РЕШЕНИЕ
№ 10245 /2010г.
гр. София, 21.02.2011г.
Комисията за защита на личните данни (КЗЛД), в състав: председател Венета Шопова и членове : Веселин Целков и Валентин Енев, на редовно заседание, проведено на 10.02.2011 год. (Протокол № 7),разгледа искане с рег.№10245/26.10.2010г. от“Ай Ти Си И” ООД за получаване на разрешение на основание чл. 36а, ал. 4, т.1 ичл. 36а, ал. 6, т.1от Закона за защита на личните данни (ЗЗЛД) за трансфер на лични данни порегистри: „Кандидати изпит ГМАТ”и „Системи ССТВ-изпит ГМАТ”към “Пиърсън Вю” (“PearsonVUE”),дружество от “Ен Си Ес Пиърсън Инк.” (“NCSPearsonInc.”), САЩ и към “Градюейт Мениджмънт Адмишън Кансъл” – “ГМАК” (“GraduateManagementAdmissionCouncil” -“GMAC”), САЩ. Искането е подадено чрез управителя и законен представител на дружеството Н.Г.П., от което става видно, че лицето, подало искането за трансфер на данни може да представлява дружеството пред Комисията за защита на личните данни, във връзка с конкретното искане за трансфер.
На 08.10.2010г. чрез електронната система еРАЛД на КЗЛД е подадено искане с рег. №10245 за трансфер на данни в трета държава от ”Ай Ти Си И” ООД. КЗЛД е разгледала на свое редовно заседание, проведено на 16.12.2010г. (Протокол № 42), исканетоот“Ай Ти Си И” ООД за получаване на разрешение на основание чл. 36а, ал. 4, т.1 ичл. 36а, ал. 6, т.1от Закона за защита на личните данни (ЗЗЛД) за трансфер на лични данни по регистър „Биометрични данни – кандидати ГМАТ” към “Пиърсън Вю”,дружество от “Ен Си Ес Пиърсън Инк.”, САЩ и към“Градюейт Мениджмънт Адмишън Кансъл” – “ГМАК”, САЩ. Със свое решение № 10245 от 23.12.2010г. , КЗЛД е разрешила на администратора на лични данни „Ай Ти Си И" ООД, да предостави сканирано папиларно изображение на дланта (биометрични данни)на физически лица – кандидати за теста “GMAT” на следните получатели на територията на трета държава САЩ : неправителствена организация“Градюейт Мениджмънт Адмишън Кансъл”– “ГМАК”, САЩ, в качеството му на администратор на данните и на дружество -“Пиърсън Вю”, дъщерно дружество на корпорацията “Ен Си Ес Пиърсън Инк. , САЩ”, в качеството му на обработващ данните,за срока на действие на Договора за местно представителство (Република България).
Впоследствие в КЗЛД е постъпило писмо на 19.01.2011г. от адвокат Д.З.-Н., пълномощник на управителя на „Ай Ти Си И” ООД, с което тя информира Комисията, че искането за трансфер на данни на дружеството се отнася за три регистъра: „Биометрични данни – кандидати изпит ГМАТ”, „Системи ССТВ – кандидати изпит ГМАТ” и „Кандидати изпит ГМАТ”. Поради факта, че КЗЛД с решение №10245/23.12.2010г. е разрешила трансфер на данни само по регистър „Биометрични данни – кандидати изпит ГМАТ”,адв. Д.З.-Н. потвърждава искането за трансфер на данни по другите два регистъра „Системи ССТВ – кандидати изпит ГМАТ” и „Кандидати изпит ГМАТ”. Необходимостта от това, се определя от факта, че“Ай Ти Си И” ООД в качеството си на местен представител на територията на Република България на “ГМАК”, САЩ, след провеждането на теста „ГМАТ” следва да осъществи едновременно трансфер на всички събрани данни, идентифициращи или описващи кандидатите, резултатите от тестовете на кандидатите и представянето на кандидатите, съдържащи се в трите регистъра: „Биометрични данни – кандидати изпит ГМАТ”, „Системи ССТВ – кандидати изпит ГМАТ” и „Кандидати изпит ГМАТ”. Видно от информацията в исканията за трансфер, въз основа на данните от проведения тест, се взема решение за прием във висши бизнес учебни заведения по света, както и отпускане на стипендия за обучение. В същото време аудио и видеонаблюдение и сканирането на папиларното изображение на дланта на кандидатите, функционира и като проверяващ механизъм, имащ за основна цел провеждането на теста да бъде справедливо, да защита интересите на кандидатите, като намалява риска от несправедлив резултат от теста.
Съгласно искането получателите на лични данни ще бъдат:
1. “Пиърсън Вю, дъщерно дружество на корпорацията “Ен Си Ес Пиърсън Инк.”, регистрирана в САЩ на 28.03.1962 г., приела настоящото си име на 01.11.2000г., съгласно приложени документи от Министерството на външните работи – Минесота, САЩ. Едноличният собственик на “Ен Си Ес Пиърсън Инк.” е „Пиърсън плс”, английско дружество със седалище във Великобритания. “Пиърсън Вю” е глобален лидер в електронните тествания за информационни технологии, академични, правителствени и професионални клиенти, осигурявайки пълен комплект услуги от разработване на тестове до управление на бази данни. В момента обслужва 162 държави и ръководи над 4400 Тест центрове. “Ен Си Ес Пиърсън Инк. е в договорни отношения за провеждането на компютърно базирани тестове, чрез своето дъщерно дружество “Пиърсън Вю” . Тестовете се провеждат от името на спонсори – сертифициращи организации, лицензирани институции, организации за академични приемни изпити, какъвто в случая е теста “ГMAТ”. По силата на договор между “Пиърсън Вю” и „ГМАК” от 28.07.2004г., “Пиърсън Вю” провежда и администрира различни компютърно базирани електронни тестове, в това число “ГMAT”, като изпълнява ролята на обработващ данните в световен мащаб за теста “ГMAT”.Данните за физическите лица, които се явяват на теста “ГMAТ” включват:регистрация на теста, провеждане на теста и резултати от теста. Дружеството има политика за неприкосновеност, която е в сила от 11.01.2008г.
2. “Градюейт Мениджмънт Адмишън Кансъл – ГМАК” , САЩ – юридическо лице с нестопанска цел, имащо за цел да осигури достъп до висше бизнес образование и да подпомага бизнес университетите на световно равнище. “ ГМАК” се състои от представители на водещи бизнес университети, като предлага в целия свят разнообразни програми, продукти и услуги във връзка с обучението. “ ГМАК” притежава и администрира “Градюейт Мениджмънт Адмишън Тест – ГМАТ” , най-разпространения компютъризиран тест, използван в процеса по прием на студенти във висши бизнес учебни заведения по целия свят.
По смисъла на чл.1, ал.4, т.3 от Закона за защита на личните данни, администраторът на лични данни, когато за целите на обработването, използва средства разположени на българска територия, трябва да посочи представител, установен на територията на Република България. На това основание е сключен Договор за местно представителство (Република България ) на 02.06.2008г. между “Градюейт Мениджмънт Адмишън Кансъл– “ГМАК” , САЩ; “Пиърсън Вю”, дъщерно дружество на корпорацията “Ен Си Ес Пиърсън Инк.”, САЩ и “Ай Ти Си И” ООД, България. Съгласно договора дружеството се задължава да провежда изпита “GMAT” и да предоставя свързаните с това услуги по обработка на данните на територията на Република България за теста “GMAT”. В тази връзка, “Ай Ти Си И” ООД се явява местен представител на територията на Република България на “ГМАК”, САЩ. “Пиърсън Вю” чрез своето подразделение “Върчуъл Юнивърсити Ентърпрайзис” (“VirtualUniversityEnterprises”) е сключило Споразумение за провеждане на тестове с “Ай Ти Си И” ООД на 17.01.2001г. Споразумението е изменено на 25.06.2005г., като страни по него са “Пиърсън Вю” и “Ай Ти Си И” ООД.
“Ай Ти Си И” ООД е вписано в Търговския регистър при Агенцията по вписванията с ЕИК 121673816, със седалище и адрес на управление: гр.София, община Столична, район “Лозенец”, бул.”Черни връх” № 44 и предмет на дейност: консултантска дейност и обучение в областта на информационните технологии, проектиране, доставка, инсталация и сервиз на електронно-изчислителна техника, програмни продукти и технологии, интеграция на допълнителни елементи към административно-управленски информационни системи, като SAPR/3, както всяка друга дейност, за която няма законова забрана.
При извършената служебна справка в Регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД, се установи, че дружеството е подало заявление за регистрация с вх. № 3206/19.10.2009г. като администратор на лични данни и е вписано в регистъра с идентификационен номер 2357. “Ай Ти Си И” ООД е заявило поддържането на 7 броя регистри. Заявеният в искането трансфер на данни засяга информацията, поддържана в регистри: „Кандидати изпит ГМАТ” и „Системи ССТВ-изпит ГМАТ”, обявени пред Комисията за защита на личните данни с вписването на дружеството като Администратор на лични данни. Заявено е предоставяне данни от регистър „Кандидати за изпит ГМАТ” в САЩ и Великобритания иот регистър „Системи ССТВ – изпит ГМАТ” във Великобритания. При извършена служебна справка се установи, че посочените в регистрите лични данни, съвпадат със заявените за трансфер, а именно:
1. В регистър „Кандидати изпит ГМАТ” – име, единен граждански номер, адрес, телефон, пол, роден език, гражданство, снимка, подпис, професионален опит, образование;
2. В регистър „Системи ССТВ-изпит ГМАТ” – снимка, видеонаблюдение.
Обработване на лични данни съгласно дефиницията, дадена в §1, т. 1 от Допълните разпоредби на Закона за защита на личните данни представлява всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване. От своя страна, лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Специфичните признаци са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето. Във връзка с това, видеозаписите от средствата за наблюдение съдържат "лични данни" или "лична информация", тъй като съдържат информация, която по смисъла на чл. 2, ал.1 от Закона за защита на личните данни е способна да разкрие физическата идентичност на лицето, което е записано.
С оглед правото на информираност на физическите лица във връзка с действията по обработването на личните им данни (чл. 19 от Закона за защита на личните данни), при пристъпване към извършване на видеонаблюдение, администраторът на лични данни трябва да уведоми физическите лица за целите на извършваното видеонаблюдение, за какъв период ще се съхраняват и за какво ще се събират данните от записите, кой ще има достъп до тях, на какви трети лица ще се предоставят, както и че лицата имат право на достъп до тези записи, в частта, която се отнася до тях.
Във връзка с изложеното, към искането за трансфер на данни е приложено доказателство – „Декларация за информирано съгласие”, с която се удостоверява, че кандидатите, които се явяват на тест “ГMAТ”, дават своето изрично съгласие да бъдат обработвани техните лични данни: трите имена, единен граждански номер ЕГН, факс, телефон, електронен адрес, снимка, професионален опит, образование, включително извършване на аудио и видео наблюдение и сканиране на папиларното изображение на дланта за целите на теста “ГMAТ”.
С цел обстоятелствено изясняване на направеното искане за трансфер на данни в трета държава, с писмо рег.№.10245/04.11.2010г. Комисията за защита на личните данни е изискала да бъде предоставена следната допълнителна информация:1.Копие на договор между “Градюейт Мениджмънт Адмишън Кансъл – “ГМАК”, САЩ и “Пиърсън Вю”, дружество от “Ен Си Ес Пиърсън Инк, САЩ, относно възлагане на обработване на данни за теста “ГMAТ” на “Пиърсън Вю” в световен мащаб; 2. Копие на договор между “Пиърсън Вю”, САЩ и “Ай Ти Си И” ООД, България, относно провеждането на теста “ГMAТ” и предоставянето на свързаните с това услуги по обработка на данните на територията на Република България за теста “ГMAТ”; 3. Информация, относно организационните и техническите мерки за защита на данните, във връзка с осъществяването на трансфера; 4. Информация, относно необходимостта при кандидатстване и явяване на тест “ГMAТ” да се извършва аудио и видеонаблюдение и сканиране на папиларното изображение на дланта на лицата; 5. Информация, относно получателя на данните, както и правоотношениято, в които се намират “Пиърсън Вю”, САЩ и“Ен Си Ес Пиърсън Инк., САЩ.
В изпълнение на указанията на КЗЛД с писмо с рег.№ 10245/29.11.2010г. в Комисията е постъпила допълнителна информация чрез адв. Д.З.-Н., пълномощник на управителя на „Ай Ти Си И" ООД. Приложено е пълномощно от Н.П. – управител на дружеството, от което става видно, че лицето подало допълнителната информация към искането за трансфер на данни е упълномощено да представлява дружеството пред Комисията за защита на личните данни, във връзка с конкретното искане за трансфер. Информацията е както следва:
1. Относно предоставяне на копие на договор между “Градюейт Мениджмънт Адмишън Кансъл – “ГМАК” , САЩ и “Пиърсън Вю”, дружество от “Ен Си Ес Пиърсън Инк., САЩ, относно възлагане на обработване на данни за теста “ГMAТ” на “Пиърсън Вю” в световен мащаб.
Дружеството е предоставило копие на изискания договор, сключен на 28.07.2004г. между “ГMAC”, САЩ и “Пиърсън Вю”, дружество от “Ен Си Ес Пиърсън Инк.”, САЩ, с който “Пиърсън Вю” се задължава да провежда и администрира компютърно базирани електронни тестове, в това число теста “ГMAТ”, като изпълнява ролята на обработващ данните в световен мащаб за теста “ГMAТ”.Дружеството се задължава да защитава личната информация на кандидатите, през целия срок на договора или до момента, в който имат права и контролвърху тази информация по начин, който да е в съответствие с регистрацията си във връзка със защитата на личните данни по Сейф Харбър (SafeHarbor) към Департамента по търговия в САЩ или да изискват от неговите подизпълнителите, в това число Тест Центровете, имащи достъп до лична информация на кандидатите, да са в съответствие с “Политиката за защита на лични данни” на “Пиърсън Вю”. Дружеството е задължено да поддържа всички приемливи от търговска гледна точка физически процедури за сигурност, персонал и оборудване на обектите, където се извършват услугите, необходими с цел достъпа до съоръженията и всички елементи, тестове, лична информация на кандидатите.
2. Относно предоставяне на копие на договор между “Пиърсън Вю”, САЩ и “Ай Ти Си И” ООД, България, относно провеждането на теста “ГMAТ” и предоставянето на свързаните с това услуги по обработка на данните на територията на Република България за теста “ГMAТ”.
Дружеството е предоставило копия на:
2.1 Споразумение за провеждане на тестове между подразделение на “Върчуъл Юнивърсити Ентърпрайзис” към дъщерно дружество “Пиърсън Вю” на корпорацията “Ен Си Ес Пиърсън Инк., САЩ и “Ай Ти Си И” ООД (дружеството), България, от 17.01.2001г.
Предмет на сключеното споразумениее предоставяне на услуги по организирането и провеждането на тестове в електронна среда в съответствие с изискванията на “Върчуъл Юнивърсити Ентърпрайзис”. Дружеството гарантира използването на софтуера и приложенията, отговорно управление на своя Център за провеждане на тестове, успешно организиране на тестове в електронна среда и публикуване на резултатите на кандидатите в удобен вид. Дружеството се задължава да осигури подходящо оборудвана сграда, съоръженията и оборудването за провеждане на теста, система за управление на съоръженията, указания за кандидатите, провеждане на теста и всекидневна подкрепа и поддръжка на системата за провеждане на теста, да управлява Тест центъра в съответствие с реда и условията на цитираното споразумение.Дружеството се задължава да следва политиката по конфиденциалността по отношение на: Данните, идентифициращи или описващи кандидатите, резултатите от тестовете на кандидатите и представянето на кандидатите, представлява лична, поверителна информация за кандидата и подлежи на правилата за конфиденциалност за кандидата, спонсора и за “Върчуъл Юнивърсити Ентърпрайзис”.
2.2Изменение на Споразумението за провеждане на тестове от (17.01.2001г.)между дъщерно дружество “Пиърсън Вю” на корпорацията “Ен Си Ес Пиърсън Инк.”, САЩ и “Ай Ти Си И” ООД, България, от 25.06.2005г.
По силата на цитираното по-горе споразумение, дружеството се задължава да създаде и оборудва Тест Център, като той трябва да отговаря на по-големи технологични изисквания на “Пиърсън Вю”, а именно: план-сценарий за инсталиране, специален сървър за провеждане на професионалния тест, поне един USB интерфейс порт, винаги включени след инсталиране и конфигуриране от страна на “Пиърсън Вю” връзките на софтуерното приложение “Агент за дистанционна поддръжка” към централния сървър на “Пиърсън Вю”, интернет връзка чрез широколентова връзка с минимална скорост 128 Kbps. Въвеждат се нови изисквания по отношение на оборудването на работните станции за провеждане на изпита, както и задължението за аудио-визуално и биометрично оборудване.
3. Информация, относно организационните и техническите мерки за защита на данните, във връзка с осъществяването на трансфера:
3.1 Договор за обработка на данни, сключен на 28.06.2005г. между страните: “Градюейт Мениджмънт Адмишън Кансъл – ГМАК” , нестопанска организация и “Пиърсън Вю”, дружество от “Ен Си Ес Пиърсън Инк. С договора “Пиърсън Вю” се задължава да извършва различни услуги за “ГMAC”, описани в Договора от 28.07.2004г., включително: събиране, поддържане, предаване и предоставяне на други услуги за “обработка на данни” по смисъла на Директива 95/46/ЕО, по отношение на личната информация, получавана от “ГMAC”. Дружеството се задължава да спазва Политиката за конфиденциалност на “ГMAC”, по отношение на всички лични данни и да предоставя на “ГMAC” услуги по обработка на личните данни, само в съответствие с приемливи писмени инструкции от страна на корпорацията, в качеството и на контролиращ данните. “Пиърсън Вю” се задължава да изисква от всички Тест Центрове, независимо дали са негова собственост, филиали или подразделения, докато предоставят услуги свързани с лични данни, контролирани от “ГMAC”, да уведомяват явяващите се на теста ясно и изрично, по начин, описан в Инструкциите за обработка на данните.Във връзка с това, “Ай Ти Си И” ООД представя образец на “Декларация за информирано съгласие”, чрез която кандидатите, които се явяват на тест “ГMAТ”, дават своето изрично съгласие да бъдат обработвани техните лични данни: трите имена, единен граждански номер ЕГН, факс, телефон, електронен адрес, снимка, професионален опит, образование, включително извършване на аудио и видео наблюдение и сканиране на папиларното изображение на дланта за целите на теста“ГMAТ”.
3.2. Заповед на управителя на “Ай Ти Си И” ООД, България от 03.02.2007г., с коятое приета Инструкция за въвеждане на механизма на обработване на лични данни, необходимите технически или организационни мерки за защита на личните данни от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване. Инструкцията е издадена на основание чл.23, ал.4 от Закона за защита на личните данни и Наредба №1/07.02.2007г. за минимално ниво на технически и организационни мерки и допустимия вид защита на личните данни. Инструкцията има за цел да регламентира: 1.механизмите за водене, поддържане и защита на регистър “Кандидати изпит ГМАТ”, регистър “Системи ССТВ-изпитГМАТ” и регистър ”Биометрични данни –кандидати ГМАТ, съхраняващи лични данни за лицата, явяващи се на изпит “ГMAТ” чрез администратора; 2. задълженията на администратора и лицето по защита на личните данни, имащо достъп до лични данни и работещо под ръководството на администратора; 3.отговорността при неизпълнение на предвидените задължения; 4. необходимите технически и организационни мерки и средства за защита на личните данни на посочените по-горе физически лица от неправомерно обработване (случайно или незаконно унищожаване, случайна загуба, неправомерен достъп, изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни).
Трансферът на данни, за който е поискано разрешение от Комисията за защита на личните данни, засяга информацията, поддържана в регистрите „Кандидати изпит ГМАТ” и „Системи ССТВ – изпит ГМАТ”:
Съгласно инструкцията,личните данни в регистър„Кандидати изпит ГМАТ” се съхраняват на хартиен и технически носител. За всяко физическо лице-кандидат за теста ГМАТ се съставя отделна папка на хартиен носител. Всички папки се подреждат в специален шкаф, който се заключва и се съхраняват в помещение, което се охранява от СОД.Данните на кандидатите за теста ГМАТ се съхраняват и на технически носител-на твърд диск в мрежа. Достъп до данните има само лицето по защита на личните данни. Данните се съхраняват за срок от 10 дни от администратора. Помещението, в което се съхраняват се заключва и охранява от СОД.
Данните, съдържащи се в Регистър „Системи ССТВ – изпит ГМАТ” се съхраняватна твърд диск, в мрежа. Компютърът е свързан с обществена мрежа, но е със защитен достъп до личните данни, който е непосредствен само от страна на администратора и лицето по защитата на личните данни. При работа с данните се използват софтуерни продукти по обработка на данните, относно тяхното криптиране, антивирусна защита, периодично архивиране. Срокът за съхранение на данните е 30 дни за администратора.
4. Информация, относно получателите на данните и относно необходимостта при кандидатстване и явяване на тест “ГMAТ” да се извършва аудио и видеонаблюдениена лицата:
“ГMAC” е установила задължителни стандарти при провеждането на теста “ГMAT” във всички Тест центрове по света. Едно от основните изисквания е при провеждането на теста “ГMAT”, да се извършва аудио и видеонаблюдение, с цел да бъдат да бъдат предотвратени измамите и нарушенията (фотографиране на компютърния екран, телефонни обаждания, изпращане на текстови съобщения по телефона и електронната поща и др. ) и да се осигури почтено провеждане на теста, имащ решаващо влияние за прием на кандидатите в престижни висши учебни заведения по света. В същото време аудио и видеонаблюдение, функционира и като проверяващ механизъм, имащ за основна цел провеждането на теста да бъде справедливо, да защита интересите на кандидатите, като намалява риска от несправедлив резултат от теста и предоставя възможността на “ГMAC”, “Пиърсън Вю” и “Ай Ти Си И” ООДда отстранят нарушенията, възникнали при провеждането на теста. Кандидатите за теста “ГMAT” са многократно уведомявани и са дали изричното си съгласие да бъде извършено аудио и видеонаблюдение -информационен бюлетин, правила за провеждане на “ГMAT, договор към тях и общи условия за провеждането на теста. Също така във всеки център е поставен знак, напомнящ, че кандидатите са обект на аудио и видеонаблюдение. Информацията се записва дигитално. При инцидент, записа се изпраща до “Пиърсън Вю” –отдел”Сигурност” във Великобритания. След преглед на информацията за възникналото нарушение, нарушението може да се докладва и в “ГMAC”, САЩ с цел разследване и повдигане на обвинение на нарушителите.
5. Информация, относно получателя на данните, както и правоотношенията, в които се намират “Пиърсън Вю”, САЩ и“Ен Си Ес Пиърсън Инк., САЩ:
Получател на данните по заявения трансфер е:
1.“Пиърсън Вю”, като дружеството изпълнява ролята на обработващ данните в световен мащаб за теста “GMAТ”. Съгласно предоставената информация, “Пиърсън Вю” е дружество на“Ен Си Ес Пиърсън Инк.”, със седалище в САЩ.
2.“Градюейт Мениджмънт Адмишън Кансъл – ГМАК” е юридическо лице с нестопанска цел, регистрирана в САЩ, имаща за цел да осигури достъп до висше бизнес образование и да подпомага бизнес университетите на световно равнище.“GMAC” притежава и администрира “Градюейт Мениджмънт Адмишън Тест – ГМАТ”,най-разпространения компютъризиран тест, използван в процеса по прием на студенти във висши бизнес учебни заведения по целия свят. Този тест е от основно значение при взимане на решение за прием в такива училища, както и при отпускане на стипендии за обучение. По силата на Договор (MasterAgreement) от 28.07.2004г., “ГMAC” е възложило на “Пиърсън Вю”провеждането и администрирането в световен мащаб на тест “ГMAT”, включително и обработването на данните, добити при провеждането на теста. Въз основа на този договор и при наличието на изрично съгласие на кандидатите, явяващи се даположат теста, личните данни на кандидатитесе предоставят на около 1800 висши бизнес училища в цял свят, като самият тест се полага над 200000 пъти годишно в 93 държави. Възприето е мнението, че това е най-разпространената и достоверна форма за оценка на знанията и уменията на кандидатите. Тест“ГMAT” се администрира в световен мащаб от Тест центрове, опериращи чрез дъщерни дружества на “Пиърсън Вю” или от Тест центрове, ръководени от независимо дружество, какъвто е случая с “Ай Ти Си И” ООД. “Пиърсън Вю” има договор с всяко местно дружество, съгласно които дружествата ръководещи Тест центровете обработват лични данни, включително провеждайки тест “ГMAT”. В някои случаи се сключват и тристранни споразумения, какъвто е случая с България. На 02.06.2008г. е сключен Договор за местно представителство (Република България)между “Градюейт Мениджмънт Адмишън Кансъл”– “ГМАК”, неправителствена организация в САЩ; “PearsonVUE”, дъщерно дружество на корпорацията “Ен Си Ес Пиърсън Инк.”, САЩ и от“Ай Ти Си И” ООД, България, с който последното се задължава по силата на договор с “Пиърсън Вю” сключен на 17.01.2001г.(изменен на 25.06.2005г.), да провежда изпита по тест “ГMAТ” и да предоставя свързаните с това услуги по обработка на данните на територията на Република България за теста “ГMAТ”. С договора “Градюейт Мениджмънт Адмишън Кансъл – ГМАК” ангажира и определя “Ай Ти Си И” ООД, България за свой местен представител на територията на Република България. В това си качество, дружеството се задължава, от гледна точка на защитата на личните данни: да предоставя на “ГMAС” и другите страни по договора всякакви съобщения, които получава от регулаторни и правителствени органи или други, свързани по друг начин с “ГMAС” или въпроси, касаещи защитата на данните във връзка с “ГMАС" или теста “ГMAТ” на територията на Република България, както и да сътрудничи, съгласно основателните изисквания на “ГMАС", при попълване на уведомления, заявления или други подобни документи, свързани със защитата на данните. Договорът е в сила до 31.12.2012г.
“ГMAС” притежава теста “GMAТ”, във връзка с което се явява контролиращ орган, както по отношение спазването на всички изисквания по провеждането на теста “ГMAТ” от “Ай Ти Си И” ООД, България, така и по отношение обработването на данните, което се осъществява от “Пиърсън Вю”, САЩ. Във връзка с това, е абсолютно необходимо, “ГMAС” да получава данните от проведените тестове. При нарушение на изискванията, “ГMAС” извършва разследване и повдига обвинение на нарушителя.
Съгласно Директива № 95/46/EО на Европейския парламент и на Съвета трансфер на лични данни в трети страни може да бъде осъществен, само ако въпросната трета държава предоставя адекватно ниво на защита на данните.
Предоставянето на лични данни от администратор, установен на територията на Република България към друг администратор на лични данни извън страната, се извършва по реда на Закона за защита на личните данни, като определящ критерий относно режима на трансфер на данни е държавата, в която ще бъдат предоставени данните.
Предвид факта, че първият получател на данните “Пиърсън Вю” , дружество част от корпорацията“Ен Си Ес Пиърсън Инк.” , със седалище в САЩ е в списъка по Сейф Харбър (SafeHarbor) и при отчитане на решение на Европейската комисия № 2000/520/ЕО от 26.07.2000г. съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот” и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ, в конкретния случай са изпълнени условията за адекватно ниво на защита в третата страна. На основание чл. 36а, ал. 4, т. 1 от ЗЗЛД, КЗЛД не извършва преценка по ал. 3 в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита.
Относно вторият получател на данните, а именно: -“Градюейт Мениджмънт Адмишън Кансъл”– “ГМАК” неправителствена организация в САЩ, е видно че притежава и администрира теста –“ГMAТ”, съгласно приложените документи и провежда Политика на конфиденциалност, по отношение на личните данни на кандидатите за тест –“ГMAТ”, която е задължителна, както за неговия местен представител за Република България на теста – “Ай Ти Си И” ООД, така и за обработващия данните за целия свят – “Пиърсън Вю”. В допълнение, по отношение на предоставянето на данните, е налице изрично информирано съгласие от страна на физическите лица-кандидати за теста, чиито данни ще бъдат предмет на трансфер. Наличието на съгласие е самостоятелно основание за разрешаване на трансфера, съгласно чл.36а, ал.6, т.1от ЗЗЛД.
Във връзка с горното и на основание с чл. 36а, ал. 4, т.1 и на чл.36а, ал.6, т.1 от Закона за защита на личните данни във връзка с чл. 52, ал. 1 от Правилника за дейността на КЗЛД и на нейната администрация, Комисията за защита на личните данни,
РЕШИ:
1.Разрешава на администратора на лични данни „Ай Ти Си И" ООД, да предостави лични данни на физически лица-кандидати за теста “ГMAT” на неправителствена организация на територията на трета страна -“Градюейт Мениджмънт Адмишън Кансъл”– “ГМАК”,САЩ, в качеството му на администратор на данните и на дружество на територията на трета страна -“Пиърсън Вю”, дъщерно дружество на корпорацията “Ен Си Ес Пиърсън Инк.”, САЩ, в качеството му на обработващ данните,за срока на действие на Договора за местно представителство (Република България),в следния обем:
– име, единен граждански номер, адрес, телефон, пол, роден език, гражданство, снимка, подпис, професионален опит, образование;
– снимка, видеонаблюдение (биометрични данни).
2. Указва на администратора на лични данни „Ай Ти Си И" ООД да актуализира информацията, съдържаща се в регистър”Системи ССТВ-изпит ГМАТ” в Регистъра на администраторите на лични данни и поддържаните от тях регистри към КЗЛД, като впише възможно трансфериране на данни в САЩ.
Решението на Комисията може да се обжалва пред Върховния административен съд в 14 (четиринадесет) дневен срок от получаването му.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венета Шопова /п/ |
|
