Решение по искане с вх. № в-2003/ 2009 г.

Комисията за защита на личните данни (КЗЛД), в състав: председател: Венета Шопова, и членове: Красимир Димитров, Валентин Енев и Мария Матева, на редовно заседание, проведено на 22декември 2010 г. (Протокол № 43) разгледа искане, с вх. № в-2003/2009г., подадено от администратора на лични данни – Национална асоциация „Семейство”, БУЛСТАТ 131113627, представлявана от адвокат А.К., за получаване на разрешение по чл. 36а, ал. 6, т. 2, т. 3 от Закона за защита на личните данни (ЗЗЛД) за предоставяне на лични данни в трети страни (САЩ, Канада и Израел) във връзка с осъществяване на посредническа дейност в областта на международното осиновяване.

В писменото си искане представляващият Национална асоциация „Семейство” се обръща с молба към КЗЛД за разрешение, на основание чл. 36а, ал. 6, т. 2, т. 3 от ЗЗЛД,за предоставяне на лични данни в трети страни (САЩ, Канада и Израел), както следва: Международна агенция за осиновявания „Лавинг харт” – Канада, Агенция за осиновявания „Оупън доор”, Томсънвил, Джорджия, САЩ, Агенция „Сейнт Мери” международни осиновявания, Шарлот, Северна Каролина, САЩ, Агенция за осиновявания „Адопт Интернешънъл”, Сан Франциско, Калифорния, САЩ, посредническа Агенция по международни осиновявания „Адопт Аброуд” Инк., Харисбърг, Пенсилвания, САЩ, като за Израел не е посочен краен получател на данните. Исканият трансфер е във връзка с осъществяване на посредническа дейност в областта на международното осиновяване. Предмет на трансфера ще бъдат лични данни на малолетни и/или непълнолетни лица с постоянно пребиваване в Република България (осиновявани), за които предложението да бъдат осиновени от клиенти на сдружението е направено от компетентните органи – Съвет по международни осиновявания към Министерство на правосъдието (МП).

Горепосоченото искане за трансфер бе разгледано от Комисията на проведено редовно заседание на 03.02.2010г., на което се взе решение да се изиска представянето на допълнителни доказателства и информация от Национална асоциация „Семейство” относно искания трансфер на лични данни към организации: Агенция за осиновявания „Оупън доор”, Томсънвил, Джорджия, САЩ, Агенция „Сейнт Мери” международни осиновявания, Шарлот, Северна Каролина, САЩ, Агенция за осиновявания „Адопт Интернешънъл”, Сан Франциско, Калифорния, САЩ, посредническа Агенция по международни осиновявания „Адопт Аброуд” Инк., Харисбърг, Пенсилвания, САЩ, както следва:

1. Срок на обработване на данните;

2. Информация и доказателства за наличие на адекватно ниво на защита на данните в трета страна;

3. Информация относно предприетите технически и организационни мерки във връзка със защита на данните при осъществяване на трансфера, включително и относно мерките за защита на данните предприети от трета страна;

4. Информация относно начина на документиране на физическото унищожаване на данните след изтичане на срока на тяхното съхранение.

5. Информация относно начина на документиране на физическото унищожаване на данните след изтичане на срока на тяхното съхранение.

С оглед обстоятелството, че отправеното до КЗЛД искане за разрешаване на трансфер на данни за Израел не е за конкретен трансфер /няма посочен конкретен получател на данните в тази трета страна/, а за принципно разрешение за трансфер на данни във връзка с извършваната от фондацията посредническа дейност при международно осиновяване, на Национална асоциация „Семейство” бе указано, че с оглед възможността за извършване на преценка относно наличие на адекватно ниво на защита на личните данни и евентуално разрешаване на трансфер е необходимо последната да представи информация и доказателства относно получателя/получателите на лични данни в Израел, като представи подписани агентски договори за дейност по международно осиновяване, в които да бъде упоменато: целите за обработване на данните, срока на обработване на лични данни, информация относно начина на документиране на физическото унищожаване на данните след изтичане на срока на тяхното съхранение, информация относно предприетите технически и организационни мерки във връзка със защита на данните при осъществяване на трансфера, доказателства относно наличието на адекватно ниво на защита на личните данни /поет ангажимент за прилагане на стандартни договорни клаузи от страна на получателя на данните/, сертификат, издаден на името на получателя на данните от компетентните за това органи на територията на Израел, доказващ правото му да извършва дейности по международни осиновявания.

Към настоящия момент от страна на Национална асоциация „Семейство” са постъпили допълнителни доказателства и информация за наличие на адекватно ниво на защита на данните, предоставяни на партньорски организации в САЩ, а именно:

Четири броя анекси (Допълнителни споразумения към подписаните договори за съвместна дейност в сферата на международните осиновявания), подписани с всяка от партньорските организации в САЩ, а именно: анекс, сключен с "Агенция за осиновяване Оупън Доор Инкорпорейтид"; анекс, сключен с агенция "Сейнт Мери Интернешънъл Адопшънс"; анекс, сключен с агенция "Адопт Аброуд Инкорпорейтид"; анекс, сключен с агенция "Адопт Интернешънъл", съдържащи клаузите, утвърдени с решение на Европейската комисия в изпълнение на Директива 95/46/ЕС на Европейския парламент и на Съвета за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни. Едновременно с това е представена информация относно особеностите в американското законодателство в областта на осиновяванията. Указано е, че Федералното американско законодателство и по-конкретно Устав на Държавния департамент, Част 22 Централен Федерален Регистър, част 96.42 (U.S. Hague regulations (22 CFR Part 96.42) урежда принципа на конфиденциалност на личните данни в осиновителната процедура.

В законодателството на всеки американски щат се съдържат правила и предписания по повод обработването и съхранението на информацията от акредитираните организации. Като пример са посочени изискванията всяка акредитирана организация да създава и съхранява досиета, които след влизане в сила на съдебното решение за допускане на осиновяването се запечатват и обезопасяват срещу неоторизиран достъп в съответствие със законовите изисквания на съответния щат; досиетата да се съхраняват в огнеупорни шкафове; акредитираните организации да поддържат картотека, в която да съхраняват досиетата, които са конфиденциални и задължително защитени от неоторизирана употреба, пожар, щети или кражба. Досиетата се поддържат актуални и се представят за проверка при поискване от щатския департамент. Акредитираните организации следва да представят периодични доклади на този орган, както и извънредни доклади в срок от 24 часа по повод събития, свързани с деца, за които се полага грижа, като например: инцидент или нараняване, изискващо медицинска помощ и/или хоспитализация, смърт, злоупотреба; както и за всеки инцидент, който се изразява във федерално, щатско или частно юридическо действие от или срещу акредитираната организация, което се отразява на някое дете, осъждането на организацията или на неин служител.

В горепосочените анекси са включени Стандартни договорни клаузи за целите на член 26(2) от Директива 95/46/ЕС за пренос на лични данни до обработващите данни, установени в трети държави, които не осигуряват съответното ниво на защита на данните, съгласно които износителят на данни се съгласява и гарантира: че обработването, включително и самият пренос на лични данни е било и ще продължи да бъде извършвано в съответствие с приложимите разпоредби на съответния закон за защита на данните (и където е възможно, са били уведомени съответните органи на страната-членка, където е установен износителят на данни) и не нарушава приложимите разпоредби на тази държава; че е инструктирал и по време на услугите по обработване на лични данни ще инструктира вносителят на данни да обработва личните данни, пренесени само от името на износителя на данни и в съответствие с приложимия закон за защита на личните данни и тези клаузи; че вносителят на данни осигурява достатъчни гаранции по отношение на техническите и
организационни мерки за сигурност, уточнени в Приложение 2 неразделна част от допълнителното споразумение; че след преценка на изискванията на приложимия закон за защита на данните, мерките за сигурност ще са уместни за предпазването на личните данни от случайно или незаконно унищожаване, случайна загуба, промяна, непозволено откриване или достъп, в частност там, където обработването включва пренос на данни по мрежа и от всички други незаконни форми на обработка, и че тези мерки ще осигуряват ниво на сигурност, съответстващо на рисковете, присъстващи при обработката, както и, че естеството на данните ще бъде защитено, имайки предвид състоянието на уменията и цената за тяхното използване; че ще се осигури съответствие с мерките за сигурност; че когато преносът включва специални категории данни, субектът е бил информиран, или ще бъде информиран преди или колкото е възможно по-скоро след това, че преносът на неговите данни може да бъде прехвърлен на трета държава, която не осигурява съответната защита.

От своя страна вносителят на данните се задължава и гарантира: да обработва личните данни само от името на износителя на данни и в съответствие с неговите инструкции и клаузите; ако не може да осигури такова съответствие поради каквито и да било причини, той се съгласява своевременно да информира износителя на данни за неспособността си да го изпълни, в който случай износителят на данни има право да преустанови преноса на данни и/или да прекрати договора; че е изпълнил техническите и организационните мерки за сигурност, уточнени в Приложение 2 преди да обработи пренесените лични данни; че своевременно ще уведомява износителя на данни за: всяка правно обвързваща молба за откриване на лични данни от правоприлагащ орган, освен ако не е забранено по друг начин, като забрана в наказателното право за запазване на конфиденциалността при разследване от правоприлагащ орган; всеки случаен или непозволен достъп; както и всяка молба, получена директно от субектите на данните, без да отговаря на тази молба, освен ако не е бил другояче упълномощен да го направи. В подписаните анекси ясно е разписана отговорността на износителя и вносителя на данните, която те поемат по отношение на спазване на клаузите, залегнали в тях. Разписано е и приложимото право или това е правото на страната износител на данните, а именно: законодателството в сферата на защита на личните данни на Република България.

Неразделна част от анексите е и Приложение № 1, което съдържа следната информация относно съответните трансфери:

1. Категории субекти на прехвърлените лични данни данни – Деца, вписани в регистрите за осиновяване, за които са предоставени данни на износителя на данни от компетентните осиновителни власти;

2.Категории данни – име, дата на раждане, социална информация, информация за развитието и други данни, съдържащи се в доклада за детето, изготвен съгласно чл. 16 от Хагската конвенция от компетентния Централен орган;

3.Износител на данни – Акредитирана организация за посредничество при международни осиновявания – лиценз No 59/28.06.2006 г. и лицензиран администратор на лични данни с номер на лиценза 22247/11.11.2009 г. и имаща всички съответни права и задължения да работи като такава организация/администратор, в съответствие със законовите разпоредби;

4.Вносител на данни – съответната американска акредитирана организация за посредничество при международни осиновявания в съответствие с разпоредбите на Хагската конвенция от 29.05.1993 г., посочена изрично съобразно съответното допълнително споразумение.

В тази връзка и с оглед множеството постъпили искания от акредитирани организации, осъществяващи дейност по международно осиновяване за получаване на разрешение от Комисията за защита на личните данни за предоставяне на лични данни в държави членки на Европейския съюз и Европейското икономическо пространство и трети страни, във връзка с осъществяваната от тях дейност, КЗЛД на свое редовно заседание, проведено на 14 юли 2010г. (Протокол № 26), разгледа въпроса относно режима за предоставяне на лични данни от страна на акредитирани организации на територията на Република България към държави членки на Европейския съюз и Европейското икономическо пространство и трети страни, във връзка с осъществяване на дейност по международно осиновяване. Произнасянето на Комисията по отношение на трансферите на данни към САЩ, извършвани във връзка с дейности по международно осиновяване, е, че акредитираните организации в Република България следва да включат в договорите със съответните акредитирани организации на територията на САЩ ангажимент за спазване на стандартни договорни клаузи, приети с Решение на Комисията на европейските общности от 15 юни 2001 година относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО (нотифицирано под номер С(2001) 1539), изменено и допълнено с Решение от 27 декември 2004 година за изменение на Решение 2001/497/ЕО за въвеждане на алтернативен комплект общи договорни клаузи за прехвърляне на лични данни в трети страни (нотифицирано под номер С(2004) 5271). В този случай приложение ще намери разпоредбата на чл. 36а, ал. 4, т. 2 от ЗЗЛД, т.е. Комисията за защита на личните данни не извършва преценка на адекватността на нивото на защита на личните данни в трета държава в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че третата държава, в която се предоставят лични данни, се е задължила, съгласно сключен договор, да спазва определени стандартни договорни клаузи, които осигуряват адекватно ниво на защита на данните.

По отношение на изисканата допълнителна информация и доказателства относно отправеното до КЗЛД искане за разрешаване на трансфер на данни за Израел, касаещиполучателя/получателите на лични данни в Израел, като представи подписани агентски договори за дейност по международно осиновяване, в които да бъде упоменато: целите за обработване на данните, срока на обработване на лични данни, информация относно начина на документиране на физическото унищожаване на данните след изтичане на срока на тяхното съхранение, информация относно предприетите технически и организационни мерки във връзка със защита на данните при осъществяване на трансфера, доказателства относно наличието на адекватно ниво на защита на личните данни /поет ангажимент за прилагане на стандартни договорни клаузи от страна на получателя на данните/, сертификат, издаден на името на получателя на данните от компетентните за това органи на територията на Израел, доказващ правото му да извършва дейности по международни осиновявания, такива към настоящия момент не са представени.Във връзка с искането за принципно разрешение за трансфер на данни за Израел, за целите на извършване на посредническа дейност при международно осиновяване, следва да се има предвид, че Комисията разглежда всеки един трансфер на данни към трети страни, като преценява наличието на адекватно ниво на защита на база предоставената информация и доказателства, касаеща конкретния трансфер, винаги съобразявайки се с изискванията на закона. Към настоящия момент за Комисията не съществува нито практика, нито прецедент да разреши „принципен” трансфер на лични данни към трета страна. С оглед обстоятелството, че към постъпилото последно писмо от страна на Национална асоциация „Семейство” не се прилагат по-горе посочените доказателства и не се предоставя поисканата информация, както и че по никакъв друг начин не се потвърждава първоначално постъпилото искане за трансфер към Израел, за Комисията не съществува правна възможност да се произнесе по този въпрос.

По отношение на трансферите на данни към Канада, извършвани във връзка с дейности по международно осиновяване, е приложим чл. 36а, ал. 4, т. 1 от ЗЗЛД. В тези случаи Комисията за защита на личните данни не извършва преценка на адекватността на нивото на защита на личните данни в третата държава, тъй като е налице решение на Европейската комисия, с което тя се е произнесла, че третата държава, в която се предоставят лични данни (Канада), осигурява адекватно ниво на защита. Към настоящия момент, с Решение на Комисията от 20 декември 2001 година относно констатиране съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета нивото на адекватна защита на личните данни, осигурявано от канадския закон за защита на личните данни и електронните документи (нотифицирано под номер С(2001) 4539) (2002/2/ЕО). Комисията на европейските общности се е произнесла, че Канада се оценява като осигуряваща адекватно ниво на защита на личните данни, трансферирани от Общността до получатели, подчиняващи се на закона за защита на личните сведения и електронни документи.

Във връзка с гореизложенотона основание чл. 36а, ал. 4, т. 2 от ЗЗЛД Комисията за защита на личните данни

1. Разрешава трансфера на лични данни от Национална асоциация „Семейство” към акредитирани организации на територията на САЩ, а именно: Агенция за осиновявания „Оупън доор”, Томсънвил, Джорджия, САЩ; Агенция „Сейнт Мери” международни осиновявания, Шарлот, Северна Каролина, САЩ; Агенция за осиновявания „Адопт Интернешънъл”, Сан Франциско, Калифорния, САЩ; посредническа Агенция по международни осиновявания „Адопт Аброуд” Инк., Харисбърг, Пенсилвания, САЩ, за периода на действиена сключените договори за сътрудничество в областта на международните осиновявания и допълнителните споразумения към тях с включени стандартни договорни клаузи за целите на чл. 26 (2) от Директива 95/46/ЕО, за пренос на лични данни до обработващите данни, установени в трети държави, в рамките на срока, за който Национална асоциация „Семейство” е получила разрешение от Министерството на правосъдието за осъществяване на посредническа дейност при международни осиновявания.

2. Разрешава предоставянето на лични данни от Национална асоциация „Семейство” към Международната агенция за осиновявания „Лавинг харт” – Канада, в рамките на срока, за който Национална асоциация „Семейство” е получила разрешение от Министерството на правосъдието за осъществяване на посредническа дейност при международни осиновявания.

Решението на Комисията може да се обжалва пред Върховния административен съд в 14 -дневен срок от получаването му.