Още една неоснователна жалба до Комисията за защита на личните данни – явно скоро не са налагани глоби, заслужаващи популяризиране

Жалбоподателят посочва, че за малолетните деца, от това което е чел в GDPR, е задължително родител или законен представител да даде одобрението за обработка на личните данни.

В новия брой на бюлетина на Комисията за защита на личните данни отново са публикувани решения по неоснователни жалби на граждани. Ето едно от тях:

РЕШЕНИЕ

№ ППН-01-192/2020

София, 20.04.2021 г.

Комисията за защита на личните данни („Комисията”/„KЗЛД”) в състав: Председател – Венцислав Караджов и членове – Цанко Цолов, Мария Матева и Веселин Целков, на редовно заседание, проведено на 10.03.2021 г., на основание чл. 10, ал. 1 от Закона за защита на личните данни във връзка с чл. 57, параграф 1, буква „е” от Регламент 2016/679, разгледа жалба № ППН-01-192/06.03.2020 г., подадена от Б.С.

Административното производство е по реда на чл. 38 от Закона за защита на личните данни (ЗЗЛД).

Жалбоподателят информира, че в периода 18-25 януари прекарал зимната ваканция в Банско с цел ски. За целта закупил ски-пас за него и спътниците му (снаха му и двете ѝ малки момиченца).

Г-н Б.С. бил много изненадан, че администраторът на лични данни поискал снимки и регистрирал личните данни на всички лица без никакво съгласие. Посочва, че няма информация на сайта на кабинковия оператор или на мястото относно необходимостта от обработка на лични данни. Освен това, съпругата на жалбоподателя използвала неговия ски-пас на втория ден и охраната го прекратила с обяснението, че ски-пасът е като личен документ (документ за самоличност) и затова не може да се прехвърля. Отново няма информация относно това как работят с личните данни и каква е целта.

Жалбоподателят посочва, че за малолетните деца, от това което е чел в GDPR, е задължително родител или законен представител да даде одобрението за обработка на личните данни. Г-н Б.С. посочва, че не е родител, нито законен представител на двете деца.

Жалбоподателят забелязал, че операторът иска лични данни само за дългосрочни ски карти (6 дни), тъй като когато е закупил такава за два дни, операторът не ги е поискал.

В условията на залегналото в административния процес служебно начало и в изпълнение на чл. 26 АПК, за започване на производството е уведомено заинтересованото лице – „Ю.“ АД.

Предоставена е възможността по чл. 34, ал. 3 АПК за изразяване на становище с относими доказателства по предявените в жалбата твърдения. В Комисията постъпи отговор за неоснователност на жалбата.

От Ю. посочват, че дружеството оперира в сферата на туризма и предоставя туристически услуги на територията на Ски център Б.

Обработването на посочените в жалбата на г-н Б.С. лични данни: имена и снимка, се обосновава от разпоредбата на член 6, параграф 1, буква „б”, предл. първо от Регламент (ЕС) 2016/679, а именно обработването е „необходимо за изпълнението на договор, по който субектът на данните е страна.“

Закупуването на лифт карта, поражда насрещни задължения за двете страни по своеобразно сключения договор за ползване на услуга, с оглед точното му изпълнение. Задълженията включват от една страна предоставянето на услуги от дружеството, а от друга – с ползването на тези услуги от клиента, при стриктно спазване на установени от дружеството правила. Тези правила са публикувани на сайта на дружеството и са общодостъпни за всички клиенти, ползващи предлаганите от „Ю.“ АД услуги.

В Общите правила е ясно разписано, че всеки клиент на Ски центъра, ползващ услугите и упражняващ дейностите, посочени в тези общи условия и правила, е длъжен да се запознае с техните разпоредби.

Записано е също, че чрез закупуването на услуга или упражнявайки зимни спортове на територията на Ски зона Б, т.е. извършвайки дейност, регламентирана с утвърдените правила и общи условия, клиентът се съгласява с посочените в тях общи и специални правила по отношение на конкретната услуга и/или дейност. т. 79 от Общите правила гласи, че е забранено преотстъпването на лифт картите и билетите на трети лица. Това правило е ясно записано и на гърба на самите лифт карти.

Т. 80 от Общите правила, базирайки се на чл. 27, ал. 3 от Наредбата за обезопасяване и информационна обезпеченост на ски пистите в Република България, гласи, че всяко ползване на лифт карти и билети в разрез с утвърдените общи условия /в това число ползване на лифт карта от лице, различно от това, на което картата е издадена/ се счита за нарушение, като при констатиране на нарушение от оторизираните за целта лица, лифт картата/билетът се блокира/деактивира.

Обработването на данните при закупването на лифт картите е необходимо не само от гледна точка на контрола по изпълнението на договора, по който субектът на данните е страна, но и с оглед осигуряване на обществения ред в ски зоната и осъществяване на законови задължения/правомощия.

Нещо повече, в конкретния случай, обработването е необходимо за спазването на нормативно задължение/правомощие, което е възложено на „Ю.” АД. Дружеството е концесионер на „Ски-зона с център град Б”, т.е. то е лице по смисъла на чл. 157, ал. 1 от Закона за туризма. Като такова лице, съгласно чл. 25, ал. 1 от Наредба за обезопасяването и информационната обезпеченост на ски пистите в Република България и за определяне правилата за безопасност върху територията на ски пистите и ски зоните и за организацията на работата на патрулите, Ю. назначава ски патрул. Ски патрулът, съгласно чл. 27, ал. 1, освен контрола по чл. 24, ал. 1 извършва и контрол за спазване на правилата за безопасно поведение, както и правилата за ползване на ски зоната/ски пистата, установени от лицето по чл. 157, ал, 1 от Закона за туризма. Съгласно ал. 2 от тази разпоредба, при изпълнение на служебните си задължения ски патрулите имат право да отправят предупреждение към лицата, които не спазват правилата за безопасно поведение, правилата за опазване на обществения ред, както и правилата за ползване на ски зоната/ски пистата, установени от лицето по чл. 157, ал. 1 от Закона за туризма. При неизпълнение на отправеното предупреждение ски патрулът има право да ограничи достъпа на нарушителите до съоръжението/съоръженията, обслужващо/обслужващи ски зоната/ ски пистата чрез деактивиране на лифт картата или по друг подходящ начин. Интерес в конкретния казус представлява разпоредбата на ал. 3 от чл. 27 от Наредбата, съгласно която деактивиране на лифт карта се извършва при установяване ползването на:

  1. поименна лифт карта/идентификационна карта със снимка от лице, различно от лицето, на което е издадена;
  2. лифт карта с подправен срок на валидност и/или с подправени имена и снимка.

Изводът е, че дружеството има правомощието да деактивира поименни лифт карти и такива със снимки при извършени нарушения на установения ред за ползване на ски зоната и на самите карти, т.е. самата правна норма допуска да има такива персонализирани лифт карти.

Относно прозрачността на обработването на лични данни се посочва, че Общи правила за ползване на ски пистите и въжените линии и общи условия за издаване, продажба, валидност и ползване на билети и лифт карти в ски зоната с център гр. Б, както и политиката за поверителност, която информира за обработването на личните данни, са общодостъпни на официалния сайт на дружеството, а жалбоподателят безспорно знае това и очевидно се е информирал и ги е видял и на сайта, след като е приложил към жалбата копие именно от сайта, където са поместени.

На основание чл. 34, ал. 3 от АПК на жалбоподателя също е предоставена възможността да се запознае с изразеното от ответната страна становище и представените доказателства. Предоставен е срок за изразяване на становище, правене на възражение или искане. В законоустановения срок не постъпи становище.

По редовността и допустимостта на жалбата КЗЛД намира следното:

Разглежданата жалба е съобразена с изискванията за редовност по чл. 29 от АПК, чл. 38, ал. 2 от ЗЗЛД и по чл. 28, ал. 1 от Правилник за дейността на Комисията за защита на личните данни и нейната администрация (ПДКЗЛДНА) – налице са данни за жалбоподателя; естество на искането; дата на узнаване на нарушението; лице, срещу което се подава жалбата; дата и подпис.

Жалбата е процесуално допустима – подадена в срока по чл. 38, ал. 1 от ЗЗЛД от субект на данни с правен интерес. Същата има за предмет твърдение за нарушаване на права по Регламент 2016/679 или ЗЗЛД. С жалбата е сезиран компетентен да се произнесе орган – Комисията за защита на личните данни, която съгласно правомощията си по чл. 10, ал. 1 ЗЗЛД във връзка с чл. 57, параграф 1, буква „е” от Регламент 2016/679 разглежда жалби, подадени от субекти на данни. Налице са предпоставките за допустимост и по чл. 27, ал. 2 от АПК.

При така установеното КЗЛД разгледа жалбата, като установи следното:

Комисията за защита на личните данни е независим надзорен орган, който осъществява защита на лицата при обработване на техните лични данни и при осъществяване на достъпа до тези данни, както и контрола по спазване на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (накратко „Регламента” или Регламент 2016/679) и Закона за защита на личните данни (ЗЗЛД). Една от задачите на КЗЛД по чл. 10, ал. 1 ЗЗЛД във връзка с чл. 57, параграф 1, буква „е” от Регламент 2016/679 е да разглежда жалби, подадени от субекти на данни, и да разследва предмета на жалбата, доколкото това е целесъобразно.

Целесъобразността при разглеждане на жалбите е процесуално развита в чл. 38, ал. 4 ЗЗЛД – когато жалбата е очевидно неоснователна или прекомерна, с решение на Комисията жалбата може да бъде оставена без разглеждане.

С Регламент 2016/679 и Закона за защита на личните данни (ЗЗЛД) се определят правилата по отношение на защитата на физическите лица във връзка с обработването на личните им данни, както и правилата по отношение на свободното движение на лични данни. Целта е да се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни.

Обработването на лични данни от администратори на лични данни, както в публичната, така и в частната сфера, е законосъобразно и допустимо, ако е налице някое от правните основания, изчерпателно изброени в чл. 6, параграф 1 от Регламент (ЕС) 2016/679:

a) субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

г) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;

д) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

е) обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

Съгласието по буква „а” е едно от основанията за събиране и обработване на лични данни. Независимо от факта, че то е посочено на първо място, всички правни основания са алтернативни и равнопоставени, като същите не са подредени в йерархична зависимост. Наличието на което и да е от тях прави обработването законосъобразно, при условие, че са спазени и другите изисквания на регламента.

В случаите, когато администратор на лични данни прави преценка дали да обработва личните данни на базата на съгласие, той трябва да изследва обстоятелството дали не е налице друго правно основание за тяхното обработване. В случай че друго основание е налице, не е необходимо изискването и на съгласие от субекта на данни.

Предмет на жалбата е твърдение за неправомерно обработване на лични данни в обем имена и лицево изображение за целите на издаване на лифт карта, както на жалбоподателя, така и на малолетни лица без съгласието на родител. Второ твърдение за нарушение е липса на информация за необходимостта от обработване на лични данни.

От събраните по преписката сведения и доказателства се установява, че „Ю.“ АД е лице по смисъла на чл. 157 от Закона за туризма (ЗТ), на което са предоставени права за ползване върху прилежащото към ски писта съоръжение – в случая лифт.

В съответствие с чл. 159 от ЗТ от Министерски съвет е приета Наредба за обезопасяването и информационната обезпеченост на ски пистите в Република България, както и за определяне правилата за безопасност върху територията на ски пистите и ски зоните и за организацията на работата на ски патрулите (накратко по-нататък „Наредбата“).

В чл. 23, ал. 1 от Наредбата е посочено, че потребителите на ски зоните са длъжни да спазват задължителните правила за безопасно поведение, посочени в приложение № 2, както и установените от лицето по чл. 157, ал. 1 от Закона за туризма правила за ползване на ски зоната.

В изпълнение на посочената разпоредба, от Ю. за изготвени Общи правила за ползване на ски пистите и въжените линии и общи условия за издаване, продажба, валидност и ползване на билети и лифт карти в ски-зоната с център гр. Б (накратко по-нататък „Общите правила“, валидни за сезон 2019-2020 г. Видно от представените писмени доказателства, посочените правила са утвърдени на 01.11.2019 г. (преди жалбоподателят да ползва услугата), като е разпоредено същите да бъдат публикувани и на сайта на дружеството.

В т. 79 и 80 от Общите правила е предвидено, че е забранено продаването, препродаването и преотстъпването на лифт карта от лице, различно от това, на което картата е издадена, като ползването на лифт карта в нарушение на Общите правила води до блокиране/деактивиране на картата.

Посочените по-горе правила са приети въз основа на чл. 27, ал. 3 от Наредбата, съгласно която деактивиране на лифт карта се извършва при установяване ползването на:

  1. поименна лифт карта/идентификационна карта със снимка от лице, различно от лицето, на което е издадена;
  2. лифт карта с подправен срок на валидност и/или с подправени имена и снимка.

Предвид горното, за администратора на лични данни Ю., както и за назначения от него по ред на чл. 25, ал. 1 от Наредбата ски патрул, е налице нормативно задължение да контролира спазването на чл. 27, ал. 3 от Наредбата. Видно от посочената разпоредба, налице е изискване картата да е поименна и със снимка на лицето, на което е издадена, поради което личните данни в случая се обработват на основание чл. 6, параграф 1, буква „в“ от Регламент 2016/679 – за изпълнение на законово задължение, което се прилага спрямо администратора. В този случай съгласие от субекта не е необходимо.

Във връзка с горното следва да се посочи, че е неоснователно твърдението за незаконосъобразно обработване на личните данни на малолетните лица за целите на издаване на лифт карта, без съгласието на родител. Съгласно чл. 25в от ЗЗЛД обработването на данни на лице, ненавършило 14 години, въз основа на съгласие по смисъла на чл. 4, т. 11 от Регламент (ЕС) 2016/679, е законосъобразно само ако съгласието е дадено от упражняващия родителски права родител или от настойника на субекта на данните. В случая, както беше посочено, обработването на лични данни се основава не на съгласие, а на нормативно установено задължение, поради което съгласие не е необходимо.

Второто твърдени за нарушение – че на сайта на кабинковия оператор няма информация относно необходимостта за обработване на лични данни, също е неоснователно. Както беше посочено, с разпореждане от 01.11.2019 г. на сайта са публикувани Общите правила на концесионера, където в т. 78-80 са описани правилата за ползване на картите. Служебна проверка на сайта установи, че е публикувана и Политика за поверителност, където са посочени какви категории лични данни се обработват и целите на обработване, измежду които и предоставяне на услуга – активиране на лифт карта, предотвратяване на нерегламентирано ползване на лифт картата в разрез с утвърдените Общи правила. Общите правила и Политиката за поверителност са публикувани и на английски. С оглед посоченото и предвид характера на предоставяната услуга (туристическа), предприетите действия за уведомяване на субектите за обработването на личните им данни са достатъчни.

Така мотивирана и на основание чл. 38, ал. 4 от ЗЗЛД във връзка с чл. 38, ал. 1 от Правилника за дейността на КЗЛД и нейната администрация, Комисията за защита на личните данни

РЕШИ:

Оставя жалба № ППН-01-192/06.03.2020 г., подадена от Б.С. срещу „Ю.” АД, без разглеждане като очевидно неоснователна.

Настоящото решение може да бъде обжалвано в 14-дневен срок от връчването му чрез Комисията за защита на личните данни, пред Административен съд София – град.

ПРЕДСЕДАТЕЛ:                                                     ЧЛЕНОВЕ:

Можете да споделите: