РЕШЕНИЕ
№ 3006/2011г.
гр. София, 23.11.2011г.
ОТНОСНО: Искане с рег.№ 3006/04.07.2011г. от “АЛКАТЕЛ – ЛУСЕНТ БЪЛГАРИЯ” ЕООД за получаване на разрешение на основание чл. 36а, ал. 5, т.2 и ал.6 от Закона за защита на личните данни (ЗЗЛД) за трансфер на лични данни към дружества от мултинационалната корпоративна група “Хюлет Пакард” (“Hewlett-Packard”), установени в трети държави: Сингапур, Филипини, Мароко, Индия, Малайзия, Китай, Австралия, Бразилия и Мексико
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков, на редовно заседание, проведено на 16.11.2011г. (Протокол № 46), разгледа искане с рег.№3006/04.07.2011г. от “АЛКАТЕЛ – ЛУСЕНТ БЪЛГАРИЯ” ЕООД, дъщерно дружество накорпоративната група „Алкател-Лусент Сървисиз Интернешънъл”, Холандия за получаване на разрешение на основание чл. 36а, ал. 5, т.2и ал.6 от Закона за защита на личните данни (ЗЗЛД) за трансфер на лични данни към дружества откорпоративна група“Хюлет Пакард” (“Hewlett-Packard”), установени в трети държави: Сингапур, Филипини, Мароко, Индия, Малайзия, Китай, Австралия, Бразилия и Мексико. Искането е подадено чрез пълномощник – адв. И.В.В., но не е приложено пълномощно, като в същото време искането е потвърдено с подписите на двама от управителите на дружеството – г-н Л.Ж.М.П. и г-жа Е.М.К., които имат право да го представляват заедно. Във връзка с това, лицата, подали искането за трансфер на данни в трети държави, могат да представляват дружеството пред Комисията за защита на личните данни, във връзка с конкретното искане за трансфер.
Съгласно представената информация в искането за издаване на разрешение за трансфер на лични данни към трети държави, “АЛКАТЕЛ – ЛУСЕНТ БЪЛГАРИЯ” ЕООД е част от международната група на „Алкател – Лусент”, на която много често при обработването на лични данни за целите на човешките ресурси или работа с доставчици, клиенти или подизпълнители, се налага предоставяне на лични данни на трети лица от и извън групата на „Алкател – Лусент”. Предоставянето е в резултат на решение за възлагане на дружествата от групата „Хюлет Пакард” да поддържат корпоративните системи на дружествата от групата „Алкател – Лусент”.
Първоначално „Ентърпрайс Сървисис”, Франция, SAS и „Алкател-ЛусентИнтернешънъл” са сключили Споразумение за услуги № 7065485 от 20.10.2009г. Поради факта, че не всички получатели на лични данни са установени в Европейския съюз и Европейското икономическо пространство, е сключено Споразумение за промени и трансфер на рамкови данни между „Ентърпрайс Сървисис”, Франция, SAS, Compagnie Financiere Alkatel-Lucent и определени клонове на „Хюлет Пакард”(“Hewlett-Packard”) от 24.05.2010 г., като“АЛКАТЕЛ – ЛУСЕНТ БЪЛГАРИЯ” ЕООД се присъединява към него с Допълнително споразумение за присъединяване от 21.01.2011г. Във връзка с този акт, страни по споразумението към настоящия момент са: 1.„Ентърпрайс Сървисис”, Франция, SAS; 2.„Алкател-ЛусентИнтернешънъл”;3.Определени филиали на „Хюлет Пакард”; 4.Определени филиали на „Алкател – Лусент” ( вкл. “АЛКАТЕЛ – ЛУСЕНТ БЪЛГАРИЯ” ЕООД).
Във връзка с изложеното по-горе, КЗЛД е сезирана с искането да бъде разрешен трансфер на данни от “АЛКАТЕЛ – ЛУСЕНТ БЪЛГАРИЯ” ЕООД към филиали (клонове) от групата „Хюлет Пакард” – получатели на данните, установени в следните трети държави, в които ще се извърши трансферът на данни: Сингапур, Филипини, Мароко, Индия, Малайзия, Китай, Австралия, Бразилия и Мексико.
· Субекти на данни: служители (нает персонал по трудов, граждански договор или по договор за управление) и контрагенти ( клиенти, доставчици и др.);
· Категориите данни, чийто трансфер се иска, включват: Име; е-мейл адрес; месторабота и местоположение; отдел; ръководител; телефон; лица, с които се провежда разговор и продължителност; генерирани индивидуализиращи данни от системите на „Алкател Лусент”; данни за използвано оборудване и технология.
· Целите, за които личните данни ще бъдат предоставяни, са: Предоставяне на технологични услуги по поддръжка, изискващи индивидуализиране на личността и потребностите на притежателите на лични данни, с цел отчитане и потвърждаване на предоставени услуги.
· Срок на обработване на данните: до 01.12.2019 г.
При анализа на изложеното в искането, както и приложените към него документи, се установи следното:
“АЛКАТЕЛ – ЛУСЕНТ БЪЛГАРИЯ” ЕООД е вписано в Търговския регистър при Агенцията по вписванията с ЕИК130345843, със седалище и адрес на управление: гр. София, общ. Столична, бул. “Цариградско шосе” № 115Е-115М, сграда „Б”, ет. 8 и предмет на дейност: производство; продажба; инсталация и поддръжка на телекомуникационно оборудване, продукти, системи и всякакъв вид съставни части; провеждане на обучение и свързаните с това услуги, във връзка с изброените дейности, включително, но не само, аутсорсингови услуги и услуги по управление на проекти; всякаква промишлена и търговска дейност, включително търговско представителство и предоставяне на всякакъв видове услуги, както и всяка друга дейност, която не е забранена от закона.
Предоставянето на данни от “АЛКАТЕЛ – ЛУСЕНТ БЪЛГАРИЯ” ЕООД към филиали (клонове) от групата „Хюлет Пакард” в качеството им на обработващи данните ще се осъществява съгласно “Споразумение за трансфер на рамкови данни” сключен на 21.01.2011г., за който са използвани стандартни договорни клаузи съгласно Решение на Европейската комисия № 2010/593/ЕО от 05.02.2010г. относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета. Страните по договора са подробно описани в Приложение №1 към Стандартните договорни клаузи, неразделна част от цитирания договор, като износители на данни са: „Алкател-ЛусентИнтернешънъл” и филиалните му компании ( вкл. “АЛКАТЕЛ – ЛУСЕНТ БЪЛГАРИЯ” ЕООД), а вносители на данните (обработващи данни) са следните филиали на групата „Хюлет Пакард”: 1. Hewlett-Packard Singapore Pre Ltd.(„HP Singapore”); 2. Hewlett-Packard Philippines Corporation („HP Philippines ”); 3. Hewlett-Packard SARL („HP Morocco”); 4.Hewlett-Packard GlobalSoft Private Limited („HP India”); 5. Hewlett-Packard(M) Sdn . Bhd. („HP Malaysia”); 6. China Hewlett-Packard Co. Ltd („HP China”); 7. HP Enterprise Services Australia Pty Ltd („HP Australia”); 8. Hewlett-Packard Brasil Ltd („HP Brasil”); 9. Hewlett-Packard Mexico („HP Mexico ”).
Споразумението за трансфер на рамкови данни е структурирано, както следва:
1. Учредяване на Договор за процесорен модел: определя правата, задълженията и отговорностите на износителя на данните – „Алкател-ЛусентИнтернешънъл” и филиалните му компании и на вносителите на данните (обработващи данните) – филиали на групата „Хюлет Пакард”, подробно описани по-горе;
2. Клаузи 1-11: Определят обхвата на приложение на стандартните договорни клаузи при предоставяне на данни от дружествата – администратори на лични данникъм обработващите лични данни:Определения на основните термини; Подробности по трансфера; Клауза в полза на бенефициент трета страна; Задължения на износителя на данните; Задължения на вносителя на данните; Отговорност; Посредничество и юрисдикция; Сътрудничество с надзорните власти; Управляващо законодателство-правото на държавата, в която е установен износителя на данните; Вариация (изменение) на договора;Задължение след приключване на услугите по обработване на личните данни.
3. Приложение №1: Определя износителите на данните; вносителите на данните; субектите на данни; категории данни; специални категории данни; операции по обработка.
4. Приложение № 2: Регламентира стандартните договорни клаузи за техническите и организационните мерки за защита, приведени в действие от вносителя на данни в съответствие с клаузи 4d и 5c, които не са изрично описани.
5. Приложение № 3: Закони за защита на данните;
6. Приложение № 4: Допълнително споразумение за присъединяване на “АЛКАТЕЛ – ЛУСЕНТ БЪЛГАРИЯ” ЕООД от 21.01.2011г.
При извършената служебна справка в Регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД, се установи, че дружеството е подало заявление за регистрация с вх.№1337/15.02.2010г. като администратор на лични данни и е вписано в регистъра с идентификационен номер 888. “АЛКАТЕЛ – ЛУСЕНТ БЪЛГАРИЯ” ЕООДе заявило поддържането на 2 броя регистри: „Човешки ресурси” и „Посетители”. Не е заявен трансфер на данни в трети държави и по двата регистъра.
Регистър “Човешки ресурси”: включва лични данни относно персонал и кандидати за работа на администратора – име, паспортни данни, ЕГН, месторождение, адрес,телефон, образование, семейно положение, трудова дейност, медицинско свидетелство;
Регистър “Посетители”: включва лични данни относно контрагенти (клиенти, доставчици) и посетители на офиса на администратора – име, паспортни данни, ЕГН, адрес, цел на посещението и лицето, което е посетено.
Трансферът на данни засяга информацията, поддържана в двата регистъра „Човешки ресурси” и “Посетители”, обявени пред Комисията за защита на личните данни. При извършената служебна проверка се установи, че посочените в регистрите „Клиенти” и “Доставчици” лични данни съвпадат със заявените за трансфер.
С писмо рег. №3006/26.07.2011г. Комисията за защита на личните данни е изискала дружеството да представи:
1. Превод на български език на стандартните договорни клаузи между корпоративните групи „Алкател-Лусент” и „Хюлет Пакард”;
2. Информация, относно:
2.1 Характера на данните, предмет на искания трансфер;
2.2 Срок на обработване на данните;
2.3Целта на предоставянето на личните данни;
2.4 Третата държава, в която ще бъде извършен трансфера на данни.
В изпълнение на указанията на КЗЛД с писмо от 05.08.2011г. в Комисията е постъпила допълнителна информация относно:
· Превод на български език на стандартните договорни клаузи между корпоративните групи „Алкател-Лусент” и „Хюлет Пакард”: същият е представен.
· Относно характера на данните, предмет на искания трансфер: име; емайл адрес, месторабота и местоположение, отдел, ръководител, телефон, лица, с които се провежда разговор и продължителност, генерирани индивидуализиращи данни от системите на „Алкател-Лусент”, данни за използвано оборудване и технология.
· Относно срока на обработване на данните: до 01.12.2019г.
· Относно целта на предоставянето на личните данни: За целитена предоставяне на технологични услуги по поддръжка, изискващи индивидуализиране на личността и потребностите на притежателите на лични данни, с цел отчитане и потвърждаване на предоставени услуги.
· Относно третата държава, в която ще бъде извършен трансфера на данни: Сингапур, Филипини, Мароко, Индия, Малайзия, Китай, Австралия, Бразилия и Мексико.
Поради факта, че предоставената от “АЛКАТЕЛ – ЛУСЕНТ БЪЛГАРИЯ” ЕООД допълнителна информация не дава изчерпателна яснота по искания трансфер на данни в трети държави и с цел откриване на административно производство по разглеждане на искането пред КЗЛД по Глава Шеста от Закона за защита на личните данни и на основание чл.34, ал.3, чл.35 и чл.36 от Административнопроцесуалния кодекс, с писмо рег. №3006/23.08.2011г. Комисията за защита на личните данни е изискала дружеството да представи в 7 /седем/ дневен срок от получаване на писмото:
1. Информация и доказателства относно предприетите организационни и технически мерки за защита на данните, във връзка с осъществяването на трансфера на данни;
2. Информация относно категориите физически лица, чиито данни ще бъдат предмет на искания трансфер, както и по кой съответен регистър, поддържан от администратора се иска извършването на трансфера/респективно конкретните заявени данни в него;
3. Информация относно това дали получателите на данните: определени филиали на „Хюлет Пакард” се явяват администратори или обработващи данни по искания трансфер.
В изпълнение на указанията на КЗЛД, с писмо от 03.11.2011г. в Комисията е постъпила допълнителна информация относно:
Относно предприетите организационни и технически мерки за защита на данните, във връзка с осъществяването на трансфера на данни. Предвидените технически и организационни мерки за защита на данните включват следните средства: 1. Програмно-апаратни; 2. Физически; 3. Организационни; 4. Нормативни.
Правилата за сигурност включват:
· Регистрите, до които ще имат достъп оторизирани служители са за целите на човешките ресурси, работа с доставчици, клиенти и подизпълнители.
· Съхраняването на информация се осъществява на специално определени физически и виртуални сървъри, а достъп до тях имат само специално оторизирани лица, снабдени с акаунти, паролии кодове за достъп до информационната система съхраняваща личните данни, в специално помещение със заключващ механизъм, като достъпът до данните е необходим за изпълнение на задълженията им.
· Допълнителни и специални мерки за защита: чрез криптиране на данните, както и използването на „защитна стена” – файъруол, която представлява специализиран софтуер, който проверява мрежовия трафик, преминаващ през него и съответно разрешава или забранява достъпа, съобразно това дали лицето е оторизирано.
· Достъпът е ограничен до служителите на „Хюлет Пакард”, които предоставят услуги в областта на поддръжката и чрез специален потребителски акаунт се създава механизъм за персонализирано идентифициране на всеки служител, който се опитва да стартира и да получи достъп до информационната система, както и да се установи дали всеки един служител е оторизиран;
· Достъп до данните ще имат поддържащият персонал на „Хюлет Пакард”, когато се отнася до специфични заявки от страна на служителите на „Алкател Лусент” за справяне с инциденти, по смисъла на Наредба №1 – непредвидимо обстоятелство, което би могло да засегне сигурността на данните, когато: 1. Служител на „Алкател Лусент” има проблем с отваряне на файл, а поддържащия персонал на „Хюлет Пакард” следва да го премахне; 2.При наличие на вирус в даден документ, поради необходимост да се проследи произхода на вируса, като всеки инцидент се регистрира по време на възникване, както и лицето, което докладва за него.И в двата случая, при отварянето на файл или документ от страна на поддържащия персонал на „Хюлет Пакард”, поемат задължението да не четат съдържанието, като процесът по отстраняването ще бъде потвърден от служител на „Алкател Лусент” в първия случай и с участието на лицето по сигурността – във втория случай.
· Достъпът до всяко използване на данните се записва на хост сървъра за срок от една година в съответствие с „Правилата за сигурност на Алкател Лусент”, което позволява персонална идентификация на всеки служител, който се опитва или получава достъп до данните в информационната система и установяване дали е оторизиран за съответното действие. При опит за непозволен достъп, системата автоматично отхвърля повторни опити за получаване на неоторизиран достъп. Лицето, отговорно за сигурността осъществява периодични проверки за спазване на правилата и мерките за отстраняване на нарушенията.
· Журнален запис. Създадена е система за регистриране на достъпа до регистрите – всеки достъп се регистрира. При използване на временни файлове, същите се унищожават веднага, след изпълнение на целите, за които се създават.
· Данните в регистрите се идентифицират, инвентаризират и съхраняват на място с ограничен достъп само за определени от администратора служители. Приетите процедури за създаване на архивни копия и за възстановяване на данни гарантират, че данните ще бъдат реконструирани в състоянието, в което са били по време на изгубването им, като те се съхраняват отделно от компютърното оборудване, обработващо данните. Носителите, съдържащи лични данни са криптирани, което гарантира, че данните не могат да бъдат променяни, изменяни или допълването им при трансферирането им.
· Личните данни няма да бъдат използвани за тестване на системите, а целият поддържащ персонал на „Хюлет Пакард” има задължение за конфиденциалност, което ги задължава да защитават данните на клиентите и да ги третират строго конфиденциално, съгласно политиката на дружеството.
· Служителите имат достъп до съдържанието на документите само при изключителни обстоятелства , където е строго необходимо да се позволи такъв достъп за предоставяне на услуги по отстраняването на заявените проблеми.
· На поддържащия персонал са поверени няколко компонента на корпоративната система, само и единствено, до които имат достъп и които поддържат, като правата за достъп се прекъсват с отстраняването на проблема.
· „Алкател-Лусент” бива уведомяван за всеки нов потребителски акаунт в месечен отчет, което не позволява неконтролиран достъп до лични данни.
· Не по-рядко от веднъж на месец се провежда редовна профилактика на компютърните и комуникационните средства, включваща, но не ограничена до проверка за: вируси, нелегално инсталиран или неоторизиран от дружеството софтуер, целостта на базата данни, архивиране на данни, актуализиране на системната информация и др.
Относно категориите физически лица, чиито данни ще бъдат предмет на искания трансфер, респ. по кой съответен регистър, поддържан от администратора се иска извършването на трансфера/респективно конкретните заявени данни в него: нает персонал по трудови, граждански договори или по договор за управление.
Относно това дали получателите на данните – определени филиали на „Хюлет Пакард” се явяват администратори или обработващи данни по искания трансфер: По силата на стандартните договорни клаузи между „Алкател Лусент” и „Хюлет Пакард”, уреждащи поддържането на корпоративните системи на дружествата от групата на „Алкател Лусент”, делегираните правомощия са ограничени до обработването на лични данни. Дружеството е натоварило „Хюлет Пакард”, по силата на сключения договор с функции по обработване на лични данни, като последното се задължава да извършва действията, включени в понятието „обработване на лични данни” при стриктно спазване на действащото в страната законодателство. Администраторът на лични данни „Алкател Лусент” е предоставил обработването им, като използваните лични данни не се съхраняват от обработващия „Хюлет Пакард” и се унищожават след употребата им при отстраняването на проблем, вирус или друг евентуален повод за използването им. „Хюлет Пакард” няма право да копира или възпроизвежда по какъвто и да е начин лични данни, до които има достъп, да запазва същите за себе си или да ги предоставя, разкрива под каквато и да е форма, на каквито и да е трети лица. „Хюлет Пакард” е осигурил всички необходими за изпълнението на договора технически и технологични мерки, осигурени от дружеството, за гарантиране неприкосновеността и запазването на личните данни при тяхното предаване по електронен път, когато такова се извършва.
Съгласно Директива № 95/46/EО на Европейския парламент и на Съвета, трансфер на лични данни в трети страни може да бъде осъществен, само ако въпросната трета държава предоставя адекватно ниво на защита на данните.
Предоставянето на лични данни от администратор, установен на територията на Република България към друг администратор на лични данни извън страната, се извършва по реда на Закона за защита на личните данни, като определящ критерий относно режима на трансфер на данни е държавата, в която ще бъдат предоставени данните.
На основание чл. 36а, ал. 5, т. 2 и ал.6 от ЗЗЛД, Комисията за защита на личните данни не извършва преценка на адекватността на нивото на защита на личните данни в третата държава в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че определени стандартни договорни клаузи осигуряват адекватно ниво на защита. В конкретния случай износителят и вносителят на данните са използвали Решение на Европейската комисия № 2010/593/ЕО от 05.02.2010г. относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета.
Във връзка с горното и на основание чл. 52, ал. 1 от Правилника за дейността на КЗЛД и на нейната администрация във връзка с чл. 36а, ал.5, т.2 и ал.6 от Закона за защита на личните данни, Комисията за защита на личните данни
РЕШИ :
1.Указва на администратора на лични данни “АЛКАТЕЛ – ЛУСЕНТ БЪЛГАРИЯ” ЕООД да актуализира информацията в регистри „Човешки ресурси” и „Посетители”, като заяви трансфер на данни за трети държави: Сингапур, Филипини, Мароко, Индия, Малайзия, Китай, Австралия, Бразилия и Мексико.
2. Разрешава на администратора на лични данни “АЛКАТЕЛ – ЛУСЕНТ БЪЛГАРИЯ” ЕООД, след актуализация на данните по т.1, да предоставя лични данни на физически лица – служители и контрагенти от регистър „Човешки ресурси” и регистър „Посетители” на дружества от корпоративна група “Хюлет Пакард” (“Hewlett-Packard”), установени в трети държави: Сингапур, Филипини, Мароко, Индия, Малайзия, Китай, Австралия, Бразилия и Мексико, в качеството им на обработващи данните, за срок до 01.12.2019г., в следния обем:Име; е-мейл адрес; месторабота и местоположение; отдел; ръководител; телефон; лица, с които се провежда разговор и продължителност; генерирани индивидуализиращи данни от системите на „Алкател Лусент”; данни за използвано оборудване и технология.
Решението на Комисията може да се обжалва пред Административен съд – гр. София в 14 (четиринадесет) дневен срок от получаването му.
ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
Венета Шопова /п/ |
Красимир Димитров /п/ |