КЗЛД глоби НОИ с 5000 лева заради служител, гледал лични данни на бивша съпруга

Личен мотив, а не служебно задължение, става причина за неоторизирания достъп до регистрите на института

В решение на Комисията за защита на личните данни, публикувано на сайта й, се казва, че липсата на мерки от страна на Националния осигурителен институт, в това число по превантивен и текущ контрол, относно достъпа на служители на НОИ до лични данни на физическите лица в регистрите, поддържани от администратора, са довели до осъществения по електронен път на 29.11.2016 г. неправомерен достъп до лични данни на жалбоподателя от И.Т. – служител на ТД на НОИ София – град, същият в резултат от неизпълнението на вмененото на администратора на лични данни задължение за предприемане на технически и организационни мерки. От последните и от направената служебна проверка не е установено справката и достъпа до лични данни на жалбоподателката да са в изпълнение на служебните задължения на г-жа И.Т., за която по твърдения на жалбоподателката е налице не служебен, а личен мотив за достъп до данните свързан с отношения на г-жа И.Т. с бившия съпруг на жалбоподателката.

Предвид характера и вида на констатираното нарушение и обстоятелството, че същото е довършено и не е първо за администратора на лични данни, Комисията налага имуществена санкция на администратора НОИ за нарушение на чл. 23 от ЗЗЛД, респективно чл. 25 от Регламента, като счита, че същата ще има предупредително и възпиращо действие и ще допринесе за спазване от страна на администратора на установения правов ред. Като освен чисто санкционна мярка, реакция на държавата към извършеното нарушение на нормативно установените правила, имуществената санкция има и дисциплиниращо действие, пише в решението. Като утежняващо обстоятелство е отчетен и фактът, че информацията, съдържаща се в базата данни на НОИ, е в голям обем и съдържа данни освен за три имена, адрес и ЕГН, така и специална категория лични данни свързани с осигурителните права на лицето.

Обстоятелствата по чл. 83, ал. 2, буква „б“ и „и“ от Регламента са неотносими доколкото се касае за администратор – юридическо лице, което не формира вина, а към момента на извършване на нарушението одобрени кодекси за поведение, респективно одобрени механизми за сертифициране не са въведени.

Водима от горното и на основание чл. 38, ал. 3 от ЗЗЛД, Комисията за защита на личните данни,

РЕШИ:

  1. Обявява жалби № ППН-01-71/06.02.2018 г. и № ППН-01-84/12.02.2018 г., подадени от П.Д. срещу Националния осигурителен институт, за основателни.
  2. На основание чл. 83, § 4, буква „а“ във връзка с чл. 58, § 2, буква „и“ от Регламент ЕС 679/2016 налага на НОИ административно наказание – имуществена санкция в размер на 5 000 лв. (пет хиляди лева) за обработване на личните данни на жалбоподателката в нарушение на чл. 23, ал. 1 от ЗЗЛД (отменен), респективно чл. 25, ал. 1 от Регламент ЕС 2016/679.
Можете да споделите: