Подробности за глобите в размер на 5000 лв. за застраховател и 25 000 лв. за застрахователен брокер
В годишния си отчет за 2020 година, внесен в Народното събрание, Комисията за защита на личните данни е включила няколко от получените жалби, ето какво се крие под заглавието
- Специфични казуси и практика на КЗЛД:
„Що се касае за специфични казуси по жалби, постъпили или разгледани през отчетния период, могат да се посочат следните случаи:
3.1. Комисията за защита на личните данни е сезирана с жалба, подадена от 2 лица, в която са изложени твърдения за неправомерно обработване на личните им данни, в хипотезата на употреба и предоставянето на три имена и ЕГН, без правно основание на трето лице – Националната агенция за приходите (НАП), за подаване на уведомления по чл. 62, ал. 5 от Кодекса на труда във връзка със сключени трудови договори между тях и 46 броя дружества.
В хода на административното производство е установено, че дружествата са микропредприятия по смисъла на Закона за малките и средните предприятия, регистрирани и управлявани от чуждестранни лица от китайски произход. На същите съгласно процесуалния ред по Административнопроцесуалния кодекс (АПК) е предоставена възможността да изразят становище по жалбата.
По преписката е била предоставена допълнителна информация от трето, неучастващо в производството лице – ИА „Главна инспекция по труда“ (ИА ГИТ), от която са разкрити обстоятелствата, че подаваните уведомления за регистриране на трудовите договори са осъществявани от едно и също лице – предлагащо счетоводни услуги, различно от 46-те дружества. В тази връзка и благодарение на съдействието на ИА ГИТ е установено лицето, осъществило нарушението.
Вземайки под внимание събраните доказателства по жалбата, включително липсата на доказателства за сключени между страните трудови договори, КЗЛД се е произнесла с решение за основателност на жалбата по отношение на администратора, осъществил незаконосъобразното обработване на личните данни на жалбоподателите, в нарушение на чл. 6, §1 от Регламента, като съответно за останалите администратори на лични данни жалбата е приета за неоснователна поради липсата на доказателства, сочещи за участието им в незаконосъобразното обработване.
Съответно на администратора е наложена имуществена санкция на основание чл. 58, §2, буква „и“ във връзка с чл. 83, §5, буква „а“ от Регламент (ЕС) 2016/679 в размер на 2000 лв. (две хиляди лева) за незаконосъобразното обработване на личните данни на жалбоподателите във връзка с регистрирани в НАП трудови договори.
3.2. КЗЛД е разгледала жалба срещу интернет сайт, в който в коментар на потребител са посочени лични данни на жалбоподателката. С жалбата се твърди, че липсва основание за публикуването им и същите не са премахнати след изрично отправено заявление чрез предоставената на сайта форма за контакт. На сайта не е посочено лицето, което поддържа сайта – не е посочено наименование, данни за контакт.
Със съдействието на отдел „Киберпрестъпления“ към Главна дирекция „Борба с организираната престъпност“ са установени две хостинг дружества, които поддържат сайта – едно българско и едно индийско.
В хода на производството са установени нарушения на принципите при цялостното обработване на лични данни чрез сайта – по чл. 5, параграф 1, буква „а“ от Регламент 2016/679, съгласно който личните данни следва да са обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субектите на данни, както и на принципа по буква „е“, съгласно който личните данни се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване. Освен това е установена невъзможност за упражняване на права от страна на субектите на данни – нарушение на чл. 12 от Регламент 2016/679. Установено е, че индийското дружество няма установен представител в Европейския съюз – нарушение на чл. 27 от Регламент 2016/679.
Предвид констатираните нарушения на дружествата е наложена мярка по чл. 58, параграф 2, буква „е” от Регламент 2016/679 – временна забрана за обработване на лични данни чрез интернет сайта до предоставяне на доказателства за привеждане на дейността по обработване на лични данни в съответствие с разпоредбите на Регламент 2016/679, описани в решението на КЗЛД.
3.3. КЗЛД е сезирана с жалба срещу структура на МВР, в която се твърди за неправомерно предоставяне на лични данни на гръцки разследващи органи.
В хода на производството е установено, че български разследващи органи са предоставили лични данни на жалбоподателката на гръцки разследващи органи във връзка с водено разследване за извършено престъпление в Република Гърция.
Посоченото предоставяне е извършено въз основа на Рамково решение 2006/960/ПВР на Съвета от 18 декември 2006 г. за опростяване обмена на информация и сведения между правоприлагащите органи на държавите – членки на Европейския съюз, и глава III, раздел II от Закона за министерство на вътрешните работи, озаглавена „Опростен обмен на информация или данни с компетентни органи на държави – членки на Европейския съюз, с цел предотвратяване, разкриване и разследване на престъпления“.
Тъй като предоставянето е извършено в изпълнение на нормативно установени правомощия на администратора, жалбата е обявена за неоснователна.
3.4. Комисията е разгледала жалба с твърдения за неправомерно обработване на личните данни на жалбоподателя от застрахователна компания за целите на издадена застрахователна полица „Гражданска отговорност“ относно автомобил, който не притежава. Проведени са две открити заседание, събрани са множество доказателства, конституирани са три ответни страни, като заинтересована страна е конституиран и Гаранционният фонд (ГФ).
От събраните по преписката доказателства е установено, че на 4.06.2018 г. е сключена задължителна застраховка „Гражданска отговорност на автомобилистите“. Застрахователната полица е сключена чрез застрахователен брокер от служител на брокера. Не е спорно, че за сключване на полицата данните за собственика на МПС-то са въведени ръчно от служителя, заимствани от представен от трето лице талон за регистрация на автомобила, като следва да се отбележи, че твърденият като причина за това въвеждане „моментен срив“ на Единната информационна система за оценка, управление и контрол на риска в това число и издаване на полици (ЕИСОУКР) към Гаранционен фонд (ГФ) не е доказана от страна на дружеството. Твърдението е оспорено от ГФ, откъдето информират, че към датата на подаване на информацията към регистрите на ГФ не е имало технически проблеми, които да възпрепятстват процесите на отчитане на застрахователните полици и за такъв ГФ не е уведомяван от застрахователната компания. Още повече, в системата информация за полицата е подадена на 4.06.2018 г. в 16:13 часа, като за същата е отразено, че се отнася за МПС, собственост на юридическо лице, а жалбоподателят е вписан като застраховащ. В издадена от застрахователя чрез застрахователния брокер полица обаче жалбоподателят е вписан като собственик на автомобила, какъвто не е спорно между страните, че не е, а данните му – три имена, ЕГН и адрес, са вписани и обработени за издаване на полицата, генерирана от застрахователя именно в това му качество, като собственик на автомобила.
Предвид горното Комисията е приела, че обработването на личните данни на жалбоподателя за сключване на застрахователната полица от застрахователния брокер е незаконосъобразно, без правно основание, доколкото жалбоподателят не е собственик на МПС-то. Предвид обстоятелството, че данните са въведени ръчно в софтуера на застрахователя от служител на застрахователния брокер, е прието, че обработването е и недобросъвестно, а и целенасочено, доколкото автоматично генерираният от базата данни на МВР собственик на МПС-то е юридическо лице от категорията „завишен индивидуален риск“, което налага завишаване на застрахователната премия и заплащане на различна, по-висока премия от тази, изчислена за жалбоподателя. Нарушен е основен принцип за законосъобразност и добросъвестност при обработване на данните, разписан в чл. 5, §1, буква „а“ от ОРЗД, същата норма, приложима доколкото обработването е извършено след 25.04.2018 г., а Регламентът има пряко приложение.
Събраните по преписката доказателства и изявленията на страните и техните процесуални представители свидетелстват и за друго допуснато от застрахователния брокер нарушение, а именно такова по чл. 32, §4 от ОРЗД. Безспорно е, че личните данни на жалбоподателя са предоставени на застрахователния брокер за сключване на процесната застрахователна полица от физическо лице, действащо под ръководството на брокера. Същото е предоставило копие на талон за регистрация на автомобила, в който са вписани лични данни на жалбоподателя като собственик на МПС-то, като не е спорно, че лицето не е контактувало лично с жалбоподателя, а документите за сключване на застраховката са му предоставени от трето лице. По преписката липсват ангажирани доказателства за изпълнение на задължението по чл. 32, §4 от Регламента – предприети стъпки всяко физическо лице, действащо под тяхно ръководство, което има достъп до лични данни, да ги обработва само по указания на администратора или обработващия, а действията на физическото лице и изявленията на процесуалния представител на брокера свидетелстват за липса на предприети от последния стъпки, респективно въведени организационни мерки, проведени обучения или дадени инструкции на физическото лице, свързани с обработването на лични данни, още по-малко пък за предприети от дружеството стъпки за контрол, превантивен, текущ или последващ, върху действията на физическото лице. Представените от дружеството Вътрешни правила за защита на личните данни не променят този извод, доколкото същите са по-общо формулирани и не съдържат конкретика.
Събраните в производството доказателства обосновават извод и за допуснато от страна на застрахователя нарушение по чл. 25, §1 от Регламента. Цитираната разпоредба вменява в задължение на последния да въведе подходящи технически и организационни мерки, за да гарантира, че обработването на данните се извършва в съответствие с ОРЗД. Фактът, че софтуерът на дружеството допуска манипулиране на автоматично генерираните данни от системата на МВР за собственик на автомобил, свидетелства, че мерките, предприети от застрахователя, не са подходящи, а същите са и явно недостатъчни да гарантират ефективно защита на личните данни от неправомерно обработване. Като доказателство за последното е и твърдението на дружеството, обективирано в писмено становище, депозирано в хода на производството, в което се сочи „софтуерът на Дружеството ни не е съвършен“, а също и предприетите на по-късен етап действия по промяна в софтуера, с която „е отнета възможността“ за редактиране на данните за собственика на МПС, подадени от ЕИСОУКР. За липса на предприети от застрахователя подходящи мерки свидетелстват и констатираният от застрахователния брокер „недостатък на застрахователния софтуер на застрахователя, който недостатък се изразява в следното: липсата на връзка между застрахования и притежавания от него автомобил“, недостатък, за който обаче липсват ангажирани доказателства брокерът да е уведомил застрахователя.
С оглед характера на констатираните нарушения на чл. 5, §1, буква „а“ и чл. 25, §1 от ОРЗД и предвид обстоятелството, че същите са довършени и са неотстраними Комисията е ангажирала административнонаказателната отговорност на застрахователя и застрахователния брокер с наложени на дружествата имуществени санкции съответно в размер на 5000 лв. (пет хиляди лева) и 25 000 лв. (двадесет и пет хиляди лева).
По отношение на констатираното нарушение на чл. 32, § 4 от Регламента Комисията с оглед съобразяване на поведението и действията на дружеството с нормативните актове и възстановяване на спазването на правилата в сферата на защита на личните данни е наложила на застрахователния брокер корективна мярка по чл. 58, § 2, буква „г“ от ОРЗД – разпореждане дружеството да съобрази операциите по обработване на лични данни с разпоредбите на чл. 29 и чл. 32, § 4 от Регламента, като предприеме мерки всяко лице, действащо под негово ръководство, да обработва данните по указания на дружеството, същите съобразени с ОРЗД, ЗЗЛД и специалния закон. Предоставен е срок за изпълнение на разпореждането – един месец от влизане на решението в сила, след което да уведоми Комисията за изпълнението, като представи съответните доказателства. …“
Очаквайте продължение
