Решение по искане с вх. № 3940/29.08.2011г.

ОТНОСНО: Искане с рег. № 3940/29.08.2011г. от “АМДЖЕН БЪЛГАРИЯ” ЕООД за получаване на разрешение на основание чл. 36а, ал. 5, т.1 от Закона за защита на личните данни (ЗЗЛД) за трансфер на лични данни към „Кенекса БрасРинг”, Инк., САЩ („Кенекса”) и към „ХайъртРайт”, Инк., САЩ („ХайъртРайт”)

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков, на редовно заседание, проведено на 19.10.2011г. (Протокол № 43), разгледа искане срег. №3940/29.08.2011г. от “АМДЖЕН БЪЛГАРИЯ” ЕООД за получаване на разрешение на основание чл. 36а, ал. 5, т.1 от Закона за защита на личните данни (изм. ДВ, бр.81 от 18.10.2011г.) за трансфер на лични данни към „Кенекса БрасРинг”, Инк., САЩ („Кенекса”) и към „ХайъртРайт”, Инк., САЩ („ХайъртРайт”). Искането е подадено чрез електронната система еRALD от адвокат М.Х.М., член на Адвокатска колегия-гр.София с ЕГН: *******, пълномощник на управителя на дружеството – г-жа К.Г.Ч.-Й. Поради факта, че искането не е подписано с електронен подпис съгласно изискванията на Закона за електронния документ и електронния подпис, КЗЛД на основание чл.29 във връзка с чл.30, ал.2 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация с писмо от 03.09.2011г. е изискала от пълномощника на дружеството да потвърди искането за трансфер на данни в трета държава. С писмо от 09.09.2011г. молбата за трансфер на данни е потвърдена от адв.М. Приложено е пълномощно, от което става видно, че лицето, потвърдило искането за трансфер на данни, е упълномощено да представлява дружеството пред Комисията за защита на личните данни, във връзка с конкретното искане за трансфер.

Съгласно искането получатели на данните ще бъдат:

1. „Кенекса БрасРинг”, Инк (Kenexa BrassRing, Inc), САЩ -650 Ийст Суидсфорд роуд, ет.2, Уейн, Пенсилвания-19087, компания специализирана в предоставянето на услуги, свързани с намирането и управлението на персонал, проучвания и анализи, оценка на представянето и други. Дружеството предоставя решения в области, свързани с намиране и наемане на служители, обучения на служители и поддържането и развитието на служители. „Кенекса” функционира като администратор на лични данни за информацията на служителите на „Кенекса” и обработващ лични данни за софтуерни клиенти. Клиентите на „Кенекса” са администратори на лични данни за данните, които „Кенекса” обработва от тяхно име. Дружеството предоставя онлайн услуги в уеб базирана среда с приложения, чрез която неговите клиенти могат да качат личните си данни в средата, която поддържа дружеството. След като информацията е съхранена, клиентите имат достъп до софтуера и до личните си данни. Дружеството поддържа само лични данни, които клиентите му искат да бъдат обработвани. В случаите на ангажиране и развитие на служители, „Кенекса” предлага решения в проучвания за изследване на служителите, проучвания за ръководство и развитие и мениджмънт на изпълнението. KBR („Kenexa recruiter BrassRing”) системата е уеб базирана и се хоства от „Кенекса” от Стерлинг, Вирджиния. В случай на инцидент възстановяването се осъществява от Уолтам, Масачусетс.

2. „ХайърРайт”, Инк. (HireRight, Inc), САЩ – 5151 Калифорния, Ървин, Калифорния-92617. Дружество обработва информация с цел извършване на проверки за целите на наемане на работа или други позволени цели. В случай на инцидент, възстановяването се осъществява от Нашвил, Тенеси.

Трансферът на данни се отнася за кандидати за работа в дружествата от групата „Амджен” (вкл. “АМДЖЕН БЪЛГАРИЯ” ЕООД ) и включва следните категории данни: Име; адрес; телефонен номер; дата на раждане; имейл адрес; образование; предишни работодатели; разрешения за упражняване на дадена професия (ако има такива); публично достъпна информация; информация относно предишни осъждания и дела.

Целите, за които личните данни на служители ще бъдат предоставяни, са:

Оказване на съдействие чрез консултантски услуги от страна на дружествата „Кенекса” и „ХайъртРайт” чрез продукта „Kenexa recruiter BrassRing” (KBR) и системата за верификация на данните на ХайърРайт. Продуктът на „Кенекса” включва получаване, обработка и сортиране на автобиографии на кандидати за работа в дружествата от групата „Амджен”, влючително „АМДЖЕН БЪЛГАРИЯ” ЕООД. В тази връзка, „Амджен” е създал и поддържа интернет страница, на която всяко физическо лице може да се регистрира като кандидат за работа в някое от дружествата от групата „Амджен”. За тази цел физическите лица подават чрез интернет страницата на „Амджен” определен тип лични данни, които включват име, адрес, телефонен номер, имейл адрес и друга биографична информация. Тези данни се съхраняват в KBR системата. В искането се твърди, че преди попълването на информацията лицата потвърждават съгласието си техните данни да бъдат трансферирани в САЩ и на следващия етап да бъдат предоставени на „ХайърРайт” за проверка. Кандидатите също така имат достъп до предоставените данни и могат да нанасят корекции и да ги актуализират. След приемане на предложение за работа, информацията за кандидата се предоставя на „ХайърРайт”, който извършва проверка на предоставената от кандидатите информация, включително лични данни с оглед евентуалното наемане на работа. Кандидатите могат да бъдат помолени да се логват в уебсайта на „ХайърРайт” и да допълнят информация, както и да потвърдят съгласието си техните данни да бъдат проверени.

Срок на обработване: 1.Когато кандидатът бъде нает на работа в групата „Амджен”, обработването на неговите лични данни се осъществява до края на трудовото правоотношение, освен когато нормативно не е определен друг срок; 2. Когато кандидатът не бъде нает на работа, обработването на неговите лични данни се осъществява до изричното искане от страна на кандидата за изтриване на данните му (включително акаунта) или до постигане на бизнес целите, свързани с набиране на персонал, освен ако нормативно не е определен друг срок.

Технически мерки за защита на данните: Дружеството предприема различни видове технически мерки за осигуряване на защита на личните данни, като например: въвеждането на парола за стартиране на операционната система и/или достъп до програмната среда и/или за отваряне на файлове, периодична смяна на паролите, автоматична регистрация на всеки достъп, антивирусна защита и защитна стена и др. „Кенекса” и „ХайърРайт” също прилагат подходящи технически мерки. За „ХайърРайт” мерките включват криптиране на данните, когато последните се трансферират онлайн, защита с парола, възможност за отказ от кукита (cookies), защитни стени, поддържане на адекватна защитна системна среда и др. За „Кенекса” мерките се изразяват в защита с пароли, които се подновяват на определен период време, логаут (log out) при неправилно въвеждане на парола, безопасност на сесията, безопасност на eLink, проверка на потребителите на системата, конфигурацията на системата и др.

При анализа на изложеното в искането, както и приложените към него документи, се установи следното:

“АМДЖЕН БЪЛГАРИЯ” ЕООД e собственост на чуждестранно юридическо лице „АМДЖЕН УЪРЛДУАЙЛД ХОЛДИНГС” Б.В., Нидерландия. “АМДЖЕН БЪЛГАРИЯ” ЕООД е вписано в Търговския регистър при Агенцията по вписванията с ЕИК: 200734900, със седалище и адрес на управление: гр. София, общ. Столична, район “Красно село”, ЖК „Бизнес център „Регус”, бул. “Ген.Тотлебен” № 53-55 и предмет на дейност: Търговия на едро с фармацевтични продукти; производство на фармацевтични продукти; производство на фармацевтични препарати; търговия с фармацевтични продукти в специализирани магазини; организационни дейности на изложби, панаири и конгреси; дейности по редактиране на наръчници, резюмета, адресни списъци и други подобни; други дейности от професионално, научно и техническо естество; всякакви други дейности, които не са забранени от закона.

При извършената служебна справка в Регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД, се установи, че дружеството е подало заявление за регистрация с вх.№1302549/28.12.2010г. като администратор на лични данни и е вписано в Регистъра на администраторите на лични данни с идентификационен номер 300139. „АМДЖЕН БЪЛГАРИЯ” ЕООД е заявило поддържането на 2 броя регистри, като предметът на настоящото искане се отнася до регистър „Управление на човешките ресурси”.

Трансферът на данни ще бъде осъществен от „АМДЖЕН БЪЛГАРИЯ” ЕООД къмдружествата „Кенекса БрасРинг”, Инк., САЩ („Кенекса”) и към „ХайъртРайт”, Инк., САЩ („ХайъртРайт”) в САЩ. Трансферът на данни засяга информацията, поддържана в регистър „Управление на човешките ресурси”, обявен пред Комисията за защита на личните данни с вписването на дружеството като Администратор на лични данни, като е заявено възможно предоставяне на данни в Австрия, Нидерландия и ЕИП (Европейско икономическо пространство). При извършена служебна справка се установи, че посочените в регистъра лични данни, съвпадат със заявените за трансфер.

В искането се твърди, че кандидатите за работа, чиито данни са предмет на заявения трансфер се уведомяват и потвърждават съгласието си по електронен път (онлайн) техните данни да бъдат трансферирани в САЩ, преди да попълнят информацията на интернет страницата на дружеството. По повод на това, бе извършена служебна справка на сайта дружеството: www.amgen.com и бе установено, че, за да се регистрира в уебсайта на дружеството едно лице трябва да предостави доброволно свои лични данни, като: име, адрес, телефонен номер и имейл адрес. Наличието на съгласие е самостоятелно основание за разрешаване на трансфера, съгласно чл.36а, ал.7, т.1 от ЗЗЛД. В тази връзка следва да се има предвид, че при кандидатстване за работа в дружествата от групата „АМДЖЕН” (вкл. „АМДЖЕН БЪЛГАРИЯ” ЕООД) по електронен път (онлайн), може да се приеме, че е налице съгласие на физическото лице за обработване на неговите лични данни, само ако може да се установи по безспорен начин, че лицето, чиито данни се предоставят на дружеството по електронен път и ще бъдат обработвани от него и от дружествата, установени в трета държава: – „Кенекса БрасРинг”, Инк.и„ХайъртРайт”, Инк е идентично с лицето, извършило конкретното действие по потвърждаване на съгласието за обработване и трансфер на тези данни, дадено по електронен път.

Съгласно Директива № 95/46/EО на Европейския парламент и на Съвета, трансфер на лични данни в трети страни може да бъде осъществен, само ако въпросната трета държава предоставя адекватно ниво на защита на данните.

Предоставянето на лични данни от администратор, установен на територията на Република България към други администратори на лични данни извън страната, се извършва по реда на Закона за защита на личните данни, като определящ критерий относно режима на трансфер на данни е държавата, в която ще бъдат предоставени данните.

При анализ на представените доказателства и след извършена служебна справка се установи, че към настоящия момент получателите на данните: – „Кенекса БрасРинг”, Инк.и„ХайъртРайт”, Инк. със седалища в САЩ са включени в списъка на Сейф Харбар(Safe Harbour). В последния се включват дружества, които декларират пред Департамента по търговия на САЩ, че ще се придържат към решение на Европейската комисия №2000/520/ЕО от 26.07.2000г. съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот” и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ. На основание чл. 36а, ал. 5, т. 1 от ЗЗЛД, КЗЛД не извършва преценка по ал. 3 в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита. В конкретния случай са изпълнени условията за адекватно ниво на защита в третата държава.

Във връзка с горното и на основание с чл. 36а, ал. 5, т.1 от Закона за защита на личните данни във връзка с чл. 52, ал. 1 от Правилника за дейността на КЗЛД и на нейната администрация, Комисията за защита на личните данни

Решението на Комисията може да се обжалва пред Административен съд – гр. София в 14 (четиринадесет) дневен срок от получаването му.