Комисията за защита на личните данни оправи предупреждение до финансова институция (Ф.И.)за нарушение на чл. 5, § 1, б.”б” от ОРЗД при операция по обработване на лични данни, а именно извършено допълнително обработване на данни по начин несъвместим с целите, за които са събрани.
При извършена проверка по жалба на С.Т. комисията установява, че Ф.И. като кредитна институция по смисъла на чл. 2, ал. 1 от Закона за кредитните институции има качеството на администратор на лични данни във връзка с осъществяваната от нея дейност, вкл. че обработва лични данни на жалбоподателката, именно в контекста на тази дейност – като лице посочено за контакт от нейния син К.Т. по повод сключен от него договор за кредит 03.07.2017 г. с Ф.И. и във връзка със заявено от нея искане в качеството ѝ на упълномощено лице на сина ѝ, за предоставяне на справка съдържаща информация за оставащите вноски по договора за кредит, сключен от него и погасяване на забавени вноски в размер на 1655.58 лева.
Предмет на спора между страните е обработването на предоставените на 04.05.2018 г. лични данни на С.Т., за цели различни от заявените (предоставяне на справка за оставащи вноски и погасяване на такива в качеството ѝ на упълномощено лице): регистрирането ѝ като клиент на Ф.И.
От събраните доказателства и предоставена информация се установява, че е налице сключен договор за кредит между Ф.И. и сина на жалбоподателката, т. е. последния е клиент на Ф.И. Погасяването на вноски по кредита, страна по който е нейния син и получаването на информация относно оставащите вноски, по същество представляват задължение и право на кредитополучателя, произтичащо от сключения с Ф.И. договор. Изпълнението на задълженията и упражняването на правата по този договор независимо от това по какъв начин ще се квалифицират от Ф.И. – като операция, услуга и т. н., се упражняват в случая от лице, което има качеството на пълномощник. В този смисъл клиент на Ф.И. е кредитополучателя – сина на С.Т., с когото Ф.И. има сключен договор за кредит. Това следва от т. 5, т. 6, т. 13, т. 17 от представените правила за откриване, водене и закриване на банкови сметки (според Ф.И. няма открита сметка за усвояване и погасяване на кредита, но посочените правила са приложими към заявената от С.Т. услуга, като се цитира т. 17 ); Раздел III от ОУ. Различен извод не се налага и от въведените със ЗМИП мерки, с изпълнението на които администратора мотивира основно действията по регистрация на жалбоподателката като клиент на Ф.И. и снемането на копия от документа ѝ за самоличност и пълномощното (вътрешните правила според администратора въвеждат изискванията на закона). Като задължено лице по чл. 4, т. 1 от закона, администраторът следва да прилага правилата по отношение на клиентите, включително техните пълномощници, законни представители и т.н. Съгласно § 1, т. 9 от ДР на закона, ”клиент” е всяко ФЛ или ЮЛ или друго образование, което встъпва в делови взаимоотношения или извършва случайна операция или сделка с лице по чл. 4. Според дадените дефиниции, ”деловото взаимоотношение” се определя като стопанско, търговско или професионално взаимоотношение, което е свързано с дейността по занятие на задължените институции или по ЗМИП и към момента на установяването на контакт се предполага, че то ще има за елемент продължителност (§1, 3 от ДР на ЗМИТ), а ”случайна операция или сделка” – като всяка такава свързана с дейността на лице по чл. 4 от ЗМИП, която се извършва извън рамките на установени делови взаимоотношения (§ 1, т. 19 от ДР на ЗМИТ). От горното следва, че закона изисква идентификация и на упълномощените лица безспорно, но не третира същите като клиенти по смисъла на закона – в този смисъл чл. 59, ал. 1 относно идентификацията на клиенти – ЮЛ и техните пълномощници, чл. 65, чл. 67 от ЗМИП, вкл. представените правила на администратора, приети в изпълнение на отм. ЗМИП – т. 4.2, които изискват идентифициране на пълномощниците на клиента.
От събраните данни комисията достига до извод, че Ф.И. е нарушила залегналия в чл. 2, ал. 2, т. 2 от ЗЗЛД (чл. 5, § 1, б.”б” от ОРЗД) принцип на ограничение на целите, като е обработил допълнително личните данни на С.Т. по начин несъвместим с целите, за които са събрани данните, като е регистрирал същата като клиент на Ф.И., тъй като няма заявено искане от С.Т. за регистрирането ѝ клиент, няма нормативно установено задължение за администратора за извършване на подобно действие и не се установява наличието на което и да било от останалите предвидени условия за допустимостта на това обработване, вкл. за целите законен/легитимен интерес на администратора, тъй като проверката по ЗМИП (в случай, че такава се изисква) ще бъде извършена и по отношение на С.Т., но последната като пълномощник на клиента – нейния син.
За установеното нарушение комисията отправя официално предупреждение до администратора – финансова институция за извършеното от него нарушение на чл. 5, § 1, б.”б” от ОРЗД при операция по обработването на личните данни на С.Т., а именно извършено допълнително обработване на данните ѝ по начин несъвместим с целите, за които са събрани те.