Кои жалби за неправомерно разкриване на лични данни включи КЗЛД в отчета си?

В документа са разказани 5 специфични казуси, постъпили или разгледани през 2019 г.

Годишен отчет на Комисията за защита на личните данни за дейността ѝ през 2019 г.:

  1. Специфични казуси и практика на КЗЛД

Що се касае за специфични казуси по жалби, постъпили или разгледани през отчетния период, могат да се посочат следните случаи:

3.1. КЗЛД е сезирана с жалба с предмет нарушение на лични данни чрез публикуване на статии на сайтовете на две електронни медии, в които се съдържат двете имена и снимка на жалбоподателя, последната свалена от популярна социална мрежа. Темата на публикациите е извършен арест на обвиняем в убийство. В жалбата е посочено, че е налице съвпадение в собственото и фамилното име на лицето, обвинено в извършването на тези престъпления, и собственото и фамилното име на жалбоподателя, като обаче последният е различно лице, което няма нищо общо с престъпленията или повдигнатото обвинение.

В хода на административното производство на администраторите е предоставена възможност за изразяване на становище по случая. КЗЛД е изискала информация и от Националната следствена служба, откъдето е постъпил отговор, че жалбоподателят пред КЗЛД не е идентично лице с лицето, на което е предявено обвинение, наложена е мярка за неотклонение „Задържане под стража“ и срещу което е внесен обвинителен акт.

Предвид събрания по преписката доказателствен материал КЗЛД се е произнесла с решение за основателност на жалбата. Ангажирана е административнонаказателната отговорност на медиите за незаконосъобразно обработване на личните данни на жалбоподателя в нарушение на чл. 25з, ал. 1 и 2 от ЗЗЛД и нарушение на чл. 5, §1, буква „г“ от ОРЗД, а именно обработване на лични данни в нарушение на принципа на „точност“. С оглед тежестта на нарушението на медиите са наложени имуществени санкции в размер съответно на 5 000 лв. и 20 000 лв., като при определяне на размера на санкциите като смекчаващо обстоятелство по отношение на първата медия е взето предвид, че след сезиране на КЗЛД нарушението е преустановено. Предвид пасивното поведение на втората медия и обстоятелството, че не са предприети мерки за преустановяване на нарушението на същата, освен санкцията в размер на 20 000 лв. е издадено и разпореждане за изтриване на данните, които се отнасят за жалбоподателя, а именно лицево изображение.

3.2. КЗЛД е сезирана с жалба срещу администратор на лични данни, като по същество твърденията на жалбоподателката се отнасят до осъществяван от администратора директен маркетинг. Жалбоподателката е посочила, че в продължение на шест месеца над нея се упражнява „психически тормоз“ чрез позвънявания от служители на дружеството и получаване на електронни съобщения. След блокиране на телефона, от който получавала позвъняванията, започнала да получава рекламни брошури на личния адрес. Изпратила имейл до дружеството, за да бъде прекратено изпращането на рекламни съобщения и позвънявания, на който отговор не получила.

По административната преписка е установено, че съгласието на жалбоподателката за получаване на рекламни съобщения е оттеглено. В хода на административното производство от администратора са наведени твърдения, че процедурата по оттегляне на съгласието на жалбоподателката е извършена ненадлежно, предвид факта че имейлът, изпратен от жалбоподателката с искане за прекратяване на маркетингова комуникация е изпратен на официалния имейл на дружеството вместо на посочения в политиките за поверителност и изрично обозначен като имейл, на който е възможно да бъде оттеглено съгласието.

При произнасянето си по същество на спора КЗЛД е взела предвид, че и двата имейл адреса се използват от дружеството, както и че не е оспорен фактът, че имейлът на жалбоподателката с искане за прекратяване на маркетингова комуникация е получен от дружеството, но въпреки това обработването на личните ѝ данни за целите на директен маркетинг не е преустановено. За допуснатото нарушение е ангажирана административнонаказателната отговорност на дружеството и на същото е наложена санкция в размер на 1500 лв.

3.3. КЗЛД е сезирана с жалба срещу болнично заведение. Жалбоподателката е посочила, че в болницата е назначена на длъжност „медицински секретар – кодировчик“ и че на 1.10.2018 г. от болницата едностранно е прекратено трудовото ѝ правоотношение. Посочила е, че предвид длъжността, която е изпълнявала, има издаден електронен подпис с нейното име и лични данни, с който електронен подпис работи в системата HADIS на Националната здравноосигурителна каса (НЗОК). Твърди, че в периода от 3.09.2018 г. до 2.10.2018 г. от болницата са злоупотребили с личните ѝ данни чрез използване на електронния подпис чрез системата HADIS, като в този период е била в платен годишен отпуск, както и че процесният електронен подпис е използван и след прекратяване на правоотношението от болницата за изписване на пациенти.

В хода на административното производство е установено, че електронният подпис, издаден от болницата на жалбоподателката в качеството ѝ на медицински секретар – кодировчик, за изпълнение на служебните ѝ задължения, действително е използван от болницата от лица, различни от жалбоподателката, което се явява нарушение на правилата, разписани в ЗЗЛД, тъй като не може да се използва електронен подпис, било то служебен, след като е персонифициран, от друго лице, което замества титуляря. Установено е, че от страна на болницата са обработени личните данни на жалбоподателката в нарушение на принципа, разписан в разпоредбата на чл. 5, §1, б. „а“ от Регламент (ЕС) 2016/679.

На база фактите и доказателствата КЗЛД на основание чл. 58, §2, буква „г“ от Регламент (ЕС) 2016/679 е издала разпореждане болничното заведение да съобрази операциите по обработване на личните данни с разпоредбите на Регламента, като организира достъпа и употребата на КЕП на всеки служител по начин, непозволяващ употреба на КЕП и парола от лице, различно от това, на което принадлежат последните.

3.4. КЗЛД е сезирана с жалба, в която се сочи, че жалбоподателят е получил заповед за изпълнение на парично задължение по чл. 410 от Гражданския процесуален кодекс (ГПК), от което разбрал, че дружеството – професионален домоуправител, е използвало личните му данни без негово разрешение и съгласие в нарушение на Регламент (ЕС) 2016/679. Жалбоподателят декларира, че не се е подписвал и не е давал съгласието личните му данни да бъдат обработвани за тази цел. Смята, че са нарушени правата му, предоставени от ЗЗЛД. Към жалбата е приложено копие на Заповед за изпълнение на парично задължение по чл. 410 от ГПК, от което е видно, че заявител е етажната собственост по местоживеене на жалбоподателя, представлявана от дружеството – професионален домоуправител. Като основание е посочено, че вземането произтича от неизпълнение на парични задължения по незаплатени вноски за управление и поддръжка на етажната собственост на основание Договор за услуга и Протокол от Общо събрание на ЕС.

Въз основа на тези факти КЗЛД е приела, че жалбата е редовна и допустима, но е очевидно неоснователна предвид следното:

Обработването на лични данни от администратори на лични данни както в публичната, така и в частната сфера е законосъобразно и допустимо, ако е налице някое от правните основания, изчерпателно изброени в чл. 6, §1 от Регламент (ЕС) 2016/679. Съгласието по буква „а” е едно от основанията за събиране и обработване на лични данни. Независимо от факта, че то е посочено на първо място, всички правни основания са алтернативни и равнопоставени, като същите не са подредени в йерархична зависимост. Наличието на което и да е от тях прави обработването законосъобразно, при условие че са спазени и другите изисквания на регламента.

В чл. 38, ал. 2 от Закона за управление на етажната собственост (ЗУЕС) изрично е предвидена възможността, когато собственик, ползвател или обитател не изпълни решение в определения срок, председателят на управителния съвет (управителят) да може да подаде заявление за издаване на заповед за изпълнение по реда на чл. 410, ал. 1, т. 1 от Гражданския процесуален кодекс. Администраторът е обработил законосъобразно личните данни на жалбоподателя на основание чл. 6, §1, буква „в” от Регламент (ЕС) 2016/679 – за изпълнение на задълженията си по ЗУЕС, при което изискването на изрично съгласие от субекта на данни не е необходимо.

3.5. Предмет на разглеждане от страна на КЗЛД е и жалба, насочена срещу частен съдебен изпълнител. Лицето, сезирало КЗЛД, твърди, че са нарушени правото му на достъп до лични данни и произтичащите от това задължения за администратора – ЧСИ.

По преписката безспорно е установено, че жалбоподателят надлежно е упражнил правата си по Регламент С 2016/679 – подал е заявление, с което е изискал да му предоставят запис от видеонаблюдението, осъществявано в кантората на ЧСИ, което е получено от администратора. Мотивиран отговор на заявлението липсва, същият се ограничава до резолюция „Без уважение!“, поставена върху заявлението. Заявлението е редовно и получаването му поражда задължения за администратора, до когото е отправено и от когото е получено, а именно „предоставя на субекта на данни информация относно действията, предприети във връзка с искането, без ненужно забавяне…“ (чл. 12, ал. 3 от Регламента), респективно „ако администраторът не предприеме действия по искането на субекта на данните, администраторът уведомява субекта на данните без забавяне и най-късно в срок до един месец от получаване на искането за причините да не предприеме съответните действия“ (чл. 12, ал. 4 от Регламента). В конкретния случай и въпреки надлежно сезиране със заявление за достъп до лични данни администраторът не е изпълнил задължението си по чл. 12, ал. 4 от Регламента в условията на отказ от предоставяне на личните данни – запис от видеонаблюдението, да уведоми подателя за причините за отказа в законоустановения месечен срок, като лисват доказателства, а и твърдение за необходимостта от удължаването му. КЗЛД е приела, че поставената на заявлението резолюция „Без уважение!“ свидетелства за отказа на администратора да предприеме исканите от субекта действия, но не и на задължението му да мотивира същия, задължение, което има по силата на Регламента, неизпълнението на което е довело до нарушение на правата на лицето, сезирало КЗЛД. С оглед характера и вида на констатираното нарушение и обстоятелството, че същото е довършено и е неотстранимо, КЗЛД е наложила глоба на администратора в размер на 3 500 лв.

 

Можете да споделите: