СТАНОВИЩЕ
НА КОМИСИЯТА ЗЗД ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. №НДМСПО-01–1174/10.12.2018г.
гр. София, 11.01.2019г.
ОТНОСНО: Искане за становище във връзка с определяне на качествата администратор и обработващ лични данни.
Комисията за защита на личните данни (КЗЛД) в състав– членове: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков, на заседание, проведено на 09.01.2019г., разгледа искане за становище /вх. №НДМСПО-01-1174/10.12.2018г./ от „Б.С.М.Ц.” ООД, гр. В., във връзка с възникнал казус при определяне на качествата „администратор” и „обработващ” лични данни, касаещ пораждането на правоотношение със застрахователно дружество, на чиито клиенти по застрахователни договори за обезпечаване на задължения, медицинският център предоставя услуги, а именно диференцирани прегледи и изследвания.
Медицинският център изразява становище, че в отношенията си със застрахователи действа в качеството на обработващ лични данни. В писмото се изтъква, че с едно от застрахователните дружествата имат спор, като последното счита, че по аналогия следва да се приложи становището на КЗЛД (рег. №НДМСПО-17-604/20.06.2018г.) по казуса с пощенския оператор „С.” АД и медицинският център би следвало да има качеството на администратор на лични данни.
Поставя се въпросът, в какво качество (администратор или обработващ) медицинският център следва да сключи договор със застрахователното дружество.
Правен анализ:
Съгласно легалната дефиниция, визирана в чл.4, т.7 от Общия регламентотносно защитата на данните (Регламент(ЕС) 2016/679) „администратор” означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.
Качеството администратор е пряко следствие от обстоятелството, че конкретно лице е избрало да обработва лични данни за свои цели или за цели, които са регламентирани с нормативен акт. При това положение, извън случаите, когато това е законово определено, администраторът сам взема...