СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
№ 3147/2011г.
гр. София,04.10.2011г.
ОТНОСНО: Искане с рег. №3147/14.07.2011г. отг–н Кристофър Нийлд – управител на „Пи Пи Ди България” ЕООД, за изразяване на становище от Комисията за защита на личните данни, на основание чл.10, ал.1 т.4 от Закона за защита на личните данни (ЗЗЛД), относно процедурата по регистрация на „Пи Пи Ди България” ЕООД в качеството му на местен представител, действащ от името на администратори на лични данни, установени в трета държава
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков, на редовно заседание, проведено на 21.09.2011г. (Протокол № 39), разгледа искане, рег.№3147/14.07.2011г. от г–н Кристофър Нийлд – управител на „Пи Пи Ди България” ЕООД, за изразяване на становище от Комисията за защита на личните данни, на основание чл.10, ал.1 т.4 от Закона за защита на личните данни (ЗЗЛД), относно процедурата по регистрация на „Пи Пи Ди България” ЕООД в качеството му на местен представител, действащ от името на администратори на лични данни, установени в трета държава.
ФАКТИЧЕСКА ОБСТАНОВКА:
Съгласно представената информация в искането, „Пи Пи Ди България” ЕООД е договорна изследователска организация, която предоставя услуги на фармацевтичната индустрия, чрез организиране и провеждане на клинични изпитвания. Дружеството е собственост и част от „Пи Пи Ди ЮКей Холдингс Лимитид” – Великобритания. За осъществяване на своята дейност, дружеството обработва лични данни в качеството си на администратор на лични данни. Независимо от това, дружеството извършва и клинични изпитвания, възложени му от други компании, в качеството му на обработващ данните. Във връзка с това, с Работни задания към основния договор между „Милениум Фармасютикълс” Инк. и „Пи Пи Ди Глобал Лимитид” и неговите филиали – юридически лица (вкл. „Пи Пи Ди България” ЕООД съгласно Приложение №1) и между „ Оникс Фармасютикълс„ Инк. и „Пи Пи Ди Глобал Лимитид” и неговите филиали – юридически лица (вкл. „Пи Пи Ди България” ЕООД съгласно Приложение №1), сключени на 13.09.2010г., „Пи Пи Ди Глобал Лимитид” се задължава да предоставя клинични услуги във връзка с клинични изследователски програми на„Милениум Фармасютикълс Инк.”, САЩи на „Оникс Фармасютикълс Инк.”, САЩ в качеството им на спонсори. Съгласно работните задания, филиалите на „Пи Пи Ди Глобал Лимитид” (вкл. „Пи Пи Ди България” ЕООД) действат като обработващи данни съобразно инструкциите на спонсорите. В конкретния случай, „Пи Пи Ди България” ЕООД се явява обработващ лични данни, действащ от името на администратори, установени извън Европейския съюз/Европейското икономическо пространство и същевременно се явява техен местен представител, установен на територията на Република България по смисъла на чл.1, ал.4, т.3 от Закона за защита на личните данни. В тази връзка, дружеството сезира КЗЛД с искане за становище относно процедурата по неговата регистрация като местен представител.
ПРАВЕН АНАЛИЗ:
При анализа на изложеното в искането, както и приложените към него документи, се установи следното:
„Пи Пи Ди България” ЕООД е вписано в Търговския регистър при Агенцията по вписванията към Министерството на правосъдието с ЕИК200160722, със седалище и адрес на управление: гр. София, общ. Столична, ЖК „Младост – 4”, Бизнес парк София, сграда 5А, ет.1 и предмет на дейност: консултантски и посреднически услуги по организиране и провеждане на научно–изследователска и развойна дейност в областта на естествените и медицински услуги, от името и за сметка на възложителя.
В качеството си на администратор на лични данни „Пи Пи Ди България” ЕООД е вписано в Регистъра на администраторите на лични данни и водените от тях регистри към КЗЛД с идент. № 248616, като са заявени два броя регистри: „Персонал” и „Управление на клинични изпитвания”. Категориите данни, които дружеството е заявило, че обработва в регистър „Управление на клинични изпитвания”, във връзка с осъществяваната от него дейност, са следните: име, месторождение, адрес, телефон, банкова сметка, образование, трудова дейност, като е заявен и възможен трансфер на данни във Великобритания и САЩ.
Във връзка с твърдението, че въз основа на „Работно задание”, „Пи Пи Ди България” ЕООД е назначено като местен представител в Република България от компании базирани в САЩ, с писмо от 02.08.2011г. КЗЛД е изискала да й бъде представено посоченото в молбата „Работно задание”, с което „Милениум Фармасютикълс„ Инк., САЩ е назначил местни юридически лица в различни държави, в това число и „Пи Пи Ди България” ЕООД в Република България, които да извършват обработване на лични данни чрез осъществяване на клинични изпитвания.
В изпълнение на указанията на КЗЛД, с писма от 08.08.2011г. и от 09.08.2011г., в КЗЛД е постъпила следната допълнителна информация: 1. Работно задание към основния договор между „Милениум Фармасютикълс” Инк. („Millennium Pharmaceuticals” Inc.) и „Пи Пи Ди Глобал Лимитид” („PPD Global Limited”); 2. Работно задание към основния договор между „Оникс Фармасютикълс „Инк. („Onyx Pharmaceuticals” Inc.) и „Пи Пи Ди Глобал Лимитид” („PPD Global Limited”); 3. Становище1/2010 относно понятията „администратор на лични данни” и „лице, което обработва данните” на Работна група по чл.29 от Директива 95/46/ЕО (Независим европейски консултативен орган относно защитата на личните данни и неприкосновеността на личния живот); 4. Копие на заявление за регистрация на „Оникс Фармасютикълс” Инк. – САЩ като администратор на лични данни в КЗЛД; 5. Копие на заявление за регистрация на „Милениум Фармасютикълс” Инк. – САЩ като администратор на лични данни в КЗЛД.
При обстоятелствен анализ на изложеното в искането, както и на приложенитедопълнителна информация и доказателства, бе констатирано, че „Пи Пи Ди България” ЕООД е администратор на лични данни на собствено основание, в изпълнение на основния си предмет на дейност и едновременно с това обработващ лични данни за администратори, установени в трета държава, а именно:„Милениум Фармасютикълс” Инк.и „Оникс Фармасютикълс” Инк., САЩ. Именно във връзка с второто си качество, „Пи Пи Ди България” ЕООД е сезирало Комисията, по отношение процедурата за регистрацията му като местен представител, установен на територията на Република България по смисъла на чл.1, ал.4, т.3 от Закона за защита на личните данни. Във връзка с това, на 17.05.2011г. дружеството е подало заявление за регистрация в КЗЛД с рег.№ 2224 от името на администраторите на лични данни – „Оникс Фармасютикълс” Инк. и „Милениум Фармасютикълс” Инк.,САЩ като техен местен представител. С оглед задължението на администраторите да подадат заявление за регистрация в КЗЛД преди да започнат да обработват лични данни, следва да се има предвид, че на основание чл.1, ал.4, Законът за защита на личните данни (ЗЗЛД) се прилага за обработването на лични данни, когато администраторът на лични данни:
1. е установен на територията на Република България и обработва лични данни във връзка със своята дейност;
2. не е установен на територията на Република България, но е задължен да прилага този закон по силата на международното публично право;
3. не е установен на територията на държава – членка на Европейския съюз, както и в друга държава – членка на Европейското икономическо пространство, но за целите на обработването използва средства, разположени на българска територия, освен когато тези средства се използват само за транзитни цели; в този случай администраторът трябва да посочи представител, установен на територията на Република България, без това да го освобождава от отговорност.
В конкретния случай, съгласно постъпилата информация, администраторите на лични данни: „Милениум Фармасютикълс” Инк.и „Оникс Фармасютикълс” Инк., са установени на територията на трета държава – САЩ и е налицехипотезата, разписана в чл.1, ал.4, т.3 от ЗЗЛД – администраторът на лични данни за целите на обработването използва средства, разположени на българска територия, като в този случай той следва да посочи представител, установен на територията на Република България. Съгласно изложеното в молбата и представените доказателства, „Пи Пи Ди България” ЕООД, в качеството си на обработващ данни и местен представител в Република България, ще обработва „чувствителни данни”, а именно: данни за здравословното състояние, генетични данни и данни за расов произход, събирани единствено за изследователски цели, като обхватът на данните за здравословното състояние, които ще бъдат събирани, е различен за различните изпитвания. В приложеното към молбата заявление за регистрация в КЗЛД са отбелязани следните категории данни: кръвна картина, плазма, ЕКГ, други свързани с функциите на човешкия организъм, ДНК, наблюдения върху психологическия отговор към заболяването и лечението, лични данни, които разкриват расов и етнически произход и др. Конкретната цел на изпитването е сравнение на ефектите от два различни набора от лекарствени комбинации, за да се съберат клинични данни, подкрепящи по-нататъшното разработване на молекула и нейната продажба. Съгласно чл.5, ал.1, т.1 и т.3 от ЗЗЛД по правило е забранено обработването на т.нар. специално защитени данни, каквито са и горепосочените данни.
На основание чл.17б от Закона за защита на личните данни, когато администраторът е заявил обработване на такива данни по чл.5, ал.1 (в конкретния случай, по т.1 – генетични данни и данни за расов произход и по т.3 – се отнасят до здравето), Комисията задължително извършва предварителна проверка преди вписване в Регистъра на администраторите на лични данни и водените от тях регистри към КЗЛД. В този случай, съгласно разпоредбата на чл.17б, ал.4 от ЗЗЛД, администраторът не може да започне обработване на лични данни, преди да е вписан в регистъра. Поради това, че в конкретния случай ЗЗЛД се прилага спрямо администраторите на лични данни „Милениум Фармасютикълс” Инк. („Millennium Pharmaceuticals” Inc.) и „Оникс Фармасютикълс” Инк. („Onyx Pharmaceuticals” Inc.), САЩ на основание чл.1, ал. 4, т.3, а е заявено обработването на лични данни по смисъла на чл.5, ал.1 от ЗЗЛД, предварителна проверка в случая следва да бъде извършена по отношение на обработването на заявената категория лични данни от страна на дружеството, определено като местен представител- „Пи Пи Ди България” ЕООД.
Във връзка с изложеното и на основание чл. 10, ал.1, т. 4 във връзка с чл.1, ал.4, т.3от Закона за защита на личните данни, Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ :
1. „Милениум Фармасютикълс” Инк. („Millennium Pharmaceuticals” Inc.) и „Оникс Фармасютикълс” Инк. („Onyx Pharmaceuticals” Inc.), САЩ са администратори на лични данни по смисъла на чл.1, ал.4, т.3 от ЗЗЛД. За изпълнение на изискванията на ЗЗЛД администраторите следва да посочат представител, установен на територията на Република България – в случая „Пи Пи Ди България” ЕООД.
2. Регистрацията на администраторите по т.1 и на техният местен представител може да стане с подаване на заявление по образец (представител) по пощата или на място в сградата на КЗЛД на адрес: гр.София 1431, бул.”Акад. Иван Евстратиев Гешов” № 15.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венета Шопова /п/ |
Красимир Димитров /п/ |
