СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № П-6255/2012
гр. София, 23.01.2013 г.
ОТНОСНО: Искане с вх.№П– 6255/23.11.2012 год. от адв. М.Т., преупълномощена от „Ш.Б.” ЕООД- пълномощник на Градюейт Адмишън Кансъл, юридическо лице с нестопанска цел, регистрирано по законите на САЩ, със седалище гр. Маклийн, щат Верджиния 22102, бул. „Тайсънс” 1600, офис 1400 (наричано по-долу за краткост „GMAC”) по въпроси, касаещи приложението на Закона за защита на личните данни във връзка с прилагането на българското законодателство при въвеждане от страна на GMAC в световен мащаб на нов метод за оценка, наречен Рефлект.
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и Членове: Красимир Димитров, Валентин Енев, Веселин Целков на заседание, проведено на 23.01.2013г., разгледа преписка с вх.№ П– 6255/23.11.2012 год. от адв. М.Т., преупълномощена от „Ш.Б.” ЕООД- на пълномощник на Градюейт Адмишън Кансъл, юридическо лице с нестопанска цел, регистрирано по законите на САЩ, със седалище гр. Маклийн, щат Верджиния 22102, бул. „Тайсънс” 1600, офис 1400.
В искането си до Комисията за защита на личните данни (КЗЛД, Комисията) адв. М.Т. отбелязва, че поставените от нея въпроси са във връзка с намерението на GMAC да въведе нов метод за оценка, наречен Рефлект.
Гредюейт Мениджмънт Адмишън Кансъл (Graduate Management Admission Council- GMAC) („GMAC”) е юридическо лице с нестопанска цел, регистрирано и съществуващо според законите на Съединените Американски Щати (САЩ), имащо за цел да осигурява достъп до висше бизнес образование и да подпомага бизнес университети на световно равнище. GMAC се състои от представители на водещи бизнес университети по целия свят, като предлага както на тях, така и на други лица, проявяващи интерес да получат висше бизнес образование, разнообразни програми, продукти и услуги във връзка с обучението.
Всеки потребител, който желае да се възползва от оценяването Рефлект, ще закупи лиценз под формата на код от GMAC или ще получи кода като подарък.
Потребителите на оценяването Рефлект създават профил към GMAС, използвайки електронния си адрес и парола.
След приключване на оценяването, потребителят може да види онлайн и да разпечата резултатите, както и да има достъп в продължение на 3 /три/ години до онлайн обучение и материали за мениджмънт, с цел да подпомогне усъвършенстването на своите качества.
GMAС няма представител на територията на България, който да подпомага дейността му по отношение на оценяването Рефлект или по някакъв начин да е запознат, съответно да обработва личните данни на Потребителите в тази връзка. Оценяването Рефлект се администрира само и единствено онлайн от съответния Потребител, чрез неговия собствен компютър.
GMAС има създадени офиси в страни членки на Европейския съюз/ Европейското икономическо пространство, но по отношение на оценяването Рефлект лични данни не се обработват в контекста на който и да било от тези офиси.
По повод изложеното, адв.М.Т. се обръща към КЗЛД за становище по следните въпроси:
1. Приложимо ли ще бъде в случая българското право.
2. Трябва ли GMAС да уведоми/иска разрешение от Комисията за обработване/трансфер на лични данни на Потребителите на оценяването Рефлект до САЩ?
3. GMAC не е установен на територията на Република България. Трябва ли GMAC да посочи представител, установен на територията на Република България при положение, че в Република България няма физическо и/или юридическо лице, което да подпомага дейността на GMAС по отношение на оценяването Рефлект?
4. Може ли представителят, който GMAС посочи да бъде физическо лице?
5. Каква отговорност ще носи съответният назначен представител в Република България, по отношение на обработването на лични данни от страна на GMAK?
Правен анализ на поставените въпроси:
По първия въпрос от искането за становище:
Законът за защита на личните данни се прилага за обработването на лични данни, когато администраторът на лични данни е установен на територията на Република България и обработва лични данни във връзка със своята дейност; когато не е установен на територията на Република България, но е задължен да прилага този закон по силата на международното публично право; не е установен на територията на държава- членка на Европейския съюз, както и в друга държава- членка на Европейското икономическо пространство, но за целите на обработването използва средства, разположени на българска територия, освен когато тези средства се използват само за транзитни цели; в този случай администраторът трябва да посочи представител, установен на територията на Република България, без това да го освобождава от отговорност (чл. 1, ал.4 от ЗЗЛД).
От изложеното в искането на адв. М.Т. се установява, че GMAC няма представител на територията на България, който да подпомага дейността му по отношение на оценяването Рефлект или по някакъв начин да е запознат съответно да обработва личните данни на Потребителите в тази връзка, т.е. на територията на Република България няма администратор на лични данни, който да обработва данните на потребителите за целите на оценяването Рефлект.
Оценяването Рефлект се администрира само и единствено онлайн от съответния Потребител, чрез неговия собствен компютър. Компютърът на Потребителя би могъл да има различно местоположение, т.е. компютърът на Потребителя би могъл да се намира в Република България/, но съществува и хипотетична възможност компютърът на Потребителя, чрез който се осъществява онлайн връзка със сървъра в САЩ, да се намира на която и да е друга територия. Няма друго компютърно оборудване, което да се използва за извършване на оценяването и получаване на резултатите, с изключение на личния компютър на Потребителя. Докато се извършва оценяването, Потребителят е свързан със сървърите в САЩ. Няма свързване с други сървъри, намиращи се на територията на страна членка на Европейския съюз/Европейското икономическо пространство.
При извършване на оценяването Рефлект се използват две кукис /cookies/. И двете кукис /cookies/ са налични само по времето, в което браузъра на компютъра на Потребителя е отворен и нито една от тях няма четимо съдържание.
С оглед гореизложеното, може да се направи изводът, че българското право и по-специално Законът за защита на личните данни не е приложим към поставените от адв. М.Т. въпроси във връзка с GMAС и въвеждането на новия метод за оценка поради обстоятелството, че взаимоотношенията по повод подробно описания метод за оценка Рефлект не са относими към нито една от изчерпателно изброените хипотези в чл.1, ал. 4 от ЗЗЛД.
По втория въпрос от искането за становище:
Както беше посочено по-горе, при извършване на оценяването, потребителите директно се свързват със сървърите, позиционирани в САЩ, и предоставената от тях информация постъпва директно онлайн в базата данни на сървърите. Следователно при разглежданата хипотеза няма налице администратор на територията на Република България, който да събира и обработва данните на Потребителите и съответно в последствие да ги трансферира към други държави. В Глава шеста от ЗЗЛД са разписани подобни задължения относно искане на разрешение от КЗЛД за предоставяне на лични данни в трети държави, но то се отнася само до задълженията на администраторите на лични данни, в случаите, в които се налага трансфер на обработваните данни извън територията на Република България. Препоръчително е Градюейт Мениджмънт Адмишън Кансъл „GMAC”, в качеството си на администратор на лични данни да информира своите Потребители, при закупуване на лиценз под формата на код от GMAC, относно използването на кукис /cookies/ при извършване на оценяването Рефлект. Като уведоми Потребителите си, че двете кукис /cookies/ са налични само по времето, в което браузъра на компютъра на Потребителя е отворен и нито една от тях няма четимо съдържание.
Отговорите относно въпрос три, четири и пет са във връзка с посоченото по-горе в настоящото становище и по-конкретно предвид факта, че ЗЗЛД не е приложим към изложения казус, въпроси три, четири и пет от искането за становище не следва да бъдат разглеждани.
С оглед на гореизложеното и на основание чл.10, ал.1, т 4 от ЗЗЛД Комисията за защита на лични данни изразява следното
СТАНОВИЩЕ:
Българското право и по-специално Законът за защита на личните данни не е приложим към поставените въпроси във връзка с въведения от GMAС нов метод за оценка Рефлект, поради обстоятелството, че взаимоотношенията по повод метода за оценка, отнасящ се до личностното развитие на студентите, не са относими към нито една от изчерпателно изброените хипотези в чл.1, ал.4 от ЗЗЛД.
В Глава шеста от ЗЗЛД са разписани подобни хипотезите относно даването на разрешения от КЗЛД за предоставяне на лични данни в трети държави. Това се отнася до задълженията на администраторите на лични данни, в случаите, в които се налага трансфер на обработваните данни извън територията на Република България.
Предвид факта, че по време на оценяването, Потребителят е свързан чрез своя собствен компютър директно със сървърите в САЩ и предоставената от Потребителя информация постъпва директно онлайн в базата данни на сървърите, при разглежданата хипотеза няма налице администратор на територията на Република България, който да събира и обработва данните на Потребителите и съответно в последствие да ги трансферира към други държави.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венета Шопова /п/ |
Красимир Димитров /п/ |
