Становище на КЛЗД относно искане от изпълнителния директор на „Л.Б.“ ЕООД във връзка с приложението на Закона за защита на личните данни

Комисията за защита на личните данни (КЗЛД), в състав: председател: Венета Шопова, и членове: Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков, на редовно заседание, проведено на 19 април 201Зг. (Протокол №13), разгледа искане за становище с вх.per. №П-2440/09.04.2013г. от г-н В.У.- Изпълнителен директор на „Л.Б." ЕООД, във връзка с приложението на Закона за защита на личните данни.

Получено е искане с вх.№П-2440/09.04.2013г. от г-н В.У. -Изпълнителен директор на „Л.Б." ЕООД, във връзка с приложението на Закона за защита на личните данни и по-конкретно законосъобразния начин на предоставяне на информация относно договори, контрагенти, банки, банкови реквизити и др. в корпоративния Център за обработка на данни, който ще бъде единен за цялата група дружества Групата на ОАО „Л.". В искането е посочено че „Л.Б." ЕООД (Дружество) е част от групата компании „Л.", която обхваща десетки дружества както в Европа, така и в други части на света, като Дружеството е регистрирано като администратор на лични данни по ЗЗЛД. Уточнено е, че като част от голяма мултинационална компания, Дружеството има задължението да прилага и стандартите, утвърдени за всички компании от Групата на ОАО „Л.", като стремежът на компаниите от Групата е да въвеждат унифицирани процеси, с цел бързото и безпроблемно обменяне на информация в съвременния свят. Посочено е, че „Л.Б." ЕООД, като част от Групата, е включено в програмата за комплексна автоматизация през 2016г., т.е. цялата информация, посочена по-горе, би следвало да се прехвърли в ЦОД. В същото време, следва да се отчита обстоятелството, че някои от сключените от Дружеството договори съдържат класифицирана информация, от една страна, а от друга страна— всички договори съдържат лични данни по смисъла на ЗЗЛД. В искането е посочено, че с цел осигуряване на унифицирани бизнес процеси и отчетност, ОАО „Л." провежда мероприятия по комплексна автоматизация на всички дейности на дъщерните дружества. В основата на процесите по унификация и комплексна автоматизация стои система, наречена „Корпоративна нормативно справочна база данни" (система/КНСБД). Ролята на тази система е да съхранява и систематизира всички елементи от нормативно справочните бази, имащи отношение към бизнес процесите на дъщерните дружества на ОЛО „Л.", едно от които е „Л.Б." ЕООД. За целта в системата следва да се съхраняват данни за контрагенти, договори, банки, банкови реквизити и т.н. Посочено е, че съгласно проекта, цялата описана по-горе информация се съхранява и обработва в Център за Обработка на Данни (ЦОД), разположен в държава от Европейското икономическо пространство, като се предвижда изграждането и на резервен такъв център в държава-членка на Европейския съюз, различна от Република България.

С оглед на гореизложената фактическа обстановка, е и отправената молба за становище относно законосъобразния начин на предоставяне на информация относно договори, контрагенти, банки, банкови реквизити и др. в корпоративния Център за обработка на данни, който ще бъде единен за цялата група, с цел да не бъдат нарушени императивните изисквания на Закона за защита на личните данни.

„Л.Б." ЕООД, ЕИК **** е администратор на лични данни по смисъла на чл.З от ЗЗЛД, вписан е в регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД с идентификационен номер 128817 и е заявил поддържането на три регистъра, а именно: регистър „Контрагенти"; регистър „Служители"; регистър „Дистрибутор на предплатени услуги на мобилни оператори".

"Обработване на лични данни", съгласно определението, посочено в §1, т.1 от Допълнителните разпоредби на ЗЗЛД, е всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване, т.е. извършването на действия по предоставяне на лични данни от страна на „Л.Б." ЕООД към корпоративния Център за обработка на данни ще съставляват действия по обработване на лични данни по смисъла на закона. За да е налице законосъобразно обработване на лични данни същото следва да се осъществява само при наличие на поне едно от посочените в чл.4 от ЗЗЛД условия за допустимост на данните и при спазване на установените в чл.2, ал.2 от ЗЗЛД принципи за законосъобразност, пропорционалност и целесъобразност.

Съгласно чл.23 от ЗЗЛД администраторът на лични данни- „Л.Б." ЕООД е длъжен да предприеме необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване, като в случаите когато обработването включва предаване на данните по електронен път администраторът трябва вземе специални мерки за тяхната защита. Във всички случаи тези меркиследва да са съобразени в максимална степен със съвременните технологични постижения и да осигуряват ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които трябва да бъдат защитени. Тези мерки следва да бъдат предприети както по отношение на обработване на данните в корпоративния Център за обработка на данни така и в процеса на тяхното предоставяне. Комисията е определила в Наредба №1 от 30 януари 2013г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни минималното ниво на технически и организационни мерки, както и допустимия вид защита, които следва да предвиди администратора на лични данни по отношение на обработваните от него лични данни.

Предоставянето на лични данни от администратор, установен на територията на Република България към друг администратор на лични данни извън страната, се извършва по реда на Закона за защита на личните данни, като определящ критерий е държавата, в която ще бъдат предоставени данните. Съгласно чл.36а от ЗЗЛД предоставянето на лични данни в държава- членка на Европейския съюз, както и в друга държава- членка на Европейското икономическо пространство, в каквато се твърди в искането, че ще бъде разположен Центъра за обработка на данни, се извършва свободно при спазване на изискванията на ЗЗЛД.

Съгласно чл.19, ал.1, т.3 и чл.20, ал.1, т.4 от ЗЗЛД администраторът следва да уведоми лицата относно получателите или категориите получатели, на които могат да бъдат разкрити данните след извършване на преценка за необходимостта от предоставянето с цел гарантиране на справедливо обработване на данните по отношение на физическото лице, за което се отнасят за всеки конкретен случай.

По отношение на договори, които съдържат класифицирана информация, следва да се има предвид, че обществените отношения, свързани със създаването, обработването и съхраняването на класифицирана информация, както и условията и реда за предоставяне на достъп до нея се уреждат в Закона за защита на класифицираната информация.

С оглед на гореизложеното и на основание чл.10 ал.1, т.4 от ЗЗЛД, Комисията за защита на личните данни изразява следното

За да е налице законосъобразно обработване на лични данни същото следва да се осъществява само при наличие на едно поне едно от посочените в чл.4, ал.1 от ЗЗЛД условия за допустимост на данните и при спазване на установените в чл.2, ал.2 от ЗЗЛД принципи за законосъобразност, пропорционалност и целесъобразност.

Съгласно чл.36а от ЗЗЛД предоставянето на лични данни в държава- членка на Европейския съюз, както и в друга държава- членка на Европейското икономическо пространство се извършва свободно при спазване на изискванията на ЗЗЛД.

Администраторът на лични данни- „Л.Б." ЕООД е длъжен да предприеме необходимите технически и организационни мерки, за да защити данните от случайно илинезаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.

С цел гарантиране на справедливо обработване на данните чрез тяхното предоставяне и защита на правата на физическите лица, администраторът на лични данни следва да предприеме необходимото, с цел уведомяване на лицата, чиито данни ще бъдат предмет на трансфера, относно получателите или категорията получатели на данните, целите на обработването на личните данни, категорията лични данни предмет на трансфера, като тази информация следва да е предоставена на лицата преди прехвърлянето на данните.