СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
№ 4225/2011г.
гр. София, 28.10.2011г.
ОТНОСНО: Искане с рег. №4225/14.09.2011г. от г-н Мартин Винфрид Едер и г-н Николай Стоянов Желевски – управители на„АЛПИНЕ БАУ ГмбХ – Клон България” (клон на чуждестранен търговец), за изразяване на становище от Комисията за защита на личните данни, на основание чл.10, ал.1 т.4 от Закона за защита на личните данни (ЗЗЛД), относно предоставяне на лични данни към дружеството-майка„АЛПИНЕ БАУ ГмбХ” вРепублика Австрия
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков, на редовно заседание, проведено на 26.10.2011г. разгледа искане с рег.№4225/14.09.2011г. от г-н Мартин Винфрид Едер и г-н Николай Стоянов Желевски – управители на „АЛПИНЕ БАУ ГмбХ – Клон България” (клон на чуждестранен търговец), за изразяване на становище от Комисията за защита на личните данни, на основание чл.10, ал.1 т.4 от Закона за защита на личните данни (ЗЗЛД), относно предоставяне на лични данни физически лица-работници/служители към дружеството – майка „АЛПИНЕ БАУ ГмбХ” в Република Австрия. Съгласно Търговския регистър, двама от управителите заедно могат да представляват клона пред трети лица, от което става видно, че лицата сезирали КЗЛД имат представителна власт, във връзка с конкретното искане.
ФАКТИЧЕСКА ОБСТАНОВКА:
Съгласно представената информация в искането, „АЛПИНЕ БАУ ГмбХ – Клон България” е действащ клон на чуждестранен търговец:„АЛПИНЕ БАУ ГмбХ”, Република Австрия, гр.Залцбург, ул. „Алте Бундесщрасе” № 10, с фирмен регистрационен номер FN 58237v. В искането се твърди, че клонът развива стопанска дейност на територията на Република България и е вписан като администратор на лични данни, съгласно изискванията на Закона за защита на личните данни в КЗЛД. С оглед възлагане и изпълнение на международни проекти и съвместно участие на „АЛПИНЕ БАУ ГмбХ”, Република Австрия и неговия клон в Република България, се изисква събиране на база данни за заетия работен персонал, включен в структурата на участниците, включително и събиране на лични данни, на основание възникнали трудови правоотношения. Целите за събиране на лични данни са свързани с необходимостта от целенасочено активизиране на събраната информация, калкулиране на вътрешна база данни за персонала за научни, статистически цели, но най-вече за изпълнение на стопански задачи на дружеството-майка като цяло.
Сезирането на КЗЛД е с оглед необходимостта от предоставяне на лични данни на работния персонал на „АЛПИНЕ БАУ ГмбХ – Клон България” на дружеството-майка „АЛПИНЕ БАУ ГмбХ”, Република Австрия. Във връзка с това, до КЗЛД е отправена молба за изразяване на становище по следните въпроси:
1. Приложима ли е в конкретния случай разпоредбата на чл.36а, ал.1 от Закона за защита на личните данни, че предоставянето на лични данни в държава-членка на Европейския съюз, както и в друга държава-членка на Европейското икономическо пространство, се извършва свободно при спазване изискванията на този закон и не се изисква предварителна преценка или разрешение от КЗЛД за трансфера ?
2. Има ли допълнителни и специфични изисквания, които администраторът на лични данни трябва да спазва по повод предоставяне на лични данни в държава-членка на Европейския съюз, с уточнението, че обхватът на личните данни е по повод възникналите трудови правоотношения с работници/служители и предоставяната информация не включва т.нар. „чувствителни данни” за лицата, за които се отнасят?
3. За предоставянето на лични данни за физическото лице, за което се отнасят, необходимо ли е изрично съгласие на лицето или е достатъчно да се извърши въз основа само на така нареченото „информирано съгласие” на лицето, чиито данни са предмет на трансфер ?
4. Необходимо ли е да има сключено споразумение (договор) между клона и получателя на данните-дружеството-майка за гарантиране спазването на принципите, целите и срокът за обработване на предоставените лични данни и изискванията на ЗЗЛД?
5. Изисква ли се разрешение на КЗЛД за предоставянето (трансфера) на единния граждански номер на работния персонал в държава-членка на Европейския съюз в описаната хипотеза ?
ПРАВЕН АНАЛИЗ:
При анализа на изложеното в искането, се установи следното:
Съгласно чл.17а, ал.1 от Търговския закон, клон на чуждестранно лице, регистрирано с право да извършва търговска дейност според националния си закон, се вписва в Търговския регистър. Вписването се осъществява по реда на чл.17, ал.2 от Търговския закон, а именно: клонът се вписва в Търговския регистър, въз основа на писмено заявление, което съдържа: 1. Седалище и предмет на дейност на клона;2. Данните за лицето, което управлява клона и за обема на представителната власт.Освен данните по чл.17, ал.2, заявлението за вписване съдържа и данни за: 1. правната форма и фирмата или наименованието на чуждестранното лице, както и фирмата на клона, ако тя се различава от тази на чуждестранното лице; 2. регистъра и номера, под който е вписано чуждестранното лице, ако приложимото право го предвижда; 3. правото на държавата, което се прилага за чуждестранното лице, ако това не е правото на държава – членка на Европейския съюз; 4. лицата, които представляват чуждестранното лице според регистъра, в който е вписано, ако има такъв регистър, начина на представляване, както и ликвидаторите и синдиците и техните правомощия.
На основание чл. 4 от Закона за Търговския регистър, в Търговския регистър се вписват клонове на чуждестранни търговци и свързаните с тях обстоятелства, за които е предвидено в закон, че подлежат на вписване. В тази връзка съгласно чл.6, ал.1 от Закона за Търговския регистър, нормативно установено задължение за всеки търговец е да поиска да бъде вписан в Търговския регистър, като заяви подлежащите на вписване обстоятелства и представи подлежащите на обявяване актове. Всяко лице, което е задължено да заяви вписване на обстоятелства или да представи актове в търговския регистър, трябва да извърши това в 7-дневен срок от настъпването на обстоятелството, съответно от приемането на акта, освен ако със закон е определен друг срок.
Във връзка с изложеното по-горе, „АЛПИНЕ БАУ ГмбХ – Клон България” (клон на чуждестранен търговец) e собственост на чуждестранно юридическо лице „АЛПИНЕ БАУ ГмбХ” ООД, Република Австрия. „АЛПИНЕ БАУ ГмбХ – Клон България” е вписан в Търговския регистър при Агенцията по вписванията с ЕИК: 131189952, със седалище и адрес на управление: гр. София, общ. Столична, район “Кремиковци”, ЖК „Враждебна”, бул.„Ботевградско шосе” №264, ет.7 и предмет на дейност: да извършва всякакъв вид специализирани строителни работи; да действа като главен изпълнител при строителството на каквито и да е сгради и производствени помещения; да търгува и наема всякакъв вид строително оборудване; да произвежда и разпространява преработени циментови компоненти; да доставя електрически инсталации и да произвежда електрически системи; да извършва строително-предприемаческа дейност; да дава под наем и да лизингова имущество; да създава и стопанисва заводи и да осъществява мерки по опазване на околната среда; да проектира и изготвя планове за строителство на сгради, инженерна инфраструктура и тунели; да извършва консултации на фирми за проектиране, планиране и осъществяване на всички видове строителни дейности; да изготвя идейни проекти; да планира и реализира дейности по опазване на околната среда; пътно строителство, строителство на мостове, тунели и всякакви други пътни съоръжения.
При извършената служебна справка в Регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД, се установи, че клонът е вписан в Регистъра на администраторите на лични данни с идентификационен номер 123190. „АЛПИНЕ БАУ ГмбХ – Клон България” е заявил поддържането на 3 броя регистри, като предметът на настоящото искане се отнася до регистър „Персонал”. Заявено е възможно предоставяне на данни в Република Австрия по този регистър.
Във връзка с изложеното и с оглед на поставените въпроси в искането е необходимо да се има предвид следното:
По смисъла на §1, т.5 от Допълнителните разпоредби на Закона за защита на личните данни, „предоставяне на лични данни” са действия по цялостно или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната или извън нея. Действията по отношение на предоставянето на лични данни, представляват „Обработване на лични данни”, съгласно определението, посочено в § 1, т.1 от Допълнителните разпоредби на ЗЗЛД. Това е всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване. Съгласно чл.36а, ал.1 от Закона за защита на личните данни (ЗЗЛД), предоставянето на лични данни на държава – членка на Европейския съюз, както и в друга държава – членка на Европейското икономическо пространство, се извършва свободно при спазване изискванията на този закон. Тази норма е относима към конкретния казус, тъй като Република Австрия е член на Европейския съюз.
Във връзка с предмета на искането за предоставяне на данни на физически лица – работници/служители на „АЛПИНЕ БАУ ГмбХ – Клон България”,които се намират в трудови правоотношения с дружеството, към дружеството – майка „АЛПИНЕ БАУ ГмбХ, Република Австрия, намират приложение разпоредбите на чл.4, ал.1 от ЗЗЛД, тъй като в съответствие с посоченото по-горе определение за „обработване на лични данни”, предоставянето на данни представлява действие по обработване на тези данни.
Съгласно чл.4 от Закона за защита на личните данни,обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:
1.обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;
2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие;
3. обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;
4. обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;
5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;
6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;
7. обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.
С оглед естеството на поставените въпроси в искането, следва да се отбележи, че в чл.4, ал.1, т.2 като едно от условията за допустимост на обработването на лични данни е регламентирано даването на съгласие на физическото лице. Следва да се има предвид, че съгласно §1, т.13 от допълнителните разпоредби на ЗЗЛД, "Съгласие на физическото лице" е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани. Съгласието следва да е налице по отношение на целите на обработване на данните в конкретния случай, получателите иликатегориите получатели, на които могат да бъдат разкрити данните; задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им. Във всички случаи на лицата следва да е предоставена информация за правото на достъп и правото на коригиране, заличаване или блокиране на събраните данни, както и правото на възражение срещу обработването на личните им данни, при наличие на законово основание за това. Преценката относно формата (трудов договор, декларация, уведомление и др.), чрез която ще бъде изразено съгласието на физическите лица – работници/служители относно предоставянето на техни лични данни на „АЛПИНЕ БАУ ГмбХ”, Република Австрия е на администратора -„АЛПИНЕ БАУ ГмбХ – Клон България”. Съобразно действащата към настоящия момент нормативна уредба в сферата на защита на личните данни в Република България за изразеното съгласие на физическото лице няма изрично изискване за писмена форма. Предвид това и с цел защита на правата на физическите лица при неправомерно обработване на свързаните с тях лични данни, КЗЛД винаги търси доказателства за това, че съгласието е дадено информирано, свободно изразено и недвусмислено, както и че съгласието произхожда именно от физическото лице, за което се отнасят данните. Следва да се има предвид, че съгласието на физическите лица за обработване на техните лични данни в конкретния случай трябва да е дадено предварително преди предоставянето на личните данни на дружеството-майка.
От даденото в закона определение става видно, че основните параметри, касаещи съгласието на физическото лице и които трябва да са налице, са следните:
– Да е свободно изразено-предоставено от физическото лице, по негово собствено желание, без елемент на принуда;
– Да бъде недвусмислено – съгласието следва да бъде предоставено по начин и във вид, които да не пораждат съмнение, относно изявената воля на физическото лице за обработване на данните му;
-Да е конкретно-т.е съгласието следва да бъде предоставено за обработване на лични данни от конкретно лице за конкретни цели;
– Да е информирано – лицето, предоставящо данните следва да бъде уведомено от администратора, относно: данните, които идентифицират администратора и неговия представител; целите на обработването на личните данни; получателите или категориите получатели; на които могат да бъдат разкрити данните; данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им; информация за правото на достъп и правото на коригиране на събраните данни; информация за правото на възражение на физическото лице за обработване на личните му данни за целите на директния маркетинг.
– Да е предоставено от физическото лице, за което се отнасят личните данни, предмет на обработване.
Ако е налице друго правно основание за предоставянето на лични данни съгласно чл.4, ал.1 от ЗЗЛД, не е необходимо да е налице и съгласие на работниците/служителите за предоставяне на техни лични данни към дружеството – майка „АЛПИНЕ БАУ ГмбХ”, Република Австрия. В този случай би било достатъчно администраторът на лични данни „АЛПИНЕ БАУ ГмбХ – Клон България”, да предостави информация на лицата съгласно чл.19 от Закона за защита на личните данни.
По отношение на специфичните изисквания във връзка с обработването на лични данни на физически лица (вкл. и при предоставяне на данни в държава-членка на Европейския съюз/Европейското икономическо пространство), следва да има се има предвид, че Законът за защита на личните данни въвежда в задължение на администратора на лични данни да предприема технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение и разпространение, както и от други незаконни форми на обработване. Съгласно чл. 3, ал. 3 от Наредба № 1 от 7 февруари 2007 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни лицата, мерките и средствата за защита на лични данни се определят с вътрешни правила (инструкция или заповед) на администратора на лични данни.
Поради това, че в ЗЗЛД няма разписани конкретни изисквания по отношение реда, по който следва да бъдат предоставени данните в конкретния случай, предаването следва да става съобразно разпоредбите на чл.23 от ЗЗЛД, като сключването на споразумение (договор) във връзка с трансфера на данни е въпрос на преценка на самите администратори дружеството-майка „АЛПИНЕ БАУ ГмбХ”, Република Австрия и „АЛПИНЕ БАУ ГмбХ – Клон България”.
По отношение предоставянето на лични данни (вкл. единен граждански номер) на физически лица в държава-членка на Европейския съюз/Европейското икономическо пространство, то се извършва свободно по смисъла на чл.36а, ал.1 от ЗЗЛД, като не е необходимо КЗЛД да дава изрично разрешение за трансфер в този случай. Следва да се има предвид обаче, че предоставянето на лични данни в държава, която не е членка на Европейския съюз и на Европейското икономическо пространство (трета държава), се осъществява съгласно разпоредбата на чл.36а и чл.36б от Закона за защита на личните данни и след разрешение на КЗЛД.
Във връзка с изложеното и на основание чл. 10, ал.1, т. 4 от Закона за защита на личните данни, Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ :
1. Предоставянето на лични данни на физически лица – работници/служители, с които „АЛПИНЕ БАУ ГмбХ – Клон България” (клон на чуждестранен търговец), Република България е в трудови правоотношения, към дружеството – майка „АЛПИНЕ БАУ ГмбХ”, Република Австрия се извършва свободно съгласно чл.36а, ал.1 от Закона за защита на личните данни, при наличие на поне едно от условията за допустимост на обработването на данни съгласно чл. 4, ал.1 от Закона за защита на личните данни, като Комисията за защита на личните данни не дава разрешение за трансфер на данни в този случай.
2. Предоставянето на данните по т.1 следва да се извършва съобразно разпоредбите на чл. 23 от ЗЗЛД, като администраторът на лични данни информира лицата относно: данните, които идентифицират администратора и неговия представител; целите на обработването на личните данни; получателите или категориите получатели; на които могат да бъдат разкрити данните;данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им; информация за правото на достъп и правото на коригиране на събраните данни; информация за правото на възражение на физическото лице за обработване на личните му данни за целите на директния маркетинг.
3. Съгласието на физическите лица за обработване на техни лични данни е само едно от алтернативно регламентираните условия за допустимост на обработването. Ако е налице друго правно основание за предоставянето на лични данни съгласно чл.4, ал.1 от ЗЗЛД, не е необходимо да е налице и съгласие на работниците/служителите за предоставяне на техни лични данни към дружеството – майка „АЛПИНЕ БАУ ГмбХ”, Република Австрия. В този случай би било достатъчно администраторът на лични данни „АЛПИНЕ БАУ ГмбХ – Клон България” (клон на чуждестранен търговец), да предостави информация на лицата съгласно т. 2 от настоящото становище.
Ако обаче единственото правно основание за предоставянето на данните е наличието на съгласие на работниците/служителите на „АЛПИНЕ БАУ ГмбХ – Клон България” (клон на чуждестранен търговец), то съгласието на физическите лица за обработване на техните лични данни трябва да е дадено предварително преди предоставянето на личните данни на дружеството-майка и да отговоря на следните изисквания съгласно §1, т.13 от Допълнителните разпоредби на ЗЗЛД: да е свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани. И в този случай на лицата следва да бъде предоставена информацията по т.2 от настоящото становище.
4. Преценката за необходимостта от сключване на споразумение (договор) за трансфер на данни по т.1 е на администраторите на лични данни -дружеството-майка „АЛПИНЕ БАУ ГмбХ”, Република Австрия и „АЛПИНЕ БАУ ГмбХ – Клон България”, Република България.
5. Не е необходимо изрично разрешение от КЗЛД за предоставянето на ЕГН на работниците/ служителите на „АЛПИНЕ БАУ ГмбХ – Клон България” към дружеството-майка „АЛПИНЕ БАУ ГмбХ”, Република Австрия, тъй като предоставянето на този вид лични данни в държава-членка на Европейския съюз се извършва свободно съгласно разпоредбите на чл.36а, ал.1 от ЗЗЛД, като в случаяе необходимо да се спазват всички законови изисквания при обработването на лични данни (наличие на условие за допустимост на обработването, предприемане на технически и организационни мерки за защита на данните, информиране на физическите лица и др.).
ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
Венета Шопова /п/ |
Красимир Димитров /п/ |