“MultiSport е програма за придобивки за служители, която дава достъп до стотици фитнес центрове, студиа и плувни комплекси в цяла България”. Това е описанието на програмата, посочено в началната страница на сайта www.benefitsystems.bg. Пак там става ясно, че програмата е за социални придобивки, насочена към служителите на дадена фирма, при условията на месечан абонамент.
Отношенията между програмата MultiSport и конкретен работодател се уреждат с договор.
Издадените от MultiSport карти са персонални, за всеки отделен служител при работодател, сключил договор с програмата, като в тях се съдържат лични данни за ползвателя, които се потвърждават, като се предоставя (на рецепцията на всеки спортен комплекс, включен в програмата) документ, удостоверяващ самоличността на лицето.
В светлината на Общия регламент относно защитата на данните (Регламент (ЕС)2016/679) сме в хипотезата на отношения между работодател, служител и лице, на което работодателят предоставя лични данни на свои служители по силата на сключен договор. Тези отношения, предвид широкото разпространение на услугата MultiSport, са разгледани от Комисия за защита на личните данни (КЗЛД) в становище от 21.12.2018 година.
Съгласно посоченото становище, качеството “администратор” на лични данни имат както лицето, предоставящо карти MultiSport, така и работодателят.
КЗЛД изрично е посочила, че,
“Качеството администратор е пряко следствие от обстоятелството, че конкретно лице е избрало да обработва лични данни за свои цели или за цели, които са регламентирани с нормативен акт. При това положение, извън случаите, когато това е законовоопределено, администраторът сам взема решение относно необходимостта от събиране на лични данни, категориите лични данни, дали те да бъдат променяни в хода на обработването, къде и как тези данни да бъдат използвани и с каква цел, дали данните да бъдат разкрити на трети страни и кои да бъдат те, както и за колко време те ще бъдат съхранявани, и кога и по какъв начин да бъдат унищожени.
В допълнение, Регламентът вменява на администратора определен кръг от задължения. Той трябва да предприеме подходящи технически и организационни мерки, свързани със сигурността на данните, като вземе предвид естеството, обхвата, контекста и целите на обработването на данните, както и съществуващите рискове за правата и свободите на субектите на данните. Освен това, съгласно разпоредбата на чл. 30, § 1 от Регламент (ЕС) 2016/679, администраторът поддържа регистър на дейностите по обработване, за които отговаря. Този ангажимент произтича от принципа за отчетност и необходимостта администраторът във всеки един момент да бъде способен да докаже, че спазва изискванията, залегнали в регламента.
„Обработващ лични данни” е „физическо или юридическо лице, публичен орган, агенция или структура, която обработва лични данни от името на администратора” (чл. 4, т. 8 от Регламент (ЕС) 2016/679).
Основната разлика между администратор и обработващ се състои в това, че вторият не действа самостоятелно, а от името на администратора на лични данни. Техните отношения се уреждат с договор, който регламентира предмета, срока на действие по обработването, естеството и целта на обработването, вида лични данни и задълженията и правата на администратора, вкл. да извършва проверки (одити).
Общият регламент въвежда и специфични задължения за обработващия данните, които не се ограничават само и единствено до осигуряване на сигурност на данните. Така например, той е длъжен да обработва лични данни само по документално нареждане от страна на администратора. В случаите, когато е необходимо назначаването на друг обработващ данните, това става само с изричното писмено разрешение на администратора. Подобно на администратора, съгласно чл. 30, § 2 от Общия регламент, обработващият също поддържа регистър на дейностите по обработване, за които отговаря.
В допълнение, с оглед още по-голяма яснота, разпоредбата на чл. 28, § 10 от Общия регламент изрично предвижда, ако обработващият започне сам да определя целите и средствата на обработване, той автоматично започва да се счита за администратор.
Принципът на отчетност, визиран в чл. 5, § 2 от Регламент (ЕС) 2016/679, изисква от участниците в търговския и гражданския оборот, вземайки предвид своята дейност, сами да определят какви са техните правоотношения във връзка с обработваните от тях лични данни – самостоятелни администратори, администратор и обработващ по смисъла на чл. 28 или съвместни администратори по чл. 26 от Общия регламент. Техният избор следва да гарантира не само формално, но и по същество съответствие с изискванията на Регламент (ЕС) 2016/679 и съответно ефективна защита на правата на субектите на данни. Също така, следва да се има предвид, че предоставянето на услуги, при които обичайно се обменят лични данни между възложителя и изпълнителя, не води автоматично до възникване на отношения между администратор и обработващ по смисъла на чл. 28 от Регламента.”.
В заключение: работодател може да предостави лични данни на свои служители на фирмата, предлагаща услугата MultiSport при наличие на изрично изразено съгласие от тяхна страна, по смисъла на чл.6, пар.1, буква “а”, вр.чл.4, т.11 от Регламент (ЕС) 2016/679.