KNOWLEDGE SOCIETY AND 21 - DPC · Резюме. През май 2018 г. започна да се прилага новият европейски регламент за защита

KNOWLEDGE SOCIETY AND 21ST CENTURY HUMANISM

1

ОБЩЕСТВОТО НА ЗНАНИЕТО И ХУМАНИЗМЪТ НА ХХІ ВЕК ХVII национална научна конференция

с международно участие София, 1 ноември 2019 г.

KNOWLEDGE SOCIETY AND 21ST CENTURY HUMANISM The 17th International Scientific Conference

Sofia, 1st November 2019

ОБЩЕСТВОТО НА ЗНАНИЕТО И ХУМАНИЗМЪТ НА ХХІ ВЕК

2

Сборникът „Обществото на знанието и хуманизмът на XXI век“ е

реализиран в рамките на проект „Стимулиране на научните комуникации в изследователската и преподавателската дейност на преподавателите от УниБИТ в националния и международен информационен обмен – Научни конференции с международно участие по случай Деня на будителите „Обществото на знанието и хуманизмът на ХХІ век“ – 1 ноември 2019 г.“ (ПЧФНП 2019–07/05.03.2019 г.) по Наредбата на Министерството на образованието и науката, с ръководител доц. д-р Любомира Парижкова.

The Proceedings “Knowledge Society and 21st Century Humanism” has been realized within the project “Stimulation of Scientific Communication in the Research and Teaching Activities of ULSIT Lecturers in National and International Information Exchange - Scientific Conferences with International Participation on the Day of the Leader of the Bulgarian Revival” of the 21st Century Knowledge and Humanism – 1st November, 2019 (PPFPP 2019-07 / 05.03.2019) under the Regulation of the Ministry of Education and Science, coordinated by Assoc. Prof. Lubomira Parizhkova. PhD.

Университет по библиотекознание и информационни технологии © Академично издателство „За буквите – О писменехь“, 2019 ISSN 2683-0094 University of Library Studies and Information Technologies ©Academic Publishing House “Za Bukvite – O Pismeneh”, 2019 ISSN 2683-0094 Академично издателство „За буквите – О писменехь“ не носи отговорност за изказаните мнения, идеи и хипотези на авторите в техните доклади, включени в настоящия сборник. Academic Publishing House “Za Bukvite - O Pismeneh” does not take responsibility for the expressed opinions, ideas and hypotheses of the authors and their articles included in the current proceedings.


3

СЪСТАВИТЕЛ COMPILER

Доц. д-р Любомира Парижкова Assoc. Prof. Lubomira Parijkova PhD

МЕЖДУНАРОДЕН НАУЧЕН КОМИТЕТ

INTERNATIONAL SCIENTIFIC COMMITTEE

проф. дн Ирена Петева – председател, Университет по библиотекознание и информационни технологии, София, България;

D.Sc. Irena Peteva – chair, University of Library Studies and Information Technologies, Bulgaria;

проф. д.ик.н. Стоян Денчев, Университет по библиотекознание и информационни технологии, София, България;

Prof. DSc. Stoyan Denchev, University of Library Studies and Information Technologies, Bulgaria;

проф. д-р Кристина Денчева, Университет по библиотекознание и информационни технологии, София, България;

Prof. Kristina Dencheva PhD, University of Library Studies and Information Technologies, Bulgaria;

проф. д-р Башким Рама, Средиземноморски университет, Албания;

Prof. Bashkim Rama PhD, Mediterranean University, Albania;

проф. д-р София Василева, Университет по библиотекознание и информационни технологии, София, България;

Prof. Sofia Vasileva PhD, University of Library Studies and Information Technologies, Bulgaria;

проф. д-р Натали Стоянофф, Технически университет, Сидни, Австралия;

Prof. Natali Stoyanoff, Technical University, Sydney, Australia;

проф. д-р Карла Базили, Университет „Гилермо Маркони“, Италия; Assoc. Prof. Carla Basili, Guglielmo

Marconi University, Italy;

проф. к.т.н. Александър Циганенко, Академия медиаиндустрии, Русия; Prof. D.Sc. Aleksander Tsiganenko, Media

Industry Academy, Russia;

проф. д-р Генадий Матрюхин, Съветник към Държавната дума на Руската Федерация, Русия;

Prof. Gennady Matriuhin, Russian Duma Advisor, Russia;

проф. д-р Иван Гарванов, Университет по библиотекознание и информационни технологии, София, България;

Prof. DSc. Ivan Garvanov, University of Library Studies and Information Technologies, Bulgaria;

проф. д-р Иванка Павлова, Университет по библиотекознание и информационни технологии, София, България;

Prof. Ivanka Pavlova PhD, University of Library Studies and Information Technologies, Bulgaria;

проф. д.т.н. Елена Шойкова-Стоянова, Университет по библиотекознание и информационни технологии, София, България;

Prof. Elena Shoykova PhD, University of Library Studies and Information Technologies, Bulgaria;

проф. д-р Йосип Бурушич, Иво Пилар, Институт по социални науки, Хърватия;

Prof. Josip Burusic, PhD, Ivo Pilar Social Sciences Institute, Croatia;

проф. д-р Евгени Манев, Университет по библиотекознание и информационни технологии, София, България;

Prof. Evgeny Manev PhD, University of Library Studies and Information Technologies, Bulgaria;

проф. д-р Владо Бучковски, Скопски университет, Северна Македония; Prof. Vlado Bučkovski, Skopje University,

North Macedonia;


4

проф. дпн Андрей Манойло, Московски държавен университет, Русия;

D.Sc. Andrey Manoylo, Moscow State University, Russia;

проф. д-р Ванче Бойков, Нишки университет, Сърбия; Prof. Vanche Boykov PhD, University of

Niš, Serbia; проф. д.т.н. Атанас Начев, Университет по библиотекознание и информационни технологии, София, България;

Prof. D.Sc. Atanas Nachev, University of Library Studies and Information Technologies, Bulgaria;

проф. дпн Маргарита Терзиева, Университет „Проф. д-р Асен Златаров“, Бургас, България;

Prof. D.Sc. Margarita Terzieva, University Prof. Dr. Asen Zlatarov, Burgas, Bulgaria;

проф. д.ик.н. Ирина Новикова, Беларуски държавен технологичен университет, Беларус;

Prof. D.Sc. Irina Novikova, Belarus State Technical University, Belarus;

проф. д-р Румяна Папанчева, Университет „Проф. д-р Асен Златаров“, Бургас, България;

Prof. Rumiana Papancheva PhD, University Prof. Dr. Asen Zlatarov, Burgas, Bulgaria;

доц. д-р Тереза Тренчева, Университет по библиотекознание и информационни технологии, София, България;

Assoc. Prof. Tereza Trencheva PhD, University of Library Studies and Information Technologies, Bulgaria;

доц. д-р Любомира Парижкова, Университет по библиотекознание и информационни технологии, София, България;

Assoc. Prof. Lubomira Parijkova PhD, University of Library Studies and Information Technologies, Bulgaria;

доц. д-р Христина Богова, Университет по библиотекознание и информационни технологии, София, България;

Assoc. Prof. Hristina Bogova PhD, University of Library Studies and Information Technologies, Bulgaria;

доц. д-р Веселин Чантов, Университет по библиотекознание и информационни технологии, София, България;

Assoc. Prof. Veselin Chantov PhD, University of Library Studies and Information Technologies, Bulgaria;

доц. д-р Боян Жеков, Университет по библиотекознание и информационни технологии, София, България;

Assoc. Prof. Boyan Zhekov Ph, University of Library Studies and Information Technologies, Bulgaria;

доц. д-р Евгения Ковачева, Университет по библиотекознание и информационни технологии, София, България;

Assoc. Prof. Evgenia Kovacheva PhD, University of Library Studies and Information Technologies, Bulgaria;

доц. д-р Красимира Александрова, Национална библиотека „Св. св. Кирил и Методий“, Университет по библиотекознание и информационни технологии, София, България;

Assoc. Prof. Krasimira Aleksandrova PhD, National Library St. St. Cyril and Methodius University of Library Studies and Information Technologies, Bulgaria;

доц. д-р Антоанета Тотоманова, зам.-директор на Националната библиотека „Св. св. Кирил и Методий“, София, България;

Assistant Antoaneta Totomanova PhD, National Library St. St. Cyril and Methodius, Bulgaria;

доц. д-р Мустафа Хатиплер, Тракийски университет, Турция. Assoc. Prof. Mustafa Hatipler PhD, Trakia

University, Turkey; проф. д-р Невила Рама, Средиземноморски университет, Албания;

Prof. Nevila Rama PhD, Mediterranean University, Albania;


5

НАУЧЕН И ОРГАНИЗАЦИОНЕН КОМИТЕТ

SCIENTIFIC AND ORGANIZING COMMITTEE

доц. д-р Любомира Парижкова

Assoc. Prof. Lubomira Parizhkova PhD

доц. д-р Боян Жеков Assoc. Prof. Boyan Zhekov PhD доц. д-р Веселин Чантов Assoc. Prof. Veselin Chantov PhD доц. д-р Евгения Ковачева Assoc. Prof. Evgenia Kovacheva PhD гл. ас. д-р Диана Стоянова Senior Assistant Diana Stoyanova PhD гл. ас. д-р Елисавета Цветкова Senior Assistant Elisaveta Tsvetkova PhD гл. ас. д-р Калин Стоев Senior Assistant Kalin Stoev PhD гл. ас. д-р Катя Рашева-Йорданова Senior Assistant Katia Rasheva-Yordanova PhD гл. ас. д-р Поли Муканова Senior Assistant Poli Mukanova PhD гл. ас. д-р Стефка Толева-Стоименова Senior Assistant Stefka Toleva-Stoimenova PhD гл. ас. д-р Калина Минчева Senior Assistant Kalina Mincheva PhD aс. д-р Камелия Планска Assistant Kamelia Planska-Simeonova PhD ас. д-р Соня Спасова Assistant Sonia Spasova PhD ас. д-р Христо Христов Assistant Hristo Hristov PhD инж. д-р Евелина Здравкова-Величкова Eng. Evelina Zdravkova-Velichkova PhD Деница Димитрова, докторант Denitsa Dimitrova, PhD student Деница Младенова, докторант Denitsa Mladenova, PhD studen Димитър Димитров, студент Dimitar Dimitrov, student


464

ЗА РОЛИТЕ „АДМИНИСТРАТОР“ И „ОБРАБОТВАЩ“ ПРИ ОБРАБОТВАНЕТО

НА ЛИЧНИ ДАННИ

Мартин Захариев Фондация „Право и Интернет“

Адвокатско дружество „Димитров, Петров и Ко.“

Резюме. През май 2018 г. започна да се прилага новият

европейски регламент за защита на личните данни (Регламент 2016/679, по-известен като GDPR). Той съществено завиши изискванията към организациите, обработващи лични данни. За да отговорят на новите нормативни предизвикателства, организациите трябва да са в състояние прецизно да дефинират ролите си при обработването на лични данни, тъй като на различните роли съответстват различни по естество и степен отговорности. Настоящото изложение има за цел да анализира ключовите фигури при обработването на лични данни – администратор, съвместни администратори и обработващ личните данни, като даде практически насоки как те да бъдат различавани. Дали всеки договор за възлагане автоматично води до отношения администратор – обработващ? Кога и за какви цели обработващият може да се превърне в администратор? Отговори на тези и други ключови въпроси за ролите на страните при обработването на данни са дадени в настоящия анализ, включително те са коментирани в светлината най-новата практика на българската Комисия за защита на личните данни, надзорен орган за Република България съгласно GDPR.

Ключови думи: лични данни, администратор, обработващ, съвместни администратори, GDPR

Въведение 25 май 2018 г. бе ключова дата в областта на защитата на

личните данни не само в европейски, но и в световен мащаб. От тази дата започна да се прилага новият европейски регламент за защита на личните данни – Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), по-долу наричан за краткост „Регламента“/„GDPR“. Той съществено завиши изискванията към организациите,


465

обработващи лични данни, като за нарушения на изискванията му бяха предвидени максимални размери на санкциите, достигащи до 20 милиона евро, или 4% от общия годишен световен оборот на съответното предприятие (която от двете суми е по-висока).

Макар за българските икономически реалности налагането на санкции в подобни размери да изглежда непосилно за огромна част от действащите предприятия, европейските надзорни органи по защита на данните вече започнаха сериозна контролна и санкционна дейност. През януари 2019 г. френският надзорен орган по защита на данните Commission nationale de l’informatique et des libertés (CNIL) наложи глоба в размер на 50 милиона евро на Google LLC за нарушение на изискванията за прозрачност, неадекватно предоставяне на информация на субектите на данни за извършваното от Google обработване на данни и за липса на валидно съгласие за персонализирани реклами.1 Няколко месеца по-късно – през юли 2019 г. – британският надзорен орган по защита на данните Information Commissioner’s Office (ICO) обяви намерението си да глоби компанията British Airways със сумата 183,39 милиона британски лири2 и компанията Marriott International, Inc със сумата 99 милиона британски лири3 – и двете санкции са за нарушения на сигурността на данните. Подходът на CNIL и ICO показва, че огромните санкции на GDPR не са просто числа, а реална заплаха за всяка организация, която не се отнася сериозно към правилата за защита на данните и не полага дължимата грижа да спази новите изисквания.

За да бъдат в състояние да отговорят на новите нормативни предизвикателства, организациите трябва да са в състояние прецизно да дефинират ролите си при обработването на лични данни – администратор, съвместни администратори и обработващ лични данни. Това е от особено значение, защото на различните роли съответстват различни по естество и степен отговорности. Така например администраторите трябва да осигурят правно основание за обработването на данните, да информират субектите на данни за обработването, да осигурят защита на данните на етапа на проектирането и по подразбиране, да водят регистри на дейностите по обработване по чл. 30, § 1 от GDPR, да извършат оценка на въздействието върху защитата на данните в случаите, когато Регламентът или националните списъци, приети от националния надзорен орган4, изискват задължително такава, и др.5 [1] Съвместните администратори следва да сключат договореност помежду си, с която по прозрачен начин да определят съответните си отговорности за изпълнение на


466

задълженията по Регламента, по-специално що се отнася до упражняването на правата на субекта на данни и съответните им задължения за предоставяне на информацията. В тази договореност съвместните администратори могат да посочат и точка за контакт за субектите на данни. Обработващите от своя страна следва да не се отклоняват или да действат извън нарежданията/указанията на администратора за обработването, да уредят писмено отношенията си с администратора съобразно изискванията на чл. 28 от Регламента, да обработват личните данни само по документирано нареждане от страна на администратора, да подпомагат администратора при изпълнението на някои от неговите задължения, да спазват уговорките с администратора за превъзлагане на обработването, да водят регистри по чл. 30, § 2 от GDPR и др.6 [2]

1. Методология на изследването Настоящото изложение има за цел да анализира ключовите

фигури при обработването на лични данни – администратор, съвместни администратори и обработващ лични данни, като даде практически насоки как те да бъдат различавани. Дали всеки договор за възлагане автоматично води до отношения администратор – обработващ? Кога и за какви цели обработващият може да се превърне в администратор? Отговори на тези и други ключови въпроси за ролите на страните при обработването на данни са дадени в настоящия анализ, като за целта са изследвани: (i) легалните дефиниции на „администратор“, „съвместни администратори“ и „обработващ лични данни“, дадени в GDPR; (ii) практиката на Работната група по чл. 29 от Директива 95/46 (РГ29); (iii) най-новата практика на КЗЛД за определяне на ролите на страните при обработване на данните, постановена при прилагането на GDPR.

2. Резултати 2.1. Кой е администратор на лични данни? Понятието „администратор на лични данни“ е дефинирано в

чл. 4, т. 7 от GDPR като „физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в


467

правото на държава членка“7. От посочената дефиниция може да се изведат следните основни белези на администратора на лични данни:

• Това може да бъде всеки субект на частното и публичното право – физическо или юридическо лице (например едноличен търговец, търговско дружество, юридическо лице с нестопанска цел, като сдружение, фондация, политическа партия и др.), както и публичен орган, агенция и друга структура. Понятието „публичен орган“ е дефинирано в § 1, т. 17 от ДР на Закона за защита на личните данни като „държавен или местен орган, както и структура, чиято основна дейност е свързана с разходване на публични средства“8. В този смисъл организационните структури, които по правило са със самостоятелна правосубектност и по силата на закон или друг нормативен акт са носители на публична (държавна) власт, при упражняването на която следва да обработват лични данни, са администратори на лични данни.9 [3]

• Той (сам или съвместно с другиго) определя целите за обработване на личните данни, т.е. крайният резултат, който се преследва от обработването на личните данни. Целите на обработването на лични данни могат да бъдат най-различни в зависимост от дейността на администратора – например управление на човешки ресурси, набиране на персонал, осъществяване на търговска дейност чрез сключване на договори с бизнес партньори, директен маркетинг, финансово-счетоводна дейност, пенсионна, здравна и социално-осигурителна дейност и много други.

• Той (сам или съвместно с другиго) определя средствата за обработване на личните данни, т.е. начина, по който ще се обработват личните данни с оглед постигане на съответната цел. Определянето на средствата според РГ29 не се отнася само до това как технически ще се обработват данните, но и до въпроси като: какви данни ще се обработват, кои трети лица ще имат достъп до тях, кога данните следва да бъдат изтрити и пр. В този смисъл според РГ29 определянето на „средствата“ на обработването включва както технологични и организационни въпроси, решението за които може да бъде делегирано от администратора на обработващия (например какъв софтуер или хардуер да се използва за обработването), така и ключови въпроси, като: какви данни ще се обработват, срок на обработването и категории получатели, които са от компетентността на администратора.10


468

В допълнение към горното, в правната теория се посочва, че в легалната дефиниция на „администратор“ се съдържат два критерия за неговото определяне – „организационен“ (свързан с правноорганизационната форма на администратора) и „функционален“ (свързан с определянето на целите и средствата на обработване)11. [4] Според Десислава Тошкова-Николова и д-р Невин Фети именно вторият (функционален) критерий е решаващ при дефинирането на администратора, докато организационният не е решаващ поради широките граници, в които може да варира12. [4]

В практиката си в отговор на редица запитвания относно приложението на GDPR и дефинирането на ролите на страните при встъпване в различни видове правоотношения (граждански, административни и пр.) КЗЛД е посочвала следното: „без да се извежда като абсолютно правило, може да се приеме, че дружествата, които предоставят услуги при условията на строга и изчерпателна законова регламентация, въз основа на лицензия или аналогично индивидуално разрешение от държавата и под контрола на изрично определени публични органи, принципно не биха могли да се разглеждат като обработващи лични данни, а като самостоятелни администратори. Примери за такива администратори са пощенските оператори, банките, застрахователните дружества и др. [получер – М.З.] В тези случаи възложителят по договор за услуга не би могъл да укаже на предоставящия услугата как точно да обработи предоставените от него лични данни, тъй като и двете страни са длъжни да спазват съответното специално законодателство, в т.ч. съдържащите се в него разпоредби относно обработването на лични данни“.13

С оглед на гореизложеното може да се заключи, че администраторът е ключовата фигура при обработването на лични данни, вземаща основните и най-важни решения относно това обработване. Това много ясно проличава и в английския термин за администратор – “data controller” – т.е. този, който контролира процесите по обработване14. [4] Типични примери за администратори на лични данни са работодателите при обработване на лични данни на кандидати за работа, настоящи и бивши служители15 [5]; търговските дружества (включително според КЗЛД застрахователи, банки, пощенски оператори, доставчиците на платежни услуги16) при обработване на данни за своите клиенти, доставчици и бизнес партньори; публичните органи при осъществяване на своите правомощия.


469

2.2. Кога са налице съвместни администратори? Фигурата на съвместните администратори е едно от

нововъведенията на GDPR, като преди това тя не бе нормативно регулирана. Чл. 26, § 1 от Регламента посочва: „Когато двама или повече администратори съвместно [получер – М.З.] определят целите и средствата на обработването, те са съвместни администратори“17. От дефиницията е видно, че за да са налице съвместни администратори, трябва да са налице най-малко два субекта, отговарящи на изискванията за администратор, които заедно, съвместно да определят целите и средствата за обработване. В правната теория се посочва, че съвместните администратори могат поравно да определят целите на обработването, като последица от това е еднаквата степен на отговорност за тях, но могат и да разделят процеса по обработка и да носят отговорности само за съответните стъпки по обработване, които контролират18. [6] Наличието на качеството „съвместни“ администратори е обективен факт, а не зависи от субективни договорки между страните19. [6]

В теорията като примери за съвместни администратори се посочват производители на коли, които съвместно оперират търговски сайт за събиране на данни за потребителите като IP адреси; авиокомпания, която действа съвместно с платформа за хотелски резервации, при които при търсене на хотели в определени дестинации на потребителите се предлагат оферти за самолетни билети, включително има възможност за пакетно купуване на самолетен билет и резервиране на хотел20. [6] В своята практика пък КЗЛД е определила, че при провеждането на клинични изпитвания лечебните заведения и възложителят на клиничното изпитване имат качеството на съвместни администратори по смисъла на чл. 26 от Регламент (ЕС) 2016/679.21

Не всеки обмен на данни между администратори обаче автоматично води до възникване на отношения от типа на съвместните администратори. За да са налице съвместни администратори, организациите действително трябва да вземат съвместно ключови решения относно целите и средствата на обработването. Ако всяка организация преследва свои собствени цели, независимо от обмена на данни няма как организациите да са съвместни администратори, а ще действат като независими такива. Това е припознато и от практиката на КЗЛД, според която фирмата, предлагаща услугите “Multisport” карта, и работодателите, с които се сключва договорът за тази карта, действат като независими (а не като съвместни) администратори, защото „в отношението помежду си двете дружества обработват личните данни за различни цели, съхраняват ги за различни срокове, предават ги на различни получатели, прилагат различни технически и организационни мерки


470

за защита и т.н.“22. Независимо от горното, в практиката погрешно организациите, обменящи данни като администратори, масово се дефинират като съвместни такива. Тази практика е погрешна и само би затруднила администраторите да докажат спазването на правилата на Регламента, поради което е препоръчително тя да бъде преразгледана, а организациите да започнат по-внимателно да изследват налице ли е съвместно определяне на целите и средствата за обработване, и ако не е налице такова – да се припознават като независими администратори.

2.3. Кой е обработващ лични данни? Чл. 4, т. 8 от GDPR дефинира обработващия лични данни като

„физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името [получер – М.З.] на администратора“23. Основната разлика между администратора и обработващия е, че последният обработва данните по възлагане на администратора и от негово име. В теорията се посочва, че обработващият „е отделно от администратора лице“, което „обработва лични данни от името на администратора, т.е. въз основа на акт за възлагане, който определя целите и средствата на обработването“ 24. [4]

В практиката си КЗЛД е посочвала, че „Основната разлика между администратор и обработващ се състои в това, че вторият не действа самостоятелно, а от името на администратора на лични данни, т.е. последиците от обработването на личните данни настъпват директно в правната сфера на администратора. Техните отношения се уреждат с договор или с друг правен акт съгласно правото на ЕС или правото на държава членка, който регламентира предмета и срока на действие, естеството и целта на обработването, вида лични данни и категориите субекти на данни и правата и задълженията на администратора, вкл. да извършва проверки (одити)“ .25 КЗЛД също така подчертава, че няма пречка администраторът да извършва обработването сам, но поради различни причини от организационно, техническо, финансово или друго естество администраторът може да прецени за по-подходящо обработването да се извършва от фигурата на обработващия. Наличието на договор за възлагане и обмен на лични данни между възложителя и изпълнителя обаче не води автоматично до възникване на отношения между администратор и обработващ по смисъла на чл. 28 от Регламента.26

Класически примери за обработващи лични данни са доставчиците на облачни услуги, доставчиците на услуги по


471

колокация, счетоводителите и счетоводните къщи, а според КЗЛД – и службите по трудова медицина.27

Независимо от горното трябва да се отбележи, че всеки обработващ въз основа на договор обработва определени данни в качеството си на администратор, т.е. за свои собствени цели. Такова обработване се осъществява спрямо данните, обменени със самия администратор по повод сключването и изпълнението на договора за възлагане на обработването – например данни за законни представители на администратора, данни на лица за контакт, финансова и счетоводна информация за извършване на плащания по повод на обработването и др. под. За тази информация обработващият или има законови задължения да извършва обработването (например по силата на данъчното или счетоводното законодателство), или има легитимни интереси – да сключи и да докаже изпълнението на договора за възлагане на обработването, да се защитава срещу правни претенции и др. под. Отделно, ако обработващият наруши Регламента, определяйки целите и средствата на обработването, обработващият се смята за администратор по отношение на това обработване (чл. 28, § 10 от GDPR). Тази норма е гаранция, че ако обработващият наруши изискванията към своята дейност, то той ще има по-голям обем задължения и отговорности, а именно каквито има администраторът съгласно Регламента.

Заключение С оглед на принципа за отчетност всяка организация трябва

внимателно да определи в какво качество действа при обработването на лични данни. Ако упражнява контрол и определя целите и средствата за обработването, тя е администратор с произтичащите от Регламента задължения. Ако съвместно с една или повече други организации определя съществени елементи от обработването, вероятно е налице хипотезата на съвместни администратори и организациите следва с договореност да определят съответните си отговорности при обработване на данните. Ако се обработват данни от името и по възлагане на друг субект, това е характерно за фигурата на обработващия и тогава отношенията с администратора следва да се уредят с договор или друг правен акт съобразно чл. 28 от GDPR. Определянето на ролите при обработването не е формалност, а ключова предпоставка за осигуряване на спазването на множеството изисквания на режима на защита на личните данни. Поради това и организациите следва да се отнесат сериозно и отговорно към тази


472

задача, а практиката на КЗЛД по въпроса може да бъде полезен инструмент за правилното определяне на съответната роля.

Представеният анализ няма характера на правен съвет или консултация и

не следва да бъде възприеман като достатъчен за разрешаването на конкретни правни проблеми, казуси и др. Мненията, изразени тук, са единствено на автора и не отразяват непременно тези на Фондация „Право и Интернет“, Адвокатско дружество „Димитров. Петров и Ко.“, техните филиали или служители. Материалът е съобразен с действащото българско законодателство и законодателство на ЕС към 19.08.2019 г.

Бележки 1 The CNIL’s restricted committee imposes a financial penalty of 50 Million euros

against GOOGLE LLC, <https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc> (18 авг. 2019 г.).

2 Intention to fine British Airways £183.39m under GDPR for data breach, <https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/> (18 авг. 2019 г.).

3 Intention to fine Marriott International, Inc more than £99 million under GDPR for data breach, <https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/> (18 авг. 2019 г.).

4 За Република България вж. приетия от КЗЛД Списък на видовете операции по обработване на лични данни, за които се изисква извършване на оценка за въздействие върху защитата на данните съгласно чл. 35, § 4 от Регламент (ЕС) 2016/679, <https://www.cpdp.bg/index.php?p=element&aid=1186> (18 авг. 2019 г.).

5 Повече за новите задължения на администраторите съобразно GDPR вж. Захариев, М. Основни задължения на администраторите на лични данни – ключови промени по GDPR. – В: Данъци ТИТА, бр. 101, март 2018.

6 Повече за новите задължения на обработващите лични данни съобразно GDPR вж. Кръстева, Д. GDPR – задължения на обработващите личните данни. – В: Данъци ТИТА, бр. 101, март 2018.

7 Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (Текст от значение за ЕИП), Обн. OJ L 119, 4.5.2016, с. 1 – 88.

8 Закон за защита на личните данни, обн. ДВ, бр. 1 от 4 януари 2002 г., посл. изм. и доп. ДВ, бр. 17 от 26 февруари 2019 г.

9 Захариев, М. Някои особености при обработването на лични данни от публичните органи, „Европейските граждани и интелектуалната собственост – възприятие, осъзнатост, поведение“, Сборник с публикациите от Петия национален семинар с международно участие, 25 – 26 април 2018 г., Университет по библиотекознание и информационни технологии, Университетска младежка академия за управление на знания, С. : За буквите – О писменехь, с. 233.

10 ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 1/2010 on the concepts of “controller” and “processor”, WP 169, Adopted on 16 February 2010, p. 14.


473

11 Tошкова-Николова, Д., Н. Фети. Защита на личните данни. С.: Труд и право, 2019, с. 75 – 76.

12 Пак там. 13 Становище на КЗЛД относно постъпило искане от „Български пощи“ ЕАД, по въпроси, касаещи прилагането на Регламент (ЕС) 2106/679, рег. № НДМСПО-01-859/01.08.2018 г. от 27.09.2018 г., <https://www.cpdp.bg/index.php?p=element_view&aid=2138> (18 авг. 2019 г.), Становище на КЗЛД относно постъпило искане от „Спиди“ АД, по въпроси, касаещи прилагането на Регламент (ЕС) 2106/679, рег. № НДМСПО-17-604/20.06.2018 г. от 17.09.2018 г., <https://www.cpdp.bg/index.php?p=element_view&aid=2118> (18 авг. 2019 г.), Становище на КЗЛД по искане на „УниКредит Булбанк“ АД във връзка с прилагането на Регламент (ЕС) 2016/679, рег. № НДМСПО-01-873/10.08.2018 г. от 21.09.2018 г., <https://www.cpdp.bg/index.php?p=element_view&aid=2119> (18 авг. 2019 г.) и др.

14 В този смисъл и Тошкова-Николова, Д., Н. Фети. Цит. съч., с. 75. 15 Повече за категориите лични данни, обработвани от работодателя като администратор вж. Александров, А. Защита на личните данни на работниците и служителите. С.: Труд и право, 2016, с. 51 – 83.

16 Становище на КЗЛД относно качеството на дружества, предлагащи платежни услуги, рег. № НДМСПО-01-235/2019 г. от 20.06.2019 г., <https://www.cpdp.bg/index.php?p=element_view&aid=2198> (18 авг. 2019 г.).

17 Регламент (ЕС) 2016/679. 18 Voigt, P., А. von dem Bussche. The EU General Data Protection Regulation

(GDPR): A Practical Guide, Berlin/Hamburg, Springer, 2017, p. 34. 19 Op. cit. 20 Op. cit. 21 Становище на КЗЛД относно определяне на фигурите „администратор“ и

„обработващ“ при провеждане на клинични изпитвания, рег. № НДМСПО-01-190/2019 г. от 10.06.2019 г., <https://www.cpdp.bg/index.php?p=element_view&aid=2196> (18 авг. 2019 г.).

22 Становище на КЗЛД по въпроси, свързани с картите „Multisport“, рег. № НДМСПО-17-949/28.11.2018 г. от 21.12.2018 г., <https://www.cpdp.bg/index.php?p=element_view&aid=2148> (18 авг. 2019 г.).

23 Регламент (ЕС) 2016/679. 24 Тошкова-Николова, Д., Н. Фети. Цит. съч., с. 80 – 81. 25 Становище на КЗЛД по въпроси, свързани с определянето на качествата

„администратор“ и „обработващ лични данни“ при взаимоотношенията между застрахователни дружества и лечебни заведения, рег. № НДМСПО-01-1174/10.12.2018 г. от 11.01.2019 г., <https://www.cpdp.bg/index.php?p=element_view&aid=2150> (18 авг. 2019 г.).

26 Становище на КЗЛД относно изясняване на връзката „администратор – обработващ“ между НЗОК и аптеки, сключили договори с нея, по повод прилагането на Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните), рег. № НДМСПО-01-1180/11.12.2018 г. от 04.02.2019 г., <https://www.cpdp.bg/index.php?p=element_view&aid=2156> (18 авг. 2019 г.).

27 Становище на КЗЛД, рег. № НДМСПО-01-1174/10.12.2018 г. от 11.01.2019 г.


474

References/Литература 1. Zahariev, M. Osnovni zadalzheniya na administratorite na lichni danni

– klyuchovi promeni po GDPR. // Sp. „Danatsi TITA“, br. 101, mart 2018 g, Sofiya, ISSN 1314-6505 (оnline).

2. Krasteva, D. GDPR – zadalzheniya na obrabotvashtite lichnite danni. // Sp. „Danatsi TITA“, br. 101, mart 2018 g, Sofiya, ISSN 1314-6505 (оnline).

3. Zahariev, M. Nyakoi osobenosti pri obrabotvaneto na lichni danni ot publichnite organi, "Evropeyskite grazhdani i intelektualnata sobstvenost - vazpriyatie, osaznatost, povedenie", Sbornik s publikatsiite ot Petiya natsionalen seminar s mezhdunarodno uchastie 25-26 april 2018 g., Universitet po bibliotekoznanie i informatsionni tehnologii, Universitetska mladezhka akademia za upravlenie na znania, Sofia, izd. Za Bukvite O Pismenehy, s. 231-246, ISBN 978-619-185-350-2 (print).

4. Toshkova-Nikolova, D., N. Feti, Zashtita na lichnite danni, Sofia, IK „Trud i pravo“, 2019, 751 s., ISBN 978-954-608-263-3 (print).

5. Aleksandrov, A. Zashtita na lichnite danni na rabotnitsite i sluzhitelite, Sofia, IK „Trud i pravo“, 2016, 231 s., ISBN 978-954-608-246-6 (print).

6. Voigt, P., А. von dem Bussche. The EU General Data Protection Regulation (GDPR): A Practical Guide, Berlin/Hamburg, Springer, 2017, ISBN 978-3-319-57959-7 (eBook).

За автора Д-р Мартин Захариев е адвокат в една от водещите български

адвокатски кантори – „Димитров, Петров и Ко.“, и експерт във Фондация „Право и Интернет“, научноизследователски център за право и ИКТ. През 2017 г. придобива образователна и научна степен „Доктор“ по професионално направление „Обществени комуникации и информационни науки“ към Университета по библиотекознание и информационни технологии (УниБИТ), София, с дисертация на тема „Организация и управление на автоматизираното профилиране в контекста на защитата на личните данни“. Автор е на две монографии относно защитата на личните данни и на множество статии в областта на режима на защита на личните данни, търговския арбитраж, трудовото и търговското право. Преподавател е в УниБИТ по дисциплини, свързани с режима на информацията и основи на правото.

За контакт с автора: [email protected].


475

ON THE ROLES OF A “CONTROLLER” AND A “PROCESSOR” IN PERSONAL DATA PROCESSING

Martin Zahariev

Law and Internet Foundation Dimitrov, Petrov & Co. Law Firm

Abstract. In May 2018, the application of the new European Data Protection Regulation (Regulation 2016/679, better known as GDPR) commenced. It substantially increased the requirements for organizations processing personal data. To be able to meet the new regulatory challenges, organizations must be able to define their roles in the processing of personal data with precision, because to the various roles correspond various in their nature and degree responsibilities. The present paper aims to analyze the key figures in the processing of personal data – data controller, joint controllers and data processor, providing practical guidance on how to distinguish them. Does each assignment contract automatically lead to a controller-processor relationship? When and for what purposes the processor may become a controller? The answers to these and other key questions about the parties’ roles in data processing are given in this analysis, including the same are being commented in the light of the recent practice of the Bulgarian Commission for Personal Data Protection, the supervisory authority for the Republic of Bulgaria under GDPR.

Keywords: personal data, controller, processor, joint controllers, GDPR

About the author Martin Zahariev, PhD is an attorney-at-law at Dimitrov, Petrov &

Co. – one of the leading Bulgarian law firms, as well as an expert at the Law and Internet Foundation, a research center for law and information technologies. In 2017 he obtained an educational and scientific degree “doctor” in the professional field of “Public Communications and Information Sciences” at the University of Library and Information Technology (ULSIT), Sofia with doctoral dissertation entitled “Organization and Management of Automated Profiling in the Context of Personal Data Protection”. He is an author of two monographs regarding data protection and of multiple articles in the field of data protection, commercial arbitration, labour and commercial law. University lecturer at ULSIT in disciplines related to regime of information and basics of law.

To contact the author: [email protected].

KNOWLEDGE SOCIETY AND 21 - DPC · Резюме. През май 2018 г. започна да се прилага новият европейски регламент за защита

Documents