Кой е администратор на лични данни?

Продължава общественото обсъждане на Насоките относно концепциите за администратор и обработващ лични данни

На своето 37-мо пленарно заседание, състояло се на 4 септември 2020 г. Европейския комитет по защита на данните (ЕКЗД) прие Насоки относно концепциите за администратор и обработващ лични данни според Общия регламент относно защитата на данните. Това съобщи сайтът на Комисията за защита на личните данни ден след www.duncheva.bg.

Насоките се състоят от две основни части – една, обясняваща различните понятия, и друга, включваща подробни насоки за администраторите, обработващите и съвместните администратори, а общественото обсъждане е до 19 октомври 2020 г.

Определението за администратор съдържа пет основни градивни блока, които са анализирани отделно за целите на насоките:

▪ „физическо или юридическо лице, публичен орган, агенция или друга структура“

▪ „определя“

▪ „сам или съвместно с други”

▪ „целите и средствата“

▪ „на обработката на лични данни“.

„Физическо или юридическо лице, публичен орган, агенция или друга структура“

Първият градивен блок се отнася до типовете обекти, които могат да бъдат администратори. Съгласно GDPR по принцип няма ограничение по отношение на типа субект, който може да поеме ролята на администратор – може да е организация, но може да е и физическо лице или група лица. На практика ролята на администратор обикновено се поема от организацията, а не от физическо лице в нея (изпълнителен директор, служител или член на управителния съвет).

Насоките уточняват, че при обработка на данни в рамките на дадена фирмена група, трябва да се обърне специално внимание на въпроса дали дадено предприятие действа като администратор или обработващ, например при обработка на данни от името на компанията майка.

Понякога компаниите и публичните органи назначават конкретно лице, отговорно за изпълнениетона операциите по обработка. Дори ако е назначено конкретно физическо лице, което да гарантира спазването на правилата за защита на данните, това лице няма да бъде администраторът, а ще действа от името на юридическото лице (компания или публичен орган), която ще носи крайна отговорност в случай на нарушение на правилата, пише в насоките.

„Определя“

Вторият градивен елемент на концепцията на администратора се отнася до влиянието му върху обработката, по силата на упражняване на правомощията за вземане на решения. Администраторът е орган, който решава ключови елементи за обработката. Това право може да бъде дефинирано от закона или може да произтича от анализ. Трябва да се разгледат конкретните операции по обработване и да се разбере кой ги определя, като първо се разглеждат въпросите: „ защо се извършва тази обработка ?“ и „кой реши, че обработката трябва да се извърши с определена цел?” В повечето ситуации „определящият орган“ може лесно и ясно да бъде идентифициран чрез позоваване на определени правни и / или фактически обстоятелства, от които обикновено може да се изведе „влияние“, освен ако други елементи не показват обратното. Могат да се разграничат две категории ситуации: (1) контрол, произтичащ от законови разпоредби; и (2) контрол, произтичащ от фактическо влияние.

  • Контрол, произтичащ от законови разпоредби.

Има случаи, при които контролът може да се изведе от изрична правна компетентност, напр. когато администраторът или конкретните критерии за неговото номиниране са определени от националното законодателство или законодателството на Съюза. Всъщност член 4, параграф 7 заявява, че „когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка“.

Когато администраторът е конкретно идентифициран от закона, това ще бъде определящо за установяване кой действа като администратор. Това предполага, че законодателят е определил за администратор субекта, който има истинска способност да упражнява контрол.

В някои държави националното законодателство предвижда, че публичните власти са отговорни за обработката на лични данни в контекста на своите задължения.

Въпреки това, по-често, вместо директно да определя администратора или критериите за неговото назначаване, законът ще определи задача или ще наложи задължение на някого да събира и обработва определени данни. В тези случаи целта на обработката често се определя от закона. Обикновено администраторът е този, определен от закона за осъществяването на тази цел, тази обществена задача. Например това би било случаят, когато субект, на когото са възложени определени обществени задачи (напр. Социално осигуряване), които не могат да бъдат изпълнени без събиране на поне някои лични данни, създава база данни или регистър, за да се изпълнят тези публични задачи. В този случай законът, макар и косвено, определя кой е администраторът. По-общо казано, законът може също така да наложи задължение на публични или частни субекти да запазят или предоставят определени данни. Тогава тези субекти обикновено биха се считали за администратори по отношение на обработката, която е необходима за изпълнение на това задължение.

Пример: Правни разпоредби

Националното законодателство в държава А предвижда задължение на общинските власти да предоставят социални помощи, като месечни плащания на граждани в зависимост от тяхното финансово състояние. За да извърши тези плащания, общинският орган трябва да събира и обработва данни за материалното положение на кандидатите. Въпреки че законът не посочва изрично, че общинските власти са администратори/контролиращи тази обработка, това следва имплицитно от законовите разпоредби.

Можете да споделите: