- IVLawFirm - https://ivlawfirm.com -

Указания за понятията администратор и обработващ в ОРЗД

Връзката между администратора и обработващия данни и разпределението на съответните роли при обработването на лични данни е една от най-обсъжданите теми при прилагането на ОРЗД.

Много доставчици на услуги са изправени пред предизвикателството да бъдат определени от своите клиенти като обработващия данни. Има случаи, когато това е относително и е лесно доставчикът на услуги да се определи като обработващ, но има и по-сложни случаи, в който не би било толкова лесно да се определят ролите.

Европейски комитет по защита на данните прие Насоки относно концепциите за администратор и обработващ данни в ОРЗД. Понастоящем насоките са отворени за обществени дискусия. По-късно ще бъде приета окончателна версия.

Насоките предоставят някои инструкции и обсъждат всяка роля, но не дават конкретен отговор на често срещаните случаи в индустрията.

Най-важно е да подчертаем, че всеки случай трябва да бъде оценен самостоятелно. Във всеки конкретен случай всяка роля трябва да бъде разпределена и дефинирана въз основа на спецификата на фактите и отношенията между страните.

Произход на проблема

Понятията администратор, съвместен администратор и обработващ лични данни са функционални понятия, тъй като те имат за цел да разпределят отговорности в съответствие с действителните роли на страните и автономни концепции в смисъл, че те трябва да се тълкуват главно съгласно законодателството на ЕС за защита на лични данни.

Администраторът е орган, който решава определени ключови елементи на обработването. Администрирането може да бъде определен от закона или неговата роля да е в резултат на анализ на фактическите елементи или обстоятелствата на конкретния случай. Администраторът определя целите и средствата на обработването, т.е .защо и как трябва да бъде извършено обработването на лични данни. Администраторът трябва да вземе решение както за целите, така и за средствата. Не е необходимо администраторът действително има достъп до данните, които се обработват, за да бъде квалифициран като администраторът.

Обработващият е физическо или юридическо лице, публичен орган, агенция или друг орган, който обработва лични данни от името на администратора. Съществуват две основни условия за квалифициране като обработващ: че той е отделен обект по отношение на администратора и да обработва лични данни от името на администратора.

Как да определя ролята на администратора?

Концепцията за администратор се отнася до влиянието на администратора върху обработването, чрез упражняване на правомощия за вземане на решения. Администраторът е орган, който решава определени ключови елементи относно обработването. Трябва да се разгледат въпросните конкретни операции по обработването и да разбере кой ги определя. Първо се разгледат следните въпроси: „защо се извършва това обработване?“ и „кой решава, че обработването трябва да се извърши с определена цел?“

Концепцията за администратор е функционална концепция, поради което се основава на фактически, а не формален анализ. В повечето ситуации „определящият орган“ може лесно и ясно да бъде идентифициран чрез позоваване на определени правни и / или фактически обстоятелства, от които обикновено може да се изведе „влияние“, освен ако други елементи не показват обратното. В този случай могат да се разграничат две ситуации: (1) контрол, произтичащ от законови разпоредби; и (2) контрол, произтичащ от фактическо влияние.

Определяне на администратора на базата на законови изисквания 

Има случаи, при които контролът може да се изведе от изрична правна компетентност, например когато администраторът или конкретните критерии за неговото номиниране са определени от националното право или правото на Съюза. Когато администраторът е конкретно идентифициран от закона, това ще бъде определящо за установяване кой действа като администратор.

По-често обаче, вместо директно да посочва кой е администратора или да определя критериите за неговото назначаване, законът ще определи задача или ще наложи задължение на някого да събира и обработва определени данни. В тези случаи целта на обработването често се определя от закона. Обикновено администраторът е този, който е определен от закона за осъществяването на тази цел, тази обществена задача. Например това би било случаят, когато субект, на когото са възложени определени обществени задачи (напр. здравно/обществено осигуряване), които не могат да бъдат изпълнени без събиране на поне някои лични данни, създава база данни или се регистрира, за да изпълни тези обществени задачи. В този случай законът, макар и косвено, определя кой е администратора. По-общо казано, законът може да наложи задължение или на публични, или на частни субекти да запазят или предоставят определени данни. Тогава тези субекти обикновено биха се считали за администратори по отношение на обработването, което е необходимо за изпълнение на това задължение.

Определяне на администратора на базата на фактически отношения

При липса на контрол, произтичащ от законови разпоредби, квалификацията на дадена страна като администратор трябва да бъде установена въз основа на оценка на фактическите обстоятелства около обработването.

Всички релевантни фактически обстоятелства трябва да бъдат взети предвид, за да се стигне до заключение дали даден субект упражнява определящо влияние по отношение на обработването на въпросните лични данни.

На практика определени дейности по обработване могат да се считат за естествено свързани с ролята или дейностите на дадено предприятие, което в крайна сметка води до отговорности от гледна точка на защитата на личните данни. Това може да се дължи на по-общи правни разпоредби или на установена правна практика в различни области (гражданско право, търговско право право, трудово право и др.). В този случай съществуващите традиционни роли и професионален опит, които обикновено предполагат определена отговорност, ще помогнат за идентифицирането на администратора, например работодател във връзка с обработката на лични данни за неговите служители, издател, обработващ лични данни за абонати или асоциация, обработваща лични данни за своите членове или сътрудници. Когато дадено предприятие се занимава с обработка на лични данни като част от взаимодействието си със собствените си служители, клиенти или членове, то обикновено е този, който фактически може да определи целта и средствата около обработването и следователно действа като администратор по смисъла на ОРЗД.

Ако една страна всъщност реши защо и как се обработват личните данни, тази страна ще бъде администратор, дори ако в договора се казва, че е обработващ. По подобен начин не защото търговският договор използва термина „подизпълнител“, дадено предприятие ще се счита за обработващ от гледна точка на закона за защита на личните данни.

Обектът на влияние на администратор са „целите и средствата“ на обработването. Това представлява съществената част от концепцията за администратора: какво трябва да определи страната, за да се квалифицира като администратор. Определянето на целите и средствата се свежда до решаване съответно на „защо“ и „как“ при обработването: при дадена конкретна операция по обработване администраторът е действащият човек, който е определил защо се извършва съответното обработване (т.е. „до каква цел „; или„ за какво „) и как тази цел трябва да бъде постигната (т.е. какви средства трябва да се използват за постигане на целта).

Съществени срещу несъществени средства

Въпросът е къде да се направи граница между решенията, които са запазени за администратора, и решенията, които могат да бъдат оставени на преценката на обработващия. Решенията относно целта на обработката очевидно винаги се вземат от администратора.

Що се отнася до определянето на средствата, може да се направи разграничение между съществени и несъществени средства.

Концепцията за администратор може да бъде свързана или с единична операция по обработване, или с набор от операции. На практика това може да означава, че контролът, упражняван от определен субект, може да обхваща цялата разглеждана обработка но може да бъде ограничено до определен етап от обработката.

Не е необходимо администраторът действително да има достъп до данните, които се обработват. Някой, който възлага обработваща дейност на външни изпълнители и по този начин има определящо влияние върху целта и (съществените) средства на обработката (например чрез коригиране на параметрите на услуга по такъв начин, че тя влияе върху това, чии лични данни ще бъдат обработвани), се счита за администратор, въпреки че той или тя никога няма да има реален достъп до данните.

Как да определите кой е обработващ?

Две основни условия за квалификация като обработващ са:

а) той/тя да бъде отделен обект по отношение на администратора и

б) той/тя да обработва лични данни от името на администратора.

Първото е очевидно. Обработката на лични данни от името на администратора първо изисква отделното лице да обработва лични данни в полза на администратора. На второ място, обработката трябва да се извърши от името на администратор, но не по негов пряк контрол. Действието „от името на“ означава обслужване на чужд интерес и припомня правната концепция за „делегиране“.

ЕКЗД припомня, че не всеки доставчик на услуги, който обработва лични данни в хода на предоставянето на услуга е „обработващ“ по смисъла на ОРЗД.

Ролята на обработващия не произтича от естеството на субект, който обработва данни, а от конкретните му дейности в специфичен контекст. Естеството на услугата ще определи дали дейността по обработване представлява обработка на лични данни от името на администратора по смисъла на ОРЗД. Когато обмисляте дали да поверите обработването на лични данни на определен доставчик на услуги или администратори следва внимателно да се прецени дали въпросният доставчик на услуги им позволява да упражняват достатъчна степен на контрол, като вземат предвид естеството, обхвата, контекста и целите на обработката, както и потенциалните рискове за субектите на данни.

Настоящата статия служи само за информация и има за цел да обърне внимание върху някои специфични изисквания на законодателство. Настоящото не представлява юридически съвет. За цялостно разбиране на дискутираните по-горе въпроси и преди да предприемете действия в тази връзка, Ви препоръчваме да се консултирате с адвокатите при Адвокатско дружество „Илиева, Вучева & Ко.”.