Обработващ лични данни

Обработващ лични данни е субект, който обработва лични данни от името и по указания на администратор на лични данни. В контекста на политическата реклама обработващите обработват лични данни за целите на таргетиране или доставяне на реклами, но не решават как или защо се използват данните. Администраторът остава в крайна сметка отговорен за законосъобразното обработване.

Правно основание

„Обработващ лични данни" означава физическо или юридическо лице, публичен орган, агенция или друга структура, които обработват лични данни от името на администратора."

— Член 4, параграф 8, Регламент (ЕС) 2016/679 (GDPR)

Въпреки че Регламент (ЕС) 2024/900 не дефинира обработващ лични данни, той препраща към законодателството за защита на данните и възлага специфични задължения на администраторите и обработващите, когато лични данни се използват за таргетиране на политическа реклама онлайн.

Защо е важно

Разбирането на ролята на обработващите лични данни е от решаващо значение за спазването както на GDPR, така и на регламента за политическа реклама. Когато политическа партия, кампания или спонсор използва онлайн платформа, доставчик на рекламни технологии или аналитична фирма за доставяне на насочена политическа реклама, този доставчик обикновено действа като обработващ. Спонсорът или политическият субект остава администратор и трябва да гарантира, че обработващият отговаря на всички законови изисквания.

Обработващите трябва да прилагат подходящи технически и организационни мерки, да подпомагат администраторите в изпълнението на техните задължения (като например отговаряне на искания на субекти на данни) и да обработват данни само по документирани указания. Те не могат да използват лични данни за свои собствени цели. Ако обработващ определя свои собствени цели за обработване, той става администратор и поема пълна отговорност по силата на законодателството за защита на данните.

За политическата реклама това разграничение има значение, тъй като таргетирането с използване на лични данни е силно ограничено съгласно глава III на Регламент (ЕС) 2024/900. Администраторите трябва да гарантират, че техните обработващи спазват ограниченията за таргетиране, изискванията за съгласие и забраните за използване на определени категории чувствителни данни.

Ключови моменти

Действа по указания: Обработващите обработват лични данни само съгласно указанията на администратора; те не могат да решават как или защо се обработват данните.
Остава отговорен: Администраторите са в крайна сметка отговорни за гарантиране, че обработващите спазват правилата на GDPR и политическата реклама.
Изискват се писмени споразумения: Администраторите трябва да имат договор или правен акт с обработващите, в които се уточняват условията за обработване, мерките за сигурност и задълженията.
Подпомага спазването: Обработващите трябва да помагат на администраторите да отговарят на искания за упражняване на права на субекти на данни, да провеждат оценки на въздействието и да докладват нарушения на сигурността на данните.
Може да стане администратор: Ако обработващ определи целите и средствата за обработване, той се преквалифицира като администратор с пълна правна отговорност.
Специфични правила за таргетиране: Когато обработващите доставят насочена политическа реклама онлайн, те трябва да спазват ограниченията по глава III и не могат да използват данни от специални категории за целите на таргетиране.

Обработващ лични данни срещу Администратор на лични данни

Администраторът на лични данни определя целите и средствата за обработване на лични данни — решава какви данни да събира, как да ги използва и защо. Обработващ лични данни действа само по указанията на администратора и не взема тези решения.

При политическата реклама политическа партия, която решава да проведе насочена рекламна кампания, е администратор. Платформата за социални медии или услугата за рекламни технологии, доставяща тези реклами съгласно указанията на партията, е обработващ. Ако платформата също използва данните за свои собствени цели (напр. подобряване на алгоритъма си за препоръки), тя действа като администратор за тази отделна цел.

Разграничението е критично, тъй като администраторите и обработващите имат различни задължения по GDPR, а отговорността за неспазване в крайна сметка е на администратора.

Свързани термини

Да. Като регламент на ЕС, TTPA е пряко приложим във всички държави членки, без да изисква национално транспониране. Държавите членки трябва само да определят компетентни органи и да установят санкции.

Изискванията за прозрачност гарантират, че всички политически субекти действат при едни и същи правила. Избирателите могат да видят кой разполага с ресурси и как се използват те, подкрепяйки честната конкуренция.

Прозрачността изгражда доверие, като показва на избирателите, че политическите субекти действат открито. Скритото финансиране или насочването подкопава доверието в демократичните процеси.

Чрез изискването за ясно обозначаване и достъпна информация за прозрачност, TTPA помага на хората да разпознават политическата реклама и да разбират кой се опитва да ги влияе.

Политическата реклама включва всяко платено съобщение, което популяризира политически субект, влияе върху поведението при гласуване, въздейства върху резултата от избори или референдуми или влияе върху законодателни или регулаторни процеси. Тя включва също така всяка реклама от или от името на политически субект.

Не. TTPA не засяга националните правила относно съдържанието на политическите реклами, финансирането на кампании, изборните периоди или общите забрани за политическа реклама. Регламентът добавя изисквания за прозрачност към съществуващите национални законодателства.

Официалното наименование е Регламент (ЕС) 2024/900 на Европейския парламент и на Съвета относно прозрачността и таргетирането на политическата реклама. Публикуван е на 20 март 2024 г.

Да. TTPA обхваща всички политически реклами, независимо дали са онлайн или офлайн, включително печатни, билбордове, телевизия, радио и дигитални канали. Правилата за таргетиране в глава III се прилагат само за онлайн реклама.