Кой е администратор на лични данни Vol 2?

Продължава общественото обсъждане на Насоките относно концепциите за администратор и обработващ лични данни

На своето 37-мо пленарно заседание, състояло се на 4 септември 2020 г. Европейския комитет по защита на данните (ЕКЗД) прие Насоки относно концепциите за администратор и обработващ лични данни според Общия регламент относно защитата на данните. Това съобщи сайтът на Комисията за защита на личните данни ден след www.duncheva.bg.

Насоките се състоят от две основни части – една, обясняваща различните понятия, и друга, включваща подробни насоки за администраторите, обработващите и съвместните администратори, а общественото обсъждане е до 19 октомври 2020 г.

Определението за администратор съдържа пет основни градивни блока, които са анализирани отделно за целите на насоките: ▪ „физическо или юридическо лице, публичен орган, агенция или друга структура“▪ „определя“▪ „сам или съвместно с други”▪ „целите и средствата“▪ „на обработката на лични данни“.

На 23 септември разказах за  контрола, произтичащ от законови разпоредби. Днес от насоките представям

2) Контролът, произтичащ от фактическо влияние

При липса на контрол, произтичащ от законови разпоредби, квалифицирането на дадена страна като администратор трябва да бъде установено въз основа на оценка на фактическите обстоятелства около обработването.

Всички релевантни фактически обстоятелства трябва да бъдат взети под внимание, за да се стигне до заключение дали даден субект упражнява определящо влияние по отношение на обработването на въпросните лични данни.

Необходимостта от фактическа оценка означава също така, че ролята на администратора не произтича от естеството му на субект, който обработва данни, а от конкретните му дейности в специфичен контекст. С други думи, един и същ обект може да действа едновременно като администратор за определени операции по обработка и като обработващ за други, като квалификацията на администратор или обработващ трябва да бъде оценена по отношение на всяка конкретна дейност по обработка на данни.

На практика определени дейности по обработка могат да се считат за естествено свързани с ролята или дейностите на дадено образувание, което в крайна сметка води до отговорности от гледна точка на защитата на данните. Това може да се дължи на по-общи правни разпоредби или на установена правна практика в различни области (гражданско право, търговско право, трудово право и др.). В този случай съществуващите традиционни роли и професионален опит, които обикновено предполагат определена отговорност, ще помогнат при идентифицирането на администратора, например работодател във връзка с обработката на лични данни за неговите служители, издател, обработващ лични данни за своите абонати, или обработка на лични данни от асоциация за нейните членове или сътрудници. Когато даден субект се занимава с обработка на лични данни като част от взаимодействията си със собствените си служители, клиенти или членове, той обикновено е този, който фактически може да определи целта и средствата около обработката и следователно действа като администратор по смисъла от ОРЗД.

Пример: Адвокатски кантори

Компанията ABC наема адвокатска кантора, която да я представлява в спор. За да изпълни тази задача, адвокатската кантора трябва да обработва лични данни, свързани със случая. Причините за обработването на личните данни е мандатът на адвокатското дружество да представлява клиента в съда. Този мандат обаче не е специално насочен към обработката на лични данни. Адвокатската кантора действа със значителна степен на независимост, например при вземането на решение каква информация да се използва и как да се използва, и няма инструкции от компанията клиент относно обработката на личните данни. Следователно обработката, която адвокатското дружество извършва, за да изпълни задачата като законен представител на дружеството, е свързана с функционалната роля на адвокатското дружество, така че то да се счита за администратор на тази обработка.

В много случаи оценката на договорните условия между различните участващи страни може да улесни определянето коя страна (или страни) действа като администратор. Дори ако договорът мълчи що се отнася до това кой е администраторът, той може да съдържа достатъчно елементи, за да се направи извод кой има ролята за вземане на решения по отношение на целите и средствата на обработката. Възможно е също така договорът да съдържа изрично изявление относно самоличността на администратора. Ако няма причина да се съмнявате, че това точно отразява реалността, няма проблем със спазването на условията на договора.

Условията на договора обаче не са решаващи при всички обстоятелства, тъй като това просто би позволило на страните да разпределят отговорността, както сметнат за добре. Не е възможно нито да станете администратор, нито да избягате от задълженията на администратора, просто като оформите договора по определен начин, когато фактическите обстоятелства казват нещо друго.

Ако една страна всъщност реши защо и как се обработват лични данни, тази страна ще бъде администратор, дори ако в договора е записано, че тя е обработващ. По подобен начин не защото търговският договор използва термина „подизпълнител“, дадено предприятие ще се счита за обработващ от гледна точка на закона за защита на данните.

В съответствие с фактическия подход думата „определя“ означава, че субектът, който действително оказва влияние върху целите и средствата на обработката, е администраторът. Обикновено споразумението за обработващ определя коя е определящата страна (администратор) и инструктираната страна (обработващ).

Дори ако обработващият предлага услуга, която е предварително дефинирана по специфичен начин, администраторът трябва да бъде представен с подробно описание на услугата и трябва да вземе окончателното решение да одобри активно начина на извършване на обработката и да може да поиска промени, ако е необходимо.

Освен това обработващият не може на по-късен етап да променя основните елементи на обработката без одобрението на администратора.

Можете да споделите: