Администратор или обработващ?

04 октомври 2018

picture

                      

Администратор или обработващ?

(Автор: адвокат Мария Генинска, GDPR консултант на АПИС)

Бихме искали да насочим вашето внимание към едно доста интересно становище на Комисията за защита на личните данни (КЗЛД) във връзка с това кой е администратор и кой обработващ лични данни, тъй като възникват спорове по въпроса.  Става въпрос за СТАНОВИЩЕ на КЗЛД с рег. № НДМСПО-17-604/20.06.2018 г. от 17.09.2018 г. относно постъпило искане от "Спиди" АД по въпроси, касаещи прилагането на Регламент (ЕС) 2016/679. Разпространено е мнението, че по един договор за предоставяне на услуги, по който клиентът има качеството „възложител”, а другата страна на „изпълнител”, то това обуславя и поставянето им в позиция „администратор” и „обработващ”. Но  съгласно становището на КЗЛД тези роли не са толкова неизменни.

На първо място, трябва да има яснота що е то администратор и що е то обработващ лични данни.

1. Администратор на лични данни

По смисъла на чл. 4, т. 7 ОРЗД администратор означава „физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни. Когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка“. От тази дефиниция, както и досега, могат условно да бъдат изведени две групи администратори:

а) Администратори, чийто статут произтича от закона. В зависимост от начина, по който законът определя администратора, в тази категория попадат: - определени от закона администратори на лични данни. Така например с чл. 29, ал. 1 от Закона за Министерството на вътрешните работи за администратор на личните данни е определен министърът на вътрешните работи, който може да възлага обработването на лични данни на определени от него длъжностни лица; - определяеми според критериите на закона администратори. В този случай законът не сочи изрично администратора, но съдържа критериите, по които той може да бъде определен. Например Националната агенция за приходите е администратор на лични данни, тъй като в нея се обработват лични данни по силата на изпълняваните от агенцията правомощия.

б) Администратори, чийто статут произтича от извършваната от тях дейност. Тези администратори се определят въз основа на дейността им, която предполага извършване на операции по обработване на лични данни. Например едно дружество, което е работодател, е администратор на личните данни на своите работници и служители, мобилният оператор е администратор на личните данни на своите клиенти и др. На това основание администратори на лични данни могат да бъдат както частноправни субекти, така и публичноправни субекти. По отношение на публичноправните субекти статутът на администратор в този случай ще произтича не от правомощията, а от дейности по обработване на лични данни за различни техни инициативи, които не произтичат от нормативен акт.

2. Обработващ лични данни

Обработващият лични данни е определен като „физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора“ (чл. 4, т. 8 ОРЗД). Същностните признаци в тази дефиниция са два и се прилагат кумулативно:

а) да е отделно от администратора лице. Лицата, които са в структурата на администратора (например неговите служители, които извършват операции по обработване на лични данни), не са обработващи лични данни, а се наричат „лица, действащи под ръководството на администратора“ (чл. 29 ОРЗД).

б) да обработва лични данни от името на администратора. За да възникне отношение „администратор - обработващ“, трябва да има акт за възлагане на обработването на личните данни. Отношенията между тях могат да се уреждат с нормативен акт или договор, в който се регламентира предметът и срокът на действие на обработването, естеството и целта на обработването, видът на личните данни и категориите субекти на данни, задълженията и правата на администратора (чл. 28, пар. 3 ОРЗД). *

След направения анализ на двете понятия стигаме до становището на КЗЛД: във връзка с привеждането на дейността си в съответствие с Регламент (ЕС) 2016/679, дружеството Спиди АД се е сблъскало с противоречиво тълкуване от страна на своите клиенти по отношение на качеството на страните в отношенията, свързани с предоставянето на пощенската услуга – администратор и обработващ. Клиенти (предимно финансови институции и онлайн търговци) изискват подписването на споразумение, според което клиентът има качеството на администратор по отношение на данните, които предоставя на „Спиди” АД, докато дружеството има качеството обработващ данните. Основният им аргумент в тази насока е, че сключеният между страните рамков договор за предоставяне на пощенски услуги, по които клиентът има качеството „възложител”, а „Спиди” АД на „изпълнител”, обуславя и поставянето им в позиция „администратор” (клиент) и „обработващ” (дружеството). Но Спиди АД също смята, че е администратор.

Становището на КЗЛД е следното: без да се извежда като абсолютно правило, може да се приеме, че дружествата, които предоставят услуги при условията на строга и изчерпателна законова регламентация, въз основа на лицензия или аналогично индивидуално разрешение от държавата и под контрола на изрично определени публични органи, принципно не биха могли да се разглеждат като обработващи лични данни, а като самостоятелни администратори. Примери за такива администратори са пощенските оператори, банките, застрахователните дружества и др. В тези случаи възложителят по договор за услуга не би могъл да укаже на предоставящия услугата как точно да обработи предоставените от него лични данни, тъй като и двете страни са длъжни да спазват съответното специално законодателство, в т. ч. съдържащи те се в него разпоредби относно обработването на лични данни.

Предвид многообразието от обществени отношения и в съответствие с принципа за отчетност, регламентиран в чл. 5, параграф 2 от Регламент (ЕС) 2016/679, участниците в търговския и гражданския оборот следва сами да определят във всеки отделен случай какви са техните правоотношения във връзка с обработваните от тях лични данни – самостоятелни администратори, администратор и обработващ или съвместни администратори. Техният избор не следва да е формален и трябва да гарантира в най-голяма степен съответствие с изискванията на Регламент (ЕС) 2016/679 и ефективна защита на правата на субектите на данни.

(Относно пълния текст на Становището виж тук или тук.)

*  Използвана е информация от статия на д-р Невин Фети за „Труд и право“: http://trudipravo.bg/mesechni-spisania/mesechno-spisanie-targovsko-i-obligacionno-pravo/menuconttkp1/3141-vrazkata-mezhdu-ponyatiyata-administrator-obrabotvasht-lichni-danni-treta-strana-i-poluchatel

Още новини

12 юли 2021

Последни изменения в рамката за счетоводно и финансово отчитане

В OB L 234, 2.07.2021 г. е публикуван Регламент (ЕС) 2021/1080 на Комисията от 28 юни 2021 г., с който са приети изменения в някои международни счетоводни стандарти (МСС) и международни стандарти за финансовo отчитане (МСФО).

25 юни 2021

Запис от интервю във връзка с новите изисквания за облагане с ДДС на електронните продажби

От 1 юли 2021 г. влизат в сила новите правила за облагане с ДДС на дистанционните продажби на стоки. Васил Василев - част от екипа на АПИС по разработването на финансови информационни системи, представя основните акценти от изменията в интервю за eCommerce Academy.

15 юни 2021

Семинар по проект CrossJustice относно правата на заподозрените и обвиняемите в наказателния процес

На 23 юни 2021 г. от 9:30 ч. АПИС Европа организира, със съдействието на Националния институт на правосъдието (НИП), семинар „Правата на заподозрените и обвиняемите в наказателния процес съгласно европейската и националната уредба – представяне на информационната платформа CrossJustice“.