РЕШЕНИЕ
№ п-5805/2013 г
гр. София, 21.11.2013 г.
Комисията за защита на личните данни в състав: Председател: Венета Шопова и членове: Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков на заседание, проведено на 13.11.2013г., разгледа искане с вх.№п- 5805/04.09.2013г. от „Р.Б.“ ЕООД, чрез адвокат И.Б., САК, адвокатско дружество „Г.Т. и К.“ с молба за издаване на разрешение за предоставяне на лични данни в трета държава- Швейцария. В искането е посочено, че между „Р.Б.“ ЕООД и Ф.Х.-Л.Р. (F.H.-L.R.), Швейцария е сключен договор за прехвърляне на данни от 01.03.2012г. („Договорът“). Сочи се, че по силата на този договор се предвижда „предоставяне на лични данни“ по смисъла на параграф1, т.5 от ДР на ЗЗЛД от един администратор- „Р.Б.“ ЕООД към друг- Ф.Х.-Л.Р. Казва се, че предоставянето на лични данни по Договора ще засегне лични данни от софтуерната система CRM Visual Elk, която представлява „регистър на лични данни“ по смисъла на §1, т.2 от ДР на ЗЗЛД и е регистрирана в КЗЛД като поддържан от „Р.Б.“ ЕООД регистър на лични данни „Клиенти- управление на взаимодействието с клиентите“ с цели управление на човешките ресурси и директен маркетинг. Казва се, че предмет на регистъра са лични данни за физическа идентичност- име, телефон и служебен имейл, както и лични данни за социална идентичност- образование и трудова дейност (т.е. специалност, месторабота и заемана длъжност). Указано е също, че личните данни се събират лично от лицата с предварително тяхно изрично писмено съгласие, по силата на което лицата дават и своето изрично писмено съгласие „Р.Б.“ ЕООД да предоставя тези лични данни на други дружества от Група Р., които са местни лица на държава-членка на. Европейския съюз или на държава-членка на Европейското икономическо пространство, Към искането е приложен и стандартен образец на декларация, която се подписва собственоръчно и предварително от лицата. Казва се, че съгласно точка БЗ от Анекс Б към Договора, предоставянето ще обхване следните лични данни за медицинските специалисти, които са в бизнес отношения (в лично качество или като представители на лечебно заведение) с „Р.Б.“ ЕООД:
1) име, адрес (служебен), телефонен номер и и-мейл на медицинскияспециалист;
2) адрес (служебен), телефонен номер и адрес за кореспонденция с лечебното заведение;
3) други данни, касаещи бизнес отношенията между медицинския специалист и „Р.Б.“ ЕООД, като например посещение на място, участие в събитие, участие в конгрес, искания за мостри и т.н.
Договорът не предвижда срок на обработването на данните.
Сочи се ,че видно от точка Б2 от Анекс Б към Договора целите на предоставянето са:
a) поддръжка на информация за контакт с медицинските специалисти;
b) планиране и координиране на взаимодействията на „Р.Б.“ ЕООД с медицинските специалисти и
c) доклад (т.е. анализ на резултата) от взаимодействията с медицинските специалисти в рамките на вътрешно корпоративната система „Решение за управление на връзки с клиенти в Източна Европа, Близкия Изток и Африка“ (EEMEA CRM Solution).
Посочено е, че „Р.Б.“ ЕООД и Ф.Х.-Л.Р. са свързани лица, тъй като са под „общ контрол“ и принадлежат към една и съща корпоративна (икономическа) група- Групата „Р.“.
Указано е, че получателят на личните данни е Ф.Х.-Л.Р. (F.H.-L.R.), Швейцария, което е дружеството „майка“ на корпоративната група Р., регистриранопод No. *****в Търговския регистър на Кантон Базел, с регистриран и;внесен капитал от 150 000 000 CHF и адрес на управление: град Базел, Швейцария.
В искането е отбелязано, че видно от точка Б7 от Анекс Б към Договора, като „обработващ лични данни“ по смисъла на §1, т.3 от ДР на ЗЗЛД в полза на Ф.Х.-Л.Р. ще действа дружество S.C. INC., със седалище и адрес на управление: САЩ, щат Делауеър, чрез хостване на данните на платформата Force.com.
Указано, е че съгласно чл.8.2 от Договора, неговото влизане в сила, респективно началнотона изпълнението на правата и задълженията на страните по него, е поставено в зависимост от получаване на разрешение/решение, че разрешение не е необходимо от страна на Комисията за защита на личните данни.
Отправена е молба да бъде взето предвид, че в настоящия случай не е необходимо извършването на преценка на адекватността на нивото на защита на личните данни по реда на чл.36а, ал.3 от ЗЗЛД от страна на Комисията, поради следното:
„1. Съгласно чл.36а, ал.5, т.1 от ЗЗЛД такава преценка не се извършва, когато Европейската комисия се е произнесла, че третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита. В конкретния случай е налице Решение на Комисията от 26 юли 2000 година относно Директива 95/46/ЕО на Европейския парламент и на Съвета за достатъчната защита на личните данни, предоставяни в Швейцария, с което ЕК се е произнесла, че „Швейцария предоставяподходящо ниво на защита на личните данни, предавани от Общността, за всички дейности, обхванати от „ Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995г., а получателят на личните данни е дружество, регистрирано и| извършващо дейност на територията на Швейцария.
2. Съгласно чл.36а, ал.5, т.2 от ЗЗЛД такава преценка не се извършва когатоЕвропейската комисия се е произнесла, че определени стандартни договорни клаузи:осигуряват адекватно ниво на защита. В конкретния случай, клаузите на Договораизцяло следват КомплектII общи договорни клаузи, приети с решение накомисията от 27декември 2004 година относно изменение на Решение2001/497/ЕО относно въвеждането на алтернативен комплект общи договорни клаузи запрехвърляне на лични данни в трети страни.
Практиката на КЗЛД е изцяло в горния смисъл- например в Решение от 25.11.2009г. по много сходен казус, Комисията се е произнесла за допустимост на. предоставянето на лични данни в Швейцария и САЩ.“
Отправена е молба също така да бъде взето предвид и обстоятелството, че физическите: лица, чиито лични данни са предмет на предоставяне по Договора, са дали своето изрично писмено съгласие за това чрез подписването на приложената към настоящата молба декларация, с оглед на което е налице и хипотезата на чл.36а, ал.7, т.1 от ЗЗЛД.
Във връзка с гореизложеното е отправена молба Комисията да постанови решение, с което да разреши предоставяне на лични данни от страна на „Р.Б.“ ЕООД в Швейцария и САЩ съобразно сключения между „Р.Б.“ ЕООД и Ф.Х.-Л.Р. (F.H.-L.R.), Швейцария Договор за прехвърляне на данни от 01.03.2012г. или да постанови решение, с което да се произнесе, че разрешение не е необходимо.
Към искането са приложени:
1. Договор за прехвърляне на данни от 01.03.2012г. между „Р.Б.“ЕООД и Ф.Х.-Л.Р. [F.H.-L.R.], Швейцария.
2. Извлечение от Служба на Търговския регистър на Кантон Базел заФ.Х.-Л.Р. [F.H.-L.R.].
3. Учредителен акт No,S.C., INC.
4. Потвърждение от S.C., INC. за притежавани права наинтелектуална собственост, заедно с 2 броя извлечения от база данни на WHOIS.
5. Образец на декларация- съгласие за обработване на лични данни.
6. Пълномощно за процесуално представителство, птупълномощаване иудостоверение за актуално състояние на адвокатско друж&етйво.
С писмо п- 6479/ 07.10.2013г. към молбата за издаване на разрешение от „Р.Б.“ ЕООД са приложени следните документи:
1. Стандартен договор за оторозирано обработване на лични данни , сключен между Ф.Х.-Л.Р. [F.H.-L.R.], Швейцария. иS.C., INC.
2. допълнение №1 към станадартен договор за за оторизирано обработване на лични данни , сключен между Ф.Х.-Л.Р. [F.H.-L.R.], Швейцария иS.C., INC.
3. Приложение №2 Към Станадартен Договор за за оторозирано обработване на лични данни, сключен между Ф.Х.-Л.Р. [F.H.-L.R.], Швейцария иS.C., INC.
„Р.Б.“ ЕООД е регистриран в търговския регистър при Агенция по вписванията под ЕИК ****** с предмет на дейност: Производство, лицензиране, проучване и разработване, маркетинг, търговия и дистрибуция на висококачествени фармацевтични и диагностични продукти, извършване на клинични изследвания, организиране на научни конференции, семинари и симпозиуми, както и всички други търговски дейности, незабранени от законите на Република България.Едноличен собственик на капитала е Р. Ф. АД, Швейцария. Дружеството е вписано като администратор на лични данни в поддържания от Комисията за защита на лични данни публичен регистър по чл.10, ал.1, т.2 от Закона за защита на личните данни („ЗЗЛД“) под идентификационен №35109. При направена служебна справка е установено , че са заявени пет регистъра на лични данни, както следва:
• „ Клиенти- лица извършващи услуги“;
• „Клиенти- управление на взаимодействието с клиентите“
• „Персонал- човешки ресурси“.
• „Клинични изпитвания“
• „Лекарствена безопасност“
Искането визира данни от регистър „Клиенти- управление на взаимодействието с клиентите“.
В искането са посочени личните данни, предмет на предстоящия трансфер ще са лични данни за медицинските специалисти, които са в бизнес отношения (в лично качество или като представители на лечебно заведение) с „Р.Б.“ ЕООД:
a) име, адрес (служебен), телефонен номер и и-мейл на медицинскияспециалист;
b) адрес (служебен), телефонен номер и адрес за кореспонденция с лечебното заведение;
c) други данни, касаещи бизнес отношенията между медицинския специалист и „Р.Б.“ ЕООД, като например посещение на място, участие в събитие, участие в конгрес, искания за мостри и т.н.
Приложеният договор не е посочено предмет на трансфер да са данни по чл.5, ал.1 от ЗЗЛД, във визираният регистър също така не е заявено обработване на такива данни.
В искането е посочено, че целите на предоставяне на личните данни, съгласно т.Б.2 от приложения договор са :
· поддръжка на информация за контакт с медицинските специалисти;
· ланиране и координиране на взаимодействията на „Р.Б.“ ЕООД с медицинските специалисти и
· доклад (т.е. анализ на резултата) от взаимодействията с медицинските специалисти в рамките на вътрешно корпоративната система „Решение за управление на връзки с клиенти в Източна Европа, Близкия Изток и Африка“ (EEMEA CRM Solution).
Относно получателя на данни е посочено, че това е Ф.Х.-Л.Р. (F.H.-L.R.) Швейцария, което е дружеството „майка“ на корпоративната група Р., регистрирано под No. *****в Търговския регистър на Кантон Базел, с регистрирани;внесен капитал от 150 000 000 CHF и адрес на управление: град Базел, Швейцария.
В искането е отбелязано, че видно от точка Б7 от Анекс Б към Договора, като „обработващ лични данни“ по смисъла на §1, т.3 от ДР на ЗЗЛД в полза на Ф.Х.-Л.Р. ще действа дружество S.C., INC., със седалище и адрес на управление: САЩ, щат Делауеър, чрез хостване на данните на платформата Force.com.
С писмовх.№ п- 6479/ 07.10.2013г. към молбата за издаване на разрешение от „Р.Б.“ ЕООД са приложени следните документи:
1. Стандартен договор за оторозирано обработване на лични данни , сключен между Ф.Х.-Л.Р. (F.H.-L.R.), Швейцария. иS.C., INC.
2. допълнение №1 към станадартен договор за за оторозирано обработване на лични данни , сключен между Ф.Х.-Л.Р. (F.H.-L.R.), Швейцария и S.C., INC.
3. Приложение №2 към станадартен договор за за оторозирано обработване на лични данни, сключен между Ф.Х.-Л.Р. [F.H.-L.R.], Швейцария иS.C., INC.
Договорът не предвижда срок на обработването на данните.
Също така е приложен и образец на декларация, с която лицата даватсвоето изрично писмено съгласие „Р.Б.“ ЕООД да предоставя тези лични данни на други дружества от Група Р., които са местни лица на държава-членка на. Европейския съюз или на държава-членка на Европейското икономическо пространство, Към искането е приложен и стандартен образец на декларация, която се подписва собственоръчно и предварително от лицата. Предвид това, че чрез подписване на визираната и представена бланка на декларация лицата- медицински специалисти се съгласяват личните им данни да бъдат предоставяни от „Р.Б.“ ЕООД на други дружества от Групата Р., които са местни лица на държава членка на Европейския съюз или на държава членка би могло да се сподели изразеното в искането становище че е налице, визираното в чл.36а, ал.7, т.1 от ЗЗЛД, законово основанието за предоставяне на лични данни, а именно изрично съгласие на лицето.
Съгласно Директива №95/46/EО на Европейския парламент и на Съвета трансфер на лични данни в трети страни може да бъде осъществен, само ако въпросната трета държава осигурява адекватно ниво на защита. Съгласно разпоредбата на чл.36а, ал.3 от ЗЗЛД при предоставяне на лични данни в трета държава КЗЛД извършва преценка на адекватността на нивото на защита на личните данни, като се вземат предвид всички обстоятелства, свързани с действията или съвкупността от действията по предоставянето на данните, включително характера, целта и продължителността на обработването, правната уредба и мерките за сигурност, осигурени в третата държава.
На основание чл.36а, ал.5, т.2 от ЗЗЛД КЗЛД не извършва преценка по ал.3 в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че определени стандартни договорни клаузи осигуряват адекватно ниво на защита. В разглежданата хипотеза „Р.Б.“ ЕООД са приложили към молбата си за предоставяне на лични данни в трети страни договор за прехвърляне на данни, с които са приели стандартни договорни клаузи, които осигуряват адекватно ниво на защита, съгласно решение на Европейската комисия от 27 декември 2004г.за изменение на Решение 2001/4798 ЕО за въвеждане на алтернативен комплект общи договорни клаузи за прехвърляне на лични даннини в трети страни (20048915/ ЕО)
В чл.36а, ал.5, т.1 от ЗЗЛД е отразена друга хипотеза, при наличието на която КЗЛД не извършва преценка на „адекватността на нивото на защита на личните данни в трета държава”. Посочената разпоредба се отнася за случаите, когато е налице произнасяне, с решение на Европейската комисия /ЕК/, че третата държава, в която се предоставят личните данни осигурява адекватно ниво на защита. Съгласно Директива 95/46/ЕК за защита на данните трансферите на лични данни от ЕС в трети държави могат да се осъществят, ако въпросната трета държава осигурява адекватно ниво на защита. В изключителната компетентност на ЕК е определянето на адекватно ниво на защита на данните, което се посочва като „заключение за адекватност”. Произнасянето на Европейската комисия в разглеждания смисъл е с решение от 26.07.2000г.– 2000/518/ЕС.- с което е налице произнасяне за адекватно ниво на защита на личните данни в Швейцария.
Във връзка с влезли в сила изменения и допълнения на Правилника за дейността на Комисията за защита на личните данни и нейната администрация /Обн. ДВ. бр.11 от 10 Февруари 2009г., изм. ДВ. бр.21 от 15 Март 2011г., изм. и доп. ДВ. бр.12 от 10 Февруари 2012г./ (ПДКЗЛДНА) по отношение на реда за осъществяване на трансфер на данни са настъпили съществени изменения. Съгласно чл.53а от ПДКЗЛДНА Комисията не се произнася с решение и администраторът може да предоставя лични данни в трета държава, когато е налице решение на Европейската комисия, с което тя се е произнесла, че:
1. третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита, или
2. определени стандартни договорни клаузи осигуряват адекватно ниво на защита.
Задължение за администратора, предоставящ данните при наличие на горните условия, е визирано в чл.53б, като във всички случаи на предоставяне на лични данни в трети държави администраторът е длъжен да заяви предоставянето на данни във водения от КЗЛД регистър по чл.42, ал.1 от ПДКЗЛДНА. Предоставянето на данни е заявено в публичния регистър поддържан от КЗЛД на основание чл.10, ал.1, т.2 от ЗЗЛД и чл.42, ал.1 от ПДКЗЛДНА.
Във връзка с горното и на основание чл.35 и чл.52 от Правилника за дейността на КЗЛД и на нейната администрация във връзка с чл.36а, ал.5, т.1 и т.2 и ал.7, т.1 от Закона за защита на личните данни, Комисията за защита на личните данни
РЕШИ:
1. В изложения казус са налични основания за предоставяне на данни по смисъла на чл.36а, ал.5, т.1 и т.2 ,както и чл.36а, ал.7, т.1 от ЗЗЛД, а именно третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита, определени стандартни договорни клаузи осигуряват адекватно ниво на защита и лицето, за което се отнасят данните дало изрично съгласие за това. Във връзка с влезли в сила изменения и допълнения на Правилника за дейността на Комисията за защита на личните данни и нейната администрация Комисията не се произнася с решение и администраторът може да предоставя лични данни в трета държава, когато е налице решение на Европейската комисия, с което тя се е произнесла, че: третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита, или определени стандартни договорни клаузи осигуряват адекватно ниво на защита.
2. Предвид представените документи са налични нормативни основания за допустимост на предоставяне на лични данни на физически лица- медицински специалисти от „Р.Б.“ ЕООД, на дружество на територията на трета страна- „Ф.Х.-Л.Р. (F.H.-L.R.), Швейцария, за посочените в искането цели, предвид изразеното изрично съгласие на тези лица и наличието на адекватно ниво на защита на личните данни в трета страна и договор , сключен при стандартни договорни клаузи, в следния обем: име, адрес (служебен), телефонен номер и и-мейл на медицинския специалист; адрес (служебен), телефонен номер и адрес за кореспонденция с лечебното заведение; други данни, касаещи бизнес отношенията между медицинския специалист и „Р.Б.“ ЕООД,- посещение на място, участие в събитие, участие в конгрес, искания за мостри за срока на договорните отношения между двете дружества.
Решението на Комисията може да се обжалва пред Административен съд- гр.София в 14 /четиринадесет/ дневен срок от получаването му.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венета Шопова /п/ |
Красимир Димитров /п/ |
