Становище на КЗЛД във връзка с искане от търговско представителство по въпроси, касаещи предоставянето на лични данни на трети лица

ОТНОСНО: Становище във връзка с искане от „Н.Ф.С.“ Търговско представителство по въпроси, касаещи предоставянето на лични данни на трети лица.

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и Членове: Цанко Цолов, Цветелин Софрониев,Мария Матеваи Веселин Целков на заседание, проведено на 01.04.2015год., разгледа исканеза становище с вх.№П-1254/12.02.2015год. от А.Ц. в качеството на пълномощник на управителя на„Н.Ф.С.“ Търговско представителство.

В искането се посочва, че Н.Ф.С. АГ е търговско дружество, учредено и съществуващо съгласно законите на Конфедерация Швейцария. Швейцарското дружество е част от мултинационалната корпоративна група Н. АГ. Н.Ф.С. АГ е регистрирало в България търговско представителство, съгласно Закона за насърчаване на инвестициите.

Заявителят информира, че през 2008год. „Н.Ф.С.“ Търговско представителство е вписано като администратор на лични данни под идентификационен №52987. През 2013год., във връзка с назначаването на Х.Т. за управител на Търговското представителство, същото е пререгистрирано с идентификационен №368324.

По повод осъществяваната дейност от мултинационалната група на Н., възниква необходимост от прехвърляне на лични данни от някое от лицата от групата към друго такова, последното действащо от своя страна в качеството си на администратор на лични данни или обработващ лични данни. От Търговското представителство са наясно, че съгласно българското законодателство и становище на Комисията за защита на личните данни (КЗЛД), Обвързващите корпоративни правила, приети от лицата от групата Н. (в това число и от Търговското представителство на Н.Ф.С. в България) не са нормативно признато основание за трансфер на данни. Предвид посоченото обстоятелство, в качеството на администратор на лични данни Търговското представителство до настоящия момент е извършвало прехвърляне на лични данни само на дружества от групата на Н. със седалище в Швейцария, на основание чл.36а, ал.5 от ЗЗЛД във връзка с чл.53а от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация (Правилника). Това прехвърляне, в съответствие с чл.53б от Правилника, е заявено във водения от КЗЛД регистър. Също така Търговското представителство е получило изричното предварително писмено съгласие на лицата за прехвърлянето във връзка с конкретни цели.

Във връзка с така изложената информация, заявителят отправя искане към КЗЛД за становище по първи въпрос: В случай, че „Н.Ф.С.“ Търговско представителство прехвърля лични данни на друг администратор в Швейцария (например Н.Ф.С. АГ, Швейцария или Н. АГ, Швейцария), необходимо ли е разрешение на КЗЛД за последващо прехвърляне на данните от страна на швейцарското дружество-администратор на трети лица или това последващо прехвърляне следва да бъде извършено съгласно разпоредбите на швейцарското законодателство и под контрола на швейцарските органи за защита на личните данни.

В искането до КЗЛД също така се посочва, че между Н. и salesforce.com, Inc. (дружество, учредено и съществуващо съгласно законите на САЩ) е налице сключен договор. Съгласно този договор, salesforce.com, Inc. оказва услуги на дружества от групата на Н., в това число и на Н.Ф.С. АГ, Швейцария, а именно– съхранение на бази данни на администратори от групата на Н. на сървър на американското дружество в облак, които данни впоследствие се достъпват чрез Интернет от лица, оторизирани от Н. да обработват данните (т.нар „cloud“ услуги).

Вторият въпрос във връзка с изложеното е: Ако „Н.Ф.С.“ Търговско представителство прехвърля лични данни към Н.Ф.С. АГ, Швейцария чрез въвеждането на данните директно на сървър на salesforce.com, Inc., на което швейцарското дружество е възложило съхранението на данните в cloud, това ще се счита за трансфер на лични данни към Швейцария, или за трансфер на данните в САЩ. В случая следва да се има предвид, че администратор на данните, след въвеждането им на сървъра, ще бъде Н.Ф.С. АГ, Швейцария, а не salesforce.com, Inc. Данните се предоставят от „Н.Ф.С.“ Търговско представителство на Н.Ф.С. АГ, Швейцария съгласно Обвързващите корпоративни правила на групата Н. Н.Ф.С. АГ, Швейцария определя целите и средствата за обработване на личните данни. Заявителят допълва също и че salesforce.com, Inc. е сертифицирано но Сейф Харбър и е включено в списъка, публикуван от Департамента по търговия на САЩ. Съгласно договора с Н., salesforce.com, Inc. е задължено да поддържа регистрацията и да спазва рамката Сейф Харбър и Решение №2000/520/ ЕО от 26.07.2000год. относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот „и свързаните с това често задавани въпроси”, публикувани от Департамента по търговия на САЩ.В допълнение към искането са описани процедурите по отношение на съхраняването и обработването в режим на „cloud“ услуги– данните ще се съхраняват и обработват в т.нар. „облак-близнак“, т.е. данните, въвеждани на сървъра в САЩ във всеки един момент ще се репликират (копират) на сървър на Н.Ф.С. АГ в Швейцария, който се администрира от лица в Испания. Впоследствие данните се репликират на още един сървър на Н. в Базел, Швейцария. До този сървър достъп има N.H., Индия, което обработва данните.

В искането се посочва: в случай, че КЗЛД прецени, че така описаното прехвърляне на данни се извършва към САЩ, дали ще бъде необходимо разрешение на КЗЛД или може да бъде приложен уведомителния режим, съгласно чл.53а от Правилника, в случай, че между salesforce.com, Inc. и „Н.Ф.С.“ Търговско представителство бъде сключено споразумение за прилагане на стандартни договорни клаузи, приети с решение на Европейската комисия, като допълнително споразумение към глобалния договор за услуги, оказвани от salesforce.com, Inc. на дружества от групата на Н.

От гледна точка на защитата на личните данни и предвид поставените в искането въпроси, следва да се разгледат ролите на участниците в целия процес по предоставяне на данни, както и техните специфични задължения.

Както заявителят е посочил,„Н.Ф.С.“ Търговско представителство е част от мултинационалната група на Н. и по повод на осъществяваната дейност, за дружествата от групата в определени случаи възниква необходимост от предоставяне на лични данни към един или повече от членовете на групата. В конкретния случай, за „Н.Ф.С.“, Търговско представителство възниква необходимост от трансфериране на лични данни към Н.Ф.С. АГ, Швейцария. Съгласно предоставената в искането информация, прехвърлянето на лични данни между членовете от групата се осъществява въз основа на принципите и разпоредбите на Обвързващи корпоративни правила, приети от членовете на групата Н., в това число и от Търговското представителство на Н.Ф.С. в България. Прехвърлянето на лични данни между Търговското представителство в България и Н.Ф.С. АГ, Швейцария са взаимоотношения между двама администратори, които следва да бъдат уредени въз основа на съответни нормативни правила.Съгласно чл.36а, ал.1 от Закона за защита на личните данни (ЗЗЛД), предоставянето на лични данни в държава- членка на Европейския съюз, както и в друга държава- членка на Европейското икономическо пространство, се извършва свободно при спазване на изискванията на този закон. Предвид обстоятелството, че Швейцария не е членка на ЕС или ЕИП и по смисъла на § 1, т.14 от ДР на ЗЗЛД е „трета държава“, в тези хипотези, съгласно чл.36а, ал.2 от ЗЗЛД, предоставянето на лични данни в съответната трета държава се допуска само ако тя осигурява адекватно ниво на защита на личните данни на своя територия. В разпоредбите на чл.36а, ал.5, т.1 от ЗЗЛД е предвидено изключение от правилото на чл.36а, ал.2 от ЗЗЛД, а именно: КЗЛД не извършва преценка за адекватност на нивото на защита в случаите, когато е необходимо изпълнение на решение на Европейската комисия (ЕК), с което тя се е произнесла, че третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита. В изключителната компетентност на ЕК е определянето на адекватно ниво на защита на данните, което се посочва като „заключение за адекватност”. Произнасянето на ЕК в разглеждания смисъл е с решение от 26.07.2000г.– 2000/518/ЕС, с което е налице произнасяне за адекватно ниво на защита на личните данни в Швейцария. Въз основа на посочените нормативни правила Търговското представителство на Н.Ф.С. в България извършва трансфер на лични данни към друг администратор (Н.Ф.С. АГ, Швейцария) на територията на Швейцария.

За да бъде законосъобразно обаче обработването на личните данни чрез предоставянето им на друг администратор, Търговското представителство на Н.Ф.С. в България следва да се съобрази и с разпоредбите на чл.4, ал.1 от ЗЗЛД, които предвиждат седем алтернативни предпоставки, при наличието които предоставянето на данните е законосъобразно и допустимо. В конкретния случай е приложима разпоредбата на чл.4, ал.1, т.2 от ЗЗЛД, съгласно която физическите лица, за които се отнасят данните, са дали предварително своето недвусмислено и информирано съгласие за предоставянето им. Важно е да се отбележи обстоятелството за предварителното даване на съгласие от физическите лица и че това не е формален акт. Прозрачността е от ключово значение за добросъвестното и законно обработване на лични данни. Посоченото задължение на администратора Н.Ф.С., Търговско представителство (чл. 4, ал.1, т.2 от ЗЗЛД и аналогичният текст на чл.10 от Директива 95/46/ЕО) предполага да предостави информация на съответните физически лица, чиито данни ще предоставя в Швейцария, относно целта, за която данните се предоставят. Освен това следва да предостави допълнителна информация за получателите или категориите получатели на тези данни, което може да включва обработващи данни лица и техни подизпълнители (включително и информация относно обработването в режим на „cloud“ услуги и обработващият salesforce.com, Inc. и фактът, че сървърът е позициониран в САЩ), доколкото е необходима допълнителна информация, за да се гарантира добросъвестно обработване от гледна точка на субектите на данни.

При спазване на посочените нормативни критерии за трансфер на лични данни, администраторът на лични данни Н.Ф.С., Търговско представителство ще извършва по законосъобразен начин предоставяне на данните към администратора Н.Ф.С. АГ, Швейцария, позициониран в Швейцария. След получаване на личните данни, швейцарското дружество- администратор носи отговорност за законосъобразното и добросъвестно обработване на данните, съобразно критериите, разписани в Директива 95/46/ЕО и швейцарското законодателство. В случай, че за Н.Ф.С. АГ, Швейцария възникне необходимост от последващо прехвърляне на данните, то това ще се извърши съгласно разпоредбите на швейцарското законодателство и под контрола на швейцарските органи за защита на личните данни, без да е необходимо допълнително разрешение на КЗЛД за последващо прехвърляне на данните. В този смисъл следва да се отговори и на първия, поставен в искането въпрос.

По отношение на втория въпрос– въвеждането на данните на сървър, позициониран в САЩ за целите на трансфера към администратор, позициониран в Швейцария, за трансфер на лични данни към Швейцария ли ще се счита или за трансфер на лични данни към САЩ, следва да се има предвид следното:

Видно от изложената в искането информация, личните данни се предоставят на администратора Н.Ф.С. АГ, Швейцария, съгласно Обвързващите корпоративни правила на групата Н. Швейцарският администратор ще определя целите и средствата за обработване на получените чрез трансфера лични данни. Именно във връзка с това обстоятелство Н.Ф.С. АГ, Швейцария е определил средствата, чрез които ще се обработват личните данни– въз основа на договор, сключен с американското дружество salesforce.com, Inc., с предмет: съхраняване и обработване на личните данни в режим на „cloud“ услуги. В конкретната хипотеза американското дружество се явява „Обработващ лични данни“ от името на администратора на лични данни Н.Ф.С. АГ, Швейцария. Право на всеки администратор е да определи целите и средствата, чрез които ще обработва личните данни. В случай, че не разполага с технологична възможност да съхранява базата данни в електронен вид, допустимо е администраторът да сключи договор с лице в качеството на „Обработващ лични данни“, което да се задължи от името на администратора да съхранява електронната база данни в режим на „cloud“ услуги. Това обаче не означава, че при въвеждането на личните данни на сървъра на salesforce.com, Inc. трансферът се извършва към САЩ. Данните, предмет на трансфера, се предоставят на швейцарският администратор Н.Ф.С. АГ, Швейцария, който е определил средствата, чрез които ще обработва данните (съхранение на личните данни в cloud).

Във връзка с изложеното и от гледна точка на защитата на личните данни обаче, следва да се обърне специално внимание, че наред с ползите от обработването в облак, могат да възникнат и някои рискове по отношение на личните данни, обработвани в такава среда. Поради тази причина се обръща все по-голямо внимание на техническите и организационни мерки за защита в такива случаи. В този смисъл е и Становище 05/2012 относно изчисленията в облак (cloud computing), прието на 1 юли 2012г. от Работната група по чл.29. Отношения, възникнали между швейцарският администратор и salesforce.com, Inc., в качеството им съответно на „администратор“ и „обработващ“, следва да бъдат уредени чрез договор, в който се определи обемът на задълженията, възложени от администратора на обработващия данните. Този писмен акт трябва да се позовава на принципите за обработване на лични данни, да съдържа информация за категориите данни, същността и целите на обработването, за получателите или категориите получатели на данните. Не на последно място в него следва да се определят и сроковете за съхранение, както и унищожаването на лични данни. Една от най-важните клаузи в договора е свързана с отговорността на обработващия, който действа само по указания на администратора и задължението му да прилага адекватни технически и организационни мерки за защита на личните данни. Тъй като работата в облак предполага по-голям риск от неоторизиран достъп до данните, е необходимо Н.Ф.С. АГ, Швейцария да предвиди редица мерки за защита на данните при така организираното обработване в рамките на мултинационалната компания.

С оглед на гореизложеното и на основание чл.10, ал.1, т 4 от ЗЗЛД Комисията за защита на лични данни изразява следното

По първи въпрос: След прехвърляне на личните данни от страна на „Н.Ф.С.“ Търговско представителство на Н.Ф.С. АГ, Швейцария, получателятна данни- швейцарското дружество администратор носи отговорност за законосъобразното и добросъвестно обработване на данните, съобразно критериите, разписани в Директива 95/46/ЕО и нормативните правила на швейцарското законодателство. В случай, че за Н.Ф.С. АГ, Швейцария възникне необходимост от последващо прехвърляне на данните, то това ще се извърши съгласно разпоредбите на швейцарското законодателство и под контрола на швейцарските органи за защита на личните данни, без да е необходимо допълнително разрешение на КЗЛД за последващо прехвърляне на данните.

Важно задължение на администратора Н.Ф.С., Търговско представителство (чл. 4, ал.1, т.2 от ЗЗЛД и аналогичният текст на чл.10 от Директива 95/46/ЕО) е да получи предварителното информирано съгласие на съответните физически лица, чиито данни ще прехвърля в Швейцария, като предварително ги уведоми относно целта, за която данните ще се трансферират. Освен това следва да предостави на лицата и информация за получателите или категориите получатели на тези данни, което може да включва обработващите данни лица и техни подизпълнители (включително и информация относно обработването в режим на „cloud“ услуги и обработващият salesforce.com, Inc. и фактът, че сървърът е позициониран в САЩ). Наличието на информирано съгласие гарантира добросъвестно обработване от гледна точка на субектите на данни.

По втория въпрос: Право на всеки администратор е да определи целите и средствата, чрез които ще обработва личните данни. В случай, че не разполага с технологична възможност да съхранява базата данни в електронен вид, допустимо е администраторът да сключи договор с лице в качеството на „Обработващ лични данни“, което да се задължи от името на администратора да съхранява електронната база данни в режим на „cloud“ услуги. Това обаче не означава, че при въвеждането на личните данни на сървъра на salesforce.com, Inc. трансферът се извършва към САЩ. Данните, предмет на трансфера, се предоставят на швейцарския администратор Н.Ф.С. АГ, Швейцария, който е определил средствата, чрез които ще обработва данните (съхранение на личните данни в cloud).