Последно актуализиран на 29 Април 2024 Кой кой е в обработването на лични данни - администратор на лични данни; обработващ лични данни; лица, действащи под ръководството на АЛД и ОЛД
Отговор, предоставен отдоц. д-р Андрей Александров
11 Септ 2023
➤ Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) запази познатата от Директива 95/46/ЕО концепция за ролите на администратор и обработващ лични данни. При все това, в съвременния свят на все по-комплексни дейности по обработване на данни, преценката кой е администратор и кой е обработващ личните данни стават все по-трудни. Често дори в рамките на едно единствено правоотношение (напр. договор за услуги) едно лице може да съвместява едновременно функции на администратор и обработващ. Макар определянето на ролите на лицата, участващи в обработването на личните данни, да представлява сериозно предизвикателство, то е от ключово значение за спазване изискванията на Регламента и за гарантиране правата на субектите на данни.
Администратор на лични данни (АЛД) съгласно Регламент (ЕС) 2016/679 е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка (чл. 4, т. 7). Администраторът може да обработва личните данни самостоятелно или чрез възлагане на обработващ/и лични данни. От своя страна, обработващ лични данни (ОЛД) е физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора (чл. 4, т. 8).
Следователно АЛД е лицето, което само или съвместно с други определя целите и средствата за обработването на личните данни, а ОЛД е лице, което обработва лични данни от името на администратора.
Дефиницията за администратор ясно сочи, че водещата характеристика на администратора е това, че той определя целите и средствата за обработването на личните данни. Тази негова характеристика допълнително се потвърждава от нормата на чл. 28, ал. 10 от Регламента, която предвижда, че ако ОЛД наруши Регламента, определяйки целите и средствата на обработването, той се счита за администратор по отношение на това обработване. Вземането на ключовите решения относно обработването на личните данни е изцяло дейност и отговорност на администратора. С вземането на тези решения всъщност администраторът поема отговорността за законосъобразността им обработване и за него възникват задълженията да осигури и гарантира защитата на правата на субектите на данни. За разлика от администратора, обработващият действа от името на администратора, т. е. по възлагане, съгласно нарежданията на администратора и взетите от него решения. Функциите на обработващия и извършваните от него дейности са подчинени на решенията, взети от администратора и адресирани като нареждания към обработващия.
Типични примери, при които има възлагане на дейности по обработване на лични данни от администратор към обработващ лични данни са възлагането дейности по изготвяне на ведомости за заплати към външна счетоводна къща, използването на различни облачни услуги и платформи, използване на хостинг услуги, на външни услуги за поддръжка на информационните и комуникационни технологии, използване на външен кол център за обслужване на клиенти и др. под.
В случаите, когато обработващият вземе решение относно целите или средствата за обработване на личните данни, той се отклонява от нарежданията на администратора по един от следните начини:
1) извършва дейности по обработване, които не са му били наредени/указани от администратора, т.е. действия без необходимите нареждания от администратора; или
2) извършва дейности по обработване, които нарушават нарежданията, дадени му от администратора, т.е. е в пряко неизпълнение на нарежданията на администратора.
Отклоненията на обработващия от нарежданията на администратора (без значение от техния характер) препятстват възможността на администратора да осигури законосъобразността на обработването и/или да гарантира правата на засегнатите субекти.
За да бъде разбрана по-добре ролята на администратора е необходимо да бъдат разгледани по-подробно ключовите въпроси относно обработването на личните данни, които се решават от него. Тези въпроси се отнасят до:
(1) целите на обработването;
(2) средствата, с които се обработват личните данни;
(3) данните, които се обработват;
(4) сроковете, в които се обработват;
(5) мястото, където се обработват; и
(6) лицата, които обработват данните.
Макар текстът на Регламента да посочва изрично само, че администраторът определя целите и средствата за обработване на данните, тяхното определяне е пряко свързано и с другите изброени по-горе основни аспекти на обработването. По-конкретно, в съответствие с принципите на чл. 5 от Регламент (ЕС) 2016/679, при определяне на целите за обработването на лични данни администраторът задължително следва да определи и какви данни са необходими за тези цели (принцип за свеждане на данните до минимум), както и сроковете, в които е необходимо данните да бъдат обработвани за тези цели (принцип за ограничение на съхранението). Що се отнася до средствата за обработване на данните, то те следва да бъдат разбирани широко – не само с какви конкретни средства, но и как, по какъв начин ще бъдат обработвани данните, къде и от кого. Всеки един от тези аспекти е ключов, за да може администраторът да изпълни задължението си по чл. 24, ал. 1 от Регламент (ЕС) 2016/679 „да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с“ Регламента.
ЛИЦА, ДЕЙСТВАЩИ ПОД РЪКОВОДСТВОТО НА АЛД ИЛИ ОЛД
Разпоредбата на чл. 29 от Регламента предвижда, че обработващият и всяко лице, действащо под ръководството на администратора или на обработващия, което има достъп до личните данни, обработва тези данни само по указание на администратора, освен ако обработването не се изисква от правото на Съюза или правото на държава членка. Наличието на специален и самостоятелен текст в Регламента, посветен на „обработването под ръководството на администратора или на обработващия лични данни“ ясно сочи, че освен фигурите на администратора и обработващия лични данни Регламент (ЕС) 2016/679 ясно разграничава и фигурата на „лица, действащи под ръководството на администратора или на обработващия“. „Лицата, действащи под ръководството на администратора или на обработващия“ не са администратори или обработващи, в противен случай Регламентът би използвал официалните термини „администратор“ или „обработващ“. Това са служителите на администратора или на обработващия, които под тяхно ръководство извършват дейности по обработване на лични данни.
При осъществяване на дейности по обработване на лични данни от служителите на администратора, възложени им от администратора, тези служители действат като „лица, действащи под ръководството на администратора“, а не като обработващи личните данни. Извършените съобразно указанията на техния работодател – администратора, действия следва да се считат за действия на самия администратор.
СЪВМЕСТНИ АДМИНИСТРАТОРИ
Регламент (ЕС) 2016/679 въведе и едно изцяло ново понятие – „съвместни администратори“ (чл. 26). Съвместни администратори са двама или повече администратори, които съвместно определят целите и средствата на обработването.
Съвместните администратори трябва да определят по прозрачен начин съответните си отговорности за изпълнение на задълженията си по Регламента, по-специално що се отнася до упражняването на правата на субекта на данни и съответните им задължения за предоставяне на информацията, посочена в чл. 13 и чл. 14, посредством договореност помежду си, освен ако и доколкото съответните отговорности на администраторите не са определени от правото на Съюза или правото на държава членка, което се прилага спрямо администраторите. Уговорките между съвместните администратори трябва надлежно да отразява съответните роли и връзки на съвместните администратори спрямо субектите на данни и съществените елементи на тези уговорки трябва да са достъпни за субекта на данните.
С оглед принципа за отчетност е необходимо уговорките между съвместните администратори да са уредени писмено, за да бъдат в състояние да докажат спазването на изискванията на Регламента. Същото важи и за договореностите между самостоятелни администратори, които обменят лични данни помежду си.
Без значение какви са уговорките между съвместните администратори, те не са пречка пред субекта на данни да упражнява правата си по отношение на всеки един от тях.
ЗАДЪЛЖЕНИЯ НА ОЛД
Една съществена новост, която въведе Регламент (ЕС) 2016/679, е свързана със задълженията на ОЛД. При действието на предходното законодателство по защита на личните данни единствено АЛД носеше отговорността за законосъобразното им обработване. С новите правила на Регламента се възлагат директно задължения и към обработващите. Обработващите лични данни също така вече ще могат и да бъдат санкционирани за нарушения на изискванията на Регламента.
Отношенията между обработващия и администратора относно обработването на личните данни трябва да бъдат уредени с писмен договор или с друг правен акт съгласно правото на Съюза или правото на държава членка, който е задължителен за обработващия лични данни спрямо администратора, и който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора. В този договор или друг правен акт трябва задължително да са предвидени, че обработващият лични данни:
Администратор на лични данни (АЛД) съгласно Регламент (ЕС) 2016/679 е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка (чл. 4, т. 7). Администраторът може да обработва личните данни самостоятелно или чрез възлагане на обработващ/и лични данни. От своя страна, обработващ лични данни (ОЛД) е физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора (чл. 4, т. 8).
Следователно АЛД е лицето, което само или съвместно с други определя целите и средствата за обработването на личните данни, а ОЛД е лице, което обработва лични данни от името на администратора.
Дефиницията за администратор ясно сочи, че водещата характеристика на администратора е това, че той определя целите и средствата за обработването на личните данни. Тази негова характеристика допълнително се потвърждава от нормата на чл. 28, ал. 10 от Регламента, която предвижда, че ако ОЛД наруши Регламента, определяйки целите и средствата на обработването, той се счита за администратор по отношение на това обработване. Вземането на ключовите решения относно обработването на личните данни е изцяло дейност и отговорност на администратора. С вземането на тези решения всъщност администраторът поема отговорността за законосъобразността им обработване и за него възникват задълженията да осигури и гарантира защитата на правата на субектите на данни. За разлика от администратора, обработващият действа от името на администратора, т. е. по възлагане, съгласно нарежданията на администратора и взетите от него решения. Функциите на обработващия и извършваните от него дейности са подчинени на решенията, взети от администратора и адресирани като нареждания към обработващия.
Типични примери, при които има възлагане на дейности по обработване на лични данни от администратор към обработващ лични данни са възлагането дейности по изготвяне на ведомости за заплати към външна счетоводна къща, използването на различни облачни услуги и платформи, използване на хостинг услуги, на външни услуги за поддръжка на информационните и комуникационни технологии, използване на външен кол център за обслужване на клиенти и др. под.
В случаите, когато обработващият вземе решение относно целите или средствата за обработване на личните данни, той се отклонява от нарежданията на администратора по един от следните начини:
1) извършва дейности по обработване, които не са му били наредени/указани от администратора, т.е. действия без необходимите нареждания от администратора; или
2) извършва дейности по обработване, които нарушават нарежданията, дадени му от администратора, т.е. е в пряко неизпълнение на нарежданията на администратора.
Отклоненията на обработващия от нарежданията на администратора (без значение от техния характер) препятстват възможността на администратора да осигури законосъобразността на обработването и/или да гарантира правата на засегнатите субекти.
За да бъде разбрана по-добре ролята на администратора е необходимо да бъдат разгледани по-подробно ключовите въпроси относно обработването на личните данни, които се решават от него. Тези въпроси се отнасят до:
(1) целите на обработването;
(2) средствата, с които се обработват личните данни;
(3) данните, които се обработват;
(4) сроковете, в които се обработват;
(5) мястото, където се обработват; и
(6) лицата, които обработват данните.
Макар текстът на Регламента да посочва изрично само, че администраторът определя целите и средствата за обработване на данните, тяхното определяне е пряко свързано и с другите изброени по-горе основни аспекти на обработването. По-конкретно, в съответствие с принципите на чл. 5 от Регламент (ЕС) 2016/679, при определяне на целите за обработването на лични данни администраторът задължително следва да определи и какви данни са необходими за тези цели (принцип за свеждане на данните до минимум), както и сроковете, в които е необходимо данните да бъдат обработвани за тези цели (принцип за ограничение на съхранението). Що се отнася до средствата за обработване на данните, то те следва да бъдат разбирани широко – не само с какви конкретни средства, но и как, по какъв начин ще бъдат обработвани данните, къде и от кого. Всеки един от тези аспекти е ключов, за да може администраторът да изпълни задължението си по чл. 24, ал. 1 от Регламент (ЕС) 2016/679 „да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с“ Регламента.
ЛИЦА, ДЕЙСТВАЩИ ПОД РЪКОВОДСТВОТО НА АЛД ИЛИ ОЛД
Разпоредбата на чл. 29 от Регламента предвижда, че обработващият и всяко лице, действащо под ръководството на администратора или на обработващия, което има достъп до личните данни, обработва тези данни само по указание на администратора, освен ако обработването не се изисква от правото на Съюза или правото на държава членка. Наличието на специален и самостоятелен текст в Регламента, посветен на „обработването под ръководството на администратора или на обработващия лични данни“ ясно сочи, че освен фигурите на администратора и обработващия лични данни Регламент (ЕС) 2016/679 ясно разграничава и фигурата на „лица, действащи под ръководството на администратора или на обработващия“. „Лицата, действащи под ръководството на администратора или на обработващия“ не са администратори или обработващи, в противен случай Регламентът би използвал официалните термини „администратор“ или „обработващ“. Това са служителите на администратора или на обработващия, които под тяхно ръководство извършват дейности по обработване на лични данни.
При осъществяване на дейности по обработване на лични данни от служителите на администратора, възложени им от администратора, тези служители действат като „лица, действащи под ръководството на администратора“, а не като обработващи личните данни. Извършените съобразно указанията на техния работодател – администратора, действия следва да се считат за действия на самия администратор.
СЪВМЕСТНИ АДМИНИСТРАТОРИ
Регламент (ЕС) 2016/679 въведе и едно изцяло ново понятие – „съвместни администратори“ (чл. 26). Съвместни администратори са двама или повече администратори, които съвместно определят целите и средствата на обработването.
Съвместните администратори трябва да определят по прозрачен начин съответните си отговорности за изпълнение на задълженията си по Регламента, по-специално що се отнася до упражняването на правата на субекта на данни и съответните им задължения за предоставяне на информацията, посочена в чл. 13 и чл. 14, посредством договореност помежду си, освен ако и доколкото съответните отговорности на администраторите не са определени от правото на Съюза или правото на държава членка, което се прилага спрямо администраторите. Уговорките между съвместните администратори трябва надлежно да отразява съответните роли и връзки на съвместните администратори спрямо субектите на данни и съществените елементи на тези уговорки трябва да са достъпни за субекта на данните.
С оглед принципа за отчетност е необходимо уговорките между съвместните администратори да са уредени писмено, за да бъдат в състояние да докажат спазването на изискванията на Регламента. Същото важи и за договореностите между самостоятелни администратори, които обменят лични данни помежду си.
Без значение какви са уговорките между съвместните администратори, те не са пречка пред субекта на данни да упражнява правата си по отношение на всеки един от тях.
ЗАДЪЛЖЕНИЯ НА ОЛД
Една съществена новост, която въведе Регламент (ЕС) 2016/679, е свързана със задълженията на ОЛД. При действието на предходното законодателство по защита на личните данни единствено АЛД носеше отговорността за законосъобразното им обработване. С новите правила на Регламента се възлагат директно задължения и към обработващите. Обработващите лични данни също така вече ще могат и да бъдат санкционирани за нарушения на изискванията на Регламента.
Отношенията между обработващия и администратора относно обработването на личните данни трябва да бъдат уредени с писмен договор или с друг правен акт съгласно правото на Съюза или правото на държава членка, който е задължителен за обработващия лични данни спрямо администратора, и който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора. В този договор или друг правен акт трябва задължително да са предвидени, че обработващият лични данни:
- обработва личните данни само по документирано нареждане на администратора;
- гарантира, че лицата, оправомощени да обработват личните данни (лицата, действащи под контрола на обработващия), са поели ангажимент за поверителност или са задължени по закон да спазват поверителност;
- прилага подходящи технически и организационни мерки за осигуряване сигурността на личните данни;
- подпомага администратора, за да се гарантира изпълнението на изискванията за осигуряване на сигурност на личните данни, за уведомяване при нарушения в сигурността на данните и за извършването на оценка на въздействието и за провеждането на предварителни консултации с надзорния орган (КЗЛД), като отчита естеството на обработване и информацията, до която му е осигурен достъп;
- подпомага администратора, доколкото е възможно, чрез подходящи технически и организационни мерки при изпълнението на задължението на администратора да отговори на искания за упражняване на правата на субектите на данни;
- по избор на администратора заличава или връща на администратора всички лични данни след приключване на услугите по обработване и заличава съществуващите копия, освен ако правото на Съюза или правото на държава членка не изисква тяхното съхранение; и
- осигурява достъп на администратора до цялата информация, необходима за доказване на изпълнението на посочените по-горе задължения, и позволява и допринася за извършването на одити, включително проверки, от страна на администратора или друг одитор, оправомощен от администратора.
В допълнение към гореизброените изисквания Регламент (ЕС) 2016/679 въвежда и някои изключително важни задължения, отнасящи се до превъзлагането на дейности по обработване от обработващия към подизпълнители/подобработващи.
Обработващият не може да включва друг обработващ данни без предварителното конкретно или общо писмено разрешение на администратора. В случай на общо писмено разрешение, обработващият данни винаги информира администратора за всякакви планирани промени за включване или замяна на други лица, обработващи данни, като по този начин дава възможност на администратора да оспори тези промени.
Когато обработващ лични данни включва друг обработващ лични данни за извършването на дейности по обработване от името на администратора на това друго лице също е необходимо да се наложат (с договор или друг правен акт) същите задължения за защита на данните като задълженията, предвидени между администратора и обработващия лични данни.
Не на последно място за обработващите лични данни лица са въведени и задължения да поддържат регистри на всички категории дейности по обработване, извършени от името на администратор, както и за определяне на длъжностно лице по защита на данните, ако характерът на извършваните дейности по обработване налага назначаването на такова (съобразно критериите по чл. 37, ал. 1).
Обработващият не може да включва друг обработващ данни без предварителното конкретно или общо писмено разрешение на администратора. В случай на общо писмено разрешение, обработващият данни винаги информира администратора за всякакви планирани промени за включване или замяна на други лица, обработващи данни, като по този начин дава възможност на администратора да оспори тези промени.
Когато обработващ лични данни включва друг обработващ лични данни за извършването на дейности по обработване от името на администратора на това друго лице също е необходимо да се наложат (с договор или друг правен акт) същите задължения за защита на данните като задълженията, предвидени между администратора и обработващия лични данни.
Не на последно място за обработващите лични данни лица са въведени и задължения да поддържат регистри на всички категории дейности по обработване, извършени от името на администратор, както и за определяне на длъжностно лице по защита на данните, ако характерът на извършваните дейности по обработване налага назначаването на такова (съобразно критериите по чл. 37, ал. 1).
С уважение:
доц. д-р Андрей Александров
доц. д-р Андрей Александров
БЕЗПЛАТНО приложение portalpravo.bg
Бъдете в крак с всички решения, предложени от специалистите.
Абонирайте се сега в бюлетина на PortalPravo.bg и получете специалния PDF "33 правни анализа от експерти"!
Подобни статии от категория Лични данни
12Окт2023
Условия и ред за осъществяване на контрол се определят с инструкция на комисията (чл. 12, ал. 10 ЗЗЛД)
от доц. д-р Андрей Александров
12 Окт 2023
12Окт2023
Действия и приключване по време на проверка от Комисията за защита на личните данни на място според Инструкцията
от доц. д-р Андрей Александров
12 Окт 2023
12Окт2023
Въпроси, които се задават по време на проверките на КЗЛД
от доц. д-р Андрей Александров
12 Окт 2023
11Окт2023
Съдействие на инспектиращите екипи при проверка от Комисията за защита на личните данни
от доц. д-р Андрей Александров
11 Окт 2023
13Септ2023
Задачи на длъжностното лице по защита на данните
от доц. д-р Андрей Александров
13 Септ 2023
12Септ2023
Изисквания на длъжностното лице по защита на данните
от доц. д-р Андрей Александров
12 Септ 2023