Становище на КЗЛД относно искане от „Ш.Е.Б.” ЕООД по въпроси, касаещи приложението на Закона за защита на личните данни

Относно:. Искане с вх.№n4931/2012г. от "Ш.Е.Б." ЕООД за становище от Комисията за защита на личните данни (КЗЛД) по въпроси, касаещи приложението на Закона за защита на личните данни (ЗЗЛД)

Комисията за защита на личните данни (КЗЛД) в състав: Венета Шопова, Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков на заседание, проведено на 14.11.2012г. разгледа искане с вх.№n4931/2012г. от "Ш.Е.Б." ЕООД с молба за становище от Комисията за защита на личните данни (КЗЛД) на основание чл.10, ал.1, т.4 от Закона за защита на личните данни (ЗЗЛД). В исканетое посочено, чевъв връзка с"въвеждането на система за контролна Принципите на фирмена сигурност на Ш.Е.Б.", чрез ползване нателефонна линияили уебстраница възникват няколко въпроса по отношение, на които се отправя молба за становище до Комисията. Въпросите са следните:

1. Необходимоли е създаванетона нов (отделен) регистърза лични данни за целите насистемата?

2. Колко времее необходимо да се пазят данните в системата?

3. Следва ли да сеиска писменото съгласиена служителите( чрез отделна декларация) за ползването наличните им данни, при положение, че лицатаса задълженида отметнат в поле " Потвърждение" преди да ползват системата?

4. Следва ли да се поиска разрешение от Комисиятаза защита на личните данниза трансфер на лични данни?

Към искането са приложени:

· описание на системата

· принципи нафирмена отговорност на Ш.Е.

Искането за становище е подписано отг-жа Е.В.- мениджърЧовешки ресуси, но не е приложено пълномощно от което да е видно, че тя е упълномощена да представлява дружеството пред КЗЛД във връзка с искането за становище.

С писмо изх.№п 5268/15.10.2012г., подписано отпредседателя на КЗЛД, на основание чл.30, ал.1 от Административнопроцесуалния кодекс, както и чл.30, ал.2 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация /ПДКЗЛДНА/, е поискано отг-н К.М.П.П.Д.Л.- управител на дружествотов тридневен срок от получаване на писмото,да потвърди искането пред КЗЛД, илида бъде изпратено пълномощно, от което да е видно, че г -жа Е.В. е упълномощена да представлява дружеството пред КЗЛД, във връзка с искането за становище.В указаният срок с писмо вх.№П – 5378/18.10.2012г., подписаноот г-н К.М.П.П.Д.Л. е потвърдено, че г -жа Е.В.е упълномощена да представлява дружествотопред КЗЛД във връзка с искането за становище.

Към искане за становищеса приложени кратко описане на системата и документ, наименован "Принципи наотговорност на Ш.Е.".

В документа с наименование "Принципи наотговорност на Ш.Е." е посочено, че R&ED lineе система за докладване, осигурена от S.E. и е част от Програмата за отговорност и етична динамика. Посочени са също така начините, чрез които може да се докладва за инцидент са уебстраница и гореща телефонна линия. Указано е също така, че Уебстраницата и телефонната линия, както и базата данни, в която се съхраняват личните данни и информацията, която се съдържа в доклада, се управляват от E.P. Inc., E.P., Inc., 6000 Meadows Road, Suite 200, Lake Oswego, OR 97035, USA ("E.P."). Сочи се , че E.P. управлява уеб страниците, горещата телефонна линия и базата данни от името на S.E..Указано е, че E.P. и нейните ресурси подпомагат ръководство и служители да работят заедно за справяне с измами, злоупотреби и друго некоректно поведение на работното място в усилията за насърчаване на една безопасна и позитивна работна среда.

Посочено е още, че "публично търгуваните дружества са задължени по закон да имат инструмент за анонимно докладване за справяне със счетоводни и одит измами съобразно изискванията на одитния комитет. Една ефективна система за докладване подкрепя другите ни усилия за установяване на култура на почтеност и етично вземане на решения – важни ценности за S.E.."

Уточнено е, че използването на R&ED Line е доброволно. Сочи се, че Ш.Е. може да получава и обработва доклади единствено ако потребителят на линията потвърди, че е прочел и взел под внимание Съобщението за защита на данните и се е съгласил докладите да се обработват по описания тук начин. Ето защо потребителите се молят да дадат съгласието си, като поставят отметка в кутийката за потвърждение преди да кликнат върху бутона "Продължи" в края на Съобщението за защита на данните. След това те биват пренасочени към формуляра за подаване на доклада.

Казва се, че служителите могат да се идентифицират или да останат анонимни. Указано е че, предоставената от тях информация ще се третира като поверителна.

Относно личните данни и информация, които ще бъдат събрани и обработвани епосочено, че ще са следните: "Име, Фамилия, данни за контакт (при условие, че не искат да докладват анонимно) Връзка с Ш.Е. (служители, стажанти, срочно наети служители, други) име и други лични данни на лицата, които са посочени в доклада, ако се предоставя такава информация (напр. описание на функции, данни за контакт), фактическо описание на некоректното поведение, както и описание на обстоятелствата около инцидента, включително времето и мястото на инцидента, засегнатата компания на S.E. и дали ръководството знае за инцидента."

Указано е, че всички лични данни и информация, за които са докладвани, ще се съхраняват в базата данни на Програмата за отговорност и етична динамика. Сочи се, че базата данни се хоства и ръководи от E.P. за S.E.. E.P. се придържа към т.нар. Safe Harbor Principles -Рамкова програма на ЕС за поверителността Safe Harbor, която гарантира ниво на защита на данните каквото е в ЕС при прехвърлянето на лични данни към САЩ.

Посоченое, че с цел обработка на подадения доклад, личните данни и информация могат да се прочетат, обработят и използват от компетентен отговорник по въпросите на законосъобразността в S.E., Съвета по отговорност и етика или от технически персонал на E.P. Ако е необходимо личните данни и информация могат да бъдат разкрити на полицията и/или други изпълнителни или регулаторни органи.

Посочено е също, че "Всяко лице, за което се съобщава чрез R&ED Line може да бъде уведомено в подходящо време, че е подаден доклад. Самоличността на подалия доклада няма да бъде разкрита. Въпреки това всяко лице, за което е докладвано, има право да коригира описанието на съответните обстоятелства, които са дали основание за доклада. Съгласно правилата за Поверителност на данни, ние ще информираме това лице за:

– Предприятието на S.E., което отговаря за управлението на R&ED Line;

– Фактите около обвинението(а) срещу това лице;

– Лицата или отделите, които могат да получават информация или доклади, свързани с обвинението;

– Как лицето може да упражни валидни права за достъп и коригиране на лични данни и информация.

Ако предоставянето на определена информация на това лице представлява нарушение на правата на други, той/тя няма да получи тази информация, освен ако не сме задължени по закон да я предоставим."

Относно срокът за съхранение на личните данни се казва, че "Предоставените от докладващия лични данни ще се пазят толкова дълго, колкото е необходимо за обработката на доклада (включително всички разследвания, провеждани от компетентния отдел), или ако е приложимо толкова дълго, колкото е необходимо да се наложат санкции или ако данните трябва да се съхраняват поради правни причини. Като обект на данни, лицето може да упражни правото си на достъп, коригиране или премахване на личните си данни."

Посочено е, че всяко неправомерно използване на програмата от служител може да доведе до дисциплинарни мерки за служителя. Служител, който използва програмата добросъвестно, няма да бъде обект на дисциплинарни мерки за докладването на неетично поведение.

Посочено е, също така ,че всяко лице, което иска да използва линията, трябва да даде съгласието си. – „Прочетох и разбрах Декларацията за поверителност на данните и давам съгласие за обработката на личните ми данни и информация, както е описано по-горе".

Предоставена е информация относно това как разследва S.E. опасенията- Етични опасения се докладват или онлайн или по телефона чрез R&ED Line. Комитетът по отговорност и етика се уведомява за всички доклади. Комитетът препраща докладите към съответните отговорници по въпросите на законосъобразността и техните екипи за разследване. В съответствие с местното законодателство и практиките на Компанията ще се проведе разследване. Всички разследвания се провеждат по обективен, навременен и задълбочен начин. Докладващите лица могат да проверяват статуса на разследването като кликнат върху връзката Последващо развитие (Follow Up) на уебсайта на R&ED.

Посочено е, че областите за които може да се докладва саборба с корупцията, одит и счетоводство, банково дело,финансови въпроси, конфликт на интереси, дискриминация или тормоз, безопасност и околна среда, нарушение на принципи за фирмена отговорност.

Посочено е също, че когато лицето изпрати доклада получава Ключ за доклада, с който може да влезе в системата и да ревизира доклада.

Предоставена е информация относно това как ще се прехвърлят данните – технически икак ще се гарантира, че тя се трансферира по защитен начин -"Case Management базите използват базирано на сертификати AES-256 криптиране чрез Transparent Database Encryption функцията на SQL 2008 Enterprise. По този начин се криптират файловете с данните, индексиращите файлове и лотовете с транзакциите и се избягават неоторизирани възстановки, тъй като сертификат се изисква и за възстановяване на базите. Сертификатът се генерира от SQL сървъра и се криптира с частен ключ, който не се пази на сървъра, а се съхранява в мрежата от криптирано приложение с ограничен достъп. Частният ключ за сертфиката е защитен с парола, както и архивът, съдържащ въпросния ключ. Паролите както за архива, така и за самият ключ са необходими при инсталирането на сертификата на друго място. Физическият достъп до сървъра е ограничен (сървърно помещение). Връзките до отдалечени места са посредством VPN-и, а нивата на достъп на специфичните потребители са базирани на политиките и правилата в домейна. Специфични групови политики (group policies) предотвратяват SQL-слойът да контактува със SQL администраторската група. С тази конфигурация, обикновено надвишаваме дори по-стриктните изисквания на организациите."

Относно тази информация може да се направи предположение, че е "описание на системата " , посочено като приложение, от г – жа Е.В.

Законът за защита на личните данни (ЗЗЛД) урежда защитата на правата на физическите лица при обработването на личните им данни. Негова основна цел е гарантиране неприкосновеност на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободно движение на данните. По смисъла на Законаза защита на лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Специфични признаци са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.

В чл.4, ал.1 от ЗЗЛД алтернативно са посочени условията, при наличието на поне едно от които е допустимо обработването на лични данни на физически лица.

В чл.3, ал.1 от ЗЗЛД е предвидено, че администратор на лични данни е физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на лични данни, както и който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон. След направена служебна справка в отдел “Регистър и архив” към Дирекция "Информационни фондове и системи" е установено, че "Ш.Е.Б." ЕООД с ЕИК 121587769 е администратор на лични данни по смисъла на чл.3 от ЗЗЛД. Подадено е заявление за вписване в Регистъра на администраторите и водените от тях регистри, поддържан от Комисията за защита на личните данни на основание чл.10, ал.1, т.2 от ЗЗЛД с входящ номер1026344 и има издадено удостоверение с идентификационен номер14869. От извършената проверка е видно, че Администраторът е заявил, че поддържапет регистъра със следните наименования:

1.Граждански договори.

2. Автоматизиранисистеми за управление на човешките ресурси.

3. Регистърна участниците в спонсориранплан за закупуване на акции от работниции служители на Ш.Е.

4. Труд и работна заплата.

5. Видеонаблюдение.

Във връзка с първият поставен въпрос следва да се има предвид, че независимо от факта, че с въвеждането на системата за докладване като част от Програмата за отговорност и етична динамика "Ш.Е.Б." ЕООД ще обработва лични данни, част от които вече са обект на обработване и са включени в другите регистри, заявени от Дружеството, с оглед постигане на по-голяма ефективност и прецизност на системата, би било целесъобразно обособяването и заявяването в КЗЛД на още един отделен регистър. Обособяването на отделни регистри, които се заявяват от администраторите на лични данни пред КЗЛД и се поддържат от тях се обуславя от целта, за която се осъществява обработването на данните. Поддържането на система за докладване налага обработването на различен обем данни за различни цели, свързани с гарантиране на Принципите на отговорност на Ш.Е.Б., коетоот своя страна обуславя необходимостта от създаване на отделен регистър за постигане и гарантиране на законосъобразно обработване на лични данни по смисъла на ЗЗЛД.

Във връзка с втория въпрос относно продължителността на съхранение на данните в регистъра, че определянето на срок за обработване на лични данни е предоставено на преценката на администратора, който извършва обработването при спазване на принципите за законосъобразност, целесъобразност и пропорционалност, прокламирани от ЗЗЛД.

В отговор на поставеният третивъпрос дали е необходимо да се иска писменото съгласие на служителите за ползването на личните им данни чрез отделна декларация, следва да намерят приложение разпоредбите на чл.4 от ЗЗЛД, където изчерпателно са посочени условията, при които е допустимо обработването на лични данни. По-конкретно се касае за хипотезата на чл.4, ал.1, т.2 от ЗЗЛД – обработването е допустимо, когато физическото лице, за което се отнасят данните, е дало изрично своето съгласие. От приложеното описание на системата за докладване, е видно, че поставянето на отметка в полето “Потвърждение” може да се отчете като съгласие на конкретното физическо лице за обработване на личните му данни след запознаването му със съобщението за защита на данните. Поставянето на отметка може да се приеме като изрично съгласие и като такова е достатъчно основание за законосъобразно обработване на лични данни, без да е необходимо допълнително писмено съгласие.

С оглед изясняване на въпроса относно необходимостта от даване на разрешение от Комисията за защита на личните данни при трансфер на данни, следвада се вземат предвид разпоредбите на чл.36а и следващите от ЗЗЛД. Предоставянето на лични данни в държава-членка на Европейския Съюз, както и в друга държава-членка на Европейското икономическо пространство, се извършва свободно, без да е необходимо разрешение от страна на Комисията. В случаите, в които трансферът се осъществява в трета държава (държава, която не е член на ЕС и не е страна по Споразумението за Европейско Икономическо Пространство) е необходимо предварително разрешение от страна на Комисията за защита на личните данни след преценка за наличието на адекватно ниво на защита на личните данни на територията на съответната трета държава. Преценката се извършва от Комисията след като се вземат предвид всички обстоятелства, свързани с действието или съвкупността от действия по предоставяне на данните, в това число характера на данните, целта и продължителността на обработването им, правната им уредба и мерките за сигурност, осигурени в третата държава. Съгласно последните изменения в правилника за дейността на Комисията за защита на личните данни и на нейната администрация /чл.53а/ Комисията не се произнася с решение и администраторътможе да предоставялични данни в трета държава, когато е налице решение на Европейската Комисия, с което тя се е произнесла, че третата държава, в която се предоставят личните данни, осигурява адекватно ниво на защита или че определени стандартни договорни клаузи осигуряват адекватно ниво на защита., В изложеният казус е посочено, чеE.P. –дружеството, което ще хоства и ръководи базата данни за "Ш.Е.", се придържа към т.нар. SAFE HARBOR PRINCIPLES и следва дасе подадеискане за разрешение за предоставяне налични данни в трета държава до Комисията за защита на личните данни с оглед гарантиране на неприкосновеността на личността и личния живот на физическите лица, чиито данни се обработват.

С оглед на гореизложеното и на основание чл.10, ал.1, т.4 от ЗЗЛД Комисията за защита на личните данни изразява следното

Системата за докладване налага обработването на определен обем данни за конкретни цели, свързани с гарантиране на Принципите на отговорност на Ш.Е., което от своя страна обуславя необходимостта от създаване на отделен регистър за постигане и гарантиране на законосъобразно обработване на лични данни по смисъла на ЗЗЛД.

Определянето на срок за обработване на личните данни в разглежданата хипотеза е предоставено на преценката на администратора, който извършва обработването при спазване на принципите за законосъобразност, целесъобразност и пропорционалност, прокламирани от ЗЗЛД.

Поставянето на отметка в полето “Потвърждение” може да се приеме като изрично съгласие на конкретното физическо лице, по смисъла на чл.4, ал.1, т.2 от ЗЗЛД, за обработване на личните му данни и като достатъчно основание за законосъобразно обработване на лични данни, без да е необходимо допълнително писмено съгласие.

Предвид това, че е в разглежданият казус е посочено, чеE.P. –дружеството, което ще хоства и ръководи базата данни за "Ш.Е.", се придържа към т.нар. SAFE HARBOR PRINCIPLES следва да се подадеискане за разрешение за предоставяне налични данни в трета държава до Комисията за защита на личните данни с оглед гарантиране на неприкосновеността на личността и личния живот на физическите лица, чиито данни се обработват.