РЕШЕНИЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
С РЕГ. № П – 6682/2015 г.
гр. София, 24.09.2015 г.
ОТНОСНО: Трансфер на лични данни въз основа на приети Обвързващи корпоративни правила за компании от S. групата и други приемащи компании за защита на личните данни.
Комисията за защита на личните данни (КЗЛД) в състав: Членове на КЗЛД: Цанко Цолов, Цветелин Софрониев, Мария Матевана заседание, проведено на 09.09.2015г., разгледа преписка с рег. №П-6682 от 11.08.2015г. от администратора на лични данни „С.Х." ЕООД, ЕИК *****, със седалище и адрес на управление****, подадено чрез М.А.-Т., в качеството й на пълномощник на управителите на С.Х. ЕООД– Т.В. и С.Х. Искането е за разрешение на трансфер на лични данни на основание приети Обвързващи корпоративни правила за компании от S. групата и други приемащи компании за защита на личните данни.
В искането се посочва, че „С.Х.“ ЕООД е част от мултинационалната група компании S., чиято централа е С. АГ Германия. След като С. АГ Германия е преминала успешно през процедурата за одобрение на Обвързващите корпоративни правила за компании от S. групата и други приемащи компании за защита на личните данни (наричани по-нататък ОКП), „С.Х.“ ЕООД подава настоящото искане пред КЗЛД за разрешение за трансфер на лични данни въз основа на приетите ОКП.
Г-жа М.А.-Т. информира КЗЛД, че с решение на ЕК Групата от дружества S. е включена в списъка на дружества, за които процедурата по кооперация в ЕС относно ОКП е приключила, след като С. АГ Германия е кандидатствал пред Националната агенция по защита на личните данни в Бавария, Германия – http://ec.euгора.eu/justice/data-protection/document/international-transfers/binding-corporate-rules/bcr_cooperation/index_en.htm.
ОКП са задължителни за членовете на S. групата чрез:
– Мерки или правила, които са правно обвързващи за всички членове на Групата;
– Инкорпориране на ОКП в контекста на общата рамка от бизнес принципи на Група, подкрепена от подходящи политики, одити и санкции.
Управителите на „С.Х.“ ЕООД – Т.В. и С.Х. са подписали и публикували ОКП в нарочно вътрешно циркулярно писмо №11/09.07.2015г., което е писмено разпространено до всички служители на дружеството. По този начин ОКП се превръщат във вътрешна политика на S. и като такива са част от т.нар. Правила за бизнес поведение на С. (ПБПС), които описват бизнес политиката на S. и са правно обвързващи за всички дружества от Групата и служителите на S. в света. ПБПС са правната рамка, чрез която компанията иска да поддържа успешни етични бизнес дейности. Съответствие с ПБПС се съблюдава във всички S. дружества редовно. Съществува вътрешна дружествена структура по Етичен бизнес на нивото на С. АГГермания, вътрешни бизнес отдели и държави, за да се гарантира, че насоките на бизнес поведение се изпълняват.
Дружествата в групата на S. са разделени на икономически териториални области, в които се осъществяват различни дейности, потенциално водещи до трансфер на лични данни между тях. Нещо повече, S. е разделен на четири дивизии (Здравеопазване, Енергетика, Индустрия, Инфраструктура и градове), което може да наложи прехвърляне на данни между различни дивизийни дружества за определен проект/бизнес цели.
ОКП се прилагат за всички трансфери на лични данни:
– от Европейското икономическо пространство (ЕИП) или
– страни, които имат адекватно ниво на защита на данните, както е признато по силата на официално решение от Европейската комисия до други компании от S. групата и/или други приемащи компании по света.
Трансфер на лични данни, базирани на ОКП, може да се осъществява от:
– всяка S. компания към С. АГ Германия и обратно, или
– всяка S. компания към друга компания от S. група (например от С. ЕООД до S. Чехия, S. Русия, S. Швейцария, S. Швеция, S. Франция, S. Норвегия) за всички свързани с бизнес цели, включително, но не само HR администрация и развитие, спазване, докладване, сътрудничество и бизнес.
В искането за трансфер на лични данни, е предоставен списък на третите страни (държави извън ЕС)– 71 на брой, в които ще бъде извършван трансфер на лични данни от Република България към компании от S. групата.
Всички видове лични данни (напр. данни за служителите, клиенти, доставчици, бизнес партньори), включително чувствителни лични данни, се покриват от ОКП (където е необходимо).
|
Типични цели на тези трансфери са:
|
ЧР администрация и развитие на персонала, бизнес цели (т.е. изпълнението на проекти и поръчки на клиенти, доставка на стоки и услуги от доставчици, вътрешна комуникация, сътрудничество в глобален, дивизионен или национален мащаб, консолидация на ИТ услуги, централизирано предоставяне на ИТ услуги, за целите на Етичния бизнес).
|
|
|
Цели, за които
обхванатите от ОКП данни са
прехвърлени на трети страни:
|
Централизирано предоставяне на ИТ услуги, изпълнението на международни проекти в глобален, дивизионен или национален мащаб, ЧР процеси, напр. делегация на служители на други фирми в други страни.
|
|
|
Що се отнася до ОКП, следните въпроси са разгледани в долуописания начин:
|
||
|
Прозрачност
|
Това е разгледано в раздел 4.3 на ОКП. Лични данни трябва да бъдат обработвани по прозрачен начин. Физическите лица, чиито данни се обработват, трябва да бъдат информирани за самоличността на отговорното лице и износителя на данни, самоличността на приемащото лице, целта на прехвърлянето, произхода на данните (ако не се събират от физическото лице) и т.н.
|
|
|
Цел
|
Това е разгледано в раздел 4.2 от ОКП. Личните данни могат да бъдат обработвани само за специфични законни цели.
|
|
|
Качество на данните и икономичност на данните
|
Принципът за качеството на данните се съдържа в раздел 4.4 от ОКП. Данните трябва да бъдат адекватни, правилни и – ако е необходимо -непрекъснато актуализирани. Обработват се само данните, които са необходими. Данните, които вече не се изискват за целите, за които са събрани, трябва да бъдат изтрити.
|
|
|
Сигурност на данните
|
Сигурността на данните е разгледана в раздел 4.8 от ОКП. Дружествата са длъжни да създадат адекватни технически и организационни мерки за защита на личните данни от неумишлено изтриване, нелегитимна употреба, загуба, унищожаване, нелегитимно последващо прехвърляне или неоторизиран достъп.
|
|
|
Материални права на субектите
|
Материалните правата на субектите, чиито лични данни се обработват и прехвърлят (информация, достъп, коригиране, заличаване, блокиране, права за възражение), са установени в раздел 5 от ОКП.
|
|
|
Последващо прехвърляне на данни
|
Последващият трансфер на лични данни е разгледан в раздел 4.5 от ОКП. Този раздел постановява съгласно кои ограничени предпоставки може да се осъществи по-нататъшно предаване на лични данни на други приемащи лица, които не са обвързани с ОКП от държава извън ЕИП или към друга държава извън ЕИП страна.
|
|
|
Други
|
Раздел 4.6 от ОКП се занимава с чувствителни данни (специални категории лични данни), които, като общо правило, изобщо не могат да бъдат обработени, освен ако физическото лице е дало съгласието си за обработка на данните му.
Раздел 4.7 обръща внимание на автоматичните индивидуални решения, касаещи физически лица.
Раздел 4.9 от ОКП се фокусира върху поверителността на обработката на данни и Раздел 4.10 разглежда поръчването на обработка на данни и предпоставките, при които се допуска такава обработка.
|
|
Въз основа на гореизложеното г-жа М.А.-Т. се обръща към КЗЛД с молба да бъде удовлетворенонастоящото искане и да бъде разрешено на „С.Х.“ ЕООД да извършва трансфер на лични данни въз основа на приетите Обвързващи корпоративни правила за компании от S. групата и други приемащи компании за защита на личните данни.
Към искането са приложени:
1. Български превод и копие на английски език на Обвързващи корпоративни правила за компании от S. групата и други приемащи компании за защита на личните данни;
2. Пълномощно.
Правен анализ:
„С.Х.“ ЕООД е Еднолично дружество с ограничена отговорност, с основен предмет на дейност: развитие, производство, дистрибуция, доставка, инсталиране и поддръжка на медицинска апаратура, системи и решения от всякакъв вид. Дружеството може да извършва всякаква дейност и да предприема всякакви мерки, които са свързани с предмета на дейност на дружеството или за които се счита, че прако или непряко допринасят за развитието на дейността на дружеството. Едноличен собственик на капитала на „С.Х.“ ЕООД е С. АГ, Чуждестранно юридическо лице, Идентификация FN 60562 m, държава: Австрия.
Еднолично дружество с ограничена отговорност „С.Х." е вписано в електронния регистър на Администраторите на лични данни към КЗЛД под идентификационен № 416294.В заявлението е посочено, че „С.Х." ЕООД поддържа седем регистъра.
По отношение на регистрите „Контрагенти”; „Потенциални контрагенти“ и „Служители“, е заявена възможността за предоставяне на данни в други държави по отношение на данните, съдържащи се в тях, а държавите, към които е посочено, че ще се извършва предоставянето на данни са Австрия и Германия.
Искането за разрешаване на трансфер е на основание чл.36 б, ал.1 от ЗЗЛД, т.е. извън случаите по чл.36 а от ЗЗЛД, предоставянето на лични данни в трета държава се извършва след разрешение на Комисията за защита на личните данни, при условие че администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за защитата им.
Обвързващите корпоративни правила (Binding Corporate Rules) представляват глобален кодекс за практики, базиран на европейските стандарти за защита на данните, който се изготвя от мултинационални компании и се спазва доброволно от тях с цел осигуряване на адекватни мерки за трансфер на данни между фирмите, в рамките на корпорацията. Създадени са като допълнителен инструмент за трансфер, освен стандартните договорни клаузи, като тяхната регулация се извършва чрез Работните документи (РД) на Работната група по чл.29. На 24 юни 2008г., Работната група по член 29 прие три работни документа относно обвързващите корпоративни правила (ОКП), включително документ, въвеждащ таблица с елементите и принципите, които трябва да се съдържат в обвързващите корпоративни правила (РД153) и документ, въвеждащ образец за структуриране на обвързващите корпоративни правила (РД154). По този начин, групата направи важна крачка към подобряване на процедурата на сътрудничество по ОКП чрез предоставянето на допълнителни обяснителни материали, които да бъдат осигурени на кандидатстващите от органите за защита на данните, и да изясняват необходимото съдържание на правилата и формуляра. Въз основа на предприетите действия по този въпрос, органи за защита на данните от следните страни се ангажират да признаят взаимно правилата, изпратени до тях посредством процедурата за сътрудничество: Франция, Германия (федерално и местно ниво), Ирландия, Италия, Люксембург, Холандия, Испания и Великобритания. Тези институции, трябва да вземат в предвид следните условия:
а) Преди започване на анализа на ОКП, водещият орган се допитва до другите органи, които участват в процедурата по сътрудничество относно настоящи жалби и/или (минали) разследвания, свързани с компанията и/или нейните подизпълнители;
б) Водещият орган преценява дали кандидата, който желае да се възползва от процедурата за взаимно признаване е гарантирал, че всички споменати елементи в документите на Работната група– РД74, 108, 153 и изпратени материали, според РД154 са въведени в неговите правила и че с цел улесняване на одобрение на национално ниво от заинтересованите институции, в съответствие с процедурните задължения, заложени в националното право е попълнил РД133. Освен това, подгрупата по обвързващите корпоративни правила в рамките на Работна група по член 29 въвежда извършването на годишна преценка с цел да осигури и поддържа високо ниво на качество и съответствие на националните анализи на ОКП, по отношение на съдържанието и процедурата. Взаимното признаване на ОКП е по-скоро политически ангажимент, отколкото правна промяна. Това означава, че когато водещият орган за защита на данните изпрати консолидирания проект на ОКП с позитивно становище, че той покрива задължителните стандарти, приети в съответствие с всички документи на Работната група по член29, споменати по-горе в т.б), другите органи приемат това становище като достатъчно основание за даване на тяхното собствено разрешение или оторизация за прилагането на ОКП, или за изпращане на позитивно становище на институцията, която дава оторизация.
За целите на разрешаване на ОКП, S. подава заявление за разрешение на ОКП пред Службата на информационния комисар (СИК), Великобритания. С решение на ЕК Групата от дружества S. е включена в списъка на дружествата, за които процедурата по кооперация в ЕС, относно ОКП е приключила, след като С. АГ Германия е кандидатствала пред Националната агенция по защита на личните данни в Бавария, Германия. Основната цел на тези обвързващи корпоративни правила (ОКП) е да гарантират, във всички компании от S. групата и други приемащи компании, адекватна защита на личните данни, прехвърляни по време на бизнес от дадена участваща компания, учредена в страна от Европейската икономическа зона (страна от ЕИЗ) или в страна с адекватно ниво на защита на данни, както е признато чрез решение на Комисията на ЕС до други компании от S. групата и/или други приемащи компании. Всички компании от S. групата и всички други приемащи компании по света влизат в обхвата на ОКП. ОКП са валидни, от една страна, при обработката на всички лични данни, прехвърляни от компания на S. групата или друга приемаща компания, учредена в страна от ЕИЗ или учредена в страна с адекватно ниво на защита на данни, както е признато чрез решение на Комисията на ЕС към компания от S. групата или друга приемаща компания, учредена извън ЕИЗ. Освен това те са валидни, от друга страна, при обработката на лични данни от участващи компании, учредени в страна от ЕИЗ или в страна с адекватно ниво на защита на данни, както е признато чрез решение на Комисията на ЕС.
Така ОКП защитават всички лични данни на служители, клиенти, доставчици, акционери и всички други – настоящи или бъдещи – договарящи се страни и бизнес партньори на компания от S. групата или друга приемаща компания, учредена в страна от ЕИЗ или в страна с адекватно ниво на защита на данни, както е признато чрез решение на Комисията на ЕС, включително доколкото тези данни са прехвърлени към участваща компания, учредена извън ЕИЗ и са обработени допълнително от участващата компания.
В представените ОКП е посочено, че целта на ОКП е персоналните данни да се обработват изключително за конкретни, ясно формулирани и законни цели. При никакви обстоятелства личните данни не се обработват по начин, несъвместим със законните цели, за които са били събрани самите данни. Участващите компании са задължени да се придържат към тези първоначални цели при съхранението и допълнителната обработка или използване на данните, прехвърлени към тях от друга участваща компания; целта на обработката на данни може да се променя само със съгласието на субекта на данни или до степен, разрешена от националното законодателство, на разпоредбите на което трябва да се подчинява участващата компания, която прехвърля данните.
Принципите за обработване на личните данни са извлечени конкретно от Директива на ЕС 95/46/ЕС за защита на данни и Мадридската резолюция от 5 ноември 2009г., се прилагат при обработването на лични данни от участващи компании в рамките на обхвата на настоящите ОКП.
Легитимност и законност на обработването на лични данни – обработването на лични данни се извършва законно при спазване на съответните законови разпоредби и при надлежно зачитане на принципите, изложени в тези ОКП. Обработване на личните данни се разрешава само при изпълнението на поне едно от следните предварителни изисквания:
– Субектът на данни е дал(а) свободно своето недвусмислено, действително съгласие, или обработването на данни е за целта на установяването на договорно отношение или подобно отношение на доверие със субекта на данните, или
– Обработването е необходимо, за да защити оправдани интереси на контрольора и не съществуват основания за допускане, че субектът на данни има приоритетен интерес да попречи на обработването на данните, или
– Обработването е договорена или разрешена от националното законодателство и разпоредбите, които са валидни за контрольора, или
– Обработването е необходимо за спазване на юридически задължения, на които контрольорът се подчинява, или
– Обработването е необходимо най-вече, за да се защити живота, здравето или безопасността на субекта на данни.
Контрольорът осигурява опростени, бързи и ефективни процедури, които позволяват на субекта на данни да оттегли съгласието си по всяко време.
Всички участващи компании обработват лични данни по прозрачен начин. На субектите на данни, чиито лични данни се обработват от дадена участваща компания, се предоставя необходимата информация от участващата компания.
Личните данни трябва да бъдат фактически верни и при необходимост да се актуализират периодично. Трябва да се предприемат подходящи мерки, за да се гарантира, че неточните или непълните данни са коригирани или изтрити.
Обработването на данни се направлява от принципа за икономичност на данните. Целта е да се съберат, обработят и използват само тези лични данни, които са необходими, т.е. възможно най-малко количество лични данни. По-конкретно, трябва да се използва възможността за анонимни или псевдонимни данни, при условие, че необходимата цена и усилия са съизмерими с желаната цел. Статистическа оценка или проучвания, базирани на анонимизирани или псевдонимизирани данни, не са релевантни за цели на защита на неприкосновеността на личните данни, при условие, че такива данни не могат да се използват за идентифициране на субекта на данни. Личните данни, които вече не са необходими за бизнес целите, за които са били първоначално събрани и запаметени, следва да бъдат изтрити. В случай, че се прилагат законни периоди на задържане, данните не се изтриват, а се блокират.
Прехвърлянето на лични данни от дадена участваща компания (т.е. компания от S. групата или друга приемаща компания) към неучастваща компания (т.е. компания, която не е обвързана с ОКП, включваща притежавани с миноритарен дял компании, които не са сключили Споразумение за приемане и външни компании) извън ЕИЗ е допустимо само при следните условия:
– Приемното звено разполага с адекватно ниво на защита за лични данни в рамките на чл.25 на Директива 95/46/ЕС на ЕС за защита на данни, напр. чрез сключване на стандартен договор за ЕС (стандартни договорни клаузи за обработващи данни 2010/87/EU или стандартни договорни клаузи между контрольорите на данни 2001/497/ЕС или 2004/915/ЕС) или чрез сключване на други подходящи договорни споразумения между прехвърлящата и приемащата страна;
– Прехвърлянето е допустимо при изключенията, дефинирани в чл.26 на Директива 95/46/ЕС на ЕС за защита на данни;
– Ако приемното звено е обработващ, то условията, дефинирани в чл.16 и чл.17 на Директива 95/46/ЕС на ЕС за защита на данни, трябва допълнително да бъдат изпълнени.
Като общо правило, специални категории лични данни, с други думи, информация за расов или етнически произход, политически възгледи, религиозни и философски вярвания, членство в профсъюзи, здравен или сексуален живот на дадено лице, не могат да бъдат обработвани. Ако бъде необходима обработка на специални категории лични данни, трябва задължително да бъде получено личното съгласие на субекта на данни, освен при наличие на условия изброени изчерпателно в ОКП.
В ОКП се въвежда фигурата на Контрольорите (юридически независима компания, която определя целите и средствата на обработване на данни. Зависими клонове, места за бизнес и постоянни учреждения са част от контрольора). Контрольорите трябва да предприемат подходящи технически и организационни мерки, за да гарантират необходимата сигурност на данните, която предпазва личните данни срещу случайно или незаконно изтриване, неоторизирано използване, промяна, срещу загуба, унищожение, както и срещу неоторизирано разкриване или неоторизиран достъп. Свързана със съвременното състояние и цената на тяхното внедряване, такива мерки осигуряват ниво на сигурност, подходящо за рисковете, представени от обработката и характера на данните, които е необходимо да бъдат защитени. На специални категории лични данни трябва да бъде осигурена специална защита.
Само персонал, лицата от които са оторизирани и са конкретно инструктирани да спазват изискванията за защита на неприкосновеност на лични данни, могат да събират, обработват или използват лични данни. Оторизацията на достъп на отделен служител ще бъде ограничена в съответствие с характера и обхвата на неговото/нейното конкретно поле на дейност. На служителя се забранява да използва лични данни за частни цели, от прехвърляне или предоставяне по друг начин на лични данни на разположение на неоторизирани лица. „Неоторизирани лица" в този смисъл включват, например, други служители, доколкото лични данни не са необходими за изпълнение на техните задачи като специалисти. Задължението на поверителност продължава и след приключване на трудовите взаимоотношения с въпросния служител.
S., съгласно ОКП, има комплексна групова структура с голям брой групови компании и участващи компании, между които се обменят лични данни за много цели. Обмяната на данни се извършва между участващите компании, учредени в страна от ЕИЗ, както и с участващи компании, учредени извън ЕИЗ.
Нуждата от такава вътрешногрупова обмяна на данни в рамките на S. групата засяга личните данни на служители, клиенти, доставчици, акционери и други бизнес партньори и договарящи се страни. Това включва – в зависимост от зададената цел – например, име, глобален идентификатор, дата на раждане, националност, семейно положение, род, данни за контакт, адрес, профил, данни за банкови сметки, религия, информация за образование, знания и умения, кариера, дата на вписване, длъжност и т.н.
Тези данни се обработват и прехвърлят в S. групата изключително в рамките на обхвата на нормални бизнес цели и за цели на вътрешната администрация. Прехвърлянето на данни по този начин се извършва за цели на набиране на персонал, администриране на човешки ресурси и развитие на персонала, за цели на съвместимост, за оформянето и внедряването на възлагания на задачи и проекти за външни и вътрешни клиенти, за обработката на нареждания за покупка и работни поръчки със снабдители и доставчици на услуги, за изпълнението на задължения по отчетност, за изпълнението на платими задължения или събиране на вземания, за счетоводство, за цели на вътрешна комуникация, за цели на консолидация и пулинг на ІТ процеси в определени региони с цел намаляване на разходи, както и във връзка със сътрудничеството и координирането на групови компании в направлението, както и на регионално ниво, или на глобално ниво по време на глобални бизнес транзакции и проекти.
ОКП са приети от S.A. (S. AG) и приведени в изпълнение чрез публикуване на корпоративен циркулярен документ на S. Отговорността за внедряването на ОКП в участващата компания се носи от Изпълнителното ръководство на участващата компания, отговорността за изпълнението в отделни случаи се носи от звеното на компанията, обработваща лични данни, като част от нейната експертна роля. В компаниите от S. групата отговорността се носи от Главния изпълнителен директор на компанията от S. групата в качеството му/й на изпълнител по неприкосновеност на лични данни (DPE). ОКП трябва да бъдат спазвани и изпълнявани от всички компании в S. групата и от другите приемащи компании, с обвързващ ефект. С цел документиране на приемането и внедряването на ОКП, при компании от групата, изпълнителното ръководство на въпросната групова компания издава изрична писмена Декларация за ангажираност към разпоредбите на ОКП. Издаването на тази писмена Декларация за ангажираност прави разпоредбите на ОКП индивидуално обвързващи за компанията от групата.
Служителите на участващите компании също са обвързани с разпоредбите на ОКП. Главният изпълнителен директор на конкретната участваща компания е задължен да гарантира чрез подходящи мерки, че ОКП имат обвързващ юридически ефект за служителите.
При така поставената фактология и доказателства може да се приеме, че администраторът, предоставящ данните, и администраторът, който ги получава, предоставят достатъчно гаранции за тяхната защитата, на основание чл.36 б, ал.1 от ЗЗЛД , във връзка с чл.10, ал.1, т.4 от ЗЗЛД следва да се разреши на администратора на лични данни „С.Х." ЕООД да извършва трансфер на лични данни въз основа на приетите Обвързващи корпоративни правила за компании от S. групата и други приемащи компании за защита на личните данни на физически лица, въз основа на представените доказателства удостоверяващи поети договорни ангажименти за това, че администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за тяхната защитата.
С оглед изложеното до тук, въз основа на представените, може да се приеме, че администраторът, предоставящ данните, и администраторите, който ги получават, представят достатъчно гаранции за тяхната защитата.
Във връзка с горното и на основание чл.36б, ал.1 от ЗЗЛД във връзка с чл.10, ал.1, т.4 от ЗЗЛД, Комисията за защита на лични данни изразява следното
РЕШИ:
Разрешава на администратора на лични данни „С.Х." ЕООД да извършва трансфер на лични данни към компании в рамките на S. групата,въз основа на приетите Обвързващи корпоративни правилапри спазване условията, изискванията и сроковете, разписани в тях.
Решението на Комисията може да се обжалва пред Върховния административен съд в 14 /четиринадесет/ дневен срок от получаването му.
| ЧЛЕНОВЕ: | |
| Цанко Цолов /п/ Цветелин Софрониев /п/ Мария Матева /п/ |
|
