ВАС потвърди глоба на банка заради негодно съгласие за обработване на лични данни

Върховният административен съд  потвърди глобата, наложена от Комисията за защита на личните данни на банка, заради предоставяне на личните данни на фирма за събиране на вземания без изрично съгласие на клиента.

КЗЛД публикува на сайта си решение ВАС № 6566, с което отменя решение на Административен съд София-град и отхвърля жалбата на банка срещу решение № Ж-659/2016 от 27.06.2017 г. на Комисия за защита на личните данни.  Производството пред КЗЛД е започнало по жалба от И. П. от 24.10.2016 г. за неправомерно предоставяне/обработка на личните му данни. С решение № Ж-659/2016 г. от 27.06.2017 г. КЗЛД е наложила на банката имуществена санкция в размер на 10 000 лв. на основание чл. 42, ал. 1 от Закона за защита на личните данни /ЗЗЛД/ за нарушение на чл. 4, ал. 1, т. 2 с. з. В мотивите на решението на КЗЛД е посочено, че в чл. 47.3 от предоставените от банката Общи условия (ОУ), е посочена хипотеза за предоставяне на личните данни на кредитни бюра, с цел събиране на вземания. В индивидуалния договор за кредитна линия от 06.07.2007 г. липсва клауза, уреждаща съгласието на физическото лице за предоставяне на личните му данни на трето лице. В чл. 29.1 от договора за кредитна линия, кредитополучателят недвусмислено се съгласява с ОУ, в които съществува клауза, касаеща съгласието на физическите лица при предоставяне на личните им данни. Но с клауза в ОУ не е възможно администраторът да получи съгласие на физическото лице за обработване на лични данни и то да отговаря в пълнота на легалното определение съдържащо се в § 1, т. 13 ДР на ЗЗЛД. Този извод на административния орган е правилен, смята ВАС. Неправилно Административният съд в София е приел, че подписвайки индивидуалния си договор, при връчени ОУ, кредитополучателят, в случай П., се е съгласил личните му данни са бъдат предоставени на трети лица.

ЗЗЛД, в относимата му редакция – ДВ бр. 81 от 14.10.2016 г., в чл. 4, ал. 1, т. 1 – 7 посочва кога е допустимо обработването на личните данни на едно лице. § 1, т. 1 от ДР предвижда, че „Обработване на лични данни“ е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.

В случая спорът се свежда до това законосъобразно ли банката е предоставила личните данни на лице, неин клиент, на трето лице, за събиране на вземане на банката от това лице. Няма спор, че банката и третото лице ЕЕДК  ООД са администратори на лични данни и, че между тях има сключен договор – от 12.11.2014 г., по силата на които банката, в качеството на възложител възлага, а ЕЕДК ООД, в качеството на изпълнител приема, да извършва извънсъдебни действия за подпомагане на възложителя при събиране на вземанията му от негови длъжници. Разпоредбите на чл. 4, ал. 1, т. 2 ЗЗЛД, и на чл.7, б. „а“ от Директива 95/46/ ЕО на Европейския парламент и на Съвета от 24.10.1995 г. за защита на физическите лица при обработване на лични данни и за движение на тези данни, изискват изрично, недвусмислено и информирано съгласие на физическото лице, предоставило своите данни на администратор на лични данни, за всяко предоставяне на данните му на трето лице. То следва да е предварително информирано от администратора за това по какъв повод и с каква цел ще се предоставят данните му на третото лице, за да може да извърши информирана преценка и да даде съгласие или да откаже. От това следва, че за всеки конкретен случай е необходимо изрично съгласие на физическото лице. Според §1, т. 13 ДР на ЗЗЛД „Съгласие на физическото лице“ е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани. ЗЗЛД в § 1, т. 11 дава легално определение на понятието „Трето лице“ – физическо или юридическо лице, орган на държавна власт или на местно самоуправление, различен от физическото лице, за което се отнасят данните, от администратора на лични данни, от обработващия лични данни и от лицата, които под прякото ръководство на администратора или обработващия имат право да обработват лични данни.

ВАС Посочва, че в случая, както правилно е приела и КЗЛД изразеното в индивидуалния договор съгласие с ОУ на банката не означава даване на свободно изразено, конкретно и информирано волеизявление за съгласие данните да се обработват от трето лице. Вярно е, че в чл. 29, ал. 1 от договора за кредитна линия сключен между банката и И. П. на 06.07.2007г. е предвидено, че неразделна част от договора са ОУ на банката, като с полагане на подпис под този договор клиентът потвърждава, че ОУ са му предадени и ги приема. Вярно е, че в ОУ, в чл. 47, т. 4 е предвидено, че на основание ЗЗЛД с подписването на Молбата и Договора за банкова карта картодържателят дава съгласие банката да предоставя лични данни на обработващ данните, с цел предоставяне на извлечение или осъществяване на контакт в случай на просрочие на задълженията на картодържтеля. Но така даденото съгласие за обработването на личните данни не може да се приеме, че отговаря на законовите изисквания, доколкото посоченото в ОУ е много общо и не дава възможност на лицето, към момента на подписването на договора информирано да даде или да откаже да даде съгласие за обработване на данните му от трето лице. Следователно при настъпване на факти, обуславящи необходимостта от предоставяне на лични данни, предвид цитираните по-горе разпоредби е необходимо заявено изрично съгласие на физическото лице за всеки конкретен случай, като съгласие в настоящия казус не се установява да е давано от И. П. Съгласието на лицето с ОУ не може да се приеме за свободно изразено съгласие, тъй като липсва механизъм, чрез който лицето да подписвайки договора да изрази само несъгласие личните му данни да се предоставят на трети лица. Липсата на такава уредба означава, че лицата са принудени да дават съгласието си за обработка, само по силата на задължението да приемат ОУ, което противоречи на целта на закона, личните данни да се обработват само от оторизирани лица при нормативно установените условия и цели“, се посочва в решението.