Актуално към 26.03.2021 г.
В тази секция можете да намерите следната информация:
Кой е администратор и кой обработващ на лични данни?
Физическите или юридическите лица, публичните органи, агенциите или други структури могат да бъдат администратор или обработващ лични данни. Ако лицето е администратор на лични данни, то определя самостоятелно или съвместно с други целите и средствата за обработването на лични данни. Ако целите и средствата са определени от закон, администраторът също може да бъде определен в закона. Обработващият лични данни обработва данните от името на администратора.
Важно е да знаете | |
Администраторът на лични данни определя самостоятелно или съвместно с други целите и средствата за обработването на лични данни. Администраторът е този, който контролира операциите по обработването. Обработващият лични данни обработва данните от името на администратора. Той винаги е външна за администратора структура или фигура (служителите да даден администратор нямат статута на обработващи лични данни). След влизането в сила на Регламента вече не съществува задължение за регистрация в Комисията за защита личните данни и придобиването на качеството администратор не зависи от такава регистрация. |
Ако администраторът, целите или средствата не са определени със закон, те трябва да се определят самостоятелно от компанията Ви въз основа на разпоредбите на Регламента. За да се установи кой е администратор и кой обработващ, ключовият въпрос е кой определя целите и средствата. За да се определят целите, трябва да се отговори на въпроса „Защо?“, а спрямо средствата – на въпроса „Как?“. Определение, което да помогне допълнително за дефиниране на целите липсва, както беше уточнено тук. Изрично определение за средства също няма в Регламента, но от Мнение 1/2010 на Работна група по член 29 е ясно, че те включват не само техническите параметри на обработването, но и организационните, като например кой ще има достъп до данните, кога данните ще бъдат изтрити и т.н.
Възможно е обработващият да определи средствата или част от тях за обработване на лични данни. Това често се случва, когато дружество сключи договор с доставчик на облачни услуги, който регламентира точните технически параметри на защитата и може да има отношение и към организацията на съхранението. Целите обаче винаги остават определени от администратора, както и необходимостта от достъп, съхранение, организация, за да може целите да бъдат постигнати.
Важно е да знаете | |
Средствата за обработване на лични данни не включват само техническите средства, но и начина на организация при защитата на данните. Част от тях може да бъдат определени от обработващия. Целите обаче винаги се определят от администратора. |
Често едно дружество не е само администратор и не е само обработващ. За някои процеси дружеството е администратор (например относно работниците в предприятието), а в други обработващ (в случай че доставя облачни услуги на своите клиенти). Възможно е спрямо конкретен процес лицето да бъде администратор, като впоследствие при промяна на обстоятелствата да се превърне в обработващ на същите данни.
Важно е ясно да се определят процесите на обработване на данни и в последствие ролята на лицето към конкретния момент. Допълнителна информация в случая може да се бъде придобита от Мнение 1/2010 относно определението на „администратор“ и „обработващ“ на Работна група по член 29. Мнението дава примери в кои случаи дружество или лице може да се определи като администратор или обработващ. Ако дружество реши да прехвърли част от своите задължения по закон на подизпълнител, обикновено подизпълнителят е обработващ личните данни, като например, ползването на доставчик на облачни услуги или дружество, което да предоставя услуги по „труд и работна заплата“. В случай обаче че по закон дадено дружество или лице независимо осъществява услуги и е отговорно за тях, каквито например са счетоводители (без „труд и работна заплата“), счетоводни къщи или одитори на самостоятелна практика, одиторски предприятия, доставчици на пощенски услуги, мобилни оператори и др., тези лица са администратори на лични данни.
Важно е да знаете | |
Администраторът носи отговорност за въвеждането на подходящите технически и организационни мерки, за да може ефективно да се приложат принципите на защита на данните, да се спазят изискванията на законодателството и да се защитят правата на субектите на личните данни. |
Важно е да знаете | |
Важно е между администратор и обработващ да се сключи договор за обработване на лични данни, който да определи как ще се разпределят отговорностите между тях във връзка с техническите и организационните мерки относно обработването на лични данни. |
Договорът между администратор и обработващ цели да се гарантира спазването на Регламента и отговорностите в случай на нарушения при обработването на личните данни (понятие за нарушение на личните данни виж тук и тук). Договорът трябва да включва клаузи, които се изискват съгласно Регламента като например, че обработващият трябва да обработва данните само по документирано нареждане на администратора, че администраторът има право да прави проверки на обработващия относно това дали са спазени правилата за техническите и организационните мерки по обработването и други. Също така, обработващият лични данни трябва да уведоми администратора, ако планира да използва свой подизпълнител при обработването на лични данни или да замени такъв, който вече използва. Обработващият трябва да гарантира, че подизпълнителят ще спазва задълженията към администратора, които са вече договорени с него в договора.
Когато двама или повече администратори съвместно определят целите и средствата на обработването, те са съвместни администратори. Те може да разпределят отговорностите си. Пример за съвместни администратори са работодател и агенция за набор на персонал, която търси работник.
Важно е да знаете | |
Ако дружество не е установено в рамките на Европейския съюз, но обработва лични данни на лица в Съюза, това дружество се явява техен администратор и трябва да определи писмено свой представител в Съюза. |
Какво е Длъжностно лице по защита на данните и кога е необходимо да назначите такова?
Важно е да знаете | |
Задължително е да се назначи Длъжностно лице по защита на данните, ако основните дейности на дружеството изискват редовно и систематично мащабно [1] наблюдение на субектите на данни, както и при мащабно обработване на специални категории данни и на лични данни, свързани с присъди и нарушения. Задължението се отнася и до администратора, и до обработващия лични данни. |
Важно е да знаете | |
Под наблюдение не се има предвид само наблюдаване на поведението на субектите в интернет или поради медицински или психически причини. Наблюдение може да означава също и вътрешна система за наблюдение в дружеството, която обработва лични данни. Длъжностно лице по защита на данните може да се назначи и доброволно от дружеството. |
Длъжностното лице по защита на данни трябва да бъде лице, което има експертни познания в областта на законодателството и практиките в областта на защита на личните данни и да може да изпълнява задачите, които Регламентът му поставя. Това лице може да е служител на дружеството или да е лице, с което дружеството е сключило договор за предоставяне на такива услуги.
Ако Длъжностното лице по защита на данните е служител на дружеството, то може да изпълнява само тази функция в рамките на дружеството или да комбинира тази функция с друга. В случай на комбиниране на функциите, не трябва да има конфликт на интереси, за което е необходим обстоен анализ. Публикувани са Насоки относно Длъжностните лица по защита на данните от работна група по член 29, които могат да дадат полезна информация относно задълженията, свързани с тази позиция и за това как да се избере подходящо лице в рамките на организацията.
На Длъжностното лице по защита на данни трябва да се осигурят достатъчно ресурси от страна на ръководството, за да може да изпълнява задачите си. То трябва да е на достатъчно висока позиция в йерархията на дружеството, за да може да действа независимо и да предоставя необходимата консултация на ръководството с оглед спазване на правилата за защита на личните данни. Също така то трябва да се ползва с доверие от работниците, така че те да могат конфиденциално да сигнализират пред него за нарушения по отношение на личните данни.
Основните задачи на Длъжностното лице по защита на данните са свързани с това да информира и съветва относно задълженията на дружеството като администратор или обработващ; да наблюдава спазването на Регламента и законодателството, свързано със защита на личните данни, както и да предоставя съвети по отношение на оценката на въздействието, да сътрудничи с надзорния орган и бъде като точка за контакт с него.
Важно е да знаете | |
Данните за контакт на длъжностното лице по защита на данните трябва да се публикуват от дружеството, което може да се осъществи на интернет страницата му и също така трябва да се предоставят на Комисията за защита на личните данни. |
Повече информация |
|
Повече информация може да намерите на интернет страниците на:
|
[1] § 1, т. 15 от ДР на ЗЗЛД: „Мащабно“ е наблюдение и/или обработване на лични данни на значителен или неограничен брой субекти на данни или обем лични данни, когато основните дейности на администратора или обработващия лични данни, включително средствата за тяхното изпълнение, се състоят в такива операции.