Становище на Комисията за защита на личните данни по искане с рег. №2940/28.06.2011 г. относно конкретни въпроси по приложението на Закона за защита на личните данни

ОТНОСНО: Искане с рег.№ 2940/28.06.2011 г. от д-р К.Т.К. – пълномощник на г-н М.Х.С. и на г-н О.Ф.Р., членове на Съвета на директорите на "Н.Н.Ф." ЕАД,за изразяване на становище от Комисията за защита на личните данни, на основание чл.10, ал.1 т.4 от Закона за защита на личните данни (ЗЗЛД), относно конкретни въпроси по приложението на Закона за защита на личните данни

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове Красимир Димитров и Веселин Целков, на редовно заседание, проведено на 23.11.2011г. (Протокол № 47), разгледа искане с рег. №2940/28.06.2011г. от д-р К.Т.К. – пълномощник на г-н М.Х.С. и на г-г-н О.Ф.Р., членове на Съвета на директорите на "Н.Н.Ф." ЕАД,за изразяване на становище от Комисията за защита на личните данни, на основание чл.10, ал.1 т.4 от Закона за защита на личните данни (ЗЗЛД), относно конкретни въпроси по приложението на Закона за защита на личните данни. Приложени са три пълномощни: 1.Пълномощно, заверено на 14.09.2010г. от помощник-нотариус К.Ш., Нотариат Ерликон-Цюрих, придружено с Апостил № 20781/2010г. от 15.09.2010г. на Държавната канцелария на Кантон Цюрих, с официален превод на български език, заверен на 21.09.2010г. от Министерство на външните работи на Република България, дирекция „Консулски отношения”; 2. Пълномощно, заверено на 07.09.2010г. от нотариус Г.В., Районен съд на Лингби, Дания, придружено с Апостил № DNK-00172535/08.09.2010г. на Министерството на външните работи на Дания, с официален превод на български език, заверен на 21.09.2010г. от Министерство на външните работи на Република България, дирекция „Консулски отношения”; 3. Пълномощно, с което д-р К.Т.К. преупълномощава адв. А.А.С. и Д.М.М. да представляват дружеството пред КЗЛД. Във връзка с изложеното, става видно, че д-р К.Т.К. – пълномощник на двама членове на Съвета на директорите на "Н.Н.Ф." ЕАД и адв.А.С. имат право да представляват дружеството пред Комисията за защита на личните данни, във връзка с конкретното искане.

Съгласно предоставената информация в искането, "Н.Н.Ф." ЕАДе част от групата „Н.Н.” („N.N.”),специализирана в производството на медикаменти за диабет. Част от дейността на българското подразделение на компанията са срещи с лекари и медицински специалисти, разясняване на приложението и качествата на медикаментите и др. Във връзка с това, в рамките на групата е разработена база данни за общопрактикуващи лекари, лекари – специалисти по отделни болести и други медицински лица. Тя съдържа следната информация: име, специалност, месторабота, адрес и телефон на лицето (служебни), проведени срещи, обучения и др. Базата данни се разработва и поддържа от външни изпълнители, един от които събира данни от лекарите и другите медицински специалисти. Във връзка с ползването и поддръжката на базата данни, "Н.Н.Ф." ЕАД планира да сключи договор с друго дружество от групата – „Н.Н.Р.Е.", Конфедерация Швейцария, което от своя страна има договори със следните компании: 1. Компания, разработила базата данни, базирана в ЕС;2. Индийска компания – собственик на базата данни; 3.Индийски компании, поддържащи технически базата данни. В тази връзка, в КЗЛД е постъпило запитване с рег.№2940/03.08.2011г. и от адв. А.А.С. – пълномощник на д-р К.Т.К. относно необходимостта от получаване на разрешение от Комисията за защита на личните данни от предоставяне на лични данни от "Н.Н.Ф." ЕАД в трета държава – Република Индия.

Съгласно предоставената информация в искането, "Н.Н.Ф." ЕАД ще сключи договор с "Н.Н.Р.Е.", Конфедерация Швейцария, като по силата на договора " последното дружество ще осигури функционирането и поддръжката на базата данни".Уточнено е, че "Н.Н.Ф." ЕАД има право да ползва базата данни, да въвежда информация срещу всяко лице за проведени срещи, визити, обучения и др., като дружеството ще може да извършва чрез директен онлайн достъп до системата актуализиране и промяна на вече въведени лични данни.

Като се има предвид, че "Н.Н.Ф." ЕАД на практика има право да инициира актуализация на лични данни, в това число да добавя данни на нови лица, да променя данни, които са вече въведени в системата и други, е отправена е молба до Комисията за защита на личните данни по следните въпроси:

1.Трябва ли "Н.Н.Ф." ЕАД да получи изрично писмено съгласие от притежателите на данните, като се има предвид, че техните имена, адреси и други са публична информация, която може да се получи свободно в мрежата или на място в съответните заведения?

2. Представлява ли предоставяне на лични данни към трета страна по смисъла на Закона за защита на личните данни промяната и въвеждането на данни от "Н.Н.Ф." ЕАД в системата, като се има предвид, че администратор/обработващ на данните ще бъде лице в трета държава?

3. Трябва ли "Н.Н.Ф." ЕАДда сключи договор за предоставяне на лични данни с индийските оператори, както и да получиразрешение но КЗЛДза такова предоставяне?

4. Ако е нужно разрешение от КЗЛД, необходимо ли е да бъдат представени вече сключени договори между "Н.Н.Ф." ЕАД и индийските оператори или могат да се представят за становище преведени на български език проекти?

При анализа на изложеното в искането, както и приложените към него документи, се установи следното:

"Н.Н.Ф." ЕАД е вписано в Търговския регистър при Агенцията по вписванията с ЕИК 131408271, със седалище и адрес на управление: гр. София, общ. Столична, Район „Лозенец”, ул. “Златен рог” № 20-22, ет. 8 и предмет на дейност: маркетинг, промоции, внос, продажба, разпространение на фармацевтични и медицински продукти, представителство на фирми, консултации и услуги във връзка с регистриране на медицински продукти, извършване на изследователска и развойна дейност, клинични изпитвания.

При извършена служебна справка в Регистъра на администраторите на лични данни и водените от тях регистри към КЗЛД бе установено, че „Н.Н.Ф." ЕАД е подало заявление с вх.№ 123891/26.04.2010г. за регистрация като администратор на лични данни и съгласно решение на Комисията за защита на личните данни то е вписано в Регистъра на администраторите на лични данни и водените от тях регистри с идентификационен номер 14415. Дружеството е заявило 5 броя регистри: „Маркетинг и продажби”, „Договори”, „Персонал”, „Нежелани лекарствени събития” и „Рекламации”.

На основание чл.2, ал.1 от Закона за защита на личните данни (ЗЗЛД), лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Съгласно §1, т.16 от Допълнителните разпоредби на ЗЗЛД, "специфични признаци" са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.

По смисъла на §1, т.1 от Допълнителните разпоредби на Закона за защита на личните данни, “обработване на лични данни” е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване”. В конкретния случай, всички действия, описани в искането, които извършва администраторът по отношение на личните данни на общопрактикуващи лекари, лекари-специалисти по отделни болести и други медицински лица като събиране, записване, изменение, актуализиране, предоставяне и др. са безспорно действия по обработване на лични данни.

Съгласно чл.4, ал.1 от Закона за защита на личните данни, обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:

1.обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;

3. обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;

4. обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;

5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;

6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;

7.обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.

Предвид изложеното по-горе, от гледна точка на законосъобразното обработване на лични данни, може да се предположи, че в конкретния случай намира приложение нормата на чл.4, ал.1, т.2 от ЗЗЛД – физическото лице, за което се отнасят данните, е дало изрично своето съгласие. Обработването на личните данни следва да се извършва на основание на чл.19 от ЗЗЛД, след като администраторът на лични данни информира лицата за: 1. Данните, които идентифицират администратора и неговия представител; 2. Целите на обработването на личните данни; 3. Получатели или категории получатели, на които могат да бъдат разкрити данните; 4. Данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им; 5. Информация за правото на достъп и правото на коригиране на събраните данни.

Що се отнася до възможността администраторът на лични данни „Н.Н.Ф." ЕАД, чрез директен онлайн достъп до системата, да актуализира личните данни на общопрактикуващи лекари, лекари – специалисти по отделни болести и други медицински лица, да променя (чрез изменение)техни данни въведени в системата, както и да добавя (чрез събиране, записване, съхраняване) данни на нови лица, то тези действия представляват обработване на лични данни по смисъла на §1, т.1 от Допълнителните разпоредби на ЗЗЛД, поради което следва да е налице поне едно от алтернативно посочените условия в чл.4, ал.1 от ЗЗЛД, цитирани по-горе.

Относно получаването на изрично писмено съгласие от притежателите на лични данни: Действията по актуализиране и/или изменение на лични данни представляват обработване на лични данни, което е допустимо само при наличието на поне едно от алтернативно дадените условия в чл.4, ал.1 от ЗЗЛД. При наличие на хипотезата по чл.4, ал.1, т.2 – физическото лице, за което се отнасят данните, е дало изрично своето съгласие, следва да има предвид, че съгласно §1, т.13 от Допълнителните разпоредби на ЗЗЛД, "Съгласие на физическото лице" е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани. От даденото в закона определение става видно, че основните параметри, касаещи съгласието на физическото лице са следните:

– Да е свободно изразено-предоставено от физическото лице, по негово собствено желание, без елемент на принуда;

– Да бъде недвусмислено – съгласието следва да бъде предоставено по начин и във вид, които да не пораждат съмнение, относно изявената воля на физическото лице за обработване на данните му;

-Да е конкретно-т.е съгласието следва да бъде предоставено за обработване на лични данни от конкретно лице за конкретни цели;

– Да е информирано – лицето, предоставящо данните следва да бъде уведомено от администратора, относно: данните, които идентифицират администратора и неговия представител; целите на обработването на личните данни; получателите или категориите получатели; на които могат да бъдат разкрити данните;данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им; информация за правото на достъп и правото на коригиране на събраните данни; информация за правото на възражение на физическото лице за обработване на личните му данни за целите на директния маркетинг.

– Да е предоставено от физическото лице, за което се отнасят личните данни, предмет на обработване.

Съобразно действащата към настоящия момент нормативна уредба в сферата на защитата на личните данни в Република България за изразеното съгласие на физическо лице няма изрично изискване за писмена форма. Предвид това и с цел защита на правата на физическите лица при неправомерно обработване на свързаните с тях лични данни, КЗЛД винаги търси доказателства за това, че съгласието е дадено информирано, свободно изразено и недвусмислено, както и че съгласиетопроизхожда именно от физическото лице, за което се отнасят данните.

На основание изложеното, в конкретния случай обработването на лични данни на общопрактикуващи лекари, лекари-специалисти по отделни болести и други медицински лица чрез актуализиране и/или изменение следва да се извършва при наличие на поне едно от алтернативно посочените условия в чл.4, ал.1 от ЗЗЛД. Съгласието на физическите лица за обработване на техни лични данни обаче е само едно от алтернативно регламентираните условия за допустимост на обработването. Ако е налице друго правно основание за предоставянето на лични данни съгласно чл.4, ал.1 от ЗЗЛД, не е необходимо да е налице и съгласие на лицата.

Относно предоставянето на лични данни в трета държава: По смисъла на §1, т.5 от Допълнителните разпоредби на Закона за защита на личните данни, „предоставяне на лични данни” са действия по цялостно или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната или извън нея. Действията по отношение на предоставянето на лични данни, представляват „Обработване на лични данни”, съгласно определението, посочено в § 1, т.1 от Допълнителните разпоредби на ЗЗЛД. В конкретния случай, промяната и въвеждането на данниот "Н.Н.Ф." ЕАД с цел те да бъдат предоставени на администратор/обработващ данните,респ. трето лице, установени в трета държава са действия по предоставяне на лични данни съгласно дефиницията на §1, т.5 от Допълнителните разпоредби на ЗЗЛД.

Относно необходимостта от сключването на договор между администратора и индийските оператори за трансфер на данни и относно получаване на разрешение от КЗЛД: Предоставянето на лични данни в държава, която не е членка на Европейския съюз и на Европейското икономическо пространство (трета държава), се осъществява съгласно разпоредбата на чл.36а и чл.36б от Закона за защита на личните данни и след разрешение на Комисията за защита на личните данни. В конкретния случай, Република Индия се явява трета държава по смисъла на §1, т.14 от Допълнителните разпоредби на Закона за защита на личните данни .

Правилото е, че трансфер на лични данни към трета държава се допуска, само ако тя осигурява адекватно ниво на защита на личните данни на своя територия. На основание чл. 36а, ал.3 от ЗЗЛД преценката на адекватността на нивото на защита на личните данни в трета държава се извършва от Комисията за защита на личните данни, като се вземат предвид всички обстоятелства, свързани с действието или съвкупността от действията по предоставянето на данните, включително характера на данните, целта и продължителността на обработването им, правната уредба и мерките за сигурност, осигурени в третата държава.

За да бъде допустимо предоставянето на лични данни от администратор на територията на Република България към трета държава е необходимо да е налична поне една от следните хипотези:

1.Да има решение на Европейската комисия, с което е констатирано адекватно ниво на защита на личните данни в третата държава-чл.36а, ал.5, т.1 от ЗЗЛД;

2.Спрямо конкретния трансфер да се прилагат някои от стандартните договорни клаузи, приети от Европейската комисия като осигуряващи адекватно ниво на защита-чл. 36а, ал.5, т.2 от ЗЗЛД;

3.Да е налице някое от основанията по чл.36а, ал.7, т.1-6 от ЗЗЛД.

4.Спрямо конкретния трансфер да са налице достатъчно гаранции за защита на трансферираните лични данни, осигурени от администратора, предоставящ данните и администратора, получаващ данните-чл.36б от ЗЗЛД.

По изключение Комисията за защита на личните данни не извършва преценка на адекватността на нивото на защита на личните данни в трета държава, само когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че:

1.1 Третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита;

1.2 Определени стандартни договорни клаузи осигуряват адекватно ниво на защита.

– Решение на Европейската комисия № 2001/497/ЕО от 15.06.2001г., относно общите договорни клаузи за трансфера на лични данни към трети страни, които не осигуряват адекватно ниво на защита съгласно Директива 95/46/ЕО;

– Решение на Европейската комисия № 2004/915/ЕО от 27.12.2004г. за изменение на решение № 2001/497/ЕО за въвеждане на алтернативен комплект общи договорни клаузи за прехвърляне на лични данни в трети страни;

– Решение №2010/593/ЕО от 05.02.2010г. на Европейската комисия, относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО.

Във връзка със самата процедура по даване на разрешение за предоставяне на лични данни към получател в трета държава е необходимо следното:

· да е налице регистрация на съответния администратор на лични данни, предоставящ данните в регистъра на администраторите на лични данни, поддържан от КЗЛД;

· да е налице искане до КЗЛД за разрешаване на трансфер на лични данни ;

· да е посочено, по кой съответен регистър, поддържан от администратора се иска извършването на трансфер ;

· да е представена информация дали физическите лица, чиито данни ще се трансферират, са уведомени за предстоящия трансфер, респ. дали е налице съгласие от тяхна страна за извършването на трансфера на данни;

· към конкретното искане да се приложат доказателства и информация относно:

oхарактер на данните, които се предоставят ;

oсрок на обработване;

oцел на предоставяне на данните ;

oинформация относно получателя на личните данни;

oдоказателства, свързани с конкретното искане.

Предвид горното и с цел откриване на административно производство по разрешаване предоставянето на лични данни е необходимо искането да бъде подадено в съответствие с чл. 30 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация, като освен горепосочената информация, следва да бъдат представени информация и доказателства: 1.Относно основанието, на което иска да бъде разрешен трансфера на данни в конкретния случай; 2. Относно предприетите организационни и технически мерки за защита на данните, във връзка с осъществяването на трансфера; 3. Подробна информация относно характера на данните, които се предоставят; срока на обработване; целите на предоставяне на данните; информация относно получателя на личните данни; доказателства, свързани с конкретното искане (в конкретния случай – вкл. договори, проекти и др. относно естеството на искането).

В конкретния случай са налице две възможни хипотези:

1. Във връзка с предоставянето на данни от "Н.Н.Ф." ЕАД на "Н.Н.Р.Е.", Конфедерация Швейцария, намира приложение разпоредбата на чл.36а, ал.5, т.1 от Закона за защита на личните данни. В този случай, Комисията за защита на личните данни не извършва преценка на „ адекватността на нивото на защита на личните данни в трета държава”, тъй като е налице произнасяне, с решение на Европейската комисия, че третата държава (Конфедерация Швейцария), в която се предоставят личните данни, осигурява адекватно ниво на защита. Произнасянето на Европейската комисия в разглеждания смисъл е с решение № 2000/518/ЕО от 26.07.2000г. съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета за адекватната защита на личните данни, предоставяни в Швейцария;

2.В случай, че "Н.Н.Ф." ЕАД ще предоставя (директно) лични данни на дружество, установено в Република Индия, то в този случай е приложим разрешителния режим от страна на Комисията за защита на личните данни, за да бъде осъществен трансфера на лични данни в третата държава. В този случай, следва да се спазва процедурата по искане на разрешение от КЗЛДза предоставяне на личните данни в Република Индия, съгласно предоставената по-горе информация.

Във връзка с горното и на основание чл. 10, ал.1, т. 4 от Закона за защита на личните данни,Комисията за защита на личните данни изразява следното

1. Обработването на лични данни (вкл. актуализиране и/или изменение) е допустимо само при наличието на поне едно от алтернативно дадените условия в чл. 4, ал.1 от Закона за защита на личните данни. Съгласието на физическите лица за обработване на техни лични данни е само едно от тези условия за допустимост на обработването. Ако е налице друго правно основание за предоставянето на лични данни съгласно чл.4, ал.1 от ЗЗЛД, не е необходимо да е налице и съгласие. Няма изискване за писмена форма, но съгласието трябвада е свободно изразено, конкретно, информирано и недвусмислено.

2. По смисъла на §1, т.5 от Допълнителните разпоредби на Закона за защита на личните данни, „предоставяне на лични данни” са действия по цялостно или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната или извън нея. Ако чрез действията по промяна и въвеждане на данниот "Н.Н.Ф." ЕАД се пренасят данни до получател в третата държава, се осъществява предоставяне на данни по Закона за защита на личните данни.

3. Предоставянето на лични данни в държава, която не е членка на Европейския съюз и на Европейското икономическо пространство (трета държава), се осъществява съгласно разпоредбите на чл.36а и чл.36б от Закона за защита на личните данни.

4. Преценката за необходимостта от сключване на договор за трансфер на данни по т.3 е на самите администратори, с оглед на основанието, на което се позоват, във връзка с конкретното искане за трансфер.