Дали дадена организация действа като администратор на лични данни, съвместен администратор или обработващ лични данни е от съществено значение при прилагането на Общия регламент за защита на данните (ЕС) 2016/679 (Регламента), тъй като от това зависи какви задължения има въпросната организация и каква отговорност носи по отношение на обработването. По тази причина на 2 септември 2020г. Европейският комитет за защита на данните (Комитетът) публикува Насоки относно тълкуването на тези понятия, като предостави насоки и подробни разяснения чрез примери, за да установи последователно и хармонизиран прилагане в Европейския съюз (ЕС) и Европейското икономическо пространство (ЕИП).
Администратор на лични данни и обработващ лични данни
От съществено значение за разграничаването на двете понятия е кой субект определя определени „съществените“ елементи на обработването За да се счита за администратор, субектът трябва да определя целите и средствата на обработване – „защо“ и „как“ ще се обработват данните. Някои несъществени аспекти на средствата на обработване могат да бъдат оставени на преценката на обработващия данните. За „съществени“ аспекти Комитетът счита, например, видът на обработваните лични данни, продължителността на обработката на данните, категориите получатели на данни и категориите субекти на данни.
И обратно, обработващият данните е този, който може да взима решенията само за „несъществени“ аспекти (например вида на ИТ системите или други технически средства, които да се използват за обработка на данните, или подробностите за мерките за сигурност, основани на общите цели за сигурност, определени от администратора).
Комитетът дава следния пример: Компания А наема Компания Б, която да администрира изплащането на заплати на служителите на А. Компания А дава ясни инструкции за това кой да плати, какви суми, до коя дата, до коя банка, колко дълго ще се съхраняват данните, какви данни трябва да бъдат разкрити на данъчния орган и т.н. В този случай обработката на данни се извършва с цел Компания А да изплаща заплати на своите служители и Компания Б не може да използва данните за каквато и да е други цели. Начинът, по който Компания Б трябва да извърши обработването, е по същество ясно и строго дефиниран от Компания А. Компания Б може да взима решения само за несъществените аспекти на обработването – кой софтуер да се използва, как да се разпространява достъпа до данни в рамките на собствената ѝ организация и т.н. Това не променя ролята ѝ на обработващ данни, когато тя не излиза извън обхвата на указанията, дадени от Компания А.
Комитетът дава и друг пример:
Компания A сключва договор за хостинг услуга с Компания Х за съхраняване на криптирани данни на сървърите на Х. Компания Х не определя вида на данните, които хоства, нито ги обработва по друг начин, освен като ги съхранява на своите сървъри. Тъй като съхранението е вид обработване на данни, а Компания Х съхранява въпросните лични данни от името на Компания А, то Компания Х се явява обработващ лични данни. Нужно е Компания A да предостави необходимите инструкции на Х относно това кои технически и организационни мерки за сигурност трябва да приложи и да сключи споразумение за обработване на данни съгласно член 28 от Регламента. Х трябва да съдейства на A при осигуряването на необходимите мерки за сигурност и да я уведоми в случай на нарушение на защитата на личните данни.
Съвместни администратори
Фигурата на съвместни администратори възниква,, когато субектът, определящ целите и средствата на обработване на личните данни, не е един, а са два или повече. За да изобрази практическото измерение на такъв тип обработване на данни, Комитетът дава следния пример:
Туристическа агенция, хотелска верига и авиокомпания решават да създадат съвместна интернет платформа с обща цел – предоставяне на пакетни туристически услуги. Те се договарят относно основните средства, които трябва да се използват, кои данни ще се съхраняват и как резервациите ще бъдат разпределени и потвърдени, кой може да има достъп до информацията, която се съхранява. Освен това те решават да споделят един с друг данните на своите клиенти, за да могат да извършват съвместна маркетингова дейност. В този случай туристическата агенция, авиокомпанията и хотелската верига заедно определят защо и как личните данни на клиентите им ще се обработват и следователно се явяват съвместни администратори по отношение на операциите по обработване на данни, свързани със съвместната им интернет платформа за резервации и съвместните маркетингови действия.
Въпреки това, всеки от тях запазва качеството си на самостоятелен администратор на данни по отношение на всички други свои дейности, базирани извън общата интернет платформа.
Друг пример, който Комитетът дава за разграничаване на съвместни администратори от администратор и обработващ данни, е при провеждането на клинични изпитвания:
Доставчик на здравни услуги (изследовател) и университет (спонсор) решават да стартират заедно клинично изпитване с обща цел. Те си сътрудничат за изготвянето на протокол на изследването (т.е. цел, методология / модел на изследването, данни, които трябва да бъдат събрани, предмет, критерии за изключване / включване, повторна употреба на базата данни (където е уместно) и т.н.). Те могат да се считат за съвместни администратори за това клинично изпитване, тъй като те съвместно определят целта и основните средства за обработката на данни.
Събирането на лични данни от медицинските досиета на пациента за целите на изследването трябва да се разграничи от съхраняването и използване на същите данни за целите на грижите за пациентите, за които доставчикът на здравни грижи остава самостоятелен администратор.
В случай че изследователят не участва в съставянето на протокола, а просто приема протокола, разработен самостоятелно от спонсора, то изследователят ще се счита за обработващ данните, а спонсорът – за администратор по отношение на това клинично изследване.
Комитетът дава и пример за предоставянето на лични данни от работодател към данъчните власти, в който случай няма да бъде налице съвместно обработване:
Компания събира и обработва лични данни на своите служители с цел управление на заплати, здравни осигуровки и др. Законът задължава компанията да изпраща всички данни относно заплатите на данъчните власти с оглед засилване на фискалния контрол.
В този случай, въпреки че и компанията, и данъчните власти обработват едни и същи данни относно заплатите, липсата на съвместно определени цели и средства по отношение на това обработване ще доведе до квалифицирането на двата субекта като двама отделни администратори на данни.
В анекс към Насоките Комитетът предоставя и графики с практически въпроси, които да помогнат на всеки да прецени дали обработва данни като самостоятелен администратор, съвместен администратор или обработващ.
Насоките можете да намерите тук.