Какви специфични казуси по жалби включи в отчета си Комисията за защита на личните данни? Vol 2

Искане за достъп до обработвани лични данни, коствало на администратора 5 000 лева, служител на НАП в отпуск дава на електронна медия справка за осигурителния доход на публична фигура

В годишния си отчет за 2020 година, внесен в Народното събрание, Комисията за защита на личните данни е включила няколко от получените жалби, ето какво се крие под заглавието

  1. Специфични казуси и практика на КЗЛД:

Продължение от 28 април

3.5. Комисията за защита на личните данни е сезирана с жалба, в която се сочи, че жалбоподателят е изпратил искане за упражняване на правото му на достъп до обработваните от администратора негови лични данни, както и на правото му „да бъде забравен“, съответно по чл. 15 и чл. 17 от Регламент (ЕС) 679/2016. Твърди, че АЛД не е предприел действия по отправените искания.

В хода на административното производство е установено, че в действителност такива искания са отправени на електронната поща на администратора. АЛД излага довод, че не е отговорил на искането на субекта на лични данни, тъй като последният не е съобразил исканията си с процедурата, постановена от вътрешните правила на администратора, което според администратора е довело до невъзможност да бъде идентифициран субектът.

Съгласно чл. 12, §4 от Регламент (ЕС), ако АЛД не предприеме действия по искане на субект на лични данни, АЛД е длъжен да уведоми субекта на данни в срок до един месец за причините такива действия да не бъдат предприети. КЗЛД е установила, че АЛД не е спазил това свое задължение, като е уведомил субекта на данни повече от 4 (четири) месеца след изтичане на законоустановения срок и едва след като е узнал за образуваното административно производство пред Комисията.

С оглед гореизложеното Комисията е обявила жалбата за основателна и е наложила имуществена санкция от 5000 лв. (пет хиляди лева) на администратора на лични данни.

 

3.6. Предмет на разгледана от КЗЛД жалба са твърдения за неправомерно обработване на лични данни от две дружества – администратори на лични данни. Жалбоподателят информира, че на 15.05.2019 г. е узнал, че дружествата са обработили личните му данни без негово съгласие, нарушавайки Регламент (ЕС) 679/2016. В жалбата си излага твърдение, че от дружеството „М.“ многократно са звънели на личния му телефон, заплашвали са го със съд и са го насилвали да подписва споразумение. Навежда твърдение за нарушение от страна и на дружеството „У. Б.“, изразяващо се в предоставяне на негови лични данни на трета страна без съгласието му. На 19.03.2012 г. е подписан договор между „У. Б.“ и жалбоподателя. В чл. 15.1.10 от договора, независимо от разпоредбата на чл. 99 от Закона за задълженията и договорите, страните са се договорили, че кредитополучателя декларира и потвърждава, че е съгласен кредиторът да прехвърли вземанията си срещу кредитополучателя в полза на трето лице, докато в чл. 15.1.11 кредитополучателя декларира и потвърждава, че „(…) е получил и приема предоставената от кредитора информация по чл.19, ал. 1 от ЗЗЛД и депозира декларация във връзка с този закон“.

На 22.06.2015 г. между „У. Б.“ и „М.“ е подписан договор за прехвърляне на вземането. С оглед извършената цесия, ползвайки се от встъпването в правата на неудовлетворен кредитор, „М.“ е сключило споразумение с жалбоподателя на 12.07.2016 г. Видно от съдържанието на споразумението (т. 2 от преамбюла на същото), жалбоподателят, в качеството си на длъжник и страна по споразумението, е надлежно уведомен за извършеното прехвърляне на вземането. Съгласно чл. 12, ал. 3 от споразумението с подписването на същото длъжникът изразява изричното си съгласие да получава от кредитора съобщения, уведомления, брошури, писма, електронна кореспонденция и други по факс, имейл или друго техническо средство, което изключва възможността за неточно възпроизвеждане на изявлението.

В хода на производството е установено, че жалбоподателят е получил писмено уведомление, заведено в „М.“ с изх. номер, за прехвърляне на неговото задължение от „У. Б.“ на „М.“ през септември 2016 г., което е удостоверено с пощенско клеймо, положено върху обратна разписка (известие за доставяне).

С оглед на така установената фактическа обстановка жалбата е обявена за недопустима, подадена след изтичане на законоустановения срок, а административното производство е прекратено.

 

3.7. Казус, разгледан от КЗЛД през 2020 г., касае публикувана в електронна медия статия, съдържаща лични данни на жалбоподателя, публична фигура, към която е поместена справка от НАП, в която се съдържат данни за социалноосигурителния му статус.

Жалбоподателят заявява, че не е изразявал съгласие за публикуване на въпросната информация и не е търсен от собствениците на сайта или от списващите го журналисти, за да даде разрешението си за публикуването ѝ. Независимо че част от личните данни в поместената справка от НАП са заличени, според жалбоподателя „по никакъв начин не се възпрепятства идентифицирането му като физическо лице – в качеството му на субект на данните, и подчертава, че в текста на статията допълнително е уточнено за кого се отнасят изнесените данни, като в допълнение е публикувана и фотографията му.

Осъществена е проверка на място при един от администраторите на лични данни, събрани са множество доказателства по предмета на жалбата, конституирани са две ответни страни, проведени са две открити заседания.

Доказателствените материали, събрани по административната преписка, свидетелстват, че данни за жалбоподателя – в обем: име и фамилия, със заличаване на бащино име, ЕГН, част от адрес с изключение посочване на град и със заличено наименование на осигурител, съдържащи се в „Справка за осигуряването по ЕГН за периода от 1.01.1998 г. до 31.12.2019 г. на жалбоподателя“, придружават – във вид на факсимиле, публикация в съответната електронната медия, администрирана от юридическо лице – администратор на лични данни.

Комисията счита, че дори и да се приеме, че обработването на личните данни на жалбоподателя е необходимо за упражняване на правото на свобода на изразяване, на правото на информация и на за изпълнение на задача от обществен интерес, които обуславят необходимост от информиране на обществото, не би следвало публикацията в електронната медия да е придружена от факсимиле на „Справка за осигуряването по ЕГН за периода от 1.01.1998 г. до 31.12.2019 г. на жалбоподателя“, в което не е заличен осигурителният доход на жалбоподателя, още повече че целта на публикуваната информация е свързана с доказване липса – по отношение на жалбоподателя, на изискуемия трудов стаж за заемане на съответната длъжност. Приема, че разпространяването на информация, отнасяща се до икономическата идентичност на субекта на данните, се явява прекомерно и е непропорционално по отношение целта на обработване на личните данни. В този смисъл администраторът на лични данни с публикуване на факсимилето на въпросната справка без заличаване на осигурителния доход на жалбоподателя е обработил негови лични данни – в хипотезата на разпространението им, без да се ограничи до необходимото във връзка с целите, за които се обработват, което представлява нарушение на чл. 5, §1, б. „в“ от ОРЗД.

Същевременно в административното производство по безспорен начин е установен неправомерен досег до обработваните от НАП лични данни на жалбоподателя посредством нерегламентираното им достъпване от служител на агенцията, което представлява нарушение на чл. 32, §4 от ОРЗД.

Предвид събраните по преписката доказателства се налага изводът, че администраторът на лични данни – НАП, не е предприел необходимите технически и организационни мерки за защита на личните данни на жалбоподателя от неправомерен достъп или предприетите такива са явно недостатъчни с оглед обстоятелството, че съдържащите се в регистрите на НАП данни на жалбоподателя са достъпвани – без доказана служебна необходимост, от служител, ползващ платен годишен отпуск.

Жалбата е приета за основателна както по отношение на електронната медия – за нарушение на чл. 5, §1, б. „в“ от ОРЗД, така и по отношение на НАП – за нарушение на чл. 32, §4 от ОРЗД.

Предвид констатираното нарушение и обстоятелството, че същото не е преустановено към датата на произнасяне на КЗЛД, на основание чл. 58, §2, б. „г“ от ОРЗД на юридическото лице – собственик на електронната медия, е издадено разпореждане за заличаване на данните относно осигурителния доход на жалбоподателя, касаещи икономическата му идентичност, от факсимилето, приложено към процесната жалба, в срок не по-късно от 3 (три) дни от влизане на решението в сила.

На основание чл. 58, §2, б. „г“ от ОРЗД на НАП е издадено разпореждане за въвеждане на допълнителни, системни контроли – на случаен принцип, за установяване на неправомерен достъп и незаконосъобразно обработване на лични данни, както и за предприемане на мерки за ограничаване на достъпа на служителите до бази данни на НАП в извънработно време и по време на ползвания от тях отпуск. Определен е срок за изпълнение на разпореждането – три месеца от влизане в сила решението на КЗЛД.

Можете да споделите: