Какво е добре да знаете при изпращане на лични данни в чужбина
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Какво е добре да знаете при изпращане на лични данни в чужбина

Когато изпращате лични данни на територията на ЕС и ЕИП, не е необходимо да искате предварителното съгласие на Комисия за защита на личните данни.

Какво е добре да знаете при изпращане на лични данни в чужбина

Вариантите, при които тази информация може да напусне България, са много, а практиката показва, че повечето администратори не следват установения законов ред

Когато изпращате лични данни на територията на ЕС и ЕИП, не е необходимо да искате предварителното съгласие на Комисия за защита на личните данни.

© ЦВЕТЕЛИНА БЕЛУТОВА


Повечето от нас знаят, че когато предоставят личните си данни на някого, това предоставяне трябва да има основание в закона, а лицето, което получава данните, следва да бъде администратор на лични данни. Много малка част от администраторите на лични данни обаче (най-вече работодателите) са наясно как по законов път могат да предават вече събрани от тях лични данни извън България. А хипотезите са много. Чужда компания има своето дъщерно дружество в България и иска от последното да й изпрати данните на своите служители. Българско дружество е решило да ползва облачни услуги, за да оптимизира дейността си, и "качва" цялата си база с данни на сървъри, намиращи се извън България. Българско дружество изпраща информация за своите клиенти на свой чужд партньор и т.н.

Очевидно вариантите, при които лични данни могат да напуснат България, са много, а практиката показва, че повечето български администратори не следват установения законов ред. Настоящата статия посочва основните възможности пред администраторите, като за всеки конкретен случай следва да се свържете с юрист, специалист в областта на личните данни.

Изпращане на лични данни в рамките на ЕС и Европейското икономическо пространство (ЕИП)

Това е възможно най-лесният вариант. Българският Закон за защита на личните данни (ЗЗЛД) казва, че предоставянето на лични данни в държава членка - на ЕС и ЕИП, се извършва свободно "при спазване на изискванията" на закона. Най-общо това означава, че когато изпращате лични данни на територията на ЕС и ЕИП, не е необходимо да искате предварителното съгласие на Комисия за защита на личните данни (КЗЛД). Не е нужно и тя да се уведомява впоследствие за този трансфер. Логиката е, че щом трансферът на данни е в рамките на ЕС и ЕИП, то европейското законодателство се е погрижило гаранцията за защита на личните данни в съответните държави членки да е на достатъчно високо ниво. Тук е важно да се отбележи следното: Българският изпращач на лични данни трябва да е сигурен, че получателят също е администратор на лични данни и в този смисъл има право да ги обработва. ЗЗЛД въвежда много широка дефиниция на "обработване", като то включва и получаване на личните данни - съответно получателят трябва да е администратор;

Текстът на ЗЗЛД, че изпращането се извършва "при спазване на изискванията на този закон", означава, че данните следва да са били обработвани на законово основание преди изпращането им. Обработването трябва да е било допустимо. Тоест, не могат да бъдат изпращани данни, които не са събрани по надлежния ред – например няма изрично съгласие, на лицето, чийто данни са събрани, събирането не е било необходимо за изпълнение на нормативно задължение и т.н.

Изпращане на лични данни в трети държави, извън ЕС и ЕИП

В случай че сте решили да изпращате личните данни извън ЕС и ЕИП, трябва да се уверите, че държавата, в която ги изпращате, осигурява тяхната адекватна защита на територията си. Преценката дали една държава осигурява адекватно ниво на защита се прави от КЗЛД. Последната има правомощие да прецени всички обстоятелства, свързани с предоставянето на данните, техният характер, продължителността на обработване и т.н. В този случай българският администратор следва да подаде заявление в КЗЛД преди изпращането на данните. Едва след положително решение на КЗЛД ще може да ги изпрати в чужбина. Към заявлението се прилагат достатъчно доказателства и информация, които да убедят КЗЛД, че защитата на данните в третата държава е адекватна, като КЗЛД може да поиска и допълнителна информация. Ако КЗЛД прецени, че не е налице адекватно ниво на защита на личните данни в третата държава, тя информира за това ЕК и другите държави членки

Има две хипотези, при които не е необходимо предварителното съгласие на КЗЛД за изпращане на лични данни извън ЕС и ЕИП

Първата - когато е налице решение на Европейската комисия ("ЕК"), с което тя се е произнесла, че третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита. Към днешна дата ЕК има няколко такива решения. Последното, например, е от 2013 г. и се отнася до Нова Зеландия. Тоест, ако искате да изпращате лични данни в Нова Зеландия, не ви е необходимо предварителното разрешение на КЗЛД.

Тук следва да се обърне и специално внимание на изпращането на лични данни в САЩ. ЕК е приела конкретно решение за САЩ, с което се определя, че всяка американска компания, която гарантира адекватно ниво на защита на личните данни, следва да бъде включена в специален списък. Така преди да изпратите данни в САЩ е препоръчително да проверите дали вашият получател е в този списък.

Втората - когато е налице решение на ЕК, с което тя се е произнесла, че определени стандартни договорни клаузи осигуряват адекватно ниво на защита. До този момент ЕК е приела две решения относно предаването на данни от администратор, установен в ЕС и ЕИП, на администратор, установен извън ЕС и ЕИП, и едно решение относно предаване на данни от администратор, установен в ЕС, на обработващ данните, установен извън ЕС/ЕИП.

Да приемем, че българският администратор иска да изпраща лични данни в Индия. Намерил си е много изгоден вариант за съхраняване на данните му там. ЕК все още няма решение, с което да се е произнесла, че Индия осигурява адекватно ниво на защита на личните данни на територията си. Следователно, ако не искате да има предварително разрешение на КЗЛД, българският администратор следва да включи в договора си с индийсКогато изпращате лични данни на територията на ЕС и ЕИП, не е необходимо да искате предварителното съгласие на Комисия за защита на личните данни.

кия администратор онези стандартни договорни клаузи, които ЕК е счела, че осигуряват защитата на данните. Стандартните клаузи не може да бъдат променяни и те се включват в договора така, както са приети от ЕК.

Във всички случаи обаче при предоставяне на лични данни в трети държави, без значение дали има или не решение на ЕК, администраторът трябва да заяви предоставянето в КЗЛД. Заявяването има чисто информативна функция.

КЗЛД дава възможност на администратор да предоставя лични данни извън ЕС и ЕИП и без решение на КЗЛД или ЕК - например, ако лицето, чиито данни се предоставят, е дало своето изрично съгласие за това.

И тук журналистите трябва да са спокойни, защото те могат да предоставят лични данни извън ЕС и ЕИП свободно, стига предаването да е за целите на журналистическата дейност, доколкото не се нарушава правото на личен живот на лицето, за което се отнасят данните. Очевидно законодателят е приел, че правото на свободно изразяване и на достъп до информация е по-важно от защитата на личните данни, стига да не се нарушава правото на личен живот.

Препоръки

Администратор, който обработва лични данни в разрез със ЗЗЛД, може да бъде глобен с до 100 хил. лв. В тази връзка първата ни препоръка към администраторите е да са убедени, че обработват личните данни на законово основание.

На второ място – винаги, когато изпращате лични данни извън България, се консултирайте със специалист. Една консултация може да спести много бъдещи нерви и разходи.

И последно – винаги, когато пращате лични данни на свой клиент/партньор, се интересувайте къде той съхранява данните. За да не се окаже в един момент, че пращате данни към място, за което нямате разрешение.

*Статията не представлява правно становище или съвет, свързан с конкретна ситуация или субект. Поради ограничения й обхват същата не претендира за изчерпателност по темата. За повече информация по засегнатите по-горе въпроси можете да се обърнете към автора на e-mail: [email protected] или на www.tmlawoffice.bg

Повечето от нас знаят, че когато предоставят личните си данни на някого, това предоставяне трябва да има основание в закона, а лицето, което получава данните, следва да бъде администратор на лични данни. Много малка част от администраторите на лични данни обаче (най-вече работодателите) са наясно как по законов път могат да предават вече събрани от тях лични данни извън България. А хипотезите са много. Чужда компания има своето дъщерно дружество в България и иска от последното да й изпрати данните на своите служители. Българско дружество е решило да ползва облачни услуги, за да оптимизира дейността си, и "качва" цялата си база с данни на сървъри, намиращи се извън България. Българско дружество изпраща информация за своите клиенти на свой чужд партньор и т.н.

Очевидно вариантите, при които лични данни могат да напуснат България, са много, а практиката показва, че повечето български администратори не следват установения законов ред. Настоящата статия посочва основните възможности пред администраторите, като за всеки конкретен случай следва да се свържете с юрист, специалист в областта на личните данни.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

1 коментар
  • 1
    true_original avatar :-|
    true_original

    Предоставянето на лични данни във фейсбук износ ли е извън ЕС или не?

    Публикувано през m.capital.bg


Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

Още от Капитал

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK