Споразумение между администратор и обработващ лични данни [НАСОКИ]

ВАЖНИ МОМЕНТИ
от
Насоки 07/2020 на Европейския комитет по защита на личните данни по отношение на споразумението между администратор на лични данни и обработващ по чл. 28 от GDPR

Европейският комитет по защита на личните данни (European Data Protection Board) публикува свои Насоки относно концепциите за администратор и обработващ лични данни за публично обсъждане в срок до 19 октомври 2020 година (Guidelines 07/2020 on the concepts of controller and processor in the GDPR).

Съществена част от насоките представляват указанията и разясненията относно споразумението между администратор и обработващ лични данни по чл. 28 пар. 3 от ОРЗД (GDPR). Разбира се, версията на Насоките ще претърпи промени, но най-вероятно те ще бъдат минимални и в голямата си част Насоките ще бъдат одобрени в тази своя редакция.

В следващите редове съм извел най-съществените разяснения и указания относно споразумението между администратор и обработващ лични данни по чл. 28 пар. 3 от Регламент (ЕС) 2016/679, според мен, в превод на български език.

Проблематиката на споразумението за обработване на лични данни е разгледана и обсъдена в част II от Насоките (пар.98 – 157 от Насоките).

пар. 99

Споразумение, което не е изготвено и в писмена форма, не може да бъде определено като достатъчно да изпълни изискванията по чл. 28.

пар. 101

Липсата на споразумение между администратор и обработващ е нарушение на Регламента. Администраторът и обработващия носят отговорност при липсата на такова споразумение. Имайки предвид обстоятелствата в конкретния случай, надзорния орган следва да приложи административно-наказателни мерки спрямо администратора и обработващия.

пар. 102

Администраторът и обработващият може да изберат дали да изготвят собствено споразумение за обработване или да използват стандартни договорни клаузи (SCC).

пар. 106

Споразумението за обработване може да бъде изготвено като проект от едната страна, независимо коя. В това число се включват общи условия, съдържащи стандартни права и задължения.

пар. 107

Изготвянето на споразумението от обработващия или наличие на несъразмерен баланс на силите между обработващия и администратора не е проблем, доколкото администраторът не е заставен да приемаме незаконосъобразни клаузи. Администраторът на данни следва да изследва споразумението и да свободно да прецени дали да го подпише с оглед на своите задължения по Регламент. Всяко предложение за последващо изменение на споразумението от страна на обработващия е задължително да бъде сведено до знанието на администратора и одобрено от него. Едно обикновено публикуване на изменение на споразумението от страна на обработващия на интернет страницата на обработващия по никакъв начин не изпълнява изискванията на чл. 28 от GDPR.

пар. 109

Не е достатъчно споразумението само да преповтаря разпоредбите на Регламента, а трябва да бъдат включени повече конкретна и ясна информация и детайли за изискванията и мерките за сигурност за предприемане.

пар. 110

В същото време споразумението трябва да отчита специфични действия и задължения на обработващия във връзка с обработвате и риска за правата и свободите на субектите на данни. Задължително е да бъдат включени всички елементи от чл. 28 пар. 3 от GDPR.

пар. 111

Задължителни елементи от съдържанието на споразумението са:

 – предмет на обработването – да бъде конкретно, точно и ясно формулирано;

 – срок на обработване;

 – естество на обработване – видове операции (например, видеозапис, архивиране на изображения);

 – цел на обработване – да бъде конкретно, точно и ясно формулирано (например, за защита от нерегламентиран достъп);

 – вид на личните данни – видовете лични данни трябва да бъдат максимално подробно изброени. Не е достатъчно да личните данни да бъдат определени чрез препращане към друг нормативен акт или разпоредба от него;

 – видове субекти на данни – видовете субекти на данни трябва да бъдат максимално подробно изброени;

 – права и задължения на администратора – правата на обработващия да бъдат съобразени с чл. 28 пар. 3, а задълженията – съобразени отново с чл. 28 пар. 3 от GDPR.

пар. 115

Всички инструкции на администратора към обработващия следва да бъдат документирани, препоръчително в писмена или електронна форма.

пар. 116

Изрично трябва да са установени изисквания за предаване на данни към трети държави и международни организации.

пар. 117

Изрично трябва да са установени изисквания за включване на друг обработващ от страна на обработващия.

пар. 118

Обработващият може да обработва лични данни извън инструкциите на администратора, когато обработващият е задължен по силата правото на ЕСС или на националното право. Обработващият има задължение да уведоми за такъв случай администратора, освен когато има такава изрична забрана за обработващия.

пар. 123

Споразумението трябва да съдържа подробни, конкретни и ясни мерки за сигурност на обработването на лични данни от обработващия, за да може администраторът да следи дали обработващият спазва неговите указания съгласно чл. 32 от GDPR;

пар. 127

Споразумението трябва да съдържа конкретни насоки и детайли относно какви технически и организационни мерки трябва да бъдат предприети от обработващия за оказване на съдействие на администратора при отговор на искания на субекти на данни.

пар. 130

Споразумението трябва да съдържа детайли по какъв начин администраторът е поиска обработващия да изпълни всички изброени изисквания.

пар. 132

На първо място, обработващият трябва да съдейства на администратора в изпълнение на задължението на първия за въвеждане на адекватни технически и организационни мерки за осигуряване на сигурността на обработването.

пар. 133

Второ, обработващият трябва да съдейства на администратора за съобщаване на нарушения на сигурността на личните данни към надзорния орган и субектите на данни. Европейският комитет съветва да се въведе изричен срок за съобщаване и лицето за контакт, които да се впишат в споразумението.

пар. 138

Ако администраторът прецени, че при прекратяване на обработването личните данни следва да бъдат заличени, то обработващият трябва по документиран начин да изпълни заличаването напълно и безвъзвратно.

пар. 140

В споразумението трябва да се включат детайли колко често и по какъв начин ще се обменят личните данни между администратор и обработващ, за да може администраторът да е напълно информиран. Обработващият трябва да предостави на администратора подробна и пълна информация как ще бъде извършвано обработването на лични данни.

пар. 141

В подробности трябва да бъде разписано в споразумението условията за провеждане на одити и проверки. Страните трябва да си съдействат взаимно и да действат добросъвестно.

пар. 145

Европейският комитет препоръчва страница да преговарят и да се споразумеят относно последствията при възражение от обработващия, че нареждане на администратора е в противоречие с актуалното приложимо право. Примерно последствие, вмъкването на клауза за прекратяване на споразумението, ако администраторът настоява за изпълнение на незаконосъобразно нареждане.

пар. 148

Предварителното писмено разрешение за включване на друг обработващ следва да бъде изрично, т.е. да определя с точност другия обработващ и дейността по обработване за точно определен срок или да бъде генерално. Това следва да бъде изрично разписано в споразумението между администратора и обработващия.

пар. 156

Когато обработващ иска да назначи друг обработващ, първият обработващ трябва да сключи писмено споразумение, с което се вменяват същите задължения за всеки друг обработващ. Цялата верига от дейности по обработване трябва да бъде регламентирана от писмени споразумения.

пар. 157

Под “същите” задължения се има предвид функционално, а не формално съвпадение – трябва да се гарантира, че в своята същина задълженията са равносилни.

Макар в Насоките да се говори за споразумение между администратор и обработващ лични данни, то документът може да бъде назован и договор  между администратор и обработващ лични данни (договор за обработване на лични данни). От страните зависи по какъв начин ще нарекат своето писмено съглашение – договор, споразумение или друго.

Преводът е неофициален и не претендира за пълна точност и изчерпателност.

Свали Насоки относно концепциите за администратор и обработващ лични данни от тук – Guidelines 07/2020 on the concepts of controller and processor in the GDPR

Written by

Damyan

15 Posts

Damyan Todorov CIPP/E is working as a Privacy counsel. Active member of The International Association of Privacy Professionals (IAPP). Successfully completed LL. M. Law & Technology at Tilburg University after previosly obtained a “Master of Laws” degree from the University of Sofia ‘St. Kliment Ohridski’.
View all posts
5 1 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments