Част 3. Кой е администратор, кой - обработващ и трябва ли да има длъжностно лице за защита на данните?

-

Администраторът - това е всяко физическо или юридическо лице, държавен орган или орган на местната власт, агенция или друга структура, която самостоятелно определя целите и средствата за обработването на лични данни в хода на своята дейност или бизнес.

Това, което трябва да се знае е, че занапред администраторите няма да се регистрират в Комисията за защита на личните данни - това задължение отпада, а сега съществуващите регистри на администраторите вече няма да се поддържат. Но всеки, който борави с лични данни /а това са на практика всички фирми - най-малкото заради личните данни на служителите си/, ще има задължения по този регламент.

Администраторът - физическото или юридическо лице, сдружение, структура и др., носи отговорността за спазването на правилата за защита на личните данни. То ще понесе и тежестта на санкцията, ако ги наруши.
Освен това тежестта на доказване, че изискванията на закона са спазени, тежи върху администратора - при проверка от Комисията за защита на личните данни той трябва да докаже, че обработва личните данни законосъобразно.



Администраторът може да обработва данните лично или да възложи това на обработващ.

Какво е "обработващ лични данни"?

Това може да бъде както физическо, така и юридическо лице, може да е и публичен орган, агенция или друга структура,  която обработва лични данни.

Основната разлика е, че това лице обработва лични данни от името на администратора.

Обработването се извършва след предварително писмено разрешение от администратора. Отношнията между администратора и обработващия се уреждат с договор или с друг правен акт.

Ако обработващият реши сам да определи целите и средствата, за които ще обработва личните данни и направи това в нарушение на регламента - той се счита за администратор по отношение на тази "грешка" и носи отговорност за нея.

Както администраторът, така и обработващият лични данни, може да посочват други лица, които да обработват личните данни под тяхно ръководство. Тези лица действат само по указание на администратора, освен ако обработката на данни не се изисква от закон.

Обработващият данни обаче може да включва или заменя друг обработващ само с предварително разрешение от администратора.

Необходимо ли е длъжностно лице по защита на личните данни? 

Това е въпросът, който най-често се задава - особено от представителите на "малкия бизнес", за които всяка "излишна" заплата се приема като непосилно финансово бреме.

Всъщност отговорът е, че малките фирми нямат задължение да назначават нарочен служител по защита на личните данни. Това е задължително само за публичните органи или когато са налице кумулативно следните условия: основните дейности на администратора или обработващия лични данни да се състоят в операции по обработване на лични данни и това обработване да се извършва редовно, систематично и мащабно. Задължително се назначава длъжностно лице и когато се обработват мащабно "специални данни" - за сексуалната ориентация, расов и етнически произход, политически възгреди, генетични данни и др., както и когато става дума за лични данни, свързани с присъди и нарушения.

"Малкият" бизнес трудно би се вписал в посочените по-горе хипотези - това би било по-скоро изключение от принципа, че за малките фирми задължение за назначаване на длъжностно лице няма.

Регламентът обаче дава възможност - по желание на администратора,той да ангажира длъжностно лице по защита на данните и без да е длъжен да го направи. Обработващият лични данни също може да го направи. И в много случаи това може да се окаже едно добро решение. По-нататък ще разберете защо.

Важно!

Разясненията, които четете тук, нямат характер на адвокатска консултация. Тяхната цел е просто да помогнат на "малките" играчи на пазара да разберат какви са новите им задължения, за да могат да се изправят пред тях без излишна паника.




Коментари

Публикуване на коментар

Популярни публикации от този блог

КЗЛД: Кога не се иска съгласие от субекта на данните

-
Изображение
В последно време сме свидетели на засилено искане на съгласие за събиране и обработване на лични данни на граждани при предоставянето на различни видове услуги. В КЗЛД ежедневно постъпват сигнали и въпроси относно необходимостта да се иска и дава съгласие. Не трябва да се забравя, че както лесно е дадено, така лесно съгласието може да бъде оттеглено, поради което обработването на лични данни само въз основа на съгласие не винаги е най-удачен избор и е добре да се направи преценка дали не е налице друго правно основание. Във връзка с повишения обществен интерес и явната значимост на този въпрос, КЗЛД изготви информационен материал относно случаите, в които администраторите / обработващите лични данни не следва да изискват съгласие от физическите лица, за да събират и обработват техни лични данни. Съгласието е едно от основанията за събиране и обработване на лични данни. Независимо от факта, че то е посочено на първо място, важно е да се знае, че всички правни основания са алтернат...
Прочетете още

Част 4: Кой е длъжен да назначи специален служител по данните?

-
Изображение
Първо трябва да изясним кой има задължението да назначи такова длъжностно лице. Според регламента администраторът и обработващият лични данни определят длъжностно лице по защита на данните във всички случаи, когато са публични органи или структури, когато основната им дейност се състои в обработването на лични данни и това обработване е редовно, систематично и мащабно, както и когато обработват "специални данни" - за присъди и нарушения, за здравословно състояние и др. В предложението за промени в българския Закон за защита на личните данни /ЗЗЛД/ обаче е записано, че администраторът или обработващият лични данни ще е длъжен да назначи длъжностно лице по защита на данните винаги, когато обработва данните на повече от 10 000 физически лица.
Прочетете още