РЕШЕНИЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
с рег. № П – 3464/2015 г.
гр. София, 13.11.2015 г.
ОТНОСНО: Искане за извършване на трансфер на данни в Япония от М.К.С. с вх.№П–3464/29.04.2015 год.
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и членове: Цанко Цолов, Цветелин Софрониев, Мария Матева и проф. Веселин Целков на заседание, проведено на 04.11.2015 г., разгледа искане за трансфер на лични данни от г-н Х.А., в качеството на Генерален мениджър на М.К.С., който отбелязва, че във връзка с глобалния бизнес на фирмата и организацията на човешки ресурси, както и кариерното развитие на служителите и подобряване обучението и семинарите в рамките на групата М.К., е необходимо да бъде извършван трансфер на лични данни в рамките на групата, както и до трети лица.
Г-н Х.А. информира КЗЛД, че М.К.С. поддържа регистър ТРЗ и ЛС, като е налично съгласие от служителите, които са подписали съответното споразумение за лични данни. В тази връзка трансферът на лични данни би могъл да включва следните елементи:
1. име, портретна снимка, дата на раждане, възраст и пол;
2. информация за трудовото правоотношение (начална дата, отдел, длъжност и задължения);
3. автобиография, образование, умения, квалификация и трудов опит;
4. оценка на работата, заплата и друга свързана с работата информация.
Според г-н Х.А. трансферът на лични данни ще се осъществява по криптирани канали. Данните ще се съхраняват и обработват с оглед защитата на поверителността им, докато има законен бизнес интерес или до законно установени срокове.
Търговско представителство М.К., вписано в Регистър БУЛСТАТ с №*****, е администратор на лични данни с идентификационен номер 170512. Заявен е един регистър за обработване на лични данни, а именно регистър ТРЗ и ЛС. Като държава във връзка с предлагано предоставяне на данни в други държави е отбелязана Япония.
Във връзка с подаденото заявление за извършване на трансфер на лични данни бе изискана допълнителна информация. В отговор бе получено писмо, с което г-н Х.А. потвърждава, че М.К. са подписали стандартни договорни клаузи, осигуряващи адекватно ниво на защита (чл. 53 от Правилника на дейността на комисията за защита на личните данни и нейната администрация ПДКЗЛДНА) и следват предписанията, съгласно Директива 95/46/ЕО на Европейската комисия. Споразумението за трансфер на данни с превод на български език бе предоставено допълнително с писмо с вх.№П-7046/31.08.2015г.в КЗЛД.
Към искането за разрешение за трансфер на лични данни в рамките на групата М.К., както и до трети лица г-н Х.А. е приложил следните документи, в едно с изисканата допълнителна информация:
1. Споразумение за личните данни – на английски и български език;
2. Политика на корпорация М. за Европа и ОНД – на английски и български език;
3. Основни правила за защита на личната информация – на български и английски език;
4. Договор за прехвърляне на данни – на български и английски език.
Като дефиниции, отразени в Договора за прехвърляне на данни, са отбелязани: лични данни,специални категории данни/чувствителни данни, администратор на обработка/обработване, обработващ данни, съответно физическо лице и надзорен орган имат същото значение, каквото е дадено в Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г.; износител на данни; вносител на данни и клаузи.
Договорът за прехвърляне на данни съдържа задълженията на износителя на данни; задълженията на вносителя на данни; отговорността и правата на трети лица; приложимо поле на клаузите; решаване на спорове със съответните физически лица или органите; прекратяване на договора; промяна на договорените клаузи, а също така и описание на прехвърлянето на лични данни.
Съгласно клаузите на договора за прехвърляне на данни, предоставен от г-н Х.А. в КЗЛД, задълженията на износителя на данни се припокриват със Стандартните договорни клаузи, а именно:
– личните се събират, обработват и прехвърлят в съответствие с приложимите закони за износителя на данни;
– износителят на данни е положил подобаващи усилия, за да установи, че съответният вносител на данни има възможност да изпълнява законовите задължения по настоящите клаузи;
– износителят на данни ще предостави на съответния вносител на данни, при поискване, копия на съответните закони за защита на данните или препратки към тях (когато е приложимо, но без да включва правни консултации) за държавата, в която е установен износителят на данни;
– износителят на данни ще отговаря на запитвания от съответните физически лица и органи относно обработката на личните данни от вносителите на данни, освен ако засегнатите страни не са се споразумели, че съответният вносител на данни ще даде тези отговори, в който случай износителят на данни също ще даде отговор, доколкото може и с информацията, която логично е налична при него, ако съответният вносител на данните няма желание или възможност да отговори. Отговорите се дават в рамките на разумни срокове;
– износителят на данни ще предостави, при поискване, копие на клаузите на съответните физически лица, които са трети страни бенефициери, освен ако клаузите не съдържат поверителна информация, като в такъв случай ще премахне въпросната информация. Когато премахва информация, износителят на данни уведомява съответните физически лица в писмен вид за причината за премахването и за правото им да обърнат внимание на органите за премахването. Въпреки това, износителят на данни се съобразява с решението на органите относно достъпа на съответните физически лица до пълния текст на клаузите, докато съответните физически лица не се договорят по отношение на поверителността на отстранената поверителна информация. Износителят на данни предоставя на органите също и копие от клаузите, при поискване.
Вносителят на данни гарантира и се задължава, съгласно разпоредбите на предоставения Договор за прехвърляне на данни, че:
– ще осигури на разположение подходящи технически и организационни мерки, за да защити личните данни от неволно или незаконно унищожение или от случайна загуба, промяна, неупълномощено разкриване или достъп и които осигуряват подобаващо ниво на сигурност за съответния риск, който представлява обработката и естеството на данните, които трябва да бъдат защитени;
– ще осигури на разположение процедури, така че всяко трето лице, което бъде упълномощено да получи достъп до личните данни, включително лицата, които ги обработват, да съблюдава и пази поверителността и сигурността на личните данни. Всяко лице, което действа под ръководството на вносителя на данни, включително лицата, които обработват данните, ще бъде задължено да обработва личните данни само съобразно инструкциите на вносителя на данни. Тази разпоредба не е приложима за лицата, които са упълномощени или за които се изисква по закон да имат достъп до лични данни;
– няма причини да счита, че към момента на сключването на настоящите клаузи, съществуват местни закони, които биха оказали съществен неблагоприятен ефект върху гаранциите, дадени в настоящите клаузи и че ще уведоми износителите на данни (които от своя страна ще предадат съобщението до органите, където се налага), ако узнае за наличието на такива закони;
– ще обработва личните данни за целите, описани в Приложение В и има законните правомощия да даде гаранциите и да изпълни задължения, съдържащи се в настоящите клаузи;
– до степента, до която обработва лични данни единствено от името на износителя на данни, ще действа само по указанията и инструкциите на износителя на данни;
– ще посочи на износителите на данни лице за контакт от организацията му, което ще бъде упълномощено да отговаря на запитванията относно обработката на личните данни и ще оказва добросъвестно съдействие на износителите на данни, на съответните физически лицаи на органите по отношение на всички запитвания в рамките на разумен срок. В случай, че износител на данни преустанови дейността си или ако съответните страни са се договорили за това, вносителят на данни поема отговорността за съответствието с разпоредбите на клаузите;
– при поискване от страна на износител на данни ще представя на износителя на данни доказателства за достатъчни финансови ресурси, за да изпълнява задълженията си по клаузите (което може да включва и застрахователно покритие);
– при разумно искане от страна на износител на данни, ще предоставя съоръженията си за обработване на данни, файловете с данни и документацията, необходими за обработка, за да бъдат проверявани, одитирани и/или удостоверявани от износителя на данни (или от някоя независима или безпристрастна проверяваща агенция или одитори, избрани от износителя на данни и срещу които вносителят на данни не е повдигнал обосновано възражение), за да установят съответствието с декларациите и задълженията по настоящите клаузи, при връчването на разумно предизвестие и в рамките на обичайното работно време. Искането се обосновава на необходимо съгласие или одобрение на регулаторен или надзорен орган от държавата на вносителя на данни, като вносителят на данни следва да се погрижи да се сдобие своевременно с такова съгласие или одобрение;
– ще обработва личните данни по свой избор, в съответствие с: законите за защита на данните на страната, в която е установен съответния износител на данни, или Съответните разпоредби на всяко решение на Европейската Комисия по силата на чл.25(6) от Директива95/46/ЕО, където вносителят на данни спазва съответните разпоредби на това упълномощаване или решение и е базиран в държава, за която се отнася това упълномощаване или решение за целите на прехвърлянето на лични данни, или Принципите за обработка на лични данни, посочени в Приложение А; избраните опции от всеки вносител на данни са посочени в Приложение D. Няма да разкрива или прехвърля лични данни на трети лица администратори, находящи се извън Европейкото икономическо пространство (ЕИП), освен ако не уведоми съответния износител на данни за прехвърлянето и Администраторът на данни на третото лице обработва личните данни в съответствие с решението на Комисията, в което е установено, че третата страна осигурява адекватна защита или Администраторът на данни на третото лице стане подписник по настоящите клаузи или по друг договор за прехвърляне на данни, одобрен от компетентен орган на ЕС или На съответните физически лица е предоставена възможността да направят възражение, след като са били информирани за целите на прехвърлянето, категориите получатели и факта, че държавите, в които се изнасят данните може да имат различни стандарти за защита на данните или съответните физически лица са дали ясно и недвусмислено съгласие за прехвърлянето по отношение на последващото прехвърляне на чувствителни данни.
Правен анализ:
След направена справка в отдел “Регистър и архив” бе констатирано, че търговско представителство М.К., е вписано в Регистър БУЛСТАТ с №*****. Представителството е администратор на лични данни с идентификационен номер 170512. Регистрирано в електронния регистър на администраторите на лични данни и на водените от тях регистри на лични данни по чл.10, ал.1, т.2 от ЗЗЛД. Заявен е един регистър за обработване, като това е регистър ТРЗ и Личен състав. Търговското представителство е заявило по посочения регистър, че данните, които се обработват, могат да бъдат предмет на предоставяне в друга държава, а именно Япония.
„Обработване на лични данни“, съгласно определението, посочено в §1, т.1 от Допълнителните разпоредби на ЗЗЛД, е всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване. При извършване на трансфер на лични данни в рамките на групата М.К., както и до трети лица, във връзка с глобалния бизнес на фирмата и организацията на човешки ресурси, както и в кариерното развитие на служителите и подобряване обучението и семинарите, ще бъдат осъществявани действия по обработване на лични данни по смисъла на закона.
В качеството си на администратор на лични данниМ.К. следва да обработва лични данни на физически лица при съблюдаване и спазване на всички нормативни изисквания в тази сфера.
За да се приеме, че е налице законосъобразно обработване на лични данни чрез предоставяне на данни, следва да е налице поне едно от изчерпателно изброените в чл.4, ал.1 от ЗЗЛД и дадени алтернативно условия за допустимост на обработването и при спазване на установените в чл.2, ал.2 от ЗЗЛД принципи за законосъобразност, пропорционалност и целесъобразност на тяхната обработка.
Предоставянето на лични данни от администратор, установен на територията на Република България, към друг администратор на лични данни извън страната се извършва по реда на Закона за защита на личните данни, като определящ критерий е държавата, в която ще бъдат предоставени данните.
В конкретния случай износителят и вносителят на данните са подписали Договор за прехвърляне на данни. След извършване на експертна проверка, се установява, стандартните договорни клаузи са възпроизведени изцяло спрямо решенията от 2004г.на Европейската комисия, а именно Общи договорни клаузи за прехвърляне на лични данни от Общността в трети страни (прехвърляния между лицата, отговарящи за обработка на данни). Изброени са субектите, а именно служителите на М.К.. М.К.С. поддържа регистър ТРЗ и ЛС, като е налице изрично съгласие от служителите, които са подписали съответното споразумение за лични данни. В тази връзка трансферът на лични данни би могъл да включва следните елементи:
1. име, портретна снимка, дата на раждане, възраст и пол;
2.информация за трудовото правоотношение (начална дата, отдел, длъжност и задължения);
3. автобиография, образование, умения, квалификация и трудов опит;
4. оценка на работата, заплата и друга свързана с работата информация.
Трансферът на лични данни ще се осъществява по криптирани канали. Данните ще се съхраняват и обработват с оглед защитата на поверителността им докато има законен бизнес интерес или до законно установени срокове.
Прехвърлянето се извършва с цел споделяне на подробни данни за служителите между групата компании на износителя на данни, за да позволи на групата да:
1.Изпълнява задълженията, свързани с трудовите договори на служителите (включително заплащане, ведомост, пенсия, застраховка и други облаги, данъци и национално осигурителни задължения);
2. Провежда законосъобразните си бизнес интереси, включително всяка политика за болнични, администриране на ведомостите, последователно планиране, за разглеждане и насърчаване на глобалната мобилност на служителите, за изпълнение на управлението, оценка на нуждите от обучение, разработване и внедряване на стратегии в областта на човешките ресурси, оценки на служителите, обучение и развитие на кариерата, събиране на лични данни в глобални бази данни, политика за работното време, разследване на определени действия или нарушения (или при съмнения за наличието на такива действия или нарушения), сигурност, прогнозиране или планиране на управлението и преговори със служителите; и
3. Обработва всички лични данни на служителите във връзка с промяна на контрола или продажбата на част от бизнес предприятието на износителя на данни.
При анализ на предоставения Договор за прехвърляне на данни и оценка на съответствието му с Общите договорни клаузи за прехвърляне на данни от Общността в трети страни (прехвърляния между лицата, отговарящи за обработка на данни) се установи, че клаузите на предоставения договор допълват без да ограничават клаузите на Общите договорни клаузи за прехвърляне на данни.
В договора за прехвърляне на данни, като вносители на данни са посочени дружества от групата М.К. в следните държави: Япония, Обединеното Кралство, Германия, Франция, Италия, Испания, Нидерландия, Гърция, Обединени арабски емирства, Кувейт, Иран, Етиопия, Нигерия.
Съгласно чл.36а, ал.1 от ЗЗЛД, предоставянето на лични данни в държава-членка на Европейския съюз, както и в друга държава-членка на Европейското икономическо пространство, се извършва свободно при спазване изискванията на ЗЗЛД. Според разпоредбата на чл.36а, ал.2 от ЗЗЛД, предоставяне на лични данни в трета държава се допуска само ако тя осигурява адекватно ниво на защита на личните данни на своя територия. По силата на чл.36а, ал.5 от ЗЗЛД, Комисията за защита на личните данни не извършва преценка за адекватност в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че:
1. третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита;
2. определени стандартни договорни клаузи осигуряват адекватно ниво на защита.
Тази идея е доразвита в Правилника за дейността на Комисията за защита на личните данни и на нейната администрация (ПДКЗЛДНА). Съгласно чл.53а от ПДКЗЛДНА, когато се касае за трансфер на лични данни към администратор/обработващ на територията на трета държава следва да се следи за наличие на условията, визирани този текст от Правилника. Комисията не се произнася с решение, и в тези случаи прехвърлянето на данни може да бъде извършено въз основа на сключени определени стандартни договорни клаузи, които осигуряват адекватно ниво на защита, но след заявяване на предоставянето на данни във водения от КЗЛД регистър по чл.42, ал.1 от ПДКЗЛДНА (в случай, че такова заявяване не е извършено до този момент по отношение на регистъра, по който се планира трансферът).
Прилагането на уведомителен режим е достатъчно, когато в определен случай:
1. Има Решение на Европейската комисия, с което е констатирано адекватно ниво на защита на личните данни в трета държава или
2. Спрямо конкретен трансфер се прилагат стандартни договорни клаузи.
Извън тези случаи, посочени в чл.36а, ал.5 от ЗЗЛД, администраторът на лични данни следва да подаде искането за разрешаване на трансфер на данни в трети държави от Комисията за защита на личните данни. Производството следва процедурата на разделV от ПДКЗЛДНА.
В конкретния случай обаче са налице елементи от две различни хипотези – от една страна администраторът на лични данни М.К.С. иска разрешение за извършване на трансфер на лични данни „в рамките на групата, както и до трети лица“. В същото време е валиден Договор за прехвърляне на данни, включващ стандартни договорни клаузи, одобрени с Решение на ЕК от 2004 г., който обаче обвързва единствено дружества от групата М.К.. При това положение прилагането на уведомителният режим по чл.53а от ПДКЗЛДНА е неприложимо, съответно би следвало КЗЛД да се произнесе с решение.
Във връзка с горното и на основание чл.36 б, ал.1 от ЗЗЛД във връзка с чл.10, ал.1, т.4 от ЗЗЛД, Комисията за защита на лични данни изразява следното
РЕШИ:
1. Приема за Уведомление по смисъла на чл.53а от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация прехвърлянето на лични данни въз основа на сключения Договор за прехвърляне на лични данни към дружества в рамките на групата М.К., при спазване на поетите договорни ангажименти и гаранции за защита на личните данни.
2. Не разрешава на администратора на лични данни М.К.С. да извършва трансфер на лични данни, въз основа на сключения Договор за прехвърляне на лични данни, към трети лица, извън рамките на групата М.К., поради обстоятелството, че Договорът за прехвърляне на данни, включващ стандартни договорни клаузи, одобрени с Решение на ЕК от 2004 г., обвързва единствено дружества от групата М.К..
Решението на Комисията може да се обжалва пред Върховния административен съд в 14 /четиринадесет/ дневен срок от получаването му.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венцислав Караджов /п/ |
Цанко Цолов /п/ |
