Със свое решение № ППН-01-111/2018 Комисия за защита на личните данни (КЗЛД) наложи на българска банка /„Т. Б. А. Б.” ЕАД/ имуществена санкция в размер на 1000 лв. Производството пред българския надзорен орган е образувано въз основа на жалба на физическо лице, което получило обаждане на мобилния си телефон от страна на представител на банката. Обаждането било свързано със запитване относно съседка на жалбоподателя, която имала неуредени отношения с банката.
Субектът на данни (жалбоподател пред КЗЛД) депозирал пред банката заявление за достъп до обработваните от банката свързани с него лични данни. В заявлението си лицето е поискало допълнително блокиране и заличаване на личните му данни. Поради липса на отговор физическото лице е депозирало второ заявление, по което банката се произнесла в предвидения в Регламента срок.
Към жалбата си до КЗЛД физическото лице е допълнило ново обстоятелство от 16.08.2018 г. (след влизане в сила на ОРЗД), свързано с повторно телефонно обаждане от служител на банката, издирващ същото трето лице.
Субектът на данни е посочил няколко нарушения на Регламента, от които следните две са приети за основателни и санкционирани от КЗЛД:
- Обработване на лични данни за осъществяване на контакт с трето лице.
Анализирайки конкретните факти и обстоятелства, КЗЛД е достигнала до извод, че обработването на личните данни на жалбоподателя не е свързано със сключения между него и банката договор за предоставяне на потребителски кредит. Целта, за която са обработвани данните на субекта, е различна и несъвместима с първоначалните, изрично указани и легитимни цели, за които банката е информирала клиента си при сключването на договор. Това предпоставя необходимост от предоставяне на допълнително съгласие. В конкретния случай, банката не е в състояние да обоснове обработване на данните със своя законен интерес, тъй като този интерес няма преимущество пред интересите на физическото лице, за което се отнасят данните, каквото е изискването на чл. 4, ал. ал. 1, т. 7 ЗЗЛД /съответно чл. 6, пар. 1, буква „е” от Регламента/.
С тези действия администраторът е нарушил принципа за ограничаване на целите на обработването по чл. 2, ал. 2, т. 2 от ЗЗЛД съответно чл. 5, пар. 1, б. „б” от Регламент 2016/679. Комисията е решила да упражни своите корективни правомощия, като задължи администратора да ограничи обработването на свързаните със жалбоподателя лични данни до изтичането на срока за съхранението им. Освен цитираната корективна мярка, КЗЛД е преценила, че следва да наложи в допълнение и имуществена санкция в размер на 1000 лв., определена след внимателен анализ на елементите, посочени чл. 83, параграф 2 от Регламента елементи ( сред които естество, тежест и продължителност на нарушението и т.н.).
- Нарушено право на достъп до лични данни и искане за заличаването им.
Комисията е изследвала съдържанието на отговора на банката във връзка с депозираното от субекта искане, като е констатирала, че в него липсва информация съгласно чл. 15, пар. 1, б. „в” от Регламента, а именно „получателите или категориите получатели, пред които са разкрити данните”, т.е. липсват конкретните получатели, пред които действително са били разкрити данните.
Освен това, администраторът на лични данни не е предоставил информация относно съществуването на автоматизирано вземане на решение по смисъла на чл. 22, пар. 1 от Регламента.
Във връзка с нарушение на правото на достъп на субекта по чл. 15 от Регламента, КЗЛД е избрала като корективна мярка да задължи банката да допълни отговора си, като го съобрази с направените от надзорния орган констатации.
Интересни са мотивите на КЗЛД при анализа на законосъобразността на обработването на лични данни за целите на директния маркетинг. Банката е изпращала на жалбоподателя текстови съобщения (sms-и) с предложения за финансиране. При подписването на договор за потребителски кредит жалбоподателят е декларирал, че се съгласява данните му да бъдат обработвани за „директен маркетинг по смисъла на ЗЗЛД, включително да му бъдат изпращани писма с рекламно и промоционално съдържание, рекламни SMS-и и e-mail-и, включително и такива, свързани с предлагането на други финансови или комбинирани продукти“. В същото време, КЗЛД допълва, че субектът има право по всяко време да възрази срещу обработване на данните му за целите на директния маркетинг, но доколкото подобно изрично възражение не е формулирано в депозираното заявление, в конкретния случай нарушение не е налице. Комисията отбелязва, че по косвен път заявлението за заличаване на лични данни целѝ и възражение срещу обработването. Въпреки това, от извода на надзорния орган може да се заключи, че липсата на конкретно посочване на термина „възражение“ от страна на субекта освобождава администратора от отговорност.
Решението на КЗЛД подлежи на обжалване пред Административен съд- София град, но към 07.02.2019 г. в АССГ няма информация за постъпила жалба.