Решение от 05.04.2023 по адм. дело № 7398/2022 г. на ВАС (окончателно)
Обратно към Хаос в организацията на дейността по вписванията
.
Потвърждават констатациите за множество нередности в организацията на работата в службите по вписванията, подробно описани в Решение от 23.03.2022 по дело номер 619/2022 на Админ. съд - София град, потв. на 05.04.2023 от ВАС
.
.
РЕШЕНИЕ
№ 3617
София, 05.04.2023 г.
В ИМЕТО НА НАРОДА
Върховният административен съд на Република България - Пето отделение , в съдебно заседание на осми февруари две хиляди и двадесет и трета година в състав:
Председател: | ДОНКА ЧАКЪРОВА | |
Членове: | ЕМАНОИЛ МИТЕВ ЕМИЛ ДИМИТРОВ |
|
при секретар | Мадлен Дукова | и с участието |
на прокурора | Георги Камбуров | изслуша докладваното |
от съдията | Емил Димитров | |
по административно дело № 7398 / 2022 г. | ||
Производството е по реда на чл. 208 и сл. от Административнопроцесуалния кодекс (АПК).
Образувано е по касационни жалби, подадена от Агенция по вписванията/Агенцията, АВп/, чрез процесуален представител, срещу решение №1938/23.03.2022г., постановено по адм.д. №619/2022г. на Административен съд София-град /АССГ/, с което е отхвърлена жалба на Агенция по вписванията срещу Решение №ПНМД-01-62/21.12.2021г. на Комисията за защита на личните данни /КЗЛД/.
Касаторът навежда доводи за неправилност на решението на АССГ, като постановено в нарушение на материалния закон, съществено нарушение на съдопроизводствените правила и необоснованост - отменителни основания съгласно чл.209, т.2 и т.3 от АПК. Моли решението да бъде отменено. Подробни съображения излага в касационната жалба и в писмена защита. Претендира разноски.
Ответната страна- КЗЛД не изразява становище по касационната жалба. Не претендира разноски.
Представителят на Върховната административна прокуратура дава мотивирано заключение за неоснователност на касационната жалба.
Настоящият състав на Върховния административен съд, Пето отделение, приема, че касационната жалба е подадена в срока по чл.211, ал.1 АПК и от страна, за която съдебният акт е неблагоприятен, поради което е допустима. Разгледана по същество, касационната жалба е неоснователна.
За да постанови обжалваното решение съдът е приел, че оспорения АА е издаден от компетентен орган, в установената писмена форма, без да са допуснати съществени нарушения на административнопроизводствените правила, в съответствие с приложимите материалноправни разпоредби и в съответствие с целта на закона.
Съдът е счел, че КЗЛД правилно е приела за приложимо и целесъобразно налагането на корективните мерки спрямо администратора на лични данни Агенция по вписванията, разпоредени в т.1 -т.10 от диспозитива на решението на надзорния орган.
Съдът е намерил, че няма законова пречка едновременно с прилагането на принудителни административни мерки- разпореждания по реда на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. относно защитата на физическите лица във връзка с обработването на личните данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент за защита на данните, ОРЗД, Регламента) и Закона за защита на личните данни /ЗЗЛД/, да се потърси от администратора на лични данни и административнонаказателната му отговорност по ЗАНН и да се наложи имуществена санкция. Според съда председателят на КЗЛД е потърсил административнонаказателна отговорност на Агенцията с издаване на наказателно постановление,но двете производства не са обвързани помежду си, като от една страна издателите на актовете /ИАА и НП/ са различни по своята правна същност, а от друга страна делата се развиват по различен процесуален ред и пред различни съдилища.
Относно дадения от АО срок за изпълнение на разпорежданията съдът е намерил, че определения общ срок в размер на 6 месеца за изпълнение на разпорежданията е достатъчно дълъг, с оглед на което администратора да има време в посочения период да организира изпълнението им.
АССГ е посочил, че в рамките на своите правомощия съгласно чл.58 §2 от Регламента и във основа на бездействието на администратора е приет и гласуван на заседание на КЗЛД този дълъг срок за изпълнение, като КЗЛД е взела предвид че Регламента е приет на 24 май 2016г. от ЕП и Съвета, като е даден две годишен период да се хармонизира защитата на основните права и свободи на ФЛ по отношение на дейностите по обработване на лични данни и да се осигури свободното движение на лични данни между държавите членки, през който период АВп е бездействала, дори и след влизане в сила на 23.05.2018г. на Регламента, а е започнала да действа едва след доклада на сметната палата.
Решението на АССГ е правилно като краен резултат.
По делото не е спорно, че Агенция по вписванията е администратор на лични данни по см. чл.4, §7 ОРЗД, и че в това й качество на Агенцията е извършена проверка от надзорния орган на основание Заповед №РД-15-309 от 24.08.2021г. на председателя на КЗЛД във вр. с постъпил в КЗЛД Одитен доклад на Сметната палата „Ефективност на организацията и контрола на дейностите на водене и съхраняване на поддържаните от Агенцията по вписванията регистри", обхващащ периода 01.01.2017г. - 30.12.2019г., и решение на КЗЛД от Протокол №35/17.08.2021г., по спазване и прилагане на Регламент (ЕС) 2016/679 и ЗЗЛД.
Проверката е завършила с Констативен акт рег.Инд. ППН-02-505/19.10.2021г., с който проверяващия екип е предложил на КЗЛД на осн. чл.58, §2, буква „г" от Регламент (ЕС) 2016/679 да разпореди на Агенция по вписванията, в качеството й на администратор на лични данни, да предприеме спешни действия, подробно описани в девет пункта. Предложено е на чл.58, §2, буква „и" от Регламент (ЕС) 2016/679, КЗЛД за наложи на администратора на лични данни - АВп имуществена санкция съгласно чл.83 от Регламента или алтернативно да състави Акт за установяване на административните нарушения и наказания за продължавано нарушение, като за начална дата се счита получения в КЗЛД одитен доклад на сметната палата-16.08.2021г.
Констативният акт е разгледан на заседание на КЗЛД на 27.10.2021г., обективирано в протокол №44, като е предложен проект за решение : да се приеме КА с направените допълнения и в 7-дневен срок да се изискат допълнителни документи от АВп.
В КЗЛД е постъпило становище от началник отдел КАНП относно отправени допълнителни искания към АВп, в което се сочи,че АВп не е изпратила допълнителни документи и становище, и смятат че са представили всичко с което разполагат на представен диск.
На заседание на КЗЛД на 17.11.2021г., обективирано в протокол №47 е определен шестмесечен срок за разпорежданията, изложени в КА, след което АВп да представи относими доказателства за изпълнението им.
Решение №ПНМД-01-62/21.12.2021г. е издадено на основание чл.58, §2, буква „г" във вр. с чл.57, §1, буква „а" от ОРЗД, и с него е разпоредено на АВп, в качеството й на администратор на лични данни:
1.Да извърши нов анализ на риска по отношение на правата и свободите на физическите лица при обработването на техните лични данни от Агенцията по вписванията, като осигури непрекъснатост и ефективност на процеса по управление на риска в Агенцията и да предприеме действия за своевременно идентифициране на рисковете, въвеждане на необходимите контролни дейности за тяхното управление, както и ред и процедури за постоянно наблюдение и докладване.; 2.Да извърши оценка на въздействието върху защитата на личните данни, като се вземат предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата на лица, които данни се обработват и до които се дава достъп в публичната част на регистрите.; 3.Да предприеме действия за въвеждане на подходящи технически и организационни мерки при обработване наличните данни.; 4.Да преразгледа и допълни политиките за поверителност на Агенцията по вписванията, като посочи конкретните срокове за съхранение на личните данни, както и получателите или категориите получатели на лични данни за всеки от регистрите.; 5.Да приеме вътрешни правила за размножаване и разпространение на документи.; 6.Да осигури защитата на личните данни на физическите лица в Търговския регистър и регистърът на юридическите лица с нестопанска цел и прекратяване на практиката за публикуване на документи с лични данни в публичната част на регистрите.; 7.Да предприеме необходимите технически и организационни мерки, които не позволяват ЕГН/ЛНЧ да е единственият идентификатор за предоставяне на услуги по електронен път.; 8.Да поддържа данните, обработвани от Агенцията по вписванията, в точен и актуален вид (нашите са в пълен хаос - вж Перипетии по заличаване възбраната на КПКОНПИ и на исковата им молба, бел. блогър, 16.06.2024); 9.Да прекрати използването на Декларация - приложение 2 към Инструкция за мерките и средствата за защита на личните данни, събирани, обработвани, съхранявани и предоставяни от Агенцията по вписванията.; 10.Да осигури ефективно прилагане на принципите за защита на данните: От съществено значение е необходимите гаранции за защита на данните да бъдат предвидени от АВ още на етапа на разработване на техническата спецификация от обществени поръчки за описаните по-горе дейности и изискванията към участниците, като впоследствие тези гаранции бъдат интегрирани и в процеса на обработване. С цел повишаване на съответствието с ОРЗД, следва силно да се насърчават потенциални кандидати, които вече са внедрили система за защита на информационната сигурност в своята организация и използват съвкупност от организационни и технологични решения, дефинирани в НМИМИС и ISO 27001, като в допълнение са надградили тези методи за сигурност посредством мерки за осигуряване неприкосновеността на личните данни по методите в ISO 27701. Стандарта ISO/IEC 27701 съдържа най-всеобхватната рамка от мерки за осигуряване неприкосновеността на информацията и гарантира, че потенциалния кандидат е привел дейността си и дейностите по обработване на лични данни в съответствие със законовата рамка, спазва приложимото законодателство по отношение на личните данни и осигуряване на мрежова информационна сигурност.
Посочено е, че Разпореждането следва да бъде изпълнено в 6 (шест) месечен срок, считано от датата на получаването му, като за изпълнението му следва писмено да уведоми в 7-дневен срок КЗЛД и да се предоставят относими доказателства.
Спорният по делото въпрос е относно упражнените правомощия на надзорния орган по чл.58, §2, б."г" ОРЗД, според който текст всеки надзорен орган има всички от посочените по-долу корективни правомощия: г) да разпорежда на администратора или обработващия лични данни да съобразят операциите по обработване на данни с разпоредбите на настоящия регламент и, ако е целесъобразно, това да стане по указан начин и в определен срок, приложени в конкретния казус от КЗЛД предвид горепосочените факти, чрез разпореждане.
Видно от съдържанието на посочената разпоредба, определеният начин и срок за изпълнение на разпореждането според ОРЗД е по преценка на надзорния орган и се определя от него по целесъобразност предвид особеностите на конкретния случай. Това означава, че контролът на съда върху акта на надзорния орган по прилагане на корективните правомощия се изчерпва в обхвата на законосъобразност на упражненото правомощие.
В този смисъл правилно първостепенния съд е приел, че атакувания АА е издаден от компетентен орган, в изискуемата форма и без да са налице съществени нарушения на административнопроизводствените правила.
По отношение процесния казус корективните правомощия на надзорния орган са приложени при законосъобразно проведено производство по реда на чл.10, ал.2, т.1 от ЗЗЛД и чл.12, ал.1 и ал.4 ЗЗЛД, а именно с осъществен контрол чрез избран установен от закона метод- извършена проверка по инициатива на Комисията, която проверка в случая е завършила с Констативен акт рег.Инд. ППН-02-505/19.10.2021г., каквото е изискването на чл.12, ал.7 ЗЗЛД.
Констативният акт е разгледан на заседания на Комисията, проведени съобразно правилата на Глава втора, Раздел IV от Правилник за дейността на комисията за защита на личните данни и на нейната администрация, в което производство е дадена възможност на администратора да представи доказателства във вр. с относимите обстоятелства, визирани в КА, и производството е приключило с акт на надзорния орган по чл.46, вр. чл.47, ал.1, т.2 от Правилника, който е съобщен на адресата по реда на АПК.
Споделя се извода на АССГ, че оспорения акт е постановен в съответствие с приложимите материалноправни разпоредби.
Съгласно чл.37, ал.1 АПК доказателства в производството по издаване на индивидуален административен акт могат да бъдат данни, които са свързани с факти и обстоятелства от значение за правата или задълженията или законните интереси на заинтересованите граждани или организации и са установени по реда, предвиден в този кодекс.
В процесното административно производство, проведено по реда на чл.12, ал.1 и ал.4 ЗЗЛД, релевантните факти се установени чрез извършване на проверка, резултатите от която се обективирани в официален документ-констативен акт. В същия се съдържат данни относно неизпълнение на задължения по ОРЗД от АвП относно защитата на личните данни, обработвани от Агенцията в качеството й на администратор на лични данни, в т.ч.:
-непредприемане действия за извършване на оценки на въздействието върху защитата на лични данни предвид съставения и оповестен списък на сайта на КЗЛД в изпълнение на чл.35, §4 ОРЗД; не са приети подходящи политика за защита на личните данни, с които да се отговори на рисковете и проблемите и да включват подхода и действията за постигане на целите и изискванията на Регламента; до м. юни 2020г.-четири месеца след като е започнало приложението на ОРЗД, АВп не е предприела действия за въвеждане на подходящи организационно-технически мерки при обработване на личните данни,като предприетите действия не са своевременни и ефективни, тъй като не са изпълнени всички изисквания на Регламента, с които да се осигури адекватно и целесъобразно управление на рисковете за правата и свободите на физическите лица.
-неосигурено адекватно и целесъобразно управление на рисковете за правата и свободите на ФЛ, произтичащи от обработването на личните им данни;
-неизвършване оценка на въздействието по отношение правата и свободите на ФЛ;
-непосочване в политиките на поверителност на АВп конкретните срокове за съхранение на лични данни, както и получателите или категориите получатели на лични данни за всеки от регистрите;
-липса на приети вътрешни правила за размножаване и разпространение на документи;
-необезпечена сигурност на личните данни на лицата в ТР и РЮЛНЦ.
-непредприемане на ефективни технически и организационни мерки за защита на личните данни и за гарантиране спазването принципите и изискванията на ОРЗД.
-непредприемане на технически и организационни мерки единният граждански номер да не е единственият идентификатор, позволяващ достъп до личните данни на ФЛ при извършване на справка чрез отдалечен достъп или на място в Агенцията.
-установена неточна база данни в Имотния регистър (по отношение на нашите имоти е пълен хаос - вж Перипетии по заличаване възбраната на КПКОНПИ и на исковата им молба, бел. блогър, 16.06.2024);
-в разрез с изискванията за поверителност на Регламент (ЕС) 2016/679 е предвидена нова декларация- приложение 2 към Инструкция за мерките и средствата за защита на личните данни, събирани, обработвани, съхранявани и предоставяни от АвП от 31.08.2021г., според която служителят няма да разгласява лични данни „с изключение на тези, обработвани от него в изпълнение на служебните му задължения, достъпни за трети лица".
Установените факти в КА относно нарушени разпоредби на ОРЗД не са опровергани в хода на административното производство и в проведеното съдебно производство пред първоинстанционния съд.
Горното, предвид изпълнението на задачите на надзорния орган по чл.57 §1, б."а" ОРЗД, обосновава необходимостта този орган да приложи корективните си правомощия по чл.58 ОРЗД, като съобрази особеностите на конкретния случай спрямо Агенцията по вписванията в качеството й на администратор на лични данни по чл.7, т.4 ОРЗД и предвид законодателната уредба, уреждаща целите, структурата, задачите и функционирането на Агенцията.
Както се отбеляза по-горе изпълнението на задачата по прилагане на ОРЗД е извършена по начин, който е имплементиран в диспозитива на акта на надзорния орган по чл.58, §1, б."г" ОРЗД, чрез разпореждане на администратора на лични данни да извърши определени действия. Какви да са тези действия, по какъв начин и в какъв срок да се извършат, предвид съдържанието на приложимата разпоредба на чл.58, §1, б."г" от Регламента, е въпрос по целесъобразност и не подлежи на съдебен контрол.
Евентуалната невъзможност за изпълнение от страна на администратора на лични данни на разпоредените действия в т.ч. в определения срок поради обективни причини, включително от законов характер, е въпрос на последващо правоотношение между надзорния орган и този администратор, възникнало след писмено уведомяване на органа относно изпълнение на разпореждането по чл.58, §1, б."г" ОРЗД, в което уведомление може да се обоснове наличието на определен вид препятствия. Няма пречка за предприемане на съвместни законодателни или др. инициативи по съответния ред за корекция на действащата правна уредба, регламентираща регистърните производства или всяка друга дейност, която промяна би могла да осигури спазването на регламента от Агенцията, и е в обществен интерес.
На следващо място законосъобразен е извода на съда, че административното производството по прилагане на корективните правомощия на надзорния орган по чл.58, §1, т.2 б"г" ОРЗД се провежда независимо от това по прилагане корективните правомощия по чл.58, §1, т.2, б."и" ОРЗД, предвид разпоредбата на чл.87 ЗЗЛД вр. чл.83 ОРЗД.
Прилагането на процесните корективни правомощия от надзорния орган е в изпълнение целите по т.78 от Прембюла на ОРЗД във вр. със задачата на надзорния орган по чл.57, §1, б."а" ОРЗД и осигуряване спазване принципите по Глава II ОРЗД.
Това налага извод за законосъобразност на обжалваното решение на АССГ.
Не се кредитират доводите в касационната жалба. Съдът, макар неправилно изследвайки въпроси, касаещи оперативната самостоятелност на АО, е достигнал до правилен краен резултат, основан на неопроверганите по делото факти относими към спора, а именно: установени нарушения на ОРЗД от конкретния администратор на лични данни. Без значение за спора е дали този администратор е обработвал данните съвместно с друг администратор, защото нарушенията, изразени в действия и бездействия са установи именно по отношение на АвП в това й качество, поради което именно спрямо този субект (обект на проверката) е следвало да приложат корективните мерки в конкретното административно производство.
Противно на изложеното от касатора не се установяват допуснати от административния съд съществени процесуални нарушения. В съответствие с разпоредбата на чл.168, ал.1 от АПК съдът е извършил проверка на законосъобразността на оспорения акт. Доказателствената тежест в процеса е разпределена съобразно изискванията на чл.170 от АПК, при проявена от съдебния състав процесуална активност съгласно чл.171, ал.4 от АПК. Решението на съда е постановено след събиране на допустимите и относимите към предмета на съдебното производство доказателства и след тяхното обсъждане, включително и доводите на страните. Правилно съдът е оставил без уважение искането за допускане на гласни доказателствени средства в СЗ на 28.02.200г., предвид характера на производството пред АО, предвидените способи за събиране на доказателства в хода на това производство, както и характера на обективиращия ги документ.
Решението на АССГ е обосновано. Крайният извод на съдебния състав кореспондира със събраните по делото доказателства и е формиран след тяхната правилна преценка.
На основание горното настоящият съдебен състав приема, че при постановяване на обжалваното съдебно решение не са налице сочените от касатора нарушения по чл.209, т.3 от АПК, поради което същото следва да бъде оставено в сила.
Разноски в настоящото производство не са претендирани от ответната страна и такива не се присъждат.
По изложените съображения Върховният административен съд, Пето отделение
РЕШИ:
ОСТАВЯ В СИЛА решение №1938/23.03.2022г., постановено по адм.д. №619/2022г. на Административен съд София-град.
РЕШЕНИЕТО не подлежи на обжалване.
Вярно с оригинала, | Председател: | /п/ ДОНКА ЧАКЪРОВА |
секретар: | Членове: |
/п/ ЕМАНОИЛ МИТЕВ
Обратно към Хаос в организацията на дейността по вписванията
.
|
No TrackBacks
TrackBack URL: http://softisbg.com/MTOS-4.32-en/MT-5.2.10/mt-tb.cgi/2792
Leave a comment