Неделна разходка 39: Семейство разбира от възложена ревизия на НАП, че получават парични преводи

Подават жалба в Комисията за защита на личните данни и откриват измамница, теглила суми 7 пъти в рамките на 3 месеца

И.С. подава жалба до Комисията за защита на личните данни от свое име и от името на съпругата си Т.С., в която са изложени твърдения за неправомерно обработване на личните им данни от „Е.Е.“ ЕООД във връзка с получавани и изпращани пратки с наложен платеж, без да са клиенти на дружеството и без да са ползвали услугите му или да са представяли личните си данни на същото. В Решението на КЗЛД пише: „жалбоподателите информират, че са узнали за нарушението на 22.02.2019 г. при връчени им от НАП покани във връзка с извършвани спрямо тях ревизии о тносноданъчни задължения касаещи недекларирани доходи от получавани и изпращани, посредством дружеството, пратки с наложен платеж. Твърдят, че е налице злоупотреба с личните им данни и същите се обработват от дружеството без правно основание. В допълнение жалбоподателят И.С. сочи, че в периода на предоставяне на услугите е бил в болнично заведение, за престоя в което представя заверено копие на две епикриза. По отношение на съпругата си посочва, че е инвалид с 98% степен на увреждане, за което представя копие на Експертно решение № ****, и е в обективна невъзможност лично да получава и/или подава пратки в офис на дружеството. Твърдят, че в резултат на нарушението са им нанесени нематериални вреди свързани с безпокойство и притеснения и молят Комисията да ангажира административно-наказателната отговорност на дружеството.

Към жалбата са приложени относими доказателства.

В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, от „Е.Е.“ ЕООД са изискани относими по случая доказателства, предоставена е и възможност за изразяване на писмено становище по изложените в жалбата твърдения.

В отговор ППН-01-368#2/25.04.2019 г. от „Е.Е.“ ЕООД информират, че в базата данни на „Е.Е.“ ЕООД няма налична информация за жалбоподателката. Сочат, че дружеството обработва лични данни на жалбоподателя г-н И.С. и уточняват, че по случая тече вътрешно разследване, след приключване на което ще информират КЗЛД.

В хода на производството и с писмо ППН-01-368#3/14.04.2019 г. от „Е.Е.“ ЕООД информират, че в базата данни на дружеството лицето И.С. фигурира като клиент с клиентски картон създаден на 27.11.2017 г. в 11:22:26 часа през онлайн платформа с регистрация на „Е.Е.“ ЕООД, а именно ****. Допълват, че посочените данни – имена и телефонен номер са предоставени от лицето създало регистрацията и уточняват, че посоченият номер е различен от този на жалбоподателя. Информират, че имената на г-н И.С. и неговият единен граждански номер са предоставени на дружеството от лице, което разполага с тях и се е представяло за г-н И.С. и в тази връзка твърдят, че лични данни на жалбоподателя „не изтичат“ от информационната система на „Е.Е.“ ЕООД и в този смисъл няма компроментиране на защитата им по подразбиране. Сочат, че по твърдения на представител на съответния офис, в който се извършвали услугите, „лицето е получавало сумите съгласно пълномощно“. Признават, че В.В. – служител на търговски партньор „Т.К.“ ЕООД, обслужващ съответния офис, е допуснал нарушение на стандартите на „Е.Е.“ ЕООД като не е изискал и архивирал копие на пълномощното, по силата на което клиента, представял се за г-н И.С. е получавал паричните суми. В тази връзка сочат, че дружеството е предприело мерки и г-н В.В. е освободен от длъжност, наложени са санкции на „Т.К.“ ЕООД, уведомен е НАП, че пощенските преводи, които са получавани от името на г-н И.С., са получени от друго лице и данните на г-н И.С. са предмет на злоупотреба. Допълват, че за случая е подаден сигнал до МВР, а на г-н И.С. е предложена компенсация за причиненото неудобство. В допълнение към становището и в подкрепа на изложените в него твърдения, с придружително писмо ППН-01-368#7/05.07.2019 г., са приложени относими доказателства.

Предвид изложените от „Е.Е.“ ЕООД твърдения, от „Т.К.“ ЕООД са изискани относими към случая доказателства, предоставена е възможност и за изразяване на становище по случая, но такива не са ангажирани.

В хода на производството с писмо ППН-01-368#6/21.06.2019 г. жалбоподателите информират, че при образуваните срещу тях ревизионни производства е установено, че в периода 01.01.2017 г. – 31.12.2017 г. от името на г-н И.С. са получавани и изпращани пратки и чрез „Л.Е.“ ЕООД, без същия да е ползвал услугите на дружеството или да е предоставял личните си данни на същото. В тази връзка молят Комисията да извърши проверка и по отношение на законосъобразността на обработване на личните данни на жалбоподателя и от страна на това дружеството.

В тази връзка „Л.Е.“ ЕООД е уведомено за образуваното производство и изложените от жалбоподателя твърдения, в отговор на което е изразено становище ППН-01-368#9/26.07.2019 г. за неоснователност на жалбата, с приложени към него относими доказателства. От дружеството твърдят, че не обработват лични данни на жалбоподателката. Относно жалбоподателят г-н И.С. сочат, че в периода 19.12.2017 г. до февруари 2018 г. лицето е ползвало услугите на дружеството като изпращач на дрехи и материали чрез услуги с наложен платеж, за които са съставени съответните товарителници и разходни касови ордери, като в последните получателят е вписал трите си имена, ЕГН и подпис и е удостоверил самоличността си чрез предоставяне на документ за самоличност. В тази връзка сочат, че дружеството обработва личните данни на жалбоподателя законосъобразно – въз основа на съгласие обективирано в подписаните разходни касови ордери за получени от г-н И.С. сумите с наложен платеж, а твърденията на г-н И.С. намират за неоснователни и недоказани.

С оглед изясняване на случая от правна и фактическа страна от НАП е изискана информация относно образуваните ревизионни производства, резултатите от извършените по случая проверки и представени от куриерските дружества лични данни за жалбоподателите. В отговор и с писмо ППН-01-368#12/03.09.2019 г. са представени относими доказателства свързани с ревизиите на жалбоподателите, а на по-късен етап в производството г-н И.С. представя и издадени ревизионни актове, в който е посочено „не са установени нарушения“.

В хода на производството е установено наличието на образувана по случая проверка по преписка с вх. № *** по описа на РУ-СДВР, при която, по данни на страните в производството, е извършена експертиза на подписа положен от получателя на пратките със заключения, че подписът не е положен от жалбоподателят г-н И.С. В тази връзка и с писмо ***** от РУ-СДВР е изискана информация за хода и резултатите от извършваната от РУ-СДВР проверка и заверено копие на изготвената по случая експертна справка/експертиза, а също и копие на предоставени от „Е.Е.“ ЕООД материали – записи от камери за видеонаблюдение, справка с информация за получени наложени платежи и парични преводи от И.С., разписки за прием на парични суми и електронни изявления по приемане/предавaне на пратки и парични суми.

В отговор и след повторно изпратено до РУ-СДВР писмо от последното е представена справка в която информират за образувана преписка с вх. № **** по описа на РУ-СДВР по сигнал подаден за случая от А.А. – управител на „Т.К.“ ЕООД. Сочат, че е изготвена експертна справка № *** от която е видно, че И.С. не е разписвал касови ордери на „Е.Е.“ ЕООД и допълват, че преписката е изпратена в СРП с мнение за образуване на наказателно производство, откъдето информират, че възложената по случая проверката не е приключила. …

Жалбата има за предмет злоупотреба с личните данни на жалбоподателите във връзка с получавани и изпращани от тяхно име пратки с наложен платеж.

По изложените съображения и с оглед липсата на предпоставки от категорията на отрицателни по чл. 27, ал. 2 от АПК, на проведено на 30.10.2019 г. заседание на КЗЛД жалбата е приета за процесуално допустима и като страни в производството са конституирани: жалбоподатели – И.С. и Т.С. и ответни страни – „Е.Е.“ ЕООД, „Л.Е.“ ЕООД и „Т.К.“ ЕООД. … В хода на производството от „Е.Е.“ ЕООД са представени допълнителни доказателства и информация относима към случая, включително записи от камерите за видеонаблюдение, предоставени с писмо изх. № 7772/19.06.2019 г. по описа на дружеството на РУ-СДВР. От дружеството информират за предприети организационни и технически мерки за защита на личните данни и допълват, че е „актуализирана обучителната програма на служителите в системата на „Е.Е.“ ЕООД, касаеща задълженията за идентифициране на клиент и защита на личните данни“. Твърдят, че предвид констатираното нарушение е ограничено обработването на личните данни на г-н И.С. – клиентския картон, създаден на негово име, е служебно анулиран, а всички документи, съдържащи личните му данни са архивирани и се съхраняват в сроковете предвидените в ЗМПИП, ДОПК и ЗСЧ.

На проведено на 04.12.2019 г. открито заседание на КЗЛД, жалбата е разгледана по същество. …Господин И.С. сочи, че познава Ж.Г. доколкото същите са били съседи, но категорично заявява, че няма договорни отношения с нея, не е предоставял личните си данни на същата, не я е упълномощавал да го представлява пред трети физически и/или юридически лица.

Процесуалният представител на „Т.К.“ ЕООД – не оспорва жалбата. Информира, че процесните пратки с наложен платеж са обработвани от служител на „Т.К.“ ЕООД – В.В., същият привлечен като обвиняем по образувано по случая производство в Софийска районна прокуратура, инициирано от „Т.К.“ ЕООД. Допълва, че като обвиняем по същото дело е привлечена и Ж.Г. – лицето получавало и изпращало пратки с наложен платеж от името на жалбоподателя г-н И.С., което е подписало издадените от дружеството документи касаещи пратките. Сочи, че лично е констатирал, при преглед на камерите за видеонаблюдение в обекта, извършеното нарушение от страна на г-н В.В., който „не е архивирал“ пълномощно за представителна власт на Ж.Г. Твърди обаче, че личните данни на жалбоподателя „не са изтекли“ от „Т.К.“ ЕООД, доколкото същите са въведени през 2017 г. в платформата ****, посредством която е направена регистрация на името на жалбоподателя. В допълнение уточнява, че при предоставяне на услугата в офис на дружеството задължително следва да се идентифицира лицето, поради което и счита, че „и господин В.В. носи отговорност“. Твърди, че „Т.К.“ ЕООД също е потърпевшо от случилото се.

В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл. 7 от Административно-процесуалния кодекс, изискващ наличието на установени действителни факти, имайки предвид събраните доказателства и наведените от страните твърдения, Комисията приема, че разгледана по същество жалба № ППН-01-368/09.04.2019 г. е частично основателна.

При постановяване на решението е отчетена настъпилата в периода от извършване на твърдените нарушения, респективно подаване на жалбата в КЗЛД до разглеждането ѝ по същество, промяна в правната рамка в областта на защита на личните данни и факта, че от 25.05.2018 г. се прилага Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и обстоятелството, че от 02.03.2019 г. е в сила Закон за изменение и допълнение на Закона за защита на личните данни. Отчетен е и факта, че Регламент (ЕС) 2016/679 има пряко действие, а юридически факти и породените от тях последици настъпили преди прилагане на Регламента, следва да се преценяват според материалния закон, който е бил в сила към момента на тяхното възникване. В конкретният случай, при събиране на данните, такива са материалните разпоредби разписани в ЗЗЛД в редакцията преди 02.03.2019 г., с оглед обстоятелството, че събирането и употребата на данните е в период преди прилагане на Регламент ЕС 2016/679. По отношение на съхранението на личните данни на лицето относими са разпоредбите на ОРЗД доколкото се касае за обработване, което продължава и след дата от която се прилага Регламента, като е отчетен факта, че разпоредбата на чл. 4, ал. 1 от ЗЗЛД кореспондира с разпоредбата на чл. 6, § 1 от Регламента и не ѝ противоречи, като и двете разпоредби вменяват задължение за законосъобразно обработване на личните данни, в случая – съхраняване, при наличие на условие за допустимост на обработването.

Предвид събраните по преписката доказателства и разпределянето на доказателствената тежест в процеса се установи, че същата е неоснователна и недоказана по отношение на жалбоподателката Т.С., доколкото липсват доказателства за обработване на личните данни на последната от страна на „Е.Е.“ ЕООД, „Л.Е.“ ЕООД и „Т.К.“ ЕООД, като следва да се отбележи, че твърденията в обратна насока са оспорени от дружествата.

Жалба е основателна по отношение на жалбоподателя И.С.

От събраните по преписката доказателства се установи, че личните данни на г-н И.С. в обем от три имена и единен граждански номер са обработвани от „Е.Е.“ ЕООД, „Л.Е.“ ЕООД и „Т.К.“ ЕООД незаконосъобразно, без наличието на условие за допустимост на обработването. За последното свидетелстват изготвената по случая експертиза отразена в Протокол № 19/ДОК-286 от 25.11.2019 г., по описа на НИК, експертната справка № *** по описа на РУ-СДВР, както и резултатите от извършената по случая вътрешна проверка от страна на „Е.Е.“ ЕООД и предприетите от същото последващи действия, както и приложения по преписката видеоматериал и представените епикризи, последните свидетелстващи, че в процесния период лицето е било настанено в болнично заведение.

Безспорно е, че личните данни на жалбоподателя са обработени без знанието и съгласието му и без наличие на валидни договорни отношения между страните. Обработването не е извършено в изпълнение на нормативно установено задължение, не е необходимо за защита на живота и здравето на физическото лице, нито за изпълнение на задача в обществен интерес или за упражняване на правомощия, предоставени на администратор със закон, както и за реализиране на законните интереси на администратор, които да са преимуществени пред интересите на физическото лице.

Доколкото се касае за различни форми на обработване на лични данни, а именно събиране, употреба и съхранение следва да се отбележи, че по отношение събирането на лични данни осъществено в периода януари – февруари 2018 г. от „Л.Е.“ ЕООД и в периода декември 2017 г. – февруари 2018 г. от „Т.К.“ ЕООД, като относими следва да се разглежда материално правната норма на чл. 23, ал. 1 от ЗЗЛД, към настоящия момент отменена, но действаща към дата на нарушенията – събирането на данните. В тази връзка следва да се отбележи, че разпоредбата на чл. 23, ал. 1 от ЗЗЛД (отм.) кореспондира на разпоредбата на чл. 25 от Регламента и не ѝ противоречи.

Във връзка с горното по отношение на събирането на лични данни на жалбоподателя от „Т.К.“ ЕООД на 17.10.2017 г., 19.12.2017 г., 03.01.2018 г., 05.01.2018 г., 10.01.2018 г., 19.01.2018 г., 05.02.2018 г., 07.02.2018 г. и 09.02.2018 г. и употребата им за регистрирани на изпращани и получавани от името на г-н И.С. куриерски пратки, чрез „Е.Е.“ ЕООД, с наложен платеж, комисията счита, че е налице нарушение от страна на „Т.К.“ ЕООД на разпоредбата на чл. 23, ал. 1 от ЗЗЛД (отм.) доколкото се касае за неправомерно обработване – събиране на лични данни, същото в резултат на непредприети от дружеството технически и организационни мерки за защита на личните данни, респективно за индивидуализиране на подателя и получателя на пратките. Безспорно е и по преписката са налични разписани правила относно обработването, в това число и събирането на данни на клиенти и тяхната индивидуализация при ползване на конкретните услуги, но доказателства по преписката свидетелстват, че същите системно не се спазват от дружеството и са по-скоро формални. Поради тази причина и предвид обстоятелството, че от нарушението са настъпили вреди за жалбоподателя и същото е нееднократно, а многократно и системно доколкото се касае за обработване на данните 9 пъти в рамките на 5 месеца, комисията счита за целесъобразно да ангажира административно- наказателната отговорност на „Т.К.“ ЕООД и на последното да се наложи имуществена санкция.

Следва да се отбележи, че доколкото г-н В.В. е служител на дружеството, то именно „Т.К.“ ЕООД носи административно-наказателна отговорност за действията му по събиране на личните данни на жалбоподателя и тяхната употреба за регистриране и предоставяне на услугите с наложен платеж.

Безспорно е, че данните на жалбоподателя са обработени, в хипотеза на съхранение от „Е.Е.“ ООД, в качеството му на клиент на дружеството във връзка с посочените по-горе услуги за изпращане и получаван на пратки с наложен платеж. Същото е без правно основание, факт който се признава  и от дружеството, и е незаконосъобразно, в нарушение на чл. 4, ал. 1 от ЗЗЛД (отм.), респективно чл. 6, § 1 от Регламент ЕС 2016/679 доколкото липсва условие за допустимост/законосъобразност на обработването с оглед обстоятелството, че е безспорно установено, че данни са обработени без знанието и съгласието на жалбоподателя и без наличие на валидни договорни отношения между страните.

Макар данните да са събрани не от „Е.Е.“ ЕООД, а от „Т.К.“ ЕООД, за първото дружество не е отпаднало, а напротив, е налице задължение да обработва – съхранява същите при наличие на условие за допустимост/законосъобразност на обработването, каквото не е налице в конкретния случай.

Следва обаче да се отбележи, че след като е уведомен за жалбата, администраторът „Е.Е.“ ЕООД е действал добросъвестно – предприел е действия за установяване и прекратяване на нарушението, като е уведомил и компетентните органи сезирани със случая – НАП и КЛЗД, санкционирал е поведението на търговския си партньор „Т.К.“ ЕООД, предложил е и финансово обезщетение на жалбоподателя за причинените от нарушението неимуществени вреди – „безпокойство“, а клиентския картон, създаден на името на г-н И.С. е служебно анулиран. Ограничил е обработването на личните данни на г-н И.С. – всички документи, съдържащи личните му данни са архивирани и се съхраняват в сроковете и за целите предвидените в ЗМПИП, ДОПК и ЗСЧ. Предвид горното и съпричастността на „Т.К.“ ЕООД към нарушението, комисията квалифицира тези действия на администратора „Е.Е.“ ЕООД като смекчаващи, при определяне на наложената на дружеството корективна мярка, и предвид констатираното нарушение и дейността на дружеството счита за целесъобразно и ефективно налагането на мярка по чл. 58, § 2, буква „г“ от Регламента – разпореждане да съобрази обработването на лични данни с разпоредбите на Регламент ЕС 2016/679, включително, но не само с тези по чл. 6, § 1 от него. В тази връзка и като счита за целесъобразно указва на „Е.Е.“ ЕООД, че следва да извършва регулярни проверки, включително, но не само, да прави риск-анализ на клиентите си по определени критерии, както и да извършва проверки на място в офисите на търговските си партньори, както и да провежда обучения на служителите си свързани с обработване на лични данни, доколкото въвеждането на такива механизми биха могли да доведат до предотвратяване на нарушенията и/или установяването им на много по-ранен етап.

Комисията намира жалбата е основателна и по отношение и на „Л.Е.“ ЕООД. Безспорни са доказателства, че дружеството е обработвало, в условията на събиране на лични данни в периода 19.12.2017 г. до февруари 2018 г., а и към момента на произнасяне, обработва – съхранява лични данни на жалбоподателя като клиент, ползвал на услугите на дружеството, изпращач на дрехи и материали чрез услуги с наложен платеж. Приложената по преписката експертиза свидетелства, че обработването е незаконосъобразно в нарушение на чл. 4, ал. 1 от ЗЗЛД (отм.), респективно чл. 6, § 1 от Регламент ЕС 2016/679 доколкото липсва условие за допустимост/законосъобразност на обработването с оглед обстоятелството, че е безспорно установено, че данни са обработени без знанието и съгласието на жалбоподателя и без наличие на валидни договорни отношения между страните. Обработването не е извършено в изпълнение на нормативно установено задължение на администратора на лични данни, не е необходимо за защита на живота и здравето на физическото лице, нито за изпълнение на задача в обществен интерес или за упражняване на правомощия, предоставени на администратора със закон, както и за реализиране на законните интереси на администратора, които да са преимуществени пред интересите на физическото лице.

От нарушението са произтекли вреди за жалбоподателя и предвид обстоятелството, че се касае не за еднократно, а за системно нарушение на етапа на събиране на личните данни – а именно 7 пъти в рамките на три месеца, a именно на 29.12.2017 г., 08.01.2018, 12.01.2018 г., 22.01.2018 г., 07.02.2018 г., 09.02.2018 г. и 12.02.2018 г., Комисията счита, че дружеството не е предприело необходимите технически и организационни мерки за защита на личните данни на физическото лице от неправомерно обработване, в резултат на което са нарушение правата на лицето сезирало КЗЛД.

В тази връзка комисията счита за целесъобразно и ефективно налагането на имуществена санкция на „Л.Е.“ ЕООД за нарушение на чл. 23, ал. 1 от ЗЗЛД (отм.), последната разпоредба относима  по аргумент на чл. 142 от АПК, доколкото нарушенията – събирането на данните са извършени в периода преди прилагане на Регламента, като следва да се отбележи съставомерността на деянието и по Регламент ЕС 2016/679.

По отношение на съхранението на лични данни на жалбоподателя в качеството му на клиент на дружеството, какъвто безспорно се установи, че не е по отношение на процесните пратки, и доколкото обработването за тези цели е незаконосъобразно и без наличие на условие за допустимост по чл. 4, ал. 1 (отм.) ЗЗЛД, респективно чл. 6, § 1 от Регламента, Комисията като взе предвид дейността на дружеството счита за целесъобразно и ефективно налагането на мярка по чл. 58, § 2, буква „г“ от Регламента – разпореждане да съобрази обработването на лични данни с разпоредбите на Регламент ЕС 2016/679, включително, но не само с тези по чл. 6, § 1 от него. В тази връзка и като счита за целесъобразно указва на „Л.Е.“ ЕООД, че следва да извършва регулярни проверки, включително, но не само, да прави риск-анализ на клиентите си, а също и на служителите си, по определени критерии, да провежда обучения на служителите свързани с обработване на лични данни, доколкото въвеждането на такива механизми биха могли да доведат до предотвратяване на нарушенията и/или установяването им на много по-ранен етап. В допълнение към това счита за целесъобразно, доколкото е безспорно доказано, че жалбоподателят не е клиент на дружеството по повод процесните пратки, да укаже на администратора, че следва да ограничено обработването на личните му данни, като унищожи/анулира клиентския картон, създаден на негово име, и да архивира и съхранява всички документи съдържащи личните му данни само за целите и сроковете предвидените в ЗМПИП, ДОПК и ЗСЧ.

Комисията счита, че по отношение на констатираните нарушения на чл. 23, ал. 1 от ЗЗЛД (отм.) налагането на различна от посочената в чл. 58, ал. 2, буква „и“ от Регламента корективна мярка – имуществена санкция, е нецелесъобразно в случая, като следва да се отбележи, че мерките по чл. 58, § 2, буква „а“, „в“, „д“, „е“, „ж“ и „й“ са неприложими поради естеството на нарушенията и тения интензитет. В конкретния случай имуществената санкция по член 58, параграф 2, буква „и“ от Регламента, се явява най-целесъобразна, ефективна, възпираща и пропорционална за защита на законовия обществен интерес. Следва да се отбележи, че освен чисто санкционна мярка, реакция на държавата към извършеното нарушение на нормативно установените правила, имуществената санкция има и дисциплиниращо действие, с оглед неизвършването на същото нарушение за напред.

Администраторът е длъжен да познава закона и да спазва неговите изисквания, още повече, че той дължи необходимата грижа, предвидена в закона и произтичаща от предмета му на дейност, кадровия и икономически ресурс.

Съобразявайки целта на наказанието, което следва да има възпираща и предупредителна функция, естеството и тежестта на наказанието, обществените отношения които засяга, категориите лични данни засегнати от нарушението, Комисията счита, че с оглед принципа на пропорционалност между тежестта на нарушението и размера на наказанието, наложените имуществени санкции следва да са в размер на 5 000 лева – размер много под средния минимум предвиден в Регламента за тези нарушения, същия предвиден и в нормата на чл. 42, ал. 9 от ЗЗЛД за нарушение на чл. 23 от ЗЗЛД.

При определяне на размерът на имуществените санкции и в съответствие с условията по чл. 83, ал. 2 от Регламента, Комисията съобрази, че макар нарушенията да са първи за администраторите „Т.К.“ ЕООД и „Л.Е.“ ЕООД и да касаят нарушение на правата на едно лице, същите са с висока степен на обществена опасност. Като утежняващи обстоятелства при определяне на размерът на санкцията комисията взе предвид, че се касае за системни, а не за еднократни нарушения, както по отношение на „Т.К.“ ЕООД, така и по отношение на „Л.Е.“ ЕООД. Нарушенията са довършени с акта на извършването и са неотстраними, а същите са станали известни на КЗЛД, а и на дружествата, в следствие сезирането на Комисията от потърпевшото лице. Като утежняващо обстоятелство е отчетен и факта, че данните са използвани за създаване на финансова и договорна обвързаност на лицето, както и че се касае за неправомерно обработване и на единен граждански номер – специален идентификатор.

Обстоятелствата по чл. 83, ал. 2, буква „б“ и „и“ от Регламента са неотносими доколкото се касае за администратори на лични данни – юридически лица, които не формират вина, а към момента на извършване на нарушенията одобрени кодекси за поведение, респективно одобрени механизми за сертифициране не са въведени.

Съобразявайки целта на наказанието, което следва да има възпираща и предупредителна функция, естеството и тежестта на нарушението, обществените отношения които засяга, категориите засегнати лични данни, Комисията счита, че наложените корективни мерки и санкция по вид и размер безспорно отговарят на търсените от ЗЗЛД и Регламент 2016/679 ефективност и възпиращ ефект, като в същото време не нарушава принципа на пропорционалност и изискването за съразмерност.

Водима от горното и на основание чл. 38, ал. 3 от Закона за защита на личните данни, Комисията за защита на личните данни,

РЕШИ:

  1. Обявява жалба ПП Н-01-368/09.04.2019 г. за неоснователна, в частта касаеща твърдения за неправомерно обработване на личните данни на жалбоподателката Т.С.
  2. Обявява жалба за основателна, в частта касаеща твърдения за неправомерно обработване на личните данни на жалбоподателя И.С.
  3. На основание чл. 83, § 4, буква „а“ във връзка с чл. 58, § 2, буква „и“ от Регламент ЕС 679/2016 налага на „Т.К.“ ЕООД с ЕИК *****, административно наказание – имуществена санкция в размер на 5 000 лв. (пет хиляди лева) за обработване – събиране на личните данни на жалбоподателя в нарушение на чл. 23, ал. 1 от ЗЗЛД (отменен), респективно чл. 25, ал. 1 от Регламент ЕС 2016/679, а именно – непредприети технически и организационни мерки.
  4. На основание чл. 58, § 2, буква „г“ от Регламента и за обработване – съхранение на личните данни на жалбоподателя в нарушение на чл. 6, § 1 от Регламент ЕС 2016/679 издава на „Е.Е.“ ЕООД с ЕИК ***, разпореждане да съобразява обработването на лични данни с разпоредбите на Регламент ЕС 2016/679, включително, но не само, с тези по чл. 6, § 1 от него. В тази връзка и като счита за целесъобразно указва на „Е.Е.“ ЕООД, че следва да извършва регулярни проверки, включително, но не само, да прави риск-анализ на клиентите и служителите си по определени критерии, да извършва проверки на място в офисите на търговските си партньори, както и да провежда периодични обучения на служителите свързани с обработване на лични данни, доколкото въвеждането на такива механизми биха могли да доведат до предотвратяване на нарушенията и/или установяването им на много по-ранен етап.
  5. На основание чл. 83, § 4, буква „а“ във връзка с чл. 58, § 2, буква „и“ от Регламент ЕС 679/2016 налага на „Л.Е.“ ЕООД с ЕИК ***, административно наказание – имуществена санкция в размер на 5 000 лв. (пет хиляди лева) за обработване – събиране на личните данни на жалбоподателя в нарушение на чл. 23, ал. 1 от ЗЗЛД (отменен), респективно чл. 25, ал. 1 от Регламент ЕС 2016/679, а именно – непредприети технически и организационни мерки.
  6. На основание чл. 58, § 2, буква „г“ от Регламента и за обработване на личните данни на жалбоподателя в нарушение на чл. 6, § 1 от Регламент ЕС 2016/679 издава на „Л.Е.“ ЕООД с ЕИК ***, разпореждане да съобразява обработването на лични данни с разпоредбите на Регламент ЕС 2016/679, включително, но не само, с тези по чл. 6, § 1 от него. Указва на дружеството, че следва да извършва регулярни проверки, включително, но не само, да прави риск-анализ на клиентите и служителите си по определени критерии, да провежда периодични обучения на служителите свързани с обработване на лични данни, доколкото въвеждането на такива механизми биха могли да доведат до предотвратяване на нарушенията и/или установяването им на много по-ранен етап. В допълнение указва на администратора, че следва да ограничени обработването на личните данни на жалбоподателя, като унищожи/анулира клиентския картон, създаден на негово име, и да архивира и съхранява всички документи съдържащи личните му данни само за целите и сроковете предвидените в ЗМПИП, ДОПК и ЗСЧ.
Можете да споделите: