Отговор
Някой друг (физическо или юридическо лице или друг орган) може да обработва лични данни от Ваше име, при условие че има договор или друг правен акт. Важно е избраният от вас обработващ данни да предостави достатъчно гаранции за прилагане на подходящи технически и организационни мерки, за да гарантира, че обработката ще отговаря на стандартите на Общия регламент относно защитата на данните (ОРЗД) и ще гарантира защитата на правата на физическите лица.
Назначеният обработващ данни впоследствие не може да назначава друг обработващ данни без вашето предварително, конкретно или общо писмено разрешение. Договорът или правният акт, сключен между Вашето дружество/организация и обработващия данни, трябва да включва следните елементи:
- обработването може да се извършва само при документирани инструкции от администратора;
- обработващият данни гарантира, че лицата, упълномощени да обработват личните данни, са се ангажирали с поверителността или са подчинени на съответното правно задължение за поверителност;
- обработващият данни трябва да предлага минимално ниво на сигурност, определено от администратора;
- администраторът трябва да съдейства при осигуряването на съответствие с ОРЗД.
Примери
Строителна фирма използва подизпълнител за конкретни строителни работи и му предоставя данните за контакт на клиентите, при които трябва да се извършат строителните работи. Подизпълнителят допълнително използва данните, за да изпрати на клиентите маркетингов материал. Подизпълнителят в този случай не се квалифицира само като „обработващ данни“ съгласно ОРЗД, тъй като той не само обработва лични данни от името на строителната компания, но ги обработва и допълнително за свои собствени цели. Подизпълнителят следователно действа като „администратор на данни“.
Вие сте дружество за търговия на дребно, което решава да съхранява резервна версия на вашата клиентска база данни на облачен сървър. За тази цел сключвате договор с доставчик на компютърни услуги „в облак“, известен със своите стандарти за защита на данните, който също така има и сертифицирана система за криптиране на данни. Доставчикът на компютърни услуги „в облак“ е вашият обработващ данни, тъй като съхранява личните данни на вашите клиенти на сървърите си и ще обработва личните данни от ваше име.
Позовавания
Examples
A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’.
You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf.