Р E Ш Е Н И Е
№ 315
гр.Плевен, 16 Май 2018 год.
В ИМЕТО НА
НАРОДА
Административен съд - гр.Плевен, първи касационен
състав, в открито съдебно заседание на двадесети
април две хиляди и осемнадесета година в състав: Председател: Николай Господинов
Членове: Цветелина Кънева
Катя Арабаджиева
при секретаря Цветанка Дачева и с участието на прокурора Иван Шарков,
като разгледа докладваното от съдия Арабаджиева
касационно административно-наказателно дело № 218 по описа на
Административен съд - Плевен за 2018 год. и за да се произнесе, взе предвид
следното:
Производството е по
чл.63, ал.1, изр.2 ЗАНН, във връзка с чл.348 НПК и чл.208 и сл. АПК.
С Решение
№ 1089 от 01.12.2017 г.,
постановено по нахд № 2513/2017 г., Районен съд – Плевен е изменил Наказателно
постановление № 17/12.08.2016 г. на Председателя
на Комисията за защита на личните данни, с което на „Кастъмър Кеър БГ“ ЕООД
гр.София на основание на чл. 42, ал. І от ЗЗЛД е наложена „имуществена санкция“
в размер на 12 000 (дванадесет хиляди) лева за нарушение по чл.
2, ал. ІІ, т. 1 от ЗЗЛД, като е намалил размера на наложената имуществена
санкция на 10 000,00 (десет хиляди) лева, и с което на осн. чл. 42, ал. ІХ
от ЗЗЛД е наложена „имуществена санкция“ в размер на 5000,00 (пет хиляди) лева
за нарушение по чл. 23, ал. І от ЗЗЛД, като е намалил размера на наложената
имуществена санкция на 500,00 (петстотин) лева. Дружеството е наказано затова,
че 1. За периода за от 22.06.2015 г. до 03.08.2015 г. в гр. Плевен,
„Кастъмър Кеър БГ“ ООД при осъществяване на дейността си, в качеството на
администратор на лични данни по смисъла
на чл.3, ал. І от ЗЗЛД, обработва незаконосъобразно лични данни на физически
лица (имена, ЕГН, адреси, електронни пощи и телефонни номера, получени от „Българска
телекомуникационна компания“ ЕАД по Договор № 23695/30.09.2008 г.), съдържащи
се в бази данни със 148 536 бр. записи, като ги разкрива чрез предаване и
предоставяне без правно основание на Е. Б. А. от гр.Плевен, с което нарушил
разпоредбата на чл. 2, ал. ІІ, т. 1 от ЗЗЛД и 2. за периода от 04.08.2015 г. до
12.04.2016 г. в гр. Плевен „Кастъмър Кеър БГ“ ООД при осъществяване на
дейността си, в качеството на администратор на лични данни по смисъла на чл.3,
ал. І от ЗЗЛД, не е предприел необходимите технически и организационни мерки за
защита на лични данни (имена, ЕГН, адреси, електронни пощи и телефонни номера,
получени от „Българска телекомуникационна компания“ ЕАД по Договор №
23695/30.09.2008г и предоставени на Е. Б. А. от гр.Плевен, съдържащи се в бази
данни със 148 536 бр. записи) от неправомерен достъп и разпространение в
процеса на тяхното унищожаване, с което виновно е нарушил разпоредбата на чл.
23, ал.І от ЗЗЛД.
Срещу
постановеното решение е подадена касационна жалба от „Кастъмър Кеър БГ“ ЕООД,
чрез адв. С., в която се сочи, че решението на РС е неправилно поради нарушение
на процесуалните правила и материалния закон. Твърди, че РС не се е съобразил
със задължителните указания от Административен съд-Плевен, изложени в мотивите
на решение № 342/20.07.2017 г. по канд 375/2017, като не е направил анализ на
събраните доказателства, не е обсъдил доводите на страните, не е изложил
фактически и правни изводи и не е отговорил на всички повдигнати въпроси в
производството. Не е обсъдил въпроса за приложимостта на чл.34, ал.1 от ЗАНН,
като твърди, че още на 16.02.2016 г. на проверяващия екип е бил известен
извършителят на нарушението, а АУАН е издаден едва на 22.06.2016 г. Наказващият
орган неправилно не е извършил преценка относно законосъобразността и
обосноваността на АУАН, не е извършил преценка на възраженията и събраните
доказателства и не е извършил разследване съгласно чл.52, ал.4 от ЗАНН. Оспорва
фактите, като твърди по отношение на първото нарушение, че данните са били
предоставяни на А. директно от БТК и нейни служители. Твърди, че липсват
описание на конкретните електронни писма и бази данни, които са разкривани. Не
е ясно по каква причина място на нарушението е гр.Плевен, доколкото дружеството
нито има седалище и адрес на управление в града, нито е извършвало дейност там,
а електронната поща на А. е служебна, същата е персонална и е настроена да работи
на сървър на дружеството, който не е в гр.Плевен. По отношение на второто нарушение
сочи, че не е ясно защо период на нарушението е 04.08.2015 г. - 12.04.2016 г. Не
са ясни какви следва да са действията на дружеството, които трябва да са
извършени в този период. Посочва, че от показанията на св.А. пред РС при
предходното разглеждане на делото същата е заявила, че е имала директен достъп
до сървъра на БТК, който е извън контрола на наказаното дружество. Сочи, че
същата е могла да получи паролата от други лица, а не от наказаното дружество,
като твърди, че няма доказателства, че управителят на дружеството В. е
извършвала телефонни измами, както твърди А. пред РС при второто гледане на
делото. Сочи, че не е ясно какви действия е трябвало да предприеме наказаното
дружество, за да изземе флашки, дискове и др. от А.. Твърди, че от становището
на БТК по делото е видно, че наказаното дружество е обработващ лични данни по
§1, т.3 от ДР на ЗЗЛД за Виваком. Служители на БТК и КЗЛД са посещавали А., но
не е ясно защо се счита, че БТК „няма нищо общо“. Твърди, че в АУАН и НП не е
посочено, че дружеството е администратор на ЛД, нито че е предоставяло данните
за „Алианц застраховане“, „Юродом“, „Икеа“, „Бяла карта“, и твърденията в тази
насока са неоснователни. Сочи, че дружеството не е автор на нарушенията, че
няма качеството на администратор на ЛД, а само обработва личните данни по реда
на §1, т.3 от ДР на ЗЗЛД. Твърди, че гражданският договор на А. се е превърнал
в безсрочен, посочвайки разпоредби за договора за наем, които счита че могат да
се приложат по аналогия, и тя е получавала възнаграждението на банкова сметка ***.
Твърди, че в АУАН и НП няма фактически констатации, че дружеството не е предприело
необходимите технически и организационни мерки за защита на личните данни.
Сочи, че дружеството е представило издадена от него инструкция за реда и
обработването на лични данни и за техническите и организационни мерки за
защитата на личните данни. Моли да се отмени съдебното решение и да се отмени
НП.
В съдебно заседание касаторът не се представлява и не
взема становище по съществото на спора.
В съдебно заседание ответникът по касационната жалба –
КЗЛД, се представлява от юрк. И.. Моли да се потвърди
съдебното решение. В писмени бележки допълнително сочи, че нарушението е
установено но 12.04.2016 г., а АУАН е издаден на 22.06.2016 г. Първото нарушение
е извършено в периода 22.06.2015 г. - 03.08.2015 г., в който период на А. са
предоставяни лични данни, и това е станало в гр.Плевен. Възлаганите анализи и
задачи по обработването, както и достъпът до базата данни са чрез служебната
електронна поща на М. Ц. - служител на касатора. Видно от договора между БТК и
касатора, същият съвместно с БТК определя целите, но изключително сам определя
средствата за обработване на личните данни на клиентите на БТК. Подробно описва
изискванията на договора между БТК и касатора, както и на съществувалите в миналото
договори между касатора и А.. Сочи, че инструкцията за мерките за защита на
личните данни, издадена от касатора, няма дата на утвърждаване. На А. БТК не е
възлагала да обработва данните, поради което същата е трето лице, и няма
качество на администратор на ЛД. Нейното поведение не е укоримо, доколкото
същата е изразила адекватна гражданска позиция с уведомяването на КЗЛД за
случая.
Представителят на Окръжна прокуратура Плевен дава
заключение, че с оглед събраните писмени доказателства решението на РС е
правилно и законосъобразно и следва да бъде оставено в сила.
Съдът, след като прецени събраните по делото
доказателства и обсъди доводите на страните, намира за установено следното:
Касационната жалба е подадена в законоустановения срок
и от надлежна страна и е допустима. Видно от приложените писмени доказателства,
„Кастъмър Кеър БГ“ ООД е преобразувано в „Кастъмър Кеър БГ“ ЕООД.
Разгледана по същество, същата е неоснователна.
С оспореното решение съдът е приел за установено, че
със Заповед № РД-14-31 от 05.02.2016. на Председателя на КЗЛД-гр. София било
наредено извършването на проверка по спазване и прилагане на ЗЗЛД на „Кастъмър
Кеър БГ“ ЕООД-гр. София, с основна задача: Да се установи спазени ли са
разпоредбите на ЗЗЛД във връзка с обработване на лични данни на физически лица
в дейността на „Кастъмър Кеър БГ“ ООД-гр. София. Заповедта била издадена по
повод постъпило писмо в КЗЛД с вх. № СЛ/1/11.01.2016 г., с което свидетелката
пред РС А. уведомила КЗЛД за нарушения по ЗЗЛД при обработването на лични данни
на клиенти на „БТК“ ЕАД (БТК) от страна на бившия и работодател „Кастъмър Кеър
БГ“ ООД в качеството му на външен дилър на БТК. Към сигнала било приложено и
писмо с идентичен предмет, изпратено до „БТК“. Проверяващите П. и С. извършили служебна
проверка, при която констатирали, че „Кастъмър Кеър БГ“ ООД-гр. София е вписано
в Търговския регистър с основен предмет на дейност аутсорсинг на бизнес процеси
чрез изграждане на контактни центрове, създаване на база данни за клиенти,
маркетингови услуги, както и че е вписано в Регистъра на администраторите на
лични данни и на водените от тях регистри на лични данни в КЗЛД с уникален
идентификационен номер 39108 и е заявено обработване на лични данни за целите
на 2 бр. регистри – „Директен маркетинг“ и „Персонал“. В хода на извършената
проверка (стартирана на 16.02.2016 г. в офиса на дружеството в София)
проверяващите установили, че с Договор № 23695/30.09.2008 г., сключен между
„Кастъмър Кеър БГ“ ООД и „БТК“ за предоставяне на услуги, а именно предлагане
на потребители да закупят конкретно посочени в приложение към договора услуги;
рекламиране на услуги на „БТК“ и сключване на индивидуални договори за тяхното
предоставяне от разстояние по телефона, съгласно утвърдена процедура. „Кастъмър
Кеър БГ“ ООД представлява „БТК“ пред неговите абонати/клиенти, като за целта
сключва индивидуални договори за предоставяне на услуги от разстояние.
Установили също така, че за изпълнение на договора, бази данни с
абонати/клиенти на „БТК“ са били предоставяни по електронна поща на „Кастъмър
Кеър БГ“ ООД като всеки файл е бил защитен с парола. В хода на проверката „Кастъмър
Кеър БГ“ ООД твърдял, че дейността му като дилър на БТК е временно
преустановена и базите данни с абонати/клиенти са изтрити. Като доказателство
предоставил вътрешен електронен регистър на проведените кампании от средата на
2011 г. (предоставено с писмо с вx. № С 163/23.02.2016 г. извлечение от
регистъра - Опис на кампаниите, обработвани за „Виваком“ от „Кастъмър Кеър БГ“
ООД за периода 01.2015 г. до 01.2016 г.) с информация за името, датата на
стартиране на съответната кампания, датата на приключването й и датата на
заличаване на данните.
С оглед изясняване на допълнителни факти и
обстоятелства, на 12.04.2016 г. в гр. Плевен, била проведена среща на проверяващия
екип със свидетелката пред РС А., която предоставила на проверяващия екип
електронна кореспонденция и бази данни с клиенти на „БТК“ на 6 бр. DVD диска
(11 447 бр. записи в размер на 27,3 GB), за което е съставен приложен към акта
констативен протокол.
В хода на проверката е установено, че за периода 2011
г. - 2013 г. А. е извършвала телемаркетингови услуги за „Кастъмър Кеър БГ“ ООД
въз основа на сключвани с нея граждански договори. С писмо с вх. № П
3235/25.04.2016 г. „Кастъмър Кеър БГ“ ООД предоставил заверени копия на всички
сключени с А. граждански договори - № 141/01.07.2011 г., № 222/01.07.2012 г., №
312/01.07.2013 г.
Съгласно предоставените едногодишни договори, А. в
качеството й на изпълнител, от името и за сметка на възложителя, е извършвала
телефонни продажби на услуги и продукти по проект „Подновяване на договори на
20 000 клиента”. „Кастъмър Кеър БГ“ ООД посочил, че в допълнение са й възлагани
задачи по обработване на клиентски бази данни и изготвяне на отчети (бек офис).
За целта същата е имала достъп до бази данни, съдържащи данни на физически
лица, абонати/клиенти на „БТК“.
В периода 22.06.2015 г. до 03.08.2015 г. свидетелката
пред РС А. не е имала договор с „Кастъмър Кеър БГ“ ООД за обработване на бази
данни. Проверяващите установили, че кореспонденция с бази данни е осъществявана
от служебна пощенска кутия, персонална за нея, настроена да работи на пощенски
сървър на „Кастъмър Кеър БГ“ ООД. За посочения период А. е получавала на
служебната си поща бази данни с абонати/клиенти на „БТК“, обработвала ги е на
собствено оборудване (компютър), изготвяла е ежедневни отчети за базите данни,
както и финални отчети при приключване на конкретната кампания. Като
доказателство били приложени екранна разпечатка от акаунта на електронната поща
(настройка на интернет имейл), 2 бр. разпечатки на електронната кореспонденция,
както и предоставените от А. бази данни и електронна кореспонденция. На
12.04.2016 г. е констатирано, че служебната поща е неактивна, но електронните съобщения
се съхраняват в нея.
При направена справка от страна на проверяващия екип
за периода 22.06.2015 г. до 03.08.2015 г. било установено, че е налице пълно
съвпадение в наименованията на съхраняваните от А. бази данни и наименованията
на кампаниите, предоставени от „Кастъмър Кеър БГ“ ООД под формата на вътрешен
електронен регистър на проведените кампании от средата на 2011 г. (предоставено
с писмо с вх. № С 163/23.02.2016 г. извлечение от регистъра - Опис на
кампаниите, обработвани за „Виваком“ от „Кастъмър Кеър БГ“ ООД за периода
01.2015 г. до 01.2016 г.). Към АУАН е приложен изготвен от проверяващия екип
анализ на предоставените от А. на 12.04.2016 г. бази данни, обработвани от
„Кастъмър Кеър БГ“ ООД за периода 22.06.2015 г. до 03.08.2015 г., в
съответствие на пореден ред/страница на базата в предоставения от дружеството
Опис на кампаниите (в табличен вид), в т. ч. броя на записите с лични данни
(вкл. имена, ЕГН, адрес, електронна поща, телефон) на физически лица в тях (148
536 бр.). Анализът на базите данни и електронните писма/електронна кореспонденция,
осъществена с и от А. за периода 22.06.2015 г. до 03.08.2015 г. били приложени
на технически носител (СD).
Последното електронно писмо (последната кореспонденция),
открито в пощенска кутия, съдържа финален отчет за извършена работа от 03.08.2015
г. С електронно писмо до „Кастъмър Кеър БГ“ ООД от същата дата - 03.08.2015 г.,
А. иска достъпът й до информационната система на дружеството да бъде
прекратен/блокиран.
Проверяващите приели, че в конкретния
случай разкриването чрез предаване и предоставяне на лични данни са действия по
„обработване на лични данни” по смисъла на § 1, т. 1 от Допълнителните
разпоредби на ЗЗЛД и това обработване, следва да се извършва при спазване на
принципите, посочени в чл.2, ал.2 от ЗЗЛД, при условията за допустимост по
чл.4, ал.1 от ЗЗЛД и че личните данни на клиентите на „БТК“ са
обработени „незаконосъобразно” по смисъла на 2,
ал. ІІ, т. 1 от ЗЗЛД, като са предоставени на трето лице без наличие
на основание за това предоставяне.
По отношение на факта, че за периода 22.06.2015 г. до
03.08.2015 г. А. няма договор с „Кастъмър Кеър БГ“ ООД за обработване на бази
данни, дружеството й е възлагало задачи, тя е имала достъп до базите данни и е
оперирала с тях, с което „Кастъмър Кеър БГ“ ООД е нарушило разпоредбата на чл.
2, ал. 2, т. 1 от ЗЗЛД, а именно личните данни на клиентите на „БТК“ са
обработвани незаконосъобразно от страна на „Кастъмър Кеър БГ“ ООД чрез
предаване и предоставяне на неоправомощено трето лице.
С електронно писмо, изпратено на 03.08.2015 г. до
„Кастъмър Кеър БГ“ ООД от служебната пощенска кутия А. е поискала и съответно
дружеството прекратило (блокирало) достъпа й до ресурсите на
информационната си система.
Едновременно с прекратяване на достъпа на А.,
„Кастъмър Кеър БГ“ ООД е следвало да предприеме необходимите мерки за защита на
личните данни на абонатите на БТК от неправомерен достъп и разпространение,
чрез унищожаване/заличаване на базите данни и при необходимост последващ
контрол, с оглед проверка за това дали предоставените бази с лични данни не са
съхранени (копирани/свалени) на нейния компютър, с което е нарушило
разпоредбата на чл.23, ал.1 от ЗЗЛД.
Като доказателство за липсата на предприети технически
и организационни мерки за защита на данните на физическите лица от страна на
„Кастъмър Кеър БГ“ ООД са откритите на 12.04.2016 г. на личния й компютър
(лаптоп) електронна кореспонденция и бази данни с абонати на БТК (бази данни
със 148 536 бр. записи).
РС е приел, че горната фактическа обстановка е
отразена в АУАН № 16 от 22.06.2016 г., възпроизведена е в наказателно
постановление № 17/12.08.2016 г. на Председателя на КЗЛД и се подкрепя от
ангажираните входа на проведеното съдебно следствие писмени доказателства и от
разпита на свидетелите. РС е приел с доверие показанията на разпитаните по
делото свидетели като логични, последователни, взаимно допълващи се и
кореспондиращи с приобщените по реда на чл. 283 от НПК писмени доказателства. Направил
е извод, че въз основа на преценка на събрания по делото доказателствен
материал, че: 1.) За периода 22.06.2015 г. - 03.08.2015 г. в гр. Плевен,
„Кастъмър Кеър БГ“ ООД /към момента ЕООД/, при осъществяване на дейността си, в
качеството на администратор на лични данни по смисъла на чл. 3, ал. 1 от ЗЗЛД,
обработва незаконосъобразно лични данни на физически лица (имена, ЕГН, адреси,
електронни пощи и телефонни номера, получени от „БТК“ по договор №
23695/30.06.2008 г.), съдържащи се в бази данни със 148 536 бр. записи, като ги
разкрива чрез предаване и предоставяне без правно основание на Е. Б. А. от
гр.Плевен и 2.) За периода 04.08.2015 г. — 12.04.2016 г. в гр. Плевен,
„Кастъмър Кеър БГ“ ООД /към момента ЕООД/, при осъществяване на дейността си, в
качеството на администратор на лични данни по смисъла на чл. 3, ал. 1 от ЗЗЛД,
не е предприел необходимите технически и организационни мерки за защита на
лични данни (имена, ЕГН, адреси, електронни пощи и телефонни номера, получени
от „БТК” ЕАД по Договор № 23695/30.06.2008 г. и предоставени на Е. Б. А. от
гр.Плевен, съдържащи се в бази данни със 148 536 бр. записи) от неправомерен
достъп и разпространение в процеса на тяхното унищожаване.
РС е приел, че при извършена служебна проверка
не се констатират допуснати съществени нарушения на
административно-производствените правила при съставяне на АУАН и издаване на
наказателното постановление, ограничаващи правото на защита на привлеченото към
отговорност лице, обуславящи отмяна на наказателното постановление. Съставеният
АУАН е съобразен с изискванията на закона (чл.42 от ЗАНН), нарушението е
установено по несъмнен начин, индивидуализиран е нарушителят и му е дадена
възможност да направи възражение във връзка с констатираното нарушение. Въз основа
на акта е издадено и процесното наказателно постановление, което от своя страна
е изцяло съобразено с изискванията на чл. 57, ал. І от ЗАНН. Вменените
нарушения са индивидуализирани в степен, позволяваща на дружеството да разбере
в какво е обвинено и срещу какво да се защитава. Посочени са нарушените
материално правни норми, като наказанията за нарушенията са индивидуализирани.
При тази установеност на фактите, РС е намерил, че
жалбоподателят е автор на нарушенията, за които е ангажирана административно-наказателната
му отговорност, а именно за нарушения по чл.2, ал.ІІ, т.1 от ЗЗЛД и на чл.23,
ал.І от ЗЗЛД. Правилно наказващият орган е издирил и приложил относимите
санкционни разпоредби.
Съдът се позовал на разпоредбата на чл. 23, ал.І (Изм. - ДВ, бр. 103 от 2005 г.)
(Доп. - ДВ, бр. 81 от 2011 г.) от ЗЗЛД, според която администраторът на лични
данни предприема необходимите технически и организационни мерки, за да защити
данните от случайно или незаконно унищожаване, или от случайна загуба, от
неправомерен достъп, изменение или разпространение, както и от други незаконни
форми на обработване. Администраторът на лични данни определя срокове за
провеждане на периодични прегледи относно необходимостта от обработване на
данните, както и за заличаване на личните данни. Разпоредбата на чл.2, ал.ІІ,
т.1 от ЗЗЛД предвижда, че личните данни трябва да се обработват законосъобразно
и добросъвестно.
Съгласно чл.24, ал. ІV от ЗЗЛД задължава
администраторът на лични данни да определи задълженията на обработващия данните,
включително отговорността при неизпълнението им в писмен договор или в друг акт
на администратора, регламентиращ отношенията между двете основни правни фигури
– администратора на лични данни и обработващия лични данни. Доколкото в случая
не е налице възлагане от страна на „БТК“ на Е. А. с нормативен акт, писмен
договор или с друг акт на администратора, в който се определя обемът на
задълженията, възложени от същия на обработващия данните, то не е налице
действие под ръководството и указанието на администратора, което обуславя
качеството на „трети лица“. В случая А. няма качеството на
администратор на лични данни, а на трети лица по смисъла на §1, т.11 от ДР на
ЗЗЛД. За актовете и действията й по обработването на базата с лични данни на
физически лица отговаря администраторът на лични данни, който й ги е
предоставил, определил е обема на задълженията й и е задал конкретните указания
по обработването и защитата на данните съгласно чл.24, ал.6 от ЗЗЛД, а това е
именно „Кастъмър Кеър БГ“ ЕООД.
Предвид гореизложеното РС е намерил, че в разглеждания
случай действително виновно са допуснати нарушения по чл.2, ал.ІІ, т.1 и по
чл.23, ал.І от ЗЗЛД. Приел е обаче, че наказанието за двете нарушения следва да
се намали до законовия минимум, като е изменил НП.
Касационната инстанция намира постановеното решение за
правилно, а наведените в касационната жалба оплаквания за неоснователни.
Възражението на касатора, че РС не се е
съобразил със задължителните указания от Административен съд-Плевен, изложени в
мотивите на решение № 342/20.07.2017 г. по канд. 375/2017, като не е направил
анализ на събраните доказателства, не е обсъдил доводите на страните, не е
изложил фактически и правни изводи и не е отговорил на всички повдигнати
въпроси в производството са неоснователни. Макар и с лаконични мотиви, РС се е
произнесъл по фактите - установил е фактическата обстановка и се е мотивирал
относно правните изводи, като е приложил материалния закон към установените
факти. Настоящата инстанция следва да отговори на наведените в касационната
жалба твърдения, като по отношение на същите съобразява следното: При
издаването на АУАН и НП не е нарушен чл.34, ал.1 от ЗАНН. Твърдението, че още
на 16.02.2016 г. на проверяващия екип е бил известен извършителят на
нарушението, не е основателно. Видно от констативния протокол от 16.02.2016 г.
/л.53 от дело 16452/2016 на СРС/ е проведена среща от служителите на КЗЛД с
представители на „Кастъмър Кеър БГ“ ООД, като същите представители са поели
задължение да изпратят определени доказателства, да извършат определени
действия, и е установен начинът, по който служителите на дружеството имат
достъп до данните - а именно с парола. С този КП не е констатирано нарушение на
ЗЗЛД, още по-малко отговорният за такова нарушение. Нарушенията са станали
известни на служителите на органа на 12.04.2016 г., когато са провели среща с Е.
А. и същата е представила доказателства пред тях, поради което АУАН от 22.06.2016 г. е издаден в преклузивния срок по
чл.34, ал.1 ЗАНН. Наказващият орган е извършил преценка относно
законосъобразността и обосноваността на АУАН. Фактът, че е възприел изцяло
констатациите в АУАН, не означава, че такава преценка не е извършена. Преценка
на възраженията срещу АУАН е направена, като са посочени съответните факти и
законовите норми, които са приложими към тях, и са направени съответните
изводи. Извършване на разследване съгласно чл.52, ал.4 от ЗАНН не е задължително,
а е в зависимост от преценката на наказващия орган.
По отношение на твърдението, че данните са били предоставяни на А. директно от
БТК и нейни служители, съдът съобразява, че това е станало само в част от
случаите, и то въз основа на обстоятелството, че на А. от касатора е била
предоставена парола и пълна възможност да получава данни от БТК. Няма как в
АУАН и НП да се опишат всички електронни писма и бази данни, които са
разкривани. Съдът счита, че даденото описание - лични данни на физически лица
(имена, ЕГН, адреси, електронни пощи и телефонни номера, получени от „Българска
телекомуникационна компания“ ЕАД по Договор № 23695/30.09.2008 г.), съдържащи
се в бази данни със 148 536 бр. записи, е напълно достатъчно, като
конкретните данни не следва да бъдат възпроизвеждани в АУАН и в НП, включително
и с оглед на тяхната защита. Място на нарушенията е гр.Плевен, като за да бъде
извършено нарушение на определено място от определено дружество, не е
необходимо дружеството да има седалище и адрес на управление на това място,
нито да извършва дейност там. Данните по първото нарушение са разкрити чрез предаване
и предоставяне без правно основание на А., а по второто - незащитени със
съответните мерки от неправомерен достъп и разпространение, именно на това
място, посочено в АУАН и в НП. Въпреки че електронната поща на А. е служебна и
е настроена да работи на сървър на дружеството, който не е в гр.Плевен,
касаторът не е имал никакво право да й разкрива чрез предаване и предоставяне
тези данни, доколкото няма правно основание за това. Период на извършване на
първото нарушение е 22.06.2015 г. - 03.08.2015 г., като началото на периода се
определя от най-ранно предоставените на А. данни, а краят му - от последния ѝ
отчет и последващият същия ден отказ да продължи да обработва данни, доколкото
изразява желание да прекрати нерегламентираните си с писмен договор отношения с
дружеството. По отношение на второто деяние период на това нарушение е
04.08.2015 г. -12.04.2016 г., както е посочено в АУАН и в НП, доколкото
началото е първият ден, в който касаторът не е предприел необходимите
технически и организационни мерки за защита на лични данни /същите данни,
индивидуализирани и при първото нарушение/, съдържащи се в 148 536 бр.
записи. Краят на периода е денят, в който записите са предадени на служителите
на КЗЛД. Касаторът неправилно счита, че следва да са указани действията на
дружеството, които трябва да са извършени в този период. ЗЗЛД дава свобода на администратора
на ЛД да предприеме мерки за защита на личните данни, посочени в чл.23, ал.1 и
ал.2 от ЗЗЛД, като съгласно чл.23, ал.4 от ЗЗЛД именно администраторът на ЛД
следва да приеме инструкция, в която да посочи необходимите мерки, за да ги
защити. Следва да се посочи, че нарушението по чл.23, ал.1 от ЗЗЛД е
резултатно, което означава, че ако личните данни са неправомерно предоставени
/както в случая/ дружеството не може да се защити, като твърди, че е предприело
необходимите мерки за защита, но въпреки това е настъпил противоправен резултат.
След като е налице неправомерен достъп, явно такива мерки не са били предприети
в необходимата и изискуема от закона степен. От показанията на св.Е. А. пред РС
при предходното разглеждане на делото е видно, че същата през декември 2015 г.
все още е имала директен достъп до сървъра на БТК. Този сървър е извън контрола
на наказаното дружество, но А. е продължавала да има достъп, доколкото именно
дружеството не е предприело никакви мерки по блокиране на паролата ѝ,
чрез която А. има този достъп. Твърденията, че същата е могла да получи
паролата от други лица, а не от наказаното дружество, са неоснователни. Няма
нито писмени, нито гласни доказателства в тази насока. Дори ако паролата ѝ
бъде предоставена от други лица, които са „работили“ за касатора, същият отново
носи отговорност за техните действия. Въпросът дали управителят на дружеството В.
е извършвала телефонни измами е извън предмета на делото. Освен това, св.А. не
твърди подобно нещо. Видно от показанията й /л.42 от дело 2513/2017 на РС/,
същата заявява „..В. работи за „М-тел“ и точи бази данни. Оттук отивам в прокуратурата.
Всеки ден стават телефонни измами. Ние тук сме имали 100 човека с достъп до
тези бази данни. Хората злоупотребяват“. Следователно А. пред РС не заявява, че
В. е извършвала телефонни измами, а изразява безпокойството си, че значителен
брой хора имат достъп до тези данни и може да се злоупотреби. В АУАН и НП не е
необходимо да се посочва какви действия е трябвало да предприеме наказаното
дружество, за да изземе флашки, дискове и др. от А.. Същото по т.2 от НП е
наказано за това, че не е предприело необходимите технически и организационни
мерки за защитата на личните данни от неправомерен достъп и разпространение.
След като служители на касатора не може да влизат в частен имот и да изземват
чужди технически средства, дружеството е било длъжно да съхранява личните данни
по начин, позволяващ същите да се унищожат, без да е налице до тях неправомерен
достъп и разпространение. Както се посочи по-горе, тези мерки е следвало да се опишат
в инструкция, издадена от дружеството. Становището на БТК, съгласно което
наказаното дружество е обработващ лични данни по §1, т.3 от ДР на ЗЗЛД за
Виваком, не обвързва съда. Твърденията на касатора, че не е администратор на ЛД,
нямат законова опора. Съгласно чл.3, ал.1 от ЗЗЛД, администратор на лични данни,
наричан по-нататък "администратор", е физическо или юридическо лице,
както и орган на държавната власт или на местното самоуправление, който сам или
съвместно с друго лице определя целите и средствата за обработване на личните
данни. Видно от договора между касатора и БТК, с него се определят целите и
средствата за обработване на личните данни. Следователно касаторът е администратор
на ЛД, който съвместно /по смисъла на законовото определение/ с БТК - сключен
договор, е определил целите и средствата за обработване на личните данни. „Кастъмър
Кеър БГ“ ООД е и надлежно регистриран като администратор на ЛД с уникален
идентификационен номер 39208, като това не е и спорно по делото, и е надлежно
посочено в АУАН и в НП. Дали БТК е извършила нарушение на ЗЗЛД не е предмет на
делото, и съдът не може нито да събира доказателства в тази насока, нито е
длъжен да излага мотиви. Вярно е, че в АУАН и НП не е посочено, че дружеството
е предоставяло данните за „Алианц застраховане“, „Юродом“, „Икеа“, „Бяла карта“.
За такова нарушение дружеството не е наказано с процесното НП, по т.1 от НП е
наказано за разкриване на личните данни чрез предаване и предоставяне на Е. А..
Излагането от свидетели пред РС на данни и за други нарушения от страна на
дружеството само по себе си не опорочава производството по отношение на
нарушенията, за които е потърсена отговорност. Твърденията, че гражданският
договор на А. се е превърнал в безсрочен, по аналогия с договора за наем, са
неоснователни. От този договор /л.169 от дело 16452/2016 на СРС/ е видно, че е
прекратен с изтичане на срока му - чл.12, буква „а“. Същият е за извършване на
определена работа - изработка и поръчка, за които правни институти, изрично
посочени като основание за сключване на договора, в Закона за задълженията и
договорите не е предвидена възможност сключените договори да се продължават
като безсрочни. Тези договори са за определена работа. По делото са налице
доказателства, че дъщерята на Е. А. - Нора А., е получавала възнаграждение от
касатора, но това не означава, че същата или дружеството имат право да
предоставят данни на Е. А.. Не може в АУАН и НП да са изложени конкретните технически и организационни мерки за защита на
личните данни, доколкото това следва да са мерки, установени и предприети от „Кастъмър
Кеър БГ“ ООД. Представената по делото и издадена от дружеството инструкция за
реда и обработването на лични данни и за техническите и организационни мерки за
защитата на личните данни не е могла да защити данните, като следва да се има
предвид, че дружеството има задължение
не само да издаде инструкция, но и да защити личните данни, което не е сторило.
По тези причини настоящият състав на съда
счита, че решението на РС е правилно, като въз основа на събраните по надлежния
ред непротиворечиви доказателства правилно е установена фактическата
обстановка, и към същата правилно е приложен материалния закон. Липсват
нарушения на процесуалните правила при разглеждането на делото. РС е постановил
правилно, валидно и допустимо решение, което следва да бъде оставено в сила.
Воден от горното и на основание чл.63, ал.1, изр. 2
във връзка с чл.221, ал.2 от АПК, съдът
Р Е Ш И:
ОСТАВЯ В СИЛА Решение № 1089
от 1.12.2017 г.,
постановено по нахд № 2513/2017 г. на
Районен съд – Плевен.
РЕШЕНИЕТО не подлежи на оспорване.
Преписи от решението да се изпратят на страните.
ПРЕДСЕДАТЕЛ: ЧЛЕНОВЕ: 1.
2.