Как жалба срещу финансова институция не доведе до глоба за небрежно обработване на лични данни

Предупреждение заслужи пощенският оператор, дадени са му три месеца да си обучи служителите

В началота на 2019 г. В.М.  подава жалба срещу финансова институция (Ф.И.) и пощенски оператор (П.О.), в която са изложени твърдения за неправомерно обработване на личните ú данни.

В жалбата е посочено, че на 14.11.2018 г. г-жа В.М. е посетила офис на Ф.И. и е попълнила заявление за прекратяване на договор, като е приложила копие от лична карта (вярно с оригинала и подпис) и копие от банковата сметка, с подпис и печат от банката. Описано е, че правилата на дружеството са такива, че жалбоподателката е изпратила описаните документи с препоръчано писмо с обратна разписка към клон на Ф.И., с адрес ***.

На 19.11.2018 г. г-жа В.М. е получила обратна разписка, от която е видно, че дружеството е получило писмото на 16.11.2018 г.

Месец по – късно след като на жалбоподателката не била изплатена сума по договор, тя се обадила в офиса на Ф.И., от където получила информация, че служителят, който отговаря за пощата е уволнен и за да получи сумата, тя трябва да попълни заявлението отново и да изпрати отново копия от лична карта и банкова сметка.

Моли за съдействие от Комисията, тъй като се притеснява, че не може да открие описаните документи и някой може да злоупотреби с данните, от първоначално изпратените копие от лична карта и банкова сметка.

В становището на Ф.И. е изложена теза, че заявлението на жалбоподателката е било получено в Дружеството през месец януари 2019 год. на място в офис на Дружеството и се съхранява в съответствие с изискванията на европейското и на българското законодателство по защита на личните данни и вътрешните правила и процедури на Дружеството за законосъобразно обработване и защита на личните данни.

Становището по отношение на твърдението, изложено в жалбата, че служител на Дружеството е приел пощенската пратка, изпратена от Жалбоподателката през месец ноември 2018 год., подписвайки известието за доставяне (обратната разписка), е, че това твърдение е невярно и неоснователно.

Описано е, че към месец ноември 2018 год., в град С., в Ф.И. не е имало служител с фамилия М.

Посочено е още, че от представените към жалбата доказателства, а именно: „Известие за доставяне с баркод №**** е видно, че лицето посочено като получател на пратката – М., не е посочило в какво качество (като какъв служител на Дружеството) е приел пощенската пратка и е подписал известието за доставяне (обратната разписка). Наред с това подчертават, че разглежданото известие за доставяне не съдържа подпис на лицето, получило пощенската пратка, и не удостоверява, че именно сочените от жалбоподателката документи, съдържащи лични данни, са били в пощенския плик с баркод № ****.

Информират, че проведеното от Дружеството разследване не е установило други факти и обстоятелства от значение за случая, поради което „към настоящия момент не можем да предоставим повече информация“ за целите на административното производство.

В депозирано становище на П.О. се посочва, че препоръчана пратка с известие за доставяне (ИД) и баркод № ****, с подател В. В.М., гр. П. и получател Ф.И. е постъпила за доставка в пощенска станция ***. Същият ден е предадена за доставка на адрес.

Препоръчана пратка с ИД и баркод № **** е доставена същия ден на адреса на получателя срещу подпис в Опис и направено вписване – ,,М.“ – охранител.

Информират, че от м. ноември 2018 г. достъпът до фирмите в сградата на адрес *** е бил ограничен за външни лица. Пощенските раздавачи от ПС **** са доставяли пратките с получател Ф.И., на охранителя на сградата – г-н М.

С ограничаването на достъпа, пощенският оператор е поставен извън 3-те възможни хипотези на т. 44. ,,а“, „б“ и „в“ от „Общи условия на договора с потребителите на универсалната пощенска услуга и пощенски парични преводи, извършвани от П.О.“.

Сочат, че по данни от жалба, няма безспорни доказателства, че пратката не е предадена от охранителя на служител на Ф.И.. Самият факт, че пратката е търсена по бюрото на уволнения служител, но не е намерена, не означава, че не е стигнала по предназначение. Липсата на информация да е извършена проверка в деловодната система за регистриране на входящата поща, както и от застрахователя, но по никакъв начин не опровергава безспорната доставка на процесната пратка, макар и с известни отклонения от правилата, предизвикани от въведения рестриктивен режим за достъп.

От охранителна форма (О.Ф.) е изразено становище, че в периода от октомври до 26.07.2019 г. на обект на Ф.И., находящ се в гр. ***** е работел охранител с фамилията М., като всички охранители са инструктирани да не приемат пратки, а от длъжностната характеристика е видно, че не му е възлагано такова задължение.

Разглежданата жалба е съобразена в цялост с изискванията за редовност, съгласно чл. 28, ал. 1 от Правилник за дейността на Комисията за защита на личните данни и нейната администрация (ПДКЗЛДНА), а именно: налице са данни за жалбоподателя, естеството на искането, дата и подпис.

Жалбата е подадена в срока по пар. 44, ал. 2 от Преходните и заключителните разпоредби на ЗЗЛД от физическо лице с правен интерес срещу надлежни страни –администратори на лични данни по смисъла на чл. 4, пар. 7 от Общия регламент ЕС 2016 /679, предвид обстоятелството, че последните сами определят целите и средствата за обработване на лични данни.

Предвид гореизложеното и с оглед липсата на предпоставки от категорията на отрицателните по чл. 27, ал. 2 от АПК жалбата е обявена за допустима. Административният орган действа при служебно начало за изясняване на релевантни факти и обстоятелства. Правомощието на КЗЛД е спазването на ЗЗЛД (на разпоредбата на чл. 12 от ЗЗЛД). Да се произнася след сезиране от физически лица сочи неприложимост на диспозитивното начало при осъществяване на дейността на Комисията. Уточняването на субекта на нарушението е в правомощията на органа с оглед събраните доказателства по преписката.

В конкретния случай жалбата, подадена от В.М. е насочена срещу пасивнолегитимирана страна – срещу Ф.И. В изпълнение на принципа на служебното начало и с оглед събраните по административната преписка доказателства, служебно от органа са конституирани като страни в административното производство, жалбоподател, В.М. и ответни страни – Ф.И., П.О. и заинтересована страна О.Ф., в качеството на администратори на лични данни. Насрочено е открито заседание за разглеждане на жалбата по същество на 12.12.2019 г., за което страните са редовно уведомена и им е указано разпределянето на доказателствената тежест в процеса.

Съгласно чл. 10, ал. 1 във връзка с чл. 38 от Закон за защита на личните данни, при сезирането ѝ Комисията за защита на личните данни разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по ЗЗЛД, както и жалби на трети лица във връзка с правата им по този закон.

Съгласно легалната дефиниция, дадена в чл. 4, пар. 1, т. 1 от Регламента „лични данни” означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни”); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

По административната преписка безспорно е установено, че г-жа В.М. е изпратила пратка до дружеството – получател, Ф.И., на адрес: ***** чрез П.О. Видно от известие за доставяне *****, пратката е получена от лице с фамилия М. на 16.11.2018 г.

По административната преписка е установено, че служител с фамилия М. е бил назначен на длъжност охранител към О.Ф. в периода от октомври до юли 2019 г.

Видно от предоставената от дружеството длъжностна характеристика на охранителите не е възлагано задължение за приемане на пратки. От предоставените по административната преписка се установи, че О.Ф. със заповед № **** са забранили на охранителите да приемат писма и колети с адресат, представител на възложителя/ клиента или негов служител, без изрично разрешение на ИФО.

Безспорно установено е, че писмото, изпратено от жалбоподателката, като подател, до Ф.И., като получател, е с препоръчана пратка, с известие за доставяне и баркод № ****, услуга предоставяна от П.О.

Безспорно е, че препоръчана пратка с известие за доставяне и баркод № **** е доставена на лице, различно от получателя.

Следва да се посочи, че съгласно чл. 43, б. „а“ от Общите условия на договора с потребителите на универсалната пощенска услуга и пощенските парични преводи, извършвани от П.О., е посочено, че доставянето на препоръчаните пощенски пратки, пощенски колети и паричните преводи се извършва лично на получателя срещу подпис. Получателят се легитимира с документ за самоличност.

За доказване доставянето на препоръчани пощенски пратки, колетни пратки и парични преводи, в служебните формуляри се отразяват трите имена, адрес и ЕГН на получателя.

От проведеното открито заседание на Комисията се установи, че от П.О. не е направена вътрешна проверка по случая, както и че е установена практика за връчване на пратки на лица, различни от посочените за получатели.

Предвид изложеното Комисията счита, че жалбата е основателна по отношение на П.О. за нарушение на принципа, регламентиран с разпоредбата на чл. чл. 5, § 1, б. „е“ от Регламент (ЕС) 2016/679, личните данни да се обработват по начин, който гарантира подходящо ниво на сигурност.

Комисията разполага с оперативната самостоятелност, като в съответствие с предоставените ѝ функции преценява кое от корективните правомощия по чл. 58, пар 2 от Регламент 679/2016 г. да упражни. В конкретния случай корективните мерки по букви „а“ – „з“ и буква „й“ на чл. 58, параграф 2 от Регламента са приложими Преценката се основава на целесъобразност и ефективност на решението при отчитане на особеностите на всеки отделен случай и степента на засягане на интересите на конкретно физическо лице – субект на данни, като и на обществения интерес.

Комисията при определяне на корективното правомощие взе предвид факта, че нарушението е първо за администратора, съобрази факта, че настоящия случай се касае за връчване на препоръчана пратка, за което реда и изискванията са завишение спрямо не препоръчаните писма, отчете и факта, че от П.О. не е направена вътрешна проверка по случая, както и обстоятелството, че от П.О. е установена практика за връчване на пратки на лица, различни от посочените за получатели.

Комисията при определяне на вида санкция се съобрази и с обстоятелството, че П.О. не попада в определението за малко и средно предприятие, определено с разпоредбата на чл. 3, ал. 1 от Закона за малките и средни предприятия. Предвид всичко изложено Комисията счита, че е целесъобразно и ефективно на П.О. да бъде издадено разпореждане по чл. 58, § 2, буква „г“ от Регламент (ЕС) 2016/679.

Предвид изложеното и на основание чл. 10, ал. 1 от Закона за защита на личните данни във връзка с чл. 57, § 1, б. „е“ от Регламента и чл. 38, ал. 3 от Закона за защита на личните данни, Комисията се произнесе със следното

РЕШЕНИЕ:

  1. Оставя жалба с рег. № ПП Н-01-93/28.01.2019 г., подадена от В.М. без уважение като неоснователна по отношение на финансовата институция и охранителната фирма.
  2. Обявява жалба с рег. № ПП Н-01-93/28.01.2019 г. за основателна по отношение на пощенския оператор за нарушение на чл. 5, § 1, б. „е“ от Регламент (ЕС) 2016/679, личните данни да се обработват по начин, който гарантира подходящо ниво на сигурност.
  3. На основание чл. 58, § 2, буква „г“ от Регламент (ЕС) 2016/679 издава разпореждане на администратора пощенски оператор да приведе правилата си по обработване на лични данни в съответствие с Регламента и да обучат служителите, които извършват доставка на препоръчани пратки, съгласно универсалната услуга.
  4. Срок за изпълнение на разпореждането – три месеца от влизането на решението в сила, след което да уведоми комисията за изпълнението като представи съответните доказателства.

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд – София – град.

ПРЕДСЕДАТЕЛ:                                                      ЧЛЕНОВЕ:

Можете да споделите: