Неделна разходка 21

Продължавам всяка неделя да разказвам за смешни истории, свързани със социалните мрежи, GDPR и сигурността на личните данни в интернет. Днес наваксвам пропуснатото заради обиколката по сайтовете на кандидат-евродепутатите през изминалата седмица.

Докато обикалях сайтовете на партии, коалиции и независими кандидати КЗЛД публикува месечния си бюлетин. Най-много ме впечатли Решение № Ж -249/2017 от 26.03.2019 г. на комисията. Ще разкажа за него днес, въпреки че то разказва по-скоро тъжна история, отколкото смешна.

Д. Д. пише до КЗЛД, че получил уведомително писмо от Административен съд Плевен, че е подписал договор с някакво дружество при заплата 2 200 лв. Заявява, че е в затвора от 23.05.2003 г. и оттогава не е излизал на свобода. В жалбата се допълва, че 70% от лишените от свобода нямат лични карти и влизат в затвора без документи. От съда направили проверка в НАП, че е сключил договор със заплата, но не са обърнали внимание, че е в затвора от 2003 г. и са поискали държавната такса, за да гледат делото му.

Жалбоподателят моли Комисията да вземе необходимите мерки лишените от свобода да бъдат защитени, както всички човешки същества. Заявява, че не може без да е излизал на свобода да има регистриран трудов договор.

Комисията попитала Национална агенция за приходите (НАП) дали в регистрите има постъпило уведомление по реда на чл. 62, ал. 5 от Кодекса на труда (КТ). НАП отговорила, че за жалбоподателя има подадено уведомление от „А.Р.” ЕООД за сключен трудов договор на 01.08.2016 г.

Комисията установява, че „А.Р.” ЕООД е обработило лични данните на жалбоподателя в обем три имена и единен граждански номер, като е подало в НАП уведомление на основание чл. 62, ал. 5 от КТ за сключен на 01.08.2016 г. трудов договор с жалбоподателя, който е прекратен на 01.07.2017 г. Твърденията на жалбоподателя, че личните му данни са обработени от администратора без негово знание и съгласие за целите на регистрирането в НАП на трудов договор, не са оспорени от ответната страна и не са представени доказателства за реалното сключване на договора. Изводите за липса на сключен договор се потвърждават и от представената от Главна дирекция „Изпълнение на наказанията” справка, че към момента на уведомяването на НАП жалбоподателят е изтърпявал наказание лишаване от свобода, не е пускан в домашен отпуск и не му е предоставян документ за самоличност по време на престоя си в затвора в гр. Белене. В чл. 4, ал. 1 от ЗЗЛД, приложим към момента на извършване на твърдяното нарушение, са определени условията, при наличието на които е допустимо обработването на лични данни.

Законодателят е възприел, че обработването на лични данни на физическите лица, следва да се извършва при наличието на поне едно от тези условия, което е предпоставка за законосъобразност на обработването. Отчитайки чл. 142, ал. 1 от АПК, условията за допустимост на обработването по чл. 4, ал. 1 ЗЗЛД са идентични с тези по чл. 6, параграф 1 от Регламент 2016/679, които са приложими към момента на произнасяне на надзорния орган. В този смисъл не е отпаднала отговорността на администратора да обработва личните данни на физически лица при наличие на основание.

С оглед обстоятелството, че не са представени доказателства за действителното съществуване на регистрирания в НАП трудов договор, се налага извод, че не е налице съгласие като условие за допустимост на обработването на лични данни по чл. 4, ал. 1, т. 2 ЗЗЛД. Не е доказано и посоченото в чл. 4, ал. 1, т. 1 от ЗЗЛД нормативно установено по чл. 63, ал. 3 КТ задължение за дружеството-работодател, каквото качество в случая не е доказано да притежават „А.Р.” ЕООД по отношение на г-н Д.Д. Не е налице нито едно от останалите условия за допустимост на обработването, посочени в чл. 4, ал. 1, т. 3, 4, 5, 6 и 7 от ЗЗЛД. Съответно не са налице и основанията, посочени в чл. 6, параграф 1 от Регламент 2016/679.

В конкретния случай Комисията намира, че с оглед характера и тежестта на нарушението най-целесъобразно е налагане на имуществена санкция на администратора „А.Р.” ЕООД в размер, близък до минималния. Съображенията за това в съответствие с чл. 83, параграф 2 от Регламента са следните:

Утежняващи обстоятелства – от нарушението е засегнат един субект на данни, но за него са възникнали конкретни вреди – лицето не е освободено от държавна такса при заведено дело в Административен съд Плевен, тъй като има регистриран трудов договор, по който получава доход.

Самото нарушение е продължило цели 11 месеца и при извършването му е засегнат и националния идентификационен номер (ЕГН), който подлежи на специална закрила. Надзорният орган е узнал за нарушението от жалбоподателя, а администраторът не съдейства на Комисията при осъществяването на контролните ѝ правомощия, което води до невъзможност да се направи преценка за предприетите от дружеството технически и организационни мерки.

Като смекчаващи обстоятелства се приема, че администраторът е предприел действия за отстраняване на нарушението преди да бъде уведомен за образуваното пред КЗЛД производство. Не са установени предишни нарушения от „А.Р.” ЕООД, съответно не са налагани корективни правомощия по чл. 58, параграф 2 от Регламента.

Обстоятелства, които не са относими към настоящия случай: дали нарушението е извършено умишлено или по небрежност – администраторът е юридическо лице, което не формира вина. Към момента на обработването не са налице одобрени кодекси за поведение.

Комисията за защита на личните данни, като взе предвид фактите и обстоятелствата, изнесени в настоящето административно производство, и на основание чл. 58, параграф 2 от Регламент 2016/679,

РЕШИ:

  1. Обявява за основателна жалба рег. № Ж -249/07.06.2017 г., подадена от Д.Д. срещу „А.Р.” ЕООД;
  2. На основание чл. 58, параграф 2, буква „и” във връзка с чл. 83, параграф 5, буква „а” от Регламент 2016/679 налага на администратора на лични данни „А.Р.” ЕООД с ЕИК *****, със седалище и адрес на управление гр. *****, административно наказание имуществена санкция в размер на 10 000 (десет хиляди) лева, за нарушаване на чл. 6, параграф 1 от Регламент 2016/679.
Можете да споделите: