РЕШЕНИЕ
№ 311
гр. Велико Търново, 06.12.2023
г.
В ИМЕТО НА НАРОДА
Административен съд Велико Търново – Втори състав, в съдебно заседание
на двадесети ноември две хиляди двадесет и трета година в състав:
ПРЕДСЕДАТЕЛ: ГЕОРГИ ЧЕМШИРОВ
при участието на секретаря П. и. изслуша докл...аното от СЪДИЯ ЧЕМШИРОВ адм. д. № 439 по описа за 2023 година
и за да се произнесе, взе предвид следното:
Производството е по
реда на чл. 145 и сл. от Административнопроцесуалния
кодекс (АПК), вр. с чл. 38, ал. 8 и чл. 84, ал. 2 от Закона за защита на личните данни (ЗЗЛД).
Образувано е по жалба
на С.Х.С. ***, чрез .... К.А. от ВТАК, срещу Решение рег.№ППН-02-403/26.05.2023г.
на Комисията за защита на личните данни, с която на основание чл. 58, § 2,
буква „г" във връзка с чл. 57, § 1, буква „а“ от Регламент (ЕС) 2016/679 относно
защитата на физическите лица във връзка с обработването на лични данни и относно
свободното движение на такива данни, е разпоредено на
С.Х.С., в качеството му на администратор на лични данни, да преустанови
обработването на лични данни по чл. 9 от Регламент(ЕС) 2016/679 на лицето
подполковник П.И., да съобрази операциите по обработване на данни с
разпоредбите на чл. 17, параграф 1, б. в) във връзка с чл. 6 и чл. 9 от
Регламент (ЕС) 2016/679 и да приложи подходящи технически и организационни
мерки за защита на личните данни на физически лица от неправомерен достъп и
разпространение, като унищожи същите и преустанови тяхното обработване.
Нарушителят е предупреден, че за неизпълнението на горното разпореждане на
КЗЛД, в качеството й на надзорен орган, е скрепено със санкционната норма на
чл. 83, § 5, буква „д" от Регламент (ЕС) 679/2016, за което се предвижда
налагане на административно наказание - „имуществена санкция“ или „глоба“.
Предоставен е едноседмичен срок за изпълнението му, считано от датата на получаването
му, за което следвало писмено да се уведоми КЗЛД и да се предоставят относими доказателства.
Жалбоподателят
излага мотиви за незаконосъобразност на процесното решение,
като постановено при съществено нарушение на административнопроизводствените
правила и в противоречие с материалноправните разпоредби
на закона. Оспореното решение намира за немотивирано. За нарушена счита нормата
на чл. 34 от АПК доколкото не му била дадена възможност да се запознае с
документите по преписката. Не бил уведомен и за проведеното заседание на КЗЛД
като по този начин му била отнета възможността да присъства, с което бил лишен
от ефективна защита. Намира, че противно на възприетото от административния
орган, не притежава качеството на „администратор на лични данни“, нито на
„обработващ лични данни“ по смисъла на чл.4. § 7 и §8 от Регламент (ЕС)
679/2016. Изтъква, че никога не е имал достъп до личните данни на подп. П.И., които да обработва в качеството си на
администратор на лични данни, като му е вменена отговорност за действия на
трети лица, допуснали неправомерното разпространение на личните данни на субекта
на данни. Твърди, че копие от част от медицинска епикриза
с данни за здравословното състояние на подп. А. от
значение за годността му за военна служба намерил в пощенската си кутия и в изпълнение
на гражданския си дълг подал сигнал до Министерството на отбраната, където
последвала проверка, завършила с отстраняване на военнослужещия като негоден за
военна служба. Отбелязва, че подхвърленото му копие от медицинската епикриза е единствено и същото не е размножавано от него. По
тези съображения моли съда да отмени обжалваното решение на КЗЛД. В съдебно
заседание, жалбоподателят лично и чрез упълномощения .... А., поддържат жалбата
по изложените в същата съображения. Не се споделя становището на
административния орган, че изпращането на получен документ, съдържащ лични
данни определено лице,превръща жалбоподателя в
администратор на лични данни, тъй като такова качеството се придобива по силата
на закона.
Представя писмени бележки. Претендира за присъждане на разноски по
производството като представя списък с разноски по чл. 80 от ГПК, вр. чл. 144 от АПК.
Ответникът по жалбата
– Комисията за защита на личните данни, не се явява и не се представлява в съдебно
заседание. В представени писмени бележки заема становище за неоснователност на
жалбата като излага подробни съображения за това. Моли за отхвърляне на
жалбата. Навежда възражение за прекомерност на претендираното
от насрещната страна ...окатско възнаграждение. Претендира
разноски за юрисконсултско възнаграждение.
Съдът като взе
предвид становищата на страните, основанията за издаването на оспорвания
административен акт и представените по делото доказателства, приема за
установено следното:
Предмет
на обжалване е Решение рег.№ ППН-02-403/26.05.2023г.
на КЗЛД, с която на основание чл. 58, § 2, буква „г" във връзка с чл. 57,
§ 1, буква „а“ от Регламент (ЕС) 2016/679 относно защитата лични данни е разпоредено на С.Х.С., в качеството му на администратор на
лични данни, да преустанови обработването на лични данни по чл. 9 от
Регламент(ЕС) 2016/679 на лицето подполковник П.И., да съобрази операциите по
обработване на данни с разпоредбите на чл. 17, параграф 1, б. в) във връзка с
чл. 6 и чл. 9 от Регламент (ЕС) 2016/679 и да приложи подходящи технически и
организационни мерки за защита на личните данни на физически лица от
неправомерен достъп и разпространение, като унищожи същите и преустанови
тяхното обработване. Определен е
едноседмичен срок, считано от датата на влизане в сила на решението, за
изпълнение на разпореждането като администраторът на лични данни да уведоми
КЗЛД и да представи съответните доказателства.
Производството
пред КЗЛД е започнало по повод постъпил сигнал с вх. №ППН-02-403/05.08.2022г. от Инспектората
на Министерството на отбраната относно за нарушаване на
правата на подполковник П.И., в качеството му на субект на данни, от страна на
длъжностни лица (обработващи лични данни или администратори на лични данни),
чрез нерегламентирано разкриване и достъп до негова здравна информация,
посочена в медицинска епикриза, издадена през 2020г.
от „СБАЛ по кардиология“ ЕАД - гр. Плевен. Повод за подаването на сигнала до
КЗЛД бил друг подаден сигнал с вх. №13-00-1328/24.06.2022г. от о.з капитан С.С. до министъра на отбраната, в който се съдържали
твърдения именно за здравословното състояние на подполковник П.И.,
в т.ч. негови диагнози и данни от проведеното му лечение в „СБАЛ по
кардиология“ ЕАД и цитиран неговият единен граждански номер. Към сигнала на С.
било приложено копие на част от медицинска епикриза
на подполковник А. от постъпването му в лечебното заведение в периода
11.05-13.05.2020г.
С
писмо с изх. №ППН-02-403#1/11.08.2022г. до д-р в.Х. –
изпълнителен
директор на „СБАЛ по кардиология“ ЕАД е изискано становище относно фактите,
изнесени в сигнала на Инспектората на Министерството на
отбраната и дружеството е уведомено за насрочената проверка на място. Изпратени
са още писма с изх. №ППН-02-403#2/11.08.2022г. до д-р Н.П.(общопрактикуващия
лекар на подполковник П.И.); писмо с изх. №ППН-02-403#3/11.08.2022г. до о.з.
капитан С.С., както и писмо с изх.
№ППН-02-403#4/11.08.2022г. до подполковник П.И., с които е изискано становище
по изнесени факти в сигнала на Инспектората. В отговор са постъпили писмо с вх.№ППН-02-403#5/17.08.2022г.
от подполковник П.И., писмо
с вх. №ППН-02-403#6/17.08.2022г. от „СБАЛ по кардиология“ ЕАД, становище с вх.
№ППН-02-403#8/19.08.2022г. от страна на общопрактикуващия
лекар д-р Н. .П., в които се излага становище във връзка с подадения сигнал
относно разгласяването на лични данни на субект на данни без неговото знание и
съгласие.
Издадена е Заповед №РД-15-302/22.08.2022г. на
Председателя на КЗЛД, с която е наредено да бъде извършена проверка на СБАЛ по
кардиология" ЕАД за спазване на разпоредбите на Регламент(ЕС) 2016/679 и
Закона за защита на личните данни относно обработването на лични данни на
физически лица – пациенти при изпълнение на дейността на дружеството – лечебно
заведение, и определен проверяващ екип. В изпълнение на тази заповед, на
26.08.2022г. е извършена проверка на място в сградата на „СБАЛ по
кардиология" ЕАД, на
която са присъствали системния администратор и длъжностно лице по защита на
личните данни, които са оказали съдействие и възможност за събиране на
доказателства от страна на проверяващия екип. Снети са екранни разпечатки от
информационната система на „СБАЛ по кардиология“ ЕАД и са предоставени заверени
копия на документи. За констатациите от проверката е съставен Констативен
протокол от 26.08.2022г.
За резултата от
проверката от проверяващия екип е изготвен Констативен акт
№ППН-02-668/15.12.2022г., според който „СБАЛ по кардиология" ЕАД като администратор
на лични данни по смисъла на чл. 4, т. 7 от Регламент (ЕС) 2016/679 обработва
данни на физически лица във връзка с предмета си на дейност. На основание чл.
37, § 1 от Регламент (ЕС) 2016/679 е определено Длъжностно лице по защита на данните
и на основание чл. 24, § 2 от Регламент (ЕС) 2016/679 са утвърдени документи,
политики, правила и инструкции, които уреждат условията и реда за обработване
на лични данни, дейностите по обработка, предприетите технически и
организационни мерки за защита на данните, правата на субектите на данни, както
и упражняването на контрол при обработването на лични данни от администратора
на лични данни. В констативния акт е отбелязано, че болничното заведение наред
със законовите задължения да събира лични данни съгласно НРД 2020—2022г.,
поставянето на медицинска диагноза и съответно осигуряването на здравни грижи и
лечение на лицето П.И., се е наложило и обработването на данните за
здравословното му състояние. При проверката е установено, че за престоя на
лицето П. А. в „СБАЛ по кардиология“ ЕАД за периода от 11.05.2022г. до 13.05.2020г.
е издадена медицинска епикриза, предадена лично на
пациента в деня на изписването му, като са му предадени още два екземпляра от
нея, както и катетеризационен протокол, със
задължение за предаване на личния му лекар на втория екземпляр от епикризата. Третият екземпляр е прикрепен към „История на
заболяване" на пациента и се съхранява от „СБАЛ по кардиология" ЕАД,
съгласно изискванията на НРД 2020 2022 г. Според отразеното в акта, съгласно извадката
от болничната програма, за периода от 01.04.2020г. до 15.08.2022г. единствено
д-р Ц.Ч., в качеството си на началник на неинвазивното кардиологично отделение
на „СБАЛ по кардиология" ЕАД, е имала достъп до епикризата
на подполковник П.И., издадена за периода от 11.05.2020г. - 13.05.2020г. С
оглед събраните доказателства от проверяващият екип е обективиран
извод за липса на установени нарушения на разпоредбите на Регламент (ЕС)
2016/679 и ЗЗЛД от страна на „СБАЛ по кардиология" ЕАД, при обработване на
лични данни на физически лица - пациенти.
Въз основа на така
събраните данни, с решение по Протокол №47 от 21.12.2022г. от открито заседание
на КЗЛД, е взето решение да се издаде разпореждане по чл. 58, § 2, б.
"г" от Регламент (ЕС) 2016/679, с което да бъде разпоредено
на С.Х.С., в качеството му на администратор на лични данни, да съобрази
операциите по обработване на лични данни, съдържащи се в частта от епикризата, като унищожи същата и преустанови тяхното
обработване със срок на изпълнение – едноседмичен от влизане в сила на
решението и получаване на издаденото разпореждане. Решението е взето с единодушно
с 3 гласа „за“.
В резултат на това е издадено
Решение рег.№ППН-02-403/26.05.2023г. на КЗЛД, с което е наложена мярка на
основание чл. 58, § 2 буква "г" във вр.
чл.57, § 1, буква „а“ от Регламент /ЕС/2016/679. Комисията е споделила изводите
на проверяващия екип за липса на нарушения
на разпоредбите на Регламент (ЕС) 2016/679 и ЗЗЛД от страна на „СБАЛ по
кардиология" ЕАД при обработване на лични данни на физически лица -
пациенти. Направен е извод, че о.з капитан С.С.,
явявайки се администратор на лични данни, незаконно е обработил личните данни
на лицето подполковник П.И., с което е нарушили разпоредбите на чл. 9 от
Регламент (ЕС) 2016/679. Решението е връчено на С.С.
на 12.07.2023г., видно от приложената разписка в административната преписка. Последният
е оспорил решението по съдебен ред с жалба до АСВТ, подадена на 18.07.2023г., видно
от дадения входящ номер, въз основа на която е образувано настоящото дело.
Като писмени
доказателства по делото са приети постъпили с жалбата документи, както и изпратените
с писмо изх. №ППН-02-403/22#17/28.07.2023г. по описа на Комисия за защита на
личните данни, съставляващи административната преписка по обжалвания акт.
На
основание чл. 192 от ГПК във вр. с чл. 144 от АПК от
трето неучастващо лице е изискана и представена с писмо с вх. №4612/09.10.2023
г. от
Служба „Военна полиция“ към Министерство на отбраната, Заповед №
ВТ-8358/30.11.2022г. на Директора на служба „Военна полиция“ - гр. София.
При
така установените факти настоящият състав стигна до следните правни изводи:
Жалбата
е подадена в срока по чл. 84, ал. 2 от ЗЗЛД, срещу индивидуален административен
акт, подлежащ на съдебен контрол по предвидения в закона ред, от лице – неин
пряк адресат, поради което жалбата е процесуално допустима.
Разгледана
по същество, жалбата е основателна като съображенията
на съда за това са следните:
Оспореното решение е
постановено от компетентен орган, в кръга на правомощията му по чл. 38 във вр. чл. 84, ал. 2 от ЗЗЛД относно наложената мярка по чл.
58, § 2, буква „г“ от Регламент (ЕС) 2016/679., но не отговаря на общите
изисквания за форма на индивидуалните административни актове по чл. 59, ал. 1
от АПК. Същото е издадено в предвидената от закона писмена форма, но е
немотивирано. В самото решение са описани последователно предприетите действия
във връзка с подадения от Инспектората на МО сигнал до КЗЛД (изпратени и
получени са становище от заинтересованите лица, извършена е проверка и т.н.),
описани са извършените фактически действия и установявания при проверката в
„СБАЛ по кардиология“ ЕАД – гр.Плевен и
най – общо е посочено, че проверяващият екип не е установил нарушения,
извършени от лечебното заведение, в качеството му на администратор на лични
данни, при обработката на личните данни на пациентите. Междувременно е прието,
че жалбоподателят С.С. е този, който като
администратор на лични данни, незаконно е обработил личните данни на
подполковник П. А.. В случая въобще не става ясно в какво точно се изразява
извършеното от С. нарушение на ЗЗЛД и Регламента, нито как е обработвал личните
данни на военнослужещия, с което да е нарушил правата на субекта на данни тъй
като освен посочване за нарушена разпоредбата на чл. 9 от Регламент (ЕС)
2016/679, други съображения в решението не се съдържат. Допустимо е
административният акт да бъде мотивиран с относими
към издаването му документи и актове, след като същите са част от
административната преписка и органът се е позовал на тях (ТР №16 от 1975г. на
ОС на ГК на ВС), но в случая такива документи не се съдържат в
административната преписка. Нито в
издадения на основание чл. 12, ал. 7 от ЗЗЛД констативен акт от
извършена проверка, нито в друг документ на КЗЛД се съдържат точни и ясни
мотиви по отношение на твърдяното нарушение при обработката на лични данни на
подполковник П. А.. Не става ясно и според Комисията в какво се изразява това
нарушение на лични данни по цитирания Регламент (ЕС) 2016/679 и ЗЗЛД– дали
поради това, че жалбоподателят е изпратил медицинската експертиза до МО; дали,
че в самия подаден от него сигнал до МО са били описани данни за здравословното
състояние на военнослужещия или нещо друго. Едва в проведено на 21.12.2022г.
открито заседание на КЗЛД е прието, че нарушението спрямо подполковник А. е
извършено не от „СБАЛ по кардиология“ ЕАД -гр.Плевен, а от настоящия
жалбоподател С., без да се съдържа каквато и да е обосновка за този извод, нито
на основата на какви доказателства е направен. Подобни факти не могат да бъдат
изяснявани за първи път в хода на настоящото съдебно производство, нито пък е
допустимо волята на КЗЛД да бъде допълвана от съдебния състав. Опитът да бъде мотивиран един административен
акт след неговото издаване и то със становище по делото също е недопустимо.
Мотивирането на административните актове се дължи във всички случаи и
неизлагането на мотиви води до отмяната им само на това основание.
На следващо място, КЗЛД
е разгледала по реда на чл. 12, ал. 4 от ЗЗЛД постъпил сигнал от Инспектората
на Министерство на отбраната, съдържащ твърдения за нарушение на Регламент (ЕС)
2016/679 и ЗЗЛД относно правата на подполковник П.А., в качеството му на субект
на данни, като в подаден до МО друг сигнал били разкрити медицински данни на
военнослужещия. Разпоредено е извършване на проверка,
при която са събрани
доказателства; изготвен е констативен протокол и констативен акт от назначен
със заповед на председателя на КЗЛД проверяващ екип. Видно от приетия и
неоспорен по делото Протокол №47/21.012.2022 г. Комисията, в качеството си на
колегиален орган, е постановила процесното решение
при наличие на необходимия кворум и мнозинство, съгласно чл. 8, ал. 6 и ал. 7
от действащия към датата на издаване на административния акт Правилник за
дейността на КЗЛД и нейната администрация (обн. ДВ,
бр. 60/30.07.2019г.). В съответствие с чл.11, ал. 1 от Правилника, председателят
и членовете на КЗЛД са положили подписите си под оспорваното решение, взето с
изискуемото мнозинство.
Основателен е обаче
наведеният в жалбата довод, че решението е постановено в нарушение на административнопроизводствените правила. В приложената
административна преписка не се установява в хода на административното
производство жалбоподателят да е бил надлежно уведомен за проведено открито
заседание на 21.12.2022г., в нарушение на императивната разпоредба на чл. 40 от
Правилника за дейността на КЗЛД, с което е нарушено правото му на защита.
Предоставената възможност на всички участници в производството да изразят
своите становища по фактите, не отменя задължението КЗЛД да уведоми страните за
датата на заседанието, като
им предостави възможност да представят своите възражения и доказателства,
каквото уведомяване не е извършено. Посоченото нарушение е съществено, тъй като
жалбоподателят е бил лишен от възможност да защити правата и законните си
интереси в хода на административното производство и представлява самостоятелно отменително основание по чл. 146, т. 3 от АПК.
Дори съвсем
хипотетично да се приеме, че не са налице горните нарушения, оспореното решение
на КЗЛД е постановено в противоречие с материалния закон.
Правилата
за защита на личните данни на физически лица на ниво ЕС се съдържа в Регламент
(ЕС) 2016/679 на
Европейския парламент и на Съвета от 27 април 2016 година относно защитата на
физическите лица във връзка с обработването на лични данни и относно свободното
движение на такива данни и за отмяна на Директива 95/46/ЕО, а вътрешното
законодателство на Република България урежда правата на физическите лица при
обработване на личните им данни със Закона за защита на личните данни.
В чл.
4, т. 2 от Регламент (ЕС) 2016/679 и § 1, т. 4 от ДР на ЗЗЛД е дадена дефиниция
на понятието „обработване“, според което това е всяка операция или съвкупност
от операции, извършвана с лични данни или набор от лични данни чрез автоматични
или други средства като събиране, записване, организиране, структуриране,
съхранение, адаптиране или промяна, извличане, консултиране, употреба,
разкриване чрез предаване, разпространяване или друг начин, по който данните
стават достъпни, подреждане или комбиниране, ограничаване, изтриване или
унищожаване. В релевантния период условията за допустимост при обработване на
личните данни са изрично регламентирани в чл. 6 от Регламент (ЕС) 2016/679. Същевременно,
по смисъла на чл. 4, т. 7 от Регламент (ЕС) 2016/679 „администратор“ означава
физическо или юридическо лице, публичен орган, агенция или друга структура,
която сама или съвместно с други определя целите и средствата за обработването
на лични данни; когато целите и средствата за това обработване се определят от
правото на Съюза или правото на държава членка, администраторът или специалните
критерии за неговото определяне могат да бъдат установени в правото на Съюза
или в правото на държава членка. Регламентът дефинира и понятието „обработващ лични
данни" с чл. 4, т. 8 от същия. Адресат на задълженията, предвидени в Регламент
(ЕС) 2016/679 и ЗЗЛД е „администраторът на лични данни“ и „обработващия лични
данни“.
Според
доказателствения материал по делото, жалбоподателят С.С.
е изпратил сигнал с вх. № 13-00-1328/24.06.2022г. до министъра на отбраната, в
който се съдържат описани конкретни медицински диагнози и единен граждански
номер на подполковник
П.И., като към сигнала била приложена и една страница от медицинската епикризата на военнослужещия от престоя му в „СБАЛ по
кардиология“ ЕАД - гр. Плевен в периода от 11.05.2020г. до 13.05.2020г. По
повод постъпилия сигнал била извършена проверка относно годността за военна
служба на подп. А., след която същият бил освободен
от длъжност като негоден за военна служба. Според КЗЛД жалбоподателят С.С., в качеството му на администратор на лични данни,
незаконосъобразно и в нарушение на Регламент (ЕС) 2016/679 и ЗЗЛД е обработил
личните данни на физическо лице - подполковник П.И., при отсъствието на
условията за допустимост, с което е извършил нарушение по чл. 9 от същия
Регламент.
Видно
от съдържанието на изпратения до Министерството на отбраната сигнал, подаден от
жалбоподателя, в същия са цитирани наименования на поставените медицински диагнози
с означения на МКБ кодове от престоя на П. А. в „СБАЛ по кардиология“ ЕАД - гр.
Плевен през м.май 2020г. и съпътстващите заболявания на физическото лице с
цитирано ЕГН, които данни напълно кореспондират с тези от приложената първа
страница от медицинската епикриза на пациента,
издадена от лечебно заведение в гр. Плевен. Несъмнено, трите имена и единният
граждански номер на лицето са от категорията на лични данни по абстрактната дефиниция
на понятието в чл.4, пар.1 от Регламент (ЕС) 2016/679,
разпространението на които по арг. от чл. 25ж от ЗЗЛД
не се допуска, освен ако закон предвижда друго. Описаният в епикризата
и сигнала здравен статус за това лице без съмнение също представлява лични данни, касаещи неговото здравословно
състояние по смисъла на чл. 4, пар. 15 от Регламент
(ЕС) 2016/679, които европейският регламент поставя в кръга на специалните
категории данни или т.нар „чувствителни данни“, тъй като контекстът на тяхното
обработване би могъл да създаде значителни рискове за основните права и свободи.
От този набор от информация за физическото лице, несъмнено може да се приеме,
че лицето може да бъде идентифицирано /информацията може да бъде свързана с
конкретен субект на данни/, а в случая и до пораждането и на неблагоприятни
последици за засегнатото физическо лице.
В
конкретния случай, съдът намира, че неправилно КЗЛД е наложила мярката по чл.
58, § 2, буква „г“ от Регламент (ЕС) 2016/679 спрямо С.С.,
приемайки го за отговорен за неправомерното обработване на личните данни на П. А.,
тъй като правилата на Регламента и тези на ЗЗЛД са приложими единствено по отношение
на физически и юридически лица, публичен орган, агенция или друга структура –
администратор на лични данни или обработващ лични данни от името на
администратора по смисъла на чл. 4, т. 7 и т. 8 от Регламент
(ЕС) 2016/679, каквото качество жалбоподателят не притежава. Базирайки се на
определението за администратор на лични данни, съгласно европейския акт,
условно могат да бъдат разграничени две групи администратори – първата е администратори,
чийто статут произтича от закона, и втората е администраторите, чийто статут
произтича от извършваната от тях дейност. Няма съмнение, че жалбоподателят като
физическо лице не попада в първата категория администратори, тъй като липсва
нормативен акт, който да му придава качеството на администратор на лични данни.
От друга страна, съдът намира, че С.С. не осъществява
и дейност, която предполага извършване на операции по обработване на лични
данни. Жалбоподателят С. не обработва лични данни, в т.ч и такива за здравния
статус на субекта данни, а по делото липсват доказателства да е имал достъп до
медицинската документация на П.И., която е и послужила за изнасянето на
информация за здравословното състояние на военнослужещия и на вписване на трите
му имена и ЕГН в подадения до Министерството на отбраната сигнал относно
годността на лицето за военна служба. От представеното в хода на
административното производство становище и събраните доказателства при
проверката на място в „СБАЛ по кардиология“ ЕАД - гр. Плевен се установява, че медицинската
епикриза от престоя на Петко Х. А. в лечебното
заведение в периода от 11.05.2022 г. до 13.05.2020 г. е била в три екземпляра, два
от които са предадени на пациента /субекта на данни/ и личният лекар д-р Наташа
.П., а третият екземпляр е съхраняван в „СБАЛ по кардиология“ ЕАД, съответно
достъп до медицинската документация имат тези субекти. Именно това са субектите, които са имали
достъп до здравната информация на субекта на данни, като два от тях („СБАЛ по
кардиология“ ЕАД и личния лекар) дори са администратори на лични данни по чл. 4, т. 7 от
Регламент /ЕС/ 2016/679/, когато обработват данни за здравословното състояние
за определени цели, свързани медицинска помощ и лечението на своите пациенти. В
случая жалбоподателят е получил личните данни на П.И. от трето неизвестно лице
в пощенската си кутия, като впрочем друго не се и твърди от страните по делото.
Нарушението не е възникнало вследствие на поведението на жалбоподателя, а
поради недостатъчност на въведените технически и организационни мерки за защита
на сигурността на данните в „СБАЛ по кардиология“ ЕАД - гр. Плевен или при общопрактикуващия лекар. Неправомерният достъп до системата на
администратора на лични данни, води до извод за обработване по см. на чл. 4, §
2 ОРЗД на процесните лични данни от администратора на
лични данни (в „СБАЛ по кардиология“ ЕАД - гр. Плевен или при общопрактикуващия лекар), извършено в несъответствие с
правилата на ОРЗД. Но в процесния случай, органът се
е ограничил до извършване на проверка единствено в „СБАЛ по кардиология“ ЕАД -
гр. Плевен, като въпросите по какъв начин епикризата
е попаднала в жалбоподателя не са изследвани в административното производство, като
дори липсват данни да е открито лицето, което е получило достъп до тези лични данни,
които същевременно да ги е предоставило на жалбоподателя, за да се гарантира,
че е препятствана възможността от последващи
нарушения на сигурността на личните данни. Случайното намиране на документи с
лични данни, не прави намерилото ги лице нито администратор на лични данни,
нито обработващ лични данни от името на администратора по смисъла на чл. 4, т. 7 и т.
8 от Регламент (ЕС) 2016/679. Такова качеството не се
придобива и с подаването на сигнал до определена институция, което по своята
правна същност не представлява нарушение на Регламент (ЕС) 2016/679. Всъщност,
жалбоподателят е упражнил едно свое конституционно право като е подал сигнал до
държавен орган. Ако се приеме тезата, че за подаването на сигнала, в който са
вписани диагнозите, имената и единния граждански номер на А., сами по себе си
съдържащи се в копие от медицинската епикриза,
жалбоподателят е администратор, то
тогава същият, преди да подаде този сигнал, е следвало да поиска съгласието за
обработването от лицето, за което се отнасят данните, което е абсурдно.
На следващо място, КЗЛД
не е взела предвид обстоятелството, че към момента на постановяване на
оспорения по делото акт, жалбоподателят не притежава повече копия на въпросната
медицинска епикриза, следователно не би могъл да
изпълни даденото му предписание с диспозитива на
решението, доколкото е изпълнено преди постановяването му и няма предмет.
С
оглед изложеното, съдът приема, че оспореното решение на Комисията за защита на
личните данни е незаконосъобразно и следва да бъде отменено, а жалбата срещу
него – уважена.
С
оглед изхода на спора, на
основание чл. 143, ал. 1 от АПК искането на жалбоподателя за присъждане на
сторените по делото разноски е основателно. Същите възлизат общо на 910 лева,
от които 10 лева – държавна такса за образуване на делото, и 900 лева – платено
...окатско възнаграждение, съгласно договор за правна
защита и съдействие от 18.07.2023г./л.11 от делото/. От процесуалния
представител на ответника е направено възражение за прекомерност на
договореното ...окатско възнаграждение, което съдът
намира за неоснователно доколкото същото е в минимално определения размер в чл.
8, ал. 2, т. 10 от Наредба
№1 от 9.07.2004г. за минималните размери на ...окатските
възнаграждения.
Водим от горното и на
основание чл. 172, ал. 2 от АПК, Административният съд – В. Търново, ІІ-ри
състав
РЕШИ:
ОТМЕНЯ по жалба на С.Х.С.
***, Решение рег.№ ППН-02-403/26.05.2023г. на Комисията за защита на личните
данни.
ОСЪЖДА Комисията за
защита на личните данни, гр. София, бул.“Проф. Цветан Лазаров“ № 2, да заплати на
С.Х.С. ***, разноски по делото размер на 910 лева /деветстотин и десет лева/.
РЕШЕНИЕТО подлежи на
обжалване пред Върховния административен съд в 14-дневен срок от съобщаването
му на страните.
ПРЕДСЕДАТЕЛ: