Решение по искане с вх. № 7937/ 26.05.2010г.

РЕШЕНИЕ

№ 7937/2010 г.

гр. София, 07.10.2010 г.

Комисията за защита на личните данни (КЗЛД), в състав: председател Венета Шопова и членове : Валентин Енев, Мария Матева и Веселин Целков, на редовно заседание, проведено на 29.09.2010 год. (Протокол № 33),разгледа искане с вх. № 7937/26.05.2010г. от “Мерк Шарп и Доум България” ЕООД за получаване на разрешение за трансфер на лични данни към дружество „Мерк и Ко Инк.” в САЩ на основание чл. 36а, ал. 4, т.1 от Закона за защита на личните данни (ЗЗЛД).

В Комисията за защита на личните данни е постъпило искане с вх. №7937/ 26.05.2010г. от “Мерк Шарп и Доум България” ЕООД за издаване на разрешение за трансфер на данни на основание чл. 36а, ал. 4, т.1 от Закона за защита на личните данни (ЗЗЛД). Искането е подадено чрез адв. П.Б. – пълномощник на управителя на “Мерк Шарп и Доум България” ЕООД. Приложено е пълномощно от В.М.М.К.В. – управител на дружеството, от което става видно, че лицето, подало искането за трансфер на данни, е упълномощено да представлява дружеството пред Комисията за защита на личните данни във връзка с конкретното искане за трансфер.

Съгласно представената информация в искането за издаване на разрешение за трансфер на лични данни, Дружество “Мерк Шарп и Доум България” ЕООД (дружеството) е част от мултинационалната корпоративна група на Мерк и Ко Инк. (Merck&Co., Inc), регистрирано в САЩ. Дружествата в групата извършват дейности в областта на фармацевтичната промишленост и търговията с лекарствени продукти. Дружеството е вписано в Търговския регистър при Агенцията по вписванията с ЕИК 175106004 с предмет на дейност : търговско представителство на вътрешните и международни пазари, проучвания на пазара и на общественото мнение, промоционални услуги (реклама и промотиция), покупка и продажба на фармацевтични продукти, бизнес и управленски консултантски услуги, обработка на данни, организиране на семинари и конференции в областта на медицината и фармакологията, услуги, свързани с недвижими имоти, отдаване под наем на автомобили, отдаване под наем на офис машини и оборудване, включително на компютри, изследвания и експериментално развитие на фармацията – предоставяне на услуги, свързани с организиране, контрол и управление на клинични изпитвания, получаване на разрешения за продажба на фармацевтични продукти, регулаторни и управленски услуги, свързани с фармацевтични продукти, докладване за инциденти, изследване на влиянието на фармацевтичните продукти върху човешкото здраве и изтегляне на продукти от пазара, всякакви други дейности, незабранени от българските закони.

Видно от молбата за трансфер, в рамките на корпоративната група на дружеството предстои въвеждане на глобална автоматизирана информационна система. Цел на тази система е оптимизация на процесите по администриране и управление на професионалните отношения между дружествата от групата и съответните медицински специалисти от същата или от други държави. Въвеждането на глобалната система ще позволява идентифициране на тези медицински специалисти, които поради заеманата позиция в определени държавни органи или поради притежаваните от тях правомощия за сключване на договори за доставка на лекарствени продукти, за тяхното включване или изключване от позитивни, реимбурсни и други списъци, биха могли да се квалифицират като „чуждестранни правителствени служители” по смисъла на Закона за чуждестранните корупционни практики на САЩ. Законът за чуждестранните корупционни практики на САЩ регламентира стриктно възможностите за установяване на контакти с лица, които биха могли да се квалифицират като „чуждестранни правителствени служители", като урежда допустимия вид и съдържание на тези контакти. С цел предотвратяване на възможни корупционни практики, споменатият закон забранява на американски компании или техни дъщерни дружества, независимо от юрисдикцията, в която са учредени, да предоставят облаги под каквато и да е форма на „чуждестранни правителствени служители".

Поради спецификите на дейността си, дружеството и останалите компании от корпоративната му група често провеждат разпични програми, инициативи и мероприятия, целящи популяризиране на техните продукти. В някои случаи те биха могли да са свързани с определени облаги за поканените участници, като например осигуряване на безплатно участие в международни симпозиуми, покриване на част от разходите, свързани тяхното участие и др. Предоставянето на такива облаги на медицински специалисти, които поради изпълняваните от тях функции и предоставените им правомощия се квалифицират като „чуждестранни правителствени служители", представлява нарушение на Закона за чуждестранните корупционни практики на САЩ. За съобразяване с неговите изисквания и забрани е необходимо във всеки отделен случай, в който дружеството или друга компания от групата му установява професионален контакт с медицински специалист, да се преценява дали този специалист би могъл да се квалифицира като „чуждестранен правителствен служител". Преценката ще се извършва въз основа на информацията за съответния медицински специалист, която дружеството ще събира пряко от него или от публично достъпни източници и ще въвежда в глобалната информационна система, чието внедряване предстои. На практика системата ще позволява автоматизирана проверка на статута на даден медицински специалист като „чуждестранен правителствен служител" и съответно правилното планиране на неговото възможно включване в подходящи за целта инициативи, мероприятия и събития, провеждани от дружеството.

От техническа гледна точка, функционирането на глобалната информационна система ще включва записване и съхраняване на събраните от дружеството лични данни за български медицински специалисти на общ сървър, находящ се в САЩ под контрола на компанията-майка „Мерк и Ко Инк”. Въвеждането на данните в системата ще се извършва от служители на дружеството, назначени като медицински представители, които в това си качество осъществяват и поддържат текущи контакти с медицинските специалисти, от името на дружеството. За целта ще се използва специално разработен модул, осигуряващ подходящ потребителски интерфейс за въвеждане и коригиране на лични данни в глобалната система.

С писмо рег. №. 7937/28.06.2010г. Комисията за защита на личните данни е изискала допълнителна информация относно обема и вида лични данни, обработвани от дружеството, които ще бъдат предмет на конкретния трансфер, конкретните получатели на трансферираните лични данни и техните права и задължения във връзка с обработването на личните данни, както и по-подробна информация относно целите на предстоящото предоставяне на лични данни в чужбина. Поискана е също така и вътрешна инструкция И-1/01092009г., цитирана в искането за трансфер на данни.

В изпълнение на указанията на КЗЛД с писмо вх. № 7937 от 23.07.2010г. в Комисията е постъпила допълнителна информация от дружество „Мерк Шарп и Доум България" ЕООД, както следва:

1. Относно обема и вида на личните данни, които ще бъдат предмет на конкретния трансфер е указано, че това са лични данни, отнасящи се за медицински специалисти, с които Дружеството поддържа професионални контакти, а именно:

• име, служебен адрес (включително месторабота);

• служебен телефон/факс/е-mail;

• професионални квалификации (специалност); и

• заемани административни позиции в болнични заведения (напр. завеждащ отделение, директор на болница и др.)

• паспортни данни;

• единен граждански номер;

• професионални препоръки, публикации, патенти и други научни и медицински постижения;

• дата на раждане или възраст;

• свързаност с организации и институции (по линия на заемани позиции);

• програми и дейности, в които са участвали, участват или ще участват медицинските специалисти;

• информация за предписване на продукти;

• споразумения, които медицинските специалисти са сключили с Дружеството;

• информация, свързана с плащания;

• информация за научни и медицински колеги и ръководители в съответната специалност.

Срокът на съхранение на въвежданите в глобалната система данни за български медицински специалисти зависи от времето (срока), в което дружеството поддържа активен контакт и отношения със съответния специалист.

2. Относно получателите на трансферираните лични данни и техни права и задължения във връзка с обработването на лични данни е посочено, че конкретният получател на подлежащите на трансфер лични данни, ще бъде дружеството „Мерк и Ко Инк.” (Merck & Co., Inc.), което е регистрирано в САЩ, с адрес на управление NewJersey – 08889, OneMerckDrive, WhitehouseStation. Указано е, че„Мерк и Ко Инк.” е в отношения на корпоративна свързаност с Дружество “Мерк Шарп и Доум България”, тъй като индиректно, чрез „Мерк, Шарп и Доум" Б.В., Холандия, притежава 100% от капитала на дружеството и на практика го контролира.

С писмото се посочва, че Дружеството използва стандартни документи в отношенията си с медицинските специалисти, като формуляр за съгласие и уведомление за поверителност. В тези документи компанията-майка „Мерк и Ко Инк.”, САЩ е посочена изрично като възможен получател на техните лични данни. На практика, подписвайки тези документи, медицинските специалисти дават изричното си съгласие личните им данни да бъдат предоставяни на “Мерк и Ко Инк.”, САЩ.

3. Относно целите на предстоящото предоставяне на лични данни

Като цел на искания трансфер дружеството посочва предстоящото въвеждане на глобалната автоматизирана информационна система за администриране и управление на професионалните отношения между дружествата от корпоративната група на „Мерк и Ко Инк.” и съответните медицински специалисти, с които те поддържат професионални контакти. За въвеждането и функционирането на такова интегрирано информационно решение е необходимо дъщерните дружества на “Мерк и Ко Инк.”,и в частност българското дружество „Мерк Шарп и Доум България" ЕООД, да въведат личните данни на медицински специалисти, с които разполагат, като ги запишат на един общ сървър, намиращ се в САЩ. Сървърът, на който ще бъдат записани и съхранявани личните данни, ще е под контрола на “Мерк и Ко Инк.”, което ще внедри и поддържа въпросната глобална автоматизирана информационна система.

Указано е, че с трансфера на лични данни за медицински специалисти, с които дружеството се намира в професионални отношения, ще се позволи много по-ефективното планиране и управление на отношенията между Дружеството и специалистите, като се избягва включването им в такива инициативи и мероприятия, които са свързани с предоставянето на каквато и да е облага, независимо от нейната форма и размер, в съответствие с изискванията на Закона за чуждестранните корупционни практики на САЩ.

Видно от преписката, дружеството събира личниданни за медицински специалисти, с които влиза в професионални отношения, с тяхното изрично съгласие. За целта дружеството използва посочените по-горе два документа (приложени към искането за трансфер на лични данни) – формуляр за съгласие и уведомление за поверителност.

С писмо рег. № 7937/27.09.2010г. пълномощникът на управителя на дружеството адв. Петър Боюклиев е представил актуализирани бланки на формуляра за съгласие и уведомлението за поверителност. Формулярът за съгласие (уведомлението за поверителност представлява негова неразделна част) се подписва от сътветните физически лица, които по този начин заявяват информираното си писмено съгласие за обработване на техни лични данни. В двата документа се съдържа и информация относно целите на обработване на лични данни, обема на лични данни, за които се изразява съгласие за обработване, получателите на тези данни, както и съгласие за възможното им предоставяне в друга държава, вкл. предоставяне в САЩ на компанията-майка. При анализ на приложените документи се установява, че обемът от лични данни-предмет на искането за трансфер, съвпада с описания във формуляра за съгласие, който се подписва от съответните медицински специалисти.

За защита на данните, които дружеството възнамерява да въвежда в глобалната информационна система, ще се прилагат подходящи технически и технологични мерки. Те включват задължително използване на потребителски имена и пароли за достъп, поддържане на защитен софтуер, регистриращ и предотвратяващ опити за неоторизиран достъп до базата данни, оборудване за предотвратяване на хакерски атаки и др. Видно от предоставената в изпълнение на указанията на КЗЛД Инструкция И-1/01092009г., не по-рядко от веднъж на месец да се провежда редовна профилактика на компютърните и комуникационните средства, включваща, но не ограничена до проверка за:

• вируси;

• нелегално инсталиран или неоторизиран от дружествотософтуер;

• целостта на базата данни;

• архивиране на данни;

• актуализиране на системната информация и др.

Изчерпателно са предвидени мерки за защита на данните за третите нива на защита-начално, средно и високо. Разписани са задълженията на обработващите лични данни. Съгласно Инструкцията, Група Мерк прилага и корпоративни документи в областта на защитата на личните данни, а именно : Глобална политика за неприкосновеност и защита на личните данни, Насоки за специалистите от „Човешки ресурси", Насоки за неприкосновеност на данните за маркетингови цели на Мерк, Глобална интернет политика за неприкосновеност на личните данни (IPP) на Мерк, Политика за неприкосновеност на лични данни от зоните за безопасност на Мерк.

Предмет на защита, съгласно Инструкцията, са личните данни на служителите, потенциалните служители, временно заетите, клиентите и други лица, с които дружеството поддържа отношения. Документът се състои от пет части: (А) служители и временно заети; (Б) професионалисти от сектора на здравеопазването; (В) представители и доставчици; (Г) регистриране на бази данни и (Д) проверка на опазването на корпоративните данни.

В самата инструкция също е предвидено изискване медицинските специалисти, с които дружеството поддържа професионални отношения (например научни лекции, участие в консултативен съвет), да дадат съгласието си за събирането и използването на личните им данни. Това става чрез връчването им и подписването от тях на описаните по-горе формуляри за съгласие и уведломление за поверителност.

Извършена бе служебна справка, от която се установи, че към настоящия момент получателят на данните „Мерк и Ко Инк.”, САЩ е включен в списъка на Сейф Харбър (Safe Harbour). В последния се включват дружества, които декларират пред Департамента по търговия на САЩ, че ще се придържат към така наречената Сейф Харбър рамка, създадена от Департамента по търговия в сътрудничество с Европейската комисия. Рамката съдържа насоки към дружествата, регистрирани в САЩ, за предоставяне на адекватно ниво на защита на личните данни, прехвърляни от страни – членки на Европейския съюз към тях.

Дружеството „Мерк Шарп и Доум България" ЕООД” е регистрирано в регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД с идентификационен номер 249044. Дружеството е заявило поддържането на два регистъра – „Настоятелство и работещи по граждански и трудови договори” и „Клиенти”. И по отношение на двата регистъра е заявено възможно предоставяне на лични данни в трета страна – САЩ. В конкретния случай, съгласно писмо с вх. № 7937/27.09.2010 г., се касае за искане за разрешаване на трансфер на лични данни, които дружеството обработва в рамките на регистър „Клиенти”.

Съгласно Директива № 95/46/EО на Европейския парламент и на Съвета, трансфер на лични данни в трети страни може да бъде осъществен, само ако въпросната трета държава предоставя адекватно ниво на защита на данните.

Предоставянето на лични данни от администратор, установен на територията на Република България към друг администратор на лични данни извън страната, се извършва по реда на Закона за защита на личните данни, като определящ критерий относно режима на трансфер на данни е държавата, в която ще бъдат предоставени данните.

Предоставяне на лични данни в трета държава се допуска само, ако тя осигурява адекватно ниво на защита на личните данни на своя територия.

Предвид факта, че получателят на данните „Мерк и Ко Инк.”, САЩ е в списъка по Сейф Харбър и при отчитане на решение на Европейската комисия 2000/520 относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот” и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ, в конкретния случай са изпълнени условията за адекватно ниво на защита в третата страна. На основание чл. 36а, ал. 4, т. 1 от ЗЗЛД, КЗЛД не извършва преценка по ал. 3 в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита.

Във връзка с горното и на основание чл. 36а, ал. 4, т.1 от Закона за защита на личните данни във връзка с чл. 52, ал. 1 от Правилника за дейността на КЗЛД и на нейната администрация, Комисията за защита на личните данни

РЕШИ:

Разрешава на „Мерк Шарп и Доум България" ЕООД да предостави лични данни на физически лица-медицински специалисти, с които се намира в професионални отношения, на дружество на територията на трета страна – „Мерк и Ко Инк.”, САЩ, за целите на глобалната автоматизирана информационна система за администриране и управление на професионалните отношения между дружествата от корпоративната група на „Мерк и Ко Инк.”и съответните медицински специалисти,в следния обем:

• име,

• служебен адрес (включително месторабота);