РЕШЕНИЕ
№ 3382/2011г.
гр. София, 06.10.2011г.
ОТНОСНО: Искане с рег. № 3382/ 01.08.2011 г. от ”Ситибанк Н.А. – клон София” (клон на чуждестранен търговец) за издаване на разрешение по чл.36а, ал.4, т.2от Закона за защита на личните данни (ЗЗЛД) за трансфер на лични данни към трети държави – САЩ, Хонконг, Мексико и Малайзия.
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове Красимир Димитров и Валентин Енев, на редовно заседание, проведено на 28.09.2011г. (Протокол № 40), разгледа искане срег. № 3382/01.08.2011 г. от ”Ситибанк Н.А.- София” (клон на чуждестранен търговец) за издаване на разрешение за трансфер на лични данни на основание чл.36а, ал.4, т.2 от Закона за защита на личните данни (ЗЗЛД). Искането е подадено чрез С.Т.М., с ЕГН ********, в качеството му на пълномощник на управителите на клона – Б.С.Ж.-Н. и П.Н.Г.
Съгласно предоставената информация в искането, ”Ситибанк Н.А. – клон София” (клон на чуждестранен търговец) в качеството си на администратор на лични данни ще предоставя лични данни в САЩ на Ситикорп Северна Америка Инк.(Citicorp North America, Inc. 339 Park Avenue, New York, New York 11043), Ситибанк Н.А. (Citibank N.A., Inc. 339 Park Avenue, New York, New York 11043), Ситигруп Текнолоджи, Инк. (1919 Park Avenue, Weehawken, New Jersey 07086), в Хонконг на Ситибанк Н.А. Хонг Конг (Citibank Tower 50/F Citibank Paza, 3 Garden Road Central, Hong Kong), в Мексико на Банко Насионал де Мексико С.А., част от финансовата група Банамекс (Actuario Roberto Medelin # 800, Segundo Piso Norte, Col. Santa Fe Pena Blanca, 01210, MexicoD.F.), в Малайзия на Ситигруп Трансакшън Сървисис (М) (Menara Northan, 55 Jaan SultanAhmad Shah Penang, Kuala Lumpur), съгласно сключен между тях и Клона Договор за трансфер на лични данни, съдържащ стандартни договорни клаузи. Износителят на данни ”Ситибанк Н.А. – клон София” и вносителите на данни-подробно описани по-горе, са част от международна банкова група. В тази връзка, трансферът на данни – предмет на настоящото искане, ще се извършва за целите на осъществяване на Глобален проект за предотвратяване изпирането на пари съгласно Федералните регулаторни изисквания на САЩ, оценка на риска, свързан с клиенти, както и на адекватността на съществуващите методи заанализ.
Субекти на обработване на лични данни са физическилица-представители на посолства;на чуждестранни или местни банки, през които се извършват парични трансфери,дейности, свързани с финансови услуги; и на клиенти, обект на разследвания,както и на политически фигури; съгласно дефиницията в Глобалния проект за предотвратяване изпирането на пари.
Целите, за които личните данни ще бъдат предоставяни, са следните:
· Управление на риска:оценка на риска, свързан с потенциални и съществуващи клиенти; да се създаде Базов списък на високорискови клиенти и да се идентифицират всички сметки на тези клиенти;
· Да се осъществяват търсения в местни бази данни за възможни свързани сметки; да се създаде и поддържа от Междинния офис за борба с изпирането на пари, Списък на взаимовръзките с клиенти в целия сектор, съдържащ данни за високорискови клиенти; да се извърши от Глобалното разследващо звено и от неговите регионални центрове, преглед на взаимовръзките с клиенти в целия сектор;
· Да се събере и да се включи информация в база данни за случаи, позволяващи на банката да идентифицира действия между различните сметки на един и същ клиент;
· Да се преглежда и анализира налична информация за всеки клиент.
Категориите данни, чиито трансфер се иска, включват:
От регистър „Управление на данните, свързани с клиенти”:
· Собствено и фамилно име или търговско наименование; адрес, град, област, пощенски код; държава на пребиваване и служба; телефонен номер; дата на раждане/дата на учредяване; правителствен идентификационен номер; правителствен идентификационен тип; вид банкова сметка или връзка; номер на банкова сметка; статус на банкова сметка (открита/закрита); дата на закриване на банковата сметка; индикатор на статут; търговски сектор;
· Номер, вид и статус на банковата сметка; продуктов тип на сметката; име на титуляра на сметката; дата на раждане според сметката; номер на социална осигуровка/данъчна идентичност според сметката; адрес според сметката; телефонен номер според сметката; държава, където е открита сметката; причини за съответствие; рисков показател; брой на текущи движения на сумите по сметката-свързвания; общ брой на транзакциите през текущия месец-свързвания; общ сбор на паричния поток през текущия месец –парична наличност; брой транзакции през текущия месец – еквивалент на парична наличност; общ сбор на транзакциите през текущия месец – еквивалентни случаи; статус на сметката през текущия месец.
Съгласно предоставената информация в искането, чувствителни данни няма да са предмет на трансфер.
Защитата на личните данни:Извършва се чрез парола за стартиране на операционната система и посредством поддържане на антивирусни програми, защитна стена (Fire Wall), както и чрез периодично архивиране на данните на отделни носители. Защитата се осъществява съгласно българското законодателство, чрез спазване на изискванията за техническите и организационните мерки и допустимия вид защита на личните данни и при стриктно спазване на Политиката и стандартите за информационна сигурност на „Ситигруп”. Предаването на данните от регистър „Управление на данните, свързани с клиенти” – предмет на настоящото искане, на трети държави – САЩ, Хонконг, Мексико и Малайзия, ще се извършва по електронен път и защита им ще се осъществява чрез защитна стена (Fire Wall), криптиране на лични данни за онлайн излъчване или транспортирани посредством носители на данни (ленти и модули или други носители), като всички транзакции ще протичат през Глобален мрежов рутер на „Ситигруп”. Техническите и организационните меркиза сигурност и защита на трансферираните лични данни са подробно описани в „Допълнение №2” към Стандартните договорни клаузи”.
При анализа на изложеното в искането, както и приложените към него документи, се установи следното:
”Ситибанк Н.А. – КлонСофия” е клон на чуждестранен търговец, вписан в Търговския регистър при Агенцията по вписванията с ЕИК 130325402 и предмет на дейност: 1. Публично привличане на влогове или други възстановими средства и предоставяне на кредити или друго финансиране за своя сметка и на собствен риск; 2. Извършване на услуги по парични преводи, а след 01.11.2009г. – извършване на платежни услуги по смисъла на Закона за платежните услуги и платежните системи; 3. Издаване и администриране на други средства за плащане (платежни карти, пътнически чекове и кредитни писма) доколкото тази дейност не е обхваната от т.2; 4. Дейност като депозитарна или попечителска институция; 5. Финансов лизинг; 6. Гаранционни сделки; 7. Търгуване за собствена сметка или за сметка на клиента със: 6.1 Инструменти за паричния пазар-чекове, менителници, депозитни сертификати и др., извън случаите по т.8; 6.2 Финансови фючърси, опции, инструменти, свързани с валутни курсове и лихвени проценти, както и други дериватни инструменти, извън случаите по т.8; 8. Търгуване за собствена сметка или за сметка на клиенти с прехвърляеми ценни книжа, участие в емисии на ценни книжа, както и услуги и дейности по чл.5, ал.2 и ал.3 от Закона за пазарите на финансови инструменти, с изключение на придобиване и управление на дялови ценни книжа за собствена сметка и поемане на емисии на дялови ценни книжа за собствена сметка; 9. Парично брокерство; 10. Консултации на дружества относно тяхната капиталова структура, отраслова стратегия и свързаните с това въпроси, както и консултации и услуги относно преобразуване на дружества и сделки по придобиване на предприятия; 11. Придобиване на вземания, произтичащи от доставка на стоки и предоставяне на услуги (факторинг); 12. Отдаване под наем на сейфове; 13. Събиране, предоставяне на информация и референции относно кредитоспособността на клиентите; 14. Други подобни дейности, определени с наредба на БНБ.
Седалището и адресът на управление на „Ситибанк Н.А. – КлонСофия” са: гр.София, Район „Оборище”, бул. ”Княгиня Мария Луиза” № 2, ет.5.
За осъществяване на предоставянето на данни в трети държави между износителя на данните ”Ситибанк Н.А. – Клон София”, Република България и вносителите на данните: в САЩ – Ситикорп Северна Америка Инк., Ситибанк Н.А. Инк., Ситигруп Текнолоджи, Инк., в Хонконг – Ситибанк Н.А. Хонконг, в Мексико – Банко Насионал де Мексико С.А., част от финансовата група Банамекс, в Малайзия – Ситигруп Трансакшън Сървисис (М), е сключен договор за трансфер на данни с използване на стандартни договорни клаузи съгласно Решение 2010/87/ЕО от 5 февруари 2010 година относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО.
Стандартните договорни клаузи (по отношение на лица, обработващи данни), са структурирани, както следва:
Клаузи 1-12 включват: Определения на основните термини; Подробности в предаването; Клауза в полза на трето лице; Задължения на износителя на данните; Задължения на вносителя на данните; Отговорност; Медиация и съд; Сътрудничество с надзорни органи; Приложимо право-правото на държавата –членка, в която е установен износителят на данните – Република България; Изменение на договора; Предаване за подизпълнение; Задължение след приключване на услугите по обработване на личните данни.
Допълнение №1: Съдържа информация за:
· износителя на данни : ”Ситибанк Н.А. – клон София”, Република България;
· вносителите на данни: Ситикорп Северна Америка Инк., Ситибанк Н.А. Инк., Ситигруп Текнолоджи, Инк. – САЩ;
· вносители на данни: подизпълнители, посочени в Допълнение 3.3 – в Хонконг – Ситибанк Н.А. Хонконг,в Мексико – Банко Насионал де Мексико С.А., част от финансовата група Банамекс, в Малайзия – Ситигруп Трансакшън Сървисис (М);
· категории физически лица, чиито данни са предмет на трансфер;
· категории данни, предмет на трансфер;
· операции по обработка.
Допълнение №2: Описание на техническите и организационните мерки за защита, приведени в действие от вносителя на данни в съответствие с клаузи 4г и 5в, които включват: контрол на достъпа за лица; контрол върху носителите на данни; контрол на паметта за данни; контрол на потребителски права; контрол на достъпа на персонала; контрол на достъпа до данните; контрол на пренос; контрол на въвеждане на данни; инструктажен контрол; контрол при транспортиране; организационен контрол.
Допълнение №3: 3.1 Съдържа информация за износителя на данни; 3.2 Съдържа информация за вносителите на данни; 3.3 Съдържа информация за вносителите –подизпълнители.
При извършената служебна справка в Регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД, се установи, че дружеството е подало заявление за регистрация №109 като администратор на лични данни и е вписано в регистъра с идентификационен № 38. ”Ситибанк Н.А. – Клон София” е заявило поддържането на 11 броя регистри. Трансферът на данни засяга информацията, поддържана в регистър ”Управление на данните, свързани с клиенти”.
С писмо рег. №.3382/04.08.2011г. Комисията за защита на личните данни е изискала допълнителна информация относно: 1. Глобалния проект за предотвратяване на изпирането на пари; 2. Конкретизиране значението на използвания израз „име на сметка” в иска; 3. Превод на български език на Общите договорни клаузи, както и на допълненията към тях 1, 2 и 3.
В изпълнение на указанията на КЗЛД с писмо от 16.08.2011г., в Комисията е постъпила допълнителна информация, както следва:
1. По отношение на Глобалния проект за предотвратяване изпирането на пари: Този проект е формулиран в отговор на държавно регулаторно изискване на САЩ, което изисква от „Ситибанк” да създаде програма, с която да разработи цялостен прегледна своите отношения с определени високорискови клиенти от различни сфери на дейност и географски точки. Тази нова програма ще даде възможност на „Ситибанк” да оцени подходящия клиентски рисков рейтинг, адекватността на съществуващите процеси за правен анализ, както и да определи дали се очаква широка дейност на клиентското предприятие, въз основа на минали практики, тенденции в областта и регулаторни очаквания. За целите на този проект, ще бъдат създадени два офиса: 1. „Междинен офис”, който ще се намира в гр. Тампа, щата Флорида и ще се управлява от отдел „Операции и технологии” („O&T”); 2. Офис на „Звено за глобално разследване” в гр.Ню Йорк, което ще бъде управлявано от отдел „Нормативен контрол”. Дейността на това звено ще бъде подпомагана от персонала, отговарящ за нормативния контрол в регионалните центрове, намиращи се в Хонконг, Обединеното кралство и Мексико. Проектът ще бъде реализиран на два последователни етапа:
Първи етап включва: Изготвяне на „Базов списък”, който се съхранява в САЩ, след извършване на подбор на имена на високорискови клиенти и посочване на всички сметки на тези клиенти във всяка страна и сфера на дейност на „Ситибанк”. За тази цел, „Междинният офис” е съставил списък на високорискови клиенти, попадащи в една от няколко категории, например-публични лица на високи постове; посолства; клиенти на кореспондентски банки; стопански дейности, свързани с парични услуги; клиенти, спрямо които се провеждат значими разследвания. Следва да бъде установено кои клиенти от „Базовия списък” имат сметки в различни дейности или страни.За тази цел отдел „Операции и технологии” („O&T”) ще изпрати списъка на служители, които да извършат търсене на имена спрямо регионалната база данни с данни за възможни свързани сметки. Резултатите ще бъдат изпратени на „Междинния офис” в САЩ за определяне на съответствие. През 2011г. анализаторите от „Междинния офис” ще подпомогнат проучването и в Центровете за мониторинг в Полша и Малайзия. Анализаторите следва да потвърдят и точността на съответстващите регионални сметки, като данните ще останат съхранени в „Центрове за бързи проверки” в САЩ. Анализаторите ще имат достъп до данните само в техния регион. Отдел „Нормативен контрол” и „Междинния офис” ще използват данните като база за точно определяне кои резултати съвпадат с първоначалния „Базов списък” и ще създават месечен Списък на взаимовръзките на клиентите. Всеки високорисков клиент, който има сметки в различни сфери на дейност, ще бъде препращан за допълнителен преглед на взаимовръзките. Клиентите ще останат в списъка, докато продължат да бъдат класифицирани като високорискови за поне една от сметките си.
Втори етап включва: Прегледът за взаимовръзките ще бъде извършен от „Звеното за глобално разследване” в Ню Йорк, както и от регионалните центрове в Обединеното кралство, Хонконг и Мексико. Всеки регионален център, който има сметка за клиент, който подлежи на допълнителен преглед, ще получи комплект данни по случая, включващ, както елементите данни от първи етап, така и обобщена информация за всяка от сметките на клиента по света. Допълнителните данни през втори етап ще включват сумарни данни по транзакции, както и обобщени данни относно предишни сигнали и разследвания, получени от Центровете за бързи проверки и Системите „Mantas”. Регионалните центрове, които споделят един и същ клиент, ще имат достъп до данните от други райони, съдържащи се първоначалния Комплект данни по случая. Това споделяне на информация ще помогне на анализаторите да разберат контекста на клиентските взаимовръзки като цяло и да ги подпомогне в разпознаването на действия между различни сметки на един и същ клиент. Системата е проектирана така, че каквато и допълнителна информация да добави всеки регионален център към Комплекта данни по случая, тя не може да бъде достъпна или видяна от другите регионални центрове, когато се изпраща обратно за „Звеното за глобално разследване” в Ню Йорк. В някои случаи, може да бъде споделена информация между регионалните центрове, за да се установи определена дейност в различни райони или да се изяснят несъответствия в информацията и да се вземе решение.
2. По отношение конкретизиране значението на използвания израз „име на сметка” в иска: следва да се предвид „име на титуляра на сметка”.
3. Превод на български език на Общите договорни клаузи, както и на допълненията към тях 1, 2 и 3.
Във връзка с реализирането на Глобалния проект за предотвратяване изпирането на пари от международната банкова група на „Ситибанк”, от страна на ”Ситибанк Н.А. – Клон София”, Република България ще бъдат трансферирани лични данни-описани подробно по-горе от регистър „Управление на данните, свързани с клиенти”, които при извършена служебна проверка в Регистъра на администраторите на лични данни и на водените от тях регистри се установи, че те съвпадат със заявените за трансфер. Предвидена е също така и възможността данните да бъдат предоставяни в САЩ.
Предоставянето от ”Ситибанк Н.А. – клон София” на информация, съдържаща лични данни на физически лица, би представлявало ”Обработване на лични данни”, съгласно легалната дефиниция, посочена в параграф 1, т.1 от Допълнителните разпоредби на ЗЗЛД. Това е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване,предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване. В параграф 1, т.5 от Допълнителните разпоредби на ЗЗЛД е разписана дефиниция относно предоставянето на лични данни. Това са действия по цялостното или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната и извън нея.
Всеки администратор на лични данни, при обработката на лични данни следва да спазва принципите, заложени в чл.2, ал.2 от ЗЗЛД, т.е. личните данни да се обработват законосъобразно и добросъвестно, да се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели, да бъдат съотносими, свързани и ненадхвърлящи целите, за които се обработват, т.е. да бъдат пропорционални, както и да се заличават и коригират в случай на непропорционалност по отношение на целите, за които се обработват.
Съгласно Директива № 95/46/EО на Европейския парламент и на Съвета, трансфер на лични данни в трети страни може да бъде осъществен, само ако въпросната трета държава предоставя адекватно ниво на защита на данните.
Предоставянето на лични данни от администратор, установен на територията на Република България към друг администратор на лични данни извън страната, се извършва по реда на Закона за защита на личните данни, като определящ критерий относно режима на трансфер на данни е държавата, в която ще бъдат предоставени данните.
На основание чл. 36а, ал. 4, т. 2 от ЗЗЛД, Комисията за защита на личните данни не извършва преценка на адекватността на нивото на защита на личните данни в третата държава в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че определени стандартни договорни клаузи осигуряват адекватно ниво на защита. В конкретния случай износителят и вносителят на данните са използвали Решение на Европейската комисия № 2010/87/ЕО от 05.02.2010г. относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета.
Предвид факта, че за извършване на трансфера се използват стандартни договорни клаузи съгласно горепосоченото решение на Европейската комисия и на основание чл. 36а, ал. 4, т.2от Закона за защита на личните данни във връзка с чл. 52, ал. 1 от Правилника за дейността на КЗЛД и на нейната администрация, Комисията за защита на личните данни
РЕШИ :
1. Указва на администратора на лични данни ”Ситибанк Н.А. – клон София” да актуализира информацията в регистър „Управление на данните, свързани с клиенти”, като заяви възможен трансфер на данни в Хонконг, Мексико и Малайзия.
2. След актуализация на данните по т.1, разрешава на администратора на лични данни ”Ситибанк Н.А. – клон София” (клон на чуждестранен търговец) да предостави лични данни на физически лица-представители на посолства; на чуждестранни или местни банки, през които се извършват парични трансфери,дейности свързани с финансови услуги; и на клиенти, обект на разследвания, както и на политически фигури, съгласно дефиницията в Глобалния проект за предотвратяване изпирането на пари на територията на трети държави: в САЩ – Ситикорп Северна Америка Инк., Ситибанк Н.А. Инк., Ситигруп Текнолоджи, Инк., в Хонконг – Ситибанк Н.А. Хонконг,в Мексико – Банко Насионал де Мексико С.А., част от финансовата група Банамекс, в Малайзия – Ситигруп Трансакшън Сървисис (М), в качеството им на обработващи данните, с цел реализиране на Глобалния проект за предотвратяване изпирането на пари, в следния обем лични данни от регистър „Управление на данните, свързани с клиенти”:
· Собствено и фамилно име или търговско наименование; адрес, град, област, пощенски код; държава на пребиваване и служба; телефонен номер; дата на раждане/дата на учредяване; правителствен идентификационен номер; правителствен идентификационен тип; вид банкова сметка или връзка; номер на банкова сметка; статус на банкова сметка (открита/закрита); дата на закриване на банковата сметка; индикатор на статут; търговски сектор;
· Номер, вид и статус на банковата сметка; продуктов тип на сметката; име на титуляра на сметката; дата на раждане според сметката; номер на социална осигуровка/данъчна идентичност според сметката; адрес според сметката; телефонен номер според сметката; държава, където е открита сметката; причини за съответствие; рисков показател; брой на текущи движения на сумите по сметката-свързвания; общ брой на транзакциите през текущия месец-свързвания; общ сбор на паричния поток през текущия месец – парична наличност; брой транзакции през текущия месец – еквивалент на парична наличност; общ сбор на транзакциите през текущия месец – еквивалентни случаи; статус на сметката през текущия месец.
Решението на Комисията може да се обжалва пред Административен съд – гр. София в 14 (четиринадесет) дневен срок от получаването му.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венета Шопова /п/ |
Красимир Димитров /п/ Веселин Целков /п/ |
