Начало » Практика » Решения на КЗЛД за 2019 г. » Решение по жалба с рег. № ППН-01-808/02.10.2018 г.

Решение по жалба с рег. № ППН-01-808/02.10.2018 г.

РЕШЕНИЕ
№ ППН-01-808/2018 г.
София, 10.09.2019 г.
 
Комисията за защита на личните данни (КЗЛД, Комисията) в състав, председател – Венцислав Караджов и  членове: Цанко Цолов, Цветелин Софрониев и Мария Матева на редовно заседание, проведено на 26.06.2019 г. и обективирано в протокол № 27/26.06.2019 г., на основание чл. 10, ал. 1 от Закона за защита на личните данни (ЗЗЛД) във вр. с чл. 57, § 1, б. „е“ от Регламент (ЕС) 2016/679, разгледа по същество жалба с рег. № ППН-01-808/02.10.2018 г., подадена от Н.Р. срещу здравно заведение (З.З.).
Административното производство е по реда на чл. 38 от ЗЗЛД.
Комисията за защита на личните данни е сезирана с жалба с рег. № ППН-01-808/02.10.2018 г., срещу З.З. В жалбата г-жа Н.Р. е посочила, че на 01.10.2018 г. от З.З. са прекратили едностранно трудовото ѝ правоотношение. Информира, че като медицински секретар – кодировчик има издаден електронен подпис, с нейното име и лични данни, с който работи в системата HADIS на Националната здравноосигурителна каса (НЗОК). Твърди, че след прекратяване на правоотношението, З.З. е продължила да използва нейния електронен подпис, като са изписвали деца и на 02.10.2018 г.
В жалбата е допълнено още, че в периода от 03.09.2018 г. до 02.10.2018 г. от З.З. са злоупотребили с личните ѝ данни, чрез използване на електронния подпис, чрез системата HADAIS, като в този период г-жа Н.Р. е била в платен годишен отпуск.
Счита, че това е нарушение на Закона за защита на личните данни.
Като доказателства са приложени, копие от заповед за прекратяване на трудовото правоотношение и сертификат за електронен подпис, издаден от „Борика“ АД.
Моли за извършване на проверка от страна на комисията.
В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, от НЗОК и З.З. са изискани становища и относими към случая доказателства.
С писмо изх. № ППН-01-808#3/30.10.2018 г. З.З., на основание чл. 26 от АПК е уведома за образуваното административно производство, като e предоставeна възможност за изразяване на становище и относими към случая доказателства.
В отговор от З.З. е депозирано становище, със следните твърдения:
Депозираната от Н.Р. жалба с рег. № ППН-01-808/30.10.2018  г. има бланкетен характер и в нея не са релевирани правни и фактически твърдения, съдържащи указание в какво се състои нарушението на Закона за защита на личните данни. Съгласно чл. 30, ал. 1 от Правилника за дейността на Комисията за защита на личните данни (КЗЛД) и нейната администрация производства пред КЗЛД започват по писмено искане на физическото лице, като в съответствие с чл. 30, ал. 1 от същия правилник, всяко искане следва да съдържа данни за искателя: имена, адрес, телефон за връзка, естеството на искането; друга информация или документи, когато това е предвидено в закон или в този правилник; дата и подпис.
В депозираната жалба с рег. № ППН-01-808/30.10.2018 г. липсват данни за конкретно нарушение на права на жалбоподателя. В този смисъл считат, че подобен подход съществено затруднява процесуалното право на защита на З.З., доколкото липсата на ясно описание на искането и конкретизация води до неяснота върху кои въпроси следва да съсредоточи своето становище и какъв да бъде обхватът на неговата защитна теза. Считат депозираната жалба за нередовна, като молят да бъде оставена без уважение и административното производство по нея да се прекрати.
Относно неоснователността на жалбата е посочено, че            титуляр на всички електронни изявления, извършени от служители на З.З., е З.З. във връзка с изпълнението на нормативно установените си задължения и сключен договор с НЗОК. Съгласно чл. 4 от Закона за електронния документ и електронните удостоверителни услуги авторът на електронното изявление е физическото лице, което в изявлението се сочи като негов извършител, а титуляр - това е лицето, от чието име е извършено електронното изявление. Съгласно информацията, представена на електронната страница на издателя - доставчик на електронни удостоверителни услуги, този вид електронен подпис (отбелязан като професионален) се „издава се на физическо лице – автор. Удостоверява неговата професионална обвързаност с юридическо лице (фирма, организация, свободна професия). Физическото лице е автор, а юридическото лице - титуляр на подписа.“ Следователно, с този специален електронен подпис се представлява юридическо лице и се подписват електронни документи от негово име и за негова сметка. В конкретния случай жалбоподателката Н.Р., е разполагала с професионален квалифициран електронен подпис, за да обезпечи изпълнението на своите задължения като служител на длъжност „медицински секретар-кодировчик“ в лечебното заведение.   Титуляр   на всяко електронно   изявление,   извършено от   този   служител,   е З.З.
В допълнение на гореизложеното, съгласно политика при предоставяне на квалифицирани удостоверения за квалифициран електронен подпис, облачен квалифициран електронен подпис и квалифициран електронен печат от „БОРИКА“ АД „професионално КУКЕП се издава на титуляр - физическо лице, което е асоциирано с юридическо лице и удостоверява електронната идентичност на титуляри на подписа и връзката на титуляри с публичния му ключ в удостоверението“. Това свидетелства, че професионалният електронен подпис е собственост на юридическото лице, което го предоставя на свой служител с оглед изпълнението на неговите задължения. В този контекст следва да се акцентира върху обстоятелството, че професионалният електронен подпис със сериен номер *** и номер на смарт карта ****** не е личен електронен подпис на служители, с който лицето прави изявления от собствено име. Като титуляр на електронния подпис, З.З. носи отговорност относно извършените със съответния електронен подпис електронни изявления. Съгласно чл. 7. от закона за електронния документ и електронните удостоверителни услуги (ЗЕДЕУУ), титулярът носи риска от грешка при предаване на електронно изявление. При отправянето на изявления чрез системата HADIS личните данни на служителите, притежаващи професионален КЕП, се обработват единствено за целите на регистрирането на здравноосигурителни събития (хоспитализация и дехоспитализапия).
Във връзка със сключения между З.З. и Национална здравноосигурителна каса договор за оказване на медицинска помощ в съответствие с чл. 65 от закона за здравно осигуряване, изпълнителните на медицинска помощ са длъжни да предоставят на НЗОК/РЗОК информация за извършената от тях дейност при определените в Националния рамков договор (НРД) условия, ред и обем.
Съгласно чл. 273, ал. 6 от НРД за медицинските дейности за 2018 г., лечебното заведение - изпълнител на болнична медицинска помощ (БМП) събира данните от документа за самоличност на съответното осигурено лице - пациент, както и информация за датата и часа на постъпване и на напускане на лечебното заведение - изпълнител на БМП в клиентската част на информационна система на НЗОК „Регистрационна система на събития по хоспитализация и дехоспитализация“. Съгласно ал. 8 на същата разпоредба информационната система на НЗОК генерира електронен документ, който се подписва от упълномощено лице чрез валидно удостоверение за квалифициран електронен подпис. Това удостоверение съдържа ЕИК на лечебното заведение, наименование, ЕГН и три имена на упълномощеното лице. В изпълнение на своите договорни отношения с НЗОК З.З. регистрира всяко настъпило събитие по хоспитализация и дехоспитализация.
Трудовото правоотношение на жалбоподателката Н.Р. е прекратено със Заповед № *****, считано от 01.10.2018 г. Видно от приложение № 2 - справка от системата Hadis относно изписаните деца на 02.10.2018 г., от името на Н.Р., в качеството и на упълномощено от З.З. лице, е подписан документ, удостоверяващ дехоспитализацията на един пациент с ИЗ № **** поради необходимост от регистриране на здравноосигурителното събитие, настъпило за този пациент.
Обработването на личните данни на жалбоподателката се е осъществило законосъобразно и в съответствие с Регламент (ЕС) 2016/679, за което съгласно т. 4.9 от длъжностната характеристика на жалбоподателката (в съответствие с Правилника за организиране обслужването на пациенти на територията З.З. и по-специално Раздел VПI. Регистрационна система за здравноосигурителни събития: - хоспитализация и дехоспитализация при З.З. в качеството и на служител на З.З. на длъжност „медицински секретар – кодировчик“, познава и работи с „Регистрационната система за здравноосигурителни събития: - хоспитализация: и дехоспитализация“ и регистрира пациенти, чийто прием се финансира от НЗОК. В допълнение на това, съгласно т. 4.9.4 от длъжностната характеристика медицинският секретар – кодировчик, разполага и работи с квалифициран електронен подпис КЕП (тип професионален), удостоверяващ професионалната му обвързаност като регистратор с юридическото лице, което представлява. Събраните данни от регистрацията на здравноосигурителни събития: в приемно-консултативните кабинети (ПКК), както и информацията за датата и часа на прием и изписване от З.З. в клиентската част на информационната система на НЗОК се генерират в електронен документ, който се подписва с КЕП от служител на длъжност ,,медицински секретар – кодировчик“. Съгласно т. 4.9.7 и в съответствие с нормативната уредба, подписаният документ се изпраща незабавно в сървърната част на информационната система, разположена в ЦУ на НЗОК. Съгласно т.5 от Заповед № РД-043/21.04.2015 г. на управителя на З.З. при възникване на необходимост от хоспитализация в друго лечебно заведение на пациент, приет по клинична пътека в З.З., регистрацията на изписването да става чрез избор на опцията „служебна дехоспитализация“, а данните на пациента, които са били записани при хоспитализация да се въвеждат ръчно, както следва: в работни дни в рамките на регламентираното им работно време – от медицински секретар-кодировчик, след работното време на ПКК и в почивни дни – от медицински секретар - кодировчик на разположение чрез достъп до специализирания мобилен интернет.
От изложеното следва, че необходимостта и спешността от регистрацията на здравноосигурителни събития дори налага тези служители да бъдат на разположение в почивните дни и след работното време на болницата.
Съгласно правилника за дейността, устройството и вътрешния ред на Консултативно-диагностичния блок на З.З., лечебното заведение разполага с четири приемно – консултативни кабинета, които работят по определен график, който се изработва от главна медицинска сестра и се утвърждава от управителя на З.З.. ПКК № 1, № 2, № 3 и № 4 се обслужват по график, съгласно определения ред от лекари и медицински секретари – кодировчици. Съгласно т. 2 от Раздел VIII. Регистрационна система за здравноосигурителни събития - хоспитализация и дехоспитализация при З.З. регистрация на здравноосигурителни събития (прием и изписване от З.З.) се извършва в ПКК № 1 и ПКК № 2. На 02.10.2018 г., ПКК № 1 и № 2 са приемали и изписвали пациенти по приложен график. След прекратяването на трудовото правоотношение на Н.Р., считано от 01.10.2018  г., в лечебното заведение е останал само един служител на длъжност ,,медицински секретар - кодировчик“, който разполага с професионален КЕП, за да изпълнява задълженията си.
От приложените графици е видно, че в кабинет ПКК № 2 на 02.10.2018 г. са били дежурни двама служителя с работно време от 07:30 ч. - 15 ч., а именно –  Н.Р. и медицинска сестра (м.с.) М.Ф. Предвид прекратяването на трудовото правоотношение на жалбоподателката, считано от 01.11.2018 г., дежурна в кабинета е останала М.Ф., която към този момент не е разполага с професионален КЕП, с който да регистрира здравноосигурителни събития. От приложеното копие на трудовия ѝ договор се установява, че лицето е започнало работа като ,,медицински секретар­ кодировчик“ на 13.03.2018 г., но поради липсата на достатъчно опит и доказани умения при регистрирането   на      подобен тип събития, служителката е била обучавана за по­ продължителен период, вследствие на което електронен подпис не ѝ е бил издаден към тази дата.
От регистъра на електронните подписи, поддържан от „Борика“ АД в изпълнение на чл. 28, ал. 1 от ЗЕДЕУУ , удостоверението на служителя М.Ф. е издадено на 03.10.2018 г.
Допълнително се разяснява, че дехоспитализацията, извършена в ПКК № 1 е регистрирана в 9:22 ч. - четири минути след хоспитализацията на пациент в ПКК № 2. Двата кабинета се намират в две съседни сгради на болницата (база № 1 и база №2), като приемат деца в различни етапи на физическо развитие (ранна и късна неврорехабилитация). В Правилника за организиране обслужването на пациенти на територията на З.З. е посочено, че ПКК № 1 насочва пациенти за лечение в отделение ранна неврорехабилитация (ОРНР), а ПКК № 2 насочва пациенти за лечение в отделение Късна Рехабилитация (ОКР)
В конкретния случай, професионалният електронен подпис е използван, за да обезпечи изпълнението на нормативно установените задължения на З.З., както и задълженията на лечебното заведение съгласно сключения с НЗОК договор по отношение на конкретния пациент в приемо-консултативния кабинет на болницата. Обработването на личните данни на жалбоподателката е обосновано от необходимостта да бъде защитен непосредствения легитимен интерес на администратора З.З., състоящ се в изпълнението на задълженията му съобразно условията на сключения  договор за оказване на медицинска помощ с НЗОК във връзка с НРД и ЗЗО, с цел предоставянето на здравни услуги на своите пациенти.
В съответствие с указанията и разясненията, предоставени от британския орган за защита на личните данни (ICO) относно преценката за наличие на легитимен интерес, администраторът отчита, че конкретното обработване на лични данни на жалбоподателката се базира върху лични данни, обработвани ежедневно във връзка с изпълнението на задълженията и, възложени във връзка с трудовото и правоотношение, което по никакъв начин не влече неблагоприятни последици в личната и сфера
Изпълнението на задължението на лечебното заведение да предостави информация на НЗОК не е довело до накърняване на правата и интересите на жалбоподателката, нито субектът на данни е претърпял каквито и да е вреди от конкретното обработване. При осъществяването на преценка за наличие на нарушение на ЗЗЛД, молят да бъде отчетена специфичната и неотложна дейност на администратора на лични данни, който предоставя медицински услуги на своите пациенти при стриктно спазване на приложимата нормативна
Молят да бъде отчетено, че удостоверението за електронен подпис с автор Н.Р. е прекратено, считано от 03.10.2018 г. Прекратяването е осъществено въз основа на искане за управление на сертификат, депозирано от З.З. на 03.10.2018 г. и при справка в регистъра на електронни подписи с марка В-Trust, поддържан от „Борика“ АД, се установява, че подписът е прекратен. Обработването на личните данни на жалбоподателката е преустановено, освен по отношение на личните данни, респ. документите, съдържащи лични данни, които доверителят е длъжен да съхранява в съответствие с нормативните си задължения.
В случай, че Комисията приеме, че З.З. е нарушила ЗЗЛД, молят да бъде отчетена малозначителността на нарушението, както и да бъдат взети предвид всички останали елементи, свързани с него (съгласно съображение 148 от Регламент (ЕС) 2016/679): липсата на тежест на нарушението, неговата кратка продължителност, липсата на вредоносен резултат и негативни последици за субекта на данните, предприетите мерки за преустановяването му и др.
В контекста на всичко гореизложено, подчертават, че жалбоподателката - субект на лични данни, не е съхранявала по сигурен начин предоставения ѝ професионален електронен подпис, като е оставила на достъпно за други лица място не само електронното устройство на КЕП-а, но и пин кода, опосредяващ и позволяващ неговата употреба и подписване на електронни изявления от името на лечебното заведение.
Съгласно общите условия на „Борика“ АД, както и указанията, изложени на сайта на доставчика на удостоверителни услуги, авторът е длъжен да съхранява/пази своя ключ през цялото време на действие на сертификата по начин, който го предпазва срещу компрометиране, загуба, разкриване, модифициране и неоторизирано използване. Употребата на професионалния електронен подпис от страна на друго лице би била възможна единствено в случай че жалбоподателят е предоставил доброволно устройството и неговия персонален пин код, или е проявил явна небрежност по отношение на съхранението му.
Като доказателства са приложени: Пълномощно; Извадка от системата HADIS на изписаните деца на 02.10.2018 г.; Справка от публичен регистър на електронни подписи с марка В-Trust, от която се удостоверява, че електронният подпис на Н.Р. е прекратен; Искане за управление на сертификат от 03.10.2018 г.; Удостоверение,        издадено от „БОРИКА” АД относно       прекратяването         на електронния подпис със сериен № **** на 03.10.2018 г.; Длъжностна характеристика на Н.Р. - служител на длъжност ,,медицински секретар-кодировчик”; График на приемно-консултативните кабинети за месец октомври 2018 г. -3 броя; Справка от публичен регистър на електронни подписи с марка B-Trust, от която се установява, че електронният подпис на М.Ф. е издаден и валиден от 03.10.2018 г.; Заповед № РД-043/21.04.2015 г. на управителя на З.З.; Трудов договор № *** на М.Ф.; Трудов договор № *** на М.Д.; Щатно разписание на длъжностите и началните основни заплати към 30.09.2018 г. на З.З.; Правилник за дейността, устройството и вътрешния ред на Консултативно - диагностичния блок на З.З.; Правилник за организиране обслужването на пациенти на територията на З.З.
От НЗОК е постъпило становище, в което е посочено, че подробна информация за начина на работа с регистрационната система е налична на официалната страница на НЗОК в рубрика „Услуги за договорните партньори“, хипервръзка „регистрационната система на събития по хоспитализация и дехоспитализация“(http://hadis.nhif.bg), бутон „ръководства и инструкции). Информацията за регистрационната система по хоспитализация и дехоспитализация е предназначена да обработва и съхранява информация за самоличността на здравноосигурените лица, събрана чрез автоматично снемане на данни от машинночитаем личен документ при постъпване и изписване на здравноосигурените лица от лечебното заведение, изпълнител на болнична помощ, сключило договор с НЗОК, респективно с РЗОК.
С писмо изх. № ППН-01-808(18)#11/16.04.2-19 г. Комисията е изискала от З.З. допълнителна информация за периода, през който г-жа Н.Р. е била в платен годишен отпуск, удостоверено със съответната заповед и екранни разпечатки от системата, която се използва от З.З. за хоспитализация и дехоспитализация на пациенти, за периода от 03.09.3018 г. до 02.10.2018 г., включително. Информацията е предоставена с писмо рег. № ППН-01-808#12(18)/18.04.2019  г.
Жалбата на Н.Р. е съобразена в цялост с изискванията за редовност, съгласно чл. 30, ал. 1 от Правилник за дейността на Комисията за защита на личните данни и нейната администрация (ПДКЗЛДНА), а именно: налице са данни за жалбоподателя, естеството на искането, дата и подпис.
Предвидените в чл. 38, ал. 1 от ЗЗЛД срокове са спазени, предвид разпоредбата на пар.44, ал. 2 от Преходните и заключителни разпоредби към закона за изменение на ЗЗЛД.
В чл. 27, ал. 2 от АПК законодателят обвързва преценката за допустимост на искането с наличие на посочените в текста изисквания. Компетентността на Комисията при разглеждане на жалби е свързана със защитата на физическите лица във връзка с обработването на техните лични данни от лица, имащи качеството „администратори на лични данни” по смисъла на чл. 4, т. 7 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД, GDPR).
На проведено на 24.04.2019 г. заседание на Комисията жалбата е приета за процесуално допустима и като страни в административното производство са конституирани: жалбоподател Н.Р., ответна страна З.З. в качеството на администратор на лични данни и заинтересована страна - НЗОК. Страните са редовно уведомени за насроченото за 26.06.2019 г. заседание на Комисията за разглеждане на жалбата по същество.
Съгласно чл. 10, ал. 1 от Закона за защита на личните данни във връзка с чл. 57, § 1, б. „е“ от Регламента и чл. 38, ал. 3 от Закона за защита на личните данни Комисията за защита на личните данни разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по ЗЗЛД, както и жалби на трети лица във връзка с правата им по този закон.
Жалбата е насочена срещу неправомерно употреба на личните данни на Н.Р..
По същество жалбата е основателна.
Съгласно определението по член 4, точка 1 от Регламента „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“), е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
По административната преписка не е спорно, че от З.З. е поискано издаване на електронният подпис на физическото лице – Н.Р., в който са обективирани личните данни на жалбоподателката, в обем три имена е единен гражданки номер. Електронният подпис е използван от З.З. за хоспитализиране и дехоспитализиране на лица, в период, в който г-жа Н.Р. е била в платен годишен отпуск, както и един ден след като е било прекратено трудовото правоотношение между З.З. и жалбоподателката. По преписката е приложена заповед № ***, подписана от управителя на З.З., от която е видно, че се разрешава на г-жа Н.Р. отпуск за периода от 03.09.2018 г. до 30.09.2018 г. вкл. приложени са и екранни разпечатки от системата, която се ползва от З.З. З.З., от които е видно, че за периода от 03.09.2018 г. до 02.10.2018 г., в колоната регистратор, фигурира единствено името на г-жа Н.Р.. От З.З> не е посочено, че по някаква причина е прекъснат отпускът на г-жа Н.Р..
На проведеното открито заседание на 26.06.2019 г. пред комисията, процесуалния представител на З.З. е заявил, че към датата на подаване на жалбата не е била въведена процедура в З.З., за заличаване професионалните електронни подписи при напускане на съответните лица, които имат такъв служебен електронен подпис, но дни след това вече този пропуск е преодолян и към настоящия момент има такава процедура и в деня на прекратяване на трудовото правоотношение веднага управителят на З.З. изпраща заявление, с което изисква прекратяване на квалифицирания професионален електронен подпис на това лице.
По преписката не е спорно, че между З.З. и НЗОК са налице договорни правоотношения.
Твърденията обаче за законосъобразно обработване на личните данни на г-жа Н.Р. на основание „легитимен интерес“ на З.З. не следва да бъдат кредитирани. За да е налице това основание за обработване на лични данни, а именно чл. 6, пар. 1, б. „е“ от Регламент (ЕС) 679/2016, съгласно насоките, дадени от Работна група 29, администраторът следва да направи тест за търсения баланс между неговите легитимни интереси и интересите или правата и свободите на субектите на данни, като тестът за баланс се прави преди да започне обработването на данни. Следва също така да бъде доказано, че легитимният интерес има преимущество пред интересите и правата и свободите на субекта на данни. В конкретния случай легитимният интерес няма преимущество пред правата и интересите на жалбоподателката, не са предоставени и доказателства, от които да е видно, че от З.З. е направен теста за баланса между интересите, т. е не може да се обоснове това основание за обработване на личните данни на жалбодателката.
Не се кредитират изложените твърдения за небрежно съхранение от страна на жалбоподателката на електронното устройство на КЕП и пин кода. От една страна следва да се посочи, че от предоставения правилник за дейността, устройството и вътрешния ред на Консултативно – диагностичния блок на З.З. и правилник за организиране обслужването на пациентите на територията на З.З. няма записани правила, от които да е видно при отсъствие на служител който има КЕП, къде и по какъв начин се съхранява КЕП – а. От друга страна не са предоставени данни от З.З., от които да е видно, че човек ползващ отпуск да има достъп до системата Hadis, както и възможност за извършване на операции по хоспитализация и дехоспитализация в този период. Напротив, в становището на З.З. е посочено, че „необходимостта и спешността от регистрация на здравноосигурителни събития дори налага тези служители да бъдат на разположение“.
По отношение на наведените твърдения в писменото становище, депозирано от З.З. с рег. № ППН-01-808#6/09.11.2018 г., следва да бъде уточнено.
Не е спорно, че титуляр на електронните изявления е З.З. Съгласно разпоредбата на чл. 4 от Закона за електронния документ и електронните удостоверителни услуги, „автор“ на електронното изявление е физическото лице, което в изявлението се сочи като негов извършител. „Титуляр“ на електронното изявление е лицето, от името на което е извършено електронното изявление. Предвид което „авторът“ на електронното изявление е лицето, което фактически го извършва, „автор“ може да бъде само физическо лице. Юридическото лице няма собствена психическа дейност и не може да формира воля. „Титулярят“ на изявлението е обвързан с правните последици, защото изявлението се извършва от негово име. Правоотношенията между „автора“ и „титуляря“ може да почиват на различни правни основания. За разлика от „автора“, „титулярят“ може да бъде както физическо лице, така и юридическо лице. Именно той – „титулярят“, а не „авторът“ черпи права и поема задължения по него, т. е в неговата правна сфера настъпват правните последици.
От изложеното следва, че не може да се използва електронен подпис, било то служебен, след като е персонифициран, от друго лице, което замества титуляра.
Предвид изложеното следва, че от страна на З.З. са обработени личните данни на жалбоподателката в нарушение на принципът разписан в разпоредбата на чл. 5, пар. 1, б. „а“ от Регламента, а именно личните данни да се обработват законосъобразно, без наличие на което и да е от условията за законосъобразно обработване на лични данни, посочени с разпоредбата на чл. 6, § 1, букви от „а“ – „е“ от Регламент (ЕС) 2016/679.
По отношение на изложените мотиви за основателност на жалбата е изразено особено мнение от г-н Софрониев, член на Комисията. Аргументирано е, че няма нарушение нито на Общия регламент, нито на Закона за защита на личните данни. Счита, че ответната страна има четири основания да употреби този електронен подпис един ден след напускането на жалбоподателката. И те са в чл. 6, § 1, букви „в“, „г“, „д“ и „е“, а именно, че обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора. В случая има дехоспитализация на дете и то трябва да бъде изписано, независимо дали предния ден е напуснала или не е напуснала жалбоподателката.
На следващо място обработването е необходимо, за да бъдат защитени жизнено важни интереси на друго физическо лице – в случая дете, което се дехоспитализира със съответната диагноза от З.З.
На следващо място обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия – в случая е второто, които са предоставени на администратора, т.е. З.З.
И на четвърто място, обработването е необходимо за целите на легитимните интереси на администратора. Още повече за публични органи при изпълнение на техните задачи.
Този персонален електронен подпис е издаден на лицето в кръга на неговите служебни задължения и е използван при упражняването на тези служебни задължения от същата длъжност, макар и от друго лице, което е замествало напусналото лице само няколко дни преди това, така че не смята, че за една дехоспитализация на дете толкова много са защитени личните данни на жалбоподателя, които в крайна сметка са само три имена.
При определяне на най-подходяща корективна мярка за извършеното нарушение от администратора З.З., следва да се има предвид следното:
Няма данни за претърпени вреди от страна на г-жа Н.Р., предприети са последващи действия от страна на З.З., нарушението е първо за администратора, данните от системата Hadis са предоставени на друг държавен орган – НЗОК, който вече разполага с тях.
Предвид гореизложеното и съгласно разпоредбата на чл. 9, ал. 3 от ЗЗЛД при така изнесените обстоятелства по-целесъобразно е налагането на корективното правомощие, посочено в чл. 58, пар. 2, б. „г” от Регламента.
Предвид гореизложеното и на основание чл. 57, § 1, б. „е“ от Регламента, съответно чл. 10, ал. 1, във връзка с чл. 38, ал. 3 от Закона за защита на личните данни, Комисията се произнесе със следното
РЕШЕНИЕ:
1. Обявява жалба с рег. № ППН-01-808/02.10.2018 г., подадена от Н.Р. срещу здравно заведение, за основателна за нарушение на разпоредбата на чл. 5, пар. 1, б. „а“ от Регламент (ЕС) 2016/679.
2. Във връзка с т. 1 и на основание чл. 58, § 2, буква „г“ от Регламент (ЕС) 2016/679 разпорежда на здравното заведение да съобрази операциите по обработване на личните данни с разпоредбите на Регламента, като организира достъпа и употребата на КЕП  на всеки служител по начин непозволяващ употреба на КЕП и парола от лице, различно от това, на което принадлежат последните, в едномесечен срок от влизане в сила на решението, след което администраторът следва да уведоми Комисията с предоставянето на съответните доказателства.
Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд – София – град.

 

   ПРЕДСЕДАТЕЛ: ЧЛЕНОВЕ:
     Венцислав Караджов /п/
            Цанко Цолов /п/
       O.M. Цветелин Софрониев /п/
                Мария Матева /п/

 


Файлове за сваляне

Решение по жалба с рег. № ППН-01-808/02.10.2018 г.


Комисия за защита на личните данни, София 1592, бул. „Проф. Цветан Лазаров” № 2
Cookie Settings