Решение по искане с вх. № М-278/ 20.11.2013г.

Комисията за защита на личните данни в състав: Венета Шопова, Валентин Енев и Веселин Целков, на заседание, проведено на 04.12.2013г., разгледа искане с вх.per.№М-278/20.11.2013г. от името администратора на лични данни „С.Н.А.-К.С.“ КЧТ (клон на чуждестранен търговец), подадено чрез С.Т.М., с ЕГН ******, в качеството му на пълномощник на управителите на Клона- Б.С.Ж.-Н. и П.Н.Г. Искането е за разрешение на трансфер на лични данни на основание Обвързващи корпоративни правила, одобрени от Службата на информационния комисар (СИК). Великобритания, на основание чл.366 от Закона за защита на личните данни.

Получено е искане с вх.per. №М-278/20.11.201 Зг. от името администратора на лични данни „С.Н.А.-К.С.“ КЧТ (клон на чуждестранен търговец), подадено чрез С.Т.М., с ЕГН ******, в качеството му на пълномощник на управителите на Клона- Б.С.Ж.-Н. и П.Н.Г. Искането е във връзка с Решение №П-4041/13.06.201 Зг. на КЗЛД, с което решение е допуснат трансфер на данни на основание чл.366, ал.1 от ЗЗЛД , във връзка с чл.10. ал.1, т.4 от ЗЗЛД, и с което Комисията разреши на администратора на лични данни „С.Н.А.-К.С.“ КЧТ (клон на чуждестранен търговец) да предостави на дружествата в групата на С.И. (С./ С.) за държавите САЩ, Сингапур, Коста Рика и Хонг Конг лични данни на физически лица, касаещи европейска работна сила на дружеството, които се отнасят до служителите на клона в Република България, въз основа на представените доказателства удостоверяващи поети договорни ангажименти за това. че администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за тяхната защитата. В постъпилото ново искане е заявено желание да се допълни броя на държавите, в които ще бъдат предоставяни лични данни на дружествата в групата на С.И. (С./ С.) в рамките на одобрени Обвързващи корпоративни правила, както следва: Филипини- С.Н.А.- Седалище за регионални операции, Чили- С.Ч.С., Мексико- C.I.S. de R. L. DE C. V, Малайзия- С.Т.С., Бахрейн- С.Н.А.- Бахрейн, Канада- С.Н.А.- Канада, Бразилия- С.Б.К.П.Л. Искането е за разрешение на трансфер на лични данни на основание Обвързващи корпоративни правила, одобрени от СИК, Великобритания. По така постъпилото искане КЗЛД е помолена да вземе под внимание всички приложени документи и информация във връзка със заявление вх.П-4041/13.06.201 Зг., както и допълнителната информация към него, предоставена с писмо №П-5184/31.07.201 Зг. Така представените обвързващи корпоративни правила (ОКП), са въведени от С.И. (С.), където тези ОКП включват Декларация за поверителност на С. за трансферирани данни на европейска работна сила от 22 август 2011г. и нейните приложения, както и Договор в полза на трето лице от 13 юни 2012г. и неговите приложения, включващ списък на дружествата-износители. За целите на разрешаване на ОКП С.Г.М.Л. („СГМЛ“ или „Заявителя“) е подало заявление за разрешение пред СИК, Великобритания. На 14 юни 2012г. СИК е оторизирало ОКП с дата, на която разрешението ще влезе в сила на 6 юни 2013г. Във тази връзка, е и постъпилото искане „С.Н.А.-К.С.“ КЧТ (клон на чуждестранен търговец) искат разрешение за трансфер на лични данни от Клона към всички дружества от групата на С., обработващи Данни на европейска работна сила (регистър „Човешки ресурси и организационен мениджмънт“). Същите засягат всички дружества в групата на С.И. (С./ С.). Посочено е, че данните предмет на трансфера ще бъдат аналогични на заявените в искане №П-4041/13.06.201 Зг. ще засягат идентична категория лица- обработване на информация за Европейски служители на дружествата. В тази връзка считам за важно да се вземе под внимание заявеното като фактология в цитираното искане и писмото към него, относно предстоящия трансфер следното:

1. Засегнати лица- Предоставяните лични данни засягат Данните на европейска работна сила на С., които се отнасят до служителите на Клона в България.

2. Цели на трансфера на данни- Посочено е, че С. може да обработва информация за Европейски служители във връзка с тяхната заетост или получаване или предоставяне на услуги за ежедневните търговски дейности. Тези дейности включват, измежду други, комуникация с Европейски служители, поддържане на непрекъснатост на бизнеса, администриране на възнаграждения, обезщетения, талант и разходи, както и управление на работната сила, бизнеса и операциите (например, чрез разпределяне на работата, предоставяне на информационни технологии, проучване на възможности за отделяне и осигуряване на сигурна и безопасна работна среда), както и във връзка с правни, съгласувани, регулаторни и проучвателни цели (включително разкриване на информация в отговор на или във връзка със съдебен процес или спор).

С. предоставя Данни на европейска работна сила посредством организацията, която е подходяща за целите, изложени по-горе. С. може да централизира задачи и бази данни за постигане на оперативна ефективност. С. може алтернативно да използва споделен модел. Когато базите данни се хостват или задачите се изпълняват в страни, различни от тези, в които е базиран Европейския служител, това води до трансфер на Данни на европейска работна сила. Понастоящем основната база данни за човешки ресурси на С. се хоства в САЩ. Всички дружества в ЕС от групата на С. използват тази база данни за човешки ресурси, което води до трансфер на Данни на европейска работна сила към САЩ. От съображения за информационна сигурност, непрекъснатост на бизнеса и латентност, понастоящем основната база данни за човешки ресурси на С. се поддържа също така на централно ниво в Centres of Excellence във Франкфурт, Лондон, Сингапур и САЩ. В съответствие с това, са налице допълнителни трансфери на данни към и от тези места. Уточнено е, че С. може също така да предоставя централизирани или децентрализирани ИТ продукти и услуги. Данните на европейската работна сила могат да бъдат прехвърляни в рамките на Европа към Employee Services` Centre of Excellence на С. или COS в Унгария, където широк спектър от администрирането в момента се извършва на централно ниво. В допълнение е посочено, че понастоящем някои функции по поддръжка на информационни технологии се предоставят от Коста Рика и в момента съществува център по ИТ команди в Хонг Конг. Като международна компания. Данните на европейската работна сила могат да бъдат също така трансферирани между страни за целите на управлението.

3. Чувствителни данни- Посочено е, че Клонът не обработва чувствителни данни иследователно няма да предоставя такива данни.

4. Категории на предоставяни лични данни или личните данни, които са обект на трансфер, се отнасят до следните категории:

• лични данни: напр. име, домашен адрес, телефонни номера, и-мейл адреси, данни за национална идентификация, номер на паспорт, дата и място на раждане, пол и националност, където е позволено;

• данни за семейно положение, военна и доброволческа военна служба: напр. данни за брачен статус и издръжка, близки роднини, информация за доброволческа военна служба и военна служба (ако се кандидатства за заплатен от дружеството платен или неплатен отпуск за отбиване на военна служба);

• данни за образование, обучение и управление на таланта: напр. вътрешни и външни курсове по обучение, образователни и професионални квалификации, разрешение за работа, където е приложимо и информация за кариерно развитие;

• организационни данни: напр. наемащо дружество, длъжност и функция, данни за мениджър бизнес контакти (включително телефонен номер, факс, и-мейл адрес и физическо местоположение или адрес), когато се съчетава с идентифицираща информация;

• данни за заетост: напр. ред и условия за наемане на работа, заплата, стаж. преглед на характеристика и информация за управление на кариерата, информация във връзка с проучване на служител (включително оценка на служителя за управлението), досиета за работно време и присъствие, справки и проверка на заетостта, информация от интервю и история на трудов стаж; и

• финансови данни: данни от банкова сметка за заплащане на заплата, бонуси и разходи.

5. Сигурност на данните- В искането е посочено, че съгласно своята Декларация С. отговаря на стандартите на Европейската директива за защита на данните. В своята практика, С. прилага широки и подробни политики и стандарти, които се отнасят до различни аспекти на сигурността. В допълнение, С. разполага с подробни процедури за съответствие и управление относно IS политиките и стандартите. В искането е посочено, че тези политики и стандарти включват:

• Стандарти на С. за управление на информационните технологии (ССУИТ): които включват всеобхватни стандарти, определящи насоката за управлението на ИТ практиките на С., включително информационна сигурност; и Стандарти на С. за информационна сигурност (ССИС): които съдържат информация на С. относно изискванията за сигурността;

• Политика на С. за сигурност и противопожарна безопасност (ПСЗПБ) и Процедури и стандарти на С. за сигурност и противопожарна безопасност: които съдържат изисквания за физическа защита на служители, клиенти, съоръжения и активи на С.; и

• Политика за управление на досиетата, която също се отнася до сигурно и безопасно унищожаване на документи.

Към така постъпилото искане са приложени: Копие на Декларация за поверителност на С. за прехвърлени данни за Европейската работна сила-българска версия; Копие на Споразумение трето страна бенфециент- английска и българска версия; Копие на пълномощно, издадено в полза пълномощника.

ОКП представляват вътрешни правила (сходни с Кодексите на поведение), приети от търговски дружества, които определят глобалната политика относно международните 4 трансфери на лични данни в рамките на една определена корпоративна група от субекти някои от тях, намиращи се в юрисдикции, които не могат да осигурят адекватно ниво на защита на личните данни. В Съобщение на Комисията до Европейския парламент, Съвета, Икономическия и социален комитет и Комитета на регионите от 04.11.2010г. (СОМ(2010) 609 окончателен)-“Всеобхватен подход за защита на личните данни в Европейския съюз“- се посочва, че ОКП или „задължителни фирмени правила“ „също могат да бъдат полезен инструмент за законен трансфер на лични данни между дружества от една и съща корпоративна група“. Съгласно определението на „задължителни фирмени правила (или ОКП)“ това са „кодекси на поведение, основани на европейските стандарти за защита на данните, които многонационалните организации изготвят и следват доброволно, за да осигурят адекватни защитни мерки при трансферите или категориите трансфери на лични данни между дружествата, които са част от една и съща корпоративна група“. Съгласно чл.366, ал.1 от Закон за защита на личните данни (или кореспондиращата европейска разпоредба в чл.26(2) от Директива 95/46/ЕО на Европейския парламент и на Съвета): „извън случаите по чл.36а, предоставянето на лични данни в трета държава се извършва след разрешение на Комисията за защита на личните данни, при условие администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за защитата им.“ В тази връзка е посочено, че Работен документ74, целящ хармонизирано прилагане и тълкуване на чл.26(2) от Директива 95/46/ЕО, на Работна група по чл.29 („Работната група“) от Директива 95/46/ЕО, предвижда, че група от дружества могат да осигурят достатъчни гаранции, чрез прилагането на ОКП на всички дружества от групата. За разрешаване на трансфер на лични данни за целите на разрешаване на ОКП С.Г.М.Л. („СГМЛ“ или „Заявителя/т“`), дружество регистрирано и съществуващо съгласно законите на Великобритания, с адрес: ***, е подало заявление за разрешение на ОКП пред Службата на информационния комисар (СИК), Великобритания. На 14 юни 2012г. СИК е разрешило ОКП, влизащи в сила на 6 юни 2013г., като по този начин е потвърдило, че дружествата от групата на „С.И.“ (С.) осигуряват достатъчно гаранции за защита на личните данни. Разрешените ОКП засягат наред с други държави-членки на ЕС и България. Както се посочва в т.6 от Работен документ 74 в хода на разрешаване на ОКП трябва да бъдат изпълнени допълнителни съгласувателни процедури между надзорните органите по защита на личните данни, от чиито територии се предоставят данните. Тези съгласувателни процедури намират основание в чл.28 от Директивата. В тази връзка Работен документ 107 от 14.04.2005г. предоставя насоките, които трябва да се следват при изпълнение на съгласувателни процедури между надзорните органи. След като заявлението за разрешение на ОКП е внесено във водещия надзорен орган, в случая СИК, то той има задължението да разпрати копие от него до надзорните органи на посочените държави-членки за предложения за изменения или други коментари. Приема се, че в рамките на процедурата по взаимно признаване, съгласувателната процедура е приключена след като държавите-членки потвърдят получаване на копие от ОКП. Взаимното признаване цели да съкрати сроковете по съгласуване на ОКП. По реда на тази процедура след като водещият надзорен орган прецени, че ОКП отговарят на изискванията на работните документи, приети от Работната група, то надзорните органи по взаимно признаване приемат това становище като достатъчно основание за предоставяне на разрешение от тяхна страна на ОКП. Към настоящия момент България е сред дъжавите-членки, участващи в процедурата по взаимно признаване. Следователно може да се счита, че ОКП са били одобрени от КЗЛД. От гореизложеното се налага изводът, че конкретното нормативно основание за искането за разрешение за трансфер на лични данни е чл.366, ал.1 от ЗЗЛД. който следва да се тълкува в съответствие със становището на Работен документ 74 на Работната група. Този Работен документ създава специфичен режим позволяващ на ОКП. разрешени от надзорен орган на държава-членка, в случая СИК. Великобритания, да бъдат признати в България, като по този начин съставляват достатъчно основание за разрешаване на трансфер въз основа на ОКП.

Правен анализ:

„С.Н.А.-К.С.“ КЧТ е клон на чуждестранен търговец с основен предмет на дейност: 1.публично привличане на влогове или други възстановими средства и предоставяне на кредити или друго финансиране за своя сметка и на собствен риск; 2. извършване на услуги по парични преводи, а след 1 ноември 2009г.-извършване на платежни по смисъла на закона за платежните услуги и платежните системи; 3. издаване и администриране на други средства за плащане (платежни карти, пътнически чекове и кредитни писма) доколкото тази дейност не е обхваната от т.2; 4.дейност като депозитарна или попечителска институция; 5.финансов лизинг; 6.гаранционни сделки; 7.търгуване за собствена сметка или за сметка на клиента със:а)инструменти за паричния пазар- чекове, менителници, депозитни сертификати и други, извън случаите по т.8: б) чуждестранна валута и благородни метали; в) финансови фючърси, опции, инструменти, свързани с валутни курсове и лихвени проценти, както и други дериватни инструменти, извън случаите по т.8; 8.търгуване за собствено сметка или за сметка на клиенти с прехвърляеми ценни книжа, участие в емисии на ценни книжа, както и услуги и дейности по чл.5, ал.2 и 3 от закона за пазарите на финансови инструменти, с изключение на придобиване и управление на дялови ценни книжа за собствена сметка и поемане на емисии на дялови ценни книжа за собствена сметка; 9.парично брокерство; 10. консултации на дружества относно тяхната капиталова структура, отраслова стратегия и свързаните с това въпроси, както и консултации и услуги относно преобразуване на дружества и сделки по придобиване на предприятия; 11. придобиване на вземания, произтичащи от доставка на стоки или предоставяне на услуги (факторинг); 12. отдаване под наем на сейфове; 13.събиране, предоставяне на информация и референции относно кредитоспособността на клиентите; 14. други подобни дейности, определени с наредба на БНБ.

„С.Н.А.-К.С.“ КЧТ е администратор на лични данни и в това си качество е подал Заявление за регистрация №109. В заявлението е посочено, че „С.Н.А.-К.С.“ КЧТ поддържа единадесет регистъра, в това число и регистър „Нормативно съответствие и управление на риска“.

„С.Н.А.-К.С.“ КЧТ има издадено Удостоверение за регистрация №38 за вписване в „Регистъра на администраторите на лични данни и на водените от тях регистри“.

По отношение на всички вписани регистри е заявена възможността за предоставяне на данни в други държави по отношение на данните, съдържащи се в тях.

В постъпилата допълнителна информация с писмо вх.№П-5184/31.07.201 Зг. е посочено, че искането за разрешаване на трансфер е на основание чл.366, ал.1 от ЗЗЛД, т.е. извън случаите по чл.36а от ЗЗЛД, предоставянето на лични данни в трета държава се извършва след разрешение на Комисията за защита на личните данни, при условие че администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за защитата им.

Обвързващите корпоративни правила (Binding Corporate Rules) представляват глобален кодекс за практики, базиран на европейските стандарти за защита на данните, който се изготвя от мултинационални компании и се спазва доброволно от тях с цел осигуряване на адекватни мерки за трансфер на данни между фирмите, в рамките на корпорацията. Създадени са като допълнителен инструмент за трансфер освен стандартните договорни клаузи, като тяхната регулация се извършва чрез Работните документи (РД) на Работната група по чл.29. На 24 юни 2008 г“ Работната група по член 29 прие три работни документа относно обвързващите корпоративни правила (ОКП), включително документ, въвеждащ таблица е елементите и принципите, които трябва да се съдържат в обвързващите корпоративни правила (РД 153) и документ, въвеждащ образец за структуриране на обвързващите корпоративни правила (РД 154). По този начин, групата направи важна крачка към подобряване на процедурата на сътрудничество по ОКП чрез предоставянето на допълнителни обяснителни материали, които да бъдат осигурени на кандидатстващите от органите за защита на данните, и да изясняват необходимото съдържание на правилата и формуляра. Въз основа на предприетите действия по този въпрос, органи за защита на данните от следните страни се ангажират да признаят взаимно правилата, изпратени до тях посредством процедурата за сътрудничество: Франция. Германия (федерално и местно ниво), Ирландия, Италия, Люксембург, Холандия, Испания и Великобритания. Тези институции, трябва да вземат в предвид следните условия:

а) Преди започване на анализа на ОКП, водещият орган се допитва до другите органи, които участват в процедурата по сътрудничество относно настоящи жалби и/или (минали) разследвания, свързани с компанията и/или нейните подизпълнители;

б) Водещият орган преценява дали кандидата, който желае да се възползва от процедурата за взаимно признаване е гарантирал, че всички споменати елементи в документите на Работната група– РД74, 108. 153 и изпратени материали, според РД154 са въведени в неговите правила и че с цел улесняване на одобрение на национално ниво от заинтересованите институции, в съответствие с процедурните задължения, заложени в националното право е попълнил РД133. Освен това, подгрупата по обвързващите корпоративни правила в рамките на Работна група по член 29 въвежда извършването на годишна преценка с цел да осигури и поддържа високо ниво на качество и съответствие на националните анализи на ОКП, по отношение на съдържанието и процедурата. Взаимното признаване на ОКП е по-скоро политически ангажимент, отколкото правна промяна. Това означава, че когато водещият орган за защита на данните изпрати консолидирания проект на ОКП с позитивно становище, че той покрива задължителните стандарти, приети в съответствие с всички документи на Работната група по член 29, споменати по-горе в т.б), другите органи приемат това становище като достатъчно основание за даване на тяхното собствено разрешение или оторизация за прилагането на ОКП, или за изпращане на позитивно становище на институцията, която дава оторизация.

За целите на разрешаване на ОКП С.Г.М.Л. („СГМЛ“ или „Заявителя/т“), дружество регистрирано и съществуващо съгласно законите на Великобритания, с адрес: *****, е подало заявление за разрешение на ОКП пред Службата на информационния комисар (СИК). Великобритания. На 14 юни 2012г. СИК е разрешило ОКП, влизащи в сила на 6 юни 2013 г“ като по този начин е потвърдило, че дружествата от групата на „С.И.“ (С.) осигуряват достатъчно гаранции за защита на личните данни. В представените ОКП (Декларацията) е посочено, че целта на тази Декларация за поверителност за прехвърлените данни за европейската работна сила („Декларация“) е да организира данните за европейската работна сила в съответствие с Европейската Директива за защита на личните данни и Е-Директива за поверителност, която ще осигури адекватна защита на данните при прехвърляне на данни за европейската работна сила на компании на С. в съответните страни. Тази Декларация се прилага за C.I. и неговите консолидирани дъщерни дружества, включително C.N.A. (всички посочени тук като С.), когато те прехвърлят или обработват прехвърлени данни за европейската работна сила. В нея е посочено, че С. обработва широк кръг от данни за европейската работна сила, който включва, но не се ограничава до: информация за контакти, биографична информация, съхранявана във връзка с работата, информация за компенсации и обезщетения, управление на работата, времето и докладване на информация по браншове, информация за образование, талант, доброволна работа и обучение и данни, свързани с държавата (като например данни за данъци). С. обработва тази информация за бизнес цели като комуникация с персонала, поддържане приемствеността в бизнеса, управление на разходите, отпускане на компенсации и обезщетения, както и управление на своята работна сила, бизнес и операции. Освен това, С. може да се справи с информацията във връзка с правни искове, съответствие, за регулативни и за цели на разследване (включително разкриване на такава информация в отговор на, или във връзка с, законови процедури или съдебни дела). Посочено е, че тъй като С. е глобална организация, данните за европейската работна сила могат да се обработват от група субекти на С. и работници по целия свят- например, където работната заплата или ИТ услугите се извършват от един или повече субекти на С. от името на други. Освен това, С. може да разкрие информация за европейските работници на трети страни, в които С. работи, за бизнеса или за оперативни цели или когато това се изисква или е разрешено от закона, като страните от Европейското икономическо пространство и Швейцария изискват С. да гарантира, че има адекватна защита на данните за европейската работна сила преди да се прехвърля на съответната страна. С. е въвела тази декларация, за да отговаря на изискването и за да улесни прехвърлянето на данни за европейската работна сила в рамките на С. Изрично е посочено, че тази декларация е за цялото дружество С., която важи за прехвърлените данни за европейската работна сила. В Декларацията изрично са посочени категориите данни и категорията лица. чиито данни ще бъдат обработвани, целите за обработването, както и е предвидено задължението за уведомяване, а именно, че С. ще предостави на европейските работници информация за начина, по който С. обработва прехвърлените данни за европейската работна сила. Тази информация може да бъде предоставена чрез различни средства, като тази Декларация, наръчници за наемане на работа, договори, инструкции за защита на личните данни, както и на интранет страницата на С. Предвидена е и възможността Европейските работници да могат да възразят срещу начина, по който С. обработва прехвърлените данни за европейската работна сила, свързани с тях въз основа на неопровержими законови основания, които се отнасят до конкретното положение на работника като се свържат с техния представител от ЧР или мениджър на търговеца (при не-служителите). както е приложимо. Изрично е упомената възможността С. да не предприема оценка или решение за европейските работници, което засяга значително тези работници единствено въз основа на автоматичната обработка на прехвърлените данни за европейската работна сила („автоматизирани решения“), освен ако: С. уведоми засегнатите европейски работници, че ще вземе автоматизирано решение; и им позволи правото да изискват решението да бъде взето ръчно; или автоматизираното решение е взето с цел да се сключи договор с европейския работник по негова/нейна молба, или да се изпълни такъв договор и, ако автоматизираното решение не е благоприятно за европейския работник, осигурява му се възможност да го коментира. Посочено е също, че С. ще прилага подходящи технически и организационни мерки за защита на прехвърлените данни за европейската работна сила срещу незаконни форми на обработване, случайно или незаконно унищожаване или от случайна загуба, промяна, неразрешено разкриване или достъп, в частност, когато обработването включва предаване на данните по мрежа. Считам, че посочените мерки ще осигурят ниво на сигурност, която е подходяща за естеството на прехвърлените данни за европейската работна сила, както и за вида на обработката, като се вземат предвид това, че е поет ангажимент от С. да приложи най-авангардните технологии и разходи за прилагането на мерките. Изрично е поет договорен ангажимент, че С. ще осигури обучение за задълженията по тази декларация на всички работници, базирани извън Европейското икономическо пространство и Швейцария, които обработват прехвърлени данни за европейската работна сила. Обучението ще бъде предоставено на работниците в рамките на ЕИП и Швейцария, които разглеждат жалби от европейските работници във връзка с прехвърлените данни за европейската работна сила. Обучението е одобрено от висшия мениджмънт на С. В поетите ангажименти, съгласно Декларацията (ОКП), е включена и т.н. „Клауза за одит“, съгласно която спазването на всички аспекти на задължителните фирмени правила ще бъде обект на редовни проверки от отдела за вътрешен одит на С. в съответствие с подходящ цикъл на одит и/или одит от съответни външни одитори, ангажирани от С. Когато има проблеми, идентифицирани от вътрешния одит, С. ще ги разреша своевременно и предприетите коригиращи действия ще бъдат преглеждани от отдела за вътрешен одит, като на ръководството на всяка ревизирана компания/отдел и на висшето ръководство на С. ще бъдат предоставени отчетите от одита. Резултатите от одита и ключови проблеми също ще бъдат докладвани на Комисията по одитите и управлението на риска на Съвета на директорите на С. и на ръководителя за целия свят на човешките ресурси. В Декларацията (ОКП) са поети ангажименти и за спазване на принципите за целесъобразност, пропорционалност, законосъобразност и актуалност на данните.

Следва да се вземе под внимание и обстоятелството, че на 19 април 2012г. с електронно писмо вх.№П747/20.04.2012г. от г-жа Ж.Д.- служба на Информационния комисар на Великобритания са изпратени информация и документи във връзка с процедура по преценка на посочените по горе обвързващи корпоративни правила на „C.G.M.L.“гр. Лондон, Великобритания, които обхващат посочените в настоящото искане държави за съответните дружества в тях от групата на С.: Филипини, Чили, Мексико, Малайзия, Бахрейн, Канада, Бразилия, и които обвързващи корпоративни правила КЗЛД е одобрила с електронно писмо изпратено на 15/05/2012г. от служител на КЗЛД, съгласно Доклад вх.№Д92/11.05.2012г.

Важно да се обърне внимание на Решение на КЗЛД №П-4041/2013г., с което КЗЛД се е произнесла, че при така поставената фактология и доказателства може да се приеме, че администраторът, предоставящ данните, и администраторът, който ги получава, предоставят достатъчно гаранции за тяхната защитата и съответно се е произнесла с горното решение, с което, на основание чл.366, ал.1 от ЗЗЛД , във връзка с чл.10, ал.1, т.4 от ЗЗЛД разрешила на администратора на лични данни „С.Н.А.-К.С.“ КЧТ (клон на чуждестранен търговец) да предостави на дружествата в групата на С.И. (С./ С.) за държавите САЩ, Сингапур, Коста Рика и Хонг Конг лични данни на физически лица, касаещи европейска работна сила на дружеството, които се отнасят до служителите на клона в Република България, въз основа на представените доказателства удостоверяващи поети договорни ангажименти за това, че администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за тяхната защитата.

С оглед изложеното до тук, въз основа на представените доказателства и във връзка с Решение на КЗЛД №П-4041/2013г., може да се приеме, че администраторът, предоставящ данните, и администраторите, който ги получават, представят достатъчно гаранции за тяхната защитата.

Във връзка с гореизложеното и на основание чл.366. ал.1 от ЗЗЛД . във връзка с чл.10, ал.1. т.4 от ЗЗЛД Комисията за защита на личните данни

Разрешава на администратора на лични данни „С.Н.А.-К.С.“ КЧТ (клон на чуждестранен търговец) да предостави на дружествата в групата на С.И. (С./ С.) за държавите Филипини- С.Н.А.- Седалище за регионални операции; Чили- С.Ч.С.; Мексико- С. Info, S. de R. L. DE C. V; Малайзия- С.Т.С.; Бахрейн- С.Н.А.- Бахрейн; Канада- С.Н.А.- Канада; Бразилия- С.Б.К.П.Л. лични данни на физически лица, касаещи европейска работна сила на дружеството, които се отнасят до служителите на клона в Република България, въз основа на представените доказателства удостоверяващи поети договорни ангажименти за това, че администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за тяхната защитата.

Решението на Комисията може да се обжалва пред Върховния административен съд в 14 /четиринадесет/ дневен срок от получаването му.