Какво наказание е наложено на колекторска фирма, която звъни на телефона на съпруг по задължение на съпругата му отпреди брака?

Комисията за защита на личните данни публикува в бюлетина си решение по жалбата

В новия брой на бюлетина на Комисията за защита на личните данни има интересно решение по повод на жалба срещу колекторска фирма:

РЕШЕНИЕ

№ ПП Н-01-526/2019

София, 17.11.2020 г.

Комисията за защита на личните данни („Комисията”/„KЗЛД”) в състав: Председател – Венцислав Караджов и членове – Цанко Цолов и Мария Матева, на редовно заседание, проведено на 09.09.2020 г., на основание чл. 10, ал. 1 от Закона за защита на личните данни във връзка с чл. 57, параграф 1, буква „е” от Регламент 2016/679 разгледа по основателност жалба рег. № ППН-01-526/06.06.2019 г., подадена от Р.Я. срещу „К.И.“ ЕАД (накратко по-надолу К.И.).

Административното производство е по реда на чл. 38 от Закона за защита на личните данни (ЗЗЛД).

Процесуалният представител на жалбоподателя посочва, че доверителят му никога не е имал договорни отношения с К.И. Такива е имала неговата съпруга А.Я. и то преди сключването на брак помежду им.

Въпреки това, г-н Р.Я. е получавал многократно обаждания от страна на служители на дружеството, в които са отправени искания старите задължения на настоящата му съпруга да бъдат погасени от него. Предвид това може да се направи извод, че кредиторът е разполагал със следната информация, представляващи лични данни на г-н Р.Я. – три имена, семейно положение и телефонен номер.

С оглед преустановяване на неправомерното обработване на лични данни на г-н Р.Я., чрез електронната поща на адв. Т. на 15.02.2019 г. е отправена молба до К.И. за преустановяване на всякакви обаждания от страна на кредитора към телефона на жалбоподателя.

Независимо от отправената молба, на 03.04.2019 г. г-н Р.Я. получил ново съобщение, с което е уведомен от К.И., че има непогасено задължение към тях, което трябва да плати или да се обади на посочен номер. Предвид това е отправена нова молба до кредитора на г-жа Р.Я., с която отново е поискано преустановяване на всякакви опити занапред за контакт с г-н Р.Я. В резултат на това е получено съобщение от служител на К.И., с което е признато, че телефонът е бил записан в системата на кредитора.

С жалбата се иска да бъде направена проверка и да бъде указано на К.И. да изтрие всички лични данни на жалбоподателя и на администратора да бъде наложена имуществена санкция по преценка на КЗЛД.

В условията на залегналото в административния процес служебно начало и в изпълнение на чл. 26 АПК, за започване на производството е уведомено лицето, срещу което е насочена жалбата.

Предоставена е възможността по чл. 34, ал. 3 АПК за изразяване на становище с относими доказателства по предявените в жалбата твърдения. В Комисията постъпи отговор за неоснователност на жалбата. От фактическа страна се посочва, че К.И. е придобило от финансова институция вземане към лицето А.М. (с нова фамилия Я.).

При придобиване на вземането цедентът е предоставил следните номера за връзка с длъжника:

***, *****, като е установено, че първият номер се ползва от трето лице, нямащо връзка с длъжника, а вторият е набиран многократно, но същият е постоянно изключен. В началото на август 2018 г. от ************ е върнато обаждане от г-жа Р.Я. По-късно същия месец служители на дружеството се опитали да се свържат с г-жа Р.Я. на въпросния телефонен номер, но на него отговаряло лице, представящо се за неин съпруг, с когото се уговорили да предаде на съпругата си да им се обади.

По-късно същия ден от този номер се обадила г-жа Р.Я. и коментирали задължението, както и образуваното изпълнително дело. В края на август служител на дружеството отново позвънил на номера. Вдигнала директно г-жа Р.Я. и отново се коментирало задължението. По никакъв начин в хода на разговора не е споменала, че въпросният телефонен номер, от който тя самата е осъществявала контакт с дружеството, не е неин.

На 12.02.2019 г. със служители на дружеството се свързал адв. Т., представяйки се за пълномощник на длъжника. Впоследствие на 15.02.2019 г. е получен имейл от адв. Т., към който е приложено пълномощно.

На 03.04.2019 г. на номер ************ е изпратен напомнителен SMS за наличие на задължение към К.И. От текста на съобщението е видно, че същото не е адресирано до г-н Р.Я., като това е напълно нормално предвид факта, че името му или каквито и да било негови други данни не фигурират в регистрите с база данни на администратора. Още същия ден е получен имейл от адв. Т.

за преустановяване на всякакви опити занапред за контакт с жалбоподателя. В отговор е изпратен имейл на 05.04.2019 г., с който се информира, че посоченият телефонен номер е официално заличен от системата на дружеството.

От този момент телефонен номер ************ е заличен от регистрите и базите данни на К.И. и оттам-насетне не са правени опити за контакт с длъжника чрез него.

От правна страна се посочва, че не са обработени данни, които да идентифицират жалбоподателя, а само телефонен номер, който е фигурирал като телефон за контакт с А.Я., в качеството ѝ на длъжник.

За първи път името на г-н Р.Я. става известно на дружеството при споменаването му от адв. Т. в описаната кореспонденция.

В посочения имейл от 03.04.2019 г. адв. Т. е приложил писмо от А.Я., но не и от Р.Я.

Следователно въпросният имейл не може да бъде възприеман за заявление за упражняване на правата на субекта по смисъла на чл. 37б от ЗЗЛД. Въпреки това, въпросният телефон веднага е заличен от регистрите на дружеството.

В отговор на становището на К.И. процесуалният представител на жалбоподателя прави искане за събиране на допълнително доказателства относно: откъде разполага дружеството с телефонния номер, записи на проведени с този номер разговори, справки за изпратени съобщения, информация дали по изпълнителното дело е правена справка в ЕСГРАОН и дружеството имало ли е достъп до изпълнителното дело.

За да упражни правомощията си, Комисията следва да бъде валидно сезирана.

Разглежданата жалба е съобразена с изискванията за редовност по чл. 29 от АПК, чл. 38, ал. 2 от ЗЗЛД и по чл. 30, ал. 1 от Правилник за дейността на Комисията за защита на личните данни и нейната администрация (ПДКЗЛДНА, в редакцията му ДВ бр. 10 от 2016 г.) – налице са данни за жалбоподателя, естеството на искането, дата и подпис.

Жалбата е процесуално допустима – подадена в срока по чл. 38, ал. 1 от ЗЗЛД от субект на данни с правен интерес. Същата има за предмет твърдение за нарушаване на права по Регламент 2016/679 или ЗЗЛД. С жалбата е сезиран компетентен да се произнесе орган – Комисията за защита на личните данни, която съгласно правомощията си по чл. 10, ал. 1 ЗЗЛД във връзка с чл. 57, параграф 1, буква „е” от Регламент 2016/679 разглежда жалби, подадени от субекти на данни. Налице са предпоставките за допустимост и по чл. 27, ал. 2 от АПК.

На проведено на 01.07.2020 г. заседание на Комисията жалбата е обявена за процесуално допустима и като страни в административното производство са конституирани: жалбоподател – Р.Я. и ответна страна – „К.И.” ЕАД. Страните са редовно уведомени за насроченото за 09.09.2020 г. заседание на Комисията за разглеждане на жалбата по същество.

С оглед изясняване на случая от фактическа и правна страна, от К.И. е изискано да представи всички записи на разговори с номер ************. В отговор от дружеството посочват, че не записват проведените телефонни разговори с клиентите си. Практиката е резюме от проведените разговори да се регистрира и съхранява в информационната оперативна система Factory, в която всеки отделен договор за кредит фигурира като самостоятелен случай, по който в хронологичен ред се описват извършените действия по обработката му – изпращане на кореспонденция и осъществяване на телефонни разговори. Справка за телефонния номер е приложена към отговора.

На проведеното заседание за разглеждане на жалбата по същество жалбоподателят не се явява, не се представлява.

Ответната страна се представлява от надлежно упълномощен представител. Заявява, че за телефонния номер, на който лицето твърди, че е било търсено, по никакъв начин не е било сведено до знанието на администратора, че принадлежи на Р.Я. Въпреки липсата на доказателства, дружеството доброволно е преустановило използването на този телефон. Името на Р.Я. става известно на К.И.

в момента на подаване на такова искане от адв. Т. Дотогава единствената информация, с която дружеството е разполагало и обработвало, е телефонният номер, който сам по себе си не представлява лични данни.

При така установеното Комисията разгледа жалбата по същество, като я приема за частично основателна въз основа на следното:

С Регламент 2016/679 и Закона за защита на личните данни (ЗЗЛД) се определят правилата по отношение на защитата на физическите лица във връзка с обработването на личните им данни, както и правилата по отношение на свободното движение на лични данни. Целта е да се защитават основни права и свободи на физическите лица, по-специално тяхното право на защита на личните им данни.

Предмет на жалбата е обработват ли се лични данни на жалбоподателя, законосъобразност на обработването и нарушено ли е упражнено право по Регламент 2016/679.

От фактическа страна не е спорно между страните, че лични данни на съпругата на жалбоподателя се обработват от К.И. във връзка с прехвърлено към дружеството вземане спрямо нея.

Безспорно е и, че телефонен номер ************ не е наличен по договорните отношения между съпругата на жалбоподателя и цедента, съответно същият не е предоставен от цесионера на цедента.

Не се спори, че са провеждани разговори с посочения телефонен номер.

От представеното към жалбата допълнително споразумение към договор за мобилни услуги се установява, че номерът е с титуляр жалбоподателя.

Съгласно чл. 4, т. 1 от Регламент 2016/679 „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

От цитираното определение за лични данни се обосновават две категории информация, която може да бъде лични данни за лицето по смисъла на закона. В първия случай вече са налице достатъчно идентифициращи физическото лице данни, като добавянето на друга лична информация за него също е лични данни. Във втория случай, чрез информация за лицето, с която разполага администраторът (един или съвкупност от няколко признака) може да се идентифицира конкретното лице.

В трайната си практика (становище № Ж-363/19.12.2012 г. от 06.03.2013 г. и в решения по жалби) КЗЛД постановява, че само информация за телефонен номер не може да идентифицира физическото лице, поради което не представлява „лични данни“ от втората категория, посочена в предходния абзац.

Що се отнася до придобиването на телефонния номер, следва да се приеме твърдението на администратора, че е получен при входящо позвъняване от страна на съпругата на жалбоподателя.

В разглеждания случай е спорно дали администраторът е разполагал с други данни за жалбоподателя, които да го идентифицират, съответно телефонният номер да се свързва с него и да представлява лични данни от първата категория.

Събраните в производството сведения и доказателства свидетелстват, че първите данни за телефонния номер, че е на жалбоподателя, а не на длъжника (г-жа Р.Я.), е с изпратеното от адв. Т. до К.И. електронно писмо от 15.02.2019 г. Предвид липсата на запис на разговори, недоказано остава твърдението, че по време на разговорите преди тази дата жалбоподателят се е идентифицирал, заявил е, че това е негов телефонен номер и не желае да бъде търсена съпругата му на този номер.

Това се потвърждава и от справка от системата на администратора, която представлява резюме на проведените разговори. Там е посочено, че разговори са провеждани със съпругата на жалбоподателя.

Не са отбелязани възражения от жалбоподателя.

Предвид горното, Комисията приема, че жалбоподателят за първи път е идентифициран пред администратора (макар по косвен път чрез телефонен номер и семейна връзка) на 15.02.2019 г., когато започва и обработване на личните му данни. Тези данни са предоставени за обработване от трето лице – от адвоката, който представлява съпругата на жалбоподателя, поради което не са неправомерно получени от администратора. Жалбата в тази част е неоснователна.

С електронното писмо от 15.02.2019 г. и след това от 03.04.2019 г. е поискано преустановяване на обаждания и опит за контакт чрез телефонния номер на жалбоподателя.

Направеното искане отговаря на правото по чл. 18, параграф 1, буква „б“ от Регламент 2016/679 – субектът е поискал ограничаване на обработването, което счита за неправомерно, но не е поискал изтриването им.

Съгласно чл. 12, параграф 3 от Регламент 2016/679 администраторът предоставя на субекта на данни информация относно действията, предприети във връзка с искане по членове 15-22 от Регламента в срок от един месец от получаване на искането. Съгласно параграф 4, ако не бъдат предприети действия по искането, администраторът уведомява субекта за причините да не бъдат предприети действия.

В параграф 2 на посочения член е посочено, че администраторът на лични данни съдейства за упражняването на правата на субекта на данни. Съгласно параграф 6, когато администраторът има основателни опасения за самоличността на физическото лице, подало искането, администраторът може да поиска предоставяне на допълнително информация за потвърждаване на самоличността.

При първото искане за ограничаване на обработването не са предприети действия. Искането е отправено от ненадлежно лице – от адвокат, който към този момент представлява само съпругата на жалбоподателя, т.е. не е от субекта на данни или негов представител по закон или пълномощие.

В случая дружеството е следвало да предприеме проактивни действия да идентифицира лицето-искател, щом е имал опасения във връзка със самоличността му, което не е направено, поради което е нарушен чл. 12, параграфи 2 и 6 от Регламент 2016/679.

Следва да се има предвид, че чл. 12, параграф 6 се прилага при „основателни опасения“ за самоличността на искателя. Т.е., възможно е да бъдат предприети действия и да бъде отговорено по параграф 3 или да бъде отказано предприемането на действия по параграф 4, в случай че няма съмнения относно самоличността на искателя. Такъв е случаят при второто електронно писмо от 03.04.2019 г., когато администраторът е приел, че искането е отправено от субекта на данни, уважил е искането и е отговорил.

При констатираното нарушение в една част от жалбата, същата следва да бъде частично уважена.

При така констатираното нарушение жалбата следва да бъде уважена. Комисията разполага с оперативна самостоятелност, като в съответствие с предоставените ѝ функции преценява кое от корективни правомощия по чл. 58, пар. 2 от Регламент 2016/679 да упражни. Преценката се основава на съображенията за целесъобразност и ефективност на решението при отчитане на особеностите на всеки конкретен случай и степента на засягане на интересите на конкретното физическо лице – субект на данни, както и на обществения интерес. Правомощията по чл. 58, пар. 2, без тази по буква „и”, имат характера на принудителни административни мерки, чиято цел е да предотвратят или да преустановят извършването на нарушение, като по този начин се постигне дължимото поведение в областта на зашитата на личните данни. Административното наказание „глоба” или „имуществена санкция” по чл. 58 пар. 2, буква „и” има санкционен характер. При прилагането на подходящата корективна мярка по член 58, пар. 2 от Регламента се взема предвид естеството, тежестта и последиците от нарушението, както и всички смекчаващи и отегчаващи отговорността обстоятелства. Оценката за това какви мерки са ефективни, пропорционални и възпиращи във всеки отделен случай отразява и целта,  преследвана с избраната корективна мярка – предотвратяване или преустановяване на нарушението, санкциониране на неправомерното поведение или и двете, каквато възможност е предвидена в чл. 58, пар. 2, буква „и” от Регламент 2016/679.

Съгласно чл. 10г от ЗЗЛД при упражняване на задачите и правомощията си по отношение на администратори или обработващи лични данни, които са микропредприятия, малки и средни предприятия, КЗЛД следва да вземе предвид техните специални потребности и налични ресурси.

Това следва да се вземе предвид при преценката дали да се наложи административното наказание „имуществена санкция“ вместо друга корективна мярка по чл. 58, параграф 2 от Регламента или в допълнение към нея. Анализ на финансови данни на дружеството показва, че по смисъла на чл. 3 от Закона за малките и средните предприятия администраторът е средно предприятие.

В допълнение към горното, в разглеждания случай са налице редица смекчаващи отговорността обстоятелства, които обосновават налагане на принудителна административна мярка, без налагане на имуществена санкция. Нарушението е първо за администратора, второто искане на субекта е уважено и е уведомен за това, не са настъпили имуществени вреди от нарушението.

При определяне на подходяща корективна мярка се взема предвид, че искането в жалбата за изтриване на личните данни на жалбоподателя е уважено, поради което не е възможно да бъде разпоредено повторното му изпълнение.

Като най-целесъобразна мярка, която има за цел да предотврати бъдещи нарушения, свързани с упражняване на права от субекти на данни, е разпореждане по чл. 58, параграф 2, буква „г“ – администраторът да извърши обучение на персонала си по отношения на искания за упражняване на права по Глава III от Регламент 2016/679.

КЗЛД указва, че при неспазване на влязло в сила разпореждане на надзорния орган по чл. 58, параграф 2 от Регламент 2016/679 може да бъде наложено административно наказание „имуществена санкция“ по чл. 83, параграф 6 от Регламент 2016/679.

Така мотивирана и на основание чл. 38, ал. 3 от ЗЗЛД, Комисията за защита на личните данни

РЕШИ:

  1. Обявява жалба рег. № ПП Н-01-526/06.06.2019 г., подадена от Р.Я. срещу „К.И.” ЕАД

за частично основателна;

  1. На основание чл. 58, параграф 2, буква „г“ от Регламент 2016/679 за нарушение на чл. 12, параграфи 2 и 6 от Регламент 2016/679 разпорежда на администратора „К.И.” ЕАД да извърши обучение на персонала си по отношение исканията на физически лица по Регламент 2016/679;
  2. Срок за изпълнение на разпореждането по т. 2 – три месеца от влизането на решението в сила, след което администраторът да уведоми КЗЛД за изпълнението, като предостави съответните относими доказателства за предприетите действия;
  3. Обявява жалбата за неоснователна в останалата ѝ част.

Настоящото решение може да бъде обжалвано в 14-дневен срок от връчването му чрез Комисията за защита на личните данни, пред Административен съд София – град.

ПРЕДСЕДАТЕЛ:                                                                           ЧЛЕНОВЕ:

Можете да споделите: