РЕШЕНИЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № П-4609/11.06.2015 г.
гр. София, 30.09.2015 г.
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № П-4609/11.06.2015 г.
гр. София, 30.09.2015 г.
ОТНОСНО: Искане с вх.№П-4609/11.06.2015г. от „Д.К.Б." ЕООД, с ЕИК ****, чрез К.Н.С., адвокат с личен номер от Единен регистър на адвокатите при Висш адвокатски съвет №1100027050, за получаване на разрешение за трансфер на лични данни на основание чл.36б от Закона за защита на личните данни (ЗЗЛД), във връзка с Обвързващи корпоративни правила (ОКП), одобрени в процедура за европейско сътрудничество, под ръководството на белгийския национален орган по защита на личните данни.
Комисията за защита на личните данни (КЗЛД), в състав: Председател: Венцислав Караджов, и Членове: Цанко Цолов, Цветелин Софрониев и Мария Матева, на редовно заседание, проведено на 16 септември 2015г.,разгледа постъпило в КЗЛД искане за становище с вх.№П-4609/11.06.2015г., с което „Д.К.Б." ЕООД, с ЕИК ****, чрез К.Н.С., адвокат с личен номер от Единен регистър на адвокатите при Висш адвокатски съвет №1100027050,за получаване наразрешение за трансфер на лични данни на основание чл.36б от Закона за защита на личните данни, във връзка с Обвързващи корпоративни правила, одобрени в процедура за европейско сътрудничество, под ръководството на белгийския национален орган по защита на личните данни.
Съгласно изложеното в искането, „Д.К.Б." ЕООД ееднолично дружество с ограничена отговорност, учредено и съществуващо съгласно законите на Република България, вписано в Търговския регистър към Агенция по вписванията, с ЕИК ****, със седалище и адрес на управление в ******, като същото е и администратор на лични данни, съгласно Закона за защита на личните данни (ЗЗЛД)и като такъв поддържа следните два регистъра на лични данни, а именно:
Регистър „Персонал", който регистър включва лични данни на кандидати за работа и персонал (лица по трудово или служебно правоотношение, или граждански договори) на Администратора;
Регистър „Контрагенти", който регистър включва лични данни на контрагенти (клиенти, доставчици и др.) и лица за контакт на потенциални клиенти, потребители, търговци, бизнес партньори на Администратора.
В постъпилото искане е посочено също, че администраторът на лични данни „Д.К.Б." ЕООД е част от корпоративната група на Д.К.(J.C.), с абревиатура „JCI”. Като глобална компания, „JCI” обработва и прехвърля лични данни между компании на „JCI” за нормални бизнес цели, включително планиране на работната сила, привличане на таланти, организационна социализация, управление на изпълнението, планиране на приемствеността, обучение и развитие, компенсации и обезщетения, заплати, поддръжка на данни на служителите и други оперативни процеси на човешки ресурси. Освен посочената по-горе информация, е посочено и че „JCI” обработва данни на клиенти, потребители, доставчици и търговци за управление на взаимоотношенията и администрирането на своите договорни задължения, както и че „JCI” също обработва лични данни, за да изпълнява своите отчетни задължения и за улесняване на вътрешните комуникации. Посочено е също, че в съответствие с бизнес нуждите на дружеството, с цел да се осигури подходящо управление на рисковете за поверителността и сигурността, свързани със събирането, използването, защитата, съхраняването, разкриването и унищожаването на личните данни, JCI е приело Обвързващи корпоративни правила на Д.К.(J.C.), с вътрешно наименование „Задължителни фирмени правила за поверителност на J.C.", които са одобрени в процедура за европейско сътрудничество, под ръководството на белгийския национален орган по защита на личните данни на 6 януари 2015г. В тази връзка към настоящата преписка е приложена и извадка от публикуван на електронната страница на Европейската комисия Списък на дружествата, за чиито Обвързващи корпоративни правила е проведена процедурата по взаимно сътрудничество.
С оглед изложената в искането информация, от името на дружеството е посочено и това, че независимо, че към настоящия момент в българското национално законодателство в сферата на защита на личните данни ОКП не са нормативно признат инструмент за трансфер на лични данни, същото е изразило мнение, че наличието на ОКП на „JCI”, одобрени в процедура за европейско сътрудничество, под ръководството на белгийския национален орган по защита на личните данни, доказват, че администраторът на лични данни „Д.К.Б." ЕООД, в качеството си на предоставящ данните, и останалите дружества от групата на „JCI”, обвързани от ОКП, предоставят достатъчно гаранции за защитата на данните, които ще бъдат предмет на трансфер.
Във връзка с изложената фактическа обстановка, администраторът на лични данни „Д.К.Б." ЕООД се обръща към КЗЛК, на основание чл.36б, ал.1 от ЗЗЛД, във връзка с чл.10, ал.1. т.4 от ЗЗЛД и във връзка с чл.5. ал.1, т.9 и ал.2 и чл.50-53 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация, като моли да бъде издадено разрешение за трансфер на лични данни, съдържащи се в Регистър „Персонал" и Регистър „Контрагенти", до останалите дружества от групата на „JCI”, обвързани от ОКП, в зависимост от необходимостта на дружеството, взимайки предвид това, че са предоставени достатъчно гаранции за защита на данните, предвид наличието на ОКП, одобрени в процедура за европейско сътрудничество, под ръководството на белгийския национален орган по защита на личните данни.
„Д.К.Б.“ ЕООД е еднолично дружество с ограничена отговорност с ЕИК ****, със седалище и адрес на управление: *******, с предмет на дейност: извършване и предоставяне на услуги по поддръжка (на сгради и управление), управление на недвижими имоти, управление на сгради, експлоатация на сгради, проектиране и поддръжка на сгради и технически съоръжения свързани със сгради, особено промишлени съоръжения, както и предоставянето на услуги за всякакъв вид сгради и собственици на сгради и търговия със стоки от всякакъв вид.
„Д.К.Б." ЕООД е администратор на лични данни и в това си качество е подал Заявление за регистрация №69470 и е вписан в регистъра на администраторите на лични данни и водените от тях регистри при КЗЛД с иден. № 115322, като е заявил поддържането на два регистъра: „Персонал” и „Контрагенти”. Заявена е възможността за предоставяне на данни по отношение и на двата регистъра към дружества от групата на „Д.К.”, обвързани от ОКП.
Съгласно Директива №95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година относно защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, трансфер на лични данни в трети страни може да бъде осъществен, само ако въпросната трета държава предоставя адекватно ниво на защита на данните. В конкретния случай се иска разрешение за предоставяне на данни между администратори и/или обработващи лични данни- единствено и само между дружества, част от групата на „Д.К." („JCI”). Получателите на данни са част от световната група „Д.К." („JCI”), регистрирани в държави извън Европейския съюз и Европейското икономическо пространство, изчерпателно посочени са в приложения към искането списък – Приложение №3, като към всяка конкретна държава е посочен и конкретният администратор на лични данни, който би бил евентуалният вносител (получател) на данните на територията на съответната държава. Искането за разрешаване на трансфер е на основание чл.36б, ал.1 от ЗЗЛД, т.е. извън случаите по чл.36а от ЗЗЛД, предоставянето на лични данни в трета държава се извършва след разрешение на Комисията за защита на личните данни (КЗЛД) при условие, че администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за защитата им.
Обвързващите корпоративни правила представляват глобален кодекс за практики, базиран на европейските стандарти за защита на данните, който се изготвя от мултинационални компании и се спазва доброволно от тях с цел осигуряване на адекватни мерки за трансфер на данни между дружествата, в рамките на корпорацията. Създадени са като допълнителен инструмент за трансфер, освен стандартните договорни клаузи, като тяхната регулация се извършва чрез Работните документи (РД) на Работната група по чл.29. На 24 юни 2008г., Работната група по член29 прие няколко работни документа относно обвързващите корпоративни правила (ОКП), включително документ, въвеждащ таблица с елементите и принципите, които трябва да се съдържат в обвързващите корпоративни правила (РД153) и документ, въвеждащ образец за структуриране на обвързващите корпоративни правила (РД154). По този начин се е подобрила и процедурата на сътрудничество по ОКП, чрез предоставянето на допълнителни обяснителни материали, които да бъдат осигурени на кандидатстващите от органите за защита на данните, и да изясняват необходимото съдържание на правилата и формуляра. Въз основа на предприетите действия по този въпрос, органи за защита на данните от двадесет и две страни се ангажират да признаят взаимно правилата, изпратени до тях посредством процедурата за сътрудничество (към настоящото становище е приложен списък на държавите). Тези институции, трябва да вземат в предвид следните условия:
а) Преди започване на анализа на ОКП, водещият орган се допитва до другите органи, които участват в процедурата по сътрудничество относно настоящи жалби и/или (минали) разследвания, свързани с компанията и/или нейните подизпълнители;
б) Водещият орган преценява дали кандидатът, който желае да се възползва от процедурата за взаимно признаване е гарантирал, че всички споменати елементи в документите на Работната група- РД 74, 108, 153 и изпратени материали, според РД 154 са въведени в неговите правила и че с цел улесняване на одобрение на национално ниво от заинтересованите институции, в съответствие с процедурните задължения, заложени в националното право е попълнил РД 133. Освен това, подгрупата по обвързващите корпоративни правила в рамките на Работна група по член 29 въвежда извършването на годишна преценка, с цел да осигури и поддържа високо ниво на качество и съответствие на националните анализи на ОКП, по отношение на съдържанието и процедурата. Взаимното признаване на ОКП е по-скоро политически ангажимент, отколкото правна промяна. Това означава, че когато водещият орган за защита на данните изпрати консолидирания проект на ОКП с позитивно становище, че той покрива задължителните стандарти, приети в съответствие с всички документи на Работната група по член 29, споменати по-горе в т.б), другите органи приемат това становище като достатъчно основание за даване на тяхното собствено разрешение или оторизация за прилагането на ОКП, или за изпращане на позитивно становище на институцията, която дава оторизация.
Относно представените ОКП е посочено, че същите са одобрени в процедура за европейско сътрудничество, под ръководството на белгийския национален орган по защита на личните данни на 6 януари 2015г.
В представените ОКП е посочено, че същите представляват задължителни фирмени правила за поверителност (Правила) и очертават как групата „J.C.” третира личните данни на настоящи, бивши и бъдещи служители и изпълнители, клиенти, потребители, доставчици и търговци („Лица") и определя подхода си към спазването на регулаторните изисквания за защита и неприкосновеност на личните данни. Информация относно членовете на групата J.C., които са се ангажирали да спазват приложените правила (наричани съгласно текста на ОКП заедно ,JCI", „ние", „наш" или „компании на JCI" и поотделно „компания на JCI") се намира в ПриложениеI към приложените към преписката ОКП.
Поет е ангажимент всички компании (дружества) на „JCI” и техните служители да спазват тези ОКП, когато обработват и прехвърлят лични данни.
Посочено е също така, че „JCI” има отдел за поверителност на личните данни, който се състои от мултидисциплинарен екип, действащ в целия свят. Отделът за поверителност на личните данни е натоварен с изпълнението на ОКП и с осигуряването на поддръжка на ефективни механизми за комуникация, което да позволи постоянно управление на тези правила в „JCI”, независимо от бизнес единицата или географския район, като в тази връзка „JCI” поддържа програма за информираност и комуникация относно поверителността за обучаване на служители на дружествата глобално и във всички линии на бизнеса, който осъществяват те.
В ОКП е посочено, че като глобална компания, „JCI” обработва и прехвърля лични данни между компании на JCI за бизнес цели, включително планиране на работната сила, придобиване на таланти, организационна социализация, управление на изпълнението, планиране на приемствеността, обучение и развитие, компенсации и обезщетения, заплати, поддръжка на данни на служителите и други оперативни процеси на Човешки ресурси. Освен това е посочено също, че „JCI” обработва данни на клиенти, потребители, доставчици и търговци за управление на взаимоотношенията и администрирането на своите договорни задължения, както и че ще обработва лични данни, за да изпълнява своите отчетни задължения и за улесняване на вътрешните комуникации.
Поет е ангажимент от страна на „JCI”, съгласно който дружествата в групата ще спазват ОКП, когато обработват и прехвърлят лични данни на лица, независимо от местонахождението. Това гарантира, че личните данни ще получават еднакво ниво на зашита, когато се прехвърлят между компании на „JCI” по целия свят. ОКП ще се прилагат и когато компания на „JCI” обработва лични данни от името на други компании на „JCI”.
В ОКП са въведени основните принципи на европейското законодателство за защита на данните, които „JCI” се задължава да спазва, както и практическите ангажименти на „JCI” към европейските органи за защита на данните във връзка с настоящите ОКП. Въведено е правило за прозрачност във връзка с обработването на личните данни и в тази връзка е поет ангажимент за уведомяване на лицата относно обработването на техни лични данни. Посочено е, че качеството на данните, които ще обработва „JCI”, ще бъде както следва: адекватни, релевантни и не повече от необходимото в рамките на целите, за които тези данни се събират и използват; точни, пълни и актуализирани до необходимата степен; няма да бъдат обработени или съхранявани в позволяващ идентифициране формат за по-дълго от необходимото за постигане на целите. В ОКП са отразени и правата на физическото лице относно достъп, информираност и право на възражение и корекция на обработвани от „JCI” негови лични данни. Посочено е също, че лицата ще бъдат информирани относно трансфера и получателите на данни, както и във връзка с целият процес на обработване на лични данни, който ще се осъществява от „JCI” в съответствие с чл.19 и чл.20 от ЗЗЛД и чл.10 и чл.11 от Директива 95/46/ЕО.
Посочено е, че „JCI”ще използва личните данни само в съответствие с приложимото законодателство за лични данни, включително всички допълнителни закони, които може да са свързани с обработката на лични данни, като изрично е уточнено, че когато приложимото законодателство изисква по-високо ниво на защита на личните данни, в сравнение с това на ОКП, законът ще има предимство пред правилата.
Поет е ангажимент, че дружествата в групата на „JCI” ще прилагат подходящи технически и организационни мерки за защита на личните данни срещу случайно или незаконно унищожаване, загуба, промяна, неразрешено разкриване или достъп, по-специално когато личните данни се прехвърлят по мрежата, както и срещу всякакви други незаконни форми на обработване. Дружествата поддържат обширна програма за сигурност на информацията, която е пропорционална на рисковете, свързани с обработването.
Посочено е също, че „JCI” извършва проверки на сигурността на трети страни, за да се гарантира, че третите страни, на които се поверяват лични данни, предлагат необходимата защита.
С оглед на гореизложеното и въз основа на представените доказателства, считам, че може да се приеме, че администраторът, предоставящ данните, и администраторите, който ги получават, представят достатъчно гаранции за тяхната защитата в рамките на Закона за защита на личните данни и европейското законодателство в тази сфера.
Във връзка с гореизложеното и на основание чл.36б, ал.1 от ЗЗЛД, във връзка с чл.10, ал.1, т.4 от ЗЗЛД, Комисията за защита на личните данни
РЕШИ
Разрешава на администратора на лични данни „Д.К.Б." ЕООДда предоставя към компании на „JCI” лични данни на физически лица от регистър „Персонал” и регистър „Контрагенти” само и единствено в обем и за срок, за който същите са необходими за дейността на „JCI”, в рамките на поетите договорни ангажименти и въз основа на приложените и одобрени от белгийският орган по защита на данните ОКП.
Решението подлежи на обжалване пред Административен съд- София в 14 (четиринадесет) дневен срок от получаването му.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венцислав Караджов /п/ |
Цанко Цолов /п/ |
