Решение по искане с вх. № 3653/ 22.08.2011г.

ОТНОСНО: Искане с рег. №3653/22.08.2011г. от “КУИНТАЙЛС БЪЛГАРИЯ” ЕООД, собственост на дружество с ограничена отговорност “КУИНТАЙЛС ГмбХ” („QUINTILES GmbH”), Република Австрия за получаване на разрешение на основание чл. 36а, ал. 4, т.2 от Закона за защита на личните данни (ЗЗЛД) за трансфер на лични данни към мултинационалната корпоративна група“КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН”(“QUINTILES TRANSNATIONAL CORP.”), САЩ

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове Красимир Димитров и Веселин Целков, на редовно заседание, проведено на 12.10.2011г. (Протокол № 42), разгледа искане с рег. №3653/22.08.2011г. от “КУИНТАЙЛС БЪЛГАРИЯ” ЕООД, собственост на дружество с ограничена отговорност “КУИНТАЙЛС ГмбХ” („QUINTILES GmbH”), Република Австрия за издаване на разрешение за трансфер на данни в трета държава на основание чл. 36а, ал. 4, т.2 от Закона за защита на личните данни (ЗЗЛД). Искането е подадено чрез електронната система еRALD от управителя на дружеството – г-жа Йорданка Петрова Николова. Поради факта, че искането не е подписано с електронен подпис съгласно изискванията на Закона за електронния документ и електронния подпис, КЗЛД на основание чл.29 във връзка с чл.30, ал.2 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация с писмо от 29.08.2011г. е изискала от управителя на дружеството да потвърди искането за трансфер на данни в трета държава. С писмо от 02.09.2011г. молбата за трансфер на данни е потвърдена от адв. В.Х.Л. – пълномощник на управителя на “КУИНТАЙЛС БЪЛГАРИЯ” ЕООД. Приложено е пълномощно от 11.08.2011г., от което става видно, че лицето, потвърдило искането за трансфер на данни, е упълномощено да представлява дружеството пред Комисията за защита на личните данни, във връзка с конкретното искане за трансфер.

Съгласно представената информация в искането за издаване на разрешение за трансфер на лични данни, “КУИНТАЙЛС БЪЛГАРИЯ” ЕООД е собственост на дружеството с ограничена отговорност “КУИНТАЙЛС ГмбХ” („QUINTILES GmbH”), регистрирано в Република Австрия, което е част от мултинационалната корпоративна група “КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН”(“QUINTILES TRANSNATIONAL CORP.”), регистрирана в САЩ. Корпоративната група използва търговско наименование „КУИНТАЙЛС” („Quintiles”). Основната дейност на дружествата и филиалите от корпоративната група „КУИНТАЙЛС” е предоставяне на услуги, свързани с износ на производство на фармацевтичната и биотехнологичната промишленост и производителите на медицинско оборудване.

Съгласно искането получател на данните ще бъде: мултинационалната корпоративна група “КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН” (“QUINTILES TRANSNATIONAL CORP.”) в САЩ.

Категориите данни, чийто трансфер се иска включват:

Имена, единен граждански номер, адрес; телефони; месторождение; данни по лична карта; семейно положение, родствени връзки; образование; трудова дейност.

Целите, за които личните данни на служители ще бъдат предоставяни са:

-Управление и администриране на персонала (включително и при наемане на работа), в това число създаване на база данни и отчети, относно възнагражденията, заплащани на служителите, за да се управляват и следят тези възнаграждения;

-Създаване на база данни и отчети, относно служителите, за да се определят кои лица са най-квалифицирани, за да се предоставят различни услуги на клиентите на корпоративната група „КУИНТАЙЛС” или за да се предоставят различни услуги между дружествата от корпоративната група.

– Организиране на обучения, програми и проекти за поддържане и повишаване на професионалната квалификация и осигуряване на условия и възможност на служителите да участват в тях с цел ефективно изпълнение на задълженията им по трудовото правоотношение;

– Спазване на приложимите процедури, закони и подзаконови нормативни актове, които изискват събиране и съхраняване на лични данни.

При анализа на изложеното в искането, както и приложените към него документи, се установи следното:

“КУИНТАЙЛС БЪЛГАРИЯ” ЕООД e собственост на дружество с ограничена отговорност “КУИНТАЙЛС ГмбХ” („QUINTILES GmbH”), което е вписано във Фирмения регистър при Търговски съд в гр.Виена, Австрия с рег.№FN 143418i. “КУИНТАЙЛС БЪЛГАРИЯ” ЕООД е вписано в Търговския регистър при Агенцията по вписванията с ЕИК: 201409183 , със седалище и адрес на управление: гр. София, общ. Столична, район “Възраждане”, бул. “Александър Стамболийски” №103, ет. 7 и предмет на дейност: Организация и координация на съществуващите дейности относно клинични изпитвания (без същинско извършване на клинични изпитвания); събиране и обработване на информация от клинични изпитвания; консултантски, информационни и маркетингови услуги в областта на фармацията и медицината, както и всяка друга дейност незабранена от закона и съвместима с основния предмет на дейност на дружеството.

Предоставянето на данни от износителя на данни-дружество с ограничена отговорност “КУИНТАЙЛС ГмбХ” („QUINTILES GmbH”), Република Австрия към вносителя на данни-мултинационалната корпоративна група “КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН” (“QUINTILES TRANSNATIONAL CORP.”), САЩ се осъществява съгласно „Договор за прехвърляне на данни” сключен на 30.10.2003г., в който са използвани общите договорни клаузи съгласно Решение на Европейската комисия №2001/497/ЕО от 15.06.2001г., относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО.

Договорът е структуриран, както следва:

Клаузи 1-11: определят обхвата на приложение на стандартните договорни клаузи при предоставяне на данни от “КУИНТАЙЛС ГмбХ”, Република Австрия към дружеството–майка “КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН”, САЩ: Определения на основните термини; Подробности при прехвърлянето; Клауза за трета страна -бенефициент; Задължения на износителя на данни; Задължения на вносителя на данни; Отговорност; Медиация и подсъдност; Сътрудничество с надзорни органи; Прекратяване действието на клаузите; Приложимо право-правото на държавата, в която е регистриран износителят на данни; Изменения на договора.

Приложение №1: Съдържа стандартните договорни клаузи за прехвърляне на лични данни от износителя на данни към вносителя на данни:

Действията на износителя на данни във връзка с прехвърлянето са, както следва: събиране на данни на служители, директори, консултанти, контрагенти, управители и пълномощници на износителя на данни и неговите филиали и дружества-сестри и изпращането им на вносителя на данни.

Действията на вносителя на данни във връзка с прехвърлянето са, както следва: получаване на данни за служители, директори, консултанти, контрагенти, управители и пълномощници на износителя на данни и неговите филиали и дружества-сестри от износителя на данни; поддръжкаи употреба на данните за регламентираните в договора цели.

Цели на прехвърлянето: Създаване на база данни и доклади, относно обезщетения и бонуси, предоставени на служители, директори, консултанти, контрагенти, управители и пълномощници на износителя на данни и неговите филиали или дружества-сестри с цел управляване и проследяване на тези обезщетения и бонуси; създаване на база данни и доклади, относно служители, директори, консултанти, контрагенти, управители и пълномощници на износителя на данни и неговите филиали и дружества-сестри, за да се определи кои лица, сред различните филиали на „КУИНТАЙЛС”, притежават най-подходяща квалификация да предоставят различни услуги на клиенти на корпоративната група или да предоставят различни вътрешни услуги сред филиалите на „КУИНТАЙЛС”, спазване на приложимите процедури, закони и нормативни разпоредби, които изискват събиране и поддръжка на такива данни.

Категории данни, които ще се прехвърлят:

За служители, директори, консултанти, контрагенти, управители и пълномощници на износителя на данни и неговите филиали и дружества-сестри: елементи от данните на дружеството и данни, свързани с работните позиции; данни, относно обезщетения и бонуси; данни, отнасящи се до техния опит и квалификация; данни, относно обучение и квалификация; информация за контакт; данни, относно лични характеристики, които „КУИНТАЙЛС” е задължена по закон или правилник да събира. В категорията на чувствителните данни са данните за лица на издръжка.

Категории получатели на данните:

-Служители, директори, пълномощници, контрагенти и консултанти на вносителя на данни или на износителя на данни и техните филиали или дружества-сестри, които трябва да познават информацията, съобразно конкретните цели;

– Държавни или регулаторни органи и лица, свързани с такива държавни или регулаторни органи, съобразно конкретните цели.

Приложение № 2 и Приложение № 3: Регламентират задължителните принципи за защита на данните съгласно Директива 95/46/ЕО: 1.Ограничение на целта; 2. Данни, качество и пропорционалност; 3. Прозрачност; 4. Сигурност и поверителност; 5. Права за достъп, корекция, заличаване и блокиране на данни; 6. Ограничения върху последващи прехвърляния; 7. Специални категории данни; 8. Директен маркетинг; 9. Автоматизирани индивидуални решения.

В т.4 „Сигурност и поверителност” от Приложение № 2 е регламентирано, че контролиращият данните орган трябва да вземе мерки за техническа и организационна сигурност, които съответстват на рисковете при обработката, като например –неразрешен достъп. Всяко лице, действащо под правомощията на контролиращия данните орган, включително обработващ данните орган, не трябва да обработва данните, освен по нареждане от страна на контролиращия орган.

При извършената служебна справка в Регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД, се установи, че дружеството е подало заявление за регистрация с вх.№1320561/12.08.2011г. и е вписано като администратор на лични данни с идентификационен номер 318398.„КУИНТАЙЛС БЪЛГАРИЯ” ЕООД е заявило поддържането на 3 броя регистри, като предметът на настоящото искане се отнася до регистър „Служители”.

Трансферът на данни ще бъде осъществен от „КУИНТАЙЛС БЪЛГАРИЯ” ЕООДкъмдружеството-майка „КУИНТАЙЛС” в САЩ чрез дружеството-собственик “КУИНТАЙЛС ГмбХ”, Република Австрия.Целите на прехвърлянето на данни между тях са регламентирани в Приложение №1 към Договор за прехвърляне на данни от 30.10.2003г. Съгласно чл.36а, ал.1 от Закона за защита на личните данни, предоставянето на лични данни в държава-членка на Европейския съюз, каквато в случая е Република Австрия, се извършва свободно.

Трансферът на данни засяга информацията, поддържана в регистър „Служители”, обявен пред Комисията за защита на личните данни с вписването на дружеството като Администратор на лични данни, като е заявено възможно предоставяне на данни в САЩ. При извършена служебна справка се установи, че посочените в регистъра лични данни, съвпадат със заявените за трансфер, а именно: Имена, единен граждански номер, адрес; телефони; месторождение; данни по лична карта; семейно положение, родствени връзки; образование; трудова дейност.

Служителите, чиито данни са предмет на заявения трансфер са уведомени, относно целта на обработване на личните им данни; средствата, чрез които се извършва обработването; кои са категориите получатели на техните данни; правото им на достъп и поправка на техните данни; предоставяне на данните до дружеството–собственик “КУИНТАЙЛС ГмбХ”, Република Австрия и до дружеството–майка “КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН”, САЩ. Уведомяването на служителите се осъществява чрез уведомление – образец, което всеки служител на „КУИНТАЙЛС”-клон България, се запознава, попълва своите лични данни и изразява съгласието си чрез полагане на подпис. Образецът на уведомлението е приложен към искането за трансфер на данни.

Следва да има предвид, че в искането за трансфер на данни е упоменато, че получателят на данни дружеството–майка “КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН”, САЩ с търговско наименование „КУИНТАЙЛС” („Quintiles”) е в списъка на Сейф Харбър (Safe Harbor) към Департамента по търговия на САЩ. По този въпрос, КЗЛД вече е изследвала идентичността на имената по повод друго искане за трансфер с рег.№9448/12.08.2010г. от „КУИНТАЙЛС” – клон България и се е произнесла с Решение №9448/25.01.2011г.

Предоставянето на лични данни от администратор, установен на територията на Република България към друг администратор на лични данни извън страната, се извършва по реда на Закона за защита на личните данни, като определящ критерий относно режима на трансфер на данни е държавата, в която ще бъдат предоставени данните. Съгласно Директива № 95/46/EО на Европейския парламент и на Съвета, трансфер на лични данни в трети страни може да бъде осъществен, само ако въпросната трета държава предоставя адекватно ниво на защита на данните.

Извършена бе служебна справка, от която се установи, че към настоящия момент получателят на данните „КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН” (търговско наименование „КУИНТАЙЛС” ) със седалище в САЩ е включен в списъка на Сейф Харбар(Safe Harbour). В последния се включват дружества, които декларират предДепартамента по търговия на САЩ, че ще се придържат към решение на Европейската комисия №2000/520/ЕО от 26.07.2000г. съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот” и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ. В същото време за трансфера на данни към САЩ са използвани и общите договорни клаузи съгласно Решение на Европейската комисия №2001/497/ЕО от 15.06.2001г., относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО. На основание чл. 36а, ал. 4, т. 1 и т. 2 от ЗЗЛД, КЗЛД не извършва преценка по ал. 3 в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита, както и когато определени стандартни договорни клаузи осигуряват адекватно ниво на защита. В конкретния случай са изпълнени условията за адекватно ниво на защита в третата страна. В допълнение, по отношение на предоставянето на данните, е налице изрично информирано съгласие от страна на физическите лица-служители, чиито данни ще бъдат предмет на трансфер. Наличието на съгласие е самостоятелно основание за разрешаване на трансфера, съгласно чл.36а, ал.6, т.1 от ЗЗЛД.

Във връзка с горното и на основание с чл. 36а, ал. 4, т.1 и т.2, и на чл.36а, ал.6, т.1 от Закона за защита на личните данни във връзка с чл. 52, ал. 1 от Правилника за дейността на КЗЛД и на нейната администрация, Комисията за защита на личните данни,

Решението на Комисията може да се обжалва пред Административен съд – гр. София в 14 (четиринадесет) дневен срок от получаването му.