В телевизионно предаване почти минута показват ЕГН

Как реагира на това Комисията за защита на личните данни? Защо медиите трябва да имат Технически и организационни мерки за обработване на лични данни и План за действие в случай на нарушение на сигурността на данните?

В бюлетина на Комисията за защита на личните данни е публикувано решение, свързано с показването на ЕГН по време на телевизионни предаване. Ето и самото решение:

Административното производство е по реда на чл. 38 от Закона за защита на личните данни (ЗЗЛД).

Комисията за защита на личните данни е сезирана с подадена от Т.Х. жалба с изложени твърдения за неправомерно обработване на личните ѝ данни посредством разпространението им чрез телевизионното предаване, същото достъпно на електронен адрес в платформата youtube.com.

Жалбоподателката информира, че по време на интервю в ефир, „за доста продължителен период“ са показани нейни лични данни, в това число единен граждански номер.

Към жалбата не са приложени доказателства, същата е адресира и до съответната електронна медия (Е.М.) и Съвета за електронни медии.

В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, на 28.04.2020 г. е направена екранна разпечатка на съдържанието на посочения в жалбата електронен адрес, обективирана в протокол ППН-01-267#1/28.04.2020 г.

От Съвета за електронни медии е изискана информация за извършената по случая проверка, предвид обстоятелството, че жалбата е адресиран и до този орган.

В отговор от СЕМ прилагат запис на процесното предаване, излъчено от доставчика на медийна услуга, с уточнението, че предоставения запис се различава от архивния запис на предаването, наличен на сайта на Е.М., в който единният граждански номер на г-жа Т.Х. е заличен с телевизионна маска, като в края на разговора със събеседника се виждат за кратко само част от цифрите. Сочат, че в оригиналния запис от ефирното излъчване единният граждански номер се вижда изцяло и престоява на екран почти минута.

В тази връзка и в съответствие с принципите на равенство на страните в административното производство и истинност, Е.М. е уведомен за образуваното производството, указана му е възможността да ангажира писмено становище по изложените в жалбата твърдения и да представи относими доказателства относно законосъобразното обработване на лични данни на жалбоподателката.

В писмен отговор ППН-01-267#5/01.06.2020 г., с приложени към него относими доказателства, от дружеството не оспорват изложените в жалбата твърдения. Сочат, че по случая е извършена вътрешна проверка, репортажът е бил незабавно свален и направен недостъпен за зрители на Е.М. по всички канали на разпространение, включително и YouTube. Информират за внедрени и използвани от дружеството програмни продукти, в случая Fast blur на софтуер за обработка Adobe Premiere Pro, за автоматично заличаване на част от кадри с т. нар „маска“. Допълват, че излъчването в ефир на ЕГН на жалбоподателката е в резултат на човешка грешка при използване на продукта, за която монтажиста е санкциониран по реда на Кодекса на труда.

На проведено на 26.08.2020 г. заседание на КЗЛД жалбата е приета за редовна и допустима -съдържа задължително изискуеми реквизити, подадена е в срока по чл. 38, ал. 1 от ЗЗЛД, от физическо лице с правен интерес, срещу надлежна страна администратор на лични данни по смисъл чл. 4, ал. 7 от Регламента. Сезиран е компетентен да се произнесе орган – КЗЛД, която съгласно правомощията си по чл. 10, ал. 1 от ЗЗЛД във връзка с чл. 57, § 1, буква „е“ от Регламент (ЕС) 2016/679, разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на субекти на данни свързани с обработване на личните данни, като не са налице изключенията по чл. 2, § 2, буква „в“ и чл. 55, § 3 от регламента предвид обстоятелството, че случая не касае дейности по обработване извършвани от физическо лице в хода на чисто лични или домашни занимания и/ или дейности извършвани от съдилищата при изпълнение на съдебните им функции. Не са налице отрицателните предпоставки посочени в чл. 27, ал. 2 от АПК.

Като страни в производството са конституирани: жалбоподател – Т.Х. и ответна страна – Е.М., администратор на лични данни по смисъл чл. 4, ал. 7 от Регламента, доставчик на медийната услуга телевизия. Насрочено е открито заседание за разглеждане по същество на 30.09.2020 г. за което страните са редовно уведомени.

С оглед изясняване на случая от фактическа страна и съобразно разпределянето на доказателствената тежест в процеса от ответната страна са изискани: заверено копие на въведени от дружеството технически и организационни мерки относно обработването на лични данни, в частност такива, свързани с използването на програмни продукти за автоматично заличаване на кадри, съдържащи лични данни; резултатите от извършената по случая проверка; данни за конкретната дата на която твърдяното нарушение е преустановено; информацията за дата на която ЕГН на жалбоподателката е заличено от каналите за разпространение на предаването, както и вътрешни правила и/или процедури относно разпространението на предаването в YouTube.

В последователни отговори ППН-01-267#11/23.09.2020 г. и ППН-01-267#12/24.09.2020 г. от дружеството информират, че на 10.04.2020 г. лицето отговарящо за защита на личните данни, обработвани от администратора, е сигнализирано за процесното нарушение – нерегламентирано излъчване на лични данни – ЕГН на жалбоподателката, като същия ден е получена и жалба от г-жа Т.Х. с идентичен предмет. Информират, че възложена и извършена незабавна проверка е установила, че ЕГН на жалбоподателката е излъчено е ефира на медията и конкретното предаване във времеви интервал от 40 секунди. Още същия ден въпросният материал е свален от каналите на излъчване на предаването, включително You Tube и е коригиран. Уточняват, че предаването е излъчено телевизионно във вида, съдържащ лични данни – ЕГН на г-жа Т.Х. само еднократно, на 01.04.2020 г. Информират за въведени от администратора Технически и организационни мерки за обработване на лични данни и План за действие в случай на нарушение на сигурността на данните, копие от който прилагат, ведно с Инструктаж от 11.04.2020 г. за обработка на аудио-визуални материали с цел предотвратяване на нерегламентираното излъчване на лични данни в ефира на телевизионните програми на Е.М.

По отношение на разпространението на предаването в YouTube сочат, че „излъчването на предаването на 01.04.2020 г., става едновременно в канала YouTube, като в последствие то остава в същия, като достъпно за потребителите“, съобразно общите правила и условия на канала. Уточняват, че „администрирането на процеса по качване на съдържание и респективно корекция на същото се извършва от администратора Е.М.

На проведено на 30.09.2020 г. заседание на комисията, жалбата е разгледана по същество.

Жалбоподателката – редовно уведомена, не се явява, не се представлява.

Ответната страна – редовно уведомена, представлява се от адвокат Н. и П.С., с представени в заседанието пълномощни. Процесуалните представители декларират, че са запознати във събраните по преписката материали, не сочат нови доказателства, нямат искания по доказателствата. Твърдят, че показания в ефир документ, съдържащ лични данни на жалбоподателката, е част от публичен регистър, предвид което съдържащите се в него лични данни са общодостъпни. Сочат, че администраторът е действал добросъвестно и след констатиране на допуснатата техническа грешка е предприел незабавни мерки за отстраняване на нарушението, като в последствие е въвел допълнителни организационни мерки свързани с предварителен контрол относно представените на медията материали, излъчвани в ефир.

В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл. 7 от АПК, изискващ наличието на установени действителни факти и предвид събраните доказателства и наведените твърдения, комисията приема, че разгледана по същество жалба № ППН-01- 267/13.04.2020 г. е основателна.

Предмет на жалбата е неправомерно обработване – разпространение на лични данни – единен граждански номер на жалбоподателката посредством излъчването му в телевизионно предаване.

Между страните няма спор по фактите. Ноторно е, че Е.М. е доставчик на медийни услуги – телевизионна програма. Видно от справка в Публичния регистър към СЕМ е издадено Удостоверението за регистрация на услугата с начална дата на разпространение 01.11.2001 г. и обхват – национален.

Не е спорно също, че в ефира на медията на 01.04.2020 г. е излъчено телевизионно предаване, същото едновременно излъчвано и в You Tube канала на предаването, където в последствие и достъпно за потребителите на платформата на адрес ***1. Архивен запис на предаването е достъпен и на сайта на медията на адрес ***2.

Не е спорно и видно от представения от СЕМ запис на предаването излъчено в ефира на медията е, че в рамките на същото, във времеви интервал от около минута, в ефир е показан документ, съдържащ лични данни на жалбоподателката в обем три имена, единния граждански номер и заемана длъжност.

Документът е предоставен от гост в предаването, като между страните не е спорно, че личните данни на жалбоподателката са обработени, разпространени до неограничен кръг от лица, чрез показването им в ефира на медията без нейно знание и съгласие. Следва да се отбележи, че информацията за имената и заеманата от г-жа Т.Х. длъжност е общоизвестна, поради което и разпространението ѝ не е предмет на жалбата. Предмет на жалбата е разпространение на лични данни – единен граждански номер на жалбоподателката посредством излъчването му в телевизионно предаване, факт който е безспорен.

Обработването е незаконосъобразно, като този извод не се променя от обстоятелството, че се касае за обработване на ЕГН-то от медия в рамките на журналистическа дейност, осъществяване на свобода на изразяване и право на информация, доколкото не е съобразено зачитането на неприкосновеността на личния живот на лицето и доколкото ЕГН-то на лицето е неотносимо към дебата в предаването касаещ иновации при лечение на пандемията от COVID-19.

Нарушението е извършено еднократно на 01.04.2020 г. по отношение на показване на данните/ЕГН-то в ефира на медията. Предаването обаче е излъчено едновременно и в канала YouTube, като в последствие то остава в същия, като достъпно за потребителите на платформата, във вида, в който е излъчено. В тази връзка се налага изводът, че нарушението е продължавано по отношение на разпространението на личните данни посредством платформата You Tube, в периода 01.04 -10.04.2020 г., когато материалът е свален и коригиран.

Събраните по преписката доказателства и твърденията на страните свидетелстват, че администратор на лични данни, съдържащи се в излъченото в ефира на медията предаване и достъпното посредством платформата You Tube, е Е.М. – дружество определя целите и средствата за обработване на данните, а по отношение на платформата е отговорно за процеса по качване на съдържание и респективно корекция на същото. За последното свидетелстват и взетите в последствие мерки за преустановяване на нарушението, извършената вътрешна проверка и проведен Инструктаж от 11.04.2020 г. за обработка на аудио-визуални материали с цел предотвратяване на нерегламентираното излъчване на лични данни в ефира на телевизионните програми на Е.М.

Видно от представените доказателства администраторът им разписана политика за поверителност, приета май 2018, допълнена на 22.05.2020 г. в отделен документ Технически и организационни мерки за обработване на лични данни и План за действие в случай на нарушение на сигурността на данните от 15.05.2018 г. подробно е разписан механизмът на работа с документи, съдържащи лични данни относно излъчването им в телевизионен ефир. В т. 3 от същите е посочено, че „с цел недопускане на излъчване на лични данни в предавания, излъчвани на запис, следва да се осигури обучения на всички оператори, работещи в телевизията за работа с програмен продукт Adeobe Premier Pro. Преди излъчването на всяко предаване същото да се преглежда от дежурния видеомонтажист с цел недопускане на нарушение на ЗЗЛД. При наличие на лични данни в предаването да се използва горепосочения програмен продукт и ефекта Fast Blur за заличаване на съответните лични данни чрез тяхното замъгляване.“

В случая обаче указанията на администратора не са изпълнени, допусната е грешка, за която и ответната страна признава, при работа с внедрени и използвани от дружеството програмни продукти, в случая Fast blur на софтуер за обрабока Adobe Premiere Pro, за автоматично заличаване на част от кадри с т. нар „маска“, в резултат на което  ЕГН-то на лицето не е заличено от документа, показан в ефира на предаването. Монтажистът е санкциониран по реда на Кодекса на труда със „Забележка“, видно от Заповед № 01-10/10.04.2020 г., на 10.04.2020 г. нарушението е преустановено, проведен е и допълнителен инструктаж на 11.04.2020 г. Предприетите от дружеството действия в тази насока обаче не санират нарушението, доколкото същото е резултатно, а администраторът е следвало да предприеме стъпки всяко физическо лице, действащо по негово ръководство, което има достъп до лични данни, да ги обработва само по начин, указан от администратора – чл. 32, § 4 от ОРЗД.

Факт е, че дружеството преди констатиране на нарушението е разписало процедура относно обработване на лични данни, въведени са и технически мерки за тяхната защита, като в последствие е проведен и допълнителен инструктаж, същите обаче са явно недостатъчни от организационна гледна точка на превантивен и текущ контрол, като следва да се отбележи, че липсват протоколи за приемане и проверка на предоставените за излъчване материали, съдържащи лични данни, липсват разработени и внедрени формуляри или чек лист по отношение на необходимите и задължителни действия по проверка на съдържанието на материалите и привеждането на съдържанието им, излъчено в ефир, в съответствие с нормативната база за защита на личните данни.

Предвид събраните по преписката материали и с оглед характера на нарушението, неговата продължителност, вида на обработваните лични данни, предприетите от дружеството мерки за преустановяване на нарушението, съдействието на КЗЛД при изясняване на случая и не на последното място обстоятелството, че нарушението е първо за администратора, както и предвид дейността му, комисията счита за целесъобразно издаването на разпореждане по чл. 58, § 2, буква „г“ от ОРЗД, като намира, че налагането на имуществена санкция за констатираното нарушение би била прекомерна и в нарушение на принципа на съразмерност по чл. 6 от АПК съгласно който „когато с административния акт се засягат права или се създават задължения за граждани, се прилагат онези мерки, които са по-благоприятни за тях, ако и по този начин се постигне целта на закона“. Счита, че упражненото корективно правомощие отговаря на търсените от ЗЗЛД и Регламент 2016/679 ефективност и възпиращ ефект, като в същото време не нарушава принципа на пропорционалност и изискването за съразмерност.

Водима от горното и на основание чл. 38, ал. 3 от ЗЗЛД, Комисията за защита на личните данни,

РЕШИ:

  1. Обявява жалба № ПП Н-01-267/13.04.2020 г., подадена от Т.Х. срещу електронна медия, за основателна.
  2. На основание чл. 58, § 2, буква „г“ от Регламент ЕС 2016/679 и за нарушение на чл. 32, § 4, от регламента издава разпореждане на електронната медия да съобрази операциите по обработване на личните данни с разпоредбите на ОРЗД, като предприеме и разпише допълнителни мерки и стъпки по текущ, предварителен и последващ контрол относно обработка на аудио-визуални материали, включително чрез въвеждане на протоколи за действия и отчетност при проверка на съдържанието им, с цел предотвратяване на нерегламентираното излъчване на лични данни в ефира на телевизионните програми на електронната медия и в платформата You Tube.
  3. Срок за изпълнение на разпореждането – три месеца от влизане на решението в сила, след което да уведоми комисията за изпълнението, като представи съответните доказателства.

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни, пред Административен съд София – град.

ПРЕДСЕДАТЕЛ:                                       ЧЛЕНОВЕ:

Можете да споделите: