Становище на КЗЛД по въпроси, касаещи прилагането на обвързващи корпоративни правила (Binding Corporate Rules) от администратор на лични данни при предоставяне (трансфер) на лични данни

Комисията за защита на личните данни (КЗЛД) в състав: Членове: Красимир Димитров и Валентин Енев, Мария Матева и Веселин Целков на заседание, проведено на 23.10.2013г., разгледа преписка с вх.№П-6501/08.10.2013 год. от „Н.Ф.С.“ Търговско представителство, с адрес: гр.София, *****, БУЛСТАТ ******, представлявано от Х.В.Т., управител чрез адв.А.А.Ц., ЕГН ******, член на САК.

В искането си до Комисията за защита на личните данни (КЗЛД, Комисията) адв.А.А.Ц. отбелязва, че поставените от нея въпроси са на основание с чл.10, ал.1 от Закона за защита на личните данни (ЗЗЛД), а именно– Комисията за защита на личните данни анализира и осъществява цялостен контрол за спазването на нормативните актове в областта на защитата на личните данни.

Адв. А.А.Ц. уведомява Комисията, че с оглед желанието на „Н.Ф.С.“ ТП да спазва стриктно приложимите разпоредби на българското европейското законодателство в областта на защитата на личните данни, от името на горното търговско представителство моли КЗЛД за становище и разяснение на изложени в искането въпроси.

„Н.Ф.С.“ ТП е търговско представителство на Н.Ф.С. АГ, Швейцария, вписано в Търговския регистър при БТПП съгласно Закона за насърчаване на инвестициите.

От своя страна, Н.Ф.С. АГ е търговско дружество, учредено и съществуващо съгласно законите на Конфедерация Швейцария, което, заедно с други дъщерни дружества на Н.АГ, е част от мултинационалната корпоративна група на Н.АГ.

„Н.Ф.С.“ ТП е вписано в Регистъра на администраторите на лични данни по чл.10, ал.1, т.2 от ЗЗЛД през 2008 год. под №52987, а през 2013 год., във връзка с назначаването на Х.В.Т. за управител на Търговското представителство, последното е пререгистрирано под №368324.

Предвид описаната фактическа ситуация адв.А.А.Ц. уведомява КЗЛД, че във връзка с осъществяваната дейност от страна на дружествата от групата на Н.АГ и взаимодействието между тях, в някои случаи възниква необходимост от прехвърляне на лични данни от някое от тези лица, което е установено на територията на държава членка на Европейския съюз или на Европейското икономическо пространство, на друго лице, което също е част от групата на Н.АГ, но е установено на територията на трета държава по смисъла на чл.25 от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 год. („Директива 95/46/ЕО“), както и по смисъла на параграф 1, т.14 от Допълнителните разпоредби на Закона за защита на личните данни.

Адв. А.А.Ц. уведомява КЗЛД, че Н.АГ е изготвило и приело Обвързващи корпоративни правила (Binding Corporate Rules) („Обвързващи корпоративни правила на Н.“), които следва да бъдат прилагани от дружествата от групата на Н. и имат за цел да регламентират и осигурят адекватно ниво на защита на личните данни при прехвърлянето им в рамките на корпоративната група, в съответствие с приложимите правни норми. Обвързващите корпоративни правила, съгласно изрични становища на Работната група по чл.29 от Директива 94/46/ЕО (WP 74 ОТ 03 ЮНИ 2003 ГОД., WP 155 ОТ 24 ЮНИ 2008 год. и др.), представляват инструмент за трансфер на лични данни между администратори на лични данни в рамките на една корпоративна група. Независимо от прилагането на такива правила, трансферът на лични данни следва да бъде извършен в съответствие със законодателството на отделните държави-членки и изискванията на националните органи по защита на личните данни.

Съгласно изложеното, адв.А.А.Ц. уведомява КЗЛД, че обвързващите корпоративни правила на Н. са одобрени в процедура за европейско сътрудничество, под ръководството на френския национален орган по защита на личните данни (Commission nationale de l`informatique wt des libertes), и след съгласуване с националните органи по защита на личните данни на държавите, участващи в процедурата по взаимно признаване, към която се е присъединила и Република България. адв.А.А.Ц. информира Комисията, че към настоящия момент, всяко лице, част от групата на Н.АГ, което е подписало вътрешнокорпоративното споразумение за приемане на Обвързващите корпоративни правила (BCR Intercompany agreement), следва да прилага същите и, в зависимост от приложимите национални норми да: (1) уведомява съответния национален орган за предстоящите трансфери; или (2) да сезира съответния национален орган с искане за разрешения на трансферите.

По повод изложеното, възникват въпроси, по които „Н.Ф.С.“ ТП се нуждае от становище и разяснения. Предвид описаната по-горе фактическа обстановка и липсата на изрична правна регламентация в българското законодателство на Обвързващите корпоративни правила като институт за трансфер на лични данни, на основание чл.10, ал.1, т.4 от ЗЗЛД, във връзка с чл.5, ал.1, т.9, чл.28, ал.1, т.4 и чл.54, т.2 от Правилника за дейността на Комисията за защита на личните данни и нейната администрация адв.А.А.Ц. поставя следните въпроси:

1. Дали Обвързващите корпоративни правила на Н., одобрени по реда на процедурата за европейско сътрудничество, ще бъдат основание за прилагане на уведомителен режим по реда на глава шеста от ЗЗЛД в случаите на трансфери на лични данни съгласно правилата от „Н.Ф.С.“ ТП на други лица от групата на Н., които са установени в трети страни? В частност, дали когато не са на лице условията по чл.36а, ал.5, т.1 и чл.36а, ал.7 от ЗЗЛД, за горните трансфери е необходимо „Н.Ф.С.“ ТП да сезира Комисията за защита на личните данни с искане/ искания за разрешение на трансферите, или е достатъчно да уведоми Комисията за предстоящите трансфери?

2. В случай, че е необходимо предварително разрешение на Комисията за защита на личните данни за извършване на трансферите:

– Допустимо ли е издаването на едно общо разрешение за извършване на множество трансфери на лични данни от страна на „Н.Ф.С.“ ТП на основание Обвързващите корпоративни правила на Н., или е необходимо издаването на отделно разрешение за всяко конкретно прехвърляне на лични данни?

– Дали одобрението на Обвързващите корпоративни правила на Н. по реда на процедурата за европейско сътрудничество ще бъде счетено от Комисията за достатъчно основание за издаване на разрешение/разрешения за трансфер/трансфери или Комисията ще извършва преценка по общия ред на всички относими обстоятелства, в това число, на предоставените от администратора гаранции за защита на личните данни (които вече са оценени в процедурата по европейско сътрудничество), на адекватността на нивото на защита в съответната трета държава и др.?

Адв. А.А.Ц. е приложила следните документи към искането си:

1. Обвързващи корпоративни правила на Н.;

2. Публикуван на електронната страница на Европейската комисия Списък на компаниите, за чиито Обвързващи корпоративни правила е проведена процедурата по взаимно сътрудничество;

3. Пълномощно.

Обвързващите корпоративни правила (Binding Corporate Rules) представляват глобален кодекс за практики, базиран на европейските стандарти за защита на данните, който се изготвя от мултинационални компании и се спазва доброволно от тях с цел осигуряване на адекватни мерки за трансфер на данни между фирмите, в рамките на корпорацията. Създадени са като допълнителен инструмент за трансфер освен стандартните договорни клаузи, като тяхната регулация се извършва чрез Работните документи (РД) на Работната група по чл.29. Правилата се прилагат за всички дружества, включени в корпорацията, без значение от местоположението им (в или извън ЕС/Европейската икономическа зона (ЕИЗ)), националността на лицата, чиито данни се обработват или други критерии, като винаги се отчита действието на нормите на съответното национално законодателство за конкретния администратор и/или обработващ.

По отношение на трансфера на данни към фирми, извън корпорацията, намиращи се в трети страни, приложение намират стандартните договорни клаузи, приети с Решения на Европейската комисия. Съществуват три решения на Европейската комисия, с които са определени алтернативни стандартни договорни клаузи за трансфер в трета държава от администратор до администратор, както и от администратор към обработващ лични данни:

– Решение на ЕК от 15 юни 2001г. относно стандартни договорни клаузи за трансфер на лични данни до трети страни, съгласно Директива 95/46/ЕО (2001/497/ЕО);

– Решение на ЕК от 27 декември 2004г., изменящо Решение 2001/497/ЕО, с оглед въвеждането на алтернативни стандартни договорни клаузи за трансфер на лични данни до трети страни (2004/915/ЕО);

– Решение на ЕК от 5 февруари 2010г. относно стандартни договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО.

Стандартните договорни клаузи осигуряват адекватно ниво на защита на трансферираните лични данни, които са предмет на съответния договор. Те са приложими към трансфери до всички държави извън Европейския съюз. Стандартните договорни клаузи предвиждат съответни задължения за администратора, който предоставя данните и за лицето от третата държава, което ги получава. Установена е солидарна отговорност за трансфериращия и получаващия данните при нарушаване на клаузите. В стандартните договорни клаузи се посочват основните аспекти на съответния трансфер (вид на данните, цели на трансфера, период на обработване и др.). Стандартните договорни клаузи могат да бъдат допълвани от страните, сключващи съответния договор за трансфер, но само доколкото допълненията не им противоречат.

Информация по отношение на Решенията на ЕК може да се намери на адрес: ec.europa.eu/justicehome/fsj/privacy/ modelcontracts/index en.html

С оглед зададените в искането въпроси следва да се отбележи обстоятелството, че към настоящия момент в националното ни законодателство в сферата на защита на личните данни обвързващите корпоративни правила не са нормативно признат инструмент за трансфер на данни.

Съгласно чл.36б, ал.1 от Закон за защита на личните данни (или кореспондиращата европейска разпоредба в чл.26(2) от Директива 95/46/ЕО на Европейския парламент и на Съвета): „извън случаите по чл.36а, предоставянето на лични данни в трета държава се извършва след разрешение на Комисията за защита на личните данни, при условие администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за защитата им." В тази връзка е посочено, че Работен документ 74, целящ хармонизирано прилагане и тълкуване на чл.26(2) от Директива 95/46/ЕО, на Работна група по чл.29 („Работната група") от Директива 95/46/ЕО, предвижда, че група от дружества могат да осигурят достатъчни гаранции, чрез прилагането на ОКП на всички дружества от групата.

Според разпоредбата на чл.36а, ал.2 от ЗЗЛД, предоставяне на лични данни в трета държава се допуска само ако тя осигурява адекватно ниво на защита на личните данни на своя територия. По силата на чл.36а, ал.5 от ЗЗЛД, Комисията за защита на личните данни не извършва преценка за адекватност в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че:

1. третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита;

2. определени стандартни договорни клаузи осигуряват адекватно ниво на защита.

Тази идея е доразвита в Правилника за дейността на Комисията за защита на личните данни и нейната администрация (ПДКЗЛДНА). В случай, че се налага извършването на трансфер на лични данни, важен момент, който следва да се има предвид, са последните изменения и допълнения на ПДКЗЛДНА (ДВ. бр.12 от 10 Февруари 2012г.), по силата на които относно реда за осъществяване на трансфер на данни са настъпили съществени изменения. Съгласно чл.53а от ПДКЗЛДНА, Комисията не се произнася с решение и администраторът може да предоставя лични данни в трета държава, когато е налице решение на Европейската комисия, с което тя се е произнесла, че:

1. третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита, което се посочва като “заключение за адекватност”. (Към момента ЕК се е произнесла относно това ниво за следните страни: Канада, Аржентина, Швейцария, Израел, острови Ман, Гърнзей, Джърси, Фарьорски острови, Андора)

или

2. определени стандартни договорни клаузи осигуряват адекватно ниво на защита.

Във всички случаи на предоставяне на лични данни в трети държави администраторът е длъжен да заяви предоставянето на данни във водения от КЗЛД регистър по чл.42, ал.1 от ПДКЗЛДНА (чл. 53б от ПДКЗЛДНА).

Въз основа на горното, когато се касае за трансфер на лични данни към администратор/обработващ на територията на трета държава следва да се следи за наличие на условията, визирани в чл.53а от ПДКЗЛДНА. Комисията не се произнася с решение, и в тези случаи прехвърлянето на данни може да бъде извършено въз основа на сключени определени стандартни договорни клаузи, които осигуряват адекватно ниво на защита, но след заявяване на предоставянето на данни във водения от КЗЛД регистър по чл.42, ал.1 от ПДКЗЛДНА ( в случай, че такова заявяване не е извършено до този момент по отношение на регистъра, по който се планира трансферът).

Прилагането на уведомителен режим е достатъчно, когато в конкретен случай:

1. Има Решение на Европейската комисия, с което е констатирано адекватно ниво на защита на личните данни в трета държава или

2. Спрямо конкретен трансфер се прилагат стандартни договорни клаузи.

Извън тези случаи, посочени в чл.36а, ал.5 от ЗЗЛД, администраторът на лични данни следва да подаде искането за разрешаване на трансфер на данни в трети държави от Комисията за защита на личните данни. Производството следва процедурата на раздел V от ПДКЗЛДНА.

След направена справка в отдел “Регистър и архив” беше констатирано, че “Н.Ф.С.” ТП е регистрирано в регистъра на администраторите на лични данни и на водените от тях регистри на лични данни по чл.10, ал.1, т.2 от ЗЗЛД показва, че дружеството е вписано като администратор на лични данни на 28.09.2010г., като е подало информация за четири регистъра:

– персонал;

– договори;

– информационен

– регулаторен – извършване на реклама сред медицински специалисти и регулаторен- данни за медицински специалисти и извършване на тестове, като не е заявило обработка на чувствителни данни, нито е отбелязало извършване на трансфер на данни по нито един от тях.

Търговското представителство е заявило и по четирите регистъра, че данните, които се обработват, не могат да бъдат предмет на предоставяне в друга държава. Във връзка с това следва търговското представителство “Н.Ф.С.” ТП да заяви за вписване по съответните регистри възможността за трансфер на данни в други държави.

С оглед на гореизложеното и на основание чл.10, ал.1, т 4 от ЗЗЛД Комисията за защита на лични данни изразява следното

Към настоящия момент в националното ни законодателство в сферата на защита на личните данни обвързващите корпоративни правила не са нормативно признат инструмент за трансфер на данни.

Обвързващите корпоративни правила са основание за трансфер на лични данни само в рамките на Н.. В случаите, когато не са налице условията на чл.36а, ал.5 от ЗЗЛД, “Н.Ф.С.” ТП следва да подаде искане за разрешаване на трансфер до КЗЛД. В условията на чл.36а, ал.5 от ЗЗЛД във връзка с чл.53а от ПДКЗЛДНА, администраторът следва да уведоми по надлежния ред КЗЛД за предстоящия трансфер на лични данни.

В случаите, когато се прилага процедурата по разрешаване на трансфер, е възможно с едно решение да се разрешат множество трансфери, стига да са изпълнени съответните изисквания на нормативната уредба за адекватно ниво на защита, както и да е налично някое от условията за допустимост на съответното предоставяне на данни, съгласно чл.36а, ал.7 от ЗЗЛД.

В хода на преценката за адекватно ниво на защита, КЗЛД взема предвид Обвързващите корпоративни правила, одобрени по реда на процедурата за европейско сътрудничество и те могат да бъдат зачетени като основание за издаване на разрешение за трансфер на данни в трета страна. В хода на същата процедура следва да се оцени и адекватността на нивото на защита, което гарантира и получателя на данните в съответната трета страна.