Къде е проблемът?
Получих следното запитване:
“С влизането в сила на Регламент (ЕС) 2016/679, по-известен като Общ регламент за защита на данните (ОРДЗ) или GDPR, изискването за регистриране на администраторите на лични данни в Комисията за защита на личните данни (КЗЛД) отпадна и това поражда доста неясноти дали фирмата ми, след като не е регистрирана в КЗЛД, е администратор на лични данни или пък е обработващ лични данни, или изобщо няма никакви задължения по защита на данните. Моля за съвет от Ваша страна.”
Да разнищим казуса
За да изясним тези неясноти нека разгледаме две от основните фигури в Регламента и това са 1.) администраторът и 2.) обработващият лични данни.
Администратор
Според легалната дефиниция, дадена в Регламента, администраторът на лични данни е „физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни. Когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка“
Видно от тази дефиниция, ключовият белег за определяне на това дали едно лице е администратор е дали това лице определя целите и средствата за обработване на данните или с други думи – дали това лице взима решенията защо и как се обработват личните данни.
Определяне на целите и средствата (защо и как) за обработка на данните лицето може да взима самостоятелно – тогава имаме самостоятелен администратор или съвместно с други администратори и тогава сме изправени пред така наречените съвместни администратори. За повече яснота тук разглеждаме единствено самостоятелния администратор.
Тоест, за да определите дали сте администратор или не, си задайте следния простичък въпрос: “Аз ли вимам решенията защо и как да се обработват личните данни, които се събират?” Ако отговорът е да, то тогава сте администратор.
Обработващ лични данни
Обработващият лични данни е определен в Регламента като „физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора“.
От тази дефиниция можем да заключим, че основните характеризиращи белези на обработващия личните данни са:
1. Обработващият лични данни е отделно, външно за администратора, лице. Обработващият лични данни не е служител на администратора и не е част от неговата структура
2. Обработващият лични данни обработва личните данни от името на администратора, тоест действа в изпълнение на възлагане от страна на администратора.
Отношенията между администратора и обработващия лични данни винаги възниква по силата на възлагане. Нещо повече – Регламентът изисква отношенията между администратора и обработващия лични данни да бъдат уредени чрез писмен договор, при това в Регламента е посочено изрично и минимално изискуемо съдържание на този договор.
Най-типични обработващи лични данни са счетоводителите, когато не са назначени при администратора; службите за трудова медицина; IT компании във връзка с поддържащи функции и други.
Едно и също лице може да е едновременно администратор и обработващ лични данни
Едно и също лице може да е едновременно администратор, и обработващ на лични данни. Личните данни обаче са винаги различни. Тоест за едни лични данни лицето е администрато, за други – обработващ.
Да вземем например фирма, предлагаща ТРЗ услуги. Тази фирма има назначени 5-ма служители на трудов договор. За сключването на тези трудови договори и във връзка с трудовото право събира и обработва личните данни на своите служители. За тези лични данни нашата фирма е администратор.
Същата тази фирма има клиенти – други фирми, които й възлагат обработването на личните данни на техните служители с оглед на воденето на разплащателни ведомости, трудови досиета и друго. Тези лични данни са събрани от фирмите – възложители като администратори – работодатели на съответните служители.
За да може нашата фирма с ТРЗ услуги да изпълни задълженията си по договор с всяка една фирма, тя се нуждае от личните данни на служителите й. Така фирмата възложител (администратор – работодател) предава личните данни на своите служители на ТРЗ фирмата, която става обработващ. ТРЗ фирмата може да обработва тези лични данни само за строго определени от администратора цели и граници.
Така нашата ТРЗ фирма е едновременно и администатор, и обработващ лични данни. Администратор – за личните данни на собствените си служители; обработващ лични данни – за личните данни на служителите на фирмите – възложители.
Автор: Адв. Радостина Янева
Тази публикация не представлява правно становище или правен съвет, свързан с конкретна ситуация или конкретен субект и не претендира за изчерпателност.
Ако имате нужда от консултация от адвокат, съдействие по конкретен казус от адвокат или имате питане към адвокат, може да се свържете сега на посочените телефон, адрес или форма за контакт.
Ако тази публикация ви е харесала или я намирате за полезна, харесайте я, споделете я в социалните мрежи или оставете коментар.
