Становище на КЗЛД относно въвеждане на политика за подаване на сигнали

Предвид желанието на представляваните от адв.А. дружества и на другите компании от групата на Д.Е.С. (D.S.S.) да се придържат към най-високите стандарти на бизнес етиката, на „Д.Е.С.Б.“ АД и „Д.С.“ ЕООД предстои въвеждане на политика за подаване на сигнали от служители на Дружествата в случай на съмнение, че се нарушават бизнес правила и етични изисквания или се извършват други закононарушения от служители на Дружествата. Тази политика се нарича “Съобщавайте за нередности„ („Speak Up“) и се прилага в дружества от групата в други държави. Политиката предвижда възможност служители/работници на Дружествата да подадат сигнал в редица случаи, в които у тях възникне съмнение, че друг служител на Дружествата извършва някое от нарушенията, описани в Политиката. Предвидени са три възможности за подаване на сигнали:

1. използването на телефонна линия, достъпна за служителите 24 часа в денонощието, 365 дни в годината или

2.сигнализиране чрез Интернет на www.expolink.co.uk и

3. сигнализиране на и-мейл: report@expolink.co.uk.

Както телефонната линия, така и посочените уеб-адрес и и-мейл адрес се обслужват от Е.Ю.Л. (E.E.L.), със седалище и адрес на управление в ******. Потенциални сигнали ще се приемат от Expolink, като лицата, подаващи сигнала, предоставят информация за себе си с цел да се идентифицират (но могат да останат и анонимни), респективно предоставят информация за служителя/работника, срещу който се подава съответният сигнал. Личните данни, които ще се предоставят на Expolink, са три имена, длъжност, работно място, и-мейл, телефонен номер на подаващия сигнала служител/работник и на лицето, срещу което се подава сигнал, но е възможно подаващият сигнала да предостави и други известни нему лични данни. За целите на индивидуализирането на сигнала е необходимо и описание на фактическата обстановка, при която е извършено евентуалното нарушение, като в общия случай това описание вероятно не съдържа данни, които могат да се квалифицират като “лични данни„ по смисъла на чл.2, ал.1 от Закона за защита на личните данни (ЗЗЛД).

След получаване на сигнала, Expolink въвежда получената информация в електронна система и изпраща уведомление по електронна поща на нарочен служител от структурите на Дружествата в България. Указано е, че сигналът се разследва по правило в държавата, от която е подаден, в конкретния случай в България. Следва да се отбележи, че личните данни в описаната по-горе процедура се предоставят от самите служители на „Д.Е.С.Б.“ АД и „Д.С.“ ЕООД и се отнасят за тях самите или за техни колеги, а не се предоставят от Дружествата в качеството им на Администратори.

С оглед изложеното по-горе и на основание чл.10, ал.1, т.4 от ЗЗЛД, адвокат Антонов моли Комисията за защита на личните данни да се произнесе с компетентно становище по следните въпроси:

1. Следва ли „Д.Е.С.Б.“ АД и „Д.С.“ ЕООД да искат от своите работници/служители съгласие за предоставяне на лични данни във връзка с политиката “Съобщавайте за нередности„ („Speak Up“).

2. Следва ли „Д.Е.С.Б.“ АД и „Д.С.“ ЕООД да получат разрешение от КЗЛД във връзка с потенциален трансфер на лични данни към Е.Ю.Л. (E.E.L.) чрез въвеждането на политиката “Съобщавайте за нередности„ („Speak Up“).

Адв.А моли КЗЛД, в случай, че становището по точка 2 е положително, КЗЛД да издаде разрешение на „Д.Е.С.Б.“ АД и „Д.С.“ ЕООД за трансферна лични данни към Е.Ю.Л. (E.E.L.) чрез въвеждането на политиката “Съобщавайте за нередности„ („Speak Up“).

Акционерно дружество “Д.Е.С.Б.„ е вписано в Търговския регистър при Агенцията по вписванията с БУЛСТАТ ****. Дружеството е вписано в електронния регистър на администраторите на лични данни и водените от тях регистри към КЗЛД с идентификационен номер 35752, но по регистрацията му липсват актуални данни, които следва да бъдат заявени, съгласно разпоредбите на чл.18, ал.3 от ЗЗЛД.

Еднолично дружество с ограничена отговорност “Д.С.„ ЕООД е вписано в Търговския регистър при Агенцията по вписванията с БУЛСТАТ *****. Дружеството е вписано в електронния регистър на администраторите на лични данни и водените от тях регистри към КЗЛД с идентификационен номер 192088, но и при неговата регистрация липсват актуални данни, които следва да бъдат заявени, съгласно разпоредбите на чл.18, ал.3 от ЗЗЛД.

За целите на настоящия анализ следва да се посочи на първо място легалната дефиниция на понятието „обработване на лични данни“. Съгласно определението, посочено в §1, т.1 от Допълнителните разпоредби на ЗЗЛД, това е всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.

Въвеждането на политика за подаване на сигнали от служители, наричана „Съобщавайте за нередности“ („Speak Up“) предпоставя, че по отношение на определен кръг от засегнати лица в рамките на Дружествата ще бъдат обработвани лични данни. Целта на въвеждането на тази Политика е да се даде възможност на служители/работници да подават сигнали в редица случаи на възникване на съмнение, че друг служител/работник извършва някое от нарушенията, описани в Политиката, чрез които се нарушават бизнес правила и етични изисквания или се извършват други закононарушения от страна на служители/работници.

В качеството си на администратор на лични даннидвете дружества „Д.Е.С.Б.“ АД и „Д.С.“ ЕООД следва да обработват лични данни, на физически лица при съблюдаване и спазване на всички нормативни изисквания в тази сфера.

За да се приеме, че е налице законосъобразно обработване на лични данни чрез използване на политиката за подаване на сигнали от служители “Съобщавайте за нередности„ („Speak Up„), следва да е налице поне едно от изчерпателно изброените в чл.4, ал.1 от ЗЗЛД и дадени алтернативно условия за допустимост на обработването и при спазване на установените в чл.2, ал.2 от ЗЗЛД принципи за законосъобразност, пропорционалност и целесъобразност на тяхното обработване.

Съгласно разпоредбите на чл.19 от ЗЗЛД, в случаите, когато личните данни се събират от лицето, за което се отнасят, администраторът или негов представител му предоставя:

1. данните, които идентифицират администратора и неговия представител;

2. целите на обработването на личните данни;

3. получателите или категориите получатели, на които могат да бъдат разкрити данните;

4. данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им;

5. информация за правото на достъп и правото на коригиране на събраните данни.

Данните, изброени по-горе не се предоставят, когато физическото лице, за което се отнасят, вече разполага с тях или в закон съществува изрична забрана за предоставянето им.

Когато личните данни не са получени от физическото лице, за което те се отнасят, администраторът или негов представител му предоставя:

1. данните, които идентифицират администратора и неговия представител;

2. целите на обработването на личните данни;

3. категориите лични данни, отнасящи се до съответното физическо лице;

4. получателите или категориите получатели, на които могат да бъдат разкрити данните;

5. информация за правото на достъп и правото на коригиране на събраните данни.

Горецитираните данни се предоставят на лицето, за което се отнасят, към момента на вписването им в съответния регистър или, ако се предвижда разкриване на данните на трето лице – не по-късно от момента на разкриването им за пръв път.

Следователно Дружествата, в качеството си на администратори на лични данни следва да информират служителите си за въвеждането и функционирането на политиката за подаване на сигнали от служители, наречена “Съобщавайте за нередности„ („Speak Up„).

По отношение на втория поставен въпрос, средва да ес има предвид, че предоставянето на лични данни от администратор, установен на територията на Република България към друг администратор на лични данни извън страната, се извършва по реда на Глава шеста от Закона за защита на личните данни, като определящ критерий е държавата, в която ще бъдат предоставени данните.

Съгласно чл.36а, ал.1 от ЗЗЛД предоставянето на лични данни в държава-членка на Европейския съюз, както и в друга държава-членка на Европейското икономическо пространство, се извършва свободно при спазване изискванията на ЗЗЛД.

Предвид това, че информацията, съдържаща лични данни ще бъде предоставяна в държава-членка на Европейския съюз, а именно Великобритания, то предоставянето следва да се извършва свободно при спазване изискванията на ЗЗЛД, позовавайки се на чл.36 а, ал.1 от ЗЗЛД.

Във връзка с горното и на основание чл.10, ал.1, т.4 от Закона за защита на личните данни, Комисията за защита на лични данни изразява следното

1. Администраторите на лични данни „Д.Е.С.Б.“ АД и „Д.С.“ ЕООД следва да информират служителите си за въвеждането и функционирането на политиката за подаване на сигнали от служители, наречена “Съобщавайте за нередности„ („Speak Up") при спазванеразпоредбите на чл.19 и чл.20 от Закона за защита на личните данни.

2. Предвид обстоятелството, че информацията от служителите на „Д.Е.С.Б.“ АД и „Д.С.“ ЕООД (съдържаща и лични данни) ще бъде подавана към Е.Ю.Л. (E.E.L.) със седалище и адрес на управление Великобритания, не следва да бъде разглеждано разрешение за трансфер от страна на Комисията за защита на личните данни. Съгласно чл.36а, ал.1 от Закона за защита на личните данни, предоставянето на лични данни в държава-членка на Европейския съюз, както и в друга държава-членка на Европейското икономическо пространство, се извършва свободно при спазване изискванията на ЗЗЛД.