СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
с рег. № № П-116/2015 г.; П-117/2015 г.; П-383/2015 г.
гр. София, 15.05.2015 г.
ОТНОСНО: Въвеждане на системата EthicsPoint Hotline във всички дружества от мултинационалната корпоративна група C.N.H.I.
Комисията за защита на личните данни (КЗЛД) в състав: Членове: Цанко Цолов, Цветелин Софрониев и Мария Матева на заседание, проведено на 12.05.2015г., разгледа преписки с вх.№№ П-116/08.01.2015г.; П-117/08.01.2015г. и П-383/15.01.2015г. от адв. Т., която отбелязва, че търговските дружества „А.Б.“ ЕАД, вписано в Търговския регистър при Агенцията по вписванията с ЕИК ****, „А.Т.Б.“ ЕООД с ЕИК **** са администратори на лични данни с идентификационни номер съответно 50494 и 50495. И.С.П.А. е търговско представителство на чуждестранно лице, вписано в Търговския регистър на Българската търговско-промишлена палата и БУЛСТАТ ****. Представителството е вписано в електронния регистър на администраторите на лични данни и водените от тях регистри към КЗЛД с идентификационен номер 86875, но по регистрацията му липсват актуални данни.
Едноличен собственик на капитала на дружеството „А.Б.“ ЕАД е I.F.S.H.L., Великобритания, което е собственост на C.N.H.I.N.V. Едноличен собственик на капитала на дружеството „А.Т.Б.“ ЕООД е „А.Б.“ ЕАД. Едноличен собственик на капитала на дружеството И.С.П.А. е C.N.H.I.N.V. Посочените данни показват, че дружествата са от една корпоративна група.
Във всички дружества на мултинационалната корпоративна група C.N.H.I. предстои въвеждане на системата EthicsPoint Hotline, чрез която ще има възможност за подаване на сигнали за ситуации или действия, които оказват отрицателно влияние върху дружеството, противоречат на закона, морала, професионалната етика или застрашават производителността, личната сигурност и пр. Системата позволява подаване на сигнали по електронен път чрез специално разработен уебсайт или чрез безплатно телефонно обаждане и в нея евентуално ще постъпва следната информация: име и данни за контакт на подаващия сигнала (ако не е предпочел да запази анонимност), име и длъжност на лицето, което сигналът засяга и описание на съответната ситуация или поведение с всички свързани подробности, които биха могли да включват и други лични данни.
Адв. т.информира КЗЛД, че системата се хоства от независимо трето лице N.G.I., САЩ, което е включено в списъка на Сейф Харбър – U.S.-EU SAFE HARBOR LIST и в този смисъл, предвид решение на Европейската комисия №2000/520/ЕО от 26.07.2000г., съгласно Директива 95/46/ЕО би следвало да отговаря на европейските критерии за адекватно ниво на защита на личните данни.
Адв. т.отбелязва, че информацията, събирана от N.G.I., САЩ, ще бъде достъпна единствено чрез сигурна софтуерна базирана система за управление на случаите, като достъп ще се предоставя само на предварително определен персонал, отговарящ за извършването на проучване и проверка на обстоятелствата, твърдени в сигнала. Всички лица с достъп до информацията преминават предварително вътрешно обучение и поемат задължение за конфиденциалност. Личните данни, събрани чрез системата EthicsPoint Hotline се изтриват или архивират веднага след приключване на проверката по съответния сигнал.
Във връзка с гореизложеното, адв. Т., моли КЗЛД за становище дали „А.Б.“ ЕАД, „А.Т.Б.“ ЕООД и И.С.П.А. могат да пристъпят към въвеждането на гореописаната система от гледна точка съблюдаване разпоредбите на законодателството за защита на личните данни и следва ли да заявят предоставяне на лични данни в трета държава – САЩ, във водения от Комисията за защита на личните данни регистър на администратори на лични данни.
Във връзка с поставените в искането въпроси, както и необходимостта от преценка на всички факти и обстоятелства, относими към изложения казус, бяха изпратени искания до адв. т.да предостави допълнителна информация по отношение на трите дружества относно:
1. Доказателства във връзка с твърдяното в искането, че дружествата са част от мултинационалната корпоративна група C.N.H.I.;
2. Обменът на информация между членовете на групата C.N.H.I. въз основа на вътрешни корпоративни правила ли ще се осъществява и в случай, че това е така, следва да представите копие от правилата, както и доказателства за въвеждането им от съответните администратори на лични данни;
3. Как са уредени отношенията между трите дружества и независимото трето лице N.G.I., САЩ, което ще хоства системата EthicsPoint Hotline. При наличие на договор сключен между дружествата, моля същия да бъде предоставен;
4. Срокът за трансфер на данните към N.G.I., САЩ, който да не е по-дълъг от срока на издаденото разрешение по Сейф Харбър.
В отговор на поставените въпроси адв. т.предостави на КЗЛД допълнителна информация за всяко едно от дружествата, както следва:
1. Препис от извадка от Годишния отчет за 2013г. на C.N.H.I., чието Приложение 5 представлява списъкът на дружествата от групата;
2. Адв. т.уточнява, че информацията в системата EthicsPoint Hotline ще се намира на сървър на трето лице N.G.I., като за всяко дружество от групата се определят оторизирани лица с право на достъп до сигналите, отнасящи се до съответното дружество. Доколкото регионалните мениджъри, отговарящи за някои от функциите в „А.Б.“ ЕАД, „А.Т.Б.“ ЕООД и И.С.П.А. (като Човешки ресурси или Вътрешен одит) се намират в Чехия, Румъния, Италия, то достъп до информацията, предмет на сигналите, ще може да се извършва както от България, така и от посочените държави.
Адв. т.информира КЗЛД, че относно системата EthicsPoint Hotline са разработени вътрешни правила за всяко от дружествата „А.Б.“ ЕАД, „А.Т.Б.“ ЕООД и И.С.П.А., проекти от които са приложени от адв. т.
3. Адв. т.уточнява, че не се предвижда сключване на отделен договор между „А.Б.“ ЕАД, „А.Т.Б.“ ЕООД и И.С.П.А., от една страна, и N.G.I. за системата EthicsPoint Hotline. Договореностите относно отношенията с N.G.I. са на ниво дружество – майка C.N.H.I.N.V. със седалище в Амстердам, Холандия, като от тях ще се ползват всички дъщерни дружества.
4. Срокът за трансфер на данните към N.G.I. няма да е по-дълъг от 13.01.2016г., освен в случаите на подновяване на сертифицирането по Сейф Харбър.
Правен анализ по отношение на искането за становище:
Предоставената от адв. т.допълнителна информация показва, че и трите дружества са от една корпоративна група, видно от Годишния отчет за 2013г. те принадлежат на C.N.H.I.N.V. със седалище в Амстердам, Холандия.
За целите на настоящия анализ следва да се посочи на първо място легалната дефиниция на понятието „обработване на лични данни“, съгласно определението, посочено в §1, т.1 от Допълнителните разпоредби на ЗЗЛД, това е всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване. Чрез въвеждане на системата EthicsPoint Hotline, чрез която ще има възможност за подаване на сигнали за ситуации или действия, които оказват отрицателно влияние върху дружеството, противоречат на закона, морала, професионалната етика или застрашават производителността, личната сигурност и пр., ще бъдат осъществявани действия по обработване на лични данни по смисъла на ЗЗЛД.
В качеството си на администратор на лични даннитрите дружества „А.Б.“ ЕАД, „А.Т.Б.“ ЕООД и И.С.П.А. следва да обработват лични данни, на физически лица при съблюдаване и спазване на всички нормативни изисквания в тази сфера.
За да се приеме, че е налице законосъобразно обработване на лични данни чрез използване на системата EthicsPoint Hotline, следва да е налице поне едно от изчерпателно изброените в чл.4, ал.1 от ЗЗЛД и дадени алтернативно условия за допустимост на обработването и при спазване на установените в чл.2, ал.2 от ЗЗЛД принципи за законосъобразност, пропорционалност и целесъобразност на тяхното обработване.
Предоставянето на лични данни от администратор, установен на територията на Република България към друг администратор на лични данни извън страната, се извършва по реда на Глава шеста от Закона за защита на личните данни, като определящ критерий е държавата, в която ще бъдат предоставени данните.
Съгласно чл.36а, ал.1 от ЗЗЛД предоставянето на лични данни в държава-членка на Европейския съюз, както и в друга държава-членка на Европейското икономическо пространство, се извършва свободно при спазване изискванията на ЗЗЛД. Според разпоредбата на чл.36а, ал.2 от ЗЗЛД, предоставяне на лични данни в трета държава се допуска само, ако тя осигурява адекватно ниво на защита на личните данни на своя територия. По силата на чл.36а, ал.5 от ЗЗЛД, Комисията за защита на личните данни не извършва преценка за адекватност в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че:
1. третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита;
2. определени стандартни договорни клаузи осигуряват адекватно ниво на защита.
Тази идея е доразвита в Правилника за дейността на Комисията за защита на личните данни и на нейната администрация (ПДКЗЛДНА). Съгласно чл.53а от ПДКЗЛДНА, когато се касае за трансфер на лични данни към администратор/обработващ на територията на трета държава, следва да се следи за наличие на условията, визирани този текст от Правилника. Комисията не се произнася с решение, и в тези случаи прехвърлянето на данни може да бъде извършено въз основа на сключени определени стандартни договорни клаузи, които осигуряват адекватно ниво на защита, но след заявяване на предоставянето на данни във водения от КЗЛД регистър по чл.42, ал.1 от ПДКЗЛДНА (в случай, че такова заявяване не е извършено до този момент по отношение на регистъра, по който се планира трансферът).
Прилагането на уведомителен режим е достатъчно, когато в конкретен случай:
1. Има Решение на Европейската комисия, с което е констатирано адекватно ниво на защита на личните данни в трета държава или
2. Спрямо конкретен трансфер се прилагат стандартни договорни клаузи.
Извън тези случаи, посочени в чл.36а, ал.5 от ЗЗЛД, администраторът на лични данни следва да подаде искането за разрешаване на трансфер на данни в трети държави от Комисията за защита на личните данни. Производството следва процедурата на раздел V от ПДКЗЛДНА.
Следва да се направи уточнение, че не са предоставени доказателства за наличие на обвързващи корпоративни правила, които да уреждат обмена на данни в рамките на корпоративната група. Информация за наличието на одобрени ОКП не е публикувана и на сайта на Европейската комисия. Обвързващите корпоративни правила (Binding Corporate Rules или ОКП) представляват глобален кодекс за практики, базиран на европейските стандарти за защита на данните, който се изготвя от мултинационални компании и се спазва доброволно от тях с цел осигуряване на адекватни мерки за трансфер на данни между фирмите, в рамките на корпорацията. Създадени са като допълнителен инструмент за трансфер освен стандартните договорни клаузи, като тяхната регулация се извършва чрез Работните документи (РД) на Работната група по чл.29. На 24 юни 2008г. Работната група по член 29 прие три работни документа относно обвързващите корпоративни правила (ОКП), включително документ, въвеждащ таблица е елементите и принципите, които трябва да се съдържат в обвързващите корпоративни правила (РД 153) и документ, въвеждащ образец за структуриране на обвързващите корпоративни правила (РД 154). По този начин, групата прави важна крачка към подобряване на процедурата на сътрудничество по ОКП чрез предоставянето на допълнителни обяснителни материали, които да бъдат осигурени на кандидатстващите от органите за защита на данните, както и да изясняват необходимото съдържание на правилата и формуляра. Въз основа на приетите работни документи, органите за защита на данните се ангажират да признаят взаимно правилата, изпратени до тях посредством процедурата за сътрудничество. Съгласно българското законодателство в областта на защита на личните данни, обвързващите корпоративни правила не са основание за осъществяване на трансфера, но биха могли да бъдат допълнително доказателство за извършването на законосъобразно обработване на лични данни в процедурата по издаване на разрешение за трансфер. В хода на преценката за адекватно ниво на защита, КЗЛД взема предвид Обвързващите корпоративни правила, одобрени по реда на процедурата за европейско сътрудничество и те могат да бъдат зачетени като основание за издаване на разрешение за трансфер на данни в трета страна. В хода на същата процедура, следва да се оцени и адекватността на нивото на защита, което гарантира и получателя на данните в съответната трета страна.
В хода на процедурата по конкретния казус не бяха предоставени правилата и условията за трансфера на данни, както и за предприетите технически и организационни мерки за защита, уредени между дружеството-майка C.N.H.I.N.V. и обработващия N.G.I. Обстоятелството, че дружеството е самосертифицирано по Safe Harbour, не достатъчно условие за законосъобразно извършване на трансфер.
Няма данни и за наличието на стандартни договорни клаузи, съгласно Решение на Комисията 2001/497/ЕО относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО; Решение на Комисията 2004/915/ЕО за изменение на Решение 2001/497/ЕО за въвеждане на алтернативен комплект общи договорни клаузи за прехвърляне на лични данни към трети страни; или Решение на Комисията 2010/87/ЕC относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни съгласно Директива 95/46/ЕО.
Във връзка с горното и на основание чл.10, ал.1, т.4 от Закона за защита на личните данни, Комисията за защита на лични данни изразява следното
РЕШИ:
При така предоставената информация и документи по случая, не са налице достатъчнооснования за разрешаване на трансфер на лични данни от дружествата „А.Б.“ ЕАД, „А.Т.Б.“ ЕООД и И.С.П.А. – търговско представителство на чуждестранно лице към N.G.I. със седалище в САЩ, на чийто сървър се хоства системата EthicsPoint Hotline, чрез която ще има възможност за подаване на сигнали за ситуации или действия, които оказват отрицателно влияние върху дружеството, противоречат на закона, морала, професионалната етика или застрашават производителността, личната сигурност и пр.
| ЧЛЕНОВЕ: | |
| Цанко Цолов /п/ Цветелин Софрониев /п/ Мария Матева /п/ |
|
