СТАНОВИЩЕ
НА
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. №ПНМД-01-115 / 2020г.
гр. София, 30.11.2020г.
ОТНОСНО: Характера на администрирането на лични данни, осъществявано от Столична община и районните администрации в контекста на чл.4, т.7 от Регламент(ЕС) 2016/679
Комисията за защита на личните данни (КЗЛД) в състав- председател Венцислав Караджов и членове- Цанко Цолов и Мария Матева, на заседание, проведено на 25.11.2020г., разгледа писмо с вх. №ПНМД-01-115/2020г. от госпожа Йорданка Фандъкова– кмет на Столична община, с което се поставят въпроси относно характера на администрирането на лични данни, осъществявано от Столична община и районните администрации в контекста на чл.4, т.7) от Регламент(ЕС) 2016/679.
В писмото се посочва, че понятието „администратор на лични данни“ има решаваща роля при прилагането на Регламент(ЕС) 2016/679, тъй като то определя кой е отговорен за спазването на правилата за защита на данните и как лицата, за които се събират данните, могат да упражняват на практика своите права. В тази връзка точното и правилно определяне кой от участващите в системата за защита на данните притежава това качество е от изключителна важност.
По-нататък в писмото се споделя позицията, че дефиницията на понятието „администратор“ в Регламента съдържа три основни компонента, които са тясно свързани помежду си: личен аспект („физическо или юридическо лице, публичен орган, агенция или друга структура“), възможност за множествено администриране („която сама или съвместно с други“) и съществени елементи, различаващи администратора от други действащи лица („определя целите и средствата за обработването на лични данни“). Анализът на тези компоненти води до заключение, че Столична община като юридическо лице, определящо само или съвместно с други целите и средствата да обработването на лични данни, е „администратор“ по смисъла на чл.4, т.7) от Регламент(ЕС) 2016/679.
В писмото на кмета се посочва, че в отношенията между Столична община и районните администрации обаче липсва еднозначно мнение по въпроса притежават ли районните администрации на собствено основание качеството администратор на лични данни и участват ли в обработването на лични данни самостоятелно, след като са второстепенни разпоредители с бюджетни кредити към Столична община и не са юридически лица. За определяне на качеството, в което те обработват лични данни, е необходима преценка досежно нормативната уредба в Закона за териториалното деление на столичната община и големите градове и Закона за местното самоуправление и местната администрация (ЗМСМА).
Със Закона за териториалното деление на столичната община и големите градове (Обн. ДВ. Бр. 66,1995г.) Столична община се дели на райони и кметства в районите, които са съставни административно-териториални единици в общината. Съгласно чл.38, ал.1 от ЗМСМА орган на изпълнителната власт в общината е кметът на общината, а органи на изпълнителната власт в района и кметството са съответно кметът на района и кметът на кметството, които също се избират пряко от населението при условия и по ред, определени в Изборния кодекс. Функциите на кмета на Столична община се обезпечават от администрацията на Столична община, а районните администрации подпомагат дейността на кметовете на райони.
Уточнява се, че правомощията на кмета на общината са регламентирани в чл.44, ал, 1 от ЗМСМА, съгласно който кметът на общината назначава и освобождава от длъжност заместник- кметовете на общината, кметските наместници, ръководителите на звената на издръжка от общинския бюджет, началниците и служителите в общинската администрация, изпълнява функциите на длъжностно лице по гражданско състояние и други функции, определени от закон или възложени му от централните държавни органи, при които дейности се обработват лични данни.
От друга страна кметът на района съгласно чл.46, ал.1 от ЗМСМА назначава и освобождава служителите от общинската администрация в района, води регистрите на населението и за гражданското състояние и изпраща актуализационни съобщения до ЕСГРАОН, осигурява извършването на административни услуги на физически лица и осъществява други правомощия, свързани с обработване на лични данни.
Предвидените в ЗМСМА различни правомощия на кмета на общината и на кметовете на райони, предполага самостоятелно определяне на целите и средствата за обработване на личните данни при тяхното реализиране. По изложените съображения може да се направи извод, че Столична община и районните администрации са различни самостоятелни администратори и това произтича от нормативно определените различни правомощия на кмета на общината и кметовете на райони.
От Столична община се посочва, че в случай на преценка от страна на КЗЛД, че районните администрации са администратори на лични данни и участват в обработването на данните самостоятелно, е необходимо становище и по въпроса следва ли кметът на общината да осъществява контрол за законосъобразност на обработването на лични данни от кметовете на райони и кметства, с оглед задължението по чл.44, ал.1, т.9, изр. второ от ЗМСМА. Цитираната разпоредба предоставя на кмета на общината правомощие да осъществява контрол за законосъобразност на актовете и действията на кметовете на райони и кметства, във връзка с което до кмета на Столична община постъпват жалби и сигнали за неправомерното обработване от тях на лични данни. Доколкото производствата се отнасят до прилагане изискванията, свързани със защитата на данните, компетентност за тяхното разглеждане ОРЗД възлага на надзорните органи. В тази връзка Комисията за защита на личните данни, като постоянно действащ независим надзорен орган в страната, наблюдава и осигурява прилагането на Регламента (чл.57, пар.1, б.“а“) и разполага с правомощията по чл.58, включително посочените в пар.2 корективи такива.
Във връзка с изложеното основателно възниква въпроса допустимо ли е осъществяването на контрол от кмета на Столична община на посоченото по-горе основание от ЗМСМА върху актовете на други администратори на лични данни, каквито (при положително становище на КЗЛД) се явяват районните администрации или разглеждането на актове и действия относно обработването на лични данни попада в очертаната с Регламент(ЕС) 2016/679 компетентност на надзорния орган.
В писмото на кмета се изразява мнение, че становищата на Комисията по поставените два въпроса са от значение не само за Столична община, но и за другите градове с районно деление, където обработването на лични данни засяга също голям брой физически лица, както и за постигане на унифицирана практика при различните администратори по прилагането на защитата на лични данни.
Правен анализ:
Съгласно чл.4, т.7) от Регламент(ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.
Съгласно чл.2, ал.1 от Закона за местното самоуправление и местната администрация (ЗМСМА) общината е основната административно-териториална единица, в която се осъществява местното самоуправление. Според разпоредбата на чл.17, ал.1 от ЗМСМА местното самоуправление се изразява в правото и реалната възможност на гражданите и избраните от тях органи да решават самостоятелно всички въпроси от местно значение, които законът е предоставил в тяхна компетентност в различни сфери. Орган на изпълнителната власт в общината е кметът на общината, а органи на изпълнителната власт в района и кметството са съответно кметът на района и кметът на кметството, които също се избират пряко от населението при условия и по ред, определени в Изборния кодекс. (чл. 38, ал.1 от ЗМСМА и чл.33, ал.1 от Закона за администрацията). Дейността на кмета на общината, както и на останалите органи на местното самоуправление, се подпомага от общинска администрация. С оглед на изложените законови разпоредби, когато общината се разглежда като администратор на лични данни, тя попада в обхвата на дефиницията, разписана в § 1, т.17 от Допълнителните разпоредби на Закона за защита на личните данни (ЗЗЛД), съгласно която „публичен орган“ е държавен или местен орган, както и структура, чиято основна дейност е свързана с разходване на публични средства. Това тълкуване на правните норми следва да се отнася, както за Столична община, така и районните администрации, които имат статут на отделни публични органи, независимо от факта, че районните администрации не са юридически лица. Водещата характеристика на администратора в случая е, че той е публичен орган, чиито правомощия са регламентирани със закон. Тази специфична същност на администратора е важно условие с оглед прилагането на разпоредбите на Регламент(ЕС) 2016/679, като например такива, които се отнасят до приложимостта съгласието и другите основания за обработване на лични данни, определянето на длъжностно лице по защита на данните и др.
По принцип, обработването на лични данни при публичните органи е в пряка зависимост от законовите им правомощия. Правомощията на кмета на общината са разписани изчерпателно в чл.44, ал.1 от ЗМСМА. Отделно от това, правомощията на кметовете на район или кметство са регламентирани с чл.46, ал.1 от ЗМСМА. Доколкото законът ясно разграничава обхвата на правомощията, това може да се счита за допълнителен аргумент в полза на твърдението, че в конкретния случай става въпрос за отделни администратори, които обработват лични данни за целите на изпълнението на възложените им задачи и правомощия. Съществен елемент в случая е, че правомощията на отделните кметове на райони имат и ясно дефиниран териториален обхват в рамките на Столична община.
Въпреки че съществува такова принципно разделение на правомощията на кмета на общината и кметовете на райони, което обуславя статута на разглежданите общински администрации като отделни администратори, не е изключено, във връзка с някои процеси по обработване на лични данни, между тях да възникнат и отношения на съвместно администриране или отношения на администратор– обработващ.
Всеки администратор е длъжен сам да извърши задълбочен анализ и да опише дейностите си, свързани с обработване на лични данни, като изясни дали освен като администратор на собствено основание, не обработва данни и в друго качество. Основание за подобни разсъждения дават например разпоредбите на чл.44, ал.1, т.9, 13 и 14 от ЗМСМА. С оглед териториалното разделение, кметът на общината може да възлага изпълнение на отделни свои функции на кметовете на райони. В този смисъл отношенията, които възникват между тях по повод на конкретното обработване на лични данни, могат да се разглеждат като отношения между администратор и обработващ. Въпросните отношения се регламентират с разпоредбите на чл.28 от Регламент(ЕС) 2016/679, а за целите на прозрачността и отчетността на обработването се изисква договор или друг правен акт с определено от разпоредбата на чл.28, пар.3 на Регламент(ЕС) 2016/679 съдържание.
Не е изключено в практиката да се наложи и съвместно администриране на данни между Столична община и отделните районни администрации или между някои от районните администрации, което да е свързано например със съвместно изпълнение на проект, включващ и обработване на лични данни. В такъв случай, конкретното обработване следва да се извърши при условията на чл.26 от Регламент(ЕС) 2016/679.
При така изложените аргументи и в съответствие с чл.30 от Регламент(ЕС) 2016/679 се очертават следните принципни положения:
• Всеки администратор поддържа регистър на дейностите по обработване, за които отговоря.
• Съвместните администратори водят общ регистър за съвместните си дейности, свързани с обработване на лични данни.
• Всеки обработващ лични данни поддържа регистър на всички категории дейности по обработването, извършени от името на администратор.
Съгласно чл.24 от Регламент(ЕС) 2016/679 администраторът е длъжен да въведе подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с Регламент(ЕС) 2016/679, като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица. Тази отговорност на администратора и прилагането на принципа за отчетност, се запазват и по отношение на дейностите, които се извършват от обработващия лични данни при съответното законосъобразно възлагане. Следва да се има предвид, че ако обработващ лични данни наруши Регламент(ЕС) 2016/679, определяйки целите и средствата на обработването (т.е. надхвърли или определи други цели за възложеното му обработване), обработващият личните данни се счита за администратор по отношение на това обработване.
При наличието на формулираната в чл.24 от Регламент(ЕС) 2016/679 отговорност, администраторът е длъжен да осигури възможност за упражняването на правата на субекта на данните по членове 15—22, единствено по отношение на обработването, което той е извършил или е възложил при определени с договор условия на обработващ лични данни. В този смисъл, би следвало Столична община и съответните районни администрации да отговарят на исканията за упражняване на права, съобразно отношението им към конкретното обработване на лични данни, а именно– когато са в ролята на администратор. В случай, че исканията на субектите на данни за упражняване на права по чл.15-22 са постъпили при администратор, който няма отношение към конкретното обработване или дори обработването е извън неговите правомощия, по възможност същото следва да бъде насочено по компетентност, съответно или към Столична община или към някоя от районните администрации, извършила обработването. В случаите, когато искането за упражняване на права е насочено към обработващ лични данни, същият е длъжен да го предаде на администратора, който му е възложил конкретното обработване, като окаже и нужното съдействие за изясняване на случая.
От друга страна, в случай че в Столична община се получат жалби и сигнали за незаконосъобразно обработване на лични данни от други самостоятелни администратори, включително извършени от районни администрации, в качеството на самостоятелни администратори, те следва да бъдат препратени по компетентност на КЗЛД, тъй като това е компетентния надзорен орган по смисъла на чл.55 от Регламент(ЕС) 2016/679, натоварен с правомощията по чл.58 от Регламент(ЕС) 2016/679.
Въпреки това, допустимо е кметът на Столична община да осъществява контрол върху обработване на лични данни, за което отговаря като администратор (controller) и което е възложено на кмета на район и отношенията, които възникват между тях имат същността на отношения между администратор и обработващ лични данни. Такъв контрол не може да се осъществява в случаите, когато Столична община и съответните районни администрации извършват обработването като отделни самостоятелни администратори, като това укрепва и със същността на понятието за местно самоуправление, регламентирано с чл.17, ал.1 от ЗМСМА.
Ето защо в практиката си администраторите следва да разграничат дейностите, свързани с разглеждането на искания за упражняване на права по смисъла на чл.15-22 от Регламент(ЕС) 2016/679 от администраторите на данни, възможностите за упражняване на контрол от страна на администратор върху действията на обработващ лични данни в съответствие с чл.28 от Регламент(ЕС) 2016/679 и надзорната функция на КЗЛД, изразяваща се в изпълнение на възложените с чл.58 от Регламент(ЕС) 2016/679 правомощия.
Регламент(ЕС) 2016/679 въвежда фигурата лице по защита на данните (ДЛЗД), като сред задължените да определят ДЛЗД администратори/обработващи лични данни са публичните органи или структури (чл. 37, § 1, б.“а“ от Регламент(ЕС) 2016/679). Дефиницията за „публичен орган“ за целите на защитата на данните е зададена в § 1, т.1 от Закона за защита на личните данни, а именно „държавен или местен орган, както и структура, чиято основна дейност е свързана с разходване на публични средства“. В този смисъл общините, като органи на местното самоуправление, следва да разполагат с ДЛЗД. Нормата на § 3 от чл.37 от Регламент(ЕС) 2016/679 позволява обществените органи или структури да използват услугите на едно ДЛЗД при отчитане на организационната им структура и размер и при съгласие за поемане на този ангажимент от страна на самото длъжностно лице. Задачите, които ДЛЗД следва да изпълнява са:
• да информира и съветва администратора или обработващия лични данни и служителите, които извършват обработване, за техните задължения;
• да наблюдава спазването на Регламент(ЕС) 2016/679 и на други разпоредби за защитата на данни на равнище Съюз или държава членка и на политиките на администратора или обработващия лични данни по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити;
• при поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката съгласно член 35;
• да действа като точка за контакт с КЗЛД, както и със субектите на данни по отношение на въпросите свързани със защитата на личните данни. Това важи и за служителите на администратора, чиито лични данни биват обработвани от него или които обработват лични данни от негово име.
Няма пречка на длъжностното лице по защита на данните да се възложат и допълнителни задачи. В практиката се налага подходът, длъжностните лица по защита на данните да създават описи и да водят регистър на операциите по обработване съгласно чл.30, пар. 1 и пар.2 от Регламент(ЕС) 2016/679 въз основа на информация, предоставена им от различните отдели в тяхната организация, отговарящи за обработването на лични данни.
Настоящият анализ е базиран изцяло на трайната практика на КЗЛД, свързана с обработването на лични данни на субекти на данни, както и на съдебната практика по жалби с такъв предмет и на указанията на Европейския комитет по защита на данни в тази насока. Становището на КЗЛД има консултативен характер за администратора на лични данни при прилагане на относимите правни норми. Това становище има единствено разяснителен характер по приложението на коментираните в него норми, без да пораждат права и/или задължения за заинтересованите страни. Съгласно Регламент(ЕС) 2016/679- Общ регламент относно защитата на данните, администраторът на лични данни сам или съвместно с друг администратор определя правилата и процедурите за обработване на данни, които трябва да са съответстват на приложимото право. За предприетите от администратора или съвместните администратори действия по обработване на данните се прилагат както правилата на отчетност, прозрачност, добросъвестност, така и нормите отнасящи се до носене на административно-наказателна отговорност по отношение на законосъобразността на осъществяваните от него/тях обработвания.
Във връзка с горепосоченото и на основание чл.58, § 3, буква „б“ от Регламент(ЕС) 2016/679, Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
1. На основание чл.4, т.7) от Регламент(ЕС) 2016/679 във връзка с § 1, т.17 от Допълнителните разпоредби на Закона за защита на личните данни, като самостоятелни публични органи, Столична община и районните администрации по принцип извършват своята дейност, като отделни администратори на лични данни.
2. Между Столична община и районните администрации, по повод на конкретно обработване на лични данни, могат да възникнат и отношения администратор – обработващ по смисъла на чл. 28 или такива, свързани със съвместно администриране (в качеството на два самостоятелни администратора, обработващи данни съвместно), съгласно чл. 26 от Регламент (ЕС) 2016/679.
3. Всеки администратор е длъжен да осъществява контрол по отношение на данните, които обработва или е възложил за обработване на обработващ лични данни при спазване изискванията на Регламент(ЕС) 2016/679.
4. Контролът за законосъобразност и целесъобразност на извършваното обработване на лични данни се свързва с надзорната функция на КЗЛД, регламентирана с чл.58 от Регламент(ЕС) 2016/679.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ |
Цанко Цолов /п/ | |
| Мария Матева /п/ |
