Решение по искане с вх .№ в-3274/05.02.2010 г.

Комисията за защита на личните данни (КЗЛД), в състав: председател Венета Шопова и членове : Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков, на редовно заседание, проведено на 17.03.2010 год. (Протокол № 9), разгледа молба с вх. № в-3274/05.02.2010г. от „АМДЖЕН БЪЛГАРИЯ” ЕООД, представлявано от адв. Павлин Стоянов, в качеството му на пълномощник, за получаване на разрешение за трансфер на лични данни към дружество „Кенекса Текнолъджи Инк.” в САЩ на основание чл. 36а, ал. 4 във връзка с чл.36а, ал. 2 от Закона за защита на личните данни (ЗЗЛД).

В писменото си искане пълномощникът на „АМДЖЕН БЪЛГАРИЯ” ЕООД се обръща с молба към КЗЛД за даване на разрешение, на основание чл. 36а, ал. 4, т.1 от ЗЗЛД,да бъдат предоставени лични данни на физически лица към дружество „Кенекса Текнолъджи Инк.”в САЩ.

Съгласно информацията в искането промяната на мястото на обработване на тези данни евъв връзка с получаването на консултантски услуги, които ще бъдат предоставяни от Кенекса чрез продукта „KenexaRecruiterBrassRing”. Към молбата са приложени договор за предоставяне на услуги между Амджен Инк. и Кенекса Текнолъджи Инк., Общи условия за регистрация като кандидати за работа на Амджен Инк., Политика за поверителност на Амджен, Сертификат за регистрация на Кенекса към принципите на „SafeHarbour” и Вътрешни правила на Кенекса във връзка с обработването и осигурената защита на лични данни.

При анализа на изложеното в искането, както и приложените към него документи, се установи следното:

„Амджен България” ЕООД е еднолично дружество с ограничена отговорност с ЕИК 200734900, със седалище и адрес на управление гр. София общ. Столична, бул."Цар Освободител" 14, ет. 1,с предмет на дейност:търговия на едро с фармацевтични продукти; производство на фармацевтични продукти; производство на фармацевтични препарати; търговия с фармацевтични продукти в специализирани магазини; организационни дейности на изложби, панаири и конгреси; дейности по редактиране на наръчници, резюмета, адресни списъци и други подобни; други дейности от професионално, научно и техническо естество; всякакви други дейности, които не са забранени от закона.

„Амджен България” ЕООД е подал молба за освобождаване от регистрация като администратор на лични данни и тя е уважена от Комисията за защита на личните данни с решение съгласно Протокол № 31 от 21.10.1009г.

В искането за трансфер е посочено, че целта, за която ще бъдат трансферирани данните, е предоставянето от страна на Кенекса на консултантски услуги чрез продукт «KenexarecruiterBrassRing». Този продукт включва получаване, обработка и сортиране на автобиографии на кандидати за работа в дружествата от групата на Амджен, вкл. Амджен България ЕООД. В тази връзка Амджен е създал и поддържа интернет страница, на която всяко физическо лице може да се регистрира като кандидат за работа в някое от дружествата от Групата на Амджен. За тази цел физическите лица ще подават чрез интернет страницата на Групата на Амджен определен тип лични данни, които включват име, адрес, телефонен номер, имейл адрес и биографична информация. Съгласно искането информация относно пол, етнос/раса може да се предоставя от лицата само по тяхно желание и ако това е позволено от приложимия закон. Получените лични данни Амджен ще обработва чрез програмния продукт, поддържан от Кенекса.

Съгласно Директива № 95/46/EО на Европейския парламент и на Съвета трансфер на лични данни в трети страни може да бъде осъществен, само ако въпросната трета държава предоставя адекватно ниво на защита на данните.

Предоставянето на лични данни от администратор, установен на територията на Република България към друг администратор на лични данни извън страната, се извършва по реда на Закона за защита на личните данни, като определящ критерий относно режима на трансфер на данни е държавата, в която ще бъдат предоставени данните.

Предоставяне на лични данни в трета държава се допуска само, ако тя осигурява адекватно ниво на защита на личните данни на своя територия.

В основния (мастер) договор за предоставяне на услуги между Амджен и Кенекса Текнолъджи от 30 юни 2009г. подробно са разписани услугите и дейностите, които Кенекса ще осигурява на Амджен. През месец януари 2010г. е сключено изменение номер едно към основния договор за предоставяне на услуги, което е насочено към защитата на лични данни. Включен е раздел с наименование „Поверителна и лична информация”. Съгласно разпоредбите на договора получателят на данните Кенекса се задължава да спазва приложимото законодателство в областта на личните данни и да използва получените лични данни само за целта на осъществяването на услугите по договора. В качеството си на обработващ личните данни Кенекса се задължава да използва разумни технологични, физически, административни и процедурни предпазни мерки, за да осигури защита на личните данни срещу непозволено ползване, достъп или разкриване, както и да защитава поверителността, цялостта и наличността на информацията, която се идентифицира като лична. В тази връзка е разписано, че Кенекса ще въведе разумни ограничения по отношение на физическия и електронния достъп до лични данни, като контрол на физическия достъп, защитени протоколи за удостоверяване на потребителя, методи за контрол върху защитения достъп, защитна стена, защита от вреден софтуер и използване на криптиране. Кенекса е длъжна да прилага процедури по оценка, мониторинг и одит, за да осигури вътрешно съответствие с предприетите предпазни мерки. Получателят на данните също така следва да провежда цялостна оценка на предпазните мерки поне веднъж годишно и при писмено искане, да предоставя доклад от тази оценка.

В общите условия за регистрация като кандидат за работа в Амджен изрично е указано на кандидатите, че те оторизират Амджен да събира, ползва и разкрива цялата информация относно тяхното ползване на сайта и цялата информация, предоставена от тях в съответствие с политиката за поверителност на дружеството. В политиката за поверителност се съобщава, че информацията, която кандидатите за работа предоставят, ще бъде достъпна и до дружества, с които Амджен е в договорни отношения. Указано е, че с ползването на сайта или услугите на Амджен, съответните потребители недвусмислено се съгласяват със събирането, съхраняването и обработването на данните в която и да е друга държава, където е възможно да бъде прехвърлена информация в хода на бизнес операциите на Амджен. Предвидено е също така, че лични данни на кандидатите за работа може да бъдат разкривана пред оператори или изпълнители на поддръжка във връзка с предоставяните от тях услуги за сайта на Амджен. Използвайки услугите на Амджен, физическите лица се съгласяват недвусмислено на подобна употреба на данните. Лицата могат да оттеглят своето съгласие за ползване на личните им данни с изпращане на електронно писмо и поискване на заличаване на потребителския акаунт.

Извършена бе служебна справка, от която се установи, че към настоящия момент получателят на данните Кенекса е включен в списъка на SafeHarbour. В последния се включват дружества, които декларират пред Департамента по търговия на САЩ, че ще се придържат към така наречената SafeHarbour рамка, създадена от Департамента по търговия в сътрудничество с Европейската комисия. Рамката съдържа насоки към дружествата, регистрирани в САЩ, за предоставяне на адекватно ниво на защита на личните данни, прехвърляни от страни – членки на Европейския съюз към тях.

Видно от Вътрешните правила на Кенекса във връзка с обработването и осигурената защита на лични данни, получателят на данните поема ангажимент да гарантира неприкосновеността и сигурността на данните за съответните физически лица, които данни дружеството поддържа и управлява от името на своя клиент-Амджен. В правилата са разгледани характеристиките на продукта на Кенекса във връзка с неприкосновеността, както и препоръчваните практики за гарантиране на безопасността на данните на физическите лица. Такива са правилата за използване на паролите, криптиране на парола, безопасност на сесията, безопасност на еLink, проверка на потребителите на системата и на конфигурацията на системата.

На основание чл. 36а, ал. 4, т. 1 от ЗЗЛД КЗЛД не извършва преценка на адекватността на нивото на защита на личните данни в трета държава в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита.

При отчитане на решение на Европейската комисия 2000/520 относно адекватността назащитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот” и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ, и на основание чл.36а, ал.4, т.1 във връзка с ал.2 от ЗЗЛД Комисията за защита на личните данни

Разрешава на администратора на лични данни „Амджен България” ЕООД да предостави лични данни на физически лица-кандидати за работа в „Амджен”, касаещи тяхната физическа идентичност на дружество на територията на трета страна – „Кенекса Текнолъджи Инк.”, САЩ, в следния обем: име, адрес, телефонен номер, имейл адрес и биографична информация, за срока на основния договор за предоставяне на услуги между „Амджен Инк.” и „Кенекса Текнолъджи Инк.”.

Решението на Комисията може да се обжалва пред Върховния административен съд в 14 (четиринадесет) дневен срок от получаването му.