Р       Е       Ш     Е       Н      И      Е

 

№ 87

 

гр. Плевен, 13 Март 2017 г.

 

В ИМЕТО НА НАРОДА

 

АДМИНИСТРАТИВЕН СЪД – ПЛЕВЕН, първи касационен състав, на седемнадесети февруари две хиляди и седемнадесета година в публично съдебно заседание в състав:

Председател: ЮЛИЯ  ДАНЕВА

Членове:        ЕЛКА БРАТОЕВА

                      КАТЯ АРАБАДЖИЕВА                               

С участието на Прокурор от Окръжна прокуратура - Плевен:

ИВАН ШАРКОВ

При Секретар: А.П.

 

Като разгледа докладваното от съдия Братоева Касационно административно-наказателно дело № 1024/2016г. по описа на съда, на основание доказателствата по делото и закона, за да се произнесе взе предвид следното:

Производството е по чл. 208 и следващите от Административно-процесуалния кодекс вр. чл.63 ал.1 изр. 2 от  Закона за административните нарушения и наказания.

Образувано е по касационна жалба на Комисия за защита на личните данни - София, чрез гл. юрисконсулт Д.  срещу Решение № 104/04.11.2016г. на Районен съд – Червен бряг, постановено по н.а.х.д. № 259/2016 г. по описа на съда.

С решението си съдът е отменил като незаконосъобразно НП № 14/21.06.2016г. на Председателя на Комисията за защита на личните данни – София, с което на Централна Кооперативна банка АД – София на осн. чл. чл. 42 ал.9 от Закона за защита на личните данни е наложено административно наказание „имуществена санкция” в размер на 3000 лв. за нарушение на чл. 23 ал.1 от Закона за защита на личните данни, затова че на 12.02.2016г. в гр. Червен бряг, *** ЦКБ АД – София в качеството си на администратор на лични данни по смисъла на чл.3 ал.1 от ЗЗЛД, при осъществяване на предмета си на дейност – предоставяне на финансови услуги и в качеството си на работодател в изпълнение на нормативни задължения по трудовото и осигурително законодателство при предоставяне на комплект от документи на Д. Х., е разпространило лични данни ( три имена, ЕГН, адрес и клиентска сметка) на седем физически лица – клиенти на дружеството и по този начин банката е обработила личните им данни, без да са предприети необходимите технически и организационни мерки за защита на данните от неправомерен достъп и разпространение до неограничен кръг лица.

Касаторът обжалва решението с доводи за неговата неправилност, поради нарушение на материалния закон – касационно отменително основание по чл. 348 ал.1 т.1 от НПК. Счита, че е безспорно доказано соченото нарушение, а именно: че дружеството като администратор на лични данни е разпространило такива лични данни за 7 лица, без да са били предприети необходимите организационни мерки за защитата им от неправомерен достъп и разпространение до неограничен кръг лица. Ясно и конкретно в НП са посочени датата и мястото на извършване на нарушението, фактите и обстоятелствата при извършването му и доказателствата, които ги подкрепят. Приложената инструкция от ЦКБ е вътрешно служебен, а не нормативен акт и съдът неправилно я е кредитирал. Наложеното наказание е справедливо определено при излагане и преценка на всички смекчаващи и отегчаващи вината обстоятелства. Не е налице маловажен случай на нарушение, предвид че наказаното лице е търговец, по отношение на когото са установени по-високи изисквания към съблюдаване на нормативната уредба и упражняване на дейността с грижата на добър търговец, откъдето следва, че нарушението разкрива висока степен на обществена опасност на дееца и деянието. Моли за отмяна на решението, по същество – за потвърждаване на НП.

Ответникът по касация – ЦКБ - София, изразява становище за неоснователност на касационната жалба като поддържа доводите, развити в първоинстанционното производство за недоказаност на нарушението, както и за допуснати съществени процесуални нарушения, изразяващи се в неяснота относно датата, мястото на извършване на нарушението и в какво конкретно действие или бездействие се изразява изпълнителното деяние. Моли да се потвърди решението като правилно.

Прокурорът от Окръжна прокуратура - Плевен дава заключение, че съобразно събраните доказателства решението на районния съд е правилно и законосъобразно и предлага да се остави в сила.

Настоящият състав на Административен съд – Плевен, като прецени допустимостта и основателността на касационната жалба, доводите на страните, както и след служебна проверка на осн. чл.218 ал.2 АПК за валидност, допустимост и съответствие на решението с материалния закон, въз основа на установените факти, приема следното от правна страна:

Касационната жалба е подадена в срока по чл.211 ал.1 АПК, от надлежна страна и затова е процесуално ДОПУСТИМА.

Разгледана по същество, жалбата е ОСНОВАТЕЛНА.

Решението на Районен съд – Червен бряг е валидно и допустимо, но неправилно с оглед доказателствата по делото и закона.

За да отмени НП съдът е приел, че не е доказано по категоричен начин, че дружеството е осъществило състав на административно нарушение по чл. 23 ал.1 от ЗЗЛД, а освен това при издаване на НП наказващият орган е допуснал и съществено процесуално нарушение на чл. 57 ал.1 т.5 от ЗАНН като не е посочил точно и ясно нарушението, респективно нарушенията, не е изследвал, установил и посочил коректната дата за начало на осъществяване на нарушението.

В конкретния случай личните данни на седем лица – клиенти на банката  са достигнали до Д. Х. - бивш уволнен служител на банката с писмо, получено на 12.02.2016г.  От подадения от Х. сигнал до КЗЛД става ясно, че заедно с издадените от бившия й работодател документи – УП2 и УП3 е получила и списък с клиенти на банката с посочени лични данни, използван като чернова с изчисления за издаване на исканите от нея документи, вероятно по невнимание и погрешка попаднал в изпратеното писмо от банката. Така личните данни на тези лица са били разпространени от служител на банката по начин, че да могат да достигнат до неограничен кръг лица, както се сочи в НП. Банката като администратор на тези лични данни носи отговорност за опазването им. Затова при разпространението на тези лични данни от банков служител, каквото в случая несъмнено е налице, банката като администратор  на тези данни по смисъла на чл.3 ал.1 от ЗЗЛД е отговорна, че не е предприела необходимите технически и организационни мерки за защита на личните данни от разпространение, с което е осъществен състав на нарушение по чл. 23 ал.1 от ЗЗЛД.     

Видно от представената по делото Инструкция от 31.07.2013г. за мерките и средствата за защита на личните данни, обработвани от ЦКБ АД, поименни щатни разписания и декларации на служителите на банката, от администратора на лични данни са предприети технически и организационни мерки за защита на личните данни от неправомерен достъп и разпространение, но същите не са достатъчни или са неефективни, след като въпреки това са били разпространени лични данни за клиентите.  А и с оглед конкретиката на случая, следва да се отбележи, че в инструкцията никъде не са предвидени правила за унищожаване на хартиения носител на личните данни след обработката им, когато необходимостта от ползване на носителя вече е отпаднала. Това е и причината личните данни да бъдат разпространени по невнимание от служителя, който е ползвал списъка на клиентите за чернова при изготвянето на други документи. Това нямаше да се случи, ако хартиеният носител с личните данни е бил своевременно унищожен.

Коректно за дата на нарушението е посочена 12.02.2016г., когато писмото със списъка с личните данни е получено на адреса на получателя, от който момент следва да се приеме, че данните са били разпространени от администратора.

         Размерът на наложеното наказание е определен към средата на предвиденото наказание и затова се явява справедлив съобразно засегнатия обществен и личен интерес и конкретно , че са били разпространени лични данни за общо 7 лица – клиенти на банката.

Решението на Районен съд – Червен бряг е неправилно и следва да се отмени, а по същество – да се потвърди НП като правилно и законосъобразно.

Водим от горното и на основание чл. 221 ал.2 АПК съдът

 

 

Р       Е       Ш     И :

 

ОТМЕНЯ Решение № 104/04.11.2016г. на Районен съд – Червен бряг, постановено по н.а.х.д. № 259/2016 г. по описа на съда и вместо него постановява:

ПОТВЪРЖДАВА НП № 14/21.06.2016г. на Председателя на Комисията за защита на личните данни – София, с което на Централна Кооперативна банка АД – София на осн. чл. чл. 42 ал.9 от Закона за защита на личните данни е наложено административно наказание „имуществена санкция” в размер на 3000 лв. за нарушение на чл. 23 ал.1 от Закона за защита на личните данни.

РЕШЕНИЕТО е окончателно.

         ПРЕПИС от решението на осн. чл. 138 ал.1 АПК да се изпрати на страните и Окръжна прокуратура – Плевен.

                          

                          

 

ПРЕДСЕДАТЕЛ:                                   ЧЛЕНОВЕ: 1.                       2.