РЕШЕНИЕ

3194
София, 13.03.2018

В ИМЕТО НА НАРОДА

Върховният административен съд на Република България - Пето отделение, в съдебно заседание на двадесети ноември две хиляди и седемнадесета година в състав:

ПРЕДСЕДАТЕЛ:
ЗДРАВКА ШУМЕНСКА
ЧЛЕНОВЕ:
ГАЛИНА КАРАГЬОЗОВА
ЮЛИЯ КОВАЧЕВА
при секретар Валерия Георгиева Георгиева
и с участието
на прокурора Маринела Тотева
изслуша докладваното
от съдиятаЮЛИЯ КОВАЧЕВА
по адм. дело 6619/2016. Document Link Icon


Производството е по чл. 208 от Административнопроцесуалния кодекс.
Образувано е по касационна жалба на Комисията за защита на личните данни против решение № 2350 от 11.04.2016 г. по адм. дело № 9337/2014 г. на Административен съд - София-град. В нея се излагат доводи за неправилност на съдебния акт поради постановяването му в нарушение на материалния закон и необоснованост и се иска отмяната му.
Ответникът по касационната жалба - [фирма], чрез процесуалния си представител, изразява становище, че обжалваното решение е правилно и не са налице касационни основания за отмяната му.
Ответникът Н. Х. Г. представя становище, че касационната жалба е основателна. Заявява, че поддържа възраженията си срещу оспорването на [фирма] на решението на Комисията за защита на личните данни, направени пред първоинстанционния съд.
Прокурорът от Върховната административна прокуратура дава мотивирано заключение за неоснователност на касационната жалба.
Върховният административен съд, състав на пето отделение, намира, че касационната жалба е подадена в законния срок и от надлежна страна, поради което е процесуално допустима. За да се произнесе по съществото й, приема следното:
С обжалваното решение Административен съд - София-град е отменил по жалба на Н. Х. Г. мълчалив отказ на Комисията за защита на личните данни да се произнесе по негова жалба вх. № Ж-836 от 24.07.2014 година. Решението в тази част не е обжалвано и е влязло в сила.
С решението, съдът е отменил също, по жалба на [фирма], решение № Ж-836/28.04.2015 г. Комисията за защита на личните данни, с което:
1. Уважава като основателна жалба рег. № Ж-836 от 24.07.2014 г. на Н. Х. Г. срещу [фирма] поради нарушаване на принципите за събиране на лични данни за конкретни цели, съотносимост и ненадхвърляне на целите, за които същите се обработват, както и липсата на допустимост на обработването на личните данни, извършено със задължителното изразяване на съгласие с Общите условия на документ за получаване на паричен превод, изготвен от [фирма], поради което е нарушена разпоредбата на чл. 2, ал. 2, т. 2 и 3 и чл. 4, ал. 1 ЗЗЛД.
2. Издава задължително предписание на [фирма] да заличи клаузата "Защита на личните данни" от документа за получаване на паричен превод по отношение на трети лица, които не са клиенти на дружеството в срок от един месец от получаване на решението, за което да уведоми комисията.
Съдът е приел следното от фактическа и правна страна:
Административното производство пред Комисията за защита на личните данни е образувано по жалба на Н. Х. Г., в която излага оплаквания за извършени от [фирма] нарушения, свързани с обработване на личните данни и искане в тази връзка да бъдат дадени задължителни предписания на администратора на лични данни да му изплати паричен превод и да преустанови практиката си да изплаща суми по парични трансфери срещу писмено съгласие на получателя им за ползване на личните данни, съгласно Общите условия на "[фирма]".
В жалбата си Н. Г. информира комисията, че на 09.06.2014 г. е посетил [фирма] с цел да получи паричен превод в размер на 50 евро от Германия чрез [фирма]. Служителят на банката отказал да изплати сумата, тъй като не получил от лицето писмено съгласие с Общите условия на [фирма] за обработване на личните му данни "в различни държави, включително извън Европейския съюз и такива с по-слаба законова защита от регламентираната в Република България, както и да бъдат ползвани за маркетингови проучвания".
[фирма] ([фирма], [фирма]) е лицензирана платежна институция за изпълнение на парични преводи, регистрирана в Австрия.
Съгласно представените по делото писмени доказателства - договор за агентство между [фирма] и [фирма], инструкции за работа при парични преводи в България за агенти на [фирма] и формуляр, в който се съдържат Общите условия на [фирма], в т.ч. за защита на личните данни, [фирма] при осъществяване на услугата парични преводи действа в качеството на изпълнител по договор за агентство. Банката действа в това качество както при изпращане на наредени преводи по системата на [фирма], така и при изплащането на получени преводи на техните получатели.
Комисията за защита на личните данни, в мотивите на обжалваното решение № Ж-836/28.04.2015 г. приела, че [фирма] е нарушила принципите за събиране на лични данни за конкретни цели, съотносимост и ненадхвърляне на целите, за които същите се обработват, като изисква задължително изразяване на съгласие с Общите условия на [фирма]. Комисията е приела също, че липсва основание за допустимост на обработването на личните данни на Н. Г.. Хипотезите, които допускат обработване на лични данни при липса на съгласие на съответното лице са изчерпателно посочени в чл. 4, ал. 1, т. 1, 3, 4, 5, 6 и 7 ЗЗЛД, като в случая не е налице нито една от тях.
В заключение Комисията е посочила, че: "Съдържанието на Общите условия на [фирма] би могло да се коментира, като обем и относимост, по отношение на физически лица, в качеството им на субекти, избрали ползването на услугите на [фирма] в резултат на договорни отношения, но не и по отношение на трети лица, които не са изразили желание за придобиване качеството "клиент" на [фирма].
При тези съображения, Комисията е намерила за основателна жалба с рег. № Ж-836 от 24.07.2014 г. на Н. Х. Г. и издала задължително предписание на [фирма] да заличи клаузата "Защита на личните данни" от документа за получаване на паричен превод по отношение на трети лица, които не са клиенти на дружеството в срок от един месец от получаване на решението.
Съдът, след като обсъдил изложените фактически и правни обстоятелства, е приел, че качеството, в което един субект обработва личните данни - като администратор или обработващ, се установява след конкретно изследване на връзката между субекта и обработваните лични данни. Ако субектът сам определя целите и средствата за това обработване, то тогава е налице хипотезата на чл. 3, ал. 1 ЗЗЛД и субектът има правното положение на администратор. В случай, че същият обработва лични данни, но не определя сам целите и средствата за това обработване, а обработва данните съобразно определените от друг субект цели и средства, който е администратор на лични данни, то тогава има качеството на обработващ лични данни по смисъла на § 1, т. 3 ЗЗЛД.
С оглед качеството на банката на обработващ лични данни, съдът е посочил, че изискванията за допустимост на обработването на лични данни по чл. 4, ал. 1 ЗЗЛД са приложими спрямо администратора на лични данни, но не и към обработващите, които действат от името на администратора на лични данни.
Комисията за защита на лични данни неправилно е квалифицирала [фирма] като администратор на лични данни и съответно е достигнала до погрешен извод за отговорност на банката поради неправомерно обработване на лични данни.
При тези съображения съдът е постановил обжалвания резултат.
Недоволен от решението, касационният жалбоподател излага доводи, че [фирма] е вписано като администратор на лични данни с идентификационен номер [номер], със заявени три броя регистри - "Акционери", "Клиенти и неклиенти", "Персонал". Намира за неправилен извода на съда, че изискванията за допустимост на обработването на лични данни, установени в нормата на чл. 4, ал. 1 ЗЗЛД са приложими спрямо администраторите на лични данни, не и към обработващите лични данни. Твърди, че клаузите на договора между банката и дружеството, сключен по правилата на Закона за задълженията и договорите не могат да елиминират правилата на специалния закон - Закона за защита на личните данни. Условията за допустимост на обработването на лични данни, регламентирани в чл. 4, ал. 1, т. 1 - 7 ЗЗЛД са задължителни и се отнасят до всички субекти, обработващи лични данни, независимо в какво качество - "администратор на лични данни", "обработващ лични данни", както и "всяко лице, действащо под ръководството на администратора или обработващия, което има достъп до лични данни", съгласно чл. 24, ал. 6 ЗЗЛД. Ето защо, касаторът претендира отмяна на обжалвания съдебен акт поради постановяването му при неправилно приложение на материалния закон.
Ответникът по касационната жалба [фирма] намира за правилно разграничаването на правната фигура на администратора на лични данни от тази на лицето, което обработва данните по възлагане от администратора. Поддържа, че по силата на договора за агентство, в случаите, при които клиенти получават пари, изпратени чрез системата на [фирма], банката в качеството си представител на дружеството съобразява дейността си с изискванията, в т.ч. по обработване на личните данни, поставени й от същото. Излага съображения, че Законът за защита на личните данни не възлага самостоятелни задължения на лицето, което е ангажирано да обработва лични данни от името на администратора на лични данни, като всички задължения в тази насока са за администратора на лични дани. Поради това и санкциите за неправомерно обратоване на лични данни следва да бъдат за администратора на лични данни, а не за обработващия такива. Твърди, че е без значение за решаване на спорния въпрос по делото обстоятелството, че банката е регистрирана като администратор на лични данни, т.к. в обсъждания случай тя не действа като такъв, а като обработващ лични данни по дефиницията на § 1, т. 3 ЗЗЛД. При тези съображения счита, че следва да се остави в сила обжалваното решение.
Ответникът по касация Н. Х. Г. поддържа, че решаващ за изхода на спора е отговорът на въпроса: "Когато едно юридическо лице се явява едновременно в две качества - администратор на лични данни и обработващ лични данни, следва ли да спазва изискванията на Закона за защита на личните данни, независимо в кое от двете качества оперира с личните данни. Според ответника, решението е неправилно и следва да се отмени, като се потвърдят изводите на Комисията за защита на личните данни в решението й.
Върховният административен съд, като прецени доводите и възраженията на страните и събрания доказателствен материал по делото, намира, че касационната жалба е неоснователна, по следните съображения:
Съдът е установил вярно фактите по делото и въз основа на точния им анализ е достигнал до правилни правни изводи.
В Споразумението за представителство, сключено между [фирма] и [фирма] е предвидено, че банката предлага като представител на дружеството услугите по парични преводи в рамките на страната, съгласно условията на същото.
В раздел 8 от договора за агентство е регламентирано, че цялата, свързана с транзакции, информация ще се притежава изключително от [фирма], което има право да я използва по начини, разрешени от закона, а представителят - [фирма] не използва информацията и не я прехвърля към трета страна без предварително писмено съгласие от [фирма].
В т. 8.5 е уредена защитата на личните данни на клиентите, които ползват услугата за парични преводи, като в т.8.5.5. изрично е посочено, че [фирма] включва в образците на клиентските формуляри, използвани за предлагане на услугата за парични преводи, информация относно правата на достъп на клиентите, поправяне и противопоставяне, както и друга клиентска информация, изисквана от приложимите закони за защита на клиентите.
Прочитът на т. 8.5.5. показва, че в случай на необходимост да бъдат направени промени в клиентските формуляри поради законови изисквания, представителят уведомява [фирма] писмено. Преценката дали да бъдат променени формулярите е предоставена на [фирма].
Според договора, задължение на [фирма] е да осигури образци на формулярите, необходими при предлагане на услугата за парични преводи, а представителят не изменя формулярите без предварително писмено одобрение от [фирма] - т. 12.3 от договора.
В представеното писмено становище на [фирма] от 18.05.2015 г., по повод решението на Комисията за защита на личните данни, до [фирма], дружеството потвърждава, че банката извършва дейност като представител на [фирма]. [фирма] е администратор на лични данни, "установен" в Австрия за целите на чл. 4, ал. 1 от Директива 95/46/ЕО и спрямо него е приложим и се подчинява на правилата на австрийския федерален Закон за защита на личните данни 2000 ("DSG 2000"). Заявява, че единствено [фирма] определя целите и начина, по който личните данни се обработват, поради което се явява администратор на лични данни за целите на чл. 2, б."б" от Директивата.
С оглед установените договорни права и задължения на страните по Споразумението за представителство, съдът обосновано е заключил, че при взаимоотношенията си с лицата, които ползват услуга за парични преводи на [фирма], [фирма] има качеството на администратор на лични данни, а [фирма] - на обработващ лични данни по определението на § 1, т. 3 ЗЗЛД.
Според легалната дефиниция на § 1, т. 3 ЗЗЛД "обработващ лични данни" е физическо или юридическо лице, държавен орган или орган на местно самоуправление, който обработва лични данни от името на администратора на лични данни.
В съответствие с изискванията на чл. 24, ал. 4 ЗЗЛД, отношенията между администратора и обработващия лични данни са уредени с писмен договор, в който е определен обемът на задълженията, възложени от администратора на лични данни на обработващия данните и неговите права. Според този договор, [фирма] не разполага с правото да променя Общите условия на [фирма], които клиентите трябва да приемат, за да получат услугата паричен превод.
Отговорността за спазване на законовите изисквания при обработване на личните данни е на администратора на лични данни. При нарушение на релевантните законови правила от администратора на лични данни, всяко физическо лице може да сезира Комисията за защита на личните данни или да защити правата си по съдебен ред по реда на Глава седма "Обжалване действията на администратора на лични данни" на Закона за защита на личните данни.
В чл. 24, ал. 2 ЗЗЛД изрично е посочено, че случаите, когато обработването на данните не се извършва от администратора, той е длъжен да определи обработващ данните и да осигури достатъчни гаранции за тяхната защита.
Обработващият лични данни, както и всяко лице, действащо под ръководството на администратора или на обработващия, което има достъп до лични данни, може да ги обработва само по указание на администратора, освен ако в закон е предвидено друго - чл. 24, ал. 6 ЗЗЛД.
При това фактическо и правно положение, трябва да се сподели изводът на съда, че след като [фирма], при предоставяне на услугата паричен превод по силата на споразумението за представителство с [фирма], действа като агент и има качеството на обработващ личните данни, неправилно комисията му е вменила задължения на администратор на лични данни при обработване на данните на клиентите, ползващи тази услуга.
Неоснователно се поддържа в касационната жалба, че след като банката е регистрирана като администратор на лични данни, при всяко едно обработване на лични данни на лицата тя действа и следва да отговаря единствено в това качество, без да се отчитат съществуващите фактически и правни обстоятелства, по силата на които има качеството и действа като обработващ лични данни. Законодателят ясно е разграничил двете правни фигури и обема на права и задължения, с който са натоварени. Няма законова пречка един и същи правен субект да действа в различни ситуации като администратор на лични данни и като обработващ лични данни, с произтичащите последици при всяка от тях. В обсъждания случай, банката предоставя услугата паричен превод в качеството си на обработващ лични данни и отговаря в това качество, а не като администратор на лични данни.
В контекста на изложеното, следва да се възприеме като правилен и обоснован изводът на решаващия съд, че в обсъждания казус [фирма] не е администратор на лични данни и не може да бъде адресат на даденото задължително предписание от комисията за заличаване клаузата "Защита на лични данни" от формуляра за получаване на паричен превод по отношение на трети лица, които не са клиенти на дружеството.
Касационният жалбоподател намира, че не е налице нито една от хипотезите, които допускат обработване на лични данни при липса на съгласие на съответното лице, изчерпателно посочени в чл. 4, ал. 1, т. 1, 3 - 7 ЗЗЛД, а задълженията за спазване на тези изисквания са както за администратора на лични данни, така и за обработващия лични данни. Този довод също не намира опора в нормативната уредба и не може да бъде споделен.
Правилни са съображенията на съда, че изискванията за допустимост на обработването на лични данни, когато не е налице съгласие на лицето, установени в нормата на чл. 4, ал. 1, т. 1, 3 - 7 ЗЗЛД, са приложими спрямо администратора на лични данни, но не и към обработващия лични данни, който действа от негово име. В допълнение трябва да се посочи, че услугата паричен превод може да се осъществи само при положение, че всяка от изпращащата и получаващата страна се съгласи с Общите условия на [фирма], в противен случай не придобива качеството клиент на дружеството и съответно личните й данни не се обработват без нейно съгласие.
Аналогично е разбирането по отношение спазването на принципите по чл. 2, ал. 2, т. 2 и 3 ЗЗЛД: т. 2. - да се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели; допълнително обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита, като гарантира, че данните не се обработват за други цели, с изключение на случаите, изрично предвидени в този закон; т. 3. - да бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват, които според комисията са нарушени от [фирма]:
В чл. 3 ЗЗЛД изрично е предвидено, че администраторът осигурява спазването на изискванията на чл. 2, ал. 2 ЗЗЛД.
Тук трябва да се посочи, че в мотивите на решението на Комисията изобщо не е обсъждано спазването на принципите по чл. 2, ал. 2, т. 2 и 3 ЗЗЛД в светлината на чл. 3 ЗЗЛД, съответно не са разграничени функциите, отговорностите и правата на администратора на лични данни от тези на обработващия лични данни от негово име.
Разпоредбата на чл. 24, ал. 6 ЗЗЛД, на която се позовава комисията в касационната жалба, всъщност казва, че обработващият лични данни може да ги обработва само по указание на администратора, освен ако в закон е предвидено друго. В случая, друго не е предвидено в закона, а банката, в качеството си на представител е обработвала личните данни на клиентите на услугата паричен превод според договорните клаузи. Неточно и неправилно в решението си комисията обсъжда Общите условия, публикувани във формуляра, който се попълва от клиентите на услугата паричен превод на [фирма], като Общи условия на банката и съответно извежда погрешни правни изводи за отговорност на банката като администратор на лични данни за съдържанието им.
Законът за личните данни не предвижда самостоятелни задължения за обработващия лични данни и съответно неизпълнението на такива не е основание да бъде адресат на задължителни предписания на комисията. Всички задължения по законосъобразното събиране, обработка и съхранение на данните са възложени на администратора и именно администраторът, при неспазването им, може да бъде адресат на задължителни предписания, да бъде задължен в срок да отстрани допуснатите нарушения и да му бъде наложена административнонаказателна санкция, съгласно чл. 38, ал. 2 ЗЗЛД.
Предвид изложеното, обжалваното решение на Административен съд - София-град е правилно, не са налице касационни основания за отмяната му, поради което следва да се остави в сила.
С оглед изхода на спора пред касационната инстанция, Комисията за защита на личните данни следва да заплати на ответника [фирма] направените разноски пред същата в размер на 150лв.
Водим от горното, Върховният административен съд, пето отделение,


РЕШИ:


ОСТАВЯ В СИЛА решение № 2350 от 11.04.2016 г. по адм. дело № 9337/2014 г. на Административен съд - София-град
ОСЪЖДА Комисията за защита на личните данни да заплати на [фирма] направените деловодни разноски пред настоящата инстанция в размер на 150лв.
Решението не подлежи на обжалване.