|
АДМИНИСТРАТИВЕН СЪД – ВИДИН |
|||||||||||
|
РЕШЕНИЕ №
174 |
|||||||||||
|
гр.
Видин, 29.11.2023 г. |
|||||||||||
|
В ИМЕТО НА НАРОДА |
|||||||||||
|
Административен съд – Видин, |
Втори административен състав |
||||||||||
|
в публично заседание
на |
Двадесет и първи ноември |
||||||||||
|
през две хиляди и двадесет и трета година в
състав: |
|||||||||||
|
Председател: |
Росица Славчева |
||||||||||
|
при секретаря |
Валерия Шутилова |
и в присъствието |
|||||||||
|
на прокурора |
|
като разгледа докладваното |
|||||||||
|
от съдия |
Росица Славчева |
|
|||||||||
|
Административно дело № |
202 |
по описа за |
2023 |
година |
|||||||
|
и за да се произнесе,
съобрази следното: |
|||||||||||
|
С решение № ПАИКД-13-22/17.08.2023 г. КЗЛД на основание
чл. 58, параграф 2, буква „г“ от Регламент (ЕС) 2016/679
за нарушение на чл. 5, параграф 1, буква „е“ във връзка с чл. 32, параграф 1,
буква „б“ и буква „г“ и чл. 5 параграф 2 от Регламент (ЕС) 2016/679 е разпоредила на администратора на лични данни Областна
администрация Видин да извърши анализ на риска, въз основа на който да определи
подходящи технически и организационни мерки за защита на личните данни като:1.
приеме политики/правила/процедури или други правни актове, които регламентират
специфичните за областната администрация процеси по обработване на лични данни,
съобразени с разпоредбите на Регламент (ЕС) 2016/679, включително и Вътрешни правила,
разписващи процеса на публикуване на информация на официалната интернет страница
на ОА Видин;2.правила за провеждане на обучения по защита на личните данни - първоначални
и периодични, в това число програма за обучения и начини за контрол. Даден е срок
от 3 (три) месеца от влизане в сила на
решението, след което администраторът да уведоми Комисията за защита на
личните данни за неговото изпълнение, като представи съответните доказателства,
включително обучителните материали, които са били използвани за провеждане на
обучението и конкретна информация по длъжности/списъци на обучените служители. На основание чл. 58. параграф 2, буква
,,и“ от Регламент (ЕС) 2016/679 е наложила на администратора Областна администрация
Видин административно наказание – имуществена санкция в размер на 10 000 (десет
хиляда) лева. съгласно чл. 83 параграф 4 буква „а“ за нарушение на чл.
32, параграф 1. буква ,“б“ и буква „г“ от Регламент (ЕС) 2016/679 и чл. 83 параграф
5 буква „а“ за нарушение на чл. 5 параграф 2 от Регламент (ЕС) 2016/679. Срещу решението на
КЗЛД е подадена жалба от Областна администрация на Област Видин, чрез областния
управител. В жалбата се правят оплаквания за неоснователност на решението, тъй
като са представени доказателства за предприети мерки от страна на Областна администрация
Видин, за да гарантира изпълнение на изискванията на Регламент
(ЕС) 2016/679. Искането е да се отмени решението на КЗЛД изцяло или алтернативно да се
намали наложената санкция.Претендират се разноски. Ответник по оспорването
– Комисия за защита на личните данни е взела отношение в писмено становище депозирано
по делото. Оспорват жалбата и искат да остане в сила обжалвания акт. Претендират
разноски. Заинтересована страна
– И.С.П., не взема отношение по жалбата. Съдът, като взе предвид
доводите на страните във връзка с доказателствата по делото, прие следното. Жалбата е процесуално
допустима – подадена в срок от лице със засегнати права и интереси. Производството пред КЗЛД е
по повод писмо, с вх. № ПАИКД-13-22/12.05.2023 г., с което е депозирано Уведомление
за нарушение на сигурността на личните данни по чл. 33 от Регламент (ЕС) 2016/679
извършено от Областна администрация Видин. В уведомлението нарушението е описано
по следния начин: На 6 юли 2022 г. в 11:15 часа на официалната интернет страница
на Областна администрация Видин, в секция Търгове (https://Vidin.govemment.bg/targove), е била публикувана
Заповед № РД-26-11/05.07.2022 г. на областен управител на област Видин, която
е свързана с определянето на купувач на недвижим имот - частна държавна собственост.
Купувачът е определен след провеждането на електронен търг (https://еstate-sales.uslugi.io/past-public?autohority= 5§place§datefrom=§dateto). Заповедта е публикувана
без да бъдат заличени лични данни на купувача – имена, ЕГН, постоянен адрес, номер
и дата на издаване на личната карта. На сайта на Областна администрация Видин
е публикувана следната информация: „1. И.С.П., с постоянен адрес:***,
ЕГН **********, притежаващ л.к. № *********, издадена на **********г. от МВР Благоевград“. В уведомлението се посочва,
че публикуването на заповедта е с оглед публичност, прозрачност и отчетност в
работата на администрацията. Областна администрация Видин публикува на официалния
си интернет сайт заповеди от обществен интерес, каквато се явява и горецитираната
заповед за продаден имот - частна държавна собственост. Допълва се, че по информация
от служителя, изпълняващ длъжността Системен администратор, Заповед № РД-26-11/05.07.2022
г. му е предоставена в word Посоченото нарушение е установено
на 11 май 2023 г. в 10:30 часа по време на изпълнението на одитен ангажимент за
увереност в Областна администрация Видин от държавен вътрешен одитор в Звеното
за вътрешен одит към Администрацията на Министерския съвет. Категориите данни на физически
лица, засегнати от нарушението са: име;ЕГН;адрес;паспортни данни. От нарушението е засегнат един
субект - физическо лице, купувач на недвижим имот - частна държавна собственост. Редакцията на сайта на ОА Видин
е направена на 11.05.2023 г. в 11:37 часа. От комисията е започнало административно
производство. За изясняване на обстоятелствата около нарушението, с писма с изх.
№ ПАИКД-13-22# 1/29.05.2023 г. и изх. № ПАИКД-13-22#5/22.06.2023 г. от страна
на КЗЛД е изискана допълнителна информация от администратора на лични данни. С писма, вх. № ПАИКД-13-22#2/31.05.2023
г. и вх.№ ПАИКД-13-22#7/06.07.2023 г.. в законоустановения срок, информацията
е предоставена, ведно с приложени документи. По делото са представени Вътрешни
правила от 05.04.2013 година за защита на личните данни в ОА Видин, както и Процедура
за действие в случай на инциденти, свързани с информационната сигурност в ОА Видин
от 23.12.2020 година. С писма от КЗЛД са изискани Вътрешни Политики /правила/,
относно обработването на лични данни на физическите лица, като органа приема,
че пред КЗЛД актуализирани такива не са представени. Посочените по-горе правила
от 2013 година се основават на стария режим за защита на лични данни, преди влизане
в сила през 2018 година на Регламент 2016/679 /ЕС/. По преписката на л.443,
том 2 от делото са приложени Вътрешни правила за мерките за защита на личните
данни в ОА Видин от 24.07.23 година. Напрактика новите правила са приети след
постановяване на процесното решение. Предоставено е удостоверение на Института
по публична администрация за обучение на длъжностно лице по защита на личните
данни. Представен е и протокол от 17.07.23 година за обучение на служителите на
ОА Видин, ведно с присъствен списък, 2 бр. удостоверения за обучение на лица обработващи
лични данни, които също са с дата след издаване на процесното решение. КЗЛД приема, че в случая
е нарушен основен принцип за отчетност при обработване на лични данни, както е
изискването на чл.5, параграф 2 от Регламента. Разгледана по същество,
жалбата е основателна. В разпоредбата на чл. 10 ЗЗЛД е
посочено, че КЗЛД изпълнява задачите по чл. 57 от Регламент (ЕС) 2016/679.
В чл. 57 от Регламент /ЕС/ 2016/679,
освен всички изброени правомощия, в § 1, б. Х е посочено, че надзорния орган изпълнява
и други задачи, свързани със защита на личните данни. В чл. 55 от Регламент /ЕС/ 2016/679 е
посочено, че всеки надзорен орган е компетентен да изпълнява задачите и да упражнява
правомощията, възложени му в съответствие с регламента, на територията на своята
собствена държава членка. На територията на Р. България, надзорен орган по защита
на личните данни е Комисията за защита на личните данни, която с оспореното решение
е упражнила своите правомощия по чл. 55,
вр. чл. 33 и
вр. чл. 58, § 2 Регламент /ЕС/ 2016/679.
Т. е., доколкото комисията е уведомена от администратор на лични данни за наличие
на нарушение на сигурността на личните данни, по реда на чл. 33 Регламент /ЕС/ 2016/679,
то в нейните правомощия е да се произнесе за допуснати нарушения. В случая следва да се различават мерките
по чл. 58, параграф 2, букви "а"
– "з" и "й" от Регламент (ЕС) 2016/679 и
административното наказание по чл. 58, параграф 2, букви "и"
от същия Регламент, както и редът за налагане на санкции,
когато КЗЛД е сезирана по жалба от физическо лице и когато е сезирана с Уведомление
по смисъла на чл. 33 Регламент /ЕС/ 2016/679.
Редът за провеждане на производството по разглеждане на жалби на физически лица
е регламентиран в чл. 38, ал. 1 и сл. от ЗЗЛД.
В разпоредбата на чл. 38, ал. 3 от ЗЗЛД е
посочено, че Комисията се произнася с решение, като може да приложи мерките по
чл. 58, параграф 2, букви "а"
– "з" и "й" от Регламент (ЕС) 2016/679 или
по чл. 80, ал. 1, т. 3, 4 и 5 и в допълнение към тези мерки или вместо тях да
наложи административно наказание в съответствие с чл. 83 от Регламент (ЕС) 2016/679,
както и по глава девета. Когато обаче производството е започнало
по подадено от администратора на лични данни Уведомление по смисъла на чл. 33 Регламент /ЕС/ 2016/679,
съдържащо информация за настъпило събитие, свързано със сигурността на лични данни,
които областна администрация обработва като администратор на лични данни се изпълнява
процедура, различна от чл. 38 и сл. ЗЗЛД.
В настоящия случай в изпълнение на разписаните в чл. 62 от ПДКЗЛДНА правила
Уведомлението е регистрирано, образувана е преписка, събрани са необходимите документи,
извършен е анализ на постъпилата информация за пълнота на данните по чл. 33, параграф 3 от Регламент (ЕС)
2016/679, съответно чл. 67, ал. 3 ЗЗЛД.
След това, на основание чл. 63 ПДКЗЛДНА и
въз основа на информацията и анализа по чл. 62, т. 2, дирекция "Правно-аналитична,
информационна и контролна дейност" е изготвила мотивиран доклад до КЗЛД с
предложения - докладна записка от 12.06.23 год. на стр.73 и сл., том 1 по делото.
Определено е „средно ниво на риск“ и е направено предложение за проверка по документи
на администратора – Областна администрация Видин. Резултатите от проверката са
обективирани в Констативен акт рег.№ПАИКД-13-22#8/13.07.23 година, изготвен от Дирекция
„Правно-аналитична, информационна и контролна дейност“. Съгласно чл. 7, ал. 1 ЗЗЛД комисията
е колегиален орган и се състои от председател и 4 членове, а решенията се вземат
с мнозинство от общия брой на членовете й /чл. 9, ал. 3/. Същото следва да бъде
подписано от всички членове, участвали в гласуването. Въпреки изискването на чл. 9, ал. 4 от ЗЗЛД ,че
заседанията на комисията са открити, то протокол от проведено заседание по преписката
не е приложен. Комисията може да реши отделни заседания да бъдат закрити, от което
също би следвало да има протокол ако е проведено такова, но и такъв протокол няма.
Решенията на комисията се вземат с мнозинство от общия брой на членовете й, процесното
решение е подписано от всички членове, без особени мнения, но протокол от проведено
гласуване по делото няма приложен. Това според настоящия състав е съществено процесуално
нарушение, което води до незоканосъобразност на процесното решение и неговата
отмяна, дори само на това основание. От
друга страна чл. 63, ал.1 от ПДКЗЛД, гласи, че: незабавно след събиране на
информацията и извършване на анализа по чл. 62, ал. 2, но не по-късно от
два месеца от постъпване на уведомлението за нарушението дирекция "Правно-аналитична,
информационна и контролна дейност" изготвя мотивиран доклад до КЗЛД с предложения,
в т.ч. за извършване на проверка по документи или на място, съобразно предложеното
ниво на риск. За решението на комисията се уведомява администраторът, а при необходимост
и други, свързани с нарушението, страни. В конкретния случай като заинтересована страна в настоящия процес е конституиран
И.П., чиито лични данни са засегнати от нарушението. Вярно е, че нормата не е
императивна по отношение на уведомяването, но така напрактика той е бил лишен
от право да участва в производството. Безспорно публикуваните данни са от категорията
"лични данни" по смисъла на чл. 4, т. 1 от ОРЗД. Настъпилото събитие
е възможно да доведе до разкриване и/или неоторизиран достъп до тези лични данни.
В чл. 4, т. 12 от ОРЗД е
дадено определение за "нарушение на сигурността на лични данни", а именно
нарушение, което води до случайно или неправомерно унищожаване, загуба, промяна,
неразрешено разкриване или достъп до лични данни, които се предават, съхраняват
или обработват по друг начин. В настоящия случай се е достигнало до публикуване
на лични данни на сайта на Областна администрация Видин. Видно от изложеното допуснато
е публикуване в сайта на ОА Видин на лични данни и съществува реална опасност
за настъпване на неблагоприятни последици на засегнатото лице. При тези данни
е осъществено нарушение на чл. 32, § 1 и
§ 2 от Регламент /ЕС/2016/679,
което от своя страна обуславя приложението на чл. 34, § 1 от ОРЗД,
съгласно който "когато има вероятност нарушението на сигурността на личните
данни да породи висок риск за правата и свободите на физическите лица, администраторът,
без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността
на личните данни. ". Изключение от задължението за уведомяване има когато
администраторът е предприел подходящи технически и организационни мерки за защита
на личните данни преди нарушението, по-специално мерките, правещи личните данни
неразбираеми за всяко лице, което няма разрешение за достъп до тях или непосредствено
след нарушението администраторът е взел мерки, които гарантират, че вече няма
вероятност да се материализира високият риск за правата и свободите на физическите
лица. И двете хипотези не са се осъществили, защото информацията, съдържаща се
в сайта е била качена на 06.07.22 година и е редактирана на 11.05.23 година, т.е.
престояла е там 10 месеца, не е открито колко и кои лица са получили достъп до
тези лични данни, за да се гарантира, че е препятствана възможността да направи
нещо с тях. Администраторът не е изпълнил задължението си за уведомяване на засегнатите
лица, поради което КЗЛД е следвало да наложи корективната мярка по чл. 58 § 2 б. "д" от Регламент
/ЕС/2016/679, което не е сторено и също води до
незаконосъобразност на решението. Вярно е, че в нормата е записано висок риск, а КЗЛД
е приела в доклада си, че риска е „средно ниво“, но пък чл.34 от Регламента говори
за „без нужно забавяне“, а доклада в който е прието, че е нивото на риск е средно
е изготвен един месец след уведомлението по чл.33 от Регламента, т.е. при откриването
на нарушението администратора не е могъл да има информация за преценката на КЗЛД относно степента на
риска. Участието на заинтересованата
страна в процеса е гаранция за правата на засегнатите лица, на които се предоставя
възможност да проявят съответната активност в защита на правата си, като представят
становище и доказателства за установяване на релевантните за случая факти. Неучастието
на заинтересовани страни в производството по издаване на оспорения административен
акт представлява и нарушение на основен принцип на административния процес, а
именно принципа на равно участие на всички, чиито права са засегнати от акта -
чл. 8 АПК. От изложеното е видно, че ответникът
не е представил надлежни доказателства, че заинтересованата страна в настоящия
процес въобще е бил уведомяван за образувано производство пред КЗЛД. Всичко изброено до тук води до извода,
че са налице съществени нарушения при издаването на решение № ПАИКД-13-22/17.08.2023
г. КЗЛД, водещи до неговата отмяна. За пълнота на изложението
следва да се има предвид, че: По т. 1 от оспореното решение е прието извършено
нарушение на чл. 5, § 1, б. "е", вр. с чл. 32, § 1, буква“б“ и буква
„г“ и § 2 от Регламент /ЕС/2016/679 и на основание чл. 58 § 2 б. "г" е
разпоредено на администратора на лични данни Областна администрация Видин да извърши
анализ на риска, въз основа на който да определи подходящи технически и организационни
мерки за защита на личните данни като: 1.приеме политики/правила/процедури или
други правни актове, които регламентират специфичните за областната администрация
процеси по обработване на лични данни, съобразени с разпоредбите на Регламент
(ЕС) 2016/679, включително и Вътрешни правила, разписващи процеса на публикуване
на информация на официалната интернет страница на ОА Видин;2. правила за провеждане
на обучения по защита на личните данни - първоначални и периодични, в това число
програма за обучения и начини за контрол. Разпореждането по т. 1) следва да бъде изпълнено
в рамките на 3 (три) месеца от влизане в сила на решението, след което в 14 (четиринадесет)
дневен срок, администраторът да уведоми Комисията за защита на личните данни за
неговото изпълнение, като представи съответните доказателства, включително обучителните
материали, които са били използвани за провеждане на обучението и конкретна информация
по длъжности/списъци на обучените служители. Напрактика мерките, които са
приети от КЗЛД, че следва да се изпълнят от ОА Видин са изпълнени няколко дни
след постановяване на решението. По преписката на л.443 от делото, том 2 са приложени
Вътрешни правила за мерките за защита на личните данни в ОА Видин от 24.07.23
година. Представен е и протокол от 17.07.23 година за обучение на служителите
на ОА Видин, ведно с присъствен списък, 2 бр. удостоверения за обучение на лица
обработващи лични данни. С оспореното решение по т. 2 е наложена
имуществена санкция на основание чл. 58 § 2 б. "и" от Регламент
/ЕС/2016/679 на Областна администрация Видин,
съгласно чл. 83 § 4, буква "а" от Регламент
/ЕС/2016/679 /Регламента/ е наложено административно
наказание в размер на 10 000 лв. Но при налагане на санкцията не е спазен редът,
както и видът на акта, с който следва да се произнесе административният орган.
Разпоредбата на чл. 50 от ПДКЗЛДНА регламентира
друг ред за налагане на санкции, а именно когато в хода на проверка по чл. 12, ал. 4 от ЗЗЛД,
с изключение на проверка по чл. 37, ал. 2, се констатират данни за административно
нарушение, прилагането на мярката "налагане на административно наказание
"глоба" или "имуществена санкция" по чл. 58, параграф 2, буква "и"
от Регламент (ЕС) 2016/679 и глава девета от ЗЗЛД се
осъществява по реда на Закона за административните нарушения и наказания (ЗАНН),
със съставяне на акт за нарушение и наказателно постановление. Тази разпоредба
съответства и на законовата регламентация в чл. 87 от ЗЗЛД,
съгласно който извън случаите по чл. 38, ал. 1, установяването на нарушенията
на Регламент (ЕС) 2016/679 или
на този закон, издаването, обжалването и изпълнението на наказателните постановления
се извършват по реда на Закона за административните нарушения и наказания.
Като чл. 38, ал. 1 от ЗЗЛД касае
производствата по жалба от субекта на данни и при тази процедура КЗЛД може с решение
на основание чл. 38, ал. 3 от ЗЗЛД да
наложи административно наказание в съответствие с чл. 83 от Регламент (ЕС) 2016/679,
както и по глава девета от КЗЛД. В случая доколкото сезиращия акт не е жалба,
а уведомление от администратора на лични данни производството трябва да следва
правилата на ЗАНН със съставяне на акт за нарушение и наказателно постановление
от съответните органи, който ред в настоящия случай не е спазен. В допълнение към изложеното
следва да се отбележи и правилото, че за всяко административно нарушение се налага
отделно наказание. В решението извършеното е квалифицирано като нарушение наказано
съгласно чл. 83 параграф 4 буква „а“ за нарушение на чл. 32, параграф 1. буква
„б" и буква „г“ от Регламент (ЕС) 2016/679 и и наказано съгласно чл. 83 параграф
5 буква „а“ за нарушение на чл. 5 параграф 2 от Регламент (ЕС) 2016/679.При съобразяване
на разпоредбите в Регламент /ЕС/2016/679 следва да се отбележи,
че санкцията за нарушение на чл. 32, § 1 и § 2 от Регламент /ЕС/2016/679 санкцията е регламентирана
в чл. 83 § 4, буква "а" от Регламент
/ЕС/2016/679 в размер до 10 000 000 EUR или, в случай на предприятие
— до 2 % от общия му годишен световен оборот за предходната финансова година,
която от двете суми е по-висока, а за нарушение чл. 5, § 2 от Регламента е регламентирана
в чл. 83 § 5, буква "а" от Регламент
/ЕС/2016/679 и е определяема в размер до 20 000 000 EUR или, в
случай на предприятие — до 4 % от общия му годишен световен оборот за предходната
финансова година, която от двете суми е по-висока, а В ЗАНН не се допуска подобно
кумулиране на нарушения и санкции, а е приложимо правилото на чл. 18 от ЗАНН, че за всяко отделно
нарушение се налага отделно наказание. На следващо място в решението няма
никакви мотиви относно преценката на размера на наложената имуществена санкция.
В този смисъл санкцията е определената в противоречие с посочената разпоредба,
като не е взет предвид бюджета на органа, не е извършена съпоставка за правилно
определяне на санкцията, поради което решението и на това основание е незаконосъобразно. В заключение съдът счита, че жалбата
е основателна. Решението следва да бъде отменено, като постановено при съществени
процесуални нарушения и в нарушение на материалния закон. Разноски са претендирани и от двете
страни. Предвид изходът на делото на основание чл. 143, ал. 1 от АПК,
вр. с чл. 37 от ЗПП вр.
с чл. 24 от Наредба за заплащането на
правната помощ ответникът следва да заплати в полза
на жалбоподателя разноски за юрисконсултско възнаграждение в размер на 100.00
лв. Водим от гореизложеното на основание
чл. 172 от АПК,
Административен съд – Видин, втори състав, Р Е Ш И:
ОТМЕНЯ решение № ПАИКД-13-22/17.08.2023
г. на КЗЛД, с което на основание чл. 58, параграф 2, буква „г“
от Регламент (ЕС) 2016/679 за нарушение на чл. 5, параграф 1, буква „е“ във връзка
с чл. 32, параграф 1, буква „б“ и буква „г“ и чл. 5 параграф
2 от Регламент (ЕС) 2016/679 е
разпоредила на администратора на
лични данни Областна администрация Видин да извърши анализ на риска, въз основа
на който да определи подходящи технически и организационни мерки за защита на
личните данни и на основание чл. 58. параграф 2, буква ,,и“ от Регламент (ЕС)
2016/679 е наложила на администратора Областна администрация Видин административно
наказание – имуществена санкция в
размер на 10 000 (десет хиляда) лева,
съгласно чл. 83 параграф 4 буква „а“ за нарушение на чл. 32, параграф 1.
буква ,“б“ и буква „г“ от Регламент (ЕС) 2016/679 и чл. 83 параграф 5 буква „а“
за нарушение на чл. 5 параграф 2 от Регламент (ЕС) 2016/679. ОСЪЖДА Комисията за защита на личните
данни да заплати на Областна администрация Видин юрисконсултско възнаграждание
в размер на 100.00 лева. Решението подлежи на обжалване, с
касационна жалба, пред Върховния административен съд, в 14-дневен срок от съобщаването
му. СЪДИЯ: |
|||||||||||
Решение по дело №202/2023 на Административен съд - Видин
| Номер на акта: | 174 |
| Дата: | 29 ноември 2023 г. |
| Съдия: | Росица Христова Славчева |
| Дело: | 20237070700202 |
| Тип на делото: | Административно дело |
| Дата на образуване: | 12 септември 2023 г. |