Практически последици при прилагането на Общия регламент относно защитата на данните
Целта на настоящата статия е да насочи вниманието към изключителното значение, което имат дефинициите за правилното разбиране и прилагане на всяка една правна уредба. Това значение се проявява не само при изясняване на конкретното понятие, за което са предвидени. Често една дефиниция формира разбирането и на други определения, предвид систематичната връзка, която съществува между тях. Тази връзка трябва да бъде отчитана по същия начин, по който се взема предвид при тълкуването на другите разпоредби.
Предвид наближаването на датата 25.05.2018 г., на която ще започне да се прилага Общият регламент относно защитата на данните1 (ОРЗД), тезата, че за правилното разбиране на нормативния акт са от първостепенно значение не само установените понятия, но и съотношенията, в които те се намират, ще бъде подкрепена с примери от материята за защита на личните данни. По-конкретно фокусът на вниманието ще бъде към дефинициите за „администратор“, „обработващ лични данни“, „трета страна“ и „получател“, които в своята съвкупност определят кръга на ползвателите на лични данни2. В основните си положения тези понятия са възприети и в досегашната уредба, съдържаща се в Закона за защита на личните данни.
1. Администратор на лични данни
По смисъла на чл. 4, т. 7 ОРЗД администратор означава „физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни. Когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка“. От тази дефиниция, както и досега, могат условно да бъдат изведени две групи администратори:
а) Администратори, чийто статут произтича от закона. В зависимост от начина, по който законът определя администратора, в тази категория попадат:
- определени от закона администратори на лични данни. Този подход е възприет в сфери, в които обемът или чувствителността на данните налагат засилена отговорност на определен държавен орган. Така например с чл. 29, ал. 1 от Закона за Министерството на вътрешните работи за администратор на личните данни е определен министърът на вътрешните работи, който може да възлага обработването на лични данни на определени от него длъжностни лица. Подобен подход е възприет в чл. 34, ал. 9 от Закона за Държавна агенция „Национална сигурност“ и в чл. 28, ал. 5 от Закона за Държавна агенция „Разузнаване“, които обявяват за администратор председателя, който възлага обработването на лични данни на определени от него длъжностни лица. По силата на чл. 329, ал. 2 от Закона за отбраната и въоръжените сили на Република България ръководителите на структурите по чл. 328, ал. 1 (Министерството на отбраната, структурите на пряко подчинение на министъра на отбраната и Българската армия) са администратори на лични данни, като им е дадена възможност да делегират това правомощие на оправомощени от тях длъжностни лица.
- определяеми според критериите на закона администратори. В този случай законът не сочи изрично администратора, но съдържа критериите, по които той може да бъде определен. Това става чрез вменяване на задължения или предвиждане на задачи, чието изпълнение налага обработване на лични данни. В този смисъл целите и средствата за обработването на личните данни се посочват от закона, който съдържа и критериите, по които да се определи администраторът. Като се отчита, че актовете за гражданско състояние се съставят от длъжностното лице по гражданското състояние в общината или кметството, от чл. 35 от Закона за гражданската регистрация следва, че в общината се обработват лични данни, при това не само на посоченото основание, но и по силата на редица други правомощия, които има кметът. Националната агенция за приходите е администратор на лични данни, тъй като в нея се обработват лични данни по силата на изпълняваните от Агенцията правомощия. Примерите могат да бъдат множество, но при администраторите в публичната сфера е достатъчно законът да установява правомощие, чието изпълнение налага обработване на лични данни, за да се придобие качеството „администратор“.
Когато законът не посочва изрично администратора, а дава критериите, по които той може да бъде определен, има известна свобода на преценката при неговото определяне. Тя е обусловена от широката правна рамка относно правноорганизационната форма на администратора, който може да бъде „физическо или юридическо лице, публичен орган, агенция или друга структура“. Като администратор може да бъде определен както органът, например министърът, така и юридическото лице – съответното министерство, което го подпомага в неговата дейност.
б) Администратори, чийто статут произтича от извършваната от тях дейност. Тези администратори се определят въз основа на дейността им, която предполага извършване на операции по обработване на лични данни. Например едно дружество, което е работодател, е администратор на личните данни на своите работници и служители, мобилният оператор е администратор на личните данни на своите клиенти и др. На това основание администратори на лични данни могат да бъдат както частноправни субекти, така и публичноправни субекти. По отношение на публичноправните субекти статутът на администратор в този случай ще произтича не от правомощията, а от дейности по обработване на лични данни за различни техни инициативи, които не произтичат от нормативен акт.
Независимо дали статутът на администраторите произтича от закон или с оглед на дейността им, признакът, който ги отличава от други ползватели на лични данни, е определянето на целите и средствата за обработването. Това е същностна характеристика и е свързана с възможността за вземане на решения по тези въпроси, респективно с контрола на начина и сроковете за обработване, вида и категориите данни, които се обработват, лицата, които имат достъп до тях, и др. Правилното дефиниране на администратора има важната практическа последица да определи кой носи отговорността в случай на злоупотреба или нарушения на правата на физическите лица.
В случай че администраторът определя целите и средствата за обработването на лични данни заедно с други администратори, сме изправени пред фигурата „съвместни администратори“, която се допуска от дефиницията по чл. 4, т. 7 и е развита в чл. 26 ОРЗД. Съвместните администратори трябва да определят по прозрачен начин своите отговорности, свързани със защитата на правата и свободите на субектите на данни, произтичащи от ОРЗД. Физическото лице, за което се отнасят данните, може да упражнява своите права в областта на защитата на личните данни по отношение всеки и срещу всеки от администраторите.
2. Обработващ лични данни
Обработващият лични данни е определен като „физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора“ (чл. 4, т. 8 ОРЗД). Същностните признаци в тази дефиниция са два и се прилагат кумулативно:
а) да е отделно от администратора лице. Лицата, които са в структурата на администратора (например неговите служители, които извършват операции по обработване на лични данни), не са обработващи лични данни, а се наричат „лица, действащи под ръководството на администратора“ (чл. 29 ОРЗД). Те обработват данните по указание на администратора, като изпълняват произтичащите от длъжността си задължения или конкретно възложени им задачи. С дейността си по обработване на личните данни те ангажират отговорността на администратора.
б) да обработва лични данни от името на администратора. За да възникне отношение „администратор – обработващ“, трябва да има акт за възлагане на обработването на личните данни. Отношенията между тях могат да се уреждат с нормативен акт или договор, в който се регламентира предметът и срокът на действие на обработването, естеството и целта на обработването, видът на личните данни и категориите субекти на данни, задълженията и правата на администратора (чл. 28, пар. 3 ОРЗД). Дейностите по обработване на лични данни, които могат да бъдат възложени на обработващ, са в различен диапазон – от много специфична задача или цел (например осъществяване на частна охранителна дейност в даден обект) до всеобхватни задачи (например управление на човешките ресурси).
Администраторът и обработващият лични данни могат да изберат да използват индивидуален договор или стандартни договорни клаузи, приети или пряко от Европейската комисия, или от надзорен орган в съответствие с механизма за съгласуваност и впоследствие приети от Европейската комисия. При всички случаи договорът между тях трябва да бъде в писмена форма, която е установена като форма за действителност (чл. 29, пар. 9 ОРЗД). По този начин се гарантира по-голяма яснота и прозрачност в отношенията между администратора и обработващия. След приключване на обработването от името на администратора, обработващият личните данни следва, по избор на администратора, да ги върне или заличи. Това изискване няма да се приложи, ако по силата на правото на Съюза или правото на държава членка, обработващият има основание за съхранение на данните.
Разликата във фигурите на администратора и обработващия е правомощието за определяне на целите и средствата за обработването на личните данни, което е изключителна компетентност на администратора. Обработващият, който действа от името на администратора, е обвързан от определените цели и средства за обработване на личните данни в акта, с който му е възложено обработването. Дори да му бъде предоставена известна свобода при определяне на средствата за обработване, администраторът следва да има възможността да контролира тези решения на обработващия. Тези отношения трябва да бъдат уредени много прецизно, тъй като ако на обработващия се предостави преценката за определяне на целите на обработването или абсолютна самостоятелност при определяне на средствата за обработването, без администраторът да е в състояние да упражни контрол, ще сме изправени пред отношения между съвместни администратори. Това ще има значение за начина, по който ще се разпределят отговорностите между тях. Следва да се отчита, че администраторът носи отговорност за това, че използва обработващи лични данни, които предоставят достатъчно гаранции за прилагането на подходящи технически и организационни мерки по начин, който осигурява прилагането на изискванията на ОРЗД и осигурява защита на правата на субектите на данни. Обработващият носи отговорност за вреди, произтичащи от извършеното обработване, само когато не е изпълнил задълженията, произтичащи от ОРЗД за обработващите, или когато е действал извън законосъобразните указания на администратора или в противоречие с тях.
Може ли обработващият да е едновременно и администратор на лични данни? Доколкото обработващият не определя целите и средствата на обработването на данните, чието обработване е възложено от администратора, по отношение на тях той няма качеството администратор. Това обстоятелство обаче не изключва възможността обработващият да е администратор на лични данни, които обработва за собствени цели. Такъв ще бъде случаят с данните за неговите служители, клиентски листи, продажби и други. Възможен е и друг вариант, при който обработващият се отклонява от указанията на администратора и обработва данните за различни цели. Тогава всъщност той определя целите за обработването и е администратор по отношение на такъв тип обработване, което има значение за отговорността, която може да му бъде реализирана. Тази възможност изрично е отчетена в чл. 29, пар. 10 ОРЗД.
В ОРЗД се съдържа утвърдителен отговор на въпроса дали обработващият може да възлага обработването на данните, предоставени му от администратора, на подизпълнители. Във всички такива случаи той ще се нуждае от съгласието на администратора, което следва да бъде дадено предварително, в писмена форма, като конкретно или общо разрешение. В случай на общо писмено разрешение, обработващият е длъжен да информира администратора за всякакви планирани промени за включване или замяна на други обработващи данни, което позволява на администратора да ги оспори. Неспазването на тези правила също ще означава, че обработващият лични данни сам е определил целите на обработването и ще се счита за администратор по отношение на това обработване.
3. „Трета страна“ и „получател“
Изясняването на понятията „трета страна“ и „получател“ има значение за точното разбиране на съдържанието на установените задължения по защита на личните данни. Разликата между тях се състои най-вече във връзката им с администратора, а оттам следват и различията в правилата, по които се осъществява достъпът до съхраняваните от него лични данни.
По смисъла на чл. 4, т. 10 ОРЗД „трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни. Условно казано, това е „външно“ или „трето лице“ за дейностите по обработване, които се предприемат от администратора, обработващия и лицата, които действат под тяхното ръководство. В този смисъл третата страна е лице, което не действа по нареждане на администратора и не е субектът на данните. Затова практическият ефект е, че при предаване на лични данни на трета страна ще се изисква наличието на условие (допустимо основание) за разкриването на тези данни. В зависимост от естеството на личните данни, това ще трябва да бъде или основание по чл. 6, пар. 1 ОРЗД, или допълнителна гаранция по чл. 9, пар. 2 при обработване на специални категории лични данни.
Понятието „получател“ е определено в чл. 4, т. 9 ОРЗД с много по-широко съдържание от „трета страна“ и означава „физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването“. Ако получателят е лице извън организацията на администратора или обработващия, той покрива дефиницията за трета страна и при предоставянето на данните ще се изисква да е спазено поне едно от условията за тяхното обработване. Ако получателят е лице в структурата на администратора или обработващия, например негов служител, той ще може да получи данните, ако участва в операциите по обработване на данните. В този случай няма да се изисква допълнително правно основание за предоставянето на данните. Ако този служител реши да използва данните за свои собствени цели, тогава той ще действа като трета страна. Той няма да обработва данните под ръководството на администратора или обработващия и няма да може да се ползва от тяхното правно основание за обработване на данните. Като трета страна, той ще трябва да има собствено основание, на което да се прецени дали обработването е в съответствие с принципа за законосъобразност или не. Ако такова основание липсва, обработването ще е незаконосъобразно.
В съображение 31 на ОРЗД е пояснено защо публичните органи, пред които се разкриват лични данни в съответствие с правно задължение за упражняване на официалната им функция, например данъчни, митнически, разследващи органи, не следва да се разглеждат като получатели. Получаването на такива данни е в обществен интерес, а обработването им следва да се осъществява съобразно приложимите правила за защита на данните. Исканията за разкриване на данни, изпратени от публичните органи, следва винаги да бъдат в писмена форма, да са обосновани и да засягат само отделни случаи и не следва да се отнасят до целия регистър с лични данни или да водят до свързване на регистри на лични данни.
Изясняването на понятието „получател“ е с важно практическо значение, тъй като има непосредствено отношение към осигуряването на прозрачна информация и осигуряването на правото на достъп на субектите на данни. Сред обстоятелствата, за които субектите на данни трябва да бъдат информирани от администратора по силата на чл. 13 и 14 ОРЗД или когато упражняват правото си на достъп до отнасящи се за тях лични данни по чл. 15 ОРЗД, е информация за получателите или категориите получатели на лични данни. Това означава субектът на данни да бъде информиран не само в случай, че данните му ще бъдат предадени на трети страни, а да бъде вложено по-широкото съдържание, произтичащо от дефиницията за „получател“. Така ще се получи информация и дали данните се обработват чрез обработващ, кои са категориите служители в администратора или обработващия, които под тяхното ръководство имат достъп до лични данни, което ще даде по-голям контрол на субекта върху собствените му данни.
4. Изводи
Анализът на установените дефиниции на понятията „администратор“, „обработващ“, „трета страна“ и „ползвател“ води до следните изводи:
- Администратор на лични данни е този, който определя целите и средствата за обработване на личните данни.
- Обработващият лични данни е различно от администратора лице, което обработва лични данни от името на администратора.
- Обработващият лични данни може да е администратор, но не за данните, чието обработване му е възложено от администратора, тъй като не той определя целите и средствата за обработването.
- Обработващият може да стане администратор на личните данни, възложени му за обработване от администратора, когато сам определя целите и средствата за тяхното обработване, тоест неправомерно, когато се отклонява от предвиденото в акта за възлагане на обработването.
- Лицата, които под прякото ръководство на администратора или обработващия извършват операции по обработване на лични данни, не са обработващи лични данни, а получатели на данните.
- Лицата, които под прякото ръководство на администратора или обработващия извършват операции по обработване, ще се разглеждат като трета страна, ако се отклоняват от указанията на администратора или обработващия и използват данните за свои цели.
В основата на тези изводи стои не само разбирането на отделните понятия, но и отчитането на взаимната връзка между тях. Коректното извеждане на качеството, в което лицето действа при обработването на личните данни, е от значение за очертаване на правилата, по които може да получи достъп до тях и на произтичащите задължения по повод тяхната защита.
Д-р Невин ФЕТИ, юрист
_________
1 Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните).
2 Терминът „ползватели на лични данни“ не е легално установен, но е много уместно подбран в Наръчника по европейско право в областта на защитата на данните, Агенция за основни права на Европейския съюз, 2014 г. Съвет на Европа, 2014, с. 53, http://fra.europa.eu/en/publication/2014/handbook-european-data-protection-law.