КЗЛД публикува становище за изясняване на връзката „администратор – обработващ” по GDPR

„Съгласно легалната дефиниция, визирана в чл. 4, т. 7 от Регламент (ЕС) 2016/679, администратор „означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка”.

Качеството администратор е пряко следствие от обстоятелството, че конкретно юридическо или физическо лице е избрало да обработва лични данни за свои цели или за цели, които са регламентирани с нормативен акт. При това положение, извън случаите когато това е законово определено, администраторът сам взема решение относно необходимостта от събиране на лични данни, категориите лични данни, дали те да бъдат променяни или модифицирани в хода на обработването, къде и как тези данни да бъдат използвани и с каква цел, дали данните да бъдат разкрити на трети страни и кои да бъдат те, както и за колко време те ще бъдат съхранявани, и кога и по какъв начин да бъдат унищожени.

В допълнение, Регламентът вменява на администратора определен кръг от задължения. Той трябва да предприеме подходящи технически и организационни мерки, свързани със сигурността на данните, като вземе предвид естеството, обхвата, контекста и целите на обработването на данните, както и съществуващите рискове за правата и свободите на субектите на данните. Освен това, съгласно разпоредбата на чл. 30, § 1 от Регламент (ЕС) 2016/679, администраторът поддържа регистър на дейностите по обработване, за които отговаря. Този ангажимент произтича от принципа за отчетност и необходимостта администраторът във всеки един момент да бъде способен да докаже, че спазва изискванията, залегнали в регламента.

От друга страна, обработващият лични данни е „физическо или юридическо лице, публичен орган, агенция или структура, която обработва лични данни от името на администратора” (чл. 4, т. 8 от Регламент (ЕС) 2016/679).

Основната разлика между фигурите на администратора и обработващия се състои в това, че вторият не действа самостоятелно, а от името на администратора на лични данни, т.е. правните последиците от обработването на личните данни настъпват директно в правната сфера на администратора.

Отношенията администратор – обработващ се уреждат с договор или с друг правен акт съгласно правото на ЕС или правото на държава членка, който регламентира предмета и срока на действие, естеството и целта на обработването, вида лични данни и категориите субекти на данни и правата и задълженията на администратора, вкл. да извършва проверки (одити).

Поначало, администраторът може да възлага на обработващ дейности по обработка на лични данни, за които самият той има правна възможност да извършва, но поради различни причини от организационно, техническо, финансово или друго естество е преценил, че е по-подходящо да се извършват от фигурата на обработващия. В този ред на мисли следва да се има предвид, че предоставянето на услуги, при които обичайно се обменят лични данни между възложителя и изпълнителя, не води автоматично до възникване на отношения между администратор и обработващ по смисъла на чл. 28 от Регламента (теза, изразена в редица становища на КЗЛД).

Общият регламент въвежда и специфични задължения за обработващия данните, които не се ограничават само и единствено до осигуряване на сигурност на данните. Така например, той е длъжен да обработва лични данни само по документирано нареждане от страна на администратора /арг. чл. 28, § 3, б. „а” вр. с чл. 29 от Общия регламент/. В случаите, когато е необходимо назначаването на друг обработващ данните, това става само с изричното писмено разрешение на администратора. Подобно на администратора, съгласно чл. 30, § 2 от Общия регламент, обработващият също поддържа регистър на дейностите по обработване, за които отговаря.

В допълнение, с оглед още по-голяма яснота, разпоредбата на чл. 28, § 10 от Общия регламент изрично предвижда, ако обработващият започне сам да определя целите и средствата на обработване, той автоматично започва да се счита за администратор.

Разпределението на ролите и отговорностите между администратора и обработващия има една основна цел, а именно да гарантира, че обработването на лични данни протича в съответствие с изискванията на Регламент (ЕС) 2016/679 и съответно осигурява защита на правата на физическите лица – субекти на данни.”

Това е текст от изразеното становище на КЗЛД, целящо да даде насоки при определяне на фигурите „администратор” и „обработващ лични данни” по смисъла на Общия регламент относно защитата на данните при договорни правоотношения между Националната здравноосигурителна каса (НЗОК) и аптеките в контекста на приложимото специално законодателство в сферата на здравеопазването.

Според КЗЛД: “1.Договорът между НЗОК и аптеките, който урежда отношенията между тях на основание Закона за здравното осигуряване и Наредба № 4 от 4 март 2009 г. за условията и реда за предписване и отпускане на лекарствени продукти, издадена от министъра на здравеопазването, не води до възникване на правоотношение администратор – обработващ лични данни по смисъла на чл. 28 от Регламент (ЕС) 2016/679. Въпросният договор има характер на нормативен административен акт, който допълва императивната правна уредба в тази област.

2.По принцип дружествата, които предоставят услуги при условията на строга и изчерпателна законова регламентация, въз основа на лицензия или аналогично индивидуално разрешение от държавата и под контрола на изрично определени публични органи, не биха могли да се разглеждат като обработващи лични данни, а като самостоятелни администратори. Наред с това, специалното законодателство в сферата на здравеопазването предвижда редица задължения, мерки, механизми, ред и условия за обработка и защита на личните данни, които не могат да бъдат дерогирани с договор по смисъла на чл. 28 от Общия регламент.”

 

Можете да споделите: