Становище на КЗЛД за фирмените карти за спорт за служители и GDPR

Комисията за защита на личните данни публикува свое становище във връзка с постъпили множество сходни запитвания относно предоставянето на фирмени карти за спорт на служители.

От съществено значение е определянето на правоотношенията между участниците, както и основанията за обработване на личните данни на служителите, ползватели на услугата. Във връзка с това, КЗЛД изрази становище по конкретно запитване, което е валидно за всички въпроси, свързани с прилагането на Общия регламент относно защитата на данните при предоставяне на този вид услуги.

Пълният текст на становището може да намерите ТУК.

Комисията за защита на личните данни (КЗЛД) в състав – членове: Цанко Цолов, Цветелин Софрониев и Веселин Целков, на заседание, проведено на 19.12.2018 г., разгледа писмо /вх. № НДМСПО-17-949/2018 г./ от г-жа К.К. – длъжностно лице по защита на данните в „K.“ ЕООД. Г-жа К.К. информира, че дружеството изразява желание да подпише договор с фирма, предлагаща ежемесечни „Multisport“ карти на техните служители за посещение при преференциални условия на фитнес центрове, студиа, плувни комплекси и други спортни съоръжения и дейности. „K.“ ЕООД следва да предостави лични данни на служителите си, желаещи да се възползват от предлаганата услуга, за целите на издаване на картите, като на същите ежемесечно ще се удържат суми от трудовото им възнаграждение.

Въпросът, който поставя г-жа К.К. е дали в конкретния случай фирмата, предлагаща услугата, се явява обработващ лични данни и следва ли в договора, сключен между двете дружества или в друг правен акт да се уреди обработването на лични данни, съгласно изискванията на чл. 28, § 3 от Общия регламент относно защитата на данните.

В отговора на комисията се казва, че принципът на отчетност, визиран в чл. 5, § 2 от Регламент (ЕС) 2016/679, изисква от участниците в търговския и гражданския оборот, вземайки предвид своята дейност, сами да определят какви са техните правоотношения във връзка с обработваните от тях лични данни – самостоятелни администратори, администратор и обработващ по смисъла на чл. 28 или съвместни администратори по чл. 26 от Общия регламент. Техният избор следва да гарантира не само формално, но и по същество съответствие с изискванията на Регламент (ЕС) 2016/679 и съответно ефективна защита на правата на субектите на данни.

Също така, следва да се има предвид, че предоставянето на услуги, при които обичайно се обменят лични данни между възложителя и изпълнителя, не води автоматично до възникване на отношения между администратор и обработващ по смисъла на чл. 28 от Регламента.

Участниците в конкретното правоотношение са три:

– Фирмата, предлагаща „Multisport“ услуга;

– „K.“ ЕООД в качеството си на работодател/администратор на лични данни;

– Служителите на „K.“ ЕООД като ползватели на предлаганата услуга.

„K.“ ЕООД е администратор на лични данни на собствено основание и обработва лични данни на служителите си за целите на трудовото правоотношение с тях. Като работодател дружеството желае да мотивира служителите си като им предостави възможност за физическа активност и здравословен начин на живот, който несъмнено би довел до повишаване на продуктивността им.

От друга страна фирмата, предлагаща услугата „Multisport“, е дружество, чиято основна цел е генериране на търговска печалба, като тя също е администратор на лични данни на собствено основание.

Основна характеристика на отношението администратор – обработващ лични данни е, че вторият обработва данните само по нареждане на администратора /арг. чл. 28, § 3, б. „а“ вр. с чл. 29 от Общия регламент/.

В отношението помежду си двете дружества обработват личните данни за различни цели, съхраняват ги за различни срокове, предават ги на различни получатели, прилагат различни технически и организационни мерки за защита и т.н.

В този ред на мисли може да се направи извод, че визираните характеристики за обработване на лични данни не са унифицирани, следователно същите не могат да бъдат предмет на договаряне и възлагане от администратор към обработващ по смисъла на чл. 28, § 3 от Регламент (ЕС) 2016/679. В конкретния случай правоотношението между „К.” ЕООД и фирмата, предлагаща „Multisport” услуга е между два самостоятелни администратора на лични данни.

Обработването на лични данни е допустимо, когато е налице основание за законосъобразност по смисъла на чл. 6, както и при спазване на принципите за обработка, прогласени в чл. 5 на Общия регламент.

„K.“ ЕООД в качеството си на работодател, предавайки лични данни на служителите си на фирмата, предлагаща „Multisport“ услугата, извършва действие по допълнително обработване на лични данни за цели, различни от първоначалните (за целите на трудовото правоотношение). С оглед на факта, че услугата „Multisport“ е придобивка с незадължителен характер за служителите, най-логично е като основание за предаване на личните данни на фирмата, предлагаща услугата, да се използва „съгласие“ по смисъла на чл. 6, § 1, б. „а“ вр. с чл. 4, т. 11 от Общия регламент. В случая служителите имат истински и свободен избор, а също така и възможност за отказ от услугата, без това да доведе до неблагоприятни последици за тях в рамките на трудовото правоотношение /арг. съобр. 42, последно изречение от Общия регламент/. Договорното основание не следва да е приложимо с оглед на факта, че служителите (субекти на данни) не са страна по договора между работодателя и фирмата, предлагаща „Multisport“ услуга.

Становището на комисията е следното:

  1. „K.“ ЕООД, в качеството си на администратор на лични данни, може да предостави лични данни на свои служители на фирмата, предлагаща услугата „Multisport“ карта, при наличие на изрично изразено съгласие от тяхна страна по смисъла на чл. 6, § 1, б. „а“ вр. с чл. 4, т. 11 от Регламент (ЕС) 2016/679.
  2. Допустимо е ползватели на услугата да бъдат и трети лица, напр. съпрузи и деца на служителя, като по отношение на техните лични данни също следва да се прилага съгласието като основание за законосъобразност на обработването.
  3. Доколкото „K.“ ЕООД и фирмата, предлагаща „Multisport“ услугата, обработват личните данни за различни цели, съхраняват ги за различни срокове, предават ги на различни получатели, прилагат различни технически и организационни мерки за защита и т.н., същите се явяват самостоятелни администратори на лични данни, съответно не попадат в хипотезата на отношения администратор – обработващ по смисъла на чл. 28 от Общия регламент.
  4. При обработване на личните данни и двете дружества следва стриктно да спазват задължението си за предоставяне на информация по реда на чл. 13 и чл. 14, в съответствие с изискванията на чл. 12 от Регламент (ЕС) 2016/679
Можете да споделите: