РЕШЕНИЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № П – 6887/ 21.08.2015 г.
Гр. София, 16.10.2015 г.
Относно: Искане за трансфер на лични данни от „А.З.Б." ЕООД на основание чл.36б от Закона за защита на личните данни, във връзка с Обвързващи корпоративни правила
Комисията за защита на личните данни в състав: Председател: Венцислав Караджов и членове: Цанко Цолов, Цветелин Софрониев и Мария Матева, на заседание, проведено на 14.10.2015г., разгледа искане за трансфер на лични данни с вх. рег.№П – 6887/21.08.2015г. от администратора на лични данни „А.З.Б." ЕООД, ЕИК *******, със седалище и адрес на управление: *******, подадено чрез К.Н.С., в качеството му на пълномощник на управителите на „А.З.Б." ЕООД– г-жа З.Г.П. и г-н М.С.И.
Искането е за разрешение на трансфер на лични данни на основание приети Обвързващи корпоративни правила, одобрени в процедура за европейско сътрудничество, под ръководството на националния орган по защита на личните данни на Великобритания – Управление на Комисаря по информация.
В искането се посочва, че „А.З.Б." ЕООД, еднолично дружество с ограничена отговорност, надлежно учредено и валидно съществуващо съгласно законите на Република България, вписано в Търговския регистър към Агенция по вписванията по ЕИК *******, със седалище и адрес на управление*****, е администратор на лични данни съгласно Закона за защита на личните данни (ЗЗЛД) и като такъв поддържа следните четири регистъра на лични данни:
– Регистър „Служители", който регистър включва лични данни на кандидати за работа и служители на Администратора;
– Регистър „Контрагенти", който регистър включва лични данни на клиенти и доставчици на Администратора;
– Регистър „Лекарствена безопасност", който регистър включва лични данни на пациенти; и
– Регистър „Медицински специалисти", който регистър включва лични данни на медицински специалисти – лекари и фармацевти.
Адв. К.Н.С. информира КЗЛД, че администраторът е част от корпоративната група "А.З.Г." (A.Z.G.). А.З.Г. е глобална фармацевтична организация на основата на изследователска дейност. Тя притежава и управлява множество научноизследователски и развойни, маркетингови и производствени съоръжения в световен мащаб, където работят повече от 60000 служители. Корпоративното седалище на А.З.Г. се намира във Великобритания. Всички основни решения относно политиката на компанията по отношение на естеството и степента на събиране и обработка на лични данни се правят централизирано от седалището.
Събирането, обработването, прехвърлянето и всяка друга форма на администриране на лични данни в А.З.Г. е обект на и се регулира от Обвързващите корпоративни правила на А.З. (ОКП). ОКП принципно се състоят от (i) Обвързващи корпоративни правила на А.З. – вътрешногрупово споразумение от 25.07.2014г. и приложенията към него; (ii) Глобалната политика на А.З. – Неприкосновеност на данните; и (iii) А.З. Уведомление за неприкосновеност на личния живот.
ОКП са били одобрени в процедура за европейско сътрудничество под ръководството на националния орган по защита на личните данни на Великобритания – Управление на Комисаря по информация, и са били съгласувани от шведския и белгийския национален орган по защита на личните данни.
В искането е отбелязано, че ОКП представляват глобален кодекс за практики, базиран на европейските стандарти за защита на данните, който се изготвя от мултинационални компании и се спазва доброволно от тях с цел осигуряване на адекватни мерки за трансфер на данни между фирмите в рамките на корпорацията. Създадени са като допълнителен инструмент за трансфер освен стандартните договорни клаузи, като тяхната регулация се извършва чрез работните документи на Работната група по чл.29. Правилата се прилагат за всички дружества, включени в корпорацията, без значение от местоположението им (в или извън ЕС/ЕИП), националността на лицата, чиито данни се обработват или други критерии, като винаги се отчита действието на нормите на съответното национално законодателство за конкретния администратор и/или обработващ.
С оглед горната информация и независимо, че към настоящия момент в българското национално законодателство в сферата на защита на личните данни ОКП не са нормативно признат инструмент за трансфер на данни, адв. К.Н.С. счита, че наличието на ОКП, одобрени в процедура за европейско сътрудничество, под ръководството на националния орган по защита на личните данни на Великобритания – Управление на Комисаря по информация, доказват, че Администраторът, в качеството си на предоставящ данните, и останалите дружества от групата на А.З., в качеството им на получатели на данните, обвързани от ОКП, предоставят достатъчно гаранции за защитата на данните, които ще бъдат предмет на трансфер. В допълнение, в искането е обърнато внимание на факта, че ОКП на А.З. – вътрешногрупово споразумение се основават до голяма степен, но не е идентично, на стандартните договорни клаузи за прехвърляне на данни от администратор на администратор и от администратор на обработващ данните, одобрени от Европейката комисия. Съгласно българското законодателство, тези стандартните договорни клаузи, одобрени от Европейката комисия, представляват основание за трансфер и се счита, че предоставят адекватно ниво на защита на данните.
Предвид горното, на основание чл.36б, ал.1 от ЗЗЛД, във връзка с чл.10, ал.1, т.4 от ЗЗЛД и във връзка с чл.5, ал.1, т.9 и ал.2 и чл.50 – 53 от Правилника за дейността на Комисията за защита на личните данни и нейната администрация, с настоящото адв. К.Н.С. се обръща към Комисията с молба да издаде в полза на Администратора решение, с което разрешава трансфер на лични данни, съдържащи се във всеки от четирите регистъра на лични данни, поддържани от Администратора, а именно: Регистър „Служители", Регистър „Контрагенти", Регистър „Лекарствена безопасност" и Регистър „Медицински специалисти", до останалите дружества от групата на А.З., обвързани от ОКП, в зависимост от необходимостта, предвид това че са предоставени достатъчно гаранции за защита на данните.
Разрешението за трансфер изисква промяна на заявените данни във всеки от четирите регистъра на лични данни и след решение на Комисията за защита на личните данни, разрешаващо трансфер на лични данни на основание ОКП, ще бъде извършена съответната промяна.
Към искането са приложени:
1. Обвързващи корпоративни правила на А.З. – вътрешногрупово споразумение от 25.07.2014г. и приложенията към него – заверен превод на български език;
2. Заявление до националния орган по защита на личните данни на Великобритания – Управление на Комисаря по информация за одобрение на обвързващи корпоративни правила за трансфер на лични данни на А.З., Част 1 и Част 2 – заверен превод на български език;
3. Разрешение на Обвързващите корпоративни правила, издадено от Управлението на Комисаря по информация на Великобритания на 24.12.2014г. – заверен превод на български език; и
4. Копие от пълномощно в полза на К.Н.С.
Правен анализ:
Еднолично дружество с ограничена отговорност „А.З.Б." е вписано в електронния регистър на Администраторите на лични данни към КЗЛД под идентификационен №315886. В заявлението е посочено, че „А.З.Б." ЕООД поддържа четири регистъра.
Искането за разрешаване на трансфер е на основание чл.36б, ал.1 от ЗЗЛД, т.е. извън случаите по чл.36а от ЗЗЛД, като предоставянето на лични данни в трета държава се извършва след разрешение на Комисията за защита на личните данни, при условие че администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за защитата им.
Обвързващите корпоративни правила (Binding Corporate Rules) представляват глобален кодекс за практики, базиран на европейските стандарти за защита на данните, който се изготвя от мултинационални компании и се спазва доброволно от тях с цел осигуряване на адекватни мерки за трансфер на данни между фирмите, в рамките на корпорацията. Създадени са като допълнителен инструмент за трансфер, освен стандартните договорни клаузи, като тяхната регулация се извършва чрез работните документи (РД) на Работната група по чл.29. На 24 юни 2008г., Работната група по член 29 прие три работни документа относно обвързващите корпоративни правила (ОКП), включително документ, въвеждащ таблица с елементите и принципите, които трябва да се съдържат в обвързващите корпоративни правила (РД 153) и документ, въвеждащ образец за структуриране на обвързващите корпоративни правила (РД 154). По този начин групата направи важна крачка към подобряване на процедурата на сътрудничество по ОКП чрез предоставянето на допълнителни обяснителни материали, които да бъдат осигурени на кандидатстващите от органите за защита на данните и да изясняват необходимото съдържание на правилата и формуляра. Въз основа на предприетите действия по този въпрос, органи за защита на данните от следните страни се ангажират да признаят взаимно правилата, изпратени до тях посредством процедурата за сътрудничество: Франция, Германия (федерално и местно ниво), Ирландия, Италия, Люксембург, Холандия, Испания и Великобритания.
A.Z., чрез встъпване в ОКП, предоставя достатъчно гаранции по отношение на защитата на личния живот и основните права и свободи на физическите лица при трансфери на лични данни от износители на данни към вносители на данни. ОКП са многостранно споразумение, което създава определени задължения за всички членове на A.Z.G., които са страна по него (включително и тези, свързани с A.Z. дружества, които подпишат .договор за присъединяване" и в бъдеще станат страна), по отношение на:
•„съответстващи трансфери" на лични данни;
•„последващи трансфери" на лични данни.
Налично е онлайн „Уведомление за поверителност" на A.Z., което e документ, насочен към обществото, информиращ посетителите на уеб сайта за начина, по който A.Z. събира и използва личните данни, описва ОКП и информира хората за правата им по ОКП.
„Глобалната политика на A.Z. – Защита на личните данни" е насочен към обществото документ, който всички служители на Страните се съгласяват да спазват и в който са посочени изискванията на A.Z. за гарантиране на събирането, използването, запазването и разкриването на личните данни по справедлив, прозрачен и надежден начин. В допълнение към тези документи, всички служители от Страните се споразумяват да се съобразяват с редица други политики и стандарти, свързани с изискванията на A.Z., по отношение на обработката на лични данни.
С ОКП се уреждат съответстващи трансфери, последващи трансфери, както и обработването на лични данни от Страна, която действа като лице, обработващо данни, от името на друга Страна по Споразумението. Всяка Страна, сключила ОКП, може да бъде износител или вносител на данни, или и двете.
Всяка Страна по ОКП е отговорна пред другата Страна за вреди, които причинява чрез всяко нарушение на тези клаузи. Отговорността между Страните е ограничена до действително претърпените вреди. Всяка Страна по Споразумението е отговорна пред субектите на данни за вреди, причинени от всяко нарушение на правата на трети лица съгласно тези клаузи. Това не засяга отговорността на износителя на данни, съгласно неговото законодателство за защита на данните.
При така поставената фактология и доказателства може да се приеме, че администраторът, предоставящ данните, и администраторът, който ги получава, предоставят достатъчно гаранции за тяхната защита. В този контекст, на основание чл.36б, ал.1, във връзка с чл.10, ал.1, т.4 от ЗЗЛД, би могло да се разреши на администратора на лични данни „А.З.Б." ЕООД да извършва трансфер на лични данни, съдържащи се във всеки от четирите регистъра на лични данни, поддържани от Администратора, а именно: Регистър „Служители", Регистър „Контрагенти", Регистър „Лекарствена безопасност" и Регистър „Медицински специалисти", до останалите дружества от групата на А.З. при условията и в рамките на срока на действие на ОКП, одобрени в процедура за европейско сътрудничество под ръководството на националния орган по защита на личните данни на Великобритания – Управление на Комисаря по информация.
Във връзка с гореизложеното и на основание чл.36б, ал.1 от ЗЗЛД , във връзка с чл.10, ал.1, т.4 от ЗЗЛД, Комисията за защита на личните данни:
РЕШИ:
Разрешава на администратора на лични данни „А.З.Б." ЕООД да извършва трансфер на лични данни до останалите дружества от групата на А.З. въз основа на приетите Обвързващи корпоративни правила, при стриктно спазване на включените в тях условия и в рамките на срока им на действие.
Решението на Комисията може да се обжалва пред Върховния административен съд в 14 /четиринадесет/ дневен срок от получаването му.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венцислав Караджов /п/ |
Цанко Цолов /п/ |
