Становище на КЗЛД по въпроси, свързани с прилагане на Обвързващи корпоративни правила при предоставяне (трансфер) на лични данни

Комисията за защита на личните данни (КЗЛД) в състав: Членове: Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков на заседание, проведено на 23.10.2013г., разгледа преписка с вх.№П-6208/25.09.2013г. от „А.Б.“ ЕООД, представлявано от д-р Р.К.У. и Б.М.Н.– управители, по въпроси свързани с прилагане на Обвързващи корпоративни правила (Binding Corporate Rules ) при предоставяне (трансфер) на лични данни.

В искането си до Комисията за защита на личните данни (КЗЛД, Комисията) управителите на „А.Б.“ЕООД отбелязват, че поставените от тях въпроси са свързани с приложението на Закона за защита на личните данни (ЗЗЛД) и като декларират желанието на дружеството да спазва стриктно приложимите разпоредби на българското и европейското законодателство в областта на защитата на личните данни, молят КЗЛД за становище и разяснение на изложени в искането въпроси.

В искането си от „А.Б.“ ЕООД посочват, че във връзка с осъществяваната дейност от страна на дружествата от групата на Н. АГ и взаимодействието между тях, в някои случаи възниква необходимост от прехвърляне на лични данни от някое от тези лица, което е установено на територията на държава членка на Европейския съюз или на Европейското икономическо пространство, на друго лице, което също е част от групата на Н. АГ, но е установено на територията на трета държава по смисъла на чл.25 от Директива95/46/ЕО на Европейския парламент и на Съвета от 24октомври 1995год. („Директива95/46/ЕО“), както и по смисъла на параграф1, т.14 от Допълнителните разпоредби на Закона за защита на личните данни.

От дружеството уведомяват КЗЛД, че Н. АГ е изготвило и приело Обвързващи корпоративни правила (Binding Corporate Rules) („Обвързващи корпоративни правила на Н.“), които следва да бъдат прилагани от дружествата от групата на Н. и имат за цел да регламентират и осигурят адекватно ниво на защита на личните данни при прехвърлянето им в рамките на корпоративната група, в съответствие с приложимите правни норми. Обвързващите корпоративни правила, съгласно изрични становища на Работната група по чл.29 от Директива 94/46/ЕО (WP74 от 03юни 2003год., WP155 от 24 юни 2008год. и др.), представляват инструмент за трансфер на лични данни между администратори на лични данни в рамките на една корпоративна група. Независимо от прилагането на такива правила, трансферът на лични данни следва да бъде извършен в съответствие със законодателството на отделните държави-членки и изискванията на националните органи по защита на личните данни.

Съгласно изложеното, от „А.Б.“ ЕООД уведомяват КЗЛД, че обвързващите корпоративни правила на Н. са одобрени в процедура за европейско сътрудничество, под ръководството на френския национален орган по защита на личните данни (Commission nationale de l`informatique wt des libertes), и след съгласуване с националните органи по защита на личните данни на държавите, участващи в процедурата по взаимно признаване, към която се е присъединила и Република България. В писмото е посочено, че към настоящия момент, всяко лице, част от групата на Н. АГ, което е подписало вътрешнокорпоративното споразумение за приемане на Обвързващите корпоративни правила (BCR Intercompany agreement), следва да прилага същите и, в зависимост от приложимите национални норми да: (1) уведомява съответния национален орган за предстоящите трансфери; или (2) да сезира съответния национален орган с искане за разрешения на трансферите.

По повод изложеното, възникват въпроси, по които „А.Б.“ ЕООД се нуждае от становище и разяснения. Предвид описаната по-горе фактическа обстановка и липсата на изрична правна регламентация в българското законодателство на Обвързващите корпоративни правила като институт за трансфер на лични данни, на основание чл.10, ал.1, т.4 от ЗЗЛД, във връзка с чл.5, ал.1, т.9, чл.28, ал.1, т.4 и чл.54, т.2 от Правилника за дейността на Комисията за защита на личните данни и нейната администрация в искането са поставени следните въпроси:

1.Дали Обвързващите корпоративни правила на Н., одобрени по реда на процедурата за европейско сътрудничество, ще бъдат основание за прилагане на уведомителен режим по реда на глава шеста от ЗЗЛД в случаите на трансфери на лични данни съгласно правилата от „А.Б.“ ЕООД на други лица от групата на Н., които са установени в трети страни? В частност, дали когато не са налице условията по чл.36а, ал.5, т.1 и чл.36а, ал.7 от ЗЗЛД, за горните трансфери е необходимо „А.Б.“ ЕООД да сезира Комисията за защита на личните данни с искане/ искания за разрешение на трансферите, или е достатъчно да уведоми Комисията за предстоящите трансфери?

2.В случай, че е необходимо предварително разрешение на Комисията за защита на личните данни за извършване на трансферите:

– Допустимо ли е издаването на едно общо разрешение за извършване на множество трансфери на лични данни от страна на „А.Б.“ ЕООД на основание Обвързващите корпоративни правила на Н., или е необходимо издаването на отделно разрешение за всяко конкретно прехвърляне на лични данни?

– Дали одобрението на Обвързващите корпоративни правила на Н. по реда на процедурата за европейско сътрудничество ще бъде счетено от Комисията за достатъчно основание за издаване на разрешение/разрешения за трансфер/трансфери или Комисията ще извършва преценка по общия ред на всички относими обстоятелства, в това число, на предоставените от администратора гаранции за защита на личните данни (които вече са оценени в процедурата по европейско сътрудничество), на адекватността на нивото на защита в съответната трета държава и др.?

Към искането са приложени следните документи:

1.Обвързващи корпоративни правила на Н.;

2.Публикуван на електронната страница на Европейската комисия Списък на компаниите, за чиито Обвързващи корпоративни правила е проведена процедурата по взаимно сътрудничество.

Обвързващите корпоративни правила (Binding Corporate Rules) представляват глобален кодекс за практики, базиран на европейските стандарти за защита на данните, който се изготвя от мултинационални компании и се спазва доброволно от тях с цел осигуряване на адекватни мерки за трансфер на данни между фирмите, в рамките на корпорацията. Създадени са като допълнителен инструмент за трансфер освен стандартните договорни клаузи, като тяхната регулация се извършва чрез Работните документи (РД) на Работната група по чл.29. Правилата се прилагат за всички дружества, включени в корпорацията, без значение от местоположението им (в или извън ЕС/Европейската икономическа зона (ЕИЗ)), националността на лицата, чиито данни се обработват или други критерии, като винаги се отчита действието на нормите на съответното национално законодателство за конкретния администратор и/или обработващ.

По отношение на трансфера на данни към фирми, извън корпорацията, намиращи се в трети страни, приложение намират стандартните договорни клаузи, приети с Решения на Европейската комисия. Съществуват три решения на Европейската комисия, с които са определени алтернативни стандартни договорни клаузи за трансфер в трета държава от администратор до администратор, както и от администратор към обработващ лични дани:

– Решение на ЕК от 15юни 2001г. относно стандартни договорни клаузи за трансфер на лични данни до трети страни, съгласно Директива95/46/ЕО (2001/497/ЕО);

– Решение на ЕК от 27декември 2004г., изменящо Решение2001/497/ЕО, с оглед въвеждането на алтернативни стандартни договорни клаузи за трансфер на лични данни до трети страни (2004/915/ЕО);

– Решение на ЕК от 5февруари 2010г. относно стандартни договорни клаузи при предаването на лични дани към лицата, които ги обработват, установени в трети страни, съгласно Директива95/46/ЕО.

Стандартните договорни клаузи осигуряват адекватно ниво на защита на трансферираните лични данни, които са предмет на съответния договор. Те са приложими към трансфери до всички държави извън Европейския съюз. Стандартните договорни клаузи предвиждат съответни задължения за администратора, който предоставя данните и за лицето от третата държава, което ги получава. Установена е солидарна отговорност за трансфериращия и получаващия данните при нарушаване на клаузите. В стандартните договорни клаузи се посочват основните аспекти на съответния трансфер (вид на данните, цели на трансфера, период на обработване и др.). Стандартните договорни клаузи могат да бъдат допълвани от страните, сключващи съответния договор за трансфер, но само доколкото допълненията не им противоречат.

Информация по отношение на Решенията на ЕК може да се намерите на адрес: http://ec.europa.eu/justicehome/fsj/privacy/ modelcontracts/index en.htm

С оглед зададените в искането въпроси следва да се отбележи обстоятелството, че към настоящия момент в националното ни законодателство в сферата на защита на личните данни обвързващите корпоративни правила не са нормативно признат инструмент за трансфер на данни.

Съгласно чл.36б, ал.1 от Закон за защита на личните данни (или кореспондиращата европейска разпоредба в чл.26(2) от Директива95/46/ЕО на Европейския парламент и на Съвета): „извън случаите по чл.36а, предоставянето на лични данни в трета държава се извършва след разрешение на Комисията за защита на личните данни, при условие администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за защитата им." В тази връзка е посочено, че Работен документ74, целящ хармонизирано прилагане и тълкуване на чл.26(2) от Директива95/46/ЕО, на Работна група по чл.29 (..Работната група") от Директива95/46/ЕО, предвижда, че група от дружества могат да осигурят достатъчни гаранции, чрез прилагането на ОКП на всички дружества от групата.

Според разпоредбата на чл.36а, ал.2 от ЗЗЛД, предоставяне на лични данни в трета държава се допуска само ако тя осигурява адекватно ниво на защита на личните данни на своя територия. По силата на чл.36а, ал.5 от ЗЗЛД, Комисията за защита на личните данни не извършва преценка за адекватност в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че:

1. третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита;

2. определени стандартни договорни клаузи осигуряват адекватно ниво на защита.

Тази идея е доразвита в Правилника за дейността на Комисията за защита на личните данни и нейната администрация (ПДКЗЛДНА). В случай, че се налага извършването на трансфер на лични данни, важен момент, който следва да се има предвид, са последните изменения и допълнения на ПДКЗЛДНА (ДВ. бр.12 от 10Февруари 2012г.), по силата на които относно реда за осъществяване на трансфер на данни са настъпили съществени изменения. Съгласно чл.53а от ПДКЗЛДНА, Комисията не се произнася с решение и администраторът може да предоставя лични данни в трета държава, когато е налице решение на Европейската комисия, с което тя се е произнесла, че:

1. третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита, което се посочва като “заключение за адекватност”. (Към момента ЕК се е произнесла относно това ниво за следните страни: Канада, Аржентина, Швейцария, Израел, острови Ман, Гърнзей, Джърси, Фарьорски острови, Андора)

или

2. определени стандартни договорни клаузи осигуряват адекватно ниво на защита.

Във всички случаи на предоставяне на лични данни в трети държави администраторът е длъжен да заяви предоставянето на данни във водения от КЗЛД регистър по чл.42, ал.1 от ПДКЗЛДНА (чл. 53б от ПДКЗЛДНА).

Въз основа на горното, когато се касае за трансфер на лични данни към администратор/обработващ на територията на трета държава следва да се следи за наличие на условията, визирани в чл.53а от ПДКЗЛДНА. Комисията не се произнася с решение, и в тези случаи прехвърлянето на данни може да бъде извършено въз основа на сключени определени стандартни договорни клаузи, които осигуряват адекватно ниво на защита, но след заявяване на предоставянето на данни във водения от КЗЛД регистър по чл.42, ал.1 от ПДКЗЛДНА ( в случай, че такова заявяване не е извършено до този момент по отношение на регистъра, по който се планира трансферът).

Прилагането на уведомителен режим е достатъчно, когато в конкретен случай:

1.Има Решение на Европейската комисия, с което е констатирано адекватно ниво на защита на личните данни в трета държава или

2.Спрямо конкретен трансфер се прилагат стандартни договорни клаузи.

Извън тези случаи, посочени в чл.36а, ал.5 от ЗЗЛД, администраторът на лични данни следва да подаде искането за разрешаване на трансфер на данни в трети държави от Комисията за защита на личните данни. Производството следва процедурата на раздел V от ПДКЗЛДНА.

„А.Б.“ ЕООД е търговско дружество регистрирано в Търговския регистър на Република България, съгласно Търговския закон. Едноличен собственик на капитала му е Н. АГ, Швейцария. Служебна проверка по отношение на „А.Б.“ ЕООД в регистъра на администраторите на лични данни и на водените от тях регистри на лични данни по чл.10, ал.1, т.2 от ЗЗЛД показва, че дружеството е вписано като администратор на лични данни. Заявени са два регистъра:

1.Клиенти

2.Персонал.

Дружеството е заявило и по двата регистъра, че данните, които се обработват, могат да бъдат предмет на предоставяне в Швейцария. Следва да се направи уточнението, че Швейцария не е член на ЕС и Европейското икономическо пространство, но по отношения на нея се прилага Решение на Комисията от 26юли 2000 година съгласно Директива95/46/EО на Европейския парламент и на Съвета за адекватната защита на личните данни, предоставяни в Швейцария. От направеното уточнение следва, че когато „А.Б.“ ЕООД предоставя лични данни в Швейцария, приложение намира въведения уведомителен режим.

Във връзка с горното и на основание чл.10, ал.1, т.4 от Закона за защита на личните данни,Комисията за защита на лични данни изразява следното

Към настоящия момент в националното ни законодателство в сферата на защита на личните данни обвързващите корпоративни правила не са нормативно признат инструмент за трансфер на данни.

Обвързващите корпоративни правила са основание за трансфер на лични данни само в рамките на Н.. В случаите, когато не са налице условията на чл.36а, ал.5 от ЗЗЛД, „А.Б.“ ЕООД следва да подаде искане за разрешаване на трансфер до КЗЛД. В условията на чл.36а, ал.5 от ЗЗЛД във връзка с чл.53а от ПДКЗЛДНА, администраторът следва да уведоми по надлежния ред КЗЛД за предстоящия трансфер на лични данни.

В случаите, когато се прилага процедурата по разрешаване на трансфер, е възможно с едно решение да се разрешат множество трансфери, стига да са изпълнени съответните изисквания на нормативната уредба за адекватно ниво на защита, както и да е налично някое от условията за допустимост на съответното предоставяне на данни, съгласно чл.36а, ал.7 от ЗЗЛД.

В хода на преценката за адекватно ниво на защита, КЗЛД взема предвид Обвързващите корпоративни правила, одобрени по реда на процедурата за европейско сътрудничество и те могат да бъдат зачетени като основание за издаване на разрешение за трансфер на данни в трета страна. В хода на същата процедура следва да се оцени и адекватността на нивото на защита, което гарантира и получателя на данните в съответната трета страна.