Решение по искане с вх .№ в-3289/05.02.2010 г.

Комисията за защита на личните данни (КЗЛД), в състав: председател Венета Шопова и членове : Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков, на редовно заседание, проведено на 07.04.2010 год. (Протокол № 12), разгледа искане с вх. № в-3289/05.02.2010г. от „Юниливър България” ЕООД, представлявано от управителя на дружеството г-н Едуард Гонгоние за получаване на разрешение на основание чл. 36а, ал. 2 и ал. 3 от Закона за защита на личните данни (ЗЗЛД) за трансфер на лични данни към дружество „АйБиЕм” в САЩ.

В писменото си искане представляващият „Юниливър България” ЕООД се обръща с молба към КЗЛД да бъде дадено разрешение на основание чл. 36а, ал. 2 и ал. 3 от ЗЗЛДда бъдат предоставени лични данни на служители, доставчици и клиенти къмдружество „АйБиЕм” в САЩ.

Прехвърлянето на данните засяга регистър „Човешки ресурси”. Съгласно информацията в искането, промяната на мястото на обработване на тези данни е във връзка с получаването на услуги за финансови бизнес процеси, които ще бъдат предоставяни от „АйБиЕм”. В искането е посочено, че центърът на „АйБиЕм” в САЩ разполага с изградена по последни технологии система за сигурност при спазване на всички изисквания на местното и на европейското законодателство за обработка и съхранение на лични данни. Трансферът ще бъде осъществен по електронен път при спазване на всички изисквания за пълна безопасност при прехвърляне на данни в съответствие с договореностите между „АйБиЕм” и представляващите групата „Юниливър” дружества. В писмото е указано, че физическите лица са надлежно уведомени за планирания трансфер и са изразили писмено съгласие в тази връзка.

При анализа на изложеното в искането, както и приложените към него документи, се установи следното:

„Юниливър България” ЕООД е еднолично дружество с ограничена отговорност с ЕИК 121796402, със седалище и адрес на управление: гр. София 1715, ж.к. Младост 4, ул. Бизнес парк София 1, с предмет на дейност: производство, продажба, дистрибуция, маркетинг, реклама, внос и износ на непотребителски и маркови потребителски стоки от всякакъв вид; търговия на едро, посредничество и търговия на дребно на непотребителски и потребителски стоки от всякакъв вид, вкл. създаване на мрежа за дистрибуция; търговско представителство; организация на изложби и търгове и всяка друга дейност, незабранена от закона.

„Юниливър България” ЕООД е администратор на лични данни и в това си качество е подал Заявление за регистрация № 2275/28.11.2003г. В заявлението е посочено, че дружеството поддържа три регистъра: човешки ресурси; договорни отношения; промоции и рекламна дейност. Заявена е възможността за предоставяне на данни в други държави, и по-конкретно в САЩ, по отношение на данните в регистър човешки ресурси.

Има издадено Удостоверение за регистрация № 1632 за вписване в „Регистъра на администраторите на лични данни и на водените от тях регистри”, воден от КЗЛД.

В искането за трансфер е посочено, че целта, за която ще бъдат трансферирани данните, е получаването на услуги за финансови бизнес процеси, които ще бъдат предоставяни от „АйБиЕм”. Твърди се също, че физическите лица, чиито данни ще бъдат предмет на трансфера, са дали своето изрично писмено съгласие личните им данни да бъдат предоставени в центъра на „АйБиЕм” в САЩ, за което е приложена като доказателство декларация – съгласие. С подписването на декларацията се предоставя възможност на всяко едно лице самостоятелно, писмено и изрично да заяви, че е запознато с предстоящия трансфер и е съгласно личните му данни да бъдат предоставени на държава извън Европейското икономическо пространство, като същите бъдат обработвани в тази държава при спазване на условията, поставени от Юниливър.

Съгласно Директива № 95/46/EО на Европейския парламент и на Съвета трансфер на лични данни в трети страни може да бъде осъществен, само ако въпросната трета държава предоставя адекватно ниво на защита на данните.

Предоставянето на лични данни от администратор, установен на територията на Република България към друг администратор на лични данни извън страната, се извършва по реда на Закона за защита на личните данни, като определящ критерий относно режима на трансфер на данни е държавата, в която ще бъдат предоставени данните.

Предоставяне на лични данни в трета държава се допуска само, ако тя осигурява адекватно ниво на защита на личните данни на своя територия. Извършена бе служебна справка, от която се установи, че към настоящия момент получателят на данните „АйБиЕм” не е включен в списъка на Сейф Харбар(SafeHarbour). В последния се включват дружества, които декларират пред Департамента по търговия на САЩ, че ще се придържат към така наречената Сейф Харбар рамка, създадена от Департамента по търговия в сътрудничество с Европейската комисия. Рамката Сейф Харбар съдържа насоки към дружествата, регистрирани в САЩ, за предоставяне на адекватно ниво на защита на личните данни, прехвърляни от страни – членки на Европейския съюз към тях.

Към преписката е приложен Рамков договор, сключен между „ЮНИЛИВЪР ПЛС” дружество, учредено във Великобритания, „ЮНИЛИВЪР НВ” дружество, учредено в Нидерландия, и „АйБиЕм Глобъл Сървисиз”, звено на „АйБиЕм КОРПОРЕЙШЪН”. „ЮНИЛИВЪР” сключва договора като представител за и от името на всяко едно от дружествата на „ЮНИЛИВЪР ГРУП”, като всяко едно от тях е обвързано с условията на договора.Всеки договор за обработка на данни обаче се счита за отделен договор между съответното дружество на „ЮНИЛИВЪР ГРУП” и вносителя на данни, като задълженията на дружествата са обвързващи за всяко едно от тях поотделно.

Цел на трансфера, съгласно договора, е осъществяването на дейности, свързани с финансови транзакции. За тази цел „ЮНИЛИВЪР” ще предоставя на „АйБиЕм”, в качеството му на администратор на лични данни, данни от категорията физическа и икономическа идентичност, както следва:

Като приложение към договора са включени стандартни договорни клаузи съобразно Решение на Комисията 2001/497/ЕО от 15юни 2001г. относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО. В допълнение към стандартните договорни клаузи са включени разпоредби относно техническите и организационните мерки за сигурност, които вносителят на данните ще прилага. Подробно са разписани правилата за физическа сигурност, средствата за обезпечаване на сигурността, както и организационната схема за сигурността на IT-системите. В тази връзка с договора са указани използваните програми за обезпечаване на съответната сигурност, както и периодичността на провеждане на проверките за сигурност.

Страните са се договорили, че след прекратяване на предоставянето на услуги по обработването на лични данни, вносителят на данните, в зависимост от избора на износителя на данните, връща всички предадени лични данни, както и копията от тях, или унищожава тези данни, като предоставя на износителя надлежни доказателства за това.

Комисията за защита на личните данни разгледа постъпилото искане за разрешаване на трансфер на данни на свое заседание от 10.03.2010г. и реши, че преди произнасянето по същество по искането е необходимо следното:

– „Юниливър България” ЕООД да представи сключения договор за предоставяне на услуги за финансови бизнес процеси между „Юниливър” и получателя на данните в САЩ в частта, касаеща целта на прехвърлянето на данните и обема от данни-предмет на трансфер;

– декларацията за изразяване на съгласие на физическите лица, чиито данни ще бъдат трансферирани, да бъде конкретизирана, като в образеца на декларация бъде отразен получателят на данните и държавата, в която се намира той.

В изпълнение на указанията на Комисията, с писмо рег. № 3289/26.03.2010г., представляващият „Юниливър България” ЕООД представя новия образец на декларация за изразяване на съгласие за извършването на съответния трансфер. В декларацията са указани изрично получателят на данните и държавата, в която ще бъде осъществен трансферът на данни.

Договорът за финансови бизнес процеси в частта, имаща отношение към разрешаването на трансфера на данни, не е представен. В писмото си управителят на дружеството изтъква като причини за непредоставянето му обстоятелството, че по съображения за сигурност и конфиденциалност, достъпът до този рамков договор е ограничен и той се съхранява в централата на „Юниливър” в Холандия. В тази връзка дружеството изтъква като аргументи в полза на разрешаването на трансфера на данни използването на стандартни договорни клаузи в договора.

На основание чл. 36а, ал. 4, т. 2 от ЗЗЛД КЗЛД не извършва преценка по ал. 3 в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че определени стандартни договорни клаузи осигуряват адекватно ниво на защита. В допълнение към това, видно от преписката, лицата, чиито данни ще са предмет на трансфер, дават изрично своето писмено съгласие за осъществяването на трансфера.

След запознаване със съдържанието на новия образец на декларацията за изразяване на съгласие за извършване на трансфер на данни, при зачитане на съображенията за конфиденциалност на сключения договор за предоставяне на услуги за финансови бизнес процеси и предвид факта, че за извършване на трансфера се използват стандартни договорни клаузи съгласно решение на Комисията 2001/497/ЕО от 15юни 2001г. относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО и на основание чл.36а, ал.4, т.2 във връзка с ал.2 от ЗЗЛД Комисията за защита на личните данни

Разрешава на администратора на лични данни „Юниливър България” ЕООД да предостави лични данни на физически лица (служители на дружеството, доставчици и клиенти), касаещи тяхната физическа и икономическа идентичност, за срока на договора за предоставяне на услуги за финансови бизнес процеси, сключен между дружествата на „Юниливър” и „АйБиЕм Глобъл Сървисиз” в САЩ, както следва: