СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № П3449/ 2012г.
гр. София, 04.10.2012г.
ОТНОСНО: Искане с вх.№n3449/2012г. от "Т.М.Б." АД, подадено чрез С.М., пълномощник на изпълнителния директор Д.И. за становище от Комисията за защита на личните данни (КЗЛД) по въпроси, касаещи приложението на Закона за защита на личните данни (ЗЗЛД).
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове: Красимир Димитров и Валентин Енев, на заседание, проведено на 04.10.2012г. разгледа искане с вх.№n3449/2012г. от "Т.М.Б." АД, подадено чрез С.М., пълномощник на изпълнителния директор Д.И. с молба за становище от Комисията за защита на личните данни (КЗЛД) на основание чл.10, ал.1, т.4 от Закона за защита на личните данни (ЗЗЛД). В искането е посочено, че "Т.М.Б."АД е част групата дружества на " Т.М.", която се занимава основно с продажбата и сервиз на селскостопански машини и техника. Сочи се, че дружеството – майка на тази група дружества, Т.М.И. е публично дружество, регистрирано в гр. У.Ф., Северна Дакота, САЩ. Посочено е, че на територията на САЩ , Т.М.И., наричано в искането "дружеството – майка" е изградило система за подаване на сигнали, жалби и оплаквания от служители за извършени неправомерни действия от страна на техни ръководители или колеги ("Система за сигнализиране на неправомерно поведение"). Сочи се, че в качеството си на "непряк собственик на контрола" върху Българското дружество – "Т.М.Б." АД, дружеството – майка възнамерява да създаде подобна Система за сигнализиране на неправомерно поведение и за служителите на Българското дружество. Посочено е как ще функционира Системата, а именно:
"1.Дружеството – майка възнамерява да възложи на дружество на територията на САЩ да създаде кол център, в който да постъпват обаждания на служители на Българското дружество. операторът на кол центъра и неговите служители, които ще отговарят на телефонната линия, ще бъдат разположени на територията на САЩ.
2. На служителите на Българското дружество ще бъде предоставен на разположение телефонен номер (на кол център), на който да звънят анонимно и да излагат своите сигнали, жалби и оплаквания.
3. служителите на Кол центъра, които ще отговарят на телефонната линия и ще бъдат разположени на територията на САЩ, ще събират и обработват получените данни и информация.
4. след приключване на всеки разговор, данните от него бъдат вкарвани в специален доклад, който ще бъде качван на уебстраницата, хоствана на територията на САЩ.
5. Достъп до уеб страницата, където се качват докладите, ще има ръководството на дружеството майка (т.е. българското дружество няма да събира и обработва данни по тези сигнали).
6. дружеството – майка ще може да сваля докладите от уеб страницата и след анализ да изпраща ин инструкции на Българското дружество за евентуално извършване на определени действия с оглед установяване истинността на сигнала. В хода на тези действия по изясняване на докладваните факти, Българското дружество най-вероятно ще събира допълнителни данни (не е възможно да се даде предварителна информация за категориите данни, които биха се събирали допълнително, тъй като те ще се определят според случая), които след това може евентуално да предоставя на Дружеството майка."
Отправена е молба за становище на Комисията относно статута на "Т.М.Б."АД в рамките на Системата за сигнализиране на неправомерно поведение т.е. в "какво качество действа Българското дружество при предприемане на евентуални разследващи действия на територията на България:
а.като администратор на лични данни, който следва да поиска вписване на трети регистър "вътрешни разследвания" или
б. като обработващ личните данни"
"Т.М.Б."АД с ЕИК201915639 е акционерно дружество със заявен в Търговския регистър предмет на дейност продажби и сервиз на селскостопански и строителни машини и части, както и всяка друга дейност, незабранена от законите на Република България. От анализа на документите приложени в търговския регистър не става ясно, какво се има предвид с твърдението че Т.М.И. е " непряк собственик на контрола" върху "Т.М.Б." АД.
При направената служебна справка в отдел "Регистър и архив" и е установено, че към настоящият момент "Т.М.Б."АД с ЕИК 201915639 е подало заявление №1333901 за вписване в регистъра на администраторите на лични данни и водените от тях регистри с лични данни, поддържан от КЗЛД на основание чл.10, ал.1, т.2 от ЗЗЛД. Дружеството е вписано в регистъра, поддържан от КЗЛД с идентификационен номер №338270. Заявени са два регистъра, един от които е с наименование "Заплати". В него е посочено, че категорията физически лица, за които се обработват данни е кандидати за работа и персонал. Посочено е, че данните се съхраняват 50 години, целите на регистъра са управление на човешките ресурси.
Данните за кандидати за работа и персонал (лица по трудово или служебно правоотношение или граждански договори) следва да бъдат обособени и заявени пред КЗЛД в два отделни регистъра. Целите за които се събират данни за двете категории субекти са различни – обикновено данните за кандидати за работа се обработват във връзка с подбор на служители, а данни за персонал във връзка с управление на човешки ресурси и финансово – счетоводна дейност. Срокът за съхранение на данните също би следвало да е различен – относно персонала, той е нормативно определен в Закона за счетоводството – 50 години, такъв срок относно данните на кандидати за работа е непропорционален. Обема на информация, която се обработва по отношение на двете групи лица също в повечето случай е различен, тъй като се предполага, че за категорията лица, условно наречена "персонал" се обработва по-голям обем от информация.
Законът за защита на личните данни е разписал определения както за администратор, така и за обработващ лични данни, съответно в чл.3 на ЗЗЛД и т.3 на параграф1 от ДР на ЗЗЛД.
В чл.3 от ЗЗЛД е разписано, че администратор на лични данни е физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на данните, както и който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон. Съгласно посочената в искането за становище информация тази система ще бъде създадена от Т.М.И., която ще възложи на дружество на територията на САЩ да създаде кол център, служителите на кол центъра ще отговарят на телефонната линия, ще събират и обработват получената информация, след приключване на всеки разговор, данните от него бъдат вкарвани в специалендоклад, който ще бъде качван на уебстраницата, хоствана на територията на САЩ, достъп до уеб страницата, където се качват докладите, ще има ръководството на дружеството майка (т.е. българското дружество няма да събира и обработва данни по тези сигнали), Т.М.И. ще може да сваля докладите от уеб страницата и след анализ да изпраща ин инструкции на българското дружество за евентуално извършване на определени действия с оглед установяване истинността на сигнала, може да се направи предположението, че Т.М.И. ще действа като администратор на лични данни по смисъла на чл.3 от ЗЗЛД. Както е посочено и в Становище 1/2010г. на Работна група по защита на данните по член29 относно понятията " администратор на лични данни" и " лице, което обработва данните" определението в Директива95/46 имплементирано в чл.3 на ЗЗЛД администратор на лични данни съдържа три основни компонента: личен аспект ( физическо или юридическо лице, , както и орган на държавната власт или на местното самоуправление); възможността за множествено администриране ("който сам или съвместно с друго лице"); и съществените елементи, различаващи администратора от други действащи лица (определя целите и средствата за обработване на данните) в изложената в искането хипотеза, съобразно предоставената информация може да се направи предположението, че Т.М.И. ще действа като администратор на лични данни, получени от физически лица, подали сигнал, жалба или оплакване, използвайки "Система за сигнализиране и неправомерно поведение".
Ако след изпращане на инструкции от Т.М.И., българското дружество "Т.М.Б."АД предостави данни, обработвани от него то това ще се яви обработващ лични данни по смисъла на определението дадено в т.2 на параграф1 от ЗЗЛД. Ако информацията, която следва да се предостави по инструкции от американското дружество, съдържа лични данни и предвид това, съобразно предоставената в искането информация, че Т.М.И. е ситуирано в САЩ ще следва да се прилагат разпоредбите на глава щеста от ЗЗЛД и раздел пети от Правилника за дейността на КЗЛД и на нейната администрация, касаещи трансферирането на лични данни. Освен това, в този случай администраторът и обработващият носят солидарна отговорност и техните отношения във връзка със Системата следва да бъдат уредени с писмен акт или друг акт на администратора, в който да бъдат определен обемът на задълженията на обработващия по повод обработването на личните данни.
С оглед на гореизложеното и на основание чл.10, ал.1, т.4 от ЗЗЛД, Комисията за защита на личните данни изрази следното
СТАНОВИЩЕ:
В изложената в искането хипотеза, съобразно предоставената информация, Т.М.И. ще действа като администратор на лични данни по смисъла на чл.3, ал.1 от ЗЗЛД, относно получената информация от физически лица, подали сигнал, жалба или оплакване, използвайки "Система за сигнализиране и неправомерно поведение".
Ако "Т.М.Б."АД ще получава инструкции от Т.М.И., касаещи предприемане на действия по обработване на информация, съдържаща лични данни и изпращането й на Т.М.И., то тогава "Т.М.Б."АД ще действа като "обработващ лични данни", съгласно легалното определение разписано в т.3 на параграф1 от ДР на ЗЗЛД. В този случай преди предоставянето на информацията ще следва да се приложат разпоредбите на глава шеста от ЗЗЛД, касаещи трансферирането на лични данни. Освен това, в този случай администраторът и обработващият носят солидарна отговорност и техните отношения във връзка със Системата следва да бъдат уредени с писмен акт или друг акт на администратора, в който да бъдат определен обемът на задълженията на обработващия по повод обработването на личните данни.
Указва на Т.М.Б." АД, данните за кандидати за работа и персонал да се обособят в два отделни регистъра, които да бъдат заявени пред КЗЛД предвид различните субекти /категории/ лица, чиито данни се обработват, различният срок и различните цели, за които се обработват.
ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
Венета Шопова /п/ |
Красимир Димитров /п/ |