Администратор на данни или обработващ лични данни

Какво е администратор на данни?

Администраторът на лични данни определя целите и средствата за обработване на лични данни. С други думи, администраторът на данни решава как и защо се извършва операция по обработване на данни. Администратор на данни може да бъде юридическо лице, например предприятие, МСП, публичен орган, агенция или друга структура.

В някои случаи целите и средствата за обработване на лични данни, както и администраторът, могат да бъдат определени от правото на ЕС или правото на държава членка.

Какво е съвместен администратор?

Когато има двама или повече администратори на данни, които съвместно определят целта и средствата на обработването, те се считат за съвместни администратори. Те решават заедно да обработват лични данни за съвместна цел. Съвместното администриране може да бъде под много форми, а участието на различните администратори може да бъде неравномерно. Следователно,  съвместните администратори трябва да определят съответните си отговорности за спазване на ОРЗД.

Какви са отговорностите на администратора или съвместния администратор?

Когато взема решения относно целите и средствата за обработване на лични данни, администраторът или съвместните администратори трябва да гарантират, че личните данни на физическите лица са защитени. За да се постигне това, администраторът или съвместните администратори трябва да въведат мерки за защита на личните данни и за предоставяне на възможност на физическите лица да упражняват правата си.

За повече информация вижте списъка на отговорностите на администратора/съвместния администратор“

Какво представлява обработващия данни?

Обработващият лични данни действа само съгласно инструкциите на администратора, като обработва лични данни от името на администратора.
Подобно на администратор на данни или съвместен администратор, обработващ лични данни може да бъде юридическо лице, например предприятие, МСП, публичен орган, агенция или други органи.

Какво представлява подизпълнителя?

Подизпълнител действа съгласно инструкциите на обработващия лични данни, което означава, че може да обработва лични данни на физически лица от името на обработващия лични данни. Подизпълнител може да бъде юридическо лице, например предприятие, МСП, публичен орган, агенция или друга структура.

Следва да се отбележи, че подизпълнител може да бъде назначен само ако администраторът или съвместният администратор го разреши в писмена форма. Ако случаят е такъв, обработващият лични данни трябва да изготви обвързващ договор с подизпълнителя, в който подробно да се описват отговорностите на подизпълнителя. Този договор между обработващия и подизпълнителя трябва да осигурява същата защита на личните данни на физическите лица като първоначалния договор между администратора и обработващия лични данни.

Какви са отговорностите на обработващия?

Въпреки че като цяло отговорността се носи от администратора на данни, обработващите лични данни имат и определени отговорности съгласно ОРЗД. Обработващите лични данни трябва да са инструктирани от администратора на данни или съвместния администратор и да  извършват операциите по обработване с подходящи технически и организационни мерки. По този начин обработващият лични данни подпомага администратора при спазването на Общия регламент относно защитата на данните.
Отношенията администратор- обработващ лични данни, включително отговорностите на обработващия лични данни, трябва да се уреждат от договор, в който да се документират операциите и средствата за обработване на лични данни.

За повече информация вижте „ Списък на отговорностите на обработващия“.

 

Какво да включите в договора между администратора и обработващия лични данни?

Договорът между администратора или съвместния администратор и обработващия лични данни трябва да предвижда, че обработващият лични данни:

  • обработва личните данни само по указания на администратора на данни, включително по отношение на предаването на лични данни на държава извън ЕИП;
  • гарантира, че лицата, упълномощени да обработват данните, са поели ангажимент за поверителност или са обект на подходящо законово задължение за поверителност;
  • гарантира сигурността на обработката;
  • не ангажира друг обработващ лични данни без предварително конкретно или общо писмено разрешение на администратора на данни, който има реална възможност да възрази;
  • подпомага администратора на данни при изпълнението на неговите задълженията да отговаря на исканията на физическите лица за упражняване на правата им;
  • подпомага администратора на данни при осигуряването на сигурността  на обработването, уведомяването за нарушения на сигурността на данните и извършването на ОВЗД;
  • по избор на администратора на данни, изтрива или връща всички лични данни на администратора на данни след края на предоставянето на услугите;
  • предоставя на администратора на данни цялата необходима информация, за да докаже спазването на задълженията по ОРЗД;
  • дава възможност за одити и допринася за тях, включително за  проверки, извършвани от администратора на данни или от друг одитор, упълномощен от администратора на данни.

Какво да включите в договора между за обработващия лични данни и подизпълнителя?

Договорът между обработващия лични данни и подизпълнителя трябва да включва специални клаузи, които гарантират, че личните данни, които ще бъдат обработвани, ще бъдат защитени по същия начин, както е предвидено в договора между администратора и обработващия лични данни.

 

Кой е отговорен пред кого?

Администраторът или съвместният администратор носи отговорност както за собственото си спазване на ОРЗД, така и за съответствието на избрания обработващ лични данни. По-конкретно, ако обработващият лични данни нарушава задълженията си по ОРЗД, администраторът или съвместният администратор може да бъде държан отговорен и да подлежи на глоби и други последици, ако е приложимо.

Обработващият лични данни носи отговорност както за собственото си спазване на ОРЗД, така и може да бъде отговорен пред администратора за нарушение на договора между изпълнител и обработващ лични данни. Обработващият лични данни може също така да носи отговорност пред администратора за нарушенията, причинени от подизпълнителя. 
 

 

Списък на отговорностите

Списък на отговорностите на администратора или съвместния администратор

  • Спазване на принципите за защита на данните съгласно член 5 от ОРЗД
  • Защита на правата на физическите лица за защита на данните
  • Водене на документация за операциите по обработване
  • Гарантиране на сигурността на обработването
  • Избор на подходящ обработващ данни
  • Подробно описание в обвързващ договор на отношенията администратор- обработващ лични данни
  • Уведомяване за нарушения на сигурността на личните данни на съответния орган на ЕИП за защита на данните и на физическите лица, когато е приложимо
  • Отчитане на операциите по обработване, практикуване на защитата на данните още при проектирането и по подразбиране, извършване на оценки на въздействието върху защитата на данните, когато е необходимо
  • Назначаване на длъжностно лице по защита на данните, когато е необходимо
  • Спазване на задълженията за защита на данните при международно предаване на лични данни
  • Сътрудничество с органите за защита на данните

Списък на отговорностите на обработващия лични данни

  • Следване на инструкциите на администратора
  • Водене на документация за операциите по обработване
  • Гарантиране на сигурността на обработването
  • Приемане и спазване на обвързващия договор между администратора и обработващия лични данни
  • Получаване на разрешение от администратора, преди да се ангажира нов подизпълнител (и да се даде възможност на администратора да възрази). Ако е приложимо, трябва да бъде сключен договор между обработващия лични данни и подизпълнителя, който да съответства на първоначалния договор между изпълнител и обработващ лични данни
  • Уведомяване на администратора на лични данни за нарушения на сигурността на личните данни
  • Уведомяване на администратора за нарушения на ОРЗД
  • Поемане на отговорност  за операциите по обработване: напр. практикуване на защита на данните още при проектирането и по подразбиране
  • Назначаване на длъжностно лице по защита на данните, когато е необходимо
  • Гарантиране, че международното предаване на данни е разрешено от администратора и е в съответствие с ОРЗД
  • Осигуряване на сътрудничеството с органите за защита на данните