• Home
  • Лични данни
  • Кога съм администратор на лични данни и кога – обработващ лични данни?

Кога съм администратор на лични данни и кога – обработващ лични данни?

С влизането в сила на Регламент (ЕС) 2016/679, по-известен като Общ регламент за защита на данните (ОРДЗ) или GDPR, изискването за регистриране на администраторите на лични данни в Комисията за защита на личните данни (КЗЛД) отпадна и това поражда доста неясноти дали фирмата ми, след като не е регистрирана в КЗЛД, е администратор на лични данни или пък е обработващ лични данни, или изобщо няма никакви задължения по защита на данните.

За да изясним тези неясноти, в настоящата публикация ще разгледаме две от основните фигури в ОРДЗ и това са администраторът на лични данни и обработващия лични данни.

Администратор

Според легалната дефиниция на ОРДЗ, администраторът на лични данни е „физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни. Когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка

Видно от тази дефиниция, ключовият белег за определяне на това дали едно лице е администратор е дали това лице определя целите и средствата за обработване на данните или с други думи – дали това лице взима решенията защо и как се обработват личните данни.

Определяне на целите и средствата (защо и как) за обработка на данните лицето може да взима самостоятелно – тогава имаме самостоятелен администратор или съвместно с други администратори и тогава сме изправени пред така наречените съвместни администратори. За повече яснота тук разглеждаме единствено самостоятелния администратор.

Обработващ лични данни

Обработващият лични данни е определен в ОРДЗ като „физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора“.

От тази дефиниция можем да заключим, че основните характеризиращи белези на обработващия личните данни са:

1. Отделно, външно за администратора, лице. Обработващият лични данни не е служител на администратора и не е част от неговата структура, което лице

2. обработва личните данни от името на администратора, тоест действа в изпълнение на възлагане от страна на администратора.

Обработващият лични данни може да е едновременно и администратор на собствено основание за други данни – например данни на негови служители.

Отношенията между администратора и обработващия лични данни винаги възниква по силата на възлагане. ОРДЗ изисква отношенията между администратора и обработващия лични данни да бъдат уредени чрез писмен договор, при това ОРДЗ сочи изрично и минимално изискуемо съдържание на този договор.

Най-типични обработващи лични данни са счетоводителите, когато не са назначени при администратора; службите за трудова медицина; IT компании във връзка с поддържащи функции и други.

Автор: Адв. Радостина Янева

Тази публикация не представлява правно становище или правен съвет, свързан с конкретна ситуация или конкретен субект и не претендира за изчерпателност.

Ако имате нужда от консултация или съдействие по конкретен казус или имате питане, свържете се с нас сега на посочените телефон, адрес или форма за контакт.

Ако тази публикация ви е харесала или я намирате за полезна, харесайте я, споделете я в социалните мрежи или оставете коментар.

Leave a Reply