Кой е администраторът на лични данни?

Обслужване

Управляването на бизнес неизбежно е свързано със събирането на лични данни на клиенти и контрагенти. Поради тази причина защитата на личните данни стана важна за всеки предприемач. Това се изисква не само от професионализъм, но и от законови разпоредби, предоставящи на предприемача ролята на администратор на лични данни. Кой е администраторът на лични данни и какви са неговите задачи? Ние обясняваме по-долу.

Кой е администраторът на лични данни?

Законовата дефиниция на понятието администратор на лични данни е включена в чл. 7, т. 4 от Закона за защита на личните данни от 29 август 1997 г., според който администратор на лични данни е орган, организационна единица, образувание или лице, което решава за целите и средствата за обработка на лични данни.

Върховният административен съд в своето решение от 31 януари 2012 г. (I OSK 1317/11) обясни, че администраторът на лични данни е само администраторът на лични данни, който решава за целите и средствата за тяхното обработване. Чл.7, точка 4 от Закона от 29 август 1997 г. за защита на личните данни използва понятието за обработка на лични данни в своето съдържание, поради което е необходимо също да се позовава на законовата дефиниция на това понятие, тъй като целите и средствата винаги трябва да са свързани с обработката на лични данни. Съгласно чл. 7, т. 2 от Закона, обработването на лични данни са всякакви операции, извършвани върху лични данни, като събиране, записване, съхраняване, разработване, промяна, споделяне и изтриване, особено тези, извършвани в ИТ системи. Следва да се подчертае, че Законът използва понятието за обработка на лични данни, поради което използва термин, обозначаващ извършването (тук и сега) на дейности или операции с лични данни.

Същата позиция заема и Върховният административен съд с решение от 18 август 2016 г. (I OSK 864/16), като се посочва, че администраторът на уебсайта няма право на статут на администратор на данни по отношение на личните данни на лице, което се е регистрирало в портала, ако порталът ги е изпратил директно на вашия бъдещ работодател. Тъй като тези данни са били прехвърлени автоматично, не може да се счита, че дружеството, управляващо портала, е придобило статут на администратор на лични данни по смисъла на чл. 7, т. 4 от Закона за защита на личните данни от 29 август 1997 г. (т.е. Законодателен вестник от 2002 г., № 101, т. 926, изм.), т.е. субектът, който решава целите и средствата за обработка на лични данни. Статутът на администратора на лични данни не произтича само от факта, че разполага с данни, а от упражняването на действителен контрол върху тяхното обработване, включително двата посочени по-горе елемента – вземане на решение за целите и средствата за обработка на данните.

На 25 май 2018 г. влезе в сила нов Закон за защита на личните данни, заменящ съществуващите разпоредби, но цитираната разпоредба по изключение остава в сила, поради което легалната дефиниция на администратора на лични данни не е променена.

Какви са задълженията на администратора на лични данни?

Разпоредбата на чл. 36 от Закона за защита на личните данни от 29 август 1997 г., уточняващ основните задачи на администратора на лични данни.

Съгласно цитираната разпоредба задачите на администратора на лични данни включват:

  • прилагане на технически и организационни мерки, осигуряващи защита на обработваните лични данни, съобразени със заплахите и категориите защитени данни, по-специално защита на данните срещу неоторизирано разкриване, премахване от неупълномощено лице, обработка в нарушение на закона, както и промяна, загуба, повреда или унищожаване;

  • водене на документация, описваща начина на обработка на данните и мерките за осигуряване на защита на личните данни.

Въз основа на чл. 36а от посочения закон, компетенциите на администратора на лични данни включват назначаване на администратор по сигурността на информацията. В случай на неназначаване на администратор по сигурността, неговите задачи ще се изпълняват от администратора на данните. Тези задачи включват осигуряване на съответствие с разпоредбите относно защитата на личните данни, по-специално чрез:

  • проверка на съответствието на обработването на лични данни с разпоредбите за защита на личните данни и изготвяне на доклад в тази връзка за администратора на лични данни;

  • контролира разработването и актуализирането на документацията по чл. 36 сек. 2 и спазването на правилата, определени в тях;

  • гарантиране, че лицата, упълномощени да обработват лични данни, са запознати с разпоредбите за защита на личните данни;

както и водене на регистър на наборите от данни, обработвани от администратора на данни.

Администратор на лични данни ли е предприемачът?

Предприемачът е администратор на лични данни, използвани в обхвата на неговата дейност. При физическите лица въпросът е очевиден. От друга страна, при юридически лица и организационни звена без правосубектност, на практика възникват съмнения дали администратор на данни е дружеството, неговите органи или лицата, които седят в тях.

Администратор на лични данни е предприемач, тоест търговско дружество, а не негов орган, или физическо лице, което действа като член на органа или служител, определен за тази цел.

Пример 1.

Staroste е администратор на данни (лични данни за собствениците на превозни средства), събрани във връзка с изпълнението на обществени задачи, състоящи се в регистрация на превозни средства и издаване на документи, потвърждаващи правото на управление на превозни средства.

Пример 2.

Решенията относно целите и средствата за обработване на лични данни на пътниците, получени по време на проверка от лице, упълномощено от превозвача да проверява билети във всеки отделен случай, остават единствено на превозвача. В резултат на това превозвачът винаги ще бъде администраторът на данните за пътниците (решение на GIODO от 13 февруари 2004 г., GI-DEC-DS-34/04).

Какви задължения налага новият закон на администраторите на лични данни?

На 25 май 2018 г. Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица по отношение на обработването на лични данни и за свободното движение на тези данни и отмяна Директива 95/46/ЕО (Т.нар. GDPR регламент) и новият закон за личните данни (законът от 10 май 2018 г. относно личните данни. С влизането в сила на тези регламенти администраторите на лични данни ще започнат да носят нови задължения .

  • докладване на нарушение на защитата на личните данни на надзорния орган и уведомяване на субектите на данни за това;

  • оценка на ефектите от планираните операции по обработка на данни преди обработката им;

  • водене на регистър на дейностите по обработване на лични данни;

  • минимизиране на данни и ограничаване на съхранението;

  • гарантиране на правото на изтриване на данни, отнасящи се до дадено лице.

Може ли администраторът на лични данни да бъде установен с договор?

Този въпрос беше проучен от Главния инспектор по защита на личните данни, като посочи, че в споразумението между субектите е посочено едното лице като администратор на лични данни, а другото – субектът, към който на основание чл. 31 от Закона за защита на личните данни от 29 август 1997 г. (т.е. Законодателен вестник от 2014 г., т. 1182, с измененията), обработването на данни е поверено, то не предрешава кой е действителният администратор на тези данни. Съгласно определението, посочено в чл. 7, т. 4 от закона администратор на лични данни е този, който решава за целите и средствата. По този начин, ако както от други разпоредби на договора, така и от самия процес на обработка на данни произтича, че субектът, посочен в договора като този, на когото е възложено обработването на данни, всъщност решава за целите и средствата, следва да се счита, че администраторът на данни е този субект (решение на GIODO от 15 юли 2015 г., DIS / DEC 594/15/62961).