Автор: Преслав Балджиев
С влизането в сила на Общия регламент за защита на лични данни (ОРЗД) през 2016 година настъпиха редица промени, с които се гарантира сигурността на обикновения потребител. Защитата на интересите му доведе до създаването на нови фигури, като Администратор на и Обработващ лични данни – термини, които заради сходната си същност, често се смесват.
Какво е Администратор на лични данни?
Понятието Администратор на лични данни има своята легална дефиниция в член 4, точка 7 ОРЗД. Според нея Администратор на лични данни „означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;“
Представено по по-разбираем начин, Администраторът на лични данни представлява структура, която самостоятелно събира на някакво основание (съгласие, изпълнение на договор, законово задължение и др.) лични данни. Основанието за събиране на лични данни трябва да се преценява за всеки конкретен случай.
Събраните лични данни не могат да се обработват произволно – тяхната обработка трябва да отговаря на целите, за които са били събрани и които са определени от Администратора на лични данни (пример, изпълнение на онлайн поръчка).
Администраторът на лични данни трябва да се съобрази и със срока, до който са допустими обработката и съхранение на данните – в ОРЗД срокът е пояснен като „не е по-дълъг от необходимия“. Вземайки предвид това, Администраторът е длъжен да определи конкретни срокове след изтичането, на които основанието за обработване на лични данни ще отпадне, а самите лични данни трябва да бъдат заличени/изтрити. Тези срокове могат да варират – от значение при определянето им са целите и основанията.
Възможно е данните да бъдат събирани от двама или повече Администратори на лични данни – тогава ще са налице съвместни Администратори. В този случай, администраторите съвместно трябва да определят целите и средствата на обработването, а субектите на лични данни могат да упражняват своите права поотделно към всеки един от тях.
Пример за Администратор на лични данни са Спедиторските компании – те събират лични данни, за да могат да изпълнят задълженията си по договор за превоз/спедиторски договор. Друг пример за Администратор на лични данни са Лечебните заведения (болници) – при постъпването на пациент, лечебното заведение събира и обработва личните му данни.
До 25.05.2018 Администраторите на лични данни са подлежали на вписване в специален регистър към Комисия за защита на личните данни.
Какво е Обработващ лични данни?
Обработващият лични данни също има легална дефиниция – член 4, точка 8 ОРЗД. Според тази разпоредба обработващият лични данни е „физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора“.
Това означава, че Обработващият е отделно трето лице, наравно с Администратора на лични данни и със Субекта на лични данни, но за разлика от тях участието на Обработващия лични данни не е задължително.
За разлика от Администратора на лични данни, Обработващият лични данни не може сам да събира такава информация – тя винаги му е предоставена от Администратора, от чието име действа.
Обработващият лични данни основава обработването на личните данни върху договор/споразумение, сключено с Администратора на лични данни. В договора/споразумението се посочват времето и целите, за които данните ще бъдат обработени (всяко отклонение от уговореното ще означава, че Обработващият лични данни ще започне да действа като Администратор, друг въпрос е дали ще има основание), задълженията на обработващия лични данни, както и клауза за отговорност и сигурност. Важна особеност е този договор/споразумение да бъде изготвен и предоставен от Администратора на лични данни. В противен случай, изготвянето на договора/споразумението от Обработващия лични данни ще означава, че той ще определи основанията и целите за събиране на личните данни и ще го превърне в отделен Администратор.
Пример за Обработващ лични данни е счетоводна къща, разполагаща с данни за служителите на дружество-клиент, което е предоставило данните с цел изплащане на заплати.
Обобщение
Администратор на ЛД | Обработващ ЛД | |
Начин на получаване на личните данни | Събира ги сам | Предоставят му се от Администратора |
Цели | Определя ги сам | Определя се от Администратора |
Основания | Различни | Винаги договорно |
Време за обработка | В зависимост от данните | Според уговорката с Администратора |
Този материал, изготвен от Преслав Балджиев, има за цел да предостави информация относно това какви са разликите между администратор и обработващ лични данни лични данни. Материалът не представлява правно становище и не може да бъде разглеждан като индивидуална консултация, отчитаща спецификите на конкретни факти и обстоятелства. За всеки конкретен случай, следва да се потърси професионален съвет от специалист в тази област на правото. За допълнителна информация по засегнатите по-горе въпроси, както и за индивидуална консултация, можете да се свържете с екипа на кантората на адвокат Красимира Кадиева на 00359 882 308 670 или да направите запитване чрез формата за контакт на този уеб сайт. От 2017 година Преслав Балджиев е студент по право в Софийски университет „Св. Климент Охридски“, като преди това завършва Природо-математическа гимназия „Акад. Никола Обрешков“ в гр. Бургас. През февруари 2020 година преминава курс за представители по индустриална собственост в Патентното ведомство на Република България в областта на марките, географските означения и промишлените дизайни. Проявява интерес към интелектуалната собственост, защитата на лични данни, търговското и облигационно право като също така регулярно посещава конференции, практически курсове, семинари и уебинари. Владее отлично английски език.