ПОРОЧНА ПРАКТИКА ЛИ Е ПРЕДОСТАВЯНЕ НА СПОРАЗУМЕНИЕ ЗА ОБРАБОТКА НА ЛИЧНИ ДАННИ ОТ ОБРАБОТВАЩИЯ НА АДМИНИСТРАТОРА?
В процеса на работата си забелязваме, че при сключване на споразумение за обработка на лични данни, честа практика е споразумението да се предоставя от обработващия на администратора. В тази връзка, решихме да направим анализ на нормативната уредба, като се съобразим и с европейската практика.
За да се прецени по чия инициатива следва да се сключи споразумение за обработка на лични данни между администратор и обработващ, ще разгледаме фигурите на администратора и обработващия, както и техните задължения в контекста на Регламента.
Определението за администратор на лични данни в чл. 4 от Регламента съдържа три основни аспекта:
- персонален аспект („ физическо или юридическо лице, публичен орган, агенция или друга структура“);
- възможност за съвместен контрол („сама или съвместно с други“);
- основен аспект, чрез който можем да разграничим администратора от останалите лица, обработващи лични данни („определя целите и средствата за обработка на лични данни“) .
Анализирайки тези аспекти, можем да стигнем до следните заключения:
- Персоналният аспект се отнася до широк кръг от лица, които могат да бъдат определени като администратори на данни. Важно е да се отбележи, че администратор не е отделно физическо лице, което работи по трудово или служебно правоотношение, а самото дружество или орган – работодател. Но ако определен служител, назначен в дружество/публичен орган, използва данните за собствени цели извън дейността на дружеството/ публичния орган, то съответното лице се явява администратор по отношение на обработваните от него данни.
- Възможността за съвместен контрол се състои в опцията две или повече лица съвместно да определят целите и средствата за обработка на лични данни чрез договореност помежду им. Характерен пример за съвместни администратори е ДЗЗД /дружество по закона за задълженията и договорите/, тъй като същото не е самостоятелен правен субект и субектите, които го съставляват, съвместно определят целите и средствата за обработка на лични данни.
- Основният аспект се състои във възможността администраторът да определи целите и средствата за обработка на данни. Възможно е целите и/или средствата за обработка на лични данни да бъдат определени от нормативен акт. В този случай администраторът е нормативно определен. При определяне на целите, администраторът следва да се съобрази с чл. 5, пар. 1, буква б) от Регламента „личните данни са събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели“ . Що се отнася до средствата, тяхното определяне може да се делегира на обработващия по отношение на техническите и организационни мерки за защита на данните. Но основните положения, свързани със средствата, а именно кои лични данни да се обработват, какъв да бъде периодът за съхранение, кой следва да има достъп до данните и др., трябва да се определят от администратора.
Определението за обработващ лични данни, съдържащо се в чл. 4 от Регламента съдържа два основни аспекта:
- персонален аспект („ физическо или юридическо лице, публичен орган, агенция или друга структура“);
- основен аспект, чрез който можем да разграничим обработващия от администратора („обработва лични данни от името на администратора“)
Следва да се отбележи, че администраторът е този, който преценява необходимостта от обработващ лични данни. Администраторът може да прецени, че има възможност да осъществи определена дейност по обработка самостоятелно като назначи служители с необходимите компетенции, или ако за конкретната дейност се изисква разрешително или лиценз- да се сдобие с него. Ако администраторът реши да възложи определена дейност по обработка на обработващия, то вторият ще обработва личните данни от името на администратора. Това означава, че в процеса на обработка обработващият ще защитава изцяло интересите на администратора и ще обработва личните данни за целите и посредством основните положения, свързани със средствата, определени от администратора (кои лични данни да се обработват, какъв да бъде периодът за съхранение, кой следва да има достъп до данните и др.)
С оглед на изложеното по-горе във връзка с фигурите и отговорностите на администратора и обработващия, и в контекста на чл. 28, пар. 3 от Регламента, между двете страни следва да се сключи договор или друг правен акт за обработка на лични данни в писмена форма. В контекста на чл. 28, пар.3, буква а) от Регламента, обработващият обработва личните данни само по документирано нареждане на администратора. Нещо повече, ако обработващият определя целите и средствата за обработка, той влиза в позицията на администратор и носи цялата, произтичаща от Регламента отговорност по отношение на администратора.
Ако обработващият лични данни поеме инициативата за предоставяне на договор за обработка на администратора и последният го подпише без забележки, може да се презумира, че обработващият е определил средствата за обработка, което води до навлизане в правното поле на администратора. По този начин обработващият ще носи отговорност като администратор.
От практическа гледна точка, е трудно доказуемо коя от двете страни е поела инициативата за сключване на договора/споразумението. Но ако то изхожда от обработващия, съществува риск за засягане на правата на администратора чрез включване на клаузи, които са в негова вреда.
В заключение, в защита на интересите си и съобразявайки се със законовите разпоредби, администраторът следва да определи кои лица са обработващи лични данни по отношение на дейността му и да предостави споразумения за обработка на същите.