Администратор или обработващ?

04 октомври 2018

picture

                       

Администратор или обработващ?

(Автор: адвокат Мария Генинска, GDPR консултант на АПИС)

Бихме искали да насочим вашето внимание към едно доста интересно становище на Комисията за защита на личните данни (КЗЛД) във връзка с това кой е администратор и кой обработващ лични данни, тъй като възникват спорове по въпроса.  Става въпрос за СТАНОВИЩЕ на КЗЛД с рег. № НДМСПО-17-604/20.06.2018 г. от 17.09.2018 г. относно постъпило искане от "Спиди" АД по въпроси, касаещи прилагането на Регламент (ЕС) 2016/679. Разпространено е мнението, че по един договор за предоставяне на услуги, по който клиентът има качеството „възложител”, а другата страна на „изпълнител”, то това обуславя и поставянето им в позиция „администратор” и „обработващ”. Но  съгласно становището на КЗЛД тези роли не са толкова неизменни.

На първо място, трябва да има яснота що е то администратор и що е то обработващ лични данни.

1. Администратор на лични данни

По смисъла на чл. 4, т. 7 ОРЗД администратор означава „физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни. Когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка“. От тази дефиниция, както и досега, могат условно да бъдат изведени две групи администратори:

а) Администратори, чийто статут произтича от закона. В зависимост от начина, по който законът определя администратора, в тази категория попадат: - определени от закона администратори на лични данни. Така например с чл. 29, ал. 1 от Закона за Министерството на вътрешните работи за администратор на личните данни е определен министърът на вътрешните работи, който може да възлага обработването на лични данни на определени от него длъжностни лица; - определяеми според критериите на закона администратори. В този случай законът не сочи изрично администратора, но съдържа критериите, по които той може да бъде определен. Например Националната агенция за приходите е администратор на лични данни, тъй като в нея се обработват лични данни по силата на изпълняваните от агенцията правомощия.

б) Администратори, чийто статут произтича от извършваната от тях дейност. Тези администратори се определят въз основа на дейността им, която предполага извършване на операции по обработване на лични данни. Например едно дружество, което е работодател, е администратор на личните данни на своите работници и служители, мобилният оператор е администратор на личните данни на своите клиенти и др. На това основание администратори на лични данни могат да бъдат както частноправни субекти, така и публичноправни субекти. По отношение на публичноправните субекти статутът на администратор в този случай ще произтича не от правомощията, а от дейности по обработване на лични данни за различни техни инициативи, които не произтичат от нормативен акт.

2. Обработващ лични данни

Обработващият лични данни е определен като „физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора“ (чл. 4, т. 8 ОРЗД). Същностните признаци в тази дефиниция са два и се прилагат кумулативно:

а) да е отделно от администратора лице. Лицата, които са в структурата на администратора (например неговите служители, които извършват операции по обработване на лични данни), не са обработващи лични данни, а се наричат „лица, действащи под ръководството на администратора“ (чл. 29 ОРЗД).

б) да обработва лични данни от името на администратора. За да възникне отношение „администратор - обработващ“, трябва да има акт за възлагане на обработването на личните данни. Отношенията между тях могат да се уреждат с нормативен акт или договор, в който се регламентира предметът и срокът на действие на обработването, естеството и целта на обработването, видът на личните данни и категориите субекти на данни, задълженията и правата на администратора (чл. 28, пар. 3 ОРЗД). *

След направения анализ на двете понятия стигаме до становището на КЗЛД: във връзка с привеждането на дейността си в съответствие с Регламент (ЕС) 2016/679, дружеството Спиди АД се е сблъскало с противоречиво тълкуване от страна на своите клиенти по отношение на качеството на страните в отношенията, свързани с предоставянето на пощенската услуга – администратор и обработващ. Клиенти (предимно финансови институции и онлайн търговци) изискват подписването на споразумение, според което клиентът има качеството на администратор по отношение на данните, които предоставя на „Спиди” АД, докато дружеството има качеството обработващ данните. Основният им аргумент в тази насока е, че сключеният между страните рамков договор за предоставяне на пощенски услуги, по които клиентът има качеството „възложител”, а „Спиди” АД на „изпълнител”, обуславя и поставянето им в позиция „администратор” (клиент) и „обработващ” (дружеството). Но Спиди АД също смята, че е администратор.

Становището на КЗЛД е следното: без да се извежда като абсолютно правило, може да се приеме, че дружествата, които предоставят услуги при условията на строга и изчерпателна законова регламентация, въз основа на лицензия или аналогично индивидуално разрешение от държавата и под контрола на изрично определени публични органи, принципно не биха могли да се разглеждат като обработващи лични данни, а като самостоятелни администратори. Примери за такива администратори са пощенските оператори, банките, застрахователните дружества и др. В тези случаи възложителят по договор за услуга не би могъл да укаже на предоставящия услугата как точно да обработи предоставените от него лични данни, тъй като и двете страни са длъжни да спазват съответното специално законодателство, в т. ч. съдържащи те се в него разпоредби относно обработването на лични данни.

Предвид многообразието от обществени отношения и в съответствие с принципа за отчетност, регламентиран в чл. 5, параграф 2 от Регламент (ЕС) 2016/679, участниците в търговския и гражданския оборот следва сами да определят във всеки отделен случай какви са техните правоотношения във връзка с обработваните от тях лични данни – самостоятелни администратори, администратор и обработващ или съвместни администратори. Техният избор не следва да е формален и трябва да гарантира в най-голяма степен съответствие с изискванията на Регламент (ЕС) 2016/679 и ефективна защита на правата на субектите на данни.

(Относно пълния текст на Становището виж тук или тук.)

*  Използвана е информация от статия на д-р Невин Фети за „Труд и право“: http://trudipravo.bg/mesechni-spisania/mesechno-spisanie-targovsko-i-obligacionno-pravo/menuconttkp1/3141-vrazkata-mezhdu-ponyatiyata-administrator-obrabotvasht-lichni-danni-treta-strana-i-poluchatel

Сподели
Назад към всички новини

Още новини

05 март 2025

ЛОКАЛИЗАЦИЯ НА ОНЛАЙН МАГАЗИНИ

Какво означава локализация на онлайн магазини - интервю с Николай Илчев

13 февруари 2025

СПЕЦИАЛНА ОТСТЪПКА за участие в BES 2025

За клиентите и партньорите на АПИС, които желаят да вземат участие в BES 2025

31 януари 2025

Договор между САК и АПИС

Сключен е договорът между САК и фирма АПИС за безплатно ползване на системите АПИС ПРАВО, АПИС ПРАКТИКА и АПИС ЕВРО ПРАВО