Отношения между администратор и обработващ лични данни. Здължения на обработващият лични данни съгласно ЗЗЛД и ОРЗД
Бойчо Момчилов
Още за лични данни:
Задължения по ЗЗЛД и ОРЗД на администратора за прилагане на подходящи мерки за защита и осигуряване на защита на етапа на проектиране и по подразбиране
Oсновни понятия, общи и специфични случаи при обработване на личните данни съгласно ЗЗЛД и Регламент (ЕС) 2016/679
Промени в Закона за защита на личните данни
Задължения по ЗЗЛД и ОРЗД на администратора за прилагане на подходящи мерки за защита и осигуряване на защита на етапа на проектиране и по подразбиране
Oсновни понятия, общи и специфични случаи при обработване на личните данни съгласно ЗЗЛД и Регламент (ЕС) 2016/679
Промени в Закона за защита на личните данни
В чл. 61 от ЗЗЛД са уредени отношенията между администратора на лични данни и обработващият лични данни. Така съгласно ал. 1 администратор на лични данни може да възложи обработване на лични данни от негово име само на обработващи лични данни, които предоставят достатъчни гаранции, че ще прилагат подходящи технически и организационни мерки по такъв начин, че обработването да отговаря на изискванията на тази глава и да се гарантира защитата на правата на субекта на данни.
Съгласно ал. 2 обработващият лични данни не може да включва в обработването друг обработващ лични данни без предварителното конкретно или общо писмено разрешение на администратора. В случай на общо писмено разрешение обработващият лични данни информира администратора за всякакви планирани промени за включване или замяна на други обработващи лични данни, като администраторът може да възрази срещу тези промени.
Договорът или другият правен акт, посочен в ал. 3, се изготвя в писмена, включително в електронна форма. Когато обработващ лични данни определи в нарушение на правилата на тази глава целите и средствата на обработването, той се смята за администратор на лични данни по отношение на това обработване. Обработващият лични данни и всяко лице, действащо под негово ръководство или под ръководството на администратора, което има достъп до личните данни, обработва тези данни само по указание на администратора, освен когато условията и редът за обработването са предвидени в правото на Европейския съюз или в законодателството на Република България.
Oт горецитираната разпоредба следва и и първото и ключово задължение на обработващия лични данни, а именно да не се отклонява от или да не действа извън указанията/ възлагането на администратора, да не определя нови цели и средства за обработването на данните и да не изземва компетенциите на администратора.
Подобен тип действия сами по себе си биха могли да съставляват нарушение на изискванията на ОРЗД. Вземането на ключовите решения относно обработването на личните данни е изцяло дейност и отговорност на администратора. С вземането на тези решения всъщност администраторът поема отговорността за законосъобразността им обработване и за него възникват задълженията да осигури и гарантира защитата на правата на субектите на данни. За разлика от администратора обработващият действа от името на администратора, т.е. по възлагане, съгласно нарежданията на администратора и взетите от него решения.
В случаите, когато обработващият вземе решение относно целите или средствата за обработване на личните данни, той се отклонява от нарежданията на администратора по един от следните начини:
1. Извършва дейности по обработване, които не са му били наредени/ указани от администратора – това са действия без необходимите нареждания от администратора; или
2. Извършва дейности по обработване, които нарушават нарежданията, дадени му от администратора – това са действия на директно неизпълнение на нарежданията на администратора.
Съгласно ал. 2 обработващият лични данни не може да включва в обработването друг обработващ лични данни без предварителното конкретно или общо писмено разрешение на администратора. В случай на общо писмено разрешение обработващият лични данни информира администратора за всякакви планирани промени за включване или замяна на други обработващи лични данни, като администраторът може да възрази срещу тези промени.
Основните задължения на обработващият лични данни са разписани обаче в ал. 3, 4, 5 и 6 от чл. 61 от ЗЗЛД. Така съгласно ал. 3 обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт съгласно правото на Европейския съюз или законодателството на Република България, който обвързва обработващия лични данни с администратора по ал. 1 и регламентира предмета и срока на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни, задълженията и правата на администратора. Посоченият договор или друг правен акт предвижда по-специално, че обработващият лични данни:
1. действа единствено по указания на администратора;
2. гарантира, че лицата, оправомощени да обработват личните данни, са поели задължение за поверителност или са задължени по закон да спазват поверителност;
3. подпомага администратора с всички подходящи средства, за да се гарантира спазването на правата на субекта на данни;
4. по избор на администратора изтрива или връща на администратора всички лични данни след приключване на предоставянето на услуги по обработване на данни и изтрива съществуващите копия, освен ако правото на Европейския съюз или законодателството на Република България не изисква съхранение на личните данни;
5. предоставя на администратора цялата информация, необходима за доказване на спазването на този член;
6. спазва условията по т. 1 - 5 и по ал. 2 за включване на друг обработващ лични данни.
1. действа единствено по указания на администратора;
2. гарантира, че лицата, оправомощени да обработват личните данни, са поели задължение за поверителност или са задължени по закон да спазват поверителност;
3. подпомага администратора с всички подходящи средства, за да се гарантира спазването на правата на субекта на данни;
4. по избор на администратора изтрива или връща на администратора всички лични данни след приключване на предоставянето на услуги по обработване на данни и изтрива съществуващите копия, освен ако правото на Европейския съюз или законодателството на Република България не изисква съхранение на личните данни;
5. предоставя на администратора цялата информация, необходима за доказване на спазването на този член;
6. спазва условията по т. 1 - 5 и по ал. 2 за включване на друг обработващ лични данни.
Договорът или другият правен акт, посочен в ал. 3, се изготвя в писмена, включително в електронна форма. Когато обработващ лични данни определи в нарушение на правилата на тази глава целите и средствата на обработването, той се смята за администратор на лични данни по отношение на това обработване. Обработващият лични данни и всяко лице, действащо под негово ръководство или под ръководството на администратора, което има достъп до личните данни, обработва тези данни само по указание на администратора, освен когато условията и редът за обработването са предвидени в правото на Европейския съюз или в законодателството на Република България.
Oт горецитираната разпоредба следва и и първото и ключово задължение на обработващия лични данни, а именно да не се отклонява от или да не действа извън указанията/ възлагането на администратора, да не определя нови цели и средства за обработването на данните и да не изземва компетенциите на администратора.
Подобен тип действия сами по себе си биха могли да съставляват нарушение на изискванията на ОРЗД. Вземането на ключовите решения относно обработването на личните данни е изцяло дейност и отговорност на администратора. С вземането на тези решения всъщност администраторът поема отговорността за законосъобразността им обработване и за него възникват задълженията да осигури и гарантира защитата на правата на субектите на данни. За разлика от администратора обработващият действа от името на администратора, т.е. по възлагане, съгласно нарежданията на администратора и взетите от него решения.
Функциите на обработващия и извършваните от него дейности са подчинени на решенията, взети от администратора и адресирани като нареждания към обработващия.
Типични примери, при които има възлагане на дейности по обработване на лични данни от администратор към обработващ лични данни, са:
- възлагането дейности по изготвяне на ведомости за заплати към външна счетоводна къща,
- използването на различни облачни услуги и платформи,
- използване на хостинг услуги,
- на колокейшън услуги,
- на външни услуги за IT поддръжка,
- използване на външен кол център за обслужване на клиенти и др. под.
Типични примери, при които има възлагане на дейности по обработване на лични данни от администратор към обработващ лични данни, са:
- възлагането дейности по изготвяне на ведомости за заплати към външна счетоводна къща,
- използването на различни облачни услуги и платформи,
- използване на хостинг услуги,
- на колокейшън услуги,
- на външни услуги за IT поддръжка,
- използване на външен кол център за обслужване на клиенти и др. под.
В случаите, когато обработващият вземе решение относно целите или средствата за обработване на личните данни, той се отклонява от нарежданията на администратора по един от следните начини:
1. Извършва дейности по обработване, които не са му били наредени/ указани от администратора – това са действия без необходимите нареждания от администратора; или
2. Извършва дейности по обработване, които нарушават нарежданията, дадени му от администратора – това са действия на директно неизпълнение на нарежданията на администратора.
Съгласно чл. 61, ал. 6 от ЗЗЛД, всяко отклонение на обработващия от нарежданията на администратора пречи на администратора да осигури законосъобразността на обработването и да гарантира защитата на правата на засегнатите субекти.
Ключовите въпроси относно обработването на личните данни, които се решават само и единствено от администратора и съответно по отношение на които обработващият няма право да се намесва, са относно:
1. целите на обработването;
2. средствата, с които се обработват данните;
3. данните, които се обработват;
4. сроковете, в които се обработват;
5. мястото, където се обработват; и
6. лицата, които обработват данните.
1. целите на обработването;
2. средствата, с които се обработват данните;
3. данните, които се обработват;
4. сроковете, в които се обработват;
5. мястото, където се обработват; и
6. лицата, които обработват данните.
Всеки един от тези аспекти е ключов, за да може администраторът да изпълни задължението си по чл. 24, ал. 1 от Регламент (ЕС) 2016/679 „да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с“ Регламента.
Както става ясно от горецитирната разпоредба на ал.3 на чл.61 от ЗЗЛД отношенията между обработващия и администратора относно обработването на личните данни трябва да бъдат уредени с писмен договор или с друг писмен правен акт съгласно правото на Съюза или правото на държава членка, който е задължителен за обработващия лични данни спрямо администратора.
Особено важно е да се подчертае, че не е достатъчно да има писмен договор между администратора и обработващия лични данни.
Този договор трябва задължително по конкретен начин да адресира и урежда възложените дейности по обработване на лични данни. Нещо повече, както ОРЗД така и ЗЗЛД въвеждат изисквания относно минималното съдържание на такъв договор.
Този договор трябва да урежда и указва задължително:
1. предмета на възложеното обработване на лични данни;
2. срока на действие на обработването;
3. естеството на възложеното обработване;
4. целта, за които се възлага обработването;
5. категориите лични данни и категориите субекти на данни, обект на обработването; и
6. задълженията и правата на администратора и на обработващия по отношение на възложеното обработване.
Липсата на такъв договор в отношенията между администратора и обработващия лични данни сама по себе си би означавала вече, че обработващият лични данни нарушава изискванията на ОРЗД и ЗЗЛД.
1. предмета на възложеното обработване на лични данни;
2. срока на действие на обработването;
3. естеството на възложеното обработване;
4. целта, за които се възлага обработването;
5. категориите лични данни и категориите субекти на данни, обект на обработването; и
6. задълженията и правата на администратора и на обработващия по отношение на възложеното обработване.
Липсата на такъв договор в отношенията между администратора и обработващия лични данни сама по себе си би означавала вече, че обработващият лични данни нарушава изискванията на ОРЗД и ЗЗЛД.
В този договор или друг правен акт трябва задължително да са предвидени определени задължения за обработващия лични данни, които по своята същност се припокриват с основните му задължения съгласно ОРЗД.
Обработващият лични данни може да обработва личните данни само по документирано нареждане на администратора
В продължение на принципа за отчетност, въведен с чл. 5 от Регламента, не само договорните отношения между администратора и обработващия лични данни е необходимо да бъдат писмено уредени, но и всички нареждания и указания на администратора към обработващия лични данни относно възложеното му обработване трябва да са документирани, т.е. писмени, проследими.
ОРЗД забранява на обработващия лични данни да изпълнява указания на администратора, които не са документирани.
Всяко такова обработване би било извършено от обработващия лични данни на негов риск и отговорност, тъй като, както бе посочено по-горе, действията без или извън указанията на администратора могат да доведат до това обработващият да бъде третиран като администратор по отношение на конкретното действие по обработване.
Единственото изключение от това задължение е в случай, че правото на Съюза или приложимото право на държава членка изисква обработващият лични данни да извърши обработване на личните данни, което е извън предвиденото в договора му с администратора.
Обичайно това са задължения за предоставяне на данни на друго лице и по-конкретна на определени компетентни държавни органи.
В тези случаи обработващият лични данни е длъжен да информира администратора за съществуването на това негово задължение, освен ако и това не му е забранено от правото на Съюза или от приложимото право на държава членка (най-често такъв тип задължения се откриват в контекста на задължения за оказване на съдействие при разследване на престъпления, защита на националната сигурност, данъчен контрол и др. под.).
Обработващият е задължен да гарантира, че лицата, оправомощени да обработват личните данни (лицата, действащи под неговия контрол), са поели ангажимент за поверителност или са задължени по закон да спазват поверителност.
Обработващият лични данни е необходимо да прилагане подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламента и да осигурява сигурността на личните данни и защитата на правата на субектите на данни.
Съгласно чл. 61, ал. 2 от ЗЗЛД, едно от най-важните задължения на обработващите личните данни лица е забраната да превъзлагат каквито и да е дейности по обработване и да включват други обработващи лични данни лица в обработването, което им е възложено от администратора.
Обработващият лични данни е необходимо да прилагане подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламента и да осигурява сигурността на личните данни и защитата на правата на субектите на данни.
Съгласно чл. 61, ал. 2 от ЗЗЛД, едно от най-важните задължения на обработващите личните данни лица е забраната да превъзлагат каквито и да е дейности по обработване и да включват други обработващи лични данни лица в обработването, което им е възложено от администратора.
За да бъде преодоляна тази забрана, е необходимо обработващият лични данни да е получил предварително конкретно или общо писмено разрешение от администратора.
Обработващият не може да включва друг обработващ данни без предварителното конкретно или общо писмено разрешение на администратора.
В допълнение, в случай на общо писмено разрешение, обработващият данни винаги информира администратора за всякакви планирани промени за включване или замяна на други лица, обработващи данни, като по този начин дава възможност на администратора да оспори тези промени.
Когато обработващ лични данни включва друг обработващ лични данни за извършването на дейности по обработване от името на администратора на това друго лице е необходимо да се наложат (с договор или друг правен акт) същите задължения за защита на данните като задълженията, предвидени в отношенията между администратора и обработващия лични данни.
Oбработващият лични данни е задължен да подпомага администратора, за да се гарантира изпълнението на изискванията:
- за осигуряване на сигурност на личните данни,
- за уведомяване при нарушения в сигурността на данните и
- за извършването на оценка на въздействието и
- за провеждането на предварителни консултации с надзорния орган (КЗЛД).
Конкретният обхват и същност на това подпомагане ще зависи и ще е пряко свързано:
- с естеството на конкретното обработване и
- с информацията, до която му е осигурен достъп.
- с естеството на конкретното обработване и
- с информацията, до която му е осигурен достъп.
Особен акцент следва тук да се постави върху това, че задълженията за уведомяване на надзорния органи и на засегнатите субекти при нарушение на сигурността на данните възникват за администратора, дори и когато самото нарушение е настъпило по отношения на данните, обработвани от обработващия. Администраторът е длъжен да уведоми КЗЛД и след преценка на риска за правата и свободите на субектите на данни евентуално да информира и тях.
Що се отнася до обработващия лични данни, то неговото задължение в ситуация на нарушение на сигурността е да информира незабавно администратора и да му предостави цялата необходима информация, с която разполага, така че да може администраторът да изпълни в срок и надлежно своите задължения за уведомяване.
Наред с посоченото по-горе дължимо съдействие при нарушения на сигурността подпомага администратора, доколкото е възможно, чрез подходящи технически и организационни мерки, обработващият е задължен и да подпомага администратора при изпълнението на задължението му да отговаря на искания за упражняване на правата на субектите на данни. В какво точно ще се състои това съдействие ще зависи от конкретното естество на възложеното му обработване на лични данни.
Подобно на задълженията за уведомяване при нарушение на сигурността на данните, задълженията, свързани с осигуряването на възможности за упражняване правата на субектите на данни и съответно тяхното съблюдаване, са адресирани към администратора. Субектите могат да упражняват своите права спрямо администратора.
Посоченото по-горе задължение за съдействие на администратора включва и изискване към обработващия лични данни да осигурява достъп на администратора до цялата информация, необходима за доказване на изпълнението на задълженията му като обработващи, и да позволява и да допринася за извършването на одити, включително проверки, от страна на администратора или на друг одитор, оправомощен от администратора.
По избор на администратора обработващият лични данни е задължен да заличи или върне на администратора всички лични данни след приключване на услугите по обработване, както и да заличи съществуващите копия, освен ако правото на Съюза или правото на държава членка не изисква тяхното съхране
Разгледаните до тук задължения на обработващия личните данни са функция на подчинената му роля спрямо администратора.
Това са задължения в контекста на конкретни възлагания на обработване на лични данни, в контекста на отношенията на обработващия лични данни с конкретни администратор.
Извън това, обаче, ОРЗД въвежда и някои самостоятелни задължения на обработващия.
Преди всичко това е задължението на обработващите лични данни да поддържат регистри на всички категории дейности по обработване, извършвани от името на администратор.
Съдържанието на тези регистри е различно от регистрите по чл. 30, ал. 1 от ОРЗД, които трябва да бъдат водени от администраторите.
То е по-съкратено и е съобразено със специфичната роля на обработващия, а именно – ролята му на лице, което действа от името на администраторите.
Съгласно чл. 62, ал. 2 от ЗЗЛД, регистърът, воден от обработващия трябва да съдържа най-малко: наименованието и координатите за връзка на обработващия или обработващите лични данни, на всеки администратор на лични данни, от чието име действа обработващият лични данни, и на длъжностното лице за защита на данните, когато е приложимо; категориите обработване на лични данни, извършени от името на всеки администратор; когато е приложимо, предаването на лични данни на трета държава или на международна организация, когато има изрични указания от администратора за това, включително наименованието на третата държава или на международната организация; когато е възможно, общо описание на техническите и организационните мерки за сигурност по чл. 66.
Размерите на санкциите, които могат да бъдат налагани на обработващите лични данни лица при нарушения на ОРЗД, са същите като тези предназначени за администратори.
Направеният до тук очерк на задълженията на обработващите лични данни лица сочат, че за да съблюдават изискванията на Регламента и за да си гарантират в максимална степен защитата на техните права и интереси обработващите личните данни ще е необходимо преди всичко:
1. Стриктно да изискват от администраторите писмено, надлежно и детайлно уреждане на възлаганите им дейности по обработване на лични данни. По отношение на заварените отношения – да преуредят по надлежен начин договорите си със своите възложители/ клиенти;
2. Да обработват личните данни съобразно документираните нареждания на администратора;
3. Да оказват адекватно и съответстващо на възложените им дейности съдействие на администратора при спазване на неговите задължения; и
4. Да водят регистри за извършваните от тях дейности по обработване на лични данни.
Оценете отговора на експерта
(1 звезда - незадоволителен; 5 звезди - отличен)
Оценка:
(1 звезда - незадоволителен; 5 звезди - отличен)
Оценка:
Съдържанието, дизайнът и публикуваните статии в portaltrznormativi.bg подлежат на РС Издателство и Бизнес Консултации и са защитени по смисъла на закона за авторското право и сродните му права. Копирането и разпространението на съдържанието е забранено! Общи условия
Подобни статии
04Ноем2021
Комисията за защита от дискриминация също взе отношение по темата за третирането на лицата във връзка с ваксинационния им статус
от доц. д-р Андрей Александров
04 Ноем 2021
02Ноем2021
Комисията за защита на личните данни разяснява обработването на данни за ваксинационния статус на лицата
от доц. д-р Андрей Александров
02 Ноем 2021
23Юли2020
Допустимо ли е задължителното подлагане на тестове на персонала за COVID-19 и за чия сметка трябва да се провежда?
от доц. д-р Андрей Александров
23 Юли 2020
21Апр2020
Граници на допустимото вмешателство в личното пространство в условия на извънредно положение
от доц. д-р Андрей Александров
21 Апр 2020