При проверка по жалба Комисията за защита на личните данни глоби с 1000 лв. учебно заведение за нарушение на разпоредбите на Общия регламент за защита на данните, изразяващи се в обработка на лични данни на ученик без основание.
От събраните по преписката доказателства Комисията установи, че през учебната 2017/2018 г. Н.Е. е била ученичка в училището. От предоставените доказателства е видно, че между училището и финансова институция е подписана спогодба за разкриване на банкови сметки и карти (пластики) на 12.02.2018 г.. Установено е, че декларации с които се изисква съгласието от родителя на непълнолетно дете са предоставени на 07.03.2018 г. на учениците. Безспорно е установено по административната преписка, че служители на финансовата институция на 15-16.03.2018 г. са посетили учебното заведение, за да бъдат раздадени индивидуалните договори на учениците, които следва да бъдат подписани от техните родители. От представените доказателства е видно, че договорът за платежна сметка и договорът за издаване на дебитна карта съдържат трите имена и единния граждански номер на жалбоподателката, като същите са с дата 20.02.2018 г. От събраните в административното производство доказателства е видно, че данните са предоставени от училището на финансовата институция по електронен път в периода от 14.02.2018 до 20.02.2018 г. (датата на извършване на нарушението от стана на училището). От хронологията на извършените действия следва, че данните са предоставени от училището на финансовата институция преди да е изискано и получено съгласието от родителя на ученика от една страна и от друга страна, финансовата институция е използвала данните, подготвяйки договор за платежна сметка и договор за издаване на дебитна карта.
Целта за разкриването на банкови сметки на учениците – стипендианти, а именно улесняване на процеса на получаване на стипендия. Следва също така да се има предвид, че е подготвена декларация за съгласие за обработване на личните данни на учениците – стипендианти от училището, макар и на един.
Съгласно легалната дефиниция, посочена в чл. 2, ал. 1 от Закона за защита на личните данни (ЗЗЛД), респективно чл. 4, т. 1 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните), който се прилага от 25.05.2018 г., лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци, тъй като чрез тях лицето може безспорно да бъде индивидуализирано.
Съгласно ЗЗЛД, респективно Регламент (ЕС) 2016/679 обработването на лични данни от администратори на лични данни, както в публичната, така и в частната сфера е законосъобразно, ако е налице някое от правните основания, изчерпателно изброени в чл. 6, параграф 1 от Регламент (ЕС) 2016/679: субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели; обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор; обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора; обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице; обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора; обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
Съгласието е едно от основанията за събиране и обработване на лични данни. Независимо от факта, че то е посочено на първо място, важно е да се знае, че всички правни основания са алтернативни и равнопоставени, като същите не са подредени в йерархична зависимост. Наличието на което и да е от тях прави обработването законосъобразно, при условие, че са спазени и другите изисквания на регламента.
От събраните доказателства е видно, че между финансовата институция и учебното заведение е налице договорно основание за обработване на личните данни, съгласно разпоредбата на чл. 4, ал. 1, т. 3 от ЗЗЛД, респективно чл. 6, пар. 1, б. „б“ от ОРЗД и по този начин за Ф.И. е налице правно основание за обработване на личните данни.
От събраните по административната преписка доказателства следва, че личните данни са предоставени по електронен път от училището на Ф.И. в периода 14.02.-20.02.2018 г., а декларациите, с които се изисква съгласие от родителите на непълнолетни деца са предоставени на 07.03.2018 г. От представените доказателства учебното заведение не е предоставило, правила – технически и организационни мерки относно обработването на лични данни на учениците в хипотезата на предоставянето им от страна на учебното заведение на банката за откриване на банкова сметка на ученик, по която да се изплащат стипендии. В изготвените от училището образци на декларации за информирано съгласие на правоимащия ученик и неговия родител, същите предоставени на учениците след откриването на банкова сметка на жалбоподателката, също не е разписан начина на обработване – събиране и употреба на три имена и ЕГН на учениците за посочената цел.
Договорът за платежна сметка и договорът за издаване на дебитна карта са с дата 20.02.2018 г., т. е личните данни са предоставени от У.З. на Ф.И. без да е налице изрично съгласие от страна на субекта на данни.
Предвид обстоятелството, че в конкретния случай, че не е налице нито една от алтернативно посочени хипотези в чл. 4, ал. 1 от ЗЗЛД, респективно чл. 6, апр. 1 от Регламент 2016/679 следва, че личните данни на жалбоподателката са предоставени от училището на финансовата институция в периода от 14.02.-20.02.2018 г. за откриване на сметка и издаване на дебитна карта в нарушение на чл. 4, ал. 1 от ЗЗЛД, респективно чл. 6, апр. 1 от Регламент 2016/679, без наличие на условие за допустимост на обработването. За извършеното нарушение Комисията е наложила глоба на училището в размер на 1000 лв.