Кой е администратор на лични данни Vol 3?

Продължава общественото обсъждане на Насоките относно концепциите за администратор и обработващ лични данни

На своето 37-мо пленарно заседание, състояло се на 4 септември 2020 г. Европейския комитет по защита на данните (ЕКЗД) прие Насоки относно концепциите за администратор и обработващ лични данни според Общия регламент относно защитата на данните. Това съобщи сайтът на Комисията за защита на личните данни ден след www.duncheva.bg.

Насоките се състоят от две основни части – една, обясняваща различните понятия, и друга, включваща подробни насоки за администраторите, обработващите и съвместните администратори, а общественото обсъждане е до 19 октомври 2020 г.

Определението за администратор съдържа пет основни градивни блока, които са анализирани отделно за целите на насоките: ▪ „физическо или юридическо лице, публичен орган, агенция или друга структура“▪ „определя“▪ „сам или съвместно с други”▪ „целите и средствата“▪ „на обработката на лични данни“.

На 23 септември разказах за  контрола, произтичащ от законови разпоредби.

На 26 септември разказах за контрола, произтичащ от фактическо влияние

Днес от насоките представям концепцията „сам или съвместно с други“

Член 4, параграф 7 (от GDPR бел. ред.) признава, че „целите и средствата“ на обработката могат да бъдат определени от повече от един участник. В него се посочва, че администраторът е участникът, който „сам или съвместно с други“ определя целите и средствата на обработката. Това означава, че няколко различни субекта могат да действат като администратори за една и съща обработка, като всеки от тях след това е обект на приложимите разпоредби за защита на данните. Съответно, една организация все още може да бъде администратор, дори ако не взема всички решения относно целите и средствата. Критериите за съвместно управление и степента, до която двама или повече участници упражняват съвместно контрол могат да приемат различни форми.

Четвъртият градивен елемент на дефиницията на администратора се отнася до обекта на влияние на администратора „Целите и средствата“ на обработката.

Той представлява съществената част от концепцията на администратора: какво трябва да определи дадена страна, за да се квалифицира като администратор.

Речниците определят „цел“ като „очакван резултат, който е предвиден или който ръководи вашите планирани действия“, а „средства“ като „как се получава резултат или постига край“.

GDPR установява, че данните трябва да се събират за конкретни, изрични и легитимни цели и да не се обработват допълнително по начин, несъвместим с тези цели. Следователно определянето на „целите“ на обработката и „средствата“ за тяхното постигане е особено важно.

Определянето на целите и средствата се свежда до решаване съответно на „защо“ и „как“ на обработката: при дадена конкретна операция по обработка, администраторът е участникът, който е определил защо се извършва обработката (т.е. „до какъв край“; или „за какво“) и как тази цел трябва да бъде постигната (т.е. какви средства да бъдат използвани за постигане на целта). Физическо или юридическо лице, което упражнява такова влияние върху обработката на лични данни, като по този начин участва в определянето на целите и средствата за тази обработка e определението в член 4, параграф 7 от GDPR.

Администраторът трябва да вземе решение както за целта, така и за средствата на обработката. В резултат на това администраторът не може да се ограничи само с определяне на целта. Той също трябва да взема решения за средствата за обработка. И обратно, страната, която действа като обработващ, никога не може да определи целта на обработката.

На практика, ако администраторът ангажира обработващ лични данни, за да извърши обработката от негово име, това често означава, че обработващият лични данни може да вземе собствени решения за това как да извърши обработката.

EDPB признава, че може да съществува известна свобода на маневриране, за да може обработващият да вземе и някои решения във връзка с обработката. В тази перспектива е необходимо да се предоставят насоки за това кое ниво на влияние върху „защо“ и „как“ трябва да доведе до квалификацията на даден субект като администратор и до каква степен обработващият може да взема собствени решения.

Когато едно предприятие ясно определя целите и средствата, възлагайки на друго предприятие обработващи дейности, които представляват изпълнение на неговите подробни инструкции, ситуацията е ясна и няма съмнение, че вторият обект трябва да се разглежда като обработващ, докато първият обект е администраторът.

Основни срещу несъществени средства

Въпросът е къде да се постави границата между решенията, които са запазени за администратора и решенията, които могат да бъдат оставени на преценката на обработващия. Решенията относно целта на обработката очевидно винаги се вземат от администратора.

Що се отнася до определянето на средствата, може да се направи разлика между основни и несъществени средства. „Основните средства“ са тясно свързани с целта и обхвата на обработката и традиционно и по същество са запазени за администратора. Примери за основни средства са видът лични данни, които се обработват („кои данни ще се обработват?“), Продължителността на обработката („за колко време ще се обработват?“), Категориите получатели („кой ще има достъп до тях?“) и категориите субекти на данни („чии лични данни се обработват?“). „Несъществени средства“ се отнасят до по-практически аспекти на изпълнението, като избора за определен вид хардуер или софтуер или подробните мерки за сигурност, които могат да бъдат оставени на преценката на обработващия.

Пример: Изплащане на заплати Работодател А наема друга компания, която да администрира изплащането на заплати на служителите. Работодател А дава ясни инструкции за това кой да плати, какви суми, до коя дата, до коя банка, колко дълго ще се съхраняват данните, какви данни трябва да бъдат разкрити на данъчния орган и т.н. В този случай обработката на данните се извършва за целта компания А да изплаща заплати на своите служители, а обработващият не може да използва данните за собствена цел. Начинът, по който трябва да се извършва обработката, по същество е ясно и строго дефиниран. Независимо от това, обработващият може да решава някои подробности около обработката, като например кой софтуер да използва, как да разпредели достъпа в рамките на собствената си организация и т.н. Това не променя ролята му на обработващ, стига това да не противоречи на инструкциите, дадени от Фирма А.

Пример: Банкови плащания Като част от инструкциите от Работодател А, обработващият ведомостите предава информация на Банка Б, за да могат те да извършат действителното плащане на служителите на Работодател А. Тази дейност включва обработка на лични данни от Банка Б, която тя извършва с цел банкова дейност. В рамките на тази дейност банката решава независимо от Работодател А кои данни трябва да бъдат обработени, за да се предостави услугата, колко дълго трябва да се съхраняват данните и т.н. Работодател А не може да има влияние върху целта и средствата за обработка на данни. Следователно Банка Б трябва да се разглежда като администратор за тази обработка, а предаването на лични данни от обработващия ведомостите трябва да се разглежда като разкриване на информация между двама администратори, от Работодател А до Банка Б.

Пример: Счетоводители Работодател А наема счетоводна къща C да извършва одити на счетоводството си и следователно прехвърля данни за финансови транзакции (включително лични данни) на C. Счетоводна къща C обработва тези данни без подробни инструкции от A. Счетоводна къща C решава сама, в съответствие със законовите разпоредби, регламентиращи задачите на одиторските дейности, извършвани от C, че данните, които тя събира, ще бъдат обработвани само за целите на одита. Определя какви данни трябва да има, кои категории лица трябва да бъдат регистрирани, колко дълго се съхраняват данните и какви технически средства да се използват. При тези обстоятелства счетоводна къща C трябва да се разглежда като администратор, когато извършва своите одиторски услуги за А. Въпреки това, тази оценка може да е различна в зависимост от нивото на инструкциите от А. В ситуация, в която законът не предвижда конкретни задължения за счетоводната къща и компанията клиент предоставя много подробни инструкции за обработката, счетоводната къща наистина ще действа като обработващ. Може да се направи разлика между ситуация, при която обработката се извършва – в съответствие със законите, регулиращи тази професия, – като част от основната дейност на счетоводната къща и когато обработката е по-ограничена, спомагателна задача, която се извършва като част от дейността на фирмата клиент.

Пример: Хостинг услуги Работодател A наема хостинг услуга H за съхраняване на криптирани данни на сървърите на H. Хостинг услугата Н не определя дали данните, които тя хоства, са лични данни, нито обработва данни по друг начин, освен да ги съхранява на своите сървъри. Тъй като съхранението е един пример за дейност по обработка на лични данни, хостинг услугата H обработва лични данни от името на работодател А. и следователно е обработващ. Работодателят А трябва да предостави необходимите инструкции на H, например кои технически и организационни мерки за сигурност се изискват и трябва да се сключи споразумение за обработка на данни съгласно член 28. H трябва да съдейства на A за гарантиране, че са взети необходимите мерки за сигурност и да го уведоми в случай на нарушение на личните данни.

Въпреки че решенията за несъществени средства могат да бъдат оставени на обработващия, администраторът все пак трябва да посочи някои елементи в споразумението с обработващия, като например – във връзка с изискването за сигурност, напр. инструкция за предприемане на всички мерки, изисквани съгласно член 32 от GDPR. Споразумението трябва също така да посочва, че обработващият лични данни помага на администратора при осигуряване на спазването, например, на член 32. Във всеки случай администраторът остава отговорен за изпълнението на подходящи технически и организационни мерки, за да гарантира и може да докаже, че обработката се извършва в съответствие с регламента (член 24). По този начин администраторът трябва да вземе предвид естеството, обхвата, контекста и целите на обработката, както и рисковете за правата и свободите на физическите лица. Поради тази причина администраторът трябва да бъде напълно информиран за използваните средства, за да може да вземе информирано решение в това отношение. За да може администраторът да демонстрира законосъобразността на обработването, препоръчително е да документира минимално необходимите технически и организационни мерки в договора или друг правно обвързващ инструмент между администратора и обработващия лични данни.

Можете да споделите: