СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. №П-3575/04.05.2015г.
гр. София, 30.09.2015г.
ОТНОСНО: Искане за становище с вх. рег.№П-3575/04.05.2015г., подадено от „Ю.Б.” АД, чрез Д.Ш.– изпълнителен директор и М.В.- прокурист.
Комисията за защита на личните данни (КЗЛД), в състав: Председател: Венцислав Караджов, и Членове: Цанко Цолов, Цветелин Софрониев и Мария Матева, на редовно заседание, проведено на 16 септември 2015г.,разгледа постъпило в КЗЛД искане за становище с вх.рег.№П-3575/04.05.2015г., подадено от „Ю.Б.” АД, чрез Д.Ш.– изпълнителен директор и М.В.– прокурист със следните въпроси към Комисията, а именно:
1. Намира ли приложение чл.36а, ал.5, т.1 от Закона за защита на личните данни (ЗЗЛД) в случаите, при които администратор на лични данни предоставя лични данни на дружество в САЩ, при положение, че дружеството е включено в списъка Сейф Харбър и е обвързано от принципите за „сферата на неприкосновеност”?
2. Необходимо ли е изрично разрешение от КЗЛД преди предоставяне на данни от администратор на лични данни в Република България на дружество в САЩ, при положение, че дружеството е включено в списъка Сейф Харбър и е обвързано от принципите за „сферата на неприкосновеност”?
В искането е посочено, че дружеството е направило служебна справка на уеб сайта на Европейската комисия, раздел Защита на личните данни/Често задавани въпроси, свързани с трансфер на лични данни от ЕС и ЕИП до трети държави. След така направената справка дружеството е изразило мнение, че разбирането на Европейската комисия относно трансферите на данни до дружества, включени в списъка Сейф Харбър се подчиняват на режима на трансфер на данни в рамките на ЕС/ЕИП.
Съгласно Директива №95/46/EО на Европейския парламент и на Съвета, трансфер на лични данни в трети страни може да бъде осъществен, само ако въпросната трета държава предоставя адекватно ниво на защита на данните.
Предоставянето на лични данни от администратор, установен на територията на Република България, към друг администратор на лични данни извън страната, се извършва по реда на Закона за защита на личните данни, като определящ критерий е държавата, в която ще бъдат предоставени данните.
Предоставяне на лични данни в трета държава се допуска, само ако тя осигурява адекватно ниво на защита на личните данни на своя територия. Комисията за защита на личните данни не извършва преценка за наличие на адекватно ниво на защита на данните на територията на трета страна в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита или определени стандартни договорни клаузи осигуряват адекватно ниво на защита (чл. 36а, ал.5 от ЗЗЛД).
С измененията и допълненията на Правилника за дейността на Комисията за защита на личните данни и на нейната администрация от 2012 година, относно реда за осъществяване на трансфер на данни са настъпили съществени изменения. Съгласно чл.53а от ПДКЗЛДНА, Комисията не се произнася с решение и администраторът може да предоставя лични данни в трета държава, когато е налице решение на Европейската комисия, с което тя се е произнесла, че:
1. третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита
или
2. определени стандартни договорни клаузи осигуряват адекватно ниво на защита.
Във всички случаи на предоставяне на лични данни в трети държави администраторът е длъжен да заяви предоставянето на данни във водения от КЗЛД регистър по чл.42, ал.1 от ПДКЗЛДНА (чл. 53б от ПДКЗЛДНА).
Съгласно новия ред за предоставяне на данни в трети държави, Комисията за защита на личните данни се произнася с решение за предоставяне само в случаите, посочени в чл.36а, ал.7 и чл.36б, ал.1 от Закона за защита на личните данни.
ЕК е компетентна да определи дали дадена държава осигурява адекватно ниво на защита, като решението, което ЕК взема е известно като “заключение за адекватност”. Към момента ЕК се е произнесла относно наличие на такова адекватно ниво за: Канада, Аржентина, Швейцария, острови Ман, Гърнзей, Джърси, Фарьорски острови, Андора, Нова Зеландия, както и за Уругвай и Израел (решението е с ограничено приложно поле- само за автоматизираното предаване на лични данни). По отношение на Съединените американски щати Европейската комисия се е произнесла с решение 2000/520/ЕО относно адекватността на защитата, гарантирана от принципите за "сфера на неприкосвеност на личния живот" и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ. В т.5 от преамбюла на Решението е посочено, че нивото на адекватна защита за предаването на данни от Общността към Съединените американски щати, определено съгласно решението, би трябвало да се постигне, ако организациите спазват принципите "Сфера на неприкосновеност на личния живот" и "често задавани въпроси"(ЧЗВ), които определят насоките за прилагането на принципите, публикувани от правителството на Съединените щати на 21 юли 2000г. Посочено е също, че организациите следва да оповестят публично своите политики за поверителност и те да бъдат от компетенцията на Федералната търговска камара, съгласно раздел 5 от Закона за федералната търговска комисия, който забранява некоректните или измамни действия или практики в областта на търговията, или на друга институция, предвидена от законодателството, гарантираща действително съблюдаването на принципите, съгласно ЧЗВ. В чл.1 на Решението е посочено, че по смисъла на чл.25, параграф 2 от Директива 95/ 46/ ЕО за всички дейности, попадащи в обхвата на посочената директива, се смята че принципите "сфера на неприкосновеност на личния живот", посочени в приложение 1 на Решението, прилагани съгласно насоките, предоставени от "често задавани въпроси"(ЧЗВ), публикувани на 21 юли 2000г. от Департамента по търговия на Съединените американски щати, посочени в приложение 2 към решението, гарантират адекватно ниво на защита на личните данни,предавани от Общността към организации, установени в Съединените американски щати. В точка 3 на чл.1 е посочено, че се счита, че условията, посочени в параграф 2 са изпълнени от всяка организация, когато тя обяви придържането си към принципите, приложени по силата на ЧЗВ, считано от датата, на която са уведомили американския Департамент по търговия (или негов представител) за оповестяване на задължението, предвидено в параграф 2, буква а и на идентичността на държавния орган, предвиден в параграф 2, буква б. Това на практика означава, че ЕК не е констатирала адекватно ниво на защита на личните данни на територията на САЩ, а приема, че такова е налице само по отношение на конкретни субекти, а именно: тези, дружества, включени в списъка на Сейф Харбър и декларирали пред Департамента по търговия на САЩ, че ще се придържат към така наречената Сейф Харбър рамка. Тези дружества осигуряват адекватно ниво на защита на личните данни. Дружествата декларирали, пред Департамента по търговия на САЩ се "сертифицират" за определен период от време.
Относно повдигнатите в искането въпроси във връзка с това дали следва да се поиска разрешение или да се подаде уведомление по отношение на дружествата, включени в списъка на Сейф Харбър и декларирали пред Департамента по търговия на САЩ, че ще се придържат към така наречената Сейф Харбър рамка, следва да се прилага чл.36а, ал.7 и чл.36б, ал.1 от Закона за защита на личните данни. В този случай, ще е необходимо да се подаде не уведомление, а искане за разрешение за предоставяне на лични данни и към искането си за разрешение за предоставяне на лични данни към администратор, включен към списъка Сейф Харбър администраторът ще следва да представи и информация по чл.50 ал.2 и чл.52 от Правилника. По отношение на държавата Съединени американски щати няма признато адекватно ниво на защита, а има токова само по отношение на определени субекти, такива които са заявили, че се придържат към т.нар. Сейф Харбър рамка и то за определен период от време.
Комисията за защита на личните данни има трайна практика по повдигнатите в искането въпроси. В този смисъл има произнасяне на КЗЛД с Решение №2045/2011 год., потвърдено на касационна инстанция от Върховния административен съд с Решение №6051/30.04.2013 год., както и със Становище с рег.№п 332/18.01.2013г.
С оглед на гореизложеното и на основание чл.10, ал.1, т.4 от ЗЗЛД Комисията за защита на лични данни изрази следното
СТАНОВИЩЕ
По отношение на дружествата, включени в списъка на Сейф Харбър и декларирали пред Департамента по търговия на САЩ, че ще се придържат към така наречената Сейф Харбър рамка, следва да се прилага чл.36а, ал.7 и чл.36б, ал.1 от Закона за защита на личните данни. В този случай, ще е необходимо да се подаде не уведомление, а искане за разрешение за предоставяне на лични данни. Към искането си за разрешение за предоставяне на лични данни към администратор или обработващ, включен към списъка Сейф Харбър, администраторът на лични данни, регистриран в Република България, ще следва да представи и информация по чл.50 ал.2 и чл.52 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация.
Комисията за защита на личните данни има трайна практика по повдигнатите в искането въпроси. В този смисъл има произнасяне на КЗЛД с Решение №2045/2011 год., потвърдено на касационна инстанция от Върховния административен съд с Решение №6051/30.04.2013 год., както и със Становище с рег.№п 332/18.01.2013г.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венцислав Караджов /п/ |
Цанко Цолов /п/ |
