Становище на КЗЛД относно искане от г-жа З.Б. – управител и г-н Ф.М. – прокурист на БСХ Д.У.Б. ЕООД

Комисията за защита на личните данни (КЗЛД), в състав: председател: Венета Шопова, и членове: Красимир Димитров, Валентин Енев, Веселин Целков и Мария Матева на редовно заседание, проведено на 12февруари2014г. (Протокол №3),разгледа искане №П-7699/05.12.2013г. от г-жа З.Б.- управител и г-н Ф.М.– прокурист наБСХ Д.У.Б. ЕООДпо въпроси, касаещи приложението на Закона за защита на личните данни (ЗЗЛД).

Получено е искане за становище с вх.№П-7699/05.12.2013г. от г-жа З.Б.- управител и г-н Ф.М.– прокурист на БСХ Д.У.Б. ЕООД с молба за кратко потвърждение на съответствието на разработения инструмент за докладване със законите за защита на личните данни в Република България. В искането е посочено, че за да изпълни своите задължения в областта на съответствието, по-специално, за да гарантира, че е предприело всички необходими мерки за разкриване на сериозни нарушения на съответствието, БСХ е решило да въведе инструмент за техническо докладване (система за наблюдение- Business Keeper Monitoring System, „BKMS"). СъответнатаBKMSсистема е получилае получила Европейски печат за неприкосновеност на личния живот (European Privacy Seal). Към преписката са приложени съответно Приложения №1 и №2, относно техническите параметри на системата. Посочено е, че инструментът за докладване е разработен в съответствие с препоръките на Работната група за защита на личните данни на ЕС по член 29 (Работен документ 117), като по-конкретно, инструментът за докладване BKMS е пригоден така, че да се придържа към следните процеси в дружеството: инструмента за докладване ще бъде допълнителна възможност за докладване на сериозни нарушения на съответствието; служителите не са длъжни да докладват за нарушения на съответствието. Инструментът за докладване ще препраща автоматично всички доклади за потенциални нарушения на съответствието до седалището на БСХ в Мюнхен, Германия. Единствено избрани служители от отдела за съответствие на място ще имат достъп до инструмента за докладване (принцип на предоставяне на информация според необходимостта). Посочено е, че представители на „БСХ Д.У.Б.“ ЕООД няма да имат достъп до докладите в инструмента за докладване; всички доклади за потенциални нарушения на съответствието ще се разглеждат в условия на поверителност от отдела за съответствие; ще се обработват само доклади във връзка със следните сериозни нарушения на съответствието: антитръстово законодателство, корпоративно наказателно законодателство (например закони за борба с корупцията), данъчни измами или фалшифициране на счетоводния баланс, изпиране на пари, престъпления, извършени от висшето ръководство, престъпления, чието въздействие обхваща повече от един регион, престъпления, които могат да бъдат докладвани в над регионални медии, законодателство за защита на личните данни.

Посочено е също, че системата изрично информира потребителя, че докладите трябва да идентифицират изготвилото доклада лице, както и че информацията за идентифицирането му ще се счита за поверителна. В случай, че потребителят откаже да се идентифицира, системата ще приеме и анонимен доклад.

Във връзка с основните принципи на системата BKMS е даден и систематичен подход за противодействие на корупцията, а именно, че за да се минимизира риска за имиджа на компанията или администрацията и финансовото положение, най-важната задача след превенцията е ранното разкриване на вътрешно-фирмени злоупотреби. Посочено е, че вътрешната система за докладване на неправомерно поведение (whistleblowing) е важен компонент за управление на риска в компаниите и администарциите. Уточнено е, че близо 40% от всички подобни случаи са разкрити чрез лица, осъществяващи whistleblowing, имащи познания за вътрешната ситуация, като за системата с разкрития допринасят не само служители, но и клиенти и доставчици.Изследвания сочат, че системата whistleblowing е най-ефективната мярка за изясняване на злоупотреби. В допълнение, организации, които не прилагат системата whistleblowing търпят, най-общо, два пъти повече загуби поради извършени измами, отколкото тези, които използват сигурен комуникационен канал.

В тази връзка към настоящото искане е прикачено приложение относно основните принципи на системата BKMS, както и кратка, обобщена информация относно програмата за сертификация ‘EuroPrise“.

След извършена служебна справка, съвместно с началника на отдел „Информационни фондове и системи“, се установи, че към настоящия момент „БСХ Д.У.Б.“ ЕООД не е регистрирано като администратор на лични данни, както и няма данни да е подавало заявление за регистрация или освобождаване от такава. С оглед обстоятелството, че от постъпилото искане, както и от обявената от дружеството информация в други публични регистри, може да се направи обосновано предположение, че същото обработва лични данни, и следва да подаде заявление за регистрация в КЗЛД, съгласно чл.17 и следващите от ЗЗЛД.

„Обработване на лични данни“, съгласно определението, посочено в §1, т.1 от Допълнителните разпоредби на ЗЗЛД, е всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване. Чрез инструмента за техническо докладване- система за наблюдение- Business Keeper Monitoring System, „BKMS" ще бъдат осъществявани действия по обработване на лични данни по смисъла на закона.

В качеството си на администратор на лични данни„БСХ Д.У.Б.“ ЕООД следва да обработва лични данни, на физически лица при съблюдаване и спазване на всички нормативни изисквания в тази сфера.

За да се приеме, че е налице законосъобразно обработване на лични данни чрез използване на инструмента за техническо докладване- система за наблюдение- Business Keeper Monitoring System, „BKMS" следва да е налице поне едно от изчерпателно изброените в чл.4, ал.1 от ЗЗЛД и дадени алтернативно условия за допустимост на обработването и при спазване на установените в чл.2, ал.2 от ЗЗЛД принципи за законосъобразност, пропорционалност и целесъобразност на тяхната обработка.

Предоставянето на лични данни от администратор, установен на територията на Република България към друг администратор на лични данни извън страната, се извършва по реда на Закона за защита на личните данни, като определящ критерий е държавата, в която ще бъдат предоставени данните. С оглед обстоятелството, че получател на данните ще бъде дружество БСХ Б.У.С.Х.Г. („БСХ"), със седалище в Мюнхен, Германия, считам за целесъобразно да се окаже на „БСХ Д.У.Б.“ ЕООД, че съгласно чл.36а от ЗЗЛД предоставянето на лични данни в държава- членка на Европейския съюз, както и в друга държава- членка на Европейското икономическо пространство, се извършва свободно при спазване на изискванията на ЗЗЛД.

Относно техническите спецификации на инструмента за техническо докладване на системата за наблюдение- Business Keeper Monitoring System, „BKMS",следва да се отчете обстоятелството, че КЗЛД не е сертифициращ орган, какъвто е съответно фирмата издала сертификат за съответствие за въпросния софтуер. В тази връзка Комисията не би могла да изследва технически до каква степен определен софтуер отговаря на съответните изисквания и до колко те са в съответствие със Закона за защита на личните данни в Република България и в частност сНаредба№1 от 30 януари 2013г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, и това излиза извън правомощията на КЗЛД. В подкрепа на това е и чл.23 от ЗЗЛД, съгласно който администраторът на лични данни предприема необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване. Администраторът на лични данни определя срокове за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за заличаване на личните данни. В чл.11 от Наредба №1 от 30 януари 2013г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни е разписано и задължението на администратора на лични данни за определяне на адекватното ниво на техническите и организационни мерки и допустимия вид защита администраторът да извърши оценка на въздействието върху обработваните лични данни, както и в чл.15 от същата да определи, в зависимост от нивото на въздействие, и съответно ниво на защита.

С оглед на гореизложеното и на основание чл.10, ал.1, т.4 от ЗЗЛД, Комисията за защита на личните данни изрази следното

1. „БСХ Д.У.Б.“ ЕООД, в качеството си на администратор на лични данни, следва да изпълни задължението си по чл.17 от Закона за защита на личните данни.

2. За да е налице законосъобразно обработване на лични данни чрез използване на инструмента за техническо докладване- система за наблюдение- Business Keeper Monitoring System, „BKMS" следва да е на лице поне едно от изчерпателно изброените в чл.4, ал.1 от ЗЗЛД и дадени алтернативно условия за допустимост на обработването и при спазване на установените в чл.2, ал.2 от ЗЗЛД принципи за законосъобразност, пропорционалност и целесъобразност на тяхната обработка.

3. Няма пречка да бъдат обработвани данни със система за наблюдение- Business Keeper Monitoring System, „BKMS" при наличие на съответните нормативни изисквания за тяхното законосъобразно обработване и при стриктно спазване на законодателството в сферата на защита на личните данни в Република Българи и в частност с изискванията на Наредба №1 от 30 януари 2013г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.

4. Предоставянето на лични данни в държава- членка на Европейския съюз, както и в друга държава- членка на Европейското икономическо пространство, се извършва свободно при спазване на изискванията на ЗЗЛД.

5. Администраторът на лични данни е длъжен да предприеме необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.