Глобализация на личните данни
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Глобализация на личните данни

Практиката на Комисията за защита на личните данни показва, че най-често обект на трансфер са личните данни на работниците и служителите.

Глобализация на личните данни

Кога международните компании могат да прехвърлят данни на служители и клиенти извън ЕС

12459 прочитания

Практиката на Комисията за защита на личните данни показва, че най-често обект на трансфер са личните данни на работниците и служителите.

© НАДЕЖДА ЧИПЕВА


Съвременните информационни и комуникационни технологии създават по-добра възможност и лесен достъп до услуги както в областта на икономиката, така и при съпътстващите я процеси и взаимоотношения. За компаниите глобализацията се изразява в по-лесен достъп до нови пазари, източници на суровини и финансиране, възможности за използване на нови технологии. Ползите за потребителите се свързват обикновено с наличието на пазара на разнообразни стоки на ниски цени, достъп до повече и по-богат спектър от услуги и най-вече в повишаване на жизнения стандарт.

Съществуването на интернет, въвеждането и утвърждаването на облачните технологии, позволяващи лесен и бърз достъп и обработване на широкомащабни бази от данни, както и редица други модерни технологични решения разширяват до неподозирани граници възможности за функционирането на бизнеса, при намаляване на разходите, без той да се обвързва с конкретно местоположение. Обществото обаче не без основание е разделено в позициите си за ползите и заплахите от процесите на глобализация във всички области на човешките взаимоотношения. Въпреки това остава безспорен факт, че глобализацията е реално съществуващ и неизбежен процес в съвременния свят и целта е не да се поставят пречки пред развитието му, а да се създадат механизми и по възможност правила, които да са в състояние да го управляват в полза на цялото общество, по пътя на балансирана защита на правата и интересите на всеки участник в него.

Задълбочен анализ на предизвикателствата, пред които се изправяме в резултат от въздействието на глобализацията, ни отвежда и до въпроса за новите измерения на обработването на лични данни в контекста на интеграционните процеси в световен мащаб. Конкретен пример в това отношение са международните компании. За безпрепятственото им функциониране и устойчивия им растеж в чисто икономически аспект ключово значение има обменът на данни, в това число и лични данни. Съвременните международни компании организират бизнеса си по начин, който позволява свеждане до минимум на разходите за управление както по отношение на човешките ресурси, така и тези, свързани с обработването на данни. Обикновено се търсят най-подходящите места в световен мащаб, където съхранението и обработването на данни, включително лични, е най-изгодно от гледна точка на интересите на конкретните компании.

Трансферите на данни в рамките на международните компании е обичаен ежедневен процес, който е уреден и подлежи на контрол съобразно действащото законодателство в областта на личните данни.

Международните компании са администратори на лични данни и следва да съобразяват дейността си, свързана с обработването им, с всяко от различните национални законодателства на държавите, в които упражняват своята дейност. Когато международната компания развива дейността си само на територията на Европейския съюз, правилата са ясни. Общностното право гарантира свободното движение на данните и хармонизация на правилата във всяка от страните членки. По силата на тези правила във всяка държава от ЕС съществува поне един независим орган по защита на данните, който по отношение на международните компании осъществява надзор за законосъобразното обработване на лични данни.

Ситуацията се усложнява при компаниите, които са организирали бизнеса си не само на територията на ЕС, а и в трети страни. Погрешно е да се счита, че правила за обработването на лични данни в такава международна среда не съществуват. Напротив, усилията са насочени към тяхното непрестанно усъвършенстване, за да могат да следват бързо развиващите се глобализационни процеси. При осъществяване на дейността си една международна компания

неизбежно достига до обмен на информация

съдържаща лични данни. Причините и механизмите за този обмен могат да са от различно естество. Трансферът на данни обикновено се извършва или в рамките на мултинационални компании (между централата и клоновете), или между различни международни компании с цел глобализиране на потоците от данни, понижаване на разходите или по силата на договор за аутсорсинг (възлагане на външна компания функции, които обикновено се изпълняват от компанията възложител). По силата на договор за аутсорсинг не е изключен и трансфер на данни от изцяло българска компания като администратор на лични данни към обработващ лични данни в трета държава.

Практиката на Комисията за защита на личните данни показва, че най-често обект на трансфер са личните данни на работниците и служителите. Основните въпроси, които възникват, са свързани с необходимостта от наличието на съгласие от страна на лицата, чиито лични данни се обработват. Във връзка със спецификата на трудовата дейност съгласието на служителя невинаги е необходимо, но той следва да бъде уведомен преди извършването на трансфера на данни.

Преди осъществяване на трансфер на лични данни лицата, чиито данни ще се трансферират, следва да бъдат уведомявани за обема и вида данни, които ще бъдат предоставени, целите за това предоставяне, получателят на данните или категорията получатели, както и правата им, свързани със защита на личните данни, включително правото им да възразят срещу обработването на некоректно събрани данни, свързани с тях, и да искат тяхното заличаване.

Когато има необходимост от изпълнение на специфични права и задължения на работодателя или при наличие на изрично съгласие на съответните служители, могат да бъдат трансферирани и така наречените чувствителни данни, а именно – данни относно здравето, членство в синдикални организации или членство в политическа партия, религиозна или философска организация. Предоставянето на лични данни на работници и служители в трета държава е

процес от фактическа и правна сложност

който е под надзора на Комисията за защита на личните данни. Условие за допускане на трансфер е третата държава да осигурява адекватно ниво на защита на личните данни на своя територия. Действащото законодателство в областта на личните данни регламентира различни инструменти за трансфер на лични данни в трети държави ("трета държава" е всяка държава, която не е член на Европейския съюз и не е страна по Споразумението за Европейското икономическо пространство). Без подробно да се спираме на детайлите на всеки от тези инструменти, бихме могли да посочим основните от тях с най-съществените им характеристики:

  • - Решения на Европейската комисия, с които тя се е произнесла, че третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита. Към момента действат решения за адекватност по отношение на Андора, Аржентина, Канада, Швейцария, Фарьорски острови, островите Гърнси и Джърси, Израел, остров Ман, Нова Зеландия, Източна република Уругвай. В рамките на посочените решения Европейската комисия следи отблизо развитието на защитата на данните в съответните държави и начина, по който съответните им органи по защита на данните прилагат принципите за тяхната защита. Пример за такъв мониторинг е Решението от 6.10.2015 г. на Съда на ЕС по дело С-362/14 по отношение Решение 2000/520/ЕО на Комисията от 26 юли 2000 година съгласно Директива 95/46/ЕО на Европейския парламент и Съвета относно адекватността на защитата, гарантирана от принципите за "сфера на неприкосновеност на личния живот" и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ, с което Съдът обяви въпросното решение за невалидно.

Важен момент в заключението на Съда е, че адекватното ниво на защита следва да се преценява по всеки конкретен казус от надзорния орган на държава членка, който разглежда жалбата на лице относно защита на неговите права и свободи при обработването на засягащи го лични данни, които са били прехвърлени от държавата членка към тази трета страна, ако то твърди, че действащите в момента право и практики в третата страна не гарантират достатъчна степен на защита независимо от наличието на решение на ЕК.

Адекватността според съда изисква освен наличие на вътрешнофирмени правила и наличието на законодателство, което създава достатъчно гаранции за административна и съдебна защита на правата на физическите лица при незаконосъобразна обработка на техните лични данни. В този смисъл, когато администраторите на лични данни извършват трансфер на лични данни от България към някоя от посочените по-горе държави, те следва да уведомят Комисията за защита на личните данни за получателите на трансферираните данни, целите на трансфера, категориите лични данни, предмет на трансфера, предприетите технически и организационни мерки за защита на данните.

- Решения на Европейската комисия относно стандартните договорни клаузи за трансфер на лични данни към трети страни. Правилата за адекватна защита, които въпросните решения въвеждат, са общи и валидни за предоставяне на данни между администратори и между администратори и обработващи. На практика подписването на стандартни договорни клаузи с цел осъществяване на трансфер осигурява в голяма степен безпрепятствен обмен на посочените в тях категории данни при адекватно ниво на защита, солидарна отговорност между администратора, изнесъл данните, и администратора, внесъл данните в третата държава, включително и приемане на юрисдикцията на държавата членка, в която е установен администраторът, изнесъл данните. По отношение на Стандартните договорни клаузи комисията изисква предоставяне на уведомления за тяхното подписване и използването им като инструмент за осъществяване на трансфер на лични данни в държава извън ЕС или Европейското икономическо пространство.

- Обвързващи корпоративни правила, одобрени в процедура на европейско сътрудничество от един водещ надзорен орган. Те представляват глобален кодекс за практики, базиран на европейските стандарти за защита на данните, който се изготвя от мултинационални компании и се спазва доброволно от тях с цел осигуряване на адекватни мерки за трансфер на данни между дружествата, но в рамките само на една корпорацията.

Създадени са като допълнителен инструмент за трансфер освен стандартните договорни клаузи. Българският Закон за защита на личните данни разглежда Обвързващите корпоративни правила като добра практика при извършването на преценка за адекватното ниво на защита на личните данни, преди да разреши техния трансфер. При наличието на Обвързващи корпоративни правила режимът е разрешителен, като комисията предоставя разрешение за трансфер, след като се убеди, че правилата отразяват адекватно възможностите за защита и администраторът е предприел всички необходими технически и организационни мерки за защита на обработваните лични данни на физически лица.

- Във всички останали случаи комисията разглежда исканията за разрешаване на трансфер на лични данни, като след анализ на всички предоставени факти и доказателства извършва преценка за адекватността на нивото на защита на предвидените за трансфер данни.

Важно е да се отбележи, че при трансфериране на лични данни в трети държави са валидни основните принципи за обработване. Международните компании не правят изключение от това правило и следва:

  • да обработват личните данни законосъобразно и добросъвестно; да ги събират за конкретни, точно определени и законни цели и да не ги обработват допълнително по начин, несъвместим с тези цели; данните да бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват; данните да бъдат точни и при необходимост да се актуализират; данните да се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват; данните да се поддържат във вид, който позволява идентифициране на съответните физически лица за период, не по-дълъг от необходимия, за целите, за които тези данни се обработват.

Всеки работник или служител, работещ в международна компания, осъществяваща дейност на територията на България, има възможност да се обръща за консултация към Комисията за защита на личните данни по въпросите, които са свързани с евентуален трансфер на негови лични данни от компанията, за която работи. В случай на незаконосъобразно обработване на лични данни при трансфер към трета държава лицата имат право да подадат жалба в Комисията за защита на личните данни.

Съвременните информационни и комуникационни технологии създават по-добра възможност и лесен достъп до услуги както в областта на икономиката, така и при съпътстващите я процеси и взаимоотношения. За компаниите глобализацията се изразява в по-лесен достъп до нови пазари, източници на суровини и финансиране, възможности за използване на нови технологии. Ползите за потребителите се свързват обикновено с наличието на пазара на разнообразни стоки на ниски цени, достъп до повече и по-богат спектър от услуги и най-вече в повишаване на жизнения стандарт.

Съществуването на интернет, въвеждането и утвърждаването на облачните технологии, позволяващи лесен и бърз достъп и обработване на широкомащабни бази от данни, както и редица други модерни технологични решения разширяват до неподозирани граници възможности за функционирането на бизнеса, при намаляване на разходите, без той да се обвързва с конкретно местоположение. Обществото обаче не без основание е разделено в позициите си за ползите и заплахите от процесите на глобализация във всички области на човешките взаимоотношения. Въпреки това остава безспорен факт, че глобализацията е реално съществуващ и неизбежен процес в съвременния свят и целта е не да се поставят пречки пред развитието му, а да се създадат механизми и по възможност правила, които да са в състояние да го управляват в полза на цялото общество, по пътя на балансирана защита на правата и интересите на всеки участник в него.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

0 коментара

Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

Още от Капитал

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK