Много от администраторите на лични данни, с цел осъществяване на дейността си, разчитат на специалисти, наети по граждански договор. Това е особено типично при необходимост от предоставяне на консултантски и счетоводни услуги, използване на IT и маркетинг специалисти и др.
В случай че се възползвате от услугите на лица по силата на граждански договор и при изпълнение на задълженията си те обработват предоставени от Вас лични данни, то този материал ще Ви бъде полезен. В него ще научите:
-
Как да гарантирате сигурността на обработваните от Вас и изпълнителя по граждански договор лични данни;
-
Какви са правата и задълженията по GDPR, произхождащи за страните по граждански договор за услуги;
-
Има ли разлика в качеството, правата и задълженията на служителите по трудов договор и изпълнителите по граждански договор, що се касае до защитата на лични данни.
1. Качество на лицата, назначени по граждански договор по смисъла на GDPR. Еднакво ли е с качеството на служителите?
Служителите, назначени на трудов договор, нямат качеството на обработващи лични данни. Същите се определят като "агенти" на администратора, обработващи лични данни от негово име. Отношенията им във връзка с личните данни се уреждат в рамките на трудовото им правоотношение, като същите могат да носят дисциплинарна отговорност при нарушение.
Това разбиране обаче не може да бъде споделено по отношение на лицата по граждански договор (дори на практика отношенията им с работодателя-администратор да приличат повече на "трудовоправни", вместо на чисто гражданскоправни).
Изпълнителите по граждански договор имат качеството на обработващ лични данни по смисъла на GDPR. Това обстоятелство е по-лесно разграничимо при наемане на дружество за т.нар. "аутсорс" услуги и по-трудно разпознаваемо при наемане на физическо лице ("фрийлансър"/лице, упражняващо свободна професия) за предоставяне на определени услуги. И в двата случая обаче администраторът следва да предприеме необходимите мерки за да осигури защитата на личните данни, представяни от него с цел изпълнение на гражданския договор.
2. Какви мерки следва да се предприемат за защита на личните данни в случай на обработка по силата на граждански договор?
Мерките, които администраторът следва да предприеме по отношение на лицата, с които е сключил граждански договор, за да подсигури спазването на приложимото законодателство в областта на защита на личните данни, са различни от мерките при сключен трудов договор.
Първата и основна стъпка е определяне на ролите на страните при обработката на лични данни. Както бе посочено по-горе, лицето- изпълнител по граждански договор притежава качеството на обработващ лични данни.
Предвид това е препоръчително гаранциите за защита на личните данни да се определят между страните по силата на изрично съглашение между тях. Препоръчително е сключването на отделен договор за тази цел, но такива клаузи могат да се включат и в самия основен граждански договор. При всички случаи, към отношенията между страните ще са приложими и разпоредбите на GDPR – в частност чл. 28 от Регламента.
Обработващият лични данни следва да е запознат с националното и европейско законодателство в областта на защитата на лични данни. В случая обаче липсва задължение на администратора да проведе обучение на изпълнителя във връзка с правата и задълженията му в този смисъл (каквото е налице по отношение на служителите по трудов договор).
Наред с това, отделно от уговорките, касаещи задълженията на обработващия в това негово качество, е препоръчително страните да конкретизират и неговите задължения по самия граждански договор (както това се извършва посредством длъжностна характеристика в случаите на трудов договор). В частност, от гражданския договор (или приложение към него) да става ясно при изпълнение на кои от своите задължения изпълнителят обработва лични данни, както и техния обхват. Препоръчително е съдържанието на договора да е изготвено от или поне съгласувано с юрист.
Сключеният граждански договор и обработката на лични данни по повод изпълнението му следва да бъдат отчетени и във връзка с други права на администратора – напр. да бъде включена в информационните права на субектите, чиито лични данни се обработват по силата на гражданския договор (респ. по отношение на които изпълнителят се явява "получател").
Администраторът следва да предоставя на обработващия единствено минимума данни, необходими за изпълнението на договора. Следва ясно да посочи, че целта на обработката е единствено изпълнение на гражданския договор, като обработващият няма право да използва личните данни за други цели (освен при наличие на изрично съгласие на субекта на лични данни или законово основание за това). Обработващият лични данни не може еднолично да прехвърли задълженията си (като включително осигури и достъп до личните данни) на подизпълнител.
Обработващият лични данни следва да спазва всички законови изисквания за защита на личните данни и носи солидарна отговорност за причинени вреди заедно с администратора – субектът на лични данни може да търси обезщетение срещу всеки един от тях по свой избор. В този случай, страната срещу която е предявена претенцията има право на регресен иск срещу другата страна.
Страните могат да уредят специфични правила за отговорността на обработващия лични данни.
Този материал е изготвен с цел да информира, не претендира за изчерпателност и не представлява правен съвет.
Работим върху сборник, съдържащ детайлен поглед над отговорността на работодателите и работещите за тях във връзка със защитата на лични данни. Ако конкретен аспект на темата представлява особен интерес за Вас, то можете да ни пишете на office@kdbmlaw.com и ще се постараем да го включим.
