Решение по искане с вх. № 2714/ 15.06.2011 г.

ОТНОСНО:Искане с рег. №2714/15.06.2011 г. от ”Ситибанк Н.А. – клон София”(клон на чуждестранен търговец) за издаване на разрешение по чл.36а, ал.4, т.2 от Закона за защита на личните данни (ЗЗЛД) за трансфер на лични данни към ”Уипро Лимитид” в Република Индия

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове Красимир Димитров и Валентин Енев, на редовно заседание, проведено на 28.09.2011г. (Протокол № 40), разгледа искане срег.№2714/15.06.2011 г. от ”Ситибанк Н.А.-София” (клон на чуждестранен търговец) за издаване на разрешение за трансфер на лични данни на основание чл.36а, ал.4, т.2 от Закона за защита на личните данни (ЗЗЛД). Искането е подадено чрез С.П.А., с ЕГН ********, в качеството й на пълномощник на управителите на клона – Б.С.Ж.-Н. и П.Н.Г.

Съгласно предоставената информация в искането ”Ситибанк Н.А. – клон София”(клон на чуждестранен търговец) в качеството си на администратор на лични данни ще предоставя лични данни в трета държава – Република Индия, като получателят на данните ще бъде ”Уипро Лимитид” (Wipro Limited, Doddakannelli Sarjapur Road, Bangalore 560035, India). ”Уипро Лимитид” е доставчик на услуги, предоставящ решения в областта на бизнес планирането, технологиите и свързаните с тях процеси. То е сертифицирано дружество за софтуер със седалище в Република Индия и развива дейности като консултиране, бизнес решения, интегриране на системи, управление на инфраструктура и приложения и услуги, чието извършване е изцяло прехвърлено на дружеството от клиента.

Трансферът на данни засяга следните категории физически лица:

· клиенти;

· бенефициери по плащания (физически лица, които не са клиенти на „Ситибанк”, но които получават плащане от лице, имащо сметка в „Ситибанк”);

· персонал (включително служители и персонал на временни и граждански договори) на корпоративни клиенти и персонал ( включително служители и персонал на временни и граждански договори) на износителите на данни и други свързани лица на „Ситибанк”, които са потребители на системите.

Предмет на трансфера ще бъдат следните категории лични данни, засягащи посочените групи физически лица:

Персонал на износителя на данни:

Име на персонала; служебен адрес на персонала; имейл – адрес на персонала; служебен телефонен номер на персонала; номер на регистрация на чужденец; друга идентификация; идентификация на банкова сметка; наименование на банковата сметка; номер на банкова сметка; вид на банковата сметка; номер на пейджър; сграда/етаж/район; наименование на търговската дейност; наименование на търговската дейност/ степен на образование; гражданство или националност; начална дата на договора; крайна дата на договора; тип на договора; номер на корпоративната кредитна карта, държава, дата на раждане, отдел, адрес на член на семейството/ бенефициер; дата на раждане на член на семейството/ бенефициер; пол на член на семейството/ бенефициер; семейно положение на член на семейството/ бенефициер; име на член на семейството/ бенефициер; взаимоотношения с член на семейството/ бенефициер; име на прекия ръководител/функции/отдел/телефон; държава на получаване на завършено образование; дата на издаване на удостоверение за завършено образование; индикатор за завършено образование; име на учебното заведение; име, телефон и държава на местожителство на лице за връзка в случай на аварии; категория персонал/ локална оценка; класификация на персонал; състояние на договорите с персонала; дата на назначаване на персонала; имейл–адрес на персонала; идентификация на персонала; номер на личен мобилен телефон на персонала; досие на персонала; статус на персонала; вид на персонала, служебен адрес на персонала; служебен телефонен номер на персонала; служебен телефонен номер на персонала или телефонен номер на клиент; индикатор за служител/ неслужител; идентификация на отговорното за персонала лице/ глобален идентификационен номер; крайна дата на трудовото правоотношение; статус на трудовото правоотношение; Програма за често пътуващи лица или номер на сметка на програма за често пътуващи лица и търговеца-свързано лице; пол; глобален идентификационен номер на персонала; дата на въвеждане на оценката; отговорно лице – Човешки ресурси; статус на служител човешки ресурси; документ с образ – подпис на одобряващото лице, име и длъжност; документ с образ- номер на корпоративна кредитна карта; документ с образ – извадка по корпоративна кредитна карта; документ с образ – подпис на персонала върху разписки/ квитанции; документ с образ – домашен адрес, ако е отпечатан върху фактура; документ с образ – номер на лична кредитна карта; документ с образ – извадка по лична кредитна карта; документ с образ – информация за съпруг/ семейство (ако пътуват заедно с лице от персонала); документ с образ – извадка по телефонен номер – личен и клиентски телефонен номер; трудови функции на длъжността; код на длъжността; дата на въвеждане на длъжността; наименование на длъжността; ниво на ръководителя; семейно положение, код на служебното лице; длъжност на служебното лице; номер на паспорт и/ или виза; схема на възнаграждение, личен имейл–адрес; място на раждане; първичен код за влизане в система; предишен работодател; държава по предходното трудово правоотношение; крайна дата на договора с предишен работодател; дата на договора с предишния работодател; рейтинг; идентификация за система за проследяване на информация за ресурси; номер на партида за социално осигуряване или еквивалентен идентификационен данъчен номер; потребителско име за активната директория на служителя; източник, снимка на персонала; имейл–адрес на надзорника; идентификация на потребител.

Клиенти:

Име; данни за контакт (адрес/телефонен номер/имейл адрес); регулаторни идентификатори (например–код за данъчна регистрация); информация за сметки (номер на сметка, баланс по сметка); данни за сделки и клонове; данни, свързани с "Опознай клиента"; форми за откриване на сметки; снимки; други данни за идентификация и проверка, която се съдържа в образи на лични карти, паспорти и другиудостоверяващи самоличността документи; образци от подписи на клиенти.

Търговци:

Наименование на търговец; адрес на търговец; име на лице за контакти на търговеца; телефон на лицето за контакти на търговеца; адрес на лицето за контакти на търговеца; имейл–адрес на лицето за контакти на търговеца; наименование на дружеството – майка на търговеца; отчети, относно задълженията на търговеца; доставки на адрес; данни по фактури; код за данъчна регистрация.

Бенефициери:

Име на сметка; номер на сметка;данни за сделка; описание на вземането.

Директорите на корпоративни клиенти, длъжностни лица и персонал:

Име; данни за контакти; разрешения за достъп до системи; форми за откриване на сметки във връзка с "Опознай клиента"; други данни за идентификация и проверка, съдържащи се е документи с образи: лични карти, паспорти и други документи; образци от подписи на клиенти.

Прехвърляните на лични данни могат да бъдат разкрити само на следните получатели или категории получатели: Персонал на вносителя на данни, като вносителят ще прилага разпоредбите на Клауза 11 от Общите договорни клаузи; регулаторни органи на горепосочените.

Целите на трансфера на данни са: улесняване мониторинга и контрола на риска по баланса чрез принципа на разпределение; изготвяне на схеми за планирането на чуждестранни данъчни кредити; консолидиране на финансова информация за изготвяне на отчети; предоставяне на стратегическо решение; улавяне, проследяване и предотвратяване на инциденти, свързани със сигурността на информацията; сертифициране доставчици на продукти и услуги; проследяване и докладване относно рискови доставчици, рискове в държавите, финансови оценявания, условно планиране, анализи за съответствие с нормативните изисквания, договори, и разпределението на сигнали, относно доставчици и управлението на риска; проекти за управление, включително управление на работния процес, планиране на проекти, проследяване, часово планиране, докладване/отчитане.

Вносителят на данни: ”Уипро Лимитид” (Wipro limited)ще предоставя техническа поддръжка в следните качества, но без да се ограничава до системна администрация – функции по поддръжка на сървъри, прегледи на влизанията в системата; администриране на база данни– функции по поддръжка на база данни; осигуряване сигурност на информацията– функции по даване достъп до приложения и данни; оперативна поддръжка – поддръжка на софтуерни приложения; администриране на софтуерни приложения – функции по развитие и поддръжка на приложенията. Данните ще се предават в Индия по електронен път и защитата им ще се осъществява най–общо чрез защитна стена (Fire Wall), криптиране на лични данни за онлайн излъчване или транспортиране посредством носители на данни (ленти и модули или други носители), като всички транзакции ще протичат през Глобален мрежов рутер на Ситигруп.

При анализа на изложеното в искането, както и приложените към него документи, се установи следното:

”Ситибанк Н.А. – КлонСофия” е клон на чуждестранен търговец, вписан в Търговския регистър при Агенцията по вписванията с ЕИК 130325402 и предмет на дейност: 1. Публично привличане на влогове или други възстановими средства и предоставяне на кредити или друго финансиране за своя сметка и на собствен риск; 2. Извършване на услуги по парични преводи, а след 01.11.2009г. – извършване на платежни услуги по смисъла на Закона за платежните услуги и платежните системи; 3. Издаване и администриране на други средства за плащане (платежни карти, пътнически чекове и кредитни писма) доколкото тази дейност не е обхваната от т.2; 4. Дейност като депозитарна или попечителска институция; 5. Финансов лизинг; 6. Гаранционни сделки; 7. Търгуване за собствена сметка или за сметка на клиента със: 6.1 Инструменти за паричния пазар-чекове, менителници, депозитни сертификати и др., извън случаите по т.8; 6.2 Финансови фючърси, опции, инструменти, свързани с валутни курсове и лихвени проценти, както и други дериватни инструменти, извън случаите по т.8; 8. Търгуване за собствена сметка или за сметка на клиенти с прехвърляеми ценни книжа, участие в емисии на ценни книжа, както и услуги и дейности по чл.5, ал.2 и ал.3 от Закона за пазарите на финансови инструменти, с изключение на придобиване и управление на дялови ценни книжа за собствена сметка и поемане на емисии на дялови ценни книжа за собствена сметка; 9. Парично брокерство; 10. Консултации на дружества относно тяхната капиталова структура, отраслова стратегия и свързаните с това въпроси, както и консултации и услуги относно преобразуване на дружества и сделки по придобиване на предприятия; 11. Придобиване на вземания, произтичащи от доставка на стоки и предоставяне на услуги (факторинг); 12. Отдаване под наем на сейфове; 13. Събиране, предоставяне на информация и референции относно кредитоспособността на клиентите; 14. Други подобни дейности, определени с наредба на БНБ.

Седалището и адресът на управление на „Ситибанк Н.А. – КлонСофия” са: гр. София, Район „Оборище”, бул. ”Княгиня Мария Луиза” № 2, ет.5.

За осъществяване на предоставянето на данните в Индия между износителят на данните ”Ситибанк Н.А. – Клон София”, Република България и вносителят на данните ”Уипро Лимитид” (Wipro Limited), Република Индияе сключен договор за трансфер на данни с използване на стандартни договорни клаузи съгласно Решение 2010/87/ЕО от 5 февруари 2010 година относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО. Съгласно договора, „Ситибанк Н.А. – КлонСофия” обработва различниданни на служители, клиенти, продавачи, доставчици и др. Като част от обичайната си дейност клонът оперира с голям брой инструменти и вътрешни системи на „Ситигруп”, даващи достъп до няколко оператори и/или подоператори на лични данни, предоставящи технологични услуги. В тази връзка, различните доставчици на технологични услуги се използват за осъществяване на финансов мениджмънт, счетоводството или за други средства за отчетност по значими въпроси, които могат да имат следните функции/цели: улесняване мониторинга и контрола на риска по баланса чрез принципа на разпределение; изготвяне на схеми за планирането на чуждестранни данъчни кредити; консолидиране на финансова информация за изготвяне на отчети; предоставяне на стратегическо решение; улавяне, проследяване и предотвратяване на инциденти, свързани със сигурността на информацията; сертифициране доставчици на продукти и услуги; проследяване и докладване относно рискови доставчици, рискове в държавите, финансови оценявания, условно планиране, анализи за съответствие с нормативните изисквания, договори, и разпределението на сигнали, относно доставчици и управлението на риска; проекти за управление, включително управление на работния процес; планиране на проекти, проследяване, часово планиране, докладване/отчитане.

Стандартните договорни клаузи (лица, обработващи данни), са структурирани, както следва:

Клаузи 1-12 включват: Определения на основните термини; Подробности в предаването; Клауза в полза на трето лице; Задължения на износителя на данните; Задължения на вносителя на данните; Отговорност; Медиация и съд; Сътрудничество с надзорни органи; Приложимо право: правото на държавата –членка, в която е установен износителя на данните – Република България; Изменение на договора; Предаване за подизпълнение; Задължение след приключване на услугите по обработване на личните данни.

Допълнение №1: Съдържа информация за:

· износителя на данни :”Ситибанк Н.А. – клон София”, Република България;

· вносителя на данни: ”Уипро Лимитид”, Република Индия;

· заитересовани физически лица, чиито данни са предмет на трансфер;

· категории данни, предмет на трансфер: персонал на износителя на данни; търговци; клиенти; бенефициери; директорите на корпоративни клиенти, длъжностни лица и персонал;

· операции по обработка.

Допълнение №2: Описание на техническите и организационните мерки за защита, приведени в действие от вносителя на данни в съответствие с клаузи 4г и 5в, които включват: контрол на достъпа за лица; контрол върху носителите на данни; контрол на паметта за данни; контрол на потребителски права; контрол на достъпа на персонала; контрол на достъпа до данните; контрол на пренос; контрол на въвеждане на данни; инструктажен контрол; контрол при транспортиране; организационен контрол.

Допълнение №3: 1. Съдържа информация за износителя на данни; 2. Съдържа информация за вносителят на данни.

При извършената служебна справка в Регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД, се установи, че дружеството е подало заявление за регистрация №109 като администратор на лични данни и е вписано в регистъра с идентификационен номер 38. ”Ситибанк Н.А. – Клон София” подържа 11 броя регистри, като трансферът на данни засяга информацията, поддържана в регистър ”Клиенти и персонал”. Съгласно постъпилата информация необходимостта от трансфера на лични данни-предмет на настоящото искане, произтича от създаването и поддържането на общи системи от данни с цел централизирано и ефикасно управление на същите; наблюдаване на риска, пране на пари или проверка на наложени санкции; обслужване на международни клиенти; преценка на риска на насрещната страна през „Ситибанк”; обработване на запитвания на клиенти; уведомяване на клиентите по въпроси, които могат да засегнат способността им да имат достъп до системите на „Ситибанк” или за да се позволи на клиентите достъп до техните сметки в други юрисдикции.

Във връзка с реализирането на горепосочените дейности, от страна на ”Ситибанк Н.А.– Клон София” ще бъдат трансферирани лични данни от категориите физическа, икономическа, социална и семейна идентичност.При извършена служебна проверка се установи, че посочените в регистър ”Клиенти и персонал” лични данни съвпадат със заявените за трансфер. Предвидена е също така и възможността данните да бъдат предоставяни в трети държави – САЩ и Република Индия.

С писмо рег. № 2714/12.07.2011г. Комисията за защита на личните данни е изискала допълнителна информация относно: 1. Подробна информация и разяснения относно конкретните цели на предоставянето на личните данни; 2. Договор за възлагане на съответната услуга от ”Ситибанк Н.А. – Клон София” на „Уипро Лимитид”, със заличена по тяхна преценка информация като конфиденциални клаузи, финансови параметри, номера на сметки и др. – Функции и задължения по договора, които ще се изпълняват от „Уипро Лимитид”; Права и задължения на страните по договора; Наличието на ин формирано съгласие на лицата, във връзка с обработване на техните лични данни; 3. Да бъде конкретизирано значението на израза „документ с образ” – номер на корпоративна кредитна карта; извадка по корпоративна кредитна карта; подпис на персонала върху разписки/квитанции; домашен адрес, ако е отпечатан върху фактура; номер на лична кредитна карта; извадка по лична кредитна карта; информация за съпруг/семейство (ако пътуват заедно с лице от персонала); извадка по телефонен номер–личен и клиентски телефонен номер.

В изпълнение на указанията на КЗЛД с писмо от 18.07.2011г., в Комисията е постъпила допълнителна информация, както следва:

По отношение на подробна информация и разяснения относно конкретните цели на предоставянето на личните данни: Посредством сключването на рамков договор за външни услуги (аутсорсинг) между всички субекти от групата на „Ситибанк” от една страна и „Уипро Лимитид”, Република Индия от друга, с цел прехвърляне на лични данни и предоставяне на определени услуги по тяхното обработване. Износителите на данни и вносителят на данни използват предварителни поръчки по извършване на определени действия по обработване на личните данни. Тези действия са услуги, които ще се предоставят за или в полза на износителите на данни, които са свързани с дейности на Капиталови пазари, Инвестиционно банкиране, Алтернативни инвестиции на „Ситибанк” или за дейности свързани с Глобални транзакционни услуги. Тези услуги са: 1. Споделени услуги свързани с лица, включително човешки ресурси и набиране на персонал; обучения; съответните ведомости, осчетоводяване и управление на премиите за персонала; 2. Инфраструктурни услуги, свързани с местонахождение на услугата, включително физическото местонахождение, инфраструктура, мрежата, информационен център, краен потребител на IT, пренасяне на свързани услуги.

Поради факта, че клиентите на износителите на данни често използват банковите услуги на „Ситибанк” в цял свят, това поражда необходимостта да се установи точка на позоваване на клиент (за целите на наблюдаване на риска, пране на пари или проверка на наложени санкции). С цел по-голяма гъвкавост, данните се копират, в случай, че някое местонахождение стане неналично. По този начин се създават условия за уведомяване на клиента по въпроси, които могат да засегнат способността му за достъп до услугите на „Ситибанк” или да се позволи на клиента достъп до сметките в други юрисдикции.

По отношение на Договора за възлагане на съответната услуга от ”Ситибанк Н.А. – Клон София”, Република България на „Уипро Лимитид”, Република Индия: приложени са следните документи: 1. Копие на Рамков договор за външни услуги от 01.12.2008г.; 2. Копие на Рамков договор за споразумение по предоставяне на професионални услуги от 27.07.2007г.; 3. Приложение към Рамков договор за външни услуги от 01.12.2008г.; 4. Допълнение 7 –Декларация за съответствие; 5. Допълнение „В” – Удостоверение за съответствие. В допълнение се твърди, че събирането и обработването на данни в регистър „Клиенти и персонал” се извършва съобразно изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане (по чл.4, ал.1, т.3 от ЗЗЛД). В тази връзка е отбелязано в цитирания по-горе регистър, че администраторът извършва обработването на данните без изричното съгласие на физическото лице.

По отношение конкретизирането на значението на израза „документ с образ”: следва да се има предвид „документ със снимка”.

Към искането е приложено второ пълномощно, с което управителите на клона – Б.С.Ж.-Н. и П.Н.Г. , упълномощават адвокат С.Т.М. с ЕГН: ********* да ги представлява пред КЗЛД, като извършва необходими и изискуеми правни и фактически действия във връзка с подаване на всякакви заявления за издаване на разрешения за предоставяне на лични данни от Клона като администратор на лични данни на чуждестранни физически и/или юридически лица, представителство в хода на производствата, както и да получава и подава всякакви документи в тази връзка и др.

С писмо рег. №2714/02.08.2011г. Комисията за защита на личните данни е изискала на основание чл.14, ал.3 от Административнопроцесуалния кодекс, в 7–дневен срок от получаване на писмото, да й бъдат представени в превод на български език следните документи: 1. Рамков договор за външни услуги от 01.12.2008г.; 2. Рамков договор за споразумение по предоставяне на професионални заслуги от 27.07.2007г.; 3. Приложение към Рамков договор за външни услуги от 01.12.2008г.; 4.Приложение 7 –Декларация за съответствие; 5. Приложение „В” – Удостоверение за съответствие.

В отговор, с второ писмо от 30.08.2011г., в Комисията е постъпила допълнителна информация, както следва:

Относно превода на български език на Генералното споразумение за аутсорсинг, в сила от 01.12.2008г.: Приложен е превод, който представлява съкратена версия на Генералното споразумение за аутсорсинг, като са подбрани разпоредбите имащи отношение към функциите и задълженията по този договор на „Уипро Лимитид”, Република Индия, както и разпоредбите отнасящи се за правата и задълженията на страните по споразумението. Твърди се, че пълната версия на този документ в по–голямата си част няма отношение към настоящото производство.

Относно превода на български език на Генералното споразумение за професионални услуги в сила от 27.07.2007г.: Преводът съдържа подбрани и правнорелевантни за настоящото производство пред КЗЛД разпоредби. Целта на превода е да позволи на Комисията да добие представа за функциите и задълженията на „Уипро Лимитид”, Република Индия, както и разпоредбите, отнасящи се за правата и задълженията на страните по споразумението.

Относно превода на български език на Приложение към Рамков договор за външни услуги от 01.12.2008г., на Приложение 7 –Декларация за съответствие и на Приложение „В”– Удостоверение за съответствие:са представени пълните преводи на оригиналните документи.

Предоставянето от ”Ситибанк Н.А. – клон София” на информация, съдържаща лични данни на физически лица, би представлявало ”Обработване на лични данни”, съгласно легалната дефиниция, посочена в параграф 1, т.1 от Допълнителните разпоредби на ЗЗЛД. Това е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване,предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване. В параграф 1, т.5 от Допълнителните разпоредби е разписана дефиниция относно предоставянето на лични данни. Това са действия по цялостното или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната и извън нея.

По отношение искането за трансфер на данни относно номера на лични кредитни карти следва да се има предвид, че става въпрос за платежен инструмент, който, съгласно чл.25, ал.3 от Наредба № 3 от 16 юли 2009г. за условията и реда за изпълнение на платежни операции и за използване на платежни инструменти, се използва само лично от оправомощения ползвател на платежни услуги. В указания 03-25009 на Българската народна банка – Номериране, дизайн, физически и технически спецификации на платежните карти – е посочено, че номерът на платежната карта, името на оправомощения ползвател и срока на валидност на картата задължително се записват върху лицевата страна на платежната карта (7.3). Поради това, че с изписването на номера на картата и името на картодържателя се постига еднозначна идентификация на оправомощения ползвател, информацията относно номера на дадена кредитна карта представлява лични данни от категорията икономическа идентичност. Евентуалното предоставяне на такива данни на трети лица не само представлява обработване на лични данни по смисъла на §1, т. 1 от Допълнителните разпоредби на Закона за защита на личните данни (ЗЗЛД), но би могло да застраши изпълнението на платежни операции чрез платежни карти. Предвид това предоставянето на информация относно номера на лични кредитни карти се явява прекомерно по отношение на целите, които си поставя “Ситибанк Н.А.-клон София” (клон на чуждестранен търговец) с искането за трансфер на данни, а именно: улесняване мониторинга и контрола на риска по баланса чрез принципа на разпределение; изготвяне на схеми за планирането на чуждестранни данъчни кредити; консолидиране на финансова информация за изготвяне на отчети; предоставяне на стратегическо решение; улавяне, проследяване и предотвратяване на инциденти, свързани със сигурността на информацията; сертифициране доставчици на продукти и услуги; проследяване и докладване относно рискови доставчици, рискове в държавите, финансови оценявания, условно планиране, анализи за съответствие с нормативните изисквания, договори, и разпределението на сигнали, относно доставчици и управлението на риска; проекти за управление, включително управление на работния процес, планиране на проекти, проследяване, часово планиране, докладване/отчитане. Изискванията за съотносимост и съразмерност на обработването на личните данни по отношение на целите, за които се обработват, е основен принцип в областта на защитата на личните данни, установен в чл.2, ал.2, т.3 от ЗЗЛД и КЗЛД е длъжна да следи за спазването му.

Съгласно представените: „Приложение 7 – Декларация за съответствие” и „Приложение „В” – Удостоверение за съответствие”, лицата, работещи за „Ситигруп” (вкл. за ”Ситибанк Н.А. – клон София” ) и за Доставчика на услуги – „Уипро Лимитид” сe задължават да спазват законовите и подзаконовите актове на всички държави, в които „Ситигруп” работи, както и корпоративните политики и процедури, като се задължават да не разкриват, изнасят, реекспортират или по друг начин да прехвърлят (пряко или непряко) продукти с контрол върху износа без предварително писмено разрешение от Министерството на търговията на САЩ или други компетентни агенции, както и да използват компютърния софтуер за други цели освен за вътрешна употреба на „Ситигруп”. Следва да се има предвид, че по отношение на личните данни на служителите на доставчика на услуги – „Уипро Лимитид”, те се уведомяват („Приложение „В” – Удостоверение за съответствие), за това, че „Ситигруп” поддържа компютърни системи в центрове за данни в различни страни по целия свят и че „Ситигруп” и неговите свързани предприятия, както и неговите подизпълнители, които имат право да събират, съхраняват, обработват, разпространяват или използват личните им данни, по начин, който включва прехвърлянето или достъпа до тях от компютърни системи, притежавани или управлявани от или от името на „Ситигруп” или неговите свързани предприятия чрез глобалната си компютърна мрежа. Служителите дават своето изрично съгласиев писмена форма за обработване на техните лични данни за всички цели, свързани с администрирането от страна на „Ситигруп” или свързани предприятия или администрирането от страна на подизпълнителите на „Ситигруп”.Що се отнася до личните данни на служителите на износителя на данни – “Ситибанк Н.А.-клон София” (клон на чуждестранен търговец), следва да се има предвид, чеза тази категория лица липсват доказателства към искането, че те са дали своето изрично съгласие за евентуално предоставяне на техни лични данни в трета държава. Съгласно „Приложение 7 – Декларация за съответствие”, както бе описано по-горе чрез нея служителите заявяват лоялността си към своя работодател чрез спазване на установените норми, правила и политика на „Ситигруп”, като декларират, че няма да извършват незаконосъобразни действия приобработване на лични данни.Съгласно предоставената допълнителна информация на КЗЛД от 18.07.2011г. се твърди, че събирането и обработването на данни в регистър „Клиенти и персонал” се извършва съобразно изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане, поради което администраторът на лични данни – ”Ситибанк Н.А. – клон София” извършва обработването без изричното съгласие на физическото лице. В тази връзка, съгласно §1, т.13 от допълнителните разпоредби на ЗЗЛД, "Съгласие на физическото лице" е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани. Съгласието следва да е налице по отношение на целите на обработване на данните в конкретния случай, получателите иликатегориите получатели, на които могат да бъдат разкрити данните; задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им. Във всички случаи на лицата следва да е предоставена информация за правото на достъп и правото на коригиране, заличаване или блокиране на събраните данни, както и правото на възражение срещу обработването на личните им данни, при наличие на законово основание за това.

Като приложение към стандартните договорни клаузи (Допълнение 2) е включено описание на техническите и организационните мерки за сигурност, прилагани от вносителя на данни. Вносителят на данни се ангажира да предприеме необходимите мерки за предотвратяване неоторизираното боравене с носители на данни, включително четене, копиране, изменение или изтриване на носителя на данни, използван от вносителяна данни и съдържащ лични данни на клиентите на износителя на данни, като в Допълнение 2 на споразумението са разписани подробно всички предприети от вносителя мерки по отношение на защитата на данните.

Съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета трансфер на лични данни в трети страни може да бъде осъществен, само ако въпросната трета държава предоставя адекватно ниво на защита на данните.

Предоставянето на лични данни от администратор, установен на територията на Република България към друг администратор на лични данни извън страната, се извършва по реда на Закона за защита на личните данни, като определящ критерий относно режима на трансфер на данни е държавата, в която ще бъдат предоставени данните.

Предоставянето на лични данни в трета държава се допуска, само ако тя осигурява адекватно ниво на защита на личните данни на своя територия. На основание чл.36а, ал.4, т.2 от ЗЗЛД Комисията за защита на личните данни не извършва преценка на адекватността на нивото на защита на личните данни в трета държава в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че определени стандартни договорни клаузи осигуряват адекватно ниво на защита. В конкретния случай износителят на данни ”Ситибанк Н.А. – клон София” (клон на чуждестранен търговец), Република България и вносителят на данните ”Уипро Лимитид”, Република Индия са използвали Решение 2010/87/ЕО от 5 февруари 2010 година относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета.

Предвид факта, че извършването на трансфера е в изпълнение на задължение по договор във връзка със стандартни договорни клаузи съгласно горепосоченото решение на Европейската комисия и на основание чл.36а, ал.4, т.2 във връзка с чл. 52, ал. 1 от Правилника за дейността на КЗЛД и на нейната администрация, Комисията за защита на личните данни,

1.Указва на администратора на лични данни ”Ситибанк Н.А. – клон София” (клон на чуждестранен търговец) при сключване с физическо лице (персонал, клиенти, търговци, бенефициери, директори на корпоративни клиенти, длъжностни лица и персонал) на договор, в изпълнение на чл.19, ал.1, т.3 и т.4, във връзка с чл.4, ал.1, т.3 от Закона за защита на личните данни да се включи отделна клауза за изрично съгласие на физическото лице неговите лични данни (в изчерпателно посочен обем) да бъдат разкрити на определените в искането за трансфер получатели или категории получатели, както и за доброволния характер на предоставянето им и за последиците от неговия отказ за предоставянето им.

2. Разрешава на администратора на лични данни ”Ситибанк Н.А. – клон София” (клон на чуждестранен търговец), Република България да предостави лични данни на следните категории физически лица от регистър „Клиенти и персонал”: клиенти, бенефициери по плащания (физически лица, които не са клиенти на „Ситибанк”, но които получават плащане от лице, имащо сметка в „Ситибанк”), персонал ( включително служители и персонал на временни и граждански договори) на корпоративни клиенти и персонал (включително служители и персонал на временни и граждански договори) на износителите на данни и други свързани лица на „Ситибанк”, които са потребители на системите,на дружество, установено на територията на трета държава – ”Уипро Лимитид” (Wipro Limited, Doddakannelli Sarjapur Road, Bangalore 560035, India), Република Индия, в качество му на доставчик на услуги и на обработващ данните, за целите на: улесняване мониторинга и контрола на риска по баланса чрез принципа на разпределение; изготвяне на схеми за планирането на чуждестранни данъчни кредити; консолидиране на финансова информация за изготвяне на отчети; предоставяне на стратегическо решение; улавяне, проследяване и предотвратяване на инциденти, свързани със сигурността на информацията; сертифициране доставчици на продукти и услуги; проследяване и докладване относно рискови доставчици, рискове в държавите, финансови оценявания, условно планиране, анализи за съответствие с нормативните изисквания, договори, и разпределението на сигнали, относно доставчици и управлението на риска; проекти за управление, включително управление на работния процес, планиране на проекти, проследяване, часово планиране, докладване/ отчитане, в следния обем:

2.1 Персонал: Име на персонала; служебен адрес на персонала; имейл – адрес на персонала; служебен телефонен номер на персонала; номер на регистрация на чужденец; друга идентификация; идентификация на банкова сметка; наименование на банковата сметка; номер на банкова сметка; вид на банковата сметка; номер на пейджър; сграда/етаж/район; наименование на търговската дейност; наименование на търговската дейност/ степен на образование; гражданство или националност; начална дата на договора; крайна дата на договора; тип на договора; номер на корпоративната кредитна карта, държава, дата на раждане, отдел, адрес на член на семейството/ бенефициер; дата на раждане на член на семейството/ бенефициер; пол на член на семейството/ бенефициер; семейно положение на член на семейството/ бенефициер; име на член на семейството/ бенефициер; взаимоотношения с член на семейството/ бенефициер; име на прекия ръководител/функции/отдел/телефон; държава на получаване на завършено образование; дата на издаване на удостоверение за завършено образование; индикатор за завършено образование; име на учебното заведение; име, телефон и държава на местожителство на лице за връзка в случай на аварии; категория персонал/ локална оценка; класификация на персонал; състояние на договорите с персонала; дата на назначаване на персонала; имейл–адрес на персонала; идентификация на персонала; номер на личен мобилен телефон на персонала; досие на персонала; статус на персонала; вид на персонала, служебен адрес на персонала; служебен телефонен номер на персонала; служебен телефонен номер на персонала или телефонен номер на клиент; индикатор за служител/ неслужител; идентификация на отговорното за персонала лице/ глобален идентификационен номер; крайна дата на трудовото правоотношение; статус на трудовото правоотношение; Програма за често пътуващи лица или номер на сметка на програма за често пътуващи лица и търговеца-свързано лице; пол; глобален идентификационен номер на персонала; дата на въвеждане на оценката; отговорно лице – Човешки ресурси; статус на служител човешки ресурси; документ с образ – подпис на одобряващото лице, име и длъжност; документ с образ- номер на корпоративна кредитна карта; документ с образ – извадка по корпоративна кредитна карта; документ с образ – подпис на персонала върху разписки/ квитанции; документ с образ – домашен адрес, ако е отпечатан върху фактура; документ с образ – извадка по лична кредитна карта; документ с образ – информация за съпруг/ семейство (ако пътуват заедно с лице от персонала); документ с образ – извадка по телефонен номер – личен и клиентски телефонен номер; трудови функции на длъжността; код на длъжността; дата на въвеждане на длъжността; наименование на длъжността; ниво на ръководителя; семейно положение, код на служебното лице; длъжност на служебното лице; номер на паспорт и/ или виза; схема на възнаграждение, личен имейл–адрес; място на раждане; първичен код за влизане в система; предишен работодател; държава по предходното трудово правоотношение; крайна дата на договора с предишен работодател; дата на договора с предишния работодател; рейтинг; идентификация за система за проследяване на информация за ресурси; номер на партида за социално осигуряване или еквивалентен идентификационен данъчен номер; потребителско име за активната директория на служителя; източник, снимка на персонала; имейл–адрес на надзорника; идентификация на потребител.

2.2Клиенти: Име, данни за контакт (адрес/телефонен номер/имейл адрес), регулаторни идентификатори (например – код за данъчна регистрация), информация за сметки (номер на сметка, баланс по сметка), данни за сделки и клонове, данни, свързани с "Опознай клиента", форми за откриване на сметки, снимки, други данни за идентификация и проверка, която се съдържа в образи на лични карти, паспорти и други удостоверяващи самоличността документи, образци от подписи на клиенти.

2.3 Бенефициери:Име на сметка, номер на сметка, данни за сделка, описание на вземането.

2.4 Търговци: Наименование на търговец, адрес на търговец, Име на лице за контакти на търговеца, телефон на лицето за контакти на търговеца, адрес на лицето за контакти на търговеца, имейл адрес на лицето за контакти на търговеца, Наименование на дружеството – майка на търговеца, отчети, относно задълженията на търговеца, доставки на адрес, данни по фактури, код за данъчна регистрация.

2.5 Директорите на корпоративни клиенти, длъжностни лица и персонал:Име; данни за контакти; разрешения за достъп до системи; форми за откриване на сметки във връзка с "Опознай клиента"; други данни за идентификация и проверка, съдържащи се в документи с образи: лични карти, паспорти и други документи; образци от подписи на клиенти.

3. Не разрешава на администратора на лични данни ”Ситибанк Н.А. – клон София” (клон на чуждестранен търговец), Република България да предостави информация относно „документ с образ – номер на лична кредитна карта” на физически лица – служители (персонал на износителя на данни) от регистър „Клиенти и персонал” на дружество на територията на трета държава – ”Уипро Лимитид”, Република Индия.

Решението на Комисията може да се обжалва пред Административен съд – гр. София в 14 (четиринадесет) дневен срок от получаването му.