Параграф22 Weekly

§22 Седмичник

Глоба от 12 000 лв. за ровене в лични данни

Комисията за защита на лични данни (КЗЛД) санкционира с 12 000 лв. банка заради  неправомерна "проверка" на лични данни в информационните масиви на Националния осигурителен институт. В конкретния случай  обект на проверка е била гражданка, която дори не е клиент на банката. Впечатляващото с размера си наказание е наложено от КЗЛД по нормите на стария закон  преди влизането в сила на "страшния" Регламент 679/2016 г., по-известен у нас като GDPR (General Data Protection Regulation). Решението на комисията бе потвърдено в края на февруари от състав на Върховния административен съд и вече е окончателно.

Историята тръгва от един факт, който малцина знаят: НОИ от години има договори с  кредитни институции (и не само), на които срещу заплащане дава достъп до информацията от своите бази данни. С едно условие: да имат предварително съгласие за това от хората, за които правят проверки в масивите. Тази практика е подробно описана в купищата документи, които попълваме и подписваме набързо при тегленето на кредит, но малцина й обръщат внимание.

Само че с този достъп лесно може да се злоупотреби. И това се вижда от множеството  жалби, постъпили в КЗЛД през годините. Конкретното производство започва по жалба на гражданка, която при проверка в НОИ установила, че данни за пълното й име, за  ЕГН-то й, за местоработата й, как е осигурена и други подробности  са "изтекли" към банката, от която не тя, а баща й е теглил потребителски кредит няколко години по-рано. Жената дори не била поръчител по договора, нямала нищо общо с банката, само на няколко пъти от името на баща си внесла вноските за погасяване на кредита. Точно от тези вносни бележки банката получила имената и ЕГН-то й, а благодарение на тях пък се снабдила с всичката останала налична в масивите НОИ информация за жената. С идеята, че така ще може да защити интересите си, ако бащата спре да плаща.

Жената сезирала КЗЛД, че са били нарушени правата й по Закона за личните данни, който и в стария си вариант, преди влизането в сила на GDPR, беше твърде рестриктивен към възможностите за обработване на лични данни без съгласието на техния титуляр.

В КЗЛД започнали проверка. Поискали становище и от банката, откъдето обяснили, че всъщност жената едва ли не им е дала съгласие да обработват данните й, попълвайки вносни бележки за вноските по кредита на баща си.  И още, че обработката на личните данни е извършена с цел защита на законните интереси на администратора (т.е. на банката), тъй като тези интереси имали приоритет пред интересите на физическото лице, за което се отнасят данните.

Проверката обаче категорично установила неправомерен достъп до данните на потърпевшата гражданка. И с оглед на това  КЗЛД е санкционирала  банката с 12 000 лева. А впоследствие две съдебни инстанции потвърдиха, че КЗЛД е преценила правилно. Първоначално Административен съд София-град постановява, че банката не е имала никакво законно основание да върши тази проверка при отсъствието на какъвто и да било договор и изразено съгласие от тази жена за достъп до данните й. А Върховният административен съд допълва, че в Гражданския процесуален кодекс си има специална процедура, чрез която банката би могла да поиска удостоверение от съда и да се снабди законно с нужната й информация - в случай че тръгне да защитава интересите си в съда. "Едва след завеждането на иск от страна на банката за нея, като администратор на лични данни, ще възникне законен интерес по смисъла на закона. Дотогава този интерес би бил ирелевантен за правото и не би имал качеството на законен. Само съдът по конкретното дело би бил този, който ще определи дали интересът на банката е законен - свързан ли е с предмета на делото и имат ли интересите на банката предимство пред тези на третото лице..."

И двете съдебни инстанции потвърждават и санкцията в размер на 12 000 лв., като приемат, че тя е твърде близка към заложения в стария закон минимум на наказанията за подобни нарушения (този минимум беше 10 000 лв.) и няма основания да бъде намалявана.  Решението на ВАС е вече окончателно.

Какво следва оттук  нататък? Със сигурност изкушението извън рамките на закона да се "наднича" в масивите на НАП, ЕСГРАОН, НОИ, МВР и други институции от този род  ще продължи да съществува, но то ще бъде твърде сериозно ограничено. И то не заради някакви кой знае колко сложни технически или нормативни нововъведения, които да не позволяват това. А от страх. Защото санкциите за такива нарушения, към които новите разпоредби в Закона за личните данни препращат, са установени в прословутия Регламент 679/2016 на ЕС. И достигат до 10 000 000 евро, или до 2 % от общия годишен световен оборот за предишната финансова година.

 

 


КЗЛД даде достъп на професионални домоуправители до лични данни


Фирма  "Ппрофесионален домоуправител" получи разрешение за достъп до база данни "Население" на общински ЕСГРАОН, за да вземе оттам данни за потъналите вдън земя собственици на апартаменти в блоковете, които обслужва. Разрешението за това  бе дадено от Комисията за защита на личните данни със специално  нейно решение от 1 февруари 2019 година.

Данните, които общината ще трябва да даде на фирмата обаче са строго ограничени - за всичко останало, което се окаже нужно, професионалните домоуправители ще трябва да се обръщат за разрешение  към съда.

"Етажните собственици, като заинтересовани трети лица, имат законов интерес да получат лични данни за собственика на необитаван жилищен имот: имена, постоянен и настоящ адрес. Такъв обем на идентификационни данни би бил достатъчен да се установи контакт с лицето и същото да бъде уведомено за правата и задълженията му по Закона за управление на етажната собственост. Каквито и да било други лични данни, освен изброените (например ЕГН, документи на самоличност и т.н.), биха били прекомерни", казват от КЗЛД. И допълват, че ГПК дава възможност да се образува гражданско дело, в хода на което да се изисква издаване на удостоверение, въз основа на което страната да се снабди с документ за обстоятелства, свързани с ответната страна. Завеждането на гражданско дело обаче е крайна мярка на защита на правата на етажните собственици, смята комисията.

"По смисъла на чл.6, §1 от Общия регламент (б.ред. - GDPR) обработването на лични данни е законосъобразно, когато е необходимо за изпълнение на договор, по който субектът на данни е страна, обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора и обработването е необходимо за целите на легитимен интерес на администратора. В описания случай може да се приеме, че обработването е необходимо за спазване на договор, тъй като, както беше посочено по-горе, договорът за възлагане на управление на ЕС има обвързваща сила по отношение на всички собственици и те се явяват страни по него след влизане в сила на решението на Общото събрание на етажната собственост за сключване на договора. Освен това обработването е необходимо за спазване на законови задължения по опазване и поддържане на изправността и безопасността на управляваната етажна собственост, както и за реализиране на законните интереси на администратора. Не на последно място по този начин се защитават дори легитимните интереси на субектите на данни, доколкото дейностите са насочени към запазване в добро състояние и поддържане на общите части, от които етажният собственик притежава съответната идеална част, т.е. безспорно е в интерес на всички етажни собственици.

Дружеството - като лице, на което са възложени правомощията на Управителните съвети на етажни собствености (съгласно Решение на общото събрание на собствениците), и действащо като техен пълномощник, има право да заяви от тяхно име  да им бъдат предоставени лични данни на собственици, които са напуснали имотите си, без да са посочили друг адрес в страната или електронен адрес (задължение по чл. 13, ал. 2 от ЗУЕС). Предоставянето на данните следва да става при предварително прилагане към заявлението на достатъчно доказателства за обоснована нужда от данните. Такива доказателства са договорът за възлагане, протоколът от съответното решение на общото събрание, изрично пълномощно от Управителен съвет и други", пише в решението на КЗЛД.
 

 

Facebook logo
Бъдете с нас и във