Решение по искане с вх. № 9448/ 12.08.2010 г.

Комисията за защита на личните данни (КЗЛД), в състав: председател Венета Шопова и членове : Красимир Димитров, Валентин Енев и Мария Матева, на редовно заседание, проведено на 13.01.2011 год. (Протокол № 1), разгледа искане, рег. № 9448/12.08.2010г. от “КУИНТАЙЛС”- клон България, собственостна дружество с ограничена отговорност “КУИНТАЙЛС ГмбХ” („QUINTILESGmbH”), Република Австрия за получаване на разрешение на основание чл. 36а, ал. 4, т.1 от Закона за защита на личните данни (ЗЗЛД) за трансфер на личниданникъм мултинационалната корпоративна група“КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН”(“QUINTILESTRANSNATIONALCORP.”), САЩ. Искането е подадено чрез адв. Г.Г. – пълномощник на представляващия “КУИНТАЙЛС”, клон България – д-р Я.Ф. Приложено е пълномощно от 19.11.2010г., от което става видно, че лицето, подало искането за трансфер на данни, е упълномощено да представлява дружеството пред Комисията за защита на личните данни, във връзка с конкретното искане за трансфер.

Съгласно представената информация в искането за издаване на разрешение за трансфер на лични данни, “КУИНТАЙЛС”-клон България е собственост на дружеството с ограничена отговорност “КУИНТАЙЛС ГмбХ” („QUINTILESGmbH”), което е вписано във Фирмения регистър при Търговски съд в гр.Виена, Австрия с рег.№ FN 143418i и е част от мултинационалната корпоративна група “КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН”(“QUINTILESTRANSNATIONALCORP.”), регистрирана в САЩ. Корпоративната група използва търговско наименование „КУИНТАЙЛС” („Quintiles”). Основната дейност на дружествата и филиалите от корпоративната група „КУИНТАЙЛС” е предоставяне на услуги, свързани с износ на производство на фармацевтичната и биотехнологичната промишленост и производителите на медицинско оборудване. “КУИНТАЙЛС”-клон България е вписан в Търговския регистър при Агенцията по вписванията с ЕИК175281861, със седалище и адрес на управление: гр. София, общ. Столична, район “Възраждане”, бул. “Александър Стамболийски” №103, ет. 7 и предмет на дейност: Организация и провеждане на клинични изследвания; клинични изследвания на лекарства и фармацевтика; включително представителство на дружеството пред публични и правителствени власти; натрупване и информация, получена по време на клиничните изследвания; консултантски, информационни и маркетингови услуги в областта на фармацията и медицината.

Съгласно искането получател на данните ще бъде: мултинационалната корпоративна група “КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН” в САЩ. Видно от предоставената информация, трансферът на данни засяга физически лица – служители на „КУИНТАЙЛС” – клон България. Предмет на трансфер ще бъдат следните категории лични данни: имена, единен граждански номер, адрес; телефони; месторождение; данни по лична карта; семейно положение, родствени връзки; образование; трудова дейност. Целите, за които личните данни на служители ще бъдат предоставяни, са: 1. Управление и администриране на персонала, в това число създаване на база данни и отчети, относно възнагражденията, заплащани на служителите, за да се управляват и следят тези възнаграждения; 2.Създаване на база данни и отчети, относно служителите, за да се определят кои лица са най-квалифицирани, за да се предоставят различни услуги на клиентите на корпоративната група „КУИНТАЙЛС” или за да се предоставят различни услуги между дружествата от корпоративната група; 3. Спазване на приложимите процедури, закони и подзаконови нормативни актове, които изискват събиране и съхраняване на лични данни.

Предоставянето на данни от дружеството с ограничена отговорност “КУИНТАЙЛС ГмбХ”, Република Австрия и неговите филиали към мултинационалната корпоративна група “КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН”, САЩ се осъществява съгласно „Договор за прехвърляне на данни”, сключен на 30.10.2003г., в който са използвани общите договорни клаузи съгласно Решение на Европейската комисия №2001/497/ЕО от 15.06.2001г., относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО.

В договора изрично е посочено, че вносителят и износителят на данни са филиали дружества, като дружеството-майка на всяко от тях е “КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН”, САЩ. В този смисъл за „КУИНТАЙЛС”-клон България, който е филиал на дружеството с ограничена отговорност “КУИНТАЙЛС ГмбХ”, Република Австрия, „Договорът за прехвърляне на данни” има задължителен характер.

Договорът е структуриран, както следва:

Клаузи 1-11: определят обхвата на приложение на стандартните договорни клаузи при предоставяне на данни: Определения на основните термини; Подробности при прехвърлянето; Клауза за трета страна -бенефициент; Задължения на износителя на данни; Задължения на вносителя на данни; Отговорност; Медиация и подсъдност; Сътрудничество с надзорни органи; Прекратяване действието на клаузите; Приложимо право-правото на държавата, в която е регистриран износителят на данни; Изменения на договора.

Приложение №1: Съдържа стандартните договорни клаузи за прехвърляне на лични данни от износителя на данни към вносителя на данни: 1. Действията на износителя на данни, във връзка с прехвърлянето са, както следва: събиране на данни на служители, директори, консултанти, контрагенти, управители и пълномощници на износителя на данни и неговите филиали и дружества-сестри и изпращането им на вносителя на данни; 2. Действията на вносителя на данни във връзка с прехвърлянето са,както следва: получаване на данни за служители, директори, консултанти, контрагенти, управители и пълномощници на износителя на данни и неговите филиали и дружества-сестри от износителя на данни; поддръжкаи употреба на данните за регламентираните в договора цели.

Цели на прехвърлянето:Създаване на база данни и доклади, относно обезщетения и бонуси, предоставени на служители, директори, консултанти, контрагенти, управители и пълномощници на износителя на данни и неговите филиали или дружества-сестри с цел управляване и проследяване на тези обезщетения и бонуси; създаване на база данни и доклади, относно служители, директори, консултанти, контрагенти, управители и пълномощници на износителя на данни и неговите филиали и дружества-сестри, за да се определи кои лица, сред различните филиали на „КУИНТАЙЛС”, притежават най-подходяща квалификация да предоставят различни услуги на клиенти на корпоративната група или да предоставят различни вътрешни услуги сред филиалите на „КУИНТАЙЛС”, спазване на приложимите процедури, закони и нормативни разпоредби, които изискват събиране и поддръжка на такива данни.

Категории данни, които ще се прехвърлят: За служители, директори, консултанти, контрагенти, управители и пълномощници на износителя на данни и неговите филиали и дружества-сестри: елементи от данните на дружеството и данни, свързани с работните позиции; данни, относно обезщетения и бонуси; данни, отнасящи се до техния опит и квалификация; данни, относно обучение и квалификация; информация за контакт; данни, относно лични характеристики, които „КУИНТАЙЛС” е задължена по закон или правилник да събира.

Категории получатели на данните: 1. Служители, директори, пълномощници, контрагенти и консултанти на вносителя на данни или на износителя на данни и техните филиали или дружества-сестри, които трябва да познават информацията, съобразно конкретните цели; 2. Държавни или регулаторни органи и лица, свързани с такива държавни или регулаторни органи, съобразно конкретните цели.

Приложение № 2 и Приложение № 3: Регламентират задължителните принципи за защита на данните съгласно Директива 95/46/ЕО: 1.Ограничение на целта; 2. Данни, качество и пропорционалност; 3. Прозрачност; 4. Сигурност и поверителност; 5. Права за достъп, корекция, заличаване и блокиране на данни; 6. Ограничения върху последващи прехвърляния; 7. Специални категории данни; 8. Директен маркетинг; 9. Автоматизирани индивидуални решения.

В т.4 „Сигурност и поверителност” от Приложение № 2 е регламентирано, че контролиращият данните орган трябва да вземе мерки за техническа и организационна сигурност, които съответстват на рисковете при обработката, като например –неразрешен достъп. Всяко лице, действащо под правомощията на контролиращия данните орган, включително обработващ данните орган, не трябва да обработва данните, освен по нареждане от страна на контролиращия орган.

При извършената служебна справка в Регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД, се установи, че дружеството е подало заявление за регистрация с вх. №1286256/12.08.2010г. като администратор на лични данни и е вписано в регистъра с идентификационен номер 291298. “КУИНТАЙЛС”-клон България е заявило поддържането на 3 броя регистри: „Изследователи”, „Служители” и „Контрагенти”.

Трансферът на данни ще бъде осъществен от „КУИНТАЙЛС”– клон Българиякъмдружеството-майка „КУИНТАЙЛС” в САЩ. Трансферът на данни засяга информацията, поддържана в регистър „Служители”, обявен пред Комисията за защита на личните данни с вписването на дружеството като Администратор на лични данни, като е заявено възможно предоставяне на данни в САЩ. При извършена служебна справка се установи, че посочените в регистъра лични данни съвпадат със заявените за трансфер, а именно: имена, единен граждански номер, адрес; телефони; месторождение; данни по лична карта; семейно положение, родствени връзки; образование; трудова дейност.

Служителите, чиито данни са предмет на заявения трансфер, са уведомени относно целта на обработване на личните им данни; средствата, чрез които се извършва обработването; кои са категориите получатели на техните данни; правото им на достъп и поправка на техните данни; предоставяне на данните до дружеството–собственик “КУИНТАЙЛС ГмбХ”, Република Австрия и до дружеството–майка “КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН”, САЩ. Уведомяването на служителите се осъществява чрез уведомление – образец, което всеки служител на „КУИНТАЙЛС”-клон България, се запознава, попълва своите лични данни и полага подпис.

С писмо рег. №.9448/12.11.2010г. Комисията за защита на личните данни е изискала допълнителна информация относно получателя на личните данни с цел уточняване на неговото наименование и адрес на управление и представяне на изрично пълномощно, относно осъществяване на всички действия, свързани с подаване на искане за разрешаване на трансфер на лични данни в трета държава.

В изпълнение на указанията на КЗЛД с три поредни писма от 22.11.2010г., от 13.12.2010г. и от 16.12.2010г. в Комисията е постъпила допълнителна информация от дружество „ КУИНТАЙЛС " – Клон България, както следва:

1. По отношение на получателя на данни и уточняване наименованието и неговия адрес на управление:

Предоставени са следните документи:1. Удостоверение за актуално състояние на „КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН”, САЩ, издадено от кабинета на Секретаря на щата Северна Каролина на 01.12.2010г., със заверен подпис на преводача от Министерство на външните работи, България от 14.12.2010г.; 2. Удостоверение, че „КУИНТАЙЛС”, САЩ е търговско наименование, използвано от „КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН”, САЩ , че те са едно и също дружество и че настоящият адрес на управление на „КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН” е: бул.”Емперър” 4820, Дъръм, Северна Каролина 27703, САЩ. Удостоверението е издадено от кабинета на Секретаря на щата Северна Каролина на 01.12.2010г., със заверен подпис на преводача от Министерство на външните работи, България от 14.12.2010г.

Съгласно представените документи, “КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН”,САЩ и “КУИНТАЙЛС”, САЩ са едно и също дружество. Необходимостта от това уточнение се наложи от факта, че в искането за трансфер на данни е упоменато, че получателят на данни дружеството–майка “КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН”, САЩ е в списъка на Сейф Харбър (SafeHarbor) към Департамента по търговия на САЩ. При направена служебна справка бе установено, че в списъка на Сейф Харбър е регистрирано дружество „КУИНТАЙЛС” („Quintiles”), САЩ, а не „КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН”, САЩ-получател на данните по заявения в искането трансфер в САЩ и страна по договора с “КУИНТАЙЛС ГмбХ”, Република Австрия.

2. По отношение предоставянето на изрично пълномощно, относно осъществяване на всички действия, свързани с подаване на искане за разрешаване на трансфер на лични данни в трета държава:

Съгласно първото предоставено пълномощно на КЗЛД от 21.04.2010г. от адвокат Г.Г. – пълномощник на представляващия „КУИНТАЙЛС”- клон България, д-р Я.Ф., същата не бе упълномощена да осъществява действия, свързани с подаване на искане за разрешаване трансфер на лични данни в трета държава. В отговор на изпратеното писмо от КЗЛД от 12.11.2010г., адвокат Г.Г. предостави изрично пълномощно по искания трансфер на данни от 19.11.2010г.

Съгласно Директива № 95/46/EО на Европейския парламент и на Съвета, трансфер на лични данни в трети страни може да бъде осъществен, само ако въпросната трета държава предоставя адекватно ниво на защита на данните.

Предоставянето на лични данни от администратор, установен на територията на Република България към друг администратор на лични данни извън страната, се извършва по реда на Закона за защита на личните данни, като определящ критерий относно режима на трансфер на данни е държавата, в която ще бъдат предоставени данните.

Предоставяне на лични данни в трета държава се допуска само, ако тя осигурява адекватно ниво на защита на личните данни на своя територия. Извършена бе служебна справка, от която се установи, че към настоящия момент получателят на данните „КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН”(търговско наименование „КУИНТАЙЛС” ) със седалище в САЩ е включен в списъка на Сейф Харбър(SafeHarbour). В последния се включват дружества, които декларират пред Департамента по търговия на САЩ, че ще се придържат към решение на Европейската комисия№ 2000/520/ЕО от 26.07.2000г. съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот” и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ.

Предвид факта, че получателят на данните „КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН”( търговско наименование „КУИНТАЙЛС” ), със седалище в САЩ е в списъка по Сейф Харбър и при отчитане на решение на Европейската комисия№ 2000/520/ЕО от 26.07.2000г. съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот” и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ, в конкретния случай са изпълнени условията за адекватно ниво на защита в третата страна. На основание чл. 36а, ал. 4, т. 1 от ЗЗЛД, КЗЛД не извършва преценка по ал. 3 в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита.

Във връзка с горното и на основание с чл. 36а, ал. 4, т.1от Закона за защита на личните данни във връзка с чл. 52, ал. 1 от Правилника за дейността на КЗЛД и на нейната администрация, Комисията за защита на личните данни,

Разрешава на администратора на лични данни “КУИНТАЙЛС” – клон България, собственостна дружество с ограничена отговорност “КУИНТАЙЛС ГмбХ”, Република Австрия да предостави лични данни на физически лица – служители, с които се намира в професионални отношения, на дружество на територията на трета страна – мултинационалната корпоративна група “КУИНТАЙЛС ТРАНСНЕШЪНЪЛ КОРПОРЕЙШЪН” (търговско наименование „КУИНТАЙЛС”), САЩ за целите на управление на професионалните отношения между дружествата от корпоративната група, в следния обем: имена, единен граждански номер, адрес; телефони; месторождение; данни по лична карта; семейно положение, родствени връзки; образование; трудова дейност.

Решението на Комисията може да се обжалва пред Върховния административен съд в 14 (четиринадесет) дневен срок от получаването му.