РЕШЕНИЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № П-2099/2015 г.
гр. София, 15.07.2015 г.
Относно: Искане с вх.№ П-2099/16.03.2015г. от „Ъ.Я.О.“ ООД; „Ъ.Я.Б.“ ЕООД и Адвокатско сдружение „Ъ.Я.”чрез г-н Н.Г.– управител на „Ъ.Я.О.“ ООД и „Ъ.Я.Б.“ЕООД, г-н М.Р.– управляващ съдружник на Адвокатско сдружение „Ъ.Я.”,за получаване на разрешение на основание чл.36б, ал.1 от Закона за защита на личните данни (ЗЗЛД) за трансфер на лични данни към други дружества от групата на „Ъ.Я.“ („EY”).
Комисията за защита на личните данни в състав: Председател: Венцислав Караджов и членове: Цветелин Софрониев и Мария Матева на заседание, проведено на 15.07.2015г., разгледа искане от представляващите „Ъ.Я.О.“ ООД; „Ъ.Я.Б.“ ЕООД и Адвокатско сдружение „Ъ.Я.” заразрешение за предоставяне на лични данни на служители към други дружества от групата на „Ъ.Я.“ („EY”)., на основание чл.36 б, ал.1 от ЗЗЛД. В искането е посочено, че „Ъ.Я.“ („EY“, „Групата“) е глобална група от независими дружества-членове, като една от политиките, които са част от глобалната програма за поверителност на EY, са Обвързващите корпоративни правила за защита на данните („ОКП“). ОКП установяват подхода на EY за спазването на европейското законодателство за защита на личните данни и по-специално за трансфер на лични данни между дружествата от Групата. Правилата се прилагат спрямо всички дружества от Групата, по отношение на всички лични данни, включително личните данни на настоящи и бивши служители, клиенти, доставчици, подизпълнители и други трети страни, работещи с EY. Посочено е, че трансферът на лични данни ще се извършва между дружествата от Групата в нормалния ход на дейността им и тези данни могат да бъдат съхранявани в централизирани бази данни, достъпни за дружествата от Групата от всяка точка на света. Целта на ОКП е да се разработи правна рамка за обработване и трансфер на лични данни в Групата, която да отговаря на стандартите в европейското законодателство за защита на данните. В частност, ОКП целят да осигурят адекватно ниво на защита за всички лични данни, които се използват и събират в ЕС и ЕИП и се прехвърлят към дружества от Групата извън ЕС и ЕИП. Уточнено е, че приложените към настоящото искане за трансфер ОКП включват 15 основополагащи правила, изложени в Програмата от Обвързващи корпоративни правила за защита на данните на „Ъ.Я.“, които следва да се спазват от дружествата-членове в Групата, техните служители и подизпълнители, при работа с лични данни. Всички дружества в Групата се задължават да спазват ОКП посредством подписване на споразумение за присъединяване към Групата. С подписването на споразумението за присъединяване дружества от Групата поемат задължение да спазват всички общи стандарти, методологии и политики на EY, а спазването на ОКП ще се потвърждава ежегодно пред регионалните лидери по поверителност на данните в Групата.
Обвързващите корпоративни правила, приложени към настоящата преписка, се състоят от следните документи (Приложение №1):
Програма от Обвързващи корпоративни правила за защита на данните на „Ъ.Я.“
– Приложение 1- Роли и отговорности, свързани с поверителността на данните
– Приложение 2- Процедура за заявка за достъп на лица
– Приложение 3- Протокол за оценка на съответствието, съгласно Програмата от Обвързващи корпоративни правила за защита на данните
– Приложение 4- Процедура за разглеждане на жалбите, съгласно Програмата от Обвързващи корпоративни правила за защита на данните
– Приложение 5- Процедура за сътрудничество, съгласно Програмата от Обвързващи корпоративни правила за защита на данните
– Приложение 6- Процедура за актуализация на Програмата от Обвързващи корпоративни правила за защита на данните.
– В искането за разрешаване на трансфер е посочено, че на 7 юни 2013г. е получено одобрение на ОКП от Комисаря по Информация на Обединеното Кралство, съгласно параграф 9 от приложение 4 към Закона за защита на данните от 1998г. на Обединеното Кралство и чл.26 (2) от Директива 95/46/ЕО за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (Приложение №2). Комисарят по Информация на Великобритания разрешава трансфер на лични данни от дружества в Групата към дружества в EY, регистрирани извън ЕИП, при спазване на ОКП на EY.
Посочено е, че трансферът на лични данни от Дружествата към други дружества в Групата ще се извършва при следните условия:
Подаденото искане е за разрешаване на трансфер, с оглед възможността Дружествата да извършват трансфер на личните данни, обработвани в Регистър „Персонал“, Регистър „Клиенти и свързани лица“ и Регистър „Доставчици“.
1. Регистър „Персонал“ съдържа лични данни на лицата, заети по трудови или граждански правоотношения в Дружествата, като включва следните лични данни: име, адрес, единен граждански номер/личен номер на чужденец, месторождение, електронна поща, телефон, данни по лична карта или паспортни данни, както и други данни, свързани с професионалната и лична квалификация и умения.
2. Регистър „Клиенти и свързани лица“ съхранява лични данни на физически лица клиенти, лица, изпълняващи ръководни функции в клиенти, лица, притежаващи дялово участие в клиенти, и лица, заети в или свързани по друг начин с клиенти. Регистър „Клиенти и свързани лица“ съдържа следните лични данни: име, адрес, единен граждански номер/личен номер на чужденец, телефон, данни по лична карта или паспортни данни, месторождение, електронна поща.
3. Регистър „Доставчици“ съдържа следните лични данни на физически лица, които предоставят услуги на Дружеството въз основа на договор: име, единен граждански номер/дата на раждане и адрес.
Посочено е също, че Дружествата са заявили предоставяне на лични данни в трети страни при регистрацията на съответните регистри към Комисията за защита на личните данни.
Относно целта на предоставяне на личните данни в искането е посочено, че обичайната дейност на EY включва обработването на лични данни на настоящи, бивши и бъдещи служители, клиенти, доставчици, подизпълнители и трети страни, работещи с EY.
Посочено е, че лични данни на лицата, заети по трудови или граждански правоотношения в Дружествата, включени в Регистър „Персонал“, ще се предоставят на други дружества в Групата за целите на администриране на правоотношенията с персонала и в частност определяне и изплащане на възнаграждения, обезщетения и разходи, отчитане професионалния прогрес и определяне на подходяща позиция, както и други дейности свързани с управление на човешките ресурси и развитие на таланти. Като глобална група от дружества, системите за управление на човешките ресурси и развитие на таланти в EY не са локализирани и оперирането им предполага трансфер на данни в различни точки на света, където се намират сървъри за съхраняване на данни или лица, които обработват данните с посочената цел. Личните данни на лицата, заети в Дружествата, се обработват и трансферират след получаване на изричното съгласие на тези лица, предоставено в писмена форма.
В искането е посочено, че лични данни от Регистър „Клиенти и свързани лица“ ще се трансферират във връзка с работата по проекти, в които са включени повече от едно дружество от Групата. Като част от глобална мрежа от специализирани фирми, предоставящи одит, данъчни, правни и консултантски услуги, Дружествата са задължени да установят и прилагат политики и процедури с цел предотвратяване изпирането на пари и финансирането на тероризма, осигуряването на независимост и безпристрастност, недопускането на конфликт на интереси по отношение на клиентите, които обслужваме. Една от целите на трансфера на данни от регистър „Клиенти и свързани лица“ е именно прилагане на политиките и мерките на Групата, приети в изпълнение на законовите изисквания за предотвратяване на изпирането на пари и защита от тероризма и по-конкретно идентифициране на клиенти при установяването на договорни отношения и установяване произхода на средства. Уточнено е, че трансфер на лични данни от Регистър „Клиенти и свързани лица“ може да се извършва за целите на обслужване на трансгранични проекти от няколко дружества на Групата при изрично възлагане от клиент на Групата. В тази връзка е и посочено, че дружествата обработват данните от Регистър „Клиенти и свързани лица“ в изпълнение на нормативно установените им задължения по Закона за мерките срещу изпирането на пари и Закона за мерките срещу финансирането на тероризма. Лични данни, предоставени от клиенти, се обработват в изпълнение на поръчка на клиент, като съгласно политиките на EY клиентът гарантира спазване на законовите изисквания за събиране на личните данни и предоставянето им на EY.
Относно предоставянето на лични данни от Регистър „Доставчици“, в искането е посочено, че същите могат да се предоставят на други Дружества от EY, за целите на администрирането на отношенията с доставчици на услуги- физически лица, както и като част от нормалния ход на дейността на Групата. Такива данни се събират и обработват от Дружествата с цел изпълнение на задължения по договор за услуги с доставчика физическо лице.
В искането за разрешаване на трансфер изрично е посочено, че Дружествата няма да трансферират чувствителни лични данни.
Относно срока на обработване на личните данни е посочено, че информацията в регистрите ще се унищожава след постигане на целите на обработката и при отпаднала необходимост за съхранение, като информацията в регистър „Персонал“ ще се обработва до преустановяването на гражданското или трудовото правоотношение между лицето и администратора, след което ще се прехвърля в архив, където се съхранява за срок от 50 (петдесет) години. След отпаднала необходимост за обработване информацията в регистри „Клиенти и свързани лица“ и „Доставчици“ се прехвърля в архив, където се съхранява за срок от 7 (седем) години, след което се унищожава.
В искането е посочено също, че дружествата от Групата спазват правилата за обработване на лични данни съгласно местното законодателство и политиките на EY, като последните са съобразени с изискванията на законодателството за защита на личните данни на ЕС.
Относно предприетите мерки за сигурност е посочено, че дружествата прилагат технически и организационни мерки за защита на личните данни от случайно или незаконно унищожаване, от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване, съобразени с изискванията на закона. Мерките включват физическа, персонална, документална, криптографска защита и защита на автоматизирани информационни системи и/или мрежи, осигурена чрез мерките и средствата на защита на данните, описани подробно във Вътрешните правила за обработване на лични данни и защитата им от незаконен достъп на всяко Дружество, приети на 24.09.2014г., одобрени от КЗЛД. Техническите и организационни мерки са съобразени с определеното ниво на въздействие на личните данни, обработвани в регистрите, както следва- средно ниво на въздействие за регистри „Персонал“ и „Клиенти и свързани лица“ и ниско ниво на въздействие за регистър „Доставчици“. Уточнено е, че дружествата в Групата, на които лични данни могат да бъдат прехвърлени при спазване на ОКП, прилагат аналогични мерки за защита, които отговарят на стандартите на защита на личните данни в Европейския съюз и местното законодателство, в което е учредено съответното дружество на EY.
Както бе посочено и по-горе дружества, получатели на лични данни садружествата в Групата, и са посочени в Приложение №3 към искането.
„Ъ.Я.О.“ ООД е дружество с ограничена отговорност с ЕИК *****, със седалище и адрес на управление: *****, с предмет на дейност: независим финансов одит на финансови отчети на предприятия, комплексни финансово-счетоводни услуги и консултации, организиране на счетоводно отчитане и съставяне на финансови отчети по реда на Закона за счетоводството, както и всяка друга дейност, незабранена от закона.
„Ъ.Я.О.“ ООД е администратор на лични данни и в това си качество е подал Заявление за регистрация №129638/2009г. В заявлението е посочено, че дружеството поддържа петрегистъра: Клиенти и свързани лица; Персонал; Видеонаблюдение; Биометрични данни; Доставчици. Заявена е възможността за предоставяне на данни в световен мащаб.Дружеството има издадено Удостоверение за регистрация №34119 за вписване в „Регистъра на администраторите на лични данни и на водените от тях регистри“ при КЗЛД.
„Ъ.Я.Б.“ ЕООД е еднолично дружество с ограничена отговорност с ЕИК ****, със седалище и адрес на управление: *******, с предмет на дейност: независима оценка на недвижими имоти, недвижими културни ценности, машини и съоръжения, права на интелектуалната и индустриалната собственост и други фактически отношения, търговски предприятия и вземания, финансови активи и финансови институции, предоставяне на консултантски услуги, данъчни консултации, изготвяне на документи, както и всяка друга дейност, незабранена от закона.
„Ъ.Я.Б.“ ЕООД е администратор на лични данни и в това си качество е подал Заявление за регистрация №129637/2009г. В заявлението е посочено, че дружеството поддържа петрегистъра: Клиенти и свързани лица; Персонал; Видеонаблюдение; Биометрични данни; Доставчици.. Заявена е възможността за предоставяне на данни в световен мащаб. Дружеството има издадено Удостоверение за регистрация №34113 за вписване в „Регистъра на администраторите на лични данни и на водените от тях регистри“ при КЗЛД.
Адвокатско сдружение „Ъ.Я.”, с ЕИК ****, седалище и адрес на управление: ***** е администратор на лични данни и в това си качество е подал Заявление за регистрация №1271721. В заявлението е посочено, че сдружениетоподдържа петрегистъра: Клиенти и свързани лица; Персонал; Видеонаблюдение; Биометрични данни; Доставчици. Заявена е възможността за предоставяне на данни в световен мащаб. Сдружението има издадено Удостоверение за регистрация №257126 за вписване в „Регистъра на администраторите на лични данни и на водените от тях регистри“ при КЗЛД.
Съгласно Директива №95/46/ЕО на Европейския парламент и на Съвета от 24октомври 1995 година относно защита на физическите лица при обработването на лични данни и за свободното движение на тези данни трансфер на лични данни в трети страни може да бъде осъществен, само ако въпросната трета държава предоставя адекватно ниво на защита на данните. В конкретния случай се иска разрешение за предоставяне на данни между администратори и/или обработващи лични данни- единствено и само между дружества част от световната група „Ъ.Я.”. Получателите на данни са част от световната група „Ъ.Я.”, регистрирани в държави извън Европейския съюз и Европейското икономическо пространство, изчерпателно посочени са в приложения към искането списък– Приложение №3, като към всяка конкретна държава е посочен и конкретния администратор на лични данни, който би бил евентуалният вносител (получател) на данните на територията на съответната държава. Искането за разрешаване на трансфер е на основание чл.36б, ал.1 от ЗЗЛД, т.е. извън случаите по чл.36а от ЗЗЛД, предоставянето на лични данни в трета държава се извършва след разрешение на Комисията за защита на личните данни при условие, че администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за защитата им.
Обвързващите корпоративни правила (Binding Corporate Rules) представляват глобален кодекс за практики, базиран на европейските стандарти за защита на данните, който се изготвя от мултинационални компании и се спазва доброволно от тях с цел осигуряване на адекватни мерки за трансфер на данни между фирмите, в рамките на корпорацията. Създадени са като допълнителен инструмент за трансфер освен стандартните договорни клаузи, като тяхната регулация се извършва чрез Работните документи (РД) на Работната група по чл.29. На 24 юни 2008г., Работната група по член 29 прие няколко работни документа относно обвързващите корпоративни правила (ОКП), включително документ, въвеждащ таблица с елементите и принципите, които трябва да се съдържат в обвързващите корпоративни правила (РД 153) и документ, въвеждащ образец за структуриране на обвързващите корпоративни правила (РД 154). По този начин се е подобрила и процедурата на сътрудничество по ОКП чрез предоставянето на допълнителни обяснителни материали, които да бъдат осигурени на кандидатстващите от органите за защита на данните, и да изясняват необходимото съдържание на правилата и формуляра. Въз основа на предприетите действия по този въпрос, органи за защита на данните от двадесет и две страни се ангажират да признаят взаимно правилата, изпратени до тях посредством процедурата за сътрудничество (към настоящото становище е приложен списък на държавите). Тези институции, трябва да вземат в предвид следните условия:
а) Преди започване на анализа на ОКП, водещият орган се допитва до другите органи, които участват в процедурата по сътрудничество относно настоящи жалби и/или (минали) разследвания, свързани с компанията и/или нейните подизпълнители;
б) Водещият орган преценява дали кандидата, който желае да се възползва от процедурата за взаимно признаване е гарантирал, че всички споменати елементи в документите на Работната група– РД74, 108, 153 и изпратени материали, според РД154 са въведени в неговите правила и че с цел улесняване на одобрение на национално ниво от заинтересованите институции, в съответствие с процедурните задължения, заложени в националното право е попълнил РД133. Освен това, подгрупата по обвързващите корпоративни правила в рамките на Работна група по член 29 въвежда извършването на годишна преценка с цел да осигури и поддържа високо ниво на качество и съответствие на националните анализи на ОКП, по отношение на съдържанието и процедурата. Взаимното признаване на ОКП е по-скоро политически ангажимент, отколкото правна промяна. Това означава, че когато водещият орган за защита на данните изпрати консолидирания проект на ОКП с позитивно становище, че той покрива задължителните стандарти, приети в съответствие с всички документи на Работната група по член29, споменати по-горе в т.б), другите органи приемат това становище като достатъчно основание за даване на тяхното собствено разрешение или оторизация за прилагането на ОКП, или за изпращане на позитивно становище на институцията, която дава оторизация.
Относно представените ОКП за същите на 7 юни 2013г. е получено одобрение от Комисаря по Информация на Обединеното Кралство съгласно параграф 9 от приложение 4 към Закона за защита на данните от 1998г. на Обединеното Кралство и чл.26(2) от Директива 95/46/ЕО за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (виж Приложение №2). Комисарят по Информация на Великобритания разрешава трансфер на лични данни от дружества в Групата към дружества в EY, регистрирани извън ЕИП, при спазване на ОКП на EY.
В представените ОКП е посочено, че същите са създадени, за да установят подхода на EY по отношение на спазването на европейското законодателство за защита на данните и по-специално за предаването на лични данни между Дружествата от Групата, които се прилагат към всички Дружества от Групата и техните партньори и служители и съдържат 15 правила („Правила“), както и е чеEY следва да спазва и изпълнява ОКП, в процеса по обработване лични данни.
В ОКП са въведени основните принципи на европейското законодателство за защита на данните, които EY се задължава да спазва, както и практическите ангажименти на EY към европейски органи за защита на данните във връзка с настоящите ОКП. Въведено е правило за прозрачност във връзка с обработването на личните данни и в тази връзка е поет ангажимент за уведомяване на лицата относно обработването на техни лични данни. EY се задължава да получава и използва лични данни единствено и само за цели, които са известни на лицето или които са в рамките на неговите очаквания и имат отношение към EY. Посочено е, че личните данни ще се съхраняват и/или заличават в степента, изисквана от закона, подзаконовите и професионални стандарти и в съответствие с приложимата линия за глобално обслужване на EY и местните политики за съхранение, прилагани към съответното Дружество от Групата. Дружеството от Групата се разпорежда с лични данни единствено по безопасен начин, в съответствие с глобалните политики за сигурност на EY.Когато доставчик на услуги на някое от Дружествата от Групата има достъп до личните данни на партньори и служители, клиенти, доставчици, подизпълнители и други трети страни (например доставчик на услуги по изплащане на възнаграждения), съгласно изискванията на европейското законодателство, да бъдат наложени строги договорни задължения, изложени в писмена форма и отнасящи се до сигурността на тези данни, за да бъде гарантирано, че тези доставчици на услуги извършват дейност единствено съгласно указанията на EY, при използването на тези данни и че разполагат с пропорционални мерки за техническа и организационна сигурност за защита на личните данни. В случаите, когато доставчик на услугата е Дружество от Групата, обработващо лични данни от името на администратор на данни (който може да е друго Дружество от Групата или трета страна), доставчикът на услугата следва да действа единствено съгласно инструкциите на администратора на данни, от чието име се извършва обработката и да гарантира, че разполага с пропорционални мерки за техническа и организационна сигурност за защита на личните данни.
Поет е също така ангажимент, в съответствие с условията на Процедурата за заявка за достъп на лица, лицата да имат право (чрез писмено искане до EY) да получат копие от съхраняваните за тях лични данни (включително електронни и хартиени записи), като за тази цел EY ще следва стъпките, посочени в Процедурата за заявка за достъп на лица (Приложение 2), когато обработва заявките за достъп на лица. Предвидено е също лицата да имат право на коригиране на лични данни, за които е доказано, че са неточни или непълни и, при определени обстоятелства, да възразят срещу обработването на техните лични данни.
Приложени са съответно правила за разглеждане на жалби и за сътрудничество с органите на защита на личните данни. Приложено към настоящата преписка е и Приложение 1към оторизацията на обвързващите корпоративни правила от Комисаря по Информацията, като в същото са изброени юридическите лица, оторизирани да прехвърлят лични данни, документите, съставляващи ОКП на тези юридически лица, дата, на която е дадена оторизацията от Комисаря по Информацията, и в съответните случаи, дата на влизане в сила.
Обвързващите корпоративни правила са основание за трансферна данните само от регистър „Персонал“ и само по отношение на тях би следвалода се уведомят физическите лица, чиито данни ще бъдат предмет на трансфер относно: данните, които идентифицират администратора и неговия представител; целите на обработването на личните данни; получателите или категориите получатели, на които могат да бъдат разкрити данните; данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им; информация за правото на достъп и правото на коригиране на събраните данни. По отношение на другите два регистъра „Клиенти и свързани лица“ и „Доставчици“ трябва да има предварително съгласие на всяко едно физическо лице за предоставяне на тези данни.
Във връзка с горното и на основание чл.35 от Правилника за дейността на КЗЛД и на нейната администрация във връзка с чл.36 б и чл.10, ал.1, т.4, от Закона за защита на личните данни, Комисията за защита на личните данни
РЕШИ:
Администраторите на лични данни- „Ъ.Я.О.“ ООД,“Ъ.Я.Б.“ ЕООД и Адвокатско сдружение „Ъ.Я.” могат да предоставят на дружествата в групата на „Ъ.Я.”лични данни на физически лица, посочени изчерпателно в приложение, което е неразделна част от представените и одобрени от Комисаря по информация на Обединеното кралство ОКП при следните условия:
1. Администраторите на лични данни са длъжни преди предоставянето на данните.да уведомят физическите лица от Регистър „Персонал“ , чиито данни- име, адрес, единен граждански номер/личен номер на чужденец, месторождение, електронна поща, телефон, данни по лична карта или паспортни данни, данни, свързани с професионалната и лична квалификация и умения, ще бъдат предмет на трансфер, относно: данните, които идентифицират администратора и неговия представител; целите на обработването на личните данни; получателите или категориите получатели, на които могат да бъдат разкрити данните; данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им; информация за правото на достъп и правото на коригиране на събраните данни.
2. Администраторите на лични данни трябва да получат предварителното съгласие на физическите лица от Регистър „Клиенти и свързани лица“ за трансфера на посочените в искането данни- име, адрес, единен граждански номер/личен номер на чужденец, телефон, данни по лична карта или паспортни данни, месторождение, електронна поща, преди осъществяването му.
3. Администраторите на лични данни трябва да получат предварителното съгласие на физическите лица от Регистър „Доставчици“ за трансфера на посочените в искането данни- име, единен граждански номер/дата на раждане и адрес, преди осъществяването му.
Решението на Комисията може да се обжалва пред aдминистративен съд – град София в 14 /четиринадесет/ дневен срок от получаването му.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венцислав Караджов /п/ |
Цветелин Софрониев /п/ |
