През последните месеци се организират масово семинари, конференции, обучителни курсове, целящи запознаването на юристите, а и на цялото общество с Общия Регламент за Защита на Данните (Регламента / ОРЗД). Последният въвежда няколко основни фигури, чието разбиране и разграничение е от съществено значение за правилното му прилагане. Въпреки че в нормативния акт присъстват легални дефиниции на две от тях, а третата е подробно описана, те все пак предизвикват объркване при тяхното разграничение на практика. Ето защо целта на настоящата публикация е да спомогне при разбирането и разграничаването на основните фигурите, които Регламентът въвежда, а именно Администраторът, Обработващият Лични Данни и Длъжностното Лице по Защита на Данните.
Администратор на Лични Данни
Легалната дефиниция на тази фигура се съдържа в чл. 4, т.7 от Регламента където се посочва, че администратор на лични данни е „физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни: когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.“. От тази дефиниция могат условно да се определят 2 типа Администратори:
- Администратори, чийто статут произтича от правото на ЕС или правото държава членка (т.е. от закона);
- Администратори, чийто статут произтича от извършваната от тях дейност.
Независимо дали статутът на Администраторите произтича от закон или с оглед на дейността им, признакът, който ги отличава като такива, е възможността за определянето на целите и средствата за обработване на лични данни. Това е същностна характеристика и е свързана с възможността за вземане на решения по тези въпроси, респективно с контрола на начина и сроковете за обработване, вида и категориите данни, които се обработват, лицата, които имат достъп до тях и др. Правилното дефиниране на Администратора има важната практическа последица да определи кой носи отговорността в случай на злоупотреба или нарушения на правата на физическите лица (субектите на данни).
Пред фигурата на „Съвместни Администратори“ (регламентирана в чл. 26 от Регламента) сме изправени в случай, че Администраторът определя целите и средствата за обработването на лични данни заедно с други Администратори. Съвместните Администратори трябва да определят по прозрачен начин своите отговорности, свързани със защитата на правата и свободите на субектите на данни, произтичащи от ОРЗД. Физическото лице, за което се отнасят данните, може да упражнява своите права в областта на защитата на личните данни по отношение всеки и срещу всеки от Администраторите.
Обработващ Лични Данни
Легалната дефиниция на тази фигура се съдържа в чл. 4, т. 8, където се посочва, че Обработващ Лични Данни е „физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора“.
Това определение отразява същността на фигурата Обработващ Лични Данни, от което произтичат следните характеристики:
- Обработващият Лични Данни е лице, различно от Администратора на Лични Данни;
- Обработващият Лични Данни обработва данни от името на Администратора;
Отношенията между Администратора и Обработващия Лични Данни обикновено се уреждат с договор, в който се регламентира предметът и срокът на действие на обработването, естеството и целите на обработването, видът на личните данни и категориите субекти на данни, задълженията и правата на администратора, както и другите реквизити посочени в чл. 28, пар. 3 от Регламента. Договорът следва да бъде изготвен в писмена форма (включително и в електронна форма), която е условие за неговата действителност (чл. 28, пар. 9).
Отношения между Администратора и Обработващия Лични Данни трябва да бъдат уредени много прецизно, тъй като ако на обработващия се предостави преценката за определяне на целите на обработването или абсолютна самостоятелност при определяне на средствата за обработването, без администраторът да е в състояние да упражни контрол, ще сме изправени пред отношения между Съвместни Администратори. Това ще има значение за начина, по който ще се разпределят отговорностите между тях.
Тук е важно да отбележим, че едно дружество може да бъде едновременно и Администратор и Обработващ Лични Данни. Например Счетоводните къщи – те са Администратор при обработката на личните данни на своите служители, но също така са и Обработващ Лични Данни по отношение на служителите на техните клиенти (дружества предоставили личните данни на своите служители и клиенти за изчисляване на заплати и осчетоводяване на стопански операции).
В бизнес средите често възниква въпросът – къде трябва да бъдат позиционирани служителите на Администратора и представляват ли те Обработващ Лични Данни според Регламента? Отговорът на този въпрос следва да бъде отрицателен – служителите на Администратора не са Обработващи Лични Данни, по смисъла на Регламента, а се наричат „лица, действащи под ръководството на Администратора“. Те обработват данните по указание на Администратора, като изпълняват произтичащите от длъжността си задължения или конкретно възложени им задачи, но с тези действия по обработване на личните данни те ангажират отговорността на Администратора. Това означава, че когато изчисляването на заплатите и осчетоводяването на стопански операции се извършват вътре в самото дружество, то това обработване се извършва от Администратора (чрез своите служители), а не от Обработващ Лични Данни.
Длъжностно Лице по Защита на Данните
За съжаление Регламентът не дава легална дефиниция на фигурата Длъжностно Лице по Защита на Данните, но от разпоредбите, които уреждат тази роля, може да се изведе следното определение – Длъжностното Лице по Защита на Данните е призвано да бъде своеобразен „отговорник“ по всички въпроси, свързани със защитата на личните данни в предприятието – от даването на разяснения и съвети на служителите и ръководството, през осъществяването на контрол върху процесите по обработване на данните, до функционирането като единна точка за контакт за надзорните органи и лицата, чиито данни се обработват.
Администраторът и/или Обработващият назначават Длъжностно Лице по Защита на Данните, в хипотезите предвидени в закона[1]. Длъжностното Лице може да бъде както служител на Администратора или Обработващия лични данни (по трудово правоотношение), така и външно лице (въз основа на договор за услуги). С назначаването обаче не се изчерпват задълженията на Администратора или Обработващия Лични Данни спрямо Длъжностното Лице. Те трябва да му осигурят среда за независимо изпълнение на своите задължения, т.е. никой не бива да оказва въздействие върху него и то трябва да е подчинено на най-високо ниво в организацията. Също така Администраторът / Обработващият трябва да осигурят необходимите ресурси на Длъжностното Лице по Защита на Данните, за да може да изпълнява ефективно своите задачи.
Важно е да се отбележи, че отговорността за неспазването на Регламента все пак остава за Администратора и/или Обработващия Лични Данни, т.е. Длъжностното Лице по Защита на Данните не носи лична отговорност.
Фигурата отговаряща за защитата на данните следва да се назначава въз основа на неговите професионални качества и по-специално въз основа на експертните му познания в областта на защитата на личните данни. Необходимото ниво на експертни знания трябва да се определя за всеки конкретен случай. Например когато дадена дейност по обработване на данни е особено сложна или когато се касае за голям обем от чувствителни данни, Длъжностното Лице по Защита на Данните може да има нужда от повече опит и познания.
Бележки под линия:
[1] Погледнете публикацията „Назначаване на ДЛЗД“.
0 Коментара