Какво е администратор на данни или обработващ данни?

Отговор

Администраторът на данни определя целите, за които, и средствата , с които се обработват личните данни. Така че, ако Вашето дружество/организация вземе решение „защо“ и „как“ трябва да бъдат обработени личните данни,  тое администраторът на данни. Служителите, които обработват лични данни във вашата организация, правят това, за да изпълняват задачите ви като администратор на данни.

Вашето дружество/организация е съвместен администратор, когато заедно с една или повече организации съвместно определя „защо“ и „как“ трябва да бъдат обработени личните данни. Съвместните администратори трябва да сключат споразумение, определящо съответните им отговорности за спазване на правилата на ОРЗД. Основните аспекти на споразумението трябва да бъдат съобщени на лицата, чиито данни се обработват.

Обработващият данни обработва лични данни само от името на администратора. Обработващият данни обикновено е трета страна, външна за дружеството. Обаче в случай на групи предприятия, едно предприятие може да действа като обработващ данни за друго предприятие.

Задълженията на обработващия данни към администратора трябва да бъдат определени в договор или друг правен акт. Например в договора трябва да се посочи какво се случва с личните данни след прекратяването на договора. Типична дейност на лицата, обработващи данни, е да предлагат ИТ решения, включително съхранение в облак. Обработващият данни може да възложи само част от задачата си на друг обработващ данни или да назначи съвместен обработващ данни, когато е получил предварително писмено разрешение от администратора на данни.

Има ситуации, в които дадено лице може да бъде администратор на данни или обработващ данни, или двете.

Примери

Администратор и обработващ данните

Пивоварна има много служители. Тя подписва договор със счетоводно дружество с цел изплащане на заплатите. Пивоварната уведомява счетоводното дружество кога трябва да бъдат изплатени заплатите, както и когато служител напусне или има повишение в заплащането, и предоставя всички останали подробности за ведомостта за заплати и плащането. Счетоводното дружество осигурява ИТ системата и съхранява данните на служителите. Пивоварната е администраторът на данни, а счетоводното дружество е обработващият данни.

Съвместни администратори

Вашето дружество/организация предлага услуги за гледане на деца чрез онлайн платформа. В същото време Вашето дружество/организация има договор с друго дружество, което ви позволява да предлагате услуги с добавена стойност. Тези услуги включват възможност родителите не само да избират детегледачката, но и да наемат игри и DVD-та, които детегледачката може да донесе. И двете дружества участват в техническата настройка на уебсайта. В този случай двете дружества са решили да използват платформата за двете цели (услуги за гледане на деца и отдаване под наем на DVD/игри) и много често ще споделят имената на клиентите. Следователно двете дружества са съвместни администратори, защото те не само че се съгласяват да предлагат възможност за „комбинирани услуги“, но и разработват и използват обща платформа.

Позовавания

• Позовавания:член 4, параграфи 7 и 8, членове 24, 26, 28, 29; съображения 74, 79, 81 от GDPR;
• Становище 1/2010 на работната група по член 29 относно понятията „администратор“ и „обработващ данни“ (WP 169).

Controller and processor

A brewery has many employees. It signs a contract with a payroll company to pay the wages. The brewery tells the payroll company when the wages should be paid, when an employee leaves or has a pay rise, and provides all other details for the salary slip and payment. The payroll company provides the IT system and stores the employees’ data. The brewery is the data controller and the payroll company is the data processor.

Joint controllers

Your company/organisation offers babysitting services via an online platform. At the same time your company/organisation has a contract with another company allowing you to offer value-added services. Those services include the possibility for parents not only to choose the babysitter but also to rent games and DVDs that the babysitter can bring. Both companies are involved in the technical set-up of the website. In that case, the two companies have decided to use the platform for both purposes (babysitting services and DVD/games rental) and will very often share clients’ names. Therefore, the two companies are joint controllers because not only do they agree to offer the possibility of ‘combined services’ but they also design and use a common platform.

• References: Article 4(7) and (8), Articles 24, 26, 28 and 29 and Recitals (74), (79) and (81) of the GDPR
• Article 29 Working Party Opinion 1/2010 on the concepts of 'controller' and 'processor' (WP 169)