Порочна практика ли е предоставяне на „Споразумение за обработка на лични данни“ от Обработващия на Администратора? – GDPR, европейски регламент за защита на личните данни

ПОРОЧНА ПРАКТИКА ЛИ Е ПРЕДОСТАВЯНЕ НА СПОРАЗУМЕНИЕ ЗА ОБРАБОТКА НА ЛИЧНИ ДАННИ ОТ ОБРАБОТВАЩИЯ НА АДМИНИСТРАТОРА?

В процеса на работата си забелязваме, че при сключване на споразумение за обработка на лични данни, честа практика е споразумението да се предоставя от обработващия на администратора. В тази връзка, решихме да направим анализ на нормативната уредба, като се съобразим и с европейската практика.

За да се прецени по чия инициатива следва да се сключи споразумение за обработка на лични данни между администратор и обработващ, ще разгледаме фигурите на администратора и обработващия, както и техните задължения в контекста на Регламента.

Определението за администратор на лични данни в чл. 4 от Регламента съдържа три основни аспекта:

персонален аспект („ физическо или юридическо лице, публичен орган, агенция или друга структура“);
възможност за съвместен контрол („сама или съвместно с други“);
основен аспект, чрез който можем да разграничим администратора от останалите лица, обработващи лични данни („определя целите и средствата за обработка на лични данни“) .

Анализирайки тези аспекти, можем да стигнем до следните заключения:

Персоналният аспект се отнася до широк кръг от лица, които могат да бъдат определени като администратори на данни. Важно е да се отбележи, че администратор не е отделно физическо лице, което работи по трудово или служебно правоотношение, а самото дружество или орган – работодател. Но ако определен служител, назначен в дружество/публичен орган, използва данните за собствени цели извън дейността на дружеството/ публичния орган, то съответното лице се явява администратор по отношение на обработваните от него данни.
Възможността за съвместен контрол се състои в опцията две или повече лица съвместно да определят целите и средствата за обработка на лични данни чрез договореност помежду им. Характерен пример за съвместни администратори е ДЗЗД /дружество по закона за задълженията и договорите/, тъй като същото не е самостоятелен правен субект и субектите, които го съставляват, съвместно определят целите и средствата за обработка на лични данни.
Основният аспект се състои във възможността администраторът да определи целите и средствата за обработка на данни. Възможно е целите и/или средствата за обработка на лични данни да бъдат определени от нормативен акт. В този случай администраторът е нормативно определен. При определяне на целите, администраторът следва да се съобрази с чл. 5, пар. 1, буква б) от Регламента „личните данни са събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели“ . Що се отнася до средствата, тяхното определяне може да се делегира на обработващия по отношение на техническите и организационни мерки за защита на данните. Но основните положения, свързани със средствата, а именно кои лични данни да се обработват, какъв да бъде периодът за съхранение, кой следва да има достъп до данните и др., трябва да се определят от администратора.

Определението за обработващ лични данни, съдържащо се в чл. 4 от Регламента съдържа два основни аспекта:

персонален аспект („ физическо или юридическо лице, публичен орган, агенция или друга структура“);
основен аспект, чрез който можем да разграничим обработващия от администратора („обработва лични данни от името на администратора“)

Следва да се отбележи, че администраторът е този, който преценява необходимостта от обработващ лични данни. Администраторът може да прецени, че има възможност да осъществи определена дейност по обработка самостоятелно като назначи служители с необходимите компетенции, или ако за конкретната дейност се изисква разрешително или лиценз- да се сдобие с него. Ако администраторът реши да възложи определена дейност по обработка на обработващия, то вторият ще обработва личните данни от името на администратора. Това означава, че в процеса на обработка обработващият ще защитава изцяло интересите на администратора и ще обработва личните данни за целите и посредством основните положения, свързани със средствата, определени от администратора (кои лични данни да се обработват, какъв да бъде периодът за съхранение, кой следва да има достъп до данните и др.)

С оглед на изложеното по-горе във връзка с фигурите и отговорностите на администратора и обработващия, и в контекста на чл. 28, пар. 3 от Регламента, между двете страни следва да се сключи договор или друг правен акт за обработка на лични данни в писмена форма. В контекста на чл. 28, пар.3, буква а) от Регламента, обработващият обработва личните данни само по документирано нареждане на администратора. Нещо повече, ако обработващият определя целите и средствата за обработка, той влиза в позицията на администратор и носи цялата, произтичаща от Регламента отговорност по отношение на администратора.

Ако обработващият лични данни поеме инициативата за предоставяне на договор за обработка на администратора и последният го подпише без забележки, може да се презумира, че обработващият е определил средствата за обработка, което води до навлизане в правното поле на администратора. По този начин обработващият ще носи отговорност като администратор.

От практическа гледна точка, е трудно доказуемо коя от двете страни е поела инициативата за сключване на договора/споразумението. Но ако то изхожда от обработващия, съществува риск за засягане на правата на администратора чрез включване на клаузи, които са в негова вреда.

В заключение, в защита на интересите си и съобразявайки се със законовите разпоредби, администраторът следва да определи кои лица са обработващи лични данни по отношение на дейността му и да предостави споразумения за обработка на същите.

You Might Also Like

Какво представлява ОРЗД?

Кои са принципите, които трябва да се спазват при обработка на лични данни

Разяснителна кампания на Комисията за лични данни в гр. Стара Загора