Върховният административен съд на Р. Б. - Пето отделение, в съдебно заседание на шести октомври в състав: ПРЕДСЕДАТЕЛ:Д. Д. ЧЛЕНОВЕ:Е. М. М. Н. при секретар Н. А. и с участието

на прокурора Момчил Тараланскиизслуша докладваното от председателяД. Д. по адм. дело № 5475/2021

Производството е по реда на чл. 208 и сл. от Административнопроцесуалния кодекс (АПК).

Образувано е по касационна жалба, подадена от „К. С. ЕООД, със седалище и адрес на управление гр. София, представлявано от управителите Р. Х. и Н. В., чрез пълномощник адв. И. и по касационна жалба, подадена от Комисията за защита на личните данни (КЗЛД) със седалище гр. София, чрез пълномощник юрк. П., и двете срещу решение № 1340 от 04.03.2021 г., постановено по адм. дело № 11855/2020 г. от Административен съд София - град (АССГ).

В касационната жалба на търговското дружество са развити доводи за неправилност на съдебния акт поради необоснованост, постановяването му при неправилно приложение на материалния закон и допуснати съществени нарушения на процесуалните правила – касационни основания по чл. 209, т. 3 от АПК. Иска се отмяната му в частта, с което дружеството е осъдено да заплати имуществена санкция в размер на 10 000 лв. и спорът да се реши по същество. Претендира присъждане на заплатената държавна такса за завеждане на делото.

Комисията за защита на личните данни счита решението на съда в частта, с която е отменена т. 4 от оспорваното Решение № ППН-01-805 от 25.08.2020 г. на КЗЛД също за неправилно, необосновано, постановено в нарушение на материалния закон и при съществено нарушение на процесуалните правила – касационни основания по смисъла на чл. 209, т. 3 от АПК. Иска се неговата отмяна в тази част и решаване на спора по същество с отхвърляне на оспорването по жалбата на ЗАД „ОЗК – Застраховане“ АД.

Ответните страни – ЗАД „ОЗК – Застраховане“ АД, Ю. С. и П. П. не се явяват в о. с.з. и не вземат становище.

Процесуалният представител на Върховната административна прокуратура дава мотивирано заключение за неоснователност на касационната жалба, подадена от „К. С. ЕООД и за основателност на касационната жалба, подадена от КЗЛД. Счита, че обжалваното решение следва да бъде оставено в сила като правилно в частта, с която е намалена имуществената санкция от 25 000 на 10 000 лв., наложена на търговското дружество и отменено в частта, с която е отменена т. 4 от Решение № ППН-01-805 от 25.08.2020 г. на КЗЛД, с която на основание чл. 83, § 4, б. „а“ вр. чл. 58, § 2, б. „и“ от Регламент (ЕС) 2016/679 на ЗАД „ОЗК Застраховане“ АД е наложено административно наказание – имуществена санкция в размер на 5 000 лв. за нарушение на чл. 25, § 1 от сочения Регламент. Предлага в тази част обжалваното решение да бъде отменено, а спорът – решен по същество с отхвърляне на оспорването по жалбата на ЗАД „ОЗК Застраховане“ АД, като неоснователна.

Върховният административен съд, в настоящия състав на пето отделение, след като прецени данните по делото, доводите на страните и в рамките на правомощията си по чл. 218 АПК приема за установено следното:

Касационните жалби са подадени от надлежни страни, против подлежащ на оспорване съдебен акт, който е неблагоприятен за тях, както и в срока по чл. 211, ал. 1 АПК, поради което са процесуално допустими.

Както се посочи, предмет на съдебен контрол за законосъобразност пред първоинстанционния съд е Решение № ППН-01-805 от 25.08.2020 г. на КЗЛД, с което на основание чл. 83, § 5, б. „а“ вр. чл. 58, § 2, б. „и“ от Регламент (ЕС) 2016/679 е наложено административно наказание на „К. С. ЕООД – имуществена санкция в размер на 25 000 лв. за обработване на лични данни на П. П. в нарушение на чл. 5, § 1, б.“а“ от Регламента; на ЗАД „ОЗК Застраховане“ АД е наложено административно наказание – имуществена санкция в размер на 5 000 лв. за нарушение на чл. 25, § 1 от Регламента, на основание чл. 83, § 4, б. „а“ вр. чл. 58, б. „и“ и на основание чл. 58, § 2, б.“г“ от Регламента за нарушение по чл. 32, § 4 от него по отношение на търговското дружество е издадено разпореждане, с характер на ПАМ, да предприеме мерки всяко лице, действащо под негово ръководство да обработва лични данни по указания на дружеството, като се съобразяват изискванията на ОРЗД, ЗЗЛД и специалния КЗ в указан срок.

Съдът е приел за частично основателно оспорването по жалбата на „К. С. ЕООД и е намалил размера на наложената му имуществена санкция от 25 000 на 10 000 лв. Оспорването по жалбата на ЗАД „ОЗК Застраховане“ АД е прието за основателно, поради което е отменена т. 4 от Решение № ППН-01-805/25.08.2020 г. на КЗЛД, с която на основание чл. 83, § 4, б. „а“ вр. чл. 58, § 2, б. „и“ от Регламент (ЕС) 2016/679 му е наложено административно наказание – имуществена санкция в размер на 5 000 лв. за нарушение на чл. 25, § 1 от Регламента.

Със същото решение сторените от ЗАД „ОЗК Застраховане“ АД съдебни разноски в размер на 50 лв. са възложени на КЗЛД.

За да постанови този резултат съдът е проверил законосъобразността на оспорения пред него административен акт и е приел, че същият е постановен от компетентен административен орган в рамките на предоставените му правомощия, в изискуемата писмена форма, с посочване на правните и фактически основания, при спазване на установените в закона административнопроизводствени правила, но по отношение на „ОЗК Застраховане“ АД решението по т. 4 е необосновано и постановено при неправилно приложение на материалния закон.

Решението е валидно, допустимо и правилно в частта, с която частично е уважено оспорването на „К. С. ЕООД и наложената му имуществена санкция за обработване на лични данни на П. П. в нарушение на чл. 5, § 1, б.“а“ от Регламента е намалена от 25 000 лв. на 10 000 лв. и неправилно в частта, с която е отменена наложената на ЗАД „ОЗК Застраховане“ АД имуществена санкция – глоба в размер на 5 000 лв. за нарушение на чл. 25, § 1 от Регламент (ЕС) 2016/679.

Приетата за установена по делото фактическа обстановка се подкрепя от представените от КЗЛД с административната преписка и събраните в хода на процеса писмени доказателства.

Обосновано първоинстанционният съд е приел, че оспорваното решение на КЗЛД е постановено от компетентен орган, в съответствие с правомощията й по чл. 38, ал. 1 и ал. 2 от ЗЗЛД, в предписаната от закона форма, като съдържа всички изискуеми реквизити по чл. 59, ал. 2 от АПК, поради което е валиден акт.

Обоснована е констатацията на съда за липса на допуснати съществени нарушения на административнопроизводствените правила при издаване на оспореното решение. Същото е постановено, след като страните са уведомени по реда на чл. 26 от АПК за започване на производството, инициирано по жалба на увреденото лице; дадена им е възможност да участват в него като изразят становище и представят писмени доказателства (чл. 36 от АПК); административният акт е издаден след разглеждане на жалбата по същество в открито заседание, съгласно чл. 9, ал. 4 от ЗЗЛД и чл. 39, ал. 1 от Правилника за дейността на КЗЛД и нейната администрация и е прието единодушно от членовете на административния орган (чл. 9, ал. 3 от ЗЗЛД).

Съдът е приел за безспорно установено, че на 04.06.2018 г. чрез служителя на застрахователния брокер „К. С. ЕООД – К. Т., в офис на дружеството в гр. София е подписана застрахователна полица ЗП № BG/23/118001638038, издадена от ЗАД „ОЗК Застраховане“ АД. Съгласно текста е сключена задължителна застраховка „Гражданска отговорност“ за МПС „Мерцедес“, модел „Е 200“ с рег. [рег. номер на МПС] , въз основа на Свидетелство за регистрация, Част І с № [номер]. В полицата като собственик е посочен П. П. с посочени данни за трите му имена, ЕГН и адрес, отразено е, че е собственик на посоченото по-горе МПС. По данни на застрахователя е платена и застрахователна премия от 251.60 лв., на каса в представителството на ул. „Я. С. на същата дата, за което е издадена Сметка № BG/23/118001638038-01.

Безспорно е установено също, че данните на застрахования и на МПС са били ръчно въведени от служителя поради „моментен срив“ на системата на ЕИСОУКР на Гаранционния фонд. Впоследствие, при извършена административна проверка е било установено, че собственик на посоченото МПС е трето лице - „Теди и Роз“ ЕООД.

Междувременно с писмо изх. № 99-538/26.07.2018 г. застрахователят „ОЗК Застраховане“ е уведомил г-н Петков, че дължи допълнителна премия в размер на 1 193. 50 лв., платими в 5 дневен срок от получаване на съобщението и поради неплащане на допълнителната премия застрахователната полица (ЗП) № BG/23/118001638038 е била прекратена на 27.07.2018 година.

Получавайки съобщението г-н Петков е сезирал КЗЛД с жалба за това, че личните му данни са неправомерно използвани, тъй като не е притежавал и не притежава л. а. „Мерцедес“, модел „Е 200“ с рег. [рег. номер на МПС] .

В хода на проведеното административно производство пред КЗЛД посочените факти не се оспорват и са възприети от първоинстанционния съд. Въз основа на това съдът е направил извод, че оспорването на „К. С. ЕООД е частично основателно, а това на ЗАД „ЗЗК Застраховане“ е изцяло основателно и е постановил своя акт.

Настоящата инстанция намира касационната жалба на „К. С. ЕООД за неоснователна, а обжалваното решение в частта, с която е намалено наложеното наказание от 25 000 на 10 000 лв. за обосновано и законосъобразно, постановено при правилно приложение на материалния закон.

В чл. 5, § 1 на Регламент 2016/679 са посочени принципите, свързани с обработването на личните данни, като съгласно § 2 на текста администраторът носи отговорност и е длъжен да докаже спазването на тези принципи. В чл. 5, § 1, б. „а“, т. е. на първо място е посочено изискването личните данни да се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност). Обосновано първостепенният съд е приел, че в случая тези основни принципи са нарушени от администратора на лични данни. Това е така, тъй като данните на П. П. са обработени без негово знание и съгласие, против волята му с недобросъвестно намерение. Правно ирелевантно е възражението, че в случая става въпрос за извършване на престъпление – използване на „фалшив“ документ – свидетелство за регистрация на МПС, част І. При разглеждане на жалба за нарушение при обработване на лични данни, какъвто е процесният случай, от КЗЛД не се преценява има ли извършено престъпление и кой е неговият извършител, а дали е налице неправомерно обработване на лични данни - допуснато ли е нарушение от страна на администратора на лични данни при обработване на личните данни и във връзка с това, взети ли са достатъчно мерки, за да се гарантира правомерното обработване на лични данни. Наличието или липсата на данни за извършено престъпление по НК, няма отношение към административноправния спор, защото в двете производства се преценяват различни обстоятелства. В производството пред КЗЛД предмет на обсъждане е дали администраторът на лични данни е изпълнил задълженията си по ОРЗД за защита на данните, които обработва. В случая правилно Комисията е установила нарушение на задължението на „К. С. ЕООД като администратор на лични данни.

Неоснователно също е и възражението, че брокерът не следва да носи административна отговорност за случая, тъй като само застрахователя има достъп до данните на МВР и КАТ и само той би могъл да направи справка за собствеността на процесното МПС. Принципите, заложени в текста на чл. 5, § 1 от Регламента, приложим от 25.05.2018 г. засягат всички администратори на лични данни, каквито се явяват застрахователният брокер и неговите служители. Безусловно личните данни трябва да се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните, а в случая този субект не е предоставял своите данни (имена, адрес и ЕГН, които са лични данни по смисъла на чл. 4, § 1 от Регламента) и не е давал съгласието си те да бъдат обработвани от администратор по смисъла на § 2 на текста, за което са налице безспорни доказателства.

Ето защо извода на решаващия съд, че следва да бъде ангажирана отговорността на „К. С. ЕООД за нарушението, вменено му от КЗЛД, е изцяло споделен от настоящата инстанция.

Правилно съдът от първата инстанция е приел, че в компетентността на административния орган е да определи вида и размера на наказанието, което следва да се наложи за всеки конкретен случай с оглед постигане на целите на Регламента. Изводите на съда досежно вида и размера на наложената на „К. С. ЕООД имуществена санкция се споделят изцяло, без да е необходимо да се повтарят. Съдът правилно е посочил, че наказанието не е индивидуализирано с оглед степента на засягане на обществените отношения по защита на личните данни и при определянето му КЗЛД не е обсъдила елементите на чл. 83, § 5 на Регламента, поради което санкцията се явява необосновано завишена и правилно е намалена.

Решението в тази част следва да бъде потвърдено като обосновано и правилно, постановено при спазване на процесуалните правила.

Касационната жалба на КЗЛД е основателна.

В тази част обжалваното решение е необосновано и незаконосъобразно и следва да се отмени, а спорът – да се реши по същество, като се отхвърли оспорването по жалбата на ЗАД „ОЗК Застраховане“ срещу Решение № ППН-01-805 от 25.08.2020 г., с което на основание чл. 83, § 4, б. „а“ вр. чл. 58, § 2, б. „и“ от Регламент (ЕС) 2016/679 му е наложено административно наказание – имуществена санкция в размер на 5 000 лв. за нарушение на чл. 25, § 1 от Регламента.

При правилно установени факти, неоспорени от страните съдът е анализирал неправилно доказателствата по делото и въз основа на това е направил необосновани правни изводи, които не се споделят от настоящата инстанция.

Съгласно чл. 25, § 1 от Регламент (ЕС) 2016/679 администраторът въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, например псевдонимизация, които са разработени с оглед на ефективното прилагане на принципите за защита на данните, например свеждане на данните до минимум, и интегриране на необходимите гаранции в процеса на обработване, за да се спазят изискванията на настоящия регламент и да се осигури защита на правата на субектите на данни като взема предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и породените от обработването рискове с различна вероятност и тежест за правата и свободите на физическите лица.

Администраторът на лични данни е длъжен да приложи подходящи технически и организационни мерки за осигуряване на защита на личните данни и самият факт, че това в случая не е постигнато, въпреки че застрахователят е разполагал в данните от базата на МВР/КАТ, сочи на нарушение по смисъла на чл. 25, § 1 от Регламента. Нарушението е доказано и отговорността следва да бъде споделена. Съгласно чл. 28, §4 от Регламента когато обработващият лични данни включва друг обработващ лични данни за извършването на специфични дейности по обработването от името на администратора чрез договор или друг правен акт съгласно правото на Съюза или правото на държавата членка, на това друго лице се налагат същите задължения за защита на данните, както задълженията, предвидени в договора или друг правен акт между администратора и обработващия личните данни, по-специално да предостави достатъчно гаранции за прилагането на подходящи технически и организационни мерки, така че обработването да отговаря на изискванията на регламента.

В случая, обратно на твърденията на застрахователя, въведените мерки явно не са достатъчно съобразени с КЗ, Наредба № 54 за регистриране на ГФ, вменени като нормативно изискване и Регламента, което ангажира отговорността му. А в обсега на оперативната самостоятелност на административния орган е да определи вида и размера на наложеното наказание, което КЗЛД е направила. Не е доказано, че администраторът на лични данни е предприел мерки всяко лице, действащо под негово ръководство да обработва лични данни по указания на дружеството, като се съобразяват изискванията на ОРЗД, ЗЗЛД и специалния КЗ в указан срок, в който смисъл са дадени указания от КЗЛД в процесното решение и срок за изпълнение. Решението на административния орган е обосновано и законосъобразно и следва да остане в сила чрез отхвърляне на жалбата на ЗАД „ОЗК Застраховане“.

С оглед изхода на делото претенцията за присъждане на понесените по делото разноски е неоснователна и не следва да бъде уважена.

Воден от горното и на основание чл. 221, ал. 2 от АПК, Върховният административен съд, пето отделение,

РЕШИ:

ОТМЕНЯ решение № 1340 от 04.03.2021 г., постановено по адм. дело № 11855/2020 г. от Административен съд София - град, в частта, с която по жалба на ЗАД „ОЗК Застраховане“ АД, ЕИК [номер] е отменено Решение № ППН-01-805/2018 от 25.08.2020 г. на Комисията за защита на личните данни в частта по т. 4, с която на основание чл. 83, § 4, б. “а“ вр. чл. 58, § 2, б. „и“ от Регламент (ЕС) № 2016/679 за нарушение по чл. 25, § 1 от същия е наложено административно наказание – имуществена санкция в размер на 5 000 лв. и вместо това ПОСТАНОВЯВА:

ОТХВЪРЛЯ оспорването по жалбата на ЗАД „ОЗК Застраховане“ АД, ЕИК [номер] срещу Решение № ППН-01-805/2018 от 25.08.2020 г. на Комисията за защита на личните данни в частта по т. 4, с която на основание чл. 83, § 4, б. “а“ вр. чл. 58, § 2, б. „и“ от Регламент (ЕС) № 2016/679 за нарушение по чл. 25, § 1 от същия е наложено административно наказание – имуществена санкция в размер на 5 000 лв., като неоснователно.

ОСТАВЯ В СИЛА решение № 1340 от 04.03.2021 г., постановено по адм. дело № 11855/2020 г. от Административен съд София - град в останалата му обжалвана част.

Решението е окончателно.

Вярно с оригинала, ПРЕДСЕДАТЕЛ:/п/ Диана Добрева

секретар: ЧЛЕНОВЕ:/п/ Еманоил Митев

/п/ Мария Николова