РЕШЕНИЕ

551
София, 18.01.2021

В ИМЕТО НА НАРОДА

Върховният административен съд на Република България - Пето отделение, в съдебно заседание на двадесет и трети ноември две хиляди и двадесета година в състав:

ПРЕДСЕДАТЕЛ:
АННА ДИМИТРОВА
ЧЛЕНОВЕ:
ГАЛИНА КАРАГЬОЗОВА
ЮЛИЯ КОВАЧЕВА
при секретар Мадлен Дукова
и с участието
на прокурора Маринела Тотева
изслуша докладваното
от съдиятаЮЛИЯ КОВАЧЕВА
по адм. дело 9837/2020. Document Link Icon


Производството е по чл. 208 и сл. от Административнопроцесуалния кодекс.
Образувано е по касационна жалба на "Българска телекомуникационна компания" ЕАД против решение № 2905 от 12.06.2020 г. по адм. дело № 721/2020 г. на Административен съд София – град. В нея са развити оплаквания за неправилност на съдебния акт поради постановяването му при неправилно приложение на материалния закон и необоснованост - касационни основания за отмяна по чл. 209, т. 3 АПК.
Ответникът по касационната жалба - Комисията за защита на личните данни, чрез процесуалния си представител, изразява становище, че обжалваното решение е правилно и не са налице сочените касационни основания за отмяната му.
Ответникът – С. Николаев, не е изразил становище по касационната жалба.
Прокурорът от Върховната административна прокуратура дава мотивирано заключение за неоснователност на касационната жалба.
Върховният административен съд, състав на пето отделение, намира, че касационната жалба е процесуално допустима като подадена в законния срок и от надлежна страна. Разгледана по същество е неоснователна, по следните съображения:
С обжалваното решение Административен съд София – град е отхвърлил жалбата на "Българска телекомуникационна компания" ЕАД против решение № ППН-01-49 от 19.11.2019 г. на Комисията за защита на личните данни.
С оспореното пред първоинстанционния съд решение № ППН-01-49 от 19.11.2019 г. на Комисията за защита на личните данни жалба с рег. № ППН-01-49 от 17.01.2019 г., подадена от С. Николаев срещу "Българска телекомуникационна компания" ЕАД, е обявена за основателна и е наложена на администратора "Българска телекомуникационна компания" ЕАД административно наказание, на основание чл. 58, § 2, б. "и" вр. с чл. 83, § 4, б. "а" от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защита на физическите лица във връзка с обработването на лични данни и относно движение на такива данни и за отмяна на Директива 95/46/ЕО (Общия регламент за защита на данните, ОРЗД), за нарушение на чл. 32, § 4 от ОРЗД - имуществена санкция в размер на 2000лв. Комисията е издала официално предупреждение на администратора "Българска телекомуникационна компания" ЕАД за завишаване техническите и организационни мерки при обработване на личните данни в дружеството.
При решаване на спора съдът е установил вярно релевантните фактически обстоятелства по делото и въз основа на точен анализ е достигнал до обосновани правни изводи.
Правилно съдът е констатирал, че "Българска телекомуникационна компания" ЕАД е администратор на лични данни и в това качество е обработвала личните данни на С. Николаев, като е установено, че същият е клиент на дружеството. Съдът е установил, че на 23.10.2018 г. в 15:49 часа и на 24.10.2018 г. в 14:47 часа, служител в дружеството на длъжност "сътрудник продажби в магазинната мрежа", зона Изток – Бургас 2 е заредил страница със списъка на месечните сметки за клиентския код на Николаев, под който се намира и мобилната му услуга [номер]. От служителя на дружеството - П. Душков, пред трето лице е разкрита информация от фактурата на Николаев, съдържаща три имена, точен адрес, телефонен номер и телефонни номера, с които същият е провеждал телефонни разговори с посочване на дата и час. По делото са представени разпечатки за извършвани повиквания от процесния телефонен номер, от които са видни трите имена и точен адрес на Николаев, както и снимки от проведена комуникация между Николаев и трето физическо лице, за което се твърди, че е получило достъп до личните данни на Николаев.
При тези фактически установявания, съдът обосновано е приел, че жалбоподателят "Българска телекомуникационна компания" ЕАД, в качеството си на администратор на лични данни, по смисъла на чл. 4, § 7 от ОРЗД е обработвало лични данни на С. Николаев, без наличие на правно основание за това. Същият не е дал съгласие за обработването на личните му данни, като същото е незаконосъобразно, тъй като не е приложимо нито едно от условията за обработване на лични данни по чл. 4, ал. 1 от ЗЗЛД (отм.), респективно чл. 6, § 1, букви от "а" до "е" от ОРЗД. Съдът е приел, че в случая от доказателствата по делото, в това число и от Уведомление за нарушение в сигурността на личните данни пред Комисията, заведено с рег. №ППН-01-49/06.03.2019 г., относно извършена вътрешна проверка от дружеството, може да се направи извод, че администраторът и обработващият лични данни не са предприели сигурни и надеждни стъпки всяко физическо лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до лични данни, да обработва тези данни само по указание на администратора, освен ако от въпросното лице не се изисква да прави това по силата на правото на Съюза или правото на държава членка, поради което съдът е извел правилен извод, че е налице нарушение на чл. 32, § 4 от ОРЗД. При това положение, съдът е счел, че Комисията законосъобразно е наложила на жалбоподателя предвидената в чл. 58, § 2, б. "и" вр. с чл. 83, § 4, б. "а" от ОРЗД имуществена санкция в размер на 2000 лв. и е издала официално предупреждение на администратора "Българска телекомуникационна компания" ЕАД за завишаване техническите и организационни мерки при обработване на личните данни в дружеството.
Решението е правилно.
Правилно съдът е приел, че "Българска телекомуникационна компания" ЕАД е администратор на лични данни по смисъла на чл. 4, § 7 от ОРЗД, на когото са вменени задължения, изпълнението на които гарантира законосъобразното обработване на лични данни.
По отношение на администратора на лични данни е необходимо да съществува легитимно основание за обработване на лични данни на физически лица, а това право не възниква за тях само в резултат от качеството им на администратори по отношение на неограничени по вид и обем лични данни.
В чл. 6, § 1, б. "а" до "е" от ОРЗД са изброени основанията за законосъобразно обработване, а именно само ако и доколкото е приложимо поне едно от следните условия: а) субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели; б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна; в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора; г) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице; д) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора; е) обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете. В случая в противоречие с цитираните текстове от страна на "Българска телекомуникационна компания" ЕАД, в качеството й на администратор, е налице незаконосъобразно обработване на лични данни на С. Николаев, без наличие на правно основание за това, тъй като не е приложимо нито едно от условията по чл. 4, ал. 1 от ЗЗЛД (отм.), респективно чл. 6, § 1, букви от "а" до "е" от ОРЗД.
По делото е безспорно установено, че на 23.10.2018 г. в 15:49 часа и на 24.10.2018 г. в 14:47 часа, служител в дружеството на длъжност "сътрудник продажби в магазинната мрежа", зона Изток – Бургас 2 е заредил страница със списъка на месечните сметки за клиентския код на Николаев, под които се намира и мобилната му услуга [номер], като от страна на служителя на дружеството, а именно от лицето П. Душков е разкрита пред трето лице информация от фактурата на Николаев, съдържаща три имена, точен адрес, телефонен номер и телефонни номера, с които същият е провеждал телефонни разговори с посочване на дата и час. Същественото в случая е, че данните неправомерно са предоставени от служител на дружеството на трето лице без същият да е имал право да ги предоставя, т. е. да ги обработва, тъй като не е имал основание за това. С поведението си дружеството е извършило нарушение на чл. 32, § 4 от ОРЗД, в качеството си на администратор на лични данни не е изпълнило задължението си да предприеме стъпки всяко физическо лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до лични данни, да обработва тези данни само по указание на администратора, освен ако от въпросното лице не се изисква да прави това по силата на правото на Съюза или правото на държава членка. В случая дори и да се приеме, че такива стъпки са били предприети от администратора на лични данни, то същите не са били достатъчни, за да предотвратят неправомерната обработка. В контекста на изложеното, съдът правилно е приел, че обработването на данните от страна на "Българска телекомуникационна компания" ЕАД не е допустимо, тъй като не е приложимо нито едно от условията по чл. 4, ал. 1 от ЗЗЛД (отм.), респективно чл. 6, § 1, букви от "а" до "е" от ОРЗД.
При правилно тълкуване и прилагане на закона, първоинстанционният съд обосновано е приел, че дружеството – жалбоподател като не е предприел сигурни и надеждни стъпки всяко физическо лице, действащо под ръководството на администратора, което има достъп до лични данни, да обработва тези данни само при условията по чл. 4, ал. 1 от ЗЗЛД (отм.), респективно чл. 6, § 1, букви от "а" до "е" от ОРЗД, с което е допуснал неправомерен достъп и обработване на лични данни на С. Николаев по описания по-горе начин. Поради това жалбоподателят "Българска телекомуникационна компания" ЕАД е допуснал нарушение на чл. 32, § 4 от ОРЗД, за което законосъобразно административният орган е ангажирал отговорността му по чл. 58, § 2, б. "и" вр. с чл. 83, § 4, б. "а" от ОРЗД и издал официално предупреждение на дружеството за завишаване техническите и организационни мерки при обработване на личните данни в дружеството.
Предвид изложеното, обжалваното решение е правилно и не са налице касационни основания по чл. 209, т. 3 АПК за отмяна, поради което същото следва да се остави в сила.
С оглед изхода на спора и заявената претенция за присъждане на разноски от процесуалния представител на ответника по касация, касационният жалбоподател "Българска телекомуникационна компания" ЕАД следва да заплати на Комисията за защита на личните данни, сумата в размер на общо 100 лв., разноски за юрисконсултско възнаграждение на основание чл. 78, ал. 8 от ГПК, с оглед препращащата норма на чл. 144 от АПК.
Водим от горното, Върховният административен съд, пето отделение,

РЕШИ:

ОСТАВЯ В СИЛА решение № 2905 от 12.06.2020 г. по адм. дело № 721/2020 г. на Административен съд София - град.
ОСЪЖДА "Българска телекомуникационна компания" ЕАД да заплати на Комисията за защита на личните данни сумата от 100 лв., разноски за настоящата съдебна инстанция.
Решението не подлежи на обжалване.