Кой е администратор на лични данни Vol 4?

Продължава общественото обсъждане на Насоките относно концепциите за администратор и обработващ лични данни

На своето 37-мо пленарно заседание, състояло се на 4 септември 2020 г. Европейския комитет по защита на данните (ЕКЗД) прие Насоки относно концепциите за администратор и обработващ лични данни според Общия регламент относно защитата на данните. Това съобщи сайтът на Комисията за защита на личните данни ден след www.duncheva.bg.

Насоките се състоят от две основни части – една, обясняваща различните понятия, и друга, включваща подробни насоки за администраторите, обработващите и съвместните администратори, а общественото обсъждане е до 19 октомври 2020 г.

Определението за администратор съдържа пет основни градивни блока, които са анализирани отделно за целите на насоките: ▪ „физическо или юридическо лице, публичен орган, агенция или друга структура“▪ „определя“ ▪ „сам или съвместно с други” ▪ „целите и средствата“ ▪ „на обработката на лични данни“.

На 23 септември разказах за  контрола, произтичащ от законови разпоредби.

На 26 септември разказах за контрола, произтичащ от фактическо влияние

На 30 септември стигнах до „целите и средствата”, днес от насоките представям

„на обработката на лични данни“

Целите и средствата, определени от администратора, трябва да се отнасят до „обработването на лични данни“. Член 4, параграф 2 от ОРЗД (GDPR) определя обработването на лични данни като „всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни“. В резултат на това понятието администратор може да бъде свързано или с единична операция по обработка, или с набор от операции. На практика това може да означава, че контролът, упражняван от конкретен субект, може да обхване цялата разглеждана обработка, но може да бъде ограничен до определен етап от обработката.

Всеки, който реши да обработва данни, трябва да прецени дали това включва лични данни и ако да, какви са задълженията съгласно GDPR. Действащото лице ще бъде считано за „администратор“, дори ако целта му не са личните данни като такива или погрешно е преценил, че не обработва лични данни.

Не е необходимо администраторът действително да има достъп до данните, които се обработват. Някой, който възлага обработваща дейност на външни изпълнители и по този начин има определящо влияние върху целта и (съществените) средства на обработката (например чрез коригиране на параметрите на услуга по такъв начин, че тя влияе върху това, чии лични данни ще бъдат обработвани), се разглежда като администратор, въпреки че той или тя никога няма да има реален достъп до данните.

Пример: проучване на пазара

Компанията ABC желае да разбере кои видове потребители ще са най-заинтересовани от нейните продукти и сключва договор с доставчик на услуги, XYZ, за да получи съответната информация.

Компанията ABC инструктира XYZ от какъв тип информация се интересува и предоставя списък с въпроси, които трябва да бъдат зададени на участниците в проучването на пазара.

Компанията ABC получава само статистическа информация (например идентифициране на потребителските тенденции за региона) от XYZ и няма достъп до самите лични данни.

Компания ABC решава за обработката и предоставя на XYZ подробни инструкции каква информация да се събира. Следователно Компанията ABC все още трябва да се счита за администратор по отношение на обработката на лични данни, която се извършва с цел предоставяне на поисканата от нея информация. XYZ може да обработва данните само за целта, дадена от компанията ABC и в съответствие с нейните подробни инструкции и следователно трябва да се счита за обработващ.

Можете да споделите: