СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № П-3001/26.04.2013
гр. София, 10.06.2013 г.
Относно: Искане с вх.№п – 3001/26.04.2013г. от „П.“ АД за становище от Комисията за защита на личните данни (КЗЛД) на основание чл.10, ал.1, т.4 от Закона за защита на личните данни (ЗЗЛД).
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове: Валентин Енев и Веселин Целков на заседание, проведено на 04.06.2013г. разгледа искане с вх.№п – 3001/2013г. от „П.“ АД, подадено чрез пълномощника Б.П.. упълномощена от г-н Н.Н. и Е.Я.Л. – членове на съвета на директорите с надлежно пълномощно, приложено към искането, в което е оправена молба за становище от Комисията за защита на личните данни (КЗЛД) на основание чл.10. ал.1. т.4 от Закона за защита на личните данни (ЗЗЛД). В искането е посочено, че с оглед желанието на П. и на другите дружества от групата на Д. да се придържат към най-високите стандарти на бизнес етиката, на П. предстои въвеждане на политика за подаване на сигнали от служители на Дружеството в случай на съмнение, че се нарушават бизнес правила и етични изисквания или се извършват други закононарушения от служители на Дружеството. Сочи се, че тази политика се нарича „Аз споделям“ („I Share Line“) и вече се прилага в дружества от групата на Д. в редица други държави. Посочено е, че процедурата за подаване на сигнали, поставя няколко въпроса, свързани със съществуващите законови изисквания във връзка с предоставянето на лични данни на трети лица. Казва се, че политиката предвижда възможност служители на Дружеството да подадат сигнал в редица случаи, в които у тях възникне съмнение, че друг служител на Дружеството извършва някое от нарушенията, описани в Политиката. Указано е, че се предвиждат няколко възможности за подаване на сигнали, като една от тях е използването на гореща телефонна линия, достъпна за служителите 24 часа в денонощието. 365 дни в годината. В искането се сочи, че горещата телефонна линия ще се обслужва от колцентър на дружество EthicsPoint, Inc. (посочва се, че понастоящем наименованието му е NAVEX Global), установено в САЩ, което се явява външен доставчик на тази услуга. Уточнено е, че дружеството е сертифицирано според принципите на Safe Harbor, и както е видно от проверката в списъка на дружествата, сертифицирани по Safe Harbor споразумението между САЩ и ЕС, то има право да получава лични данни от редица държави, сред които и България.
В искането се сочи, че телефонните сигнали ще се приемат от EthicsPoint, като лицата, подаващи сигнала, предоставят информация за себе си с цел да се идентифицират, както и за служителя, срещу който се подава съответният сигнал. Личните данни, които ще се предоставят на EthicsPoint, се ограничават до три имена, длъжност и работно място на подаващия сигнала служител и на лицето, срещу което се подава сигнал. Посечено е, че за целите на индивидуализирането на сигнала е необходимо и описание на фактическата обстановка, при която е извършено евентуалното нарушение, макар че в общия случай това описание не съдържа данни, които могат да се квалифицират като „лични данни“ по смисъла на чл.2, ал.1 от ЗЗЛД.
Сочи се също, че след получаване на сигнала по горещата телефонна линия, EthicsPoint въвежда получената информация в електронна система и изпраща уведомление по електронна поща на нарочен служител от структурите на Дружеството в България или на такъв от друго дружество от групата на Д. в държава-членка на ЕС. Указано е, че сигналът се разследва по правило в държавата, от която е подаден, в конкретния случай в България. В искането е посочено, че личните данни в описаната по-горе процедура се предоставят от самите служители на П. и се отнасят за тях самите или за техни колеги, а не се предоставят от П. в качеството му на Администратор.
Отправена е молба, за становище от страна на КЗЛД по следните въпроси:
1. Дали в този случай е необходимо издаването на разрешение на КЗЛД за предоставяне налични данни в САЩ.
2. Ако това е необходимо да се издаде на П. такова разрешение.
3. Трябва ли да се изпълнят други формалности, като например искане на изрично съгласиеот служителите.
Към искането са приложени следните документи:
1.Политика „Аз споделям“, за която е посочено, че е чернова
2.справка от списъка сейф Харбър , относно Етикс Пойнт със сегашно наименование Navex Global
3.Пълномощно
Приложеният документ с наименование „I share line“(Линия „Аз споделям“) – Европейска процедура, е наименуван в искането като Политика „Аз споделям“,. За същия е посочено, че е чернова. В приложеният документ за „I share line“(линия „Аз споделям“) – Европейска процедура“, се използва съкращението ISL. Групата Д. и нейните дъщерни дружества се наричат „Дружеството“.
В Политиката е посочено, че за служителите не е задължително да използват 1 Share Line и служител, който предпочете да не използва I Share Line, няма да пострада от неблагоприятни последствия в резултат от това решение. Сочи се , че лицата, които не са служители (напр. доставчици, търговци), нямат право да използват I Share Line в Европа. Ако лице, което не е служител в Европа, опита да използва I Share Line, то ще бъде пренасочено към отдел Правен на Дружеството.
Сочи се, че I Share Line е механизъм за служители да подават сигнали или оплаквания относно финансов, счетоводен, вътрешен контрол, подкупи, корупция или свързани правонарушения, както и други сериозни въпроси, които следва да се съобщят в интерес на Дружеството. Посечен е и примерен списък с на въпросите, обхванати от тази Европейска процедура ISL, които трябва да се докладват чрез I Share Line:
Приемане ши даване на неподходящи подаръци, услуги или други облаги;
Присвояване или отклоняване на бизнес възможности;
Поверителност и злоупотреба със средства;
Конфликт на интереси;
Поверителност на данните;
Незаконно присвояване на средства;
Неправилно счетоводно, одиторско или финансово отчитане или Недостатък във вътрешния финансов контрол;
Неподходящо поведение спрямо конкуренти;
Неподходящо поведение спрямо длъжностни лица;
Неправомерно унищожаване на архиви;
Неподходяща дейност на доставчици иди изпълнители;
Неточно публично разкриване на поверителна информация;
Търговия с вътрешна информация, неправомерно предоставяне на информация за търговия на други лица ши други нарушения във връзка с ценни книжа;
Обществена безопасност, безопасност на храните;
Кражба на средства, имущество или информация на Дружеството;
Кражба на продукти, доставки или оборудване на Дружеството;
Кражба или неподходящо използване на активи или информация за Конкуренти или Доставчици;
Непозволено ползване на активи на Дружеството;
Непозволено ползване на средства на Дружеството;
Необясними несъответствия в парите в брой при Търговия на дребно;
Вандализъм или саботаж;
Пилеене, злоупотреба или неправилно използване на ресурси на Дружеството;
Други въпроси, свързани с Държавната власт или Външен бизнес, Организации или Лица;
Други въпроси, свързани с ползването на активи и информация на Дружеството;
Други въпроси относно счетоводството и одита за финансови отчети;
Други нарушения на политиката на Дружеството; или
Други нарушения на закона или разпоредбите.
Относно механизма за подаване е посочено, че след подаване на сигнал по I Share Line, съответният служител получава ID на сигнала и парола. Когато прави сигнал, Служителят ще бъде помолен да се регистрира или да се обади след седмица, в случай че е необходима допълнителна информация от него по време на процеса на разследване. Служителите могат да проверяват периодично статуса на подадения от тях сигнал.
Сочи се, че Дружеството не насърчава анонимни сигнали и служителите трябва да се идентифицират, когато подават сигнал. Указано е, че „При подаване на сигнал Служителите трябва знаят, че: „Техните сигнали ще бъдат разглеждани поверително, до възможно най-голямата степен. Тяхната самоличност няма да бъде разкривана на лицата, срещу които са подали сигнал и няма да има ответни действия срещу Служителите, които са направили добросъвестни оплаквания или са подали сигнали.“
В Политиката се сочи, също че ако подаващият сигнала служител обаче предпочита да остане анонимен, на служителя ще му бъде позволено да направи анонимно оплакване, тъй като системата за подаване на сигнали на Дружеството дава възможност да се подават поверителни и анонимни сигнали.
Указано е. че ако служителят се идентифицира чрез I Share Line, самоличността му ще бъде пазена в тайна до възможно най-голяма степен, съобразно нуждата на Дружеството да проведе задълбочено изследване и/или да защити безопасността на служителя. Уточнява се, че е възможно Дружеството да е задължено да разкрие самоличността на служителя в изпълнение на съдебна или административна заповед или еквивалентно законово изискване. Всяко решение за разкриване на самоличността на Служител, подал сигнал, и на кого ще се взема от Главното длъжностно лице по спазване на правилата и определените от него лица.
В част четвърта „Първоначален преглед и обработване на оплаквания“ е посочено, че в изпълнение на процедурата за подаване на сигнали, Дружеството събира и обработва личните данни на Служители, намиращи се в Европа. Сочи се, че лични данни трябва да се събират и обработват чрез I Share Line единствено доколкото това е необходимо за целите на изготвянето на сигнал и провеждането на разследване. Посочено, че в тази връзка може да се събират и обработват следният вид лични данни:
Имена, работа и местоположение на лицето, подаващо сигнал или оплакване;
Имена, работа и местоположение на лицето, срещу което се подава сигналът;
Имена, работа и местоположение на лицата,получаващиили разследващи сигналите;
Описание на фактологията;
Доказателства, събрани в хода на разследването;
Доклад от разследването; и
Заключение от доклада.
В Политиката е посочено, че може да се събират и обработват и поверителни лични данни съгласно европейския закон за защита на личните данни, така както е транспониран в българското право. Посочено е, че поверителните лични данни се отнасят до специфична категория лични данни и включват каквато и да е информация относно расовия или етнически произход на лицето, политически възгледи, религиозни вярвания, членство в профсъюз, здраве, сексуален живот и криминално досие. Обработването на поверителни данни е ограничено съгласно закона за защита на данните и трябва да е строго ограничено до това, което е необходимо за целта на доклада.
В т.2. на част четвърта „Първоначален преглед и обработване на оплаквания“ е разписан механизма на обработване на сигнали. Разписано е, че когато сигнал или оплакване бъдат подадени чрез I Share Line се изготвя доклад от – доставчика на услуги EthicsPoint, който се намира в САЩ и е сертифициран по Safe Harbor споразумението на ЕС/САЩ. EthicsPoint въвежда информацията в системата и ще изпраща уведомителен имейл до подходящия I Share Line администратор.
В Политиката е посочено, че упълномощените получатели трябва основно да бъдат разположени в държавата, в която е подаден сигналът, но могат по изключение да се намират в САЩ при случаи с висок приоритет.
Посочено е, че освен в много специфични ситуации, дружеството може да информира служителя, който е подал сигнал, относно изхода от разследването. Това обаче става по усмотрение на Дружеството. Във всеки случай, окончателният сигнал трябва да се основава единствено на обективно формулирана информация, пряко свързана с предмета на оплакването и необходима изцяло за неговото разследване. Сигналът следва ясно да посочва какви обвинения са направени.
В част пета „Уведомление до обвинените физически лица „ е посочено, че когато бъде подаден сигнал чрез I Share Line, служителят, срещу когото е подаден сигнала, трябва да получи писмено уведомление от Местния координатор по спазването на правилата след консултация с Длъжностното лице по спазването на правилата:
„Юридическото лице или отделът от Дружеството, който отговаря за поддържането на I Share Line (т.е. контрольорът на данните), включително юридическото лице или отделът на Дружеството, който ще обработва и прехвърля личните данни;
Обвиненията срещу Служителя;
Самоличността на каквито и да е отдели или юридически лица от Дружеството, които биха могли да получат сигнала;
Правото на Служителя за достъп, поправка, блокиране и заличаване на неговите лични данни, както и правото да възрази срещу определено обработване поради наличие на пречки или законни причини, обусловени от специфичното му положение, освен в случаите, в които приложимият закон изрично урежда това обработване (т.е. правото съгласно законите за защита на данните да знае каква информация се записва относно него и да я променя); Правото на Служителя да не бъде обект на неприсъствено решение, което поражда правни последици за него, и право му да се защити пред съд;“
Уведомлението трябва също да съдържа информация относно това как и при какви условия служителят може да се свърже с подходящия отдел на Дружеството, за да упражни своите права.
Разписано е. че обвиненият служител трябва да бъде информиран единствено относно фактите за него самия или които са достатъчни, за да го идентифицират. Обвиненият служител не трябва да бъде уведомяван относно самоличността на Служителя, който е инициирал сигнала.
Разписано е още, че правата на обвинения служител се отнасят единствено до данните относно обвинения служител. Казва се, че той няма право на информация относно други Служители, сигнала или оплакването или разследването най-общо, поне до степента, до която те не се отнасят конкретно до обвинения служител.
В т.З на част пета са разписани правила относно правото на достъп. Посочено е, че отговорът на искането на обвинен служител за достъп може да бъде под формата на предоставяне на копия от документите, които съдържат информацията, отнасяща се до служителя, или на изброяване на личните данни, отнасящи се до служителя, които се съдържат в документите. Дружеството може да откаже исканията за данни от обвинения служител, ако тези искания са се превърнали в очевидна злоупотреба по отношение на техния брой или повторяемост.
В т.4 на част пета са разписани и правилата относно права за поправка, блокиране и заличаване. Сочи се, че правото на служителя на „поправка, блокиране и заличаване“ се прилага до личните данни, които „са неточни, непълни, двусмислени или неактуални.“ Посочено е, че в контекста на I Share Line, това може да се случи, например, ако срещу физическо лице е бил подаден сигнал по погрешка чрез системата I Share Line или когато обвиненията срещу един служител са основани на грешни данни. В случай, че обвинен служител отправи искане за ..поправка, блокиране и заличаване“ на неговите лични данни, подобно искане следа да бъде насочено към Главното длъжностно лице по спазването на законите на Дружеството и/или посочените от него лица в тази държава.
Посочено е, че „Съгласно европейския закон за защита на личните данни и неговото прилагане в белгийското, гръцкото, люксембургското и румънското право, правото на поправка, блокиране и заличаване може да бъде ограничено при някои обстоятелства. То позволява на Служителя да коригира специфични фактически грешки в своите лични данни, например, да уведоми Дружеството, че не е писал конкретен сигнал или че не е присъствал в офиса в конкретен ден. При все това, то не дава на обвиненото физическо лице правото да предаде подробно опровержение на оплакване срещу него (въпреки че Дружеството може да позволи на Служителя да направи това като част от разследването) или да коригира факти относно дати, време, места или събития освен до степента, до която тези факти пряко включват обвиненото физическо лице. Дружеството може да позволи на обвиненото физическо лице да подаде твърдените корекции на подобни твърдени факти. Решенето относно това дали Дружеството се съгласява или приема подобни корекции, трябва да бъде вземано за всеки отделен случай при консултиране с Главното длъжностно лице по спазването на законите на Дружеството и/или посочените от него лица.“
В т.7 са разписани правила относно възможността за уведомяване на служителя подал сигнала, посочено е, че ако бъде счетено за подходящо от службата за спазване на правилата и етиката, при консултация с главното длъжностно лице по спазване на законите на Дружеството и/или посочените от него лица, служителят, който прави оплакването, когато бъде идентифициран, може да бъде информиран относно напредъка и резултатите от разследването.. Указано е , че дали и до каква степен Служителят, който подава сигнала, ще бъде информиран, следва да се решава за всеки отделен случай единствено по усмотрение на Дружеството.
В част девета „Липса на репресивни мерки“е посочено, че Дружеството няма да предприема репресивни мерки срещу някой, който добросъвестно подаде сигнал за вероятно нарушение на закона или политиката на Дружеството, нито Дружеството ще толерира тормоз или заплахи спрямо служител, който подаде сигнал за вероятно нарушение или участва в разследване на ISL Процедура. Сочи се, че „Добросъвестно“ не означава, че служителят трябва да е прав, но означава, че служителят следва да предостави цялата информация, с която разполага, и да вярва, че информацията е вярна. Посочено е , че ако служител подаде сигнал, основан на твърдения, направени добросъвестно, той/тя не следва да бъде наказван ако по-късно се окаже, че твърденията са необосновани.
В част десета „Съхраняване на данни и сигурност“ е посочено, че „Тъй като сигналите може да включват лични данни и поверителна информация, Европейският закон за защита на данните изисква прилагането на подходящи технически и организационни мерки за защита на данните от случайно или незаконно унищожаване или случайна загуба, промяна, непозволено разкриване или достъп, особено, когато обработката включва предаването на данни по мрежа и срещу всякакви други незаконни форми на обработка. Следователно Дружеството изисква сигналите и тяхното съдържание да се използват и архивират по поверителен и безопасен начин, както и според предписаните ограничения за срок за задържане. Всички Служители, отговорни за архивирането на такива сигнали, контролирането на достъпа до такива сигнали и имащи достъп до такива сигнали следва да спазват настоящата европейска ISL Процедура.“
В тази част е разписано още, че всякакви лични данни извън обхвата на 1 Share Line ще бъдат незабавно унищожени или архивирани, освен ако не са свързани с особено важен интерес на Дружеството или безопасността или целостта на нашата работна сила. Посочено е,че след като един I Share Line сигнал е бил разследван, личните данни, съдържащи се в сигнала, ще бъдат унищожени в срок от 2 (два) месеца от приключване на разследването, доколкото сигналът не води до дисциплинарни или съдебни действия. Ако дисциплинарните действия са наложени или са предприети съдебни действия срещу дадено лице, ние ще задържим личните данни до приключване на производството. Казва се, че Дружеството и неговите доставчици на услуги за трети лица ще вземат всички разумни и полезни предпазни мерки, за да запазят поверителността и сигурността на личните данни, когато те са събрани, съобщени или задържани.
В част единадесет „Прехвърляне на I Share Line Лични данни“ се сочи, че законите на ЕС за защита на данните ограничават прехвърлянето на лични данни от държава членка на ЕС към субект извън Европа, където държавата, към която са изпратени данните, не предлага „адекватно1` ниво на защита на данните. САЩ не предлагат такава адекватна защита според властите на ЕС за защита на данните и следователно се изисква следване на специални стъпки за такива прехвърляния на данни. Казва се , че принципно Дружеството не прехвърля редовно лични данни към САЩ, събрани и обработени в контекста на I Share Line. В тази част е указано, че. Дружеството може да прехвърля събраната информация към САЩ за целите на анализиране на ефективността на I Share Line. Казва се още, че събраната информация не се счита за лични данни и следователно попада извън обхвата на закона на ЕС за защита на данните.
В тази част е разписано и че, в ограничен брой случаи, когато се прилага европейската ISL Процедура и се разследват последващи сигнали, Дружеството може да счете за необходимо да прехвърли сигнали, резюмета на разследвания, резюмета на дисциплинарни производства и части от тези материали на други части или отдели в Дружеството включително на САЩ. Например, такова прехвърляне може да е необходимо, когато I Share Line сигнал относно въпроси в европейска държава трябва да бъде препратен към Служителя по спазване на законите и етиката, намиращ се в САЩ. Такива прехвърляния следва, въпреки това, да се ограничават до ситуации, в които личните данни са необходими за установяване, упражняване или защита на правни искове. Посочено е също, че Необходимостта от прехвърляне на лични данни извън Европа може при някои обстоятелства да зависи от характера и сериозността на сигнала, включително предмета; страните или индивидите, които са установени или които участват; частите или отдел(ите) на участващото Дружество; съответните други между функционални управленски структури и въпроси; както и тази структура на Дружеството, занимаваща се с редовната процедура за подаване на сигнали. Когато се съмнявате към кого да бъде прехвърлен или разкрит I Share Line сигнал, моля да се консултирате с Правния отдел на Дружеството.
В част дванадесета „Трети страни доставчици“ е посочено , че Дружеството може да наеме трети страни доставчици, различни от EthicPoint, които да съдействат при обработката на I Share Line сигналите, както и изпращане по определени канали, съхранение и архивиране на лични данни. В такива случаи Дружеството следва договорно да гарантира, че третите страни доставчици спазват, до приложимата степен, настоящата европейска ISL Процедура и инструкциите на Дружеството, включително:
„Да не използват личните данни за цели различни от тези, за които са били събрани,
Да се придържат към стандартите за поверителност,
Да не разкриват събрани данни, които са различни от посочените от Дружеството, и
Да спазват изискванията за задържане на данни.“
Да се придържат към стандартите за поверителност,
Да не разкриват събрани данни, които са различни от посочените от Дружеството, и
Да спазват изискванията за задържане на данни.“
Когато трети лица обработват лични данни от името на Дружеството извън ЕС, се изискват допълнителни предпазни мерки. В зависимост от участващата държава всяка една от страните може да се наложи да използва Стандартните договорни клаузи на Европейската комисия, третата страна ще трябва да участва в американската програма Safe Harbor или друго легитимно решение за прехвърляне извън границите ще трябва да се въведе най-напред.
Законът за защита на личните данни (ЗЗЛД) урежда защитата на правата на физическите лица при обработването на личните им данни. Негова основна цел е гарантиране неприкосновеност на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободно движение на данните. По смисъла на Закона за защита на лични данни са всяка информация, отнасяща се до физическо лице. което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Специфични признаци са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.
В чл.3, ал.1 от ЗЗЛД е предвидено, че администратор на лични данни е физическо или юридическо лице. както и орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на лични данни, както и който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон. След направена служебна справка в отдел „Регистър и архив“ към Дирекция „Информационни фондове и системи“ е установено, че „П.“ АД с ЕИК 103823381 е администратор на лични данни по смисъла на чл.З от ЗЗЛД. Подадено е заявление за вписване в Регистъра на администраторите и водените от тях регистри на лични данни, поддържан от Комисията за защита на личните данни на основание чл.10, ал.1, т.2 от ЗЗЛД с входящ номер 126335. Дружеството е вписано в Регистъра с уникален идентификационен номер 18413. От извършената справка е видно, че Администраторът е заявил, че поддържа пет регистъра със следните наименования:
1. Клиенти
2.Отдел охрана
3.Персонал
4.П. клуб
В искането е посочено, че от приложената чернова на политика I share line (Линия „Аз споделям“) – Европейска процедура“ служителите ще подават телефонни сигнали , на гореща телефонна линия, обслужвана от колцентър на дружеството EthicsPoint, Inc., за което е посочено, че понастоящем наименованието му е Navex Global. Адресът на дружеството в Съединените американски щати. посочен в списъка Сейф Харбъре 6000 Meadows Road, Suite 200, LakeOswego, Oregon – 97035. Посочено е след получаване на сигнала ЕтиксПоинт въвежда получената информация в електронната система и изпраща уведомление на конкретен служител от структурите на дружеството в България . В България сигналът се разследва. Изрично е посочено че личните данни се предоставят от самите служители на П. и се отнасят до тях самите или за техни колеги, а не се предоставят от П. в качеството му на администратор. I лава шеста „Предоставяне на лични данни на трети лица“ от ЗЗЛД и раздел пети от глава четвърта на Правилника за дейността на КЗЛД и на нейната администрация касаят предоставянето на лични данни от администратор към трето лице в ЕС, ЕИП и извън ЕС. В горецитираната хипотеза не е необходимо подаване на искане за разрешение от КЗЛД за предоставянето на лични данни.
В приложената чернова на политика I share line (Линия „Аз споделям“) – Европейска процедура“ е посочено обаче, че е разписана възможността в част девета „Прехвърляне на 1 share line Лични данни“ да се прехвърлят лични данни към дружество в Съединените американски щати. Ако се осъществява такова прехвърляне на лични данни от „П.“ АД към дружество в Съединените американски щати съществуват две хипотези.
Първа хипотеза ако между „П.“ АД и това дружество е сключен договор при стандартни договорни клаузи, то в такъв случай следва да се имат предвид последните изменения и допълнения на Правилника за дейността на Комисията за защита на личните данни и на нейната, по силата на които относно реда за осъществяване на трансфер на данни са настъпили съществени изменения. Съгласно чл.53а от ПДКЗЛДНА, Комисията не се произнася с решение и администраторът може да предоставя лични данни в трета държава, когато е налице решение на Европейската комисия, с което тя се е произнесла, че:
1. третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита, което се посочва като „заключение за адекватност“,
или
2. определени стандартни договорни клаузи осигуряват адекватно ниво на защита.
При втората хипотеза ако договорът е сключен между „П.“ АД и дружеството, със седалище и управление в Съединените американски щати, което е включено в списъка на Сейф Харбър и декларирало пред Департамента по търговия на САЩ, че ще се придържа към така наречената Сейф Харбър рамка следва да се подаде искане за разрешение за предоставяне на лични данни в трета държава до Комисията за защита на личните данни. В този случай се прилага чл.36а, ал.7 и чл.Збб, ал.1 от Закона за защита на личните данни. При подаването на искането за разрешение администраторът ще следва да представи и информация по чл.50 ал.2 и чл.52 от Правилника. По отношение на държавата Съединени американски щати няма признато адекватно ниво на защита, а има токова само по отношение на определени субекти, такива които са заявили, че се придържат към т.нар. Сейф Харбър рамка и то за определен период от време. ЕК е компетентна да определи дали дадена държава осигурява адекватно ниво на защита, като решението, което ЕК взема е известно като „заключение за адекватност. По отношение на Съединените американски щати Европейската комисия се е произнесла с решение 2000/520/ ЕО относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот „ и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ. В т.5 от преамбюла на Решението е посочено, че нивото на адекватна защита за предаването на данни от Общността към Съединените американски щати, определено съгласно решението, би трябвало да се постигне, ако организациите спазват принципите „Сфера на неприкосновеност на личния живот“ и „често задавани въпроси“(ЧЗВ), които определят насоките за прилагането на принципите, публикувани от правителството на Съединените щати на 21 юли 2000г. Посочено е също, че организациите следва да оповестят публично своите политики за поверителност и те да бъдат от компетенцията на Федералната търговска камера съгласно раздел 5 от Закона за федералната търговска комисия, който забранява некоректните или измамни действия или практики в областта на търговията , или на друга институция, предвидена от законодателството, гарантираща действително съблюдаването на принципите съгласно ЧЗВ. В чл.1 на Решението е посочено, че по смисъла на чл.25, параграф 2 от Директива 95/ 46/ ЕО за всички дейности, попадащи в обхвата на посочената директива , се смята че принципите „сфера на неприкосновеност на личния живот „, посочени в приложение 1 на Решението, прилагани съгласно насоките, предоставени от „често задавани въпроси“(ЧЗВ), публикувани на 21 юли 2000г. от Департамента по търговия на Съединените американски щати, посочени в приложение 2 към решението, гарантират адекватно ниво на защита на личните данни .предавани от Общността към организации, установени в Съединените американски щати. В точка 3 на чл.1 е посочено, че се счита, че условията , посочени в параграф 2 са изпълнени от всяка организация, когато тя обяви придържането си към принципите, приложени по силата на ЧЗВ. считано от датата, на която са уведомили американския Департамент по търговия (или негов представител) за оповестяване на задължението, предвидено в параграф 2, буква а и на идентичността на държавния орган, предвиден в параграф 2, буква б. Това на практика означава, че ЕК не е констатирала адекватно ниво на защита на личните данни на територията на САЩ, а приема, че такова е налице само по отношение на конкретни субекти, а именно: тези, дружества, включени в списъка на Сейф Харбър и декларирали пред Департамента по търговия на САЩ, че ще се придържат към така наречената Сейф Харбър рамка осигуряват адекватно ниво на защита на личните данни. Дружествата декларирали, пред Департамента по търговия на САЩ се „сертифицират“ за определен период от време.
Видно от искането за становище „П.“ АД ще получава от ЕтиксПоинт информация за подадените сигнали на горещата телефонна линия. Тази информация, ще съдържа и лични данни, минималния обем от които е: три имена и длъжност и работно място на подаващия сигнала служители и на лицето, срещу което се подава сигнала. Въпреки, че ще се обработват данни, част от които вече са обект на обработване и са включени в другите регистри, заявени от Дружеството, с оглед постигане на по-голяма ефективност и прецизност на системата, би било целесъобразно обособяването и заявяването в КЗЛД на още един отделен регистър. Обработването на получената информация по повод Политиката „Аз споделям“ ще е в различен обем за различни цели, от вече заявените, което от своя страна обуславя необходимостта от създаване на отделен регистър за постигане и гарантиране на законосъобразно обработване на лични данни по смисъла на ЗЗЛД.
По отношение на поставеният въпрос дали трябва да се изпълнят и други формалности, като например искане за изрично съгласие от служителите. Даването на съгласие не може да се приеме за формалност. Съгласието на физическите лица е едно от алтернативно посочените условия, при които е допустимо обработване на лични данни, съгласно чл.4 от ЗЗЛД. От друга страна съгласието е едно от физическо лице е условие за предоставяне на лични данни в трета държава / чл.36 а, ал.7 , т.1 от ЗЗЛД/. Съгласието ще е необходимо например ако администратора на лични данни – „П.“ АД трансферира лични данни към дружество в Съединените американски щати и основанието за това е чл.Зба, ал.7 , т.1 от ЗЗЛД.
При подаване на искане за разрешение пред КЗЛД следва да се прилагат документи които са, утвърдени от дадено дружество, а не чернови на такива. Едно искане на разрешение следва да отговаря от формална гледна точка на определени изисквания, подробно разписани в правилника за дейността на Комисията за защита на личните данни и на нейната администрация, в зависимост от тава на какво основание се позовава даденият администратор. Така че в конкретният случай искането за становището не може да се приеме за искане за разрешение.
Също така в изпратената от П.“ АД чернова на политика изразът „Европейски закон за защита на данните“, следва да се прецизира тъй като нормативен акт с такова наименование няма, а хипотетично може да става въпрос за Директива 95/ 46.
С оглед на гореизложеното и на основание чл.10, ал.1, т 4 от ЗЗЛД Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
1. Ако личните данни се предоставят от самите служители на „П.“ АД и се отнасят до тях самите и/ или за техни колеги, а не се предоставят от „П.“ АД в качеството му на администратор не е необходимо подаване на искане за разрешение от КЗЛД за предоставянето на лични данни на трети лица.
2. Ако се осъществява прехвърляне на лични данни от „П.“АД към дружество в Съединените американски щати съществуват две хипотези. Първа хипотеза ако между „П.“ АД и това дружество е сключен договор при стандартни договорни клаузи, то в такъв случай следва да се имат предвид последните изменения и допълнения на Правилника за дейността на Комисията за защита на личните данни и на нейната администрация(ПДКЗЛДНА), по силата на които относно реда за осъществяване на трансфер на данни са настъпили съществени изменения. Съгласно чл.53а от ПДКЗЛДНА, Комисията не се произнася с решение и администраторът може да предоставя лични данни в трета държава, когато е налице решение на Европейската комисия, с което тя се е произнесла, че:
– третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита, което се посочва като „заключение за адекватност“.
или
– определени стандартни договорни клаузи осигуряват адекватно ниво на защита.
При втората хипотеза ако договорът е сключен между „П.“ АД и дружеството, със седалище и управление в Съединените американски щати, което е включено в списъка на Сейф Харбър и декларирало пред Департамента по търговия на САЩ, че ще се придържа към така наречената Сейф Харбър рамка следва да се подаде искане за разрешение за предоставяне на лични данни в трета държава до Комисията за защита на личните данни. В този случай се прилага чл.36а, ал.7 и чл.Збб, ал.1 от Закона за защита на личните данни. При подаването на искането за разрешение администраторът ще следва да представи и информация по чл.50, ал.2 и чл.52 от Правилника.
3.„П.“ АД следва да заяви в Комисията за защита на личните данни отделенрегистър, по повод обработваната информация във връзка с Политика „I share line“(Линия „Азсподелям“) – Европейска процедура“, чиято чернова е изпратена като приложение на искането.
4. Съгласието на физическите лица е едно от алтернативно посочените условия, при които е допустимо обработване на лични данни, съгласно чл.4 от ЗЗЛД. От друга страна съгласието е едно от физическо лице е условие за предоставяне на лични данни в трета държава / чл.36 а, ал.7 . т.1 от ЗЗЛД/. Съгласието ще е необходимо ако администратора на лични данни – „П.“ АД трансферира лични данни към дружество в Съединените американски щати и основанието за това е чл.Зба, ал.7, т.1 от ЗЗЛД.
5. Указва, на „П.“ АД, че в изпратената чернова на Политика изразът „Европейски закон за защита на данните, следва да се прецизира тъй като нормативен акт с такова наименование няма.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венета Шопова /п/ |
Веселин Целков /п/ |
