СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № П-5863/2016 г.
гр. София, 12.10.2016 г.
ОТНОСНО: Искане за становище с вх.№П-5863 от 04.08.2016г. от адв. М.Р. относно някои аспекти на облачните (“cloud”) услуги.
Комисията за защита на личните данни (КЗЛД) в състав– Председател: Венцислав Караджов и Членове: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков, на заседание, проведено на 06.10.2016г., разгледа искане за становище с вх.№П-5863 от 04.08.2016г. от адв. М.Р., в което заявява, че ще бъде регистрирано търговско дружество съгласно българското законодателство, предоставящо информационни услуги на лечебни заведения за извънболнична помощ. То ще предоставя специализиран софтуер, който лечебното заведение ще ползва за създаване и поддържане на пациентски досиета. Дружеството ще предоставя услуги за съхраняване на изградените електронни бази данни в режим на „облак“ (cloud). Те ще бъдат изцяло на територията на Република България. Клиентът– лечебното заведение има достъп единствено до собствената си база данни в облачното пространство. Достъпът до него се извършва чрез криптирана интернет-връзка, посредством електронен достъп.
Във връзка с тази дейност, адв. М.Р. моли КЗЛД да се произнесе със становище по следните въпроси:
Търговското дружество, предоставящо „cloud” услугата на лечебното заведение за извънболнична помощ, има ли статут „обработващ личните данни“, по смисъла на ЗЗЛД, спрямо лечебното заведение за извънболнична помощ?
Необходимо ли е ползването от лечебното заведение за извънболнична помощ на лични данни на „cloud” услуга да бъде отразено във вътрешната инструкция, изготвена по реда на ЗЗЛД?
Правен анализ:
Изчисленията в облак представляват набор от технологии и модели на услуги, насочени към използване и предоставяне на информационни приложения, базирани в интернет, капацитет за обработване, съхранение и памет. Страни по него са дружеството, предоставящо облачната услуга и клиентът, възползващ се от нея. Несъмнено, администратор, по смисъла на чл.3 от Закона за защита на личните данни (ЗЗЛД), по отношение на личните данни, качени и съхранявани в “cloud” пространството е именно клиентът, възползващ се от услугата.
„Чл. 3. (1) Администратор на лични данни, наричан по-нататък "администратор", е физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на личните данни.
(2) Администратор е и физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон. В тези случаи администраторът или специфичните критерии за неговото определяне са нормативно уредени.“
По отношение на дружеството, предоставящо облачната услуга, в общия случай, същото има статута на „обработващ лични данни“, по смисъла на т.3 на §1 от Допълнителните разпоредби към ЗЗЛД– "Обработващ лични данни" е физическо или юридическо лице, държавен орган или орган на местно самоуправление, който обработва лични данни от името на администратора на лични данни. Предлаганата от дружеството възможност за съхраняване на изградените база данни на лечебните заведения за извънболнична помощ представлява вид обработване на лични данни, съгласно легалната дефиниция на понятието в т.1 на §1 от Допълнителните разпоредби към ЗЗЛД, а именно– "Обработване на лични данни" е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване. Този вид обработване на лични данни, дружеството осъществява от името и под ръководството на администратора на лични данни, което именно гарантира статута му на „обработващ личните данни“.
Съгласно чл.24, ал.4 от ЗЗЛД, вътрешните отношения между администратора на лични данни и дружеството, предоставящо облачна услуга, явяващо се обработващ, следва да бъдат правно уредени. Същото може да бъде извършено с нормативен акт, писмен договор или с друг акт. Основно се уреждат с писмен договор, в който се определят обемът на задълженията, възложени от администратора на обработващия.
По отношение на Инструкцията, изготвяна от администраторите на лични данни, тя е уредена в чл.23, ал.4 от ЗЗЛД и чл.19, т.2 от Наредба №1 от 2013г. на КЗЛД. В чл.20 от Наредба №1 е уредено нейното съдържание, а именно:
1. индивидуализиране на администратора на лични данни;
2. общо описание на поддържаните регистри– категории лични данни и основание за обработване;
3. технологично описание на поддържаните регистри– носители на данни, технология на обработване, срок за съхранение и предоставени услуги;
4. определяне на длъжностите, свързани с обработване и защита на лични данни, правата и задълженията им;
5. оценка на въздействие и определяне на съответно ниво на защита съгласно глава трета;
6. описание на предприетите технически и организационни мерки;
7. действия за защита при аварии, произшествия и бедствия (пожар, наводнение и др.);
8. предоставяне на лични данни на трети лица– основание, цел, категории лични данни;
9. срок за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за заличаването им;
10. определяне на ред за изпълнение на задълженията по чл.25 от Закона за защита на личните данни;
В т.3 от цитираната разпоредба е включено технологично описание на поддържаните регистри. Именно поради тази причина, и с оглед на факта, че съхраняването на лични данни в “cloud” е техническа възможност за обработване на лични данни, администраторите на лични данни са задължени изрично да упоменат този факт в изготвяната от тях вътрешна инструкция.
Във връзка с горното и на основание чл.10, ал.1, т.4 от Закона за защита на личните данни, Комисията за защита на лични данни изрази следното
СТАНОВИЩЕ:
Търговското дружество, предоставящо „облачна“ (cloud) услуга на лечебно заведение за извънболнична помощ, има статут на „обработващ лични данни“ по смисъла на легалната дефиниция в т.3 на §1 от ДР към ЗЗЛД. То следва да отговаря на всички изисквания за „обработващите лични данни“.
Съгласно чл.20, т.3 от Наредба №1 от 2013г., администраторите на лични данни са задължени да упоменат в издаваната от тях вътрешна инструкция по чл.23, ал.4 от ЗЗЛД, че личните данни се съхраняват в „облак“.
ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
Венцислав Караджов /п/ |
Цанко Цолов /п/ |