Р Е Ш
Е Н И Е
№ 71 30.01.2023 година гр.Бургас
В И М Е Т
О Н А
Н А Р О Д А
Бургаският
административен съд, XXII-ри административен състав,
На седемнадесети
януари две
хиляди и двадесет и трета година,
В
публично заседание в следния състав:
ПРЕДСЕДАТЕЛ:
ЯНА КОЛЕВА
при секретаря Галина Драганова
като разгледа докладваното от съдията Колева
административно дело № 1506 по описа за 2022 година, за да се произнесе, взе
предвид следното:
Производството е по реда на чл.145 и сл. от
Административнопроцесуалния кодекс (АПК), във връзка с чл.38, ал.7 от Закона за
защита на личните данни (ЗЗЛД).
Образувано e по жалба на УМБАЛ „Д. М.“ ЕООД, с ЕИК *************,
със седалище и адрес на управление ***, представлявано от управителя д-р Х. К.
Я., против решение № ПАКИД-13-11/2022 от 08.08.2022г. на Комисията за защита на
личните данни.
Жалбоподателят оспорва
решението като незаконосъобразно, издадено при при съществени процесуални
нарушения на административно-производствените разпоредби, противоречия с
материалния закон и при несъответствие с целта на закона. Сочи, че не е
предприети всички технически и организационни мерки, нерегламентирания достъп и
изтриването на данни, впоследствие възстановени не са довели до вреди за
пациентите, не са налице данни за копиране на лични данни и тяхното
разпространение. Счита, че КЗЛД не е
направила проверка какви точно данни са били отразени в достъпените и изтрити
амбулаторни листи, а само какви данни бланково се попълват. Посочва, че за
налагането на санкция не е достатъчно да съществува вероятност от настъпване на
неблагоприятни последици, а реално настъпили такива. Иска съдът да отмени
решението.
В съдебно заседание, чрез процесуалния си
представител, поддържат жалбата и искането към съда. Претендира се присъждане
на направените по делото разноски.
Ответникът – Комисия за защита на личните данни
(КЗЛД), представя административната преписка по издаване на оспореното
решение. В съдебно заседание не се представлява, редовно призована. Не
взема становище по жалбата.
Бургаският административен съд, след преценка на
събраните по делото доказателства и като взе предвид становищата на страните,
намира за установено следното от фактическа страна:
Административното производство е започнало по сигнал
до КЗЛД с вх.№ ПАИКД-13-11#1/10.02.2022г.,
подаден от УМБАЛ „Д. М.“ЕООД, в който посочват, че са констатирали в сървърната
система на лечебното заведение на 03.02.2022г. в 18,23 часа наличие на файлове,
представляващи криптиращ вирус, както и изтрити файлове. Молят да бъде
извършена проверка по случая.
На 04.02.2022г. УМБАЛ „Д. М.“ ЕООД е изпратила
Уведомление за нарушаване сигурността на данните на основание чл.33 от
Регламент /ЕС/ 2016/679, в което са описали, че на 04.02.2022г. в 9,30ч. са
открили, че на 03.02.2022г. 18,20ч. е проникнато чрез отдалечен достъп до
компютър, собственост на дружеството. Администраторският профил е незасегнат, а
от потребителския профил има достъп до споделена папка, намираща се на сървъра,
в която е разположен софтуер за въвеждане на амбулторни листи по направления по
НЗОК за доболнична помощ на д-р К. В.. В
папката се съдържали данни за прегледи за периода от 01.07.2021г. до
31.01.2022г. общо 246 амбулаторни листа. Информацията от папката липсвала и с
помощта на софтуер за възстановяване на изтрити файлове е установено, че няма
криптиране на данни, но е качен криптиращ софтуер в часа на предполагаемото
проникване. Засегнати са данни, съдържащи име, ЕГН, населено място на пациенти.
Посочени са технически и организационни мерки, а именно отдалечен достъп за
дистанционна работа чрез RDP, засегнатата услуга не е критична, данните от прегледите са
стандартизирани и формални и не съдържат лична информация, незначително
потенциално въздействие, малка вероятност да доведе до висок риск за субектите.
Предприети са действия с прекратяване на отдалечен достъп чрез RDP, сменени са
критичните пароли, ограничен е достъпът до Интернет от вътрешната мрежа,
изпратено е известие до ДАНС и е предаден диска за експертиза. Посочено е, че предвид
становището на сигнализираните органи ще бъдат уведомени субектите на данни за
нарушението. Уведомлението е подадено чрез системата за сигурно електронно
връчване.
От КЗЛД е изпратено писмо с изх.№ ПАИКД-13-11#2/10.02.2022г.
до УМБАЛ „Д. М.“ ЕООД във връзка с
уведомление по чл.33 от Регламент /ЕС/ 2016/679 и е поискано на основание
чл.33,§3 от Регламента да предоставят информация са категориите и
приблизителния брой на засегнатите субекти на данни, количеството на
засегнатите записи на лични данни, описание на евентуалните последици от
нарушението на сигурността на лични данни, описание на нарушението, проведената
вътрешна проверка, в какво се изразява нерегламентирания достъп, мерки за
намаляване на неблагоприятните последици, уведомяване на засегнатите субекти,
доказателства за уведомяване, наличие на информация за злоупотреба с лични
данни, правно основание за обработване на даннити, уведомени ли са органите на
МВР или прокуратурата за инцидента. Писмото е връчено на 15.02.2022г.
С писмо изх.№ ПАИКД-13-11#2/10.02.2022г. от КЗЛД до
УМБАЛ „Д. М.“ЕООД е поискана допълнителна информация за изясняване на
обстоятелствата във връзка със случая. Писмото е връчено на 24.02.2022г.
С изх.№ 379 от 28.02.2022г. жалбоподателят е
предоставил изисканата информация. Посочено е, че е предоставен отдалечен
достъп на технически сътрудник до служебен компютър за изпълнение на служебни
задължения, включващи медицинска документация в болничната система и прегледите
на др В. в доболничната му дейност. Отдалеченият достъп се е осъществявал чрез
потребителско име и парола от минимум 6 знака. След установяване на
неоторизирания достъп са прекратени всички отдалечени достъпи, използващи
RDP и е спрян Интернет достъпа от компютрите в
отделенията, наличен е в администрацията и на регистратурата. Подробно е
описано откриването на инцидента, установено е че не може да се използва един
от компютрите, след влизане с административен акаунт се установянат
непрекъснати на 2 секунди опити за вход, поради което е последвало незабавно
прекратяване на достъпа до мрежата, смяна на паролата на потребителския акаунт.
При преглед на споделената папка са установили, че информацията е била изтрита
на 03.02.2022г., 18,23ч. без да е криптирана, като преди изтриването е качен
криптиращ софтуер. Достъпът до тази папка се е осъществявал от компътър с
отдалечен достъп и в кабинет за прегледи, като е служила за отчитане на
прегледите по здравна каса на един лекар. Личните данни се обработвали след
предоставяне на писмено съгласие за предоставяне на данни. Приложени са
срийншотове на амбулаторни листи.
До КЗЛД е постъпила докладна записка от Л. Я.-директор
на Дирекция „Правно-аналитична, информационна и контролна дейност“, в която
след кратко изложение на фактическата обстановка е определено ниво на риска
след направен анализ съгласно Методика на оценка на риска при нарушение на
сигурността на личните данни „високо ниво на риск“ и е предложено да се извърши
проверка на място. Приложен е и формуляр Приложение 1, в което е направена
оценка на риска по посочената Методология.
Проведено е заседание на КЗЛД, като и е прието
решение, с което е приет доклада по Уведомление за нарушаване на сигурността на
данните УМБАЛ „Д. М.“, рискът е определен висок, назначена е проверка на място,
и е възложено на Дирекция „Правно-аналитична, информационна и контролна
дейност“ да извърши необходимото. Решението е прието с 3 гласа „за“, „против “
няма. Присъствали са трима от КЗЛД.
Председателят на КЗЛД е издал Заповед № РД-15-133/23.03.2022г./л.58/,
на основание чл.58 §1 от Регламент /ЕС/ 2016/679 и чл.12 ал.1 и ал.4 ЗЗЛД, вр.
с постъпило Уведомление за нарушаване
сигурността на данните на основание чл.33 от Регламент /ЕС/ 2016/679 за извършване
на проверка по спазване и прилагане на Регламент
/ЕС/ 2016/679 и ЗЗЛД на УМБАЛ „Д. М.“. Определен е проверяващ екип -
ръководител Любомир Младенов -гл.инспектор в отдел Контрол и
административно-наказателни производства и членове Д. Т. –старши юрисконсулт в отдел
Контрол и административно-наказателни производства и Я. В. - старши инспектор в
отдел Контрол и административно-наказателни производства. Посочена е основната
задача: установяване на факти и обстоятелства във връзка с постъпилото
уведомление. С писмо изх.№ ПАИКД-13-11#9/19.04.2022г. управителят на УМБАЛ „Д.
М.“ЕООД е уведомен за откриване на процедура по извършване на проверка, която
ще се състои на 19.05.2022г.. Уведомлението е получено на 26.04.2022г. /л.32/.
От проверяващия екип е съставен констативен протокол/л.59/
от проверка на място, осъществена на 19.05.2022г. В същия е отразено, че при
извършената проверка е осигурен достъп до информационната система, но към
момента на проверката не било възможно да се установи дали са изтеглени
достъпените данни, констатирано е, че не са предприети мерки за уведомяване на
засегнатите субекти, тъй като от болницата изчаквали дали ще се установи
изтичане на лични данни, не са постъпили жалби и сигнали от потърпевши
физически лица. Предоставен е 10-дневен срок за изпращане на документи относно
извършен одит на информационните системи и електронни услуги, преди и след
осъществения нерегламентиран достъп, документи съдържащи одити по отношение на
спазване на Наредбата за минимални изисквания за мрежова и информационна
сигурност и ISO 2770. Съставен е приемо-предавателен протокол за
предоставени документи на 19.05.2022г. от жалбоподателя.
С писмо изх.№ 845/27.05.2022г жалбоподателят е
представил допълнителни доказателства във връзка с извършената проверка на
19.05.2022г.
Съставен е Констативен акт рег. № ППН-02-335/23.06.2022г. от определените
длъжностни лица относно извършена проверка на жалбоподателя, на основание чл.58
§ 1 от Регламент /ЕС/ 2016/679 и чл.10 ал.2 т.1 и чл.12 ал.1 и ал.4 ЗЗЛД /л.41
и сл./. В Констативния акт е описан целият процес на предоставяне на лични
данни от страна на пациентите, въвеждането им в информационната система и
начина на достъп до системата на служителите в лечебното заведение, описана е
фактическата обстановка във връзка с нерегламентирания достъп, броя на
засегнатите от нарушението субекти на данни, видовете засегнати данни,
предприетите технически и организационни мерки. Установено е, че не са
уведомени засегнатите субекти на данни. Констативният акт е предоставен на
администратора с писмо изх.№ ПАИКД-13-11#13/26.07.2022г.
Изготвено е становище с вх.№ ПАИКД-13-11#11/08.07.2022г. от Директор на Дирекция
„Правно-аналитична, информационна и контролна дейност“, в което е предложено на
основание чл.58, §2, б.“б“ от Регламент
/ЕС/ 2016/679 да отправи на УМБАЛ „Д. М.“ЕООД
официално предупреждение за допуснати нарушения на разпоредбите на
Регламента по уведомления за нарушаване на сигурността на данните с вх.№
ПАИКД-13-11/07.02.2022г. и на основание чл.58, §2, б.“д“ от Регламент /ЕС/ 2016/679 да разпореди на
администратора на лични данни да съобщи на засегнатите субекти на лични данни
за нарушението на сигурността на данните.
На 13.07.2022г. е проведено заседание на КЗЛД в състав
Ц. Ц., М. М., В. Ц., за което е съставен Протокол № 29 от 13.07.2022г. /л.279/.
От извлечението от протокола, е видно, че е докладвано по т.4. ПАКИД-13-11/07.02.2022г.
Уведомление за нарушаване на сигурността на данните на УМБАЛ „Д. М.“ЕООД и е предложен проект на решение, за който са
гласували „за“ – 3 и е прието решение: "1. Приема становището, т.2 За
нарушение на чл.5 във връзка с чл.32 налага имуществена санкция на
администратора УМБАЛ „Д. М.“ЕООД -Бургас
по чл.83, § 5 от Регламент /ЕС/ 2016/679 в размер на 10000лв.“.
В оспореното решение е прието по т.1 извършено
нарушение на чл.5, §1, б.“е“, вр. с чл.32, §1 и §2 от Регламент /ЕС/2016/679 и
на основание чл.58 §2 б."и" вр. чл.83 §5, букви "а" от
Регламент /ЕС/2016/679 /Регламента/ е наложено административно наказание
„имуществена санкция“ в размер на 10000лв. и по т.2 на основание чл.58 §2 б."д" от Регламент /ЕС/2016/679 е
разпоредено в срок от един месец от влизане в сила на решението да съобщи на засегнатите
субекти на лични данни за нарушението на сигурността на данните, след което в
14-дневен срок да уведоми КЗЛД за изпълнението, като представи съответните
доказателства. В обстоятелствената част на решението е отразен Протокол № 29 от
13.07.2022г, постъпилото уведомление от страна на жалбоподателя, извършената
проверка, констативния акт.
При така установената фактическа обстановка, съдът направи
следните правни изводи:
Жалбата е подадена против индивидуален административен
акт, подлежащ на съдебен контрол, от надлежно легитимирано лице и в срока по
чл.149, ал.1 от АПК, вр. с чл.84, ал.1 от ЗЗЛД, поради което е процесуално допустима.
Разгледана по същество, жалбата е частично основателна.
В разпоредбата на чл. 10 ЗЗЛД е посочено, че КЗЛД
изпълнява задачите по чл. 57 от Регламент (ЕС) 2016/679. В чл. 57 от Регламент
/ЕС/ 2016/679, освен всички изброени правомощия, в § 1, б. Х е посочено, че
надзорния орган изпълнява и други задачи, свързани със защита на личните данни.
В чл. 55 от Регламент /ЕС/ 2016/679 е посочено, че всеки надзорен орган е
компетентен да изпълнява задачите и да упражнява правомощията, възложени му в
съответствие с регламента, на територията на своята собствена държава членка.
На територията на Р. България, надзорен орган по защита на личните данни е
Комисията за защита на личните данни, която с оспореното решение е упражнила
своите правомощия по чл. 55, вр. чл. 33 и вр. чл. 58, § 2 Регламент /ЕС/
2016/679. Т. е., доколкото комисията е уведомена от администратор на лични
данни за наличие на нарушение на сигурността на личните данни, по реда на чл.
33 Регламент /ЕС/ 2016/679, то в нейните правомощия е да се произнесе за
допуснати нарушения.
В случая следва да се различават мерките по чл. 58,
параграф 2, букви "а" – "з" и "й" от Регламент
(ЕС) 2016/679 и административното наказание по чл. 58, параграф 2, букви "и" от същия Регламент, както и редът
за налагане на санкции, когато КЗЛД е сезирана по жалба от физическо лице и когато
е сезирана с Уведомление по смисъла на чл. 33 Регламент /ЕС/ 2016/679. Редът за
провеждане на производството по разглеждане на жалби на физически лица е
регламентиран в чл.38 ал.1 и сл. от ЗЗЛД. В разпоредбата на чл.38, ал.3 от ЗЗЛД
е посочено, че Комисията се произнася с
решение, като може да приложи мерките по чл. 58, параграф 2, букви
"а" – "з" и "й" от Регламент (ЕС) 2016/679 или по
чл. 80, ал. 1, т. 3, 4 и 5 и в допълнение към тези мерки или вместо тях да
наложи административно наказание в съответствие с чл. 83 от Регламент (ЕС)
2016/679, както и по глава девета.
Когато обаче производството е
започнало по подадено от администратора на лични данни Уведомление по смисъла
на чл. 33 Регламент /ЕС/ 2016/679, съдържащо информация за настъпило събитие,
свързано със сигурността на лични данни, които дружеството обработва като
администратор на лични данни се изпълнява процедура, различна от чл.38 и сл.
ЗЗЛД. В настоящия случай в изпълнение на разписаните в чл. 62 от ПДКЗЛДНА
правила Уведомлението е регистрирано, образувана е преписка, събрани са
необходимите документи, извършен е анализ на постъпилата информация за пълнота
на данните по чл. 33, параграф 3 от Регламент (ЕС) 2016/679, съответно чл. 67,
ал. 3 ЗЗЛД. След това, на основание чл.
63 ПДКЗЛДНА и въз основа на информацията и анализа по чл. 62, т. 2, дирекция
"Правно-аналитична, информационна и контролна дейност" е изготвила
мотивиран доклад до КЗЛД с предложения, който е разгледан на заседание,
проведено на 09.03.2022 г. Решението за извършване на проверка на място на
основание чл.63, ал.1, т.3 от ПДКЗЛДНА е прието на заседание на КЗЛД
единодушно, при спазване изискването на чл.9, ал.3 от ЗЗЛД решенията на
комисията да се вземат с мнозинство от общия брой на членовете й.
Извършена е проверка на основание чл.12, ал.4 от ЗЗЛД в
дружеството администратор на лични данни, след което е проведено заседание на
КЗЛД, която се е произнесла с решение, взето с мнозинство.
По т.1 от оспореното решение е прието извършено
нарушение на чл.5, §1, б.“е“, вр. с чл.32, §1 и §2 от Регламент /ЕС/2016/679 и
на основание чл.58 §2 б."и" вр. чл.83 §5, букви "а" от
Регламент /ЕС/2016/679 /Регламента/ е наложено административно наказание
„имуществена санкция“ в размер на 10000лв. Но
при налагане на санкцията не е спазен редът, както и видът на акта, с който
следва да се произнесе административният орган. Разпоредбата на чл. 50 от ПДКЗЛДНА регламентира
друг ред за налагане на санкции, а именно когато в хода на проверка по чл. 12,
ал. 4 от ЗЗЛД, с изключение на проверка
по чл. 37,
ал. 2, се констатират данни за
административно нарушение, прилагането на мярката "налагане на
административно наказание "глоба" или "имуществена санкция"
по чл. 58,
параграф 2, буква "и" от Регламент (ЕС) 2016/679 и глава
девета от ЗЗЛД се осъществява по реда на Закона за административните
нарушения и наказания (ЗАНН), със
съставяне на акт за нарушение и наказателно постановление. Тази
разпоредба съответства и на законовата регламентация в чл. 87 от ЗЗЛД, съгласно който извън случаите по чл. 38, ал. 1, установяването на
нарушенията на Регламент (ЕС) 2016/679 или на този закон, издаването,
обжалването и изпълнението на наказателните постановления се извършват по реда
на Закона за административните нарушения и наказания. Като чл.38,
ал.1 от ЗЗЛД касае производствата по жалба от субекта на данни и при тази
процедура КЗЛД може с решение на основание чл.38, ал.3 от ЗЗЛД да наложи
административно наказание в съответствие с чл. 83 от Регламент (ЕС) 2016/679,
както и по глава девета от КЗЛД. В случая доколкото сезиращия акт не е жалба, а
уведомление от администратора на лични данни производството трябва да следва
правилата на ЗАНН със съставяне на акт за нарушение и наказателно постановление
от съответните органи, който ред в настоящия случай не е спазен.
В допълнение
към изложеното следва да се отбележи и правилото, че за всяко административно
нарушение се налага отделно наказание. В решението извършеното е квалифицирано
като нарушение на чл.5, §1, б.“е“, вр. с чл.32, §1 и §2 от Регламент
/ЕС/2016/679 и е определена една санкция на основание
чл.83
§5, буква "а" от Регламент /ЕС/2016/679. При съобразяване на
разпоредбите в Регламент /ЕС/2016/679 следва да
се отбележи, че санкцията за нарушение чл.5, §1, б.“е“ от Регламента е регламентирана
в чл.83 §5, буква "а" от Регламент /ЕС/2016/679 и е
определяема в размер до 20 000 000 EUR или, в случай на предприятие — до 4 % от
общия му годишен световен оборот за предходната финансова година, която от
двете суми е по-висока, а за нарушение на чл.32, §1 и §2 от Регламент
/ЕС/2016/679 санкцията е регламентирана в чл.83 §4, буква "а" от
Регламент /ЕС/2016/679 в размер до 10 000 000 EUR или, в случай на предприятие
— до 2 % от общия му годишен световен оборот за предходната финансова година,
която от двете суми е по-висока. В ЗАНН не се допуска подобно кумулиране на
нарушения и санкции, а е приложимо правилото на чл.18 от ЗАНН, че за всяко
отделно нарушение се налага отделно наказание.
На следващо
място в решението е посочено, че „При преценката на размера на наложената
имуществена санкция в размер на 10 000лв. е взето предвид, че УМБАЛ „Д. М.“ЕООД се категоризира като средно предприятие по
смисъла на чл.3, ал.1 от Закона за малките и средни предприятия. Също така е
взет предвид и общия годишен оборот за 2020г. , тъй като в информационните
масиви не е налична информация за общия годишен оборот на Болницата за 2021г. В
тази връзка следва да се има предвид, че наложената имуществена санкция е в
минимален размер.“ Безспорно санкцията следва да се определи като се съпостави
оборотът от предходната финансова година, като в регламента не е посочен
източникът на информация за този оборот, поради което липсата на информация в
„информационните масиви“ не освобождава административния орган от това
задължение. Административният орган не е изследвал оборотът за 2021г., която е
предходната година, а е взел предвид оборотът от 2020г., който не е посочил в
какви размери е. В този смисъл санкцията е определената в противоречие с
посочената разпоредба, като не е взет предвид оборотът за съответната предходна
година, не е извършена съответната съпоставка за правилно определяне на
санкцията, поради което решението и на това основание е незаконосъобразно.
С
оспореното решение по
т.2 е наложена мярка на основание
чл.58 §2 б."д" от Регламент /ЕС/2016/679, като е разпоредено в срок
от един месец от влизане в сила на
решението да съобщи на засегнатите субекти на лични данни за нарушението на
сигурността на данните, след което в 14-дневен срок да уведоми КЗЛД за
изпълнението, като представи съответните доказателства. В тази част на
основание чл.84 от ЗЗЛД и чл.48 от ПДКЗЛДНА наложена мярката е наложена при
спазване на правилата и в съответствие на процесуалните правила.
Съгласно разпоредбата на чл.58 §2 б."д" от
Регламент /ЕС/2016/679 надзорният орган има право на посоченото в регламента
корективно правомощие: „да разпорежда на администратора да съобщава на субекта
на данните за нарушение на сигурността на личните данни“. Предпоставка за
упражняване на това правомощие е „нарушение на сигурността на личните данни“.
В случая нарушението на сигурността на личните данни, касае допусната възможност чрез отдалечен достъп до компютър на администратора нерегламентирано да се достъпи и изтрие информация от споделена папка, съдържаща лични данни на 246 физически лица, които са били пациенти на Болницата. В папката се съдържат амбулаторни листи по направления по НЗОК, амбулаторни листи по направления по НЗОК от доболнична помощ, в които се съдържат данни за три имена, ЕГН, възраст, пол, населено място, дата и час на прегледа, РЗОК №, здравен район, здравословно състояние, основна диагноза, анамнеза, обективно състояние, терапия. Безспорно посочените данни са от категорията „лични данни“ по смисъла на чл.4, т.1 от ОРЗД и попадат в категорията „данни за здравословното състояние“ по чл.4, т.15 от ОРЗД. Настъпилото събитие е възможно да доведе до разкриване и/или неоторизиран достъп до тези лични данни.
В чл.4, т.12 от ОРЗД е дадено определение за
„нарушение на сигурността на лични данни", а именно нарушение, което води
до случайно или неправомерно унищожаване, загуба, промяна, неразрешено
разкриване или достъп до лични данни, които се предават, съхраняват или
обработват по друг начин. В настоящия случай се е достигнало до изтриване на
данните, като на сървъра бил качен и криптиращ софтуер, но информацията не е
била криптирана. Видно от изложеното допусната е загуба и достъп до лични данни,
а рискът е висок, тъй като съществува реална опасност за физическото
здраве, настъпване на неблагоприятни
последици и финансови загуби на засегнатите лица. При тези данни е
осъществено нарушение на чл.32, §1 и §2 от
Регламент /ЕС/2016/679, което от своя страна обуславя приложението на чл.34, §1
от ОРЗД, съгласно който „когато има вероятност нарушението на сигурността на
личните данни да породи висок риск за правата и свободите на физическите лица,
администраторът, без ненужно забавяне, съобщава на субекта на данните за
нарушението на сигурността на личните данни.“. Изключение от задължението за уведомяване има когато администраторът е
предприел подходящи технически и организационни мерки за защита на личните
данни преди нарушението, по-специално мерките, правещи личните данни
неразбираеми за всяко лице, което няма разрешение за достъп до тях или непосредствено
след нарушението администраторът е взел мерки, които гарантират, че вече няма
вероятност да се материализира високият риск за правата и свободите на
физическите лица. И двете хипотези не са се осъществили, защото информацията,
съдържаща се в споделената папка не е била криптирана преди нерегламентирано да
достъпена, не е открито лицето, което е получило достъп до тези лични данни, за
да се гарантира, че е препятствана възможността да направи нещо с тях.
Администраторът не е изпълнил задължението си за уведомяване на засегнатите
лица, поради което правилно и законосъобразно е наложена корективната мярка по
чл.58 §2 б."д" от Регламент /ЕС/2016/679.
В заключение съдът счита, че жалбата е частично
основателна. Решението по т.1 следва да бъде отменено, като постановено при
съществени процесуални нарушения и в нарушение на материалния закон, а по т.2
следва да се отхвърли жалбата.
Разноски са претендирани и от двете страни и предвид
изходът на делото и частичното отхвърляне на жалбата двете страни имат право на
разноски.
На основание чл.143, ал.1 от АПК, ответникът следва да
заплати в полза на на жалбоподателя държавна такса, в размер на 50%, а именно
25лв.
В останалата част административният орган - ответник
има право на разноски за юрисконсултско възнаграждение с оглед изхода на спора,
на основание чл.143, ал.3 от АПК, вр. с чл.37 от ЗПП вр. с чл.24 от Наредба за
заплащането на правната помощ съдът следва да присъди юрисконсултско
възнаграждение в размер на 100 лв., което поради частично отхвърлената
претенция, следва да бъде намалено до 50лв.
Мотивиран от гореизложеното на основание чл.172 от АПК, Административен съд – Бургас, двадесет и втори състав,
Р Е Ш И:
ОТМЕНЯ решение № ПАКИД-13-11/2022 от 08.08.2022г. на
Комисията за защита на личните данни, в частта, с която на основание чл.58 §2
б."и" вр. чл.83 §5, букви "а" от Регламент /ЕС/2016/679
/Регламента/ е наложено административно наказание „имуществена санкция“ в
размер на 10000лв.
ОТХВЪРЛЯ жалбата на УМБАЛ „Д. М.“ЕООД против решение №
ПАКИД-13-11/2022 от 08.08.2022г. на Комисията за защита на личните данни, в
частта, с която на основание чл.58 §2 б."д" от Регламент /ЕС/2016/679
е разпоредено в срок от един месец от влизане в
сила на решението да съобщи на засегнатите субекти на лични данни за
нарушението на сигурността на данните, след което в 14-дневен срок да уведоми
КЗЛД за изпълнението, като представи съответните доказателства.
ОСЪЖДА Комисията за защита на личните данни да заплати
на УМБАЛ „Д. М.“ЕООД, съответстващият размер на заплатената
държавна такса, а именно 25лв.
ОСЪЖДА УМБАЛ „Д. М.“ЕООД да заплати на Комисията за защита на
личните данни, съответстващият размер на определеното юрисконсултско
възнаграждание, а именно 50лв.
Решението подлежи на обжалване, с касационна жалба,
пред Върховния административен съд, в 14-дневен срок от съобщаването му.
СЪДИЯ: