Решение по дело №72/2024 на Административен съд - Хасково

Производството е по реда на чл. 38, ал. 8 от Закона за защита на личните данни /ЗЗЛД/ във връзка с чл. 145 и следващите от Административнопроцесуалния кодекс /АПК/.

Образувано е по жалба на „ЛЕО Експрес“ ЕООД - в ликвидация, ЕИК *********, срещу Решение № ППН-01-649/2020 от 14.09.2023 г. на Комисията за защита на личните данни.

Моли решението да бъде отменено като издадено незаконосъобразно - при допуснати съществени процесуални нарушения, противоречие с материалния закон и неговата цел. Решението било немотивирано. Не се оспорвало, че личните данни на лицето /три имена, ЕГН и адрес/ са обработени от дружеството, но то било в обективна невъзможност да установи самоличността на лицето, което е изпратило пратките. Като администратор на лични данни дружеството било създало необходимите технически и организационни мерки във връзка с обработване – събиране на лични данни, но те нямало как да се приложат в хипотеза на умишлени неправомерни действия на трети лица. Дружеството нямало право да копира и съхранява документи за самоличност. Налице била злоупотреба с данните на г-жа А., които не са изтекли от системата на дружеството, а са предоставени от друго лице, представящо се за получател на наложения платеж и легитимиращо се като такъв чрез документ за самоличност и който документ е съдържал имената на изпращача Р. А. с ЕГН, съответстващ на ЕГН, посочен в ордера. Не било доказано нарушението. Оспорва се санкцията, наложена била несправедливо, при неспазване на принципа на съразмерност и пропорционалност. Моли за отмяна на решението.

В съдебно заседание жалбоподателят - „ЛЕО Експрес“ ЕООД, редовно уведомен, чрез процесуалния си представител поддържа изложеното в жалбата. Изяснява фактите по спора, като посочва, че се касае за клиент на дружеството, който е посочил грешен ЕГН. Уточнява, че при изплащане на наложен платеж лицето получател сам попълва данните си в касовия ордер, като едва след 2020 г. съгласно общите правила на дружеството лицето получател на наложения платеж трябвало да покаже личната си карта, за да може съответният служител да провери дали това е лицето, което е пред него и което в случая куриерът е направил. Нямало как за обърканите цифри на ЕГН да се търси отговорност от дружеството, като без значение било дали се касае за умишлена грешка от лицето, което е изпращало /Р. А./ или не. Оспорва се твърдението, че дружеството не е положило дължимата грижа. Не излага други съображения относно глобата извън тези в жалбата. Моли за отмяна на оспореното решение. Не претендира разноски.

Ответникът Комисия за защита на личните данни /КЗЛД/, редовно уведомен, не изпраща процесуален представител. Писмено излага становище за неоснователност на жалбата. Дружеството не било оспорило, че е налице неправомерно обработване на лични данни, но твърдяло, че не следва да носи отговорност, доколкото ги е обработило като администратор законосъобразно въз основа на съгласие на лицето, легитимирало се като Р. А., „откраднал“ последните четири цифри на ЕГН, отговарящ на ЕГН на заинтересованата страна. Не била налице нито една от посочените в чл. 6, § 1 ОРЗД предпоставки за законосъобразност на обработването на ЕГН на В. А. за 37 пратки с наложен платеж. Недопустимо било изразяване на съгласие на лицето Р. А. за обработване на лични данни на трето лице – г-жа А.. Безспорно било, че последната не е клиент на дружеството, което се потвърждава от същото като факт. ЕГН на г-жа А. /**********/ се обработвал от дружеството – съхранява се в базата му данни във връзка с изпратени през 2019 г. 37 броя пратки с наложен платеж, изпращани в периода от януари до август 2019 г. и получени от тях доходи от Р. А., като данни за ЕГН са посочени в товарителници, попълнени от изпращача на пратките Р. А. с [ЕГН]. Мотивира твърдение, че се касае за системно нарушение, повече от 7 месеца, при което са подавани неточни данни за ЕГН за изпращача на пратките, без тази неточност да е констатирана от служители на дружеството. Направен е извод за липсата на контрол, текущ и последващ, при събиране на личните данни, не били въведени мерки за идентификация на клиентите на дружеството при приемане и отчитане на пратки с наложен платеж. Администраторът на личните данни не е констатирал нарушението, дори и при предаването им в НАП, а това се е случило след сезиране на заинтересованото лице, като служителят на дружеството смятал, че А. е написал ЕГН на г-жа А. в касовия ордер и по този начин е бил въведен в заблуждение. В представените Вътрешни правила липсвало задължение данните, посочени в товарителница и/или касови ордери, да се сравняват с данните от предоставения за справка документ за самоличност и/или да се прави формална проверка за съответствие с ЕГН на пол на лице, която била достатъчна в случая. Дали служителят е добросъвестен или не е извън предмета на спора, тъй като дружеството било администратор на личните данни, задължено лице по ЗЗЛД и ОРЗД и субект на контрол от КЗЛД. Не били представени доказателства за проведени обучения на служителите на дружеството за запознаване и спазване на въведени от същото правила и процедури относно обработването на лични данни, в частност идентификация на клиентите на дружеството. Моли жалбата да бъде отхвърлена като неоснователна. Претендира разноски. Прави възражение за прекомерност на адвокатското възнаграждение.

Заинтересованата страна В. А. А., редовно уведомена, не се явява, не се представлява и не изразява становище по жалбата.

Административен съд - Хасково, като обсъди твърденията на страните и прецени събраните по делото доказателства по реда на чл. 144 АПК във връзка с чл. 235, ал. 2 ГПК, намира за установено следното от фактическа страна:

Производството е образувано по жалба на В. А. А., [ЕГН], с вх. № ППН-01-649/11.09.2020 г. до Председателя на КЗЛД относно изпращането на пратки с наложен платеж и получавани суми по тях чрез куриерска фирма „ЛЕО Експрес“ ЕООД. Сочи се, че на 12.08.2020 г. е получила обаждане от служител на НАП, че следва да подаде коригираща данъчна декларация, тъй като през 2019 г. чрез куриерската фирма с нейния ЕГН е изпратена пратка и е получена сума по наложен платеж, която не била декларирала. Предстояли проверки на лицата, които не са декларирали получени доходи от пратки с наложен платеж. Потърсила информация от куриерската фирма и депозирала жалба в 06 РУ МВР. От дружеството й отговорили, че лицето с имена В. А. А. не фигурира в базата данни на търговския им софтуер и се извиняват за причиненото неудобство, което не съответствало на представената по-рано справка, че през 2019 г. непознато лице Р. А. с цифрите на нейния ЕГН е изпращало множество пратки с наложен платеж – 37 на брой, чрез офис Илиенци база 2 на куриерска фирма „ЛЕО Експрес“ ЕООД и са получавани сучи по наложен платеж за тези пратки на обща стойност 20 385 лева. Не приема за основателно твърдението, че имало недобросъвестен клиент, който сам попълвал личните си данни върху касовите ордери и посочил погрешно ЕГН, който съвпадал с този на А., съответно, че имало допусната небрежност от бивш служител на куриерската фирма. Нямало основание за обработване на личните данни на А. от страна на „ЛЕО Експрес“ ЕООД. Моли за извършване на проверка по случая.

С писмо от 08.10.2020 г. на Главния секретар на КЗЛД е уведомено „ЛЕО Експрес“ ЕООД за образуваното производство и е предоставен 7-дневен срок за изразяване на становище и представяне на относимите за случая доказателства, вкл. за обема и вида лични данни на жалбоподателя, които дружеството обработва и основанието за това, заверено копие на документите, в които те са отразени, информация, предоставена в НАП във връзка с пратките и получените суми, резултатите от осъществена в дружеството вътрешна проверка по случая, информация за офиса, в който са получавани сумите и вътрешните правила относно обработването на личните данни при получаване, респ. изпращане на пратки с наложен платеж.

С писма от 12.10.2020 г. на Главния секретар на КЗЛД е изискана информация от 06 РУ СДВР и НАП за резултатите от извършената проверка по случая, както и представяне на доказателства за това, получените материали.

На 19.10.2020 г. е получен отговор от дружеството, че лицето В. А. А. не е негов клиент и не са обработвани негови лични данни. Твърди се, че всяко тримесечие се подава информация до НАП на електронен носител за всички пратки с наложен платеж, съдържаща номер на товарителница, дата на изпращане на пратката, описание на пратката, наложен платеж, име на изпращача, ЕИК/ЕГН на получателя на наложения платеж, населено място на изпращача, адрес и телефона на изпращача.

На 26.10.2020 г. е получено писмо от Изпълнителния директор на НАП, в което се разяснява за извършена кампания по отношение на лица, за които от куриерските фирми е получена информация за изплатени суми от наложен платеж/пощенски паричен превод за 2019 г. и за които, след анализ на наличната в базата данни на НАП информация, е установено, че не са декларирали или са декларирали по-малък размер доходи за 2019 г. Анализът се правил на база предоставените от куриерските фирми имена и ЕГН на лицата – изпращачи на пратки. Откривали се записи, при които е налице несъответствие между ЕГН и имената на дадено лице съгласно ЕСГРАОН, като водещ бил ЕГН – основен и универсален идентификатор. При извършената проверка от НАП и следствие на проведени разговори с В. А. А. се установява, че като изпращач в товарителниците с ЕГН на А. е посочено лицето Р. А..

На 11.11.2020 г. е получено писмо от Началника на 06 РУ СДВР, в което се сочи, че лицето Р. М. А., [ЕГН], отрича да е използвал ЕГН на А.. Разпитан бил служителят на дружеството П. М., която при предявен снимков материал заявява, че разпознава А., „пускал“ пратки при нея, като данните му въвеждала в системата от касовите ордери, попълнени от него. Служителят смятал, че А. е написал в касовия ордер ЕГН на А. и я е въвел в заблуждение поради приликата на първите шест цифри на ЕГН на А. и на А.. От „ЛЕО Експрес“ ЕООД било посочено, че в част от касовите ордери действително е посочен грешен ЕГН, а не - този на А., но не знаят дали се касае за техническа грешка или злоупотреба. От фирмата не били представени ордерите за получаване на наложения платеж, попълвани и подписвани от А..

На проведеното на 30.06.2021 г. заседание на КЗЛД се обективира решение за допустимост на жалбата. Конституирани са страните в производството: жалбоподател - В. А. А., ответна страна - „ЛЕО Експрес“ ЕООД, и се насрочва открито заседание на 15.09.2021 г. от 13:00 ч. /протокол № 28/.

Изпратени са писма до страните в производството, видно от които същите се уведомяват за насроченото заседание, за възможността да се запознаят с материалите по преписката, като на дружеството е указано да представи в срок резултатите от извършената вътрешна проверка по случая, копие на вътрешни правила, инструкция или друг вътрешен акт, в който са разписани въведените технически и организационни мерки относно обработването на личните данни при получаване и изпращане на пратки с наложен платеж, политика за защита на личните данни, както и да се уточни дали се извършват периодични проверки, касаещи спазването на въведените от дружеството правила относно обработването на лични данни, по чия инициатива са инициирани тези проверки и в какви периоди от време се осъществяват, въведени ли са допълнителни технически и организационни мерки след сезиране за случая.

На 01.09.2021 г. е получен отговор от дружеството, че В. А. А. не е негов клиент – потребител на неуниверсални и универсални пощенски услуги, като се представят правила за обработването на личните данни от 24.08.2020 г. и от 14.01.2010 г., касаещи прилагането на мерки по контрол и предотвратяване изпирането на пари и финансирането на тероризма и при работа при приемане и отчитане на пратки с наложен платеж.

На заседанието на 15.09.2021 г. /протокол № 39/ жалбоподателят се явява лично, ответната страна „ЛЕО Експрес“ ЕООД не изпраща представител. Жалбоподателят сочи, че от представените по преписката касови ордери – 2 от тях са с посочен негов ЕГН, но с изпращач Р. А.. Заявява, че през офис на дружеството са осъществявани услуги по изпращане на пратки с наложен платеж и личните му данни били обработени в хипотеза на употреба на ЕГН без знанието и съгласието му и без законово основание за това. Видно от проекта на решение, изготвен в хода на заседанието, жалбата се обявява за основателна и се предлага налагане на административно наказание „имуществена санкция“ в размер на 30 000 лева на администратора на лични данни на основание чл. 83, § 5, буква „а“ от Регламент /ЕС/ 2016/679 за нарушение на чл. 5, § 1, букви „а“ и „г“, чл. 5, § 2 и чл. 6 от Регламент /ЕС/ 2016/679.

На основание чл. 38, ал. 3 от ЗЗЛД КЗЛД се произнася с Решение № ППН-01-649/2020 от 14.09.2023 г., с което жалбата от 11.09.2020 г. на В. А. А. се обявява за основателна, а на основание чл. 83, § 5, буква „а“ във връзка с чл. 58, § 2, буква „и“ от Регламент /ЕС/ 2016/679 на „ЛЕО Експрес“ ЕООД, ЕИК *********, се налага имуществена санкция в размер на 30 000 лева за обработване на личните данни на жалбоподателя в нарушение на чл. 5, § 1, букви „а“ и „г“ от Регламент /ЕС/ 2016/679.

Към преписката от жалбоподателя в административното производство има представено удостоверение от „За“ началник сектор Разследване 06 РУ СДВР с информация за образувано досъдебно производство и прокурорска преписка при СГП относно злоупотребата с лични данни и протокол от извършена проверка от ТД на НАП София, в резултат на която се установява, че лицето не е подавало пратки с наложен платеж и съответно не е получавало приходи от наложен платеж, като не следва да подава ГДД по чл. 50 ЗДДФЛ.

При така установеното от фактическа страна А. съд - Хасково обуславя следните правни изводи:

Жалбата е допустима – подадена e в срок от активно легитимирано лице срещу акт, който го засяга неблагоприятно и подлежи на оспорване.

Разгледана по същество, жалбата е НЕОСНОВАТЕЛНА.

На първо място, съгласно чл. 10, ал. 1 от ЗЗЛД във връзка с чл. 57, § 1, буква „е“ Регламент /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО /Регламент /ЕС/ 2016/679, Общ регламент относно защитата на данните/ КЗЛД разглежда жалбите, подадени от субект на данни или от структура, организация или сдружение в съответствие с член 80, и разследва предмета на жалбата, доколкото това е целесъобразно, и информира жалбоподателя за напредъка и резултатите от разследването в разумен срок, особено ако е необходимо по-нататъшно разследване или координиране с друг надзорен орган. При сезиране по чл. 38, ал. 1 от ЗЗЛД във връзка с чл. 27, чл. 28, ал. 1, чл. 29, ал. 1 и чл. 35 и следващите от Правилника за дейността на КЗЛД и нейната администрация /ПДКЗЛДНА; Правилника; издаден на основание чл. 9, ал. 2 от ЗЗЛД/ се стартира производство пред КЗЛД, чиито резултати се обективират в решението по чл. 38, ал. 3 от ЗЗЛД във връзка с чл. 40, ал. 3 от ПДКЗЛДНА.

Съгласно чл. 6, ал. 1 от с.з. компетентен да се произнесе по процедурата административен орган е КЗЛД – „постоянно действащ независим надзорен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на Регламент /ЕС/ 2016/679 и на този закон”. На основание чл. 9, ал. 4 във връзка с ал. 3 от ЗЗЛД решенията на комисията се вземат с мнозинство от общия брой на членовете й /чл. 7, ал. 1 от ЗЗЛД - председател и 4 членове/ при проведено открито заседание. Същото следва да бъде подписано от всички членове, участвали в гласуването, като следва да се съобрази и специалната норма на чл. 12 от Правилника, регламентираща валидността на решението, когато то може да се вземе и неприсъствено, ако председателят и всички членове на комисията са съгласни и го подпишат. Съгласно чл. 11, ал. 4 от ПДКЗЛДНА „председателят или член на комисията, който не е съгласен с решение, го подписва с особено мнение“. Видно от протокол № 39/15.09.2021 г. на проведеното заседание – открито по своя характер съгласно чл. 40, ал. 1 от ПДКЗЛДНА, присъстват председателят и трима членове на Комисията. Последните са положили подписите си под оспорваното решение, взето с изискуемото мнозинство.

Предвид това съдът счита, че актът е постановен от компетентен орган и не е налице основанието за прогласяване на нищожността му по чл. 168, ал. 1 и ал. 2 във връзка с чл. 146, т. 1 АПК.

На второ място, съдът намира, че поради липсата на изрична разпоредба в ЗЗЛД относно формата и съдържанието на решението, приложение следва да намери чл. 59, ал. 2 от АПК. Актът съдържа задължителните по чл. 59, ал. 2 от АПК реквизити, както и подписите на лицата, участвали в гласуването /чл. 7, ал. 1 от ЗЗЛД във връзка с чл. 4, ал. 1 от Правилника/. При това не е налице основание за отмяната му по смисъла на чл. 168, ал. 1 във връзка с чл. 146, т. 2 от АПК.

На трето място, съдът намира, че не са налице съществени нарушения на административнопроизводствените правила, предпоставка за отмяна на оспореното решение на основание чл. 168, ал. 1 във връзка с чл. 146, т. 3 от АПК.

Производството е образувано в съответствие с разпоредбите на чл. 38, ал. 1 от ЗЗЛД във връзка с чл. 27, чл. 28, ал. 1, т. 1, чл. 35, ал. 1 и чл. 36 и следващите от Правилника, като е спазен срокът по § 44, ал. 2 ПЗР ЗИД ЗЗЛД.

Законодателят не е въвел конкретни изисквания, на които следва да отговаря лицето, подател на жалбата, като за същото е налице правен интерес да инициира производство по ЗЗЛД. Не са налице изключенията по чл. 2, § 2, б. „в“ и чл. 55, § 3 от Регламент /ЕС/ 2016/679.

С решение от проведено на 30.06.2021 г. заседание, обективирано в протокол № 28, се обявява жалбата за допустима, конституирани са страните в производството и е предвидено разглеждането на спора по същество /чл. 38, ал. 1 ПДКЗЛДНА/.

Спазена е разпоредбата на чл. 38, ал. 2 от ПДКЗЛДНА, като КЗЛД за изясняване на фактите и обстоятелствата по постъпилата жалба е възложила извършването на проверка, събирането на доказателства, вкл. и от трети лица, като е поискала становища от тях и страните.

На страните в производството е представена възможност да се запознаят с приложените по преписката доказателства и да изразят становище. При произнасяне по съществото на спора са обсъдени събраните по преписката писмени доказателства, както и изразените становища по отправените в жалбата твърдения. Правото на защита на жалбоподателя, редовно уведомен за откритото заседание пред КЗЛД не е ограничено, тъй като е гарантирано неговото участие в административното производство, а последното е проведено в съответствие със специалните разпоредби на ЗЗЛД, чл. 34 и следващите от АПК и принципите на процеса - принципите истинност, равенство, достъпност, публичност и прозрачност /чл. 7, чл. 8 и чл. 12 от АПК/.

Приложените по делото препис-извлечения на протоколи от проведени заседания на КЗЛД на 30.06.2021 г. и 15.09.2021 г. съответстват на разпоредбата на чл. 11, ал. 2 от Правилника.

Оспореното решение, като взето с изискуемото мнозинство и подписано от лицата, участващи в гласуването на 15.09.2021 г., не е постановено при допуснати съществени нарушения на административнопроизводствените правила.

Съдът намира, че не са налице основанията за отмяна на атакувания ИАА по смисъла на чл. 168, ал. 1 във връзка с чл. 146, т. 3 от АПК.

На четвърто място, съдът приема, че не е налице незаконосъобразност на решението по смисъла на чл. 168, ал. 1 във връзка с чл. 146, т. 4 от АПК – противоречие с материалноправните разпоредби на закона.

Не се оспорва в хода на производството, че „ЛЕО Експрес“ ЕООД има качеството администратор на лични данни по смисъла на § 1, т. 2 ДР ЗЗЛД във връзка с чл. 4, § 7 от Регламент /ЕС/ 2016/679, който обработва лични данни по смисъла на § 1, т. 4 ДР ЗЗЛД във връзка с чл. 4, § 2 от Регламент /ЕС/ 2016/679. „Обработване на лични данни“ по смисъла на легалната дефиниция, разписана в чл. 4, § 2 от Регламент /ЕС/ 2016/679, „означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване“.

В конкретния случай не е спорно, че В. А. А. не е клиент на „ЛЕО Експрес“ ЕООД, нито че същото е обработило личните й данни в качеството му на администратор, изразяващо се в съхраняването на нейния ЕГН, при изпратени през 2019 г. пратки /37 броя/ от друго лице Р. М. А. с [ЕГН] и получаване доходи чрез наложен платеж от същото това лице, за който ЕГН не се спори, че попада в обхвата на понятието „лични данни“ по смисъла на чл. 4, § 1 от Регламент /ЕС/ 2016/679. Не е спорно също, че ЕГН е вписано в товарителниците, попълнени от изпращача, нито че данните – имена и ЕГН на изпращач на пратките са представени на НАП в изпълнение на чл. 37, ал. 5 ДОПК. Безспорно е също, че ЕГН на А. ********** се съхранява в базата данни на дружеството като идентификатор на Р. А.. Очевидно е, че ЕГН на двете физически лица се различават. Този извод се подкрепя и от становището на НАП, който заявява, че при несъответствие между ЕГН и имена на дадено лице за водещ /универсален и основен/ идентификатор се приема ЕГН.

С оглед разпределената доказателствена тежест администраторът, дори в хода на образуваното административно производство, не успява да опровергае незаконосъобразността при обработването на лични данни, напротив – същият приема, че е налице нарушение, но обяснява, че се касае за техническа грешка, допусната от Р. А. при изписване на ЕГН, или небрежност от страна на служителя на дружеството. Ирелевантно е дали неточната информация е получена следствие поведението на А. или на служител на дружеството, каквито доводи сочи жалбоподателят. Относими са обстоятелствата дали се извършва обработване на лични данни по смисъла на § 1, т. 4 ДР ЗЗЛД във връзка с чл. 4, § 2 от Регламент /ЕС/ 2016/679 и незаконосъобразно, недопустимо ли е то по смисъла на чл. 5, § 1 и чл. 6 от Регламент /ЕС/ 2016/679, които въвеждат принципите, свързани с обработването на личните данни.

В оспореното решение административният орган е приел, че се касае за извършване на куриерски услуги на 37 броя пратки, някои от които преди изменението и допълнението на ЗЗЛД – от 26.02.2019 г. Въпреки това и предвид разпоредбата на чл. 142, ал. 1 АПК пряко приложение намира Регламент /ЕС/ 2016/679, в сила от 25.05.2018 г., както правилно е съобразила КЗЛД /така вж. Решение по адм. дело № 9353/2020 г. на ВАС, Пето отд.; Решение по адм. дело № 349/2021 г. на Административен съд – Враца, оставено в сила с Решение по адм. дело № 2365/2022 г. на ВАС, Пето отд./. Дори и да се приеме, че за част от периода от януари до август 2019 г. разпоредбите, касаещи процесния казус, не са били изменени или отменени, то след влизането в сила на изменението и допълнението приложение намира Регламент /ЕС/ 2016/679, вкл. и по отношение на изпращането на пратки и получаването на наложен платеж по тях след този момент. Това не рефлектира върху изводите, до които е достигнал административният орган, както и до формираните от настоящия съдебен състав относно незаконосъобразността и недопустимостта на обработването на личните данни на В. А..

В конкретния случай се сочат за нарушени б. „а“ и б. „г“ на чл. 5, § 1 от Регламент /ЕС/ 2016/679, въвеждащи следните принципи: личните данни са: обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните /„законосъобразност, добросъвестност и прозрачност“/; точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват /„точност“/. Тези принципи обхващат времето, в което са обработват съответните лични данни на А. - съхраняването на ЕГН в базата данни на дружеството, като те са обвързани с постигането на конкретна цел – предоставянето на съответната куриерска услуга. Личните данни на заинтересованата страна са обработени в нарушение на принципите за законосъобразност и точност. Няма данни те да са изтрити или коригирани и кога в базата данни на дружеството.

Законодателят императивно е установил законосъобразните хипотези за обработване на лични данни на физически лица в разпоредбата на чл. 6 от Регламент /ЕС/ 2016/679. Достатъчно е да е налице поне едно от условията за законосъобразност, не и кумулативно всички, за да са обработени личните данни в съответствие със закона и неговите цели. Съгласно тази разпоредба Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия: a/ субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели; б/ обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор; в/ обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора; г/ обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице; д/ обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора; е/ обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете“. Нито една от изброените по-горе хипотези не е осъществена с оглед фактите по спора, за да се приеме, че обработването личните данни на А. е законосъобразно, а оттам и жалбата й да бъде отхвърлена като неоснователна. Не се установи наличието на нормативно установено задължение на администратора на лични данни, както и защита на обществен интерес или такъв на трето лице, нито преимущество на интересите на администратора на лични данни. Не се констатират съществуващи между А. и „ЛЕО Експрес“ ЕООД облигационни отношения, нито действия, предхождащи сключването на договор за предоставяне на куриерски услуги. А. не е изразила и своето съгласие по смисъла на чл. 4, § 11 от Регламент /ЕС/ 2016/679 личните й данни да бъдат обработени. Обработването на лични данни в нарушение на чл. 6, § 1 от Регламент /ЕС/ 2016/679 обосновава нарушение на един от принципите, свързани с обработването на личните данни, регламентиран в чл. 5, § 1, б. „а“ от Регламента /така вж. Решение по адм. дело № 7496/2023 г. на ВАС, Пето отд./.

Правилно административният орган е приел, че се касае за системно нарушение, доколкото са събирани неточни данни при 37 броя операции в продължение на повече от 7 месеца, без тази неточност да е констатирана от служители на дружеството, нито от администратора при последващото обработване на данни, предавайки ги на НАП, дори същият е посочил, че е констатирано едва при сезирането на лицето, чиито данни са били обработени. Това обуславя извод за липсата на контрол, текущ и последващ, при събиране и съхраняване на личните данни. Правилно е посочено и, че въпреки възможността нарушението – обработване на неточни данни, не е преустановено при всяко следващо подаване на пратки с грешен ЕГН на А.. Липсват данни за въведени в периода от януари до август 2019 г. мерки за идентификация на клиентите на дружеството, такива не се съдържат във Вътрешните правила от 2010 г., нито са представени и в хода на настоящото производство. В тези Вътрешни правила е посочено, че при получаването на суми по наложен платеж контрольорът поща или служителят, изпълняващ тези функции, изплаща сумата само при представяне на лична карта, легитимираща физическото лице – записано като изпращач от свое име или от името на юридическото лице /чл. 18 и чл. 18, т. 2/, след което получателят на сумата попълва собственоръчно трите си имена, данни по лична карта и ЕТН на получател /чл. 21/. В представените по делото Вътрешни правила от 24.08.2020 г. са разписани процедури за идентификация на физическите лица при използване на предлагани от дружеството услуги, като изрично е посочено идентифицирането чрез официален документ за самоличност, който се проверява. Липсва обаче задължение и правила данните, посочени от клиента в съответните документи – товарителници и/или касови ордери, да се сравняват с данните от предоставения за справка документ за самоличност или да се прави формална проверка за съответствие на ЕГН по пол за лице с оглед различната предпоследна цифра на ЕГН при различните полове – четна за мъж и нечетна за жена, чл. 104, ал. 2, т. 2 съгласно Наредба № РД-02-20-9 от 21 май 2012 г. за функциониране на Единната система за гражданска регистрация. Дори и да се приеме, че са налице подобни правила, се формира извод, че дружеството не е осъществило дължимия контрол спрямо служителите си при изпълнение на техните задължения, като същото не е представило доказателства, че е провело обучения на служителите си, или, че същите са запознати с цитираните Вътрешни правила, поради което именно като администратор на лични данни носи отговорност за незаконосъобразното им обработване, като без значение от кой негов служител е извършено това, добросъвестно ли е действал той или не.

При това решението в частта, с която се обявява жалба с вх. № ППН-01-649/11.09.2020 г. за основателна, настоящата съдебна инстанция приема за издадено в съответствие материалния закон.

На пето място, оспореният акт е съответен на целта на закона - съгласно чл. 1, ал. 3 ЗЗЛД във връзка с чл. 1 от Регламент /ЕС/ 2016/679, да гарантира неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данни.

Съгласно чл. 38, ал. 3 от ЗЗЛД Комисията се произнася с решение, като може да приложи мерките по чл. 58, параграф 2, букви „а“ – „з“ и „й“ от Регламент /ЕС/ 2016/679 или по чл. 80, ал. 1, т. 3, 4 и 5 и в допълнение към тези мерки или вместо тях да наложи административно наказание в съответствие с чл. 83 от Регламент /ЕС/ 2016/679, както и по глава девета.

Правомощията на компетентния административен орган са разписани коректно от законодателя, поставени са в условията и на кумулативност, тъй като свързващият ги съюз „или“ предполага възможност КЗЛД да приложи с решението си някоя от посочените мерки, както и да наложи установеното в санкционна разпоредба административно наказание. Съюзът „или“ не означава единствено алтернативност на предоставените на КЗЛД правомощия, когато тя е сезирана по реда и условията на чл. 38, ал. 1 от ЗЗЛД. Изборът на една от алтернативите от Комисията е въпрос на оперативна самостоятелност /така вж. Решение по адм. дело № 2630/2023 г. на ВАС, Пето отд./, която също подлежи на съдебен контрол, по аргумент от разпоредбата на чл. 169 от АПК и е въпрос по същество. Така в своето решение по конкретен спор КЗЛД, установявайки основателност на депозираната пред нея жалба и безспорност на твърдяното нарушение, може едновременно приложи мярка и в допълнение към нея или вместо нея да наложи наказание. Налагането на административно наказание с акт на КЗЛД, различен от издадения по реда на ЗАНН и чл. 87 от ЗЗЛД, е специална процедура за случаите, с които се ангажира административнонаказателна отговорност при извършено нарушение на ЗЗЛД.

В случая административният орган е изложил мотиви за прилагане на санкционната разпоредба на чл. 58, § 2, б. „и“ във връзка с чл. 83, § 1 и § 2 от Регламент /ЕС/ 2016/679 и реализирането на възпиращата и предупредителната функция на наложеното наказание, като е посочил и защо не се е възползвал от другите възможности по чл. 38, ал. 1 ЗЗЛД – за прилагането на предвидените в Регламент /ЕС/ 2016/679 и глава Девета на ЗЗЛД мерки. Обратното - неизлагането на мотиви защо е взел конкретното решение, налагайки единствено административно наказание, би довело до отмяна на решението в тази част.

Съгласно чл. 83, § 5, буква „а“ от Регламент /ЕС/ 2016/679 за нарушения на основните принципи за обработване на лични данни, включително условията, свързани с даването на съгласие, в съответствие с членове 5, 6, 7 и 9 от Регламент /ЕС/ 2016/679 администраторът на лични данни се наказва с „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока. Видът и размерът на наказанието е поставен в зависимост от субекта-администратор на лични данни, вида и тежестта на установеното нарушение, като за последното се съобразява разпоредбата на чл. 83, § 2 от Регламент /ЕС/ 2016/67. В настоящия случай „ЛЕО Експрес“ ЕООД е извършило нарушение, поради което е наложено и административното наказание „имуществена санкция” в рамките на предвидения от законодателя размер – 30 000 лева. В действителност органът не е посочил колко е общият годишен световен оборот на предприятието за предходната финансова година, но предвид изричното отбелязване, че се определя по-високата сума от 4 процента от този годишен оборот и до 20 000 000 EUR, то последната се приема за по-високата сума, като е очевидно, че спрямо нея наложената имуществена санкция е значително по-ниска.

Нарушението е описано ясно и точно, подведено е под релевантния материален закон, доколкото нормата на чл. 38, ал. 3 ЗЗЛД не дерогира общите принципи, установени от ЗАНН. В решението са обективирани мотиви за определяне размера на наказанието, касаещи преценката на характера и степента на извършеното нарушение, вкл. и предвид разпоредбата на чл. 10г ЗЗЛД, последиците, които са настъпили както в правната сфера на В. А. А., така и причинените й безпокойство, стрес и неудобство, целта, поради която то се налага /чл. 27, ал. 2 и ал. 3 ЗАНН/, като въз основа на тези мотиви се обуславя извод за спазване принципа за съразмерност при налагане на процесното наказание. Избраната мярка е подходяща и съответна на предвидения с нейното налагане санкционен, дисциплиниращ и предупредителен ефект, със същата не се надхвърля необходимото за постигането на тези цели, т. е. постига се целта на закона за осигуряване на ефективна защита при обработка и съхранение на личните данни, а не се нарушава същата /решение по адм. дело № 10061/2022 г. на ВАС, Пето отд./. Горното удостоверява логическата обвързаност между т. 1 и т. 2 от разпоредителната част на оспорения административен акт.

Законодателят предвижда по ЗЗЛД специален ред за установяване на нарушение, налагане на наказание и обжалването му, но няма възможност за дерогиране на основните принципи на административнонаказателното право /така вж. Решение по адм. дело № 2365/2022 г. на ВАС, Пето отд./. Не са налице основания за приложимост на разпоредбата на чл. 28 ЗАНН, предвиждаща наказващият орган да не наложи наказание, като предупреди нарушителя писмено, че при повторно извършване в определения от закона срок на нарушение от същия вид ще му бъде наложено административно наказание. Преценката за “маловажност на случая” подлежи на съдебен контрол, поради което когато съдът констатира, че предпоставките на чл. 28 от ЗАНН са налице, но наказващият орган не го е приложил, наказателното постановление /решението – бел. моя/ следва да бъде отменено поради издаването му в противоречие със закона – арг. ТР № 1/12.12.2007 г., по т. н. д. № 1/2007 г. на ОНСК на ВКС. Преценката дали извършеното административно нарушение е маловажен случай се прави с оглед на засегнатите от деянието обществени отношения, липсата или незначителността на причинените в резултат от деянието общественоопасни последици, време, място, обстановка на извършването му, начин и средства за осъществяването му, причините и условията, мотивирали извършителя да пристъпи към осъществяване на деянието, наличието или липсата на данни за други извършени нарушения, без значение дали нарушението е резултатно или формално. В конкретния случай, с оглед обществените отношения, които са засегнати, високата степен на обществена опасност при незаконосъобразното обработване на лични данни, приложение не намира нормата на чл. 28 от ЗАНН.

Извод: оспореното решение е издадено от компетентен административен орган, в установената от закона форма, без да са налице съществени нарушения на административнопроизводствените правила, в съответствие с материалния закон и неговата цел, поради което подадената срещу него жалба следва да бъде отхвърлена като неоснователна /чл. 172, ал. 2 АПК/.

При формиране не изводите си съдът съобрази и практиката на ВАС, Пето отд. – Решения по адм. дело № 11405/2020 г. и по адм. дело № 154/2021 г.

За пълнота, следва да бъде обсъдено дали е изтекла абсолютната давност по чл. 81, ал. 3 във връзка с чл. 80, ал. 1, т. 5 от Наказателния кодекс - 4 години и 6 месеца. Този срок започва да тече от довършване на нарушението, което в конкретния случай не може да бъде установено безспорно, тъй като от една страна, последната пратка, изпратена с ЕГН на заинтересованата страна, е от дата 15.08.2019 г., от друга – представянето на НАП на информация относно извършени услуги по доставка на куриерски пратки с наложен платеж е за всяко тримесечие, и от трета – в писмото от 19.10.2020 г., изпратено до КЗЛД от „ЛЕО Експрес“ ЕООД, се съдържа справка за лицето Р. А. за изплатени наложни платежи с погрешно посочен ЕГН, изпратена и с писмо от 27.08.2020 г. до 06 РУ СДВР. Направено е при това отбелязване от административния орган, че дружеството, нарушавайки принципа на точност, продължава да поддържа тезата, че не обработва личните данни на В. А. А., без да сочи същите да са изтрити и/или коригирани и кога в базата му данни. Напротив, изрично в писмото до 06 РУ СДВР сочи, че клиент Р. А. през 2019 г. при попълване на данните като получател на наложни платежи е посочил грешен ЕГН, съвпадащо с този на А., като прилага справка, удостоверяваща това обстоятелство. Следователно, към дата 27.08.2020 г. дружеството все още е обработвало ЕГН на заинтересованата страна, т.е. приемайки, че от този момент започва да тече срокът по чл. 81, ал. 3 във връзка с чл. 80, ал. 1, т. 5 от НК, то към датата на издаване на оспореното решение, към датата на последното проведено открито съдебно заседание и към датата на постановяване на настоящия съдебен акт той не е изтекъл.

Обстоятелството, че ЗЗЛД е специален закон по отношение на ЗАНН обяснява и липсата на изрични разпоредби, които да препращат към ЗАНН за прилагане на давностните срокове. Неприлагането на разпоредбите на чл. 81, ал. 3 във връзка с чл. 80, ал. 1, т. 5 от НК би означавало, че спрямо нарушителите по ЗЗЛД административнонаказателното преследване може да се извърши неограничено във времето. По този начин би се стигнало до дискриминирането им в сравнение с лица, извършили административни нарушения по други закони, и с лица, извършили престъпления по НК. В мотивите на Решение по адм. дело № 3150/2023 г. ВАС, Пето отд., е акцентирал върху наличието на противоречие между нормите на § 44, ал. 2 от ПЗР на ЗИД ЗЗЛД в частта му, предвиждаща [възраст] срок за сезиране на КЗЛД от извършване на нарушения по ЗЗЛД и разпоредбите на чл. 81, ал. 3, вр. с чл. 80, ал. 1, т. 5 от НК, вр. с чл. 11 от ЗАНН, както и преодоляването на противоречието с изменението на този срок на две години - чл. 38, ал. 1 от ЗЗЛД /ДВ, бр. 17/2019 г./. Дори и да приемем, че НК, уреждащ обществените отношения – предмет на цял клон на правната система по смисъла на чл. 4, ал. 1 ЗНА, се дерогира от специалния ЗЗЛД, в противоречие с разпоредбата на чл. 15, ал. 1 ЗНА, е важно да се отбележи, че срокът по § 44, ал. 2 от ПЗР на ЗИД ЗЗЛД касае само нарушенията на закона и на Регламент /ЕС/ 2016/679, извършени до влизането в сила на този закон, за което липсва изключение от 3-дневния срок от обнародването им по смисъла на чл. 5, ал. 5 от Конституцията на Република България. След влизане в сила на ЗЗЛД са изпратени с грешен ЕГН от Р. А. по-големия брой от процесните пратки, съответно дружеството е обработило личните данни на заинтересованата страна, т.е. приложение намира чл. 38, ал. 1 ЗЗЛД относно срока за сезиране на КЗЛД, което като краен резултат не променя изводите на съда относно безспорното установяване на нарушението и липсата на изтекла абсолютна погасителна давност.

С оглед изхода от спора, на основание чл. 143, ал. 3 АПК във връзка с чл. 37 ЗПП и чл. 25а, ал. 3 от Наредбата за заплащане на правната помощ в полза на ответника /юридическо лице по чл. 6, ал. 3 ЗЗЛД/, доколкото същият не е представляван в съдебно заседание, а единствено е депозирал писмено становище, следва да бъде присъдено юрисконсултско възнаграждение в размер на 50 лева.

Така мотивиран, Административен съд - Хасково

 

Р Е Ш И:

 

ОТХВЪРЛЯ жалбата на „ЛЕО Експрес“ ЕООД - в ликвидация, ЕИК *********, срещу Решение № ППН-01-649/2020 от 14.09.2023 г. на Комисията за защита на личните данни.

ОСЪЖДА „ЛЕО Експрес“ ЕООД - в ликвидация, ЕИК *********, да заплати на Комисията за защита на личните данни, със седалище в [населено място], сумата в размер на 50 /петдесет/ лева, представляваща юрисконсултско възнаграждение.

РЕШЕНИЕТО може да бъде обжалвано с касационна жалба, подадена в 14 – дневен срок от съобщаването му пред Върховния административен съд на Република България чрез Административен съд – Хасково.

ПРЕПИС от решението да се изпрати на страните по реда на чл. 138, ал. 3 от АПК.