Служител на община публикувал лични данни във Facebook

Комисията за защита на личните данни даде 3-месечен срок на администратора за спазване от на GDPR

В последния брой на бюлетина си Комисията за защита на личните данни публикува решение, свързано с нарушаване на GDPR от служител на община.

РЕШЕНИЕ

№ ПП Н-01-582/2020 г.

София, 13.08.2021 г.

Комисията за защита на личните данни (КЗЛД, Комисията) в състав, председател – Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков на редовно заседание, проведено на 16.06.2021 г. и обективирано в протокол № 25/16.06.2021 г., на основание чл. 10, ал. 1 от Закона за защита на личните данни (ЗЗЛД) във вр. с чл. 57, § 1, б. „е“ от Регламент (ЕС) 2016/679, разгледа жалба с рег. № ППН-01-582/13.08.2020 г., подадена от И.И.

В жалбата на г-н И.И. са изложени твърдения за неправомерно обработване на лични данни чрез публикуване в социална мрежа от С.И., служител на община А., който „неправомерно се възползвал от служебно положение за да се добере до информация и да злоупотреби с нея”, както и че на 05.08.2020 г. в социална мрежа Фейсбук е излязла публикация от профила на С.И., в който са публикувани лични данни на жалбоподателя и неговата съпруга.

Посочено е, че личните данни представляват снимка на заповед, подписана от жалбоподателя по време на заемане на длъжността „****“ с незаличен подпис и решение на ТЕЛК на съпругата му, в което се виждат личните ѝ данни, включително единен граждански номер (ЕГН), номер на лична карта, кога е издадена, постоянен адрес и заболяване. На следващия ден личните данни на съпругата на жалбоподателя били частично заличени, заповедта и подписът обаче останали незаличени.

Като доказателство са приложени незаверени копия от екранни снимки, от сайта на Фейсбук.

В условията на залегналото в административния процес служебно начало и в изпълнение на чл. 26 АПК, за започване на производството е уведомена община А. Предоставена е възможността по чл. 34, ал. 3 АПК за изразяване на становища с относими доказателства по предявените в жалбата твърдения.

От общината А. са предоставени доказателства с писмо рег. № ППН-01-582#6/01.03.2021 г.

От жалбоподателя е депозирано допълнително писмо, в което е посочено, че публикуваните данни във Фейсбук са в публична група, публикацията е от 05.08.2020 г. споделена от личния профил на С.И., а на 19.09. същата публикация била споделена отново в личния профил на г-н С.И.

Разглежданата жалба е съобразена в цялост с изискванията за редовност, съгласно чл. 28, ал. 1 от Правилник за дейността на Комисията за защита на личните данни и нейната администрация (ПДКЗЛДНА), а именно: налице са данни за жалбоподателя, естеството на искането, дата и подпис.

Предвидените в чл. 38, ал. 1 от ЗЗЛД срокове са спазени. Същата има за предмет твърдение за неправомерно обработване на личните данни на жалбоподателя и е насочена срещу администратор на лични данни, което изискване се явява абсолютна процесуална предпоставка, с оглед на което следва да се прецени допустимостта на жалбата.

Предвид обстоятелството, че съгласно разпоредбата на чл. 35 от Правилник за дейността на Комисията за защита на личните данни и на нейната администрация, жалбата е искане, с което се търси защита за нарушени на искателя права, жалбата на г-н И.И. е допустима в частта, която касае публикуване на негови лични данни в социална мрежа Фейсбук. В останалата част, жалбата е недопустима, съгласно чл. 27, ал. 2, т. 5, предвид обстоятелството, че жалбоподателят няма правен интерес от подаване на жалба за нарушени права на трети страни, в случая на неговата съпруга, а от друга страна не е предоставено и доказателство за представителна власт на съпругата.

Административният орган действа при служебно начало за изясняване на релевантни факти и обстоятелства. Правомощието на КЗЛД е спазването на ЗЗЛД (на разпоредбата на чл. 12 от ЗЗЛД).

Да се произнася след сезиране от физически лица сочи неприложимост на диспозитивното начало при осъществяване на дейността на Комисията. Уточняването на субекта на нарушението е в правомощията на органа с оглед събраните доказателства по преписката. В конкретния случай жалбата, подадена от И.И. е насочена срещу пасивно легитимирана страна – С.И. В изпълнение на принципа на служебното начало и с оглед събраните по административната преписка доказателства, Комисията установи, че като страна в производството следва да се конституира и община А., представляван от кмета.

Предвид гореизложеното и с оглед липсата на предпоставки от категорията на отрицателните по чл. 27, ал. 2 от АПК на проведено на 07.04.2021 г. заседание на Комисията, жалбата е приета за частично допустима и като страни в административното производство са конституирани: жалбоподател И.И. и ответни страни С.И. и община А.

Съгласно чл. 10, ал. 1, във връзка с чл. 38 от Закон за защита на личните данни, при сезирането ѝ Комисията за защита на личните данни разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по ЗЗЛД, както и жалби на трети лица във връзка с правата им по този закон.

Разгледана по същество жалбата е основателна.

Същата има за предмет неправомерено публикуване на лични данни, а именно две имена и подпис във Фейсбук, в публична група.

Съгласно легалната дефиниция, дадена в чл. 4, пар. 1, т. 1 от Регламента „лични данни” означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни”); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

По административната преписка не е спорно, че г-н С.И. е публикувал на 05.08.2020 г. заповед, във Фейсбук, в публична група, в която не са заличени двете имена и подписа на И.И.

Съгласно легалното определение на чл. 4, ал. 1 от Регламент ЕС 2016/679 съдържащите в публикуваната заповед данни на И.И. данни, безспорно имат качеството на лични данни, а публикуването им е действие по обработване и следва да се осъществяват съобразно разпоредбите в сферата на защита на личните данни – ЗЗЛД и Регламент ЕС 2016/679 при предприемане от страна на администратора на лични данни –на необходимите технически и организационни мерки за защита на данните.

Не е спорно, че г-н С.И. е бил служител на община А., област Т. по трудов договор, която в случая се явява и администратор на лични данни, по смисъла на чл. 7, т. 4 от Регламент (ЕС) 2016/679.

Не е спорно, че в задълженията, определени с длъжностната характеристика на С.И. е разписано, че носи отговорност за разгласяване на факти и обстоятелства, станали известни по повод изпълнение на служебните задължения. В тази връзка, следва да бъде посочено, че С.И. е лице, което действа под ръководството на администратора, съгласно разписаното в разпоредбата на чл. 29 §1 от Регламент (ЕС) 2016/679, в която изрично е разписано, че „….всяко лице, действащо под ръководството на администратора или обработващия лични данни, което има достъп до личните данни , обработва тези данни само по указание на администратора“.

Безспорно е, че на лицето С.И. е наложено наказание „дисциплинарно уволнение“ със заповед № **** на кмета на община А., с. Т. В заповедта е описано, че наказанието се налага във връзка с извършено нарушение на трудовата дисциплина, изразяващо се в „разгласяване на данни и факти в няколко отворени групи към платформата FACEBOOK”.

В разпоредбата на чл. 32, пар. 4 Регламент ЕС 2016/679 администраторът и обработващият лични данни предприемат стъпки всяко физическо лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до лични данни, да обработва тези данни само по указание на администратора.

По административната преписка не е спорно, че физическото лице С.И., като служител на общината по длъжностна характеристика не следва да разгласява факти и обстоятелства, станали известни по повод изпълнение на служебните задължения.

Предвид събраните по преписката доказателства се налага изводът, че администраторът на лични данни не е предприел необходимите технически и организационни мерки за защита на личните данни на жалбоподателят от неправомерен достъп, или предприетите такива са явно недостатъчни.

С оглед разпределяне на доказателствената тежест в процеса и събраните по преписка доказателства се налага изводът, че подадената жалба е основателна и личните данни на жалбоподателя са обработени, достъпен и разпространени без доказана служебна необходимост от страна на С.И., към онази дата, служител на община А., съгласно предоставен трудов договор.

Комисията разполага с оперативната самостоятелност, като в съответствие с предоставените ѝ функции преценява кое от корективните правомощия по чл. 58, пар 2 от Регламент 679/2016 г. да упражни. Като взема предвид естеството, тежестта и последиците от нарушението, както и всички смекчаващи и отегчаващи отговорността обстоятелства, Комисията прави оценката за това какви мерки са ефективни, пропорционални и възпиращи във всеки отделен случай отразява и целта, преследвана с избраната корективна мярка – предотвратяване или преустановяване на нарушението, санкциониране на неправомерното поведение или и двете, каквато възможност е предвидена в чл. 58, пар 2, буква „и“. Преценката се основава на целесъобразност и ефективност на решението при отчитане на особеностите на всеки отделен случай и степента на засягане на интересите на конкретно физическо лице – субект на данни, като и на обществения интерес.

В настоящия случай, като взе предвид вида, тежестта и последиците от нарушението, Комисията счита, че е целесъобразно на община А. да бъде наложена принудителна административна мярка, тъй като по този начин ще се постигне целеният ефект за преустановяване на подобни нарушения в бъдеще. КЗЛД счита за целесъобразно да разпореди на администратора да разработи подробни правила, относно достъпа и предоставянето на лични данни на трети лица, станали известни служебно на служители на институцията.

Налагането на дисциплинарно наказание на С.И. със заповед № ****. на кмета на община А., с. Т. е действие, предприето от общината, в качеството ѝ на работодател. Като администратор на лични данни, община А., следва да предприеме действия в изпълнение на разпоредбите на Закона за защита на личните данни и Регламента. За тази цел трябва да изработи подробни правила, относно достъпа и предоставянето на лични данни на трети лица, станали известни служебно на служители на институцията, както и да има предвидена система, която да гарантира законосъобразното обработване на лични данни, да спазва принципът за цялостност и поверителност на личните данни, включително да осъществява контрол, като администратор на личните данни, освен като работодател. От общината следва да се изработят правила, които да бъдат разписани в политиките за обработване на лични данни на администратора – община А. Общината следва да има вътрешни правила, относно обработването на лични данни, с които да запознае служителите в администрацията, а ръководството на общината въз основа тях да издаде съответните вътрешни заповеди, с които да определи служителите, които ще упражняват непосредствен контрол за спазването на тези правила и политики. В тримесечен срок да ни представят приетите политики, документите свидетелстващи за запознаването, лицата, които са определени да упражняват непосредствен контрол.

Предвид изложеното и на основание чл. 57, § 1, б. „е“ от Регламента, съответно чл. 10, ал. 1, във връзка с чл. 38, ал. 3 от Закона за защита на личните данни, Комисията

РЕШИ:

  1. Обявява жалба с рег. № ПП Н-01-582/13.08.2020 г. за недопустима в частта относно твърдения за злоупотреба с лични данни на съпругата на жалбоподателя поради липса на правен интерес, основание чл. 26, ал. 2, т. 5 от АПК.
  2. Обявява жалба рег. № ПП Н-01-582/13.08.2020 г., подадена от И.И. за основателна, за нарушение на чл. 32, § 4 от Регламента.
  3. Във връзка с т. 2 и на основание чл. 58, § 2, буква „г“ от Регламент (ЕС) 2016/679 издава разпореждане на община А. в качество на администратор на лични данни, да изработи подробни вътрешни правила за предотвратяване/минимизиране на риска от неправомерно обработване и предоставяне на лични данни от служители/работници на общината, на трети страни, без доказана служебна необходимост, които правила да бъдат разписани в политиките за обработване на лични данни на администратора и с които правила да бъдат запознати служителите в администрацията, а ръководството на общината въз основа тях да издаде съответните вътрешни заповеди, с които да определи служители, които ще упражняват непосредствен контрол за спазването на тези правила и политики.
  4. Срок за изпълнение на разпореждането – тримесечен от влизането на решението в сила, след което да уведоми комисията за изпълнението, като представи съответните доказателства.

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд – София-град.

ПРЕДСЕДАТЕЛ:                                                                        ЧЛЕНОВЕ:

Можете да споделите: