обединени за разглеждане в едно общо производство и като ответна страна в административното производство е конституиран ЕТ „Е.-А.Г.”.
С решение на КЗЛД, взето на 03.08.2011г., „Т.Н.” ООД е заличена като заинтересована страна и е конституирана като ответна страна, с оглед събраните по административната преписка доказателства.
В КЗЛД са постъпили три жалби от физически лица срещу ЕТ „Е.-А.Г.” с твърдения за неправомерно обработване на свързаните с тях лични данни.
По жалба рег.№Ж-17/06.01.2011г., жалбоподателят К.С.М. твърди, че на 23.12.2010г. е бил потърсен по телефона от жена, която се представила от името на пловдивска фирма „Е.-А.Г.”. В разговора служителката е споменала имената на жалбоподателя и неговия адрес, като го е уведомила, че фирмата, която представлява е неговия доставчик на интернет. На въпроса на жалбоподателят, от къде фирмата разполага с неговите лични данни, след като нямат сключен договор за предоставяне на интернет услуги, му било обяснено, че е имало друга фирма посредник, с която ЕТ „Е.-А.Г.” вече не работи.
С жалбата се изразява несъгласието на господин К.С.М., личните му данни да се обработват от фирма, с която няма взаимоотношения и моли Комисията, да извърши проверка, по отношение на обстоятелството, с какви негови лични данни разполага ЕТ „Е.-А.Г.”, имал качеството на администратор на лични данни, как и къде се съхраняват данните и по какъв начин администратора се е снабдил с тях.
Към жалбата не се представени доказателства.
По жалба рег.№49/07.01.2011г., жалбоподателят К.К.К. твърди, че на 28.12.2010г. е бил потърсен по телефона от жена, която се представила от името на пловдивска фирма ЕТ „Е.-А.Г.”. В разговора служителката е споменала имената на жалбоподателя и неговия адрес, като го е уведомила, че фирмата, която представлява е неговия доставчик на интернет. На жалбоподателят било обяснено, че „Т.Н.” е бил техен посредник, с когото вече не работят и това налага подписване на нови договори за доставката на интернет.
В жалбата се твърди, че господин К.К.К. има договор с фирма „Т.Н.”, на която е предоставил личните си данни във връзка със сключен договор за доставка на интернет.
Жалбоподателят иска да бъде извършена проверка, от която да се установи, дали „Т.Н.” е разпространила свързаните с него лични данни на ЕТ „Е.-А.Г.” и при установяване на извършено нарушение на ЗЗЛД, да бъде потърсена административно-наказателна отговорност на виновните лица.
Към жалбата не се представени доказателства.
По жалба рег.№51/07.01.2011г., жалбоподателката М.Й.К., твърди че на 23.12.2010г. била потърсена на по телефона от жена, която се представила от името на пловдивска фирма ЕТ „Е.-А.Г.”. В разговора служителката е споменала имената и адресът й, като я е уведомила, че фирмата, която представлява е нейният доставчик на интернет. На жалбоподателката й било обяснено, че „Т.Н.” е бил посредник, с когото вече не работят и това налага подписване на нови договори за доставката на интернет.
В жалбата се твърди, че госпожа М.Й.К. има договор с фирма „Т.Н.”, на която е предоставил личните си данни във връзка със сключен договор за доставка на интернет.
Госпожа М.Й.К. се обърнала към своя интернет доставчик, за да попита, от какво са провокирани тези телефонни обаждания и от „Т.Н.” й декларирали, че те не са предоставяли свързаните с нея лични данни на никого. Фирмата доставчик пояснила на жалбоподателката, че ЕТ „Е.-А.Г.”, като доставчик и администратор на интернет трафик в кръга на служебните си задължения е имал достъп до базата данни на „Т.Н.”, но фирмата никога и на никого по никакъв повод не е давала право на преписване, копиране или обработка на базата данни.
Жалбоподателката иска да бъде извършена проверка, от която да се установи, по какъв повод и защо ЕТ „Е.-А.Г.” използва личните й данни.
Към жалбата не са представени доказателства.
В КЗЛД е постъпил и сигнал рег.№11386/28.12.2010г. от „Т.Н.” ООД срещу ЕТ „Е.-А.Г.”. В сигнала е посочено, че дружеството се занимава с доставка на интернет в три пловдивски села. За предоставяната услуга дружеството е сключило договори със своите абонати. Сочи се, че до 30.11.2010г. фирмата е закупувала услугата „доставка и управление на интернет” от ЕТ „Е.-А.Г.”. ЕТ „Е.-А.Г.” е изпълнявал и администрацията и управлението на интернет трафика. При изпълнението на поетия ангажимент е имал пряк достъп до информационния масив на „Т.Н.” ООД. В сигнала се твърди, че на 01.12.2010г. договора между „Т.Н.” ООД и ЕТ „Е.-А.Г.” е прекратен. След прекратяване на договора, служители на ЕТ „Е.-А.Г.” започнали да звънят на абонатните на „Т.Н.” с цел да се откажат от досегашния си доставчик на интернет и да сключат договори с тях. В сигнала се твърди, че без съгласието на „Т.Н.”, „Е.-А.Г. е копирал базата данни на клиентите им и я ползва по начин непозволен от закона. „Т.Н.” ООД счита, че е нарушена разпоредбата на чл.2, ал.2, т.1 и т.2 и чл.17 от ЗЗЛД.
Към сигнала са представени: извадка от регистъра на Комисия за регулиране на съобщенията, съдържаща данни за предоставени мрежи или услуги на ЕТ „Е.-А.Г.”,справка от НАП за фирми, регистрирани по ЗДДС и разпечатка от електронния регистър на администраторите на лични данни.
Предвид изнесените в жалбите твърдения за кражба на база данни, в която се съдържат и лични данни на физически лица и във връзка с контролните й правомощия, КЗЛД е назначила проверка на администраторите на лични данни: „Т.Н.” ООД и ЕТ „Е.-А.Г.”.
При извършена служебна проверка в регистъра на администраторите на лични данни се установи, че „Т.Н.” ООД е изпълнил задължението си по чл.17 от ЗЗЛД и е подал заявление за регистрация. Заявен е един регистър с наименование „Персонал”. Заявено е, че броя на лицата, чиито данни се обработват е до 15, а нормативното основание за обработване на данните е „трудов договор”.
ЕТ „Е.-А.Г.” е подал заявление за регистрацията му като администратор на лични данни, като са заявени два регистъра с наименование „Персонал” и „Контрагенти”. Заявено е, че ще се обработват чувствителни данни.
В условията на служебното начало залегнало в административният процес и с оглед установяването на обективната истина, с писма на Председателя на КЗЛД е изискано представяне на становища от „Т.Н.” ООД и ЕТ „Е.-А.Г.” и относимите по случаите доказателства.
На 29.03.2011г. в деловодството на КЗЛД е постъпило писмено становище от ответната страна – ЕТ „Е.-А.Г.”, ведно с приложени към него доказателства. Твърди се, че личните данни на жалбоподателите са се съхранявали през цялото време в базата данни на дружеството, за това защото те са собственици на ай пи адресното пространство и съгласно изискванията на Закона за електронните съобщения, максималният срок за съхранение на данните е една година.
Твърди се, че личните данни на жалбоподателят К.К.К. за записани в базата данни на дружеството през 2004г. Интернет доставчикът уведомява Комисията, че не разполага с данни на М.Й.К., но на посоченият от жалбоподателката адрес е записан абонат- В.К., като информация за нея е била въведена през 2006г. Информация за третия жалбоподател- К.С.М. е отразена в базата данни през 2009г.
В становището се уточнява, че жалбоподателят К.К.К. към момента е служител на фирма „Т.Н.” ООД, а преди това е бил служител на „И.Б.” ООД, с която ответната страна е имала търговски отношения. Прави се уточнения, че към момента, когато дружеството е разполагало с личните данни на жалбоподателите, фирма „Т.Н.” не е съществувала, което от своя страна може да наведе на извода, че жалбите са манипулирани.
Посочва се, че обработването на личните данни е законосъобразно, същите не са предоставяни на трети лица, както и че целта на обработването е предоставяната от фирмата услуга – доставка на интернет.
Към становището са представени следните документи: екранни разпечатки от базата данни на дружеството, по отношение на жалбоподателите, обяснения от А.Г. дадени на проверяващ екип от КЗЛД, приемо-предавателен протокол от 25.02.2011г. между проверяващ екип на КЗЛД и ЕТ „Е.-А.Г.”.
На 30.03.2011г. е постъпило писмено становище от заинтересованата страна „Т.Н.” ООД. В него се сочи, че бившият им системен администратор ЕТ „Е.-А.Г.” в разрез със служебната етика и без знанието им е направил копия на базата данни на абонатите на фирмата. След копирането на данните, интернет доставчикът е обработвал личните данни чрез разпространяването им. Уточнява се, че жалбоподателят К.К.К. е служител на дружеството и в това му качество е изслушал оплакванията на много от абонатите им.
Към становището са представени следните документи: декларация от В.Х., удостоверение №00041/28.10.2009г. на КРС, 11 броя фактура от ЕТ „Е.-А.Г.”, договор №002/02.02.2009г. с М.Й.К., приложение №1 към договор №002/02.02.2009г., договор №763/15.04.2009г. с К.С.М., приложение №1 към договор №763/15.04.2009г., договор №631/01.01.2009г. с К.К.К., приложение №1 към договор №631/01.01.2009г., договор за предоставяне на комуникационни услуги от 12.11.2010г. и приложение №1 към договор №89/12.112010г. и 2 броя приемо-предавателни протокола от 01.12.2010г.
На откритото заседание, насрочено за 21.09.2011г. за разглеждане на жалбите по същество, страните са редовно и своевременно уведомени по реда на АПК. Явява се В.Х. – управител на „Т.Н.” ООД.
Приложението на Закона за защита на личните данни се обвързва с обработването на информация, представляваща „лични данни” по смисъла на легалната дефиниция на чл. 2, ал.1, съгласно която тя трябва да е достатъчна, за да може физическото лице да може да бъде идентифицирано. Информацията която имат двата администратора на лични данни – три имена, адрес и телефон е достатъчна физическото лице да бъде индивидуализирано по безспорен начин, от което следва извода, че са налице лични данни.
На следващо място, условие за приложимостта на ЗЗЛД и реализиране на контролните правомощия на Комисията в изпълнение на ЗЗЛД, е изискването за безспорно установяване на факта на обработване на лични данни на физическите лица. В § 1 от ДР на ЗЗЛД се съдържа легалната дефиниция на „обработване на лични данни”, което представлява всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.
От събраните писмени доказателства може да се направи безспорен извод, че е налице обработване на личните данни на жалбоподателите по смисъла на § 1 от ДР на ЗЗЛД чрез събиране, употреба и съхраняване от страна на „Т.Н.” ООД и ЕТ „Е.-А.Г.”.
На следващо място, приложимостта на ЗЗЛД е обвързана с условието обработваните лични данни да съставляват или да са предназначени да съставляват част от регистър. От събраните към административната преписка доказателства и от изразените писмени становище на ответните страни се установи, че свързаните с жалбоподателите лични данни се обработват и от двамата администратори на лични данни, както на хартиен , така и на електронен носител. „Т.Н.” ООД обработва личните данни, съдържащи се в сключените с жалбоподателите договори за предоставяне на услуга – интернет, а ЕТ „Е.-А.Г.” ги обработва посредством констатираната от проверяващия екип електронна база данни.
С чл. 1, ал. 2 от ЗЗЛД се гарантира неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.
Правомерното обработване на личните данни от страна на администраторите на лични данни, съгласно ЗЗЛД следва да се извършва в съответствие с принципите на законосъобразност, целесъобразност и пропорционалност на данните. Наред с това законодателят е предоставил възможност, от една страна, на администраторите сами да определят целите и обема на обработваните данни, а от друга страна- на физическите лица правото да изразят свободната си воля за обработване на техните лични данни. Наличието на тяхното съгласие, съгласно чл. 4, ал. 2, т. 2 от ЗЗЛД, е едно от условията за допустимост на обработването на личните им данни от страна на администраторите. В конкретния случай не е налице изрично дадено волеизявление, от което да е видно, че жалбоподателите са изразили съгласието си личните им данни да бъдат обработвани за различни цели от сключените договори за услуги за доставка на интернет.
Видно от извършените констатации на проверяващият екип, обективирани в констативните протоколи от извършените проверки, ЕТ „Е. – А.Г.” е предоставял на „Т.Н.” ООД електронно съобщителни услуги, съгласно условията на сключен „Договор за наем на пренос през оптично влакно” № I-4/30.08.2009.
ЕТ „Е.-А.Г.” е осъществявал управлението и администрирането на крайните мрежови устройства, както и администрирането на базата данни с крайните потребители, включително и клиенти на „Т.Н.” ООД, посредством собствен софтуер.
Към момента на съвместната им дейност, управителите на „Т.Н.” ООД и упълномощените от тях лица, са използвали софтуер, разработен от и собственост на ЕТ „Е.-А.Г.”. Дружеството посредством клиентски модул е имало отдалечен достъп до базата данни, чрез потребителско име и парола, с определени нива на достъп. Данните на клиентите на „Т.Н.” ООД са въвеждани в базата данни от служители на „Т.Н.” ООД, като по този начин са били предоставени на ЕТ „Е.-А.Г.”.
В тази връзка, по отношение на личните данни на клиентите на „Т.Н.” ООД, ЕТ „Е.-А.Г.” е обработващ лични данни. Тази констатация на проверяващия екип е довела до решението на Комисията да заличи като заинтересована страна „Т.Н.” ООД и да я конституира като ответна страна, заедно с ЕТ „Е.-А.Г.”.
По време на проверката е установено, че съвместната дейност на „Т.Н.” ООД и ЕТ „Е.-А.Г.” не е регламентирана по отношение на администрирането на базата данни и задълженията им по ЗЗЛД чрез сключването на писмен договор (писмен акт), а се осъществява на базата на устни договорености. Не са определени правата, задълженията и отговорностите на двете страни, включително касаещи обработването на личните данни на крайните потребители, клиенти на „Т.Н.” ООД. Във връзка с обстоятелството, че „Т.Н.” ООД се явява обработващ лични данни по отношение на клиентите, с които е сключил договори за доставка на интернет услуги, следва че е извършил нарушение на чл.24, ал.4 от ЗЗЛД, за което Комисията да наложи наказание.
Проверяващият екип е констатирал още, че в предоставените по време на проверката договори липсват клаузи, регламентиращи и даващи информация на физическите лица, клиенти на дружеството, за предоставянето на личните им данни на трети лица. По време на проверката не са предоставени доказателства относно изпълнение от страна на „Т.Н.” ООД на задължението по чл. 19, ал. 1, т. 3 от Закона за защита на личните данни.
Съгласно разпоредбата на чл. 19, ал. 1, т. 3 от ЗЗЛД, в случаите, когато личните данни се събират от лицето, за което се отнасят, администраторът или негов представител му предоставя получателите или категориите получатели, на които могат да бъдат разкрити данните. В конкретния случай, чрез подписването на договор с краен потребител, „Т.Н.” ООД събира и съхранява (действия по обработване) лични данни. В този случай задължение на дружеството е да уведоми съответните крайни потребители за обстоятелството, че техните лични данни ще бъдат предоставени на трето лице – ЕТ „Е-А.Г.”, което не го е сторил и е извършил административно нарушение по смисъла на ЗЗЛД, за което следва да му се наложи административно наказание.
След прекратяване на взаимоотношенията с ЕТ „Е.-А.Г.”, на 12.11.2010 г. „Т.Н.” ООД сключва „Договор за предоставяне на комуникационни услуги” с „КТВ И.” ООД. Представяната услуга („L2 InterCity Ethernet Connect”) между гр. С. и с. Т. с достъп до портовете на „КТВ И.” ООД по некомутируеми оптични Ethernet свързаности осигурява възможност за изграждане и поддържане на частна транспортна среда за пренос на данни между крайни точки от мрежата на „КТВ И.” ООД. (Ethernet – технология на свързване на LAN-мрежи).
Базата данни на физическите лица – клиенти на „Т.Н.” ООД се съхранява на сървър на „КТВ И.” ООД и се достъпва чрез отдалечен достъп посредством потребителско име и парола от интернет адрес http://trud.nikonetcom.net.
От представените сключени договори (от 2011 г.) с крайни потребители е видно, че „Т.Н.” ООД отново не е информирало абонатите си, че предоставя личните им данни на текущото предприятие, предоставящо електронно съобщителни услуги. В тях липсва клауза за съгласие на физическото лице за предоставяне на личните му данни на трети лица. Реквизит в договорите от 2011 г. (след прекратяване на взаимоотношенията с ЕТ „Е.-А.Г.”) е и ЕГН-то на клиентите.
Броят на записите в базата данни с клиенти на „Т.Н.” ООД към момента на проверката е 1300, от тях активни – около 700.
Във връзка с изложеното, Комисията приема, че администраторът на лични данни „Т.Н.” ООД е нарушил и разпоредбата на чл.23, ал.1 от ЗЗЛД. Този факт се доказва, че базата му данни по отношение на клиентите, преди прекратяването на взаимоотношенията му с другата ответна страна ЕТ „Е.- А.Г.”, а и сега /„КТВ И.” ООД/ се съдържа на чужди сървъри и достъпът до тях е отдалечен и се осъществява посредством потребителско име и парола. Администраторът на лични данни не е предприел всички технически и организационни мерки за защита на личните данни на своите клиенти, които се съхраняват на електронен носител /сървърите на други дружества/, което е предпоставка за случайно или незаконно унищожаване или загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване. С непредприемането на мерки за защита на личните данните в конкретния случай се е стигнало до неправомерното им обработване чрез използването на част от данните за осъществяването на позвъняванията към жалбоподателите от страна на ЕТ „Е.- А.Г.”.
От събраните по административната преписка доказателства се установи, че „Т.Н.” ООД, като администратор на лични данни, който обработва свързаните с жалбоподателите лични данни, чрез събирането и съхраняването им не е предприел всички технически и организационни мерки за защита на данните от неправомерен достъп до тях, с което е нарушил разпоредбата на чл.23 от ЗЗЛД.
По административната преписка се установи, че личните данни на жалбоподателите се обработват и от другата ответна страна ЕТ „Е.-А.Г.”, чрез съхранението им. Администраторът на лични данни не представи доказателства в своя подкрепа, че обработва личните данни е извършено на правно основание. Видно от събраните доказателства се установява, че за администратора на лични данни – ЕТ „Е.-А.Г.” не е налице нито едно о, изрично изброени в разпоредбата на чл.4 от ЗЗЛД условия за допустимост при обработването на лични данни. Липсата на правно основание за обработването на данните представлява нарушение на ЗЗЛД, тъй като е в разрез с чл. 1, ал. 2 от Закона за защита на личните данни, с който се гарантира неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.
На основание изложеното Комисия за защита на личните данни приема, че свързаните с жалбоподателите лични данни са неправомерно обработени в нарушение на ЗЗЛД от двамата администратори на лични данни.
При определяне размера на налаганите с настоящето решение административни наказания, Комисията се съобрази с характера и степента на нарушението и обществените отношения, които засяга.
В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в процесуалното производство, съгласно чл.7 от Административно-процесуалния кодекс (АПК), изискващ наличието на установени действителни факти от значение за случая, имайки предвид представените писмени доказателства и изразени становища, Комисията приема, че разгледани по същество жалбата е основателна, поради което на основание чл. 10 ал. 1, т. 7 от ЗЗЛД и чл.39, ал.2 от Правилника за дейността на Комисия за защита на личните данни и на нейната администрация,
РЕШИ :
1.Обявява жалби с рег.№№17/06.01.2011г., подадена от К.С.М., №49/07.01.2011г., подадена от К.К.К. и №51/07.01.2011г., подадена от М.Й.К. срещу ЕТ „Е.-А.Г.” и „Т.Н.” ООД, за основателни.
2. На основание чл.42, ал.9 във връзка с чл. 38, ал. 2 от ЗЗЛД налага на „Т.Н.” ООД, ЕИК 200268349, със седалище и адрес на управление: Област П., общ. М., с. Т., ул. С.П., представлявано от В.С.Х. и З.Р.П., административно наказание– имуществена санкция в размер на 1 000 / хиляда/ лв. за нарушение на чл.23 от ЗЗЛД.
3. На основание чл.42, ал.9 във връзка с чл. 38, ал. 2 от ЗЗЛД налага на ЕТ „Е.-А.Г.”, БУЛСТАТ 825319234, със седалище и адрес на управление: гр. П., община П., ул. К.П., представлявано от А.К.Г., административно наказание– имуществена санкция в размер на 12000 / дванадесет хиляди/ лв. за нарушение на чл.4 от ЗЗЛД – обработване на лични данни без правно основание и наличие на нито едно от условията за допустимост при обработването.
Решението да се съобщи на заинтересованите лица по реда на АПК.
Настоящето решение подлежи на обжалване, в 14 дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд София град.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венета Шопова /п/ |
Красимир Димитров /п/ |
