Длъжностно лице по защита на данните

Длъжностно лице по защита на данните

Основна цел на новия РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните (ОРЗД и/или GDPR и/или Регламентът)), в сила от 25 май 2018г., е да осигури модернизирана, основана на принципа на отчетността, правна рамка в сферата на защита на личните данни. Ролята на Длъжностното лице по защита на данните (ДЛЗД и/или DPO) се явява ключова. ОРЗД, в раздел IV, чл. 37-39  установява критериите, при съблюдаването на които, определянето на длъжностно лице по защита на данните се явява задължително, заедно с неговите функции, отговорности и отношенията му /на ДЛЗД/ със субектите на данни, администраторите и обработващите данни, надзорните органи и т.н.

Задължението за определяне/назначаване на ДЛЗД следва да бъде изпълнено при всички случаи съгласно чл. 37, ал. 1 от ОРЗД:

  1. обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
  2. основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни; или
  3. основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни съгласно член 9 и на лични данни, свързани с присъди и нарушения, по член 10.

Някои от посочените тук по – горе условия, при наличието на които следва задължително да бъде назначено длъжностно лице по защита на данните,  са динамични величини, с оглед на което, преценката дали дадено лице, явяващо се администратор и/или обработващ лични данни, следва задължително да назначи ДЛЗД се прави конкретно, за всеки отделен случай. Напълно е възможно дейността на администратора и/или обработващия да не позволява да се направи подобна категорична преценка към даден момент. От друга страна, в резултат на постоянно изменящите се икономически условия и/или разрастването на бизнеса, може да се направи обосновано предположение, че за вбъдеще следва да се определи/назначи длъжностно лице по защита на данните. В тази връзка, Регламентът дава пълната свобода на администратора и/или обработващия, по свое усмотрение, доброволно да назначи длъжностно лице по защита на данните, с цел изпълнение на вменените му от ОРЗД задължения за въвеждане на подходящи организационни мерки, за да гарантира и да е в състояние да докаже, че обработването на данните се извършва съобразно действащата нормативна уредба. Важно е да се отбележи, че независимо дали определянето/назначаването на ДЛЗД е задължително или е направено доброволно, по преценка на администратора и/или обработващия, разпоредбите на чл. 37 до чл. 39 от ОРЗД се прилагат и в двата случая.

В допълнение, нищо не препятства всеки обработващ и/или администратор, които нямат вменено по закон задължение да назначат ДЛЗД или не желаят да го направят по своя воля, при положение, че за тях не съществува подобно задължение, да определят свой служител или да наемат външен консултант, който да бъде натоварен с отговорностите, свързани със защитата на личните данни. В случай, че подобен служител бъде определен, или бъде нает външен консултант за тази цел, това следва да бъде направено по такъв начин, че да не се допуска объркване относно длъжността, статуса, позицията и/или професионалните отговорности на тези хора. Поради това, следва да бъде пределно ясно при провеждането на всяка коминукация – била тя писмено и/или устна, между, от една страна, администратора и/или обработващия данните, и от друга страна – субектите на данните, надзорния орган по защита на данните и/или обществеността, че позицията на този служител и/или на специално ангажираният за целта външен консултант, не се припокрива с тази на Длъжностно лице по защита на данните.

 КВАЛИФИКАЦИЯ НА ДЛЗД:

ОРЗД не поставя конкретни изисквания що се отнася до професионалните качества на лицето, заемащо позицията ДЛЗД – било тя вътрешна за организацията, или изпълнявана от външен консултант – лице/дружество, предоставящо услуги в сферата на защита на личните данни. Дадените в т. 5 на чл. 37 общи насоки, а именно, че ДЛЗД се определя: „въз основа на неговите професионални качества, и по – специално въз основа на експертните му познания в областта на законодателството и практиките в областта на защита на данните и способността му да изпълнява задачите, посочени в чл. 39“, са твърде широки, с оглед на което на администраторите и/или на обработващите данни е дадена свободата при дефинирането на конкретни критерии за заемането на тази позиция. В крайна сметка, взимайки под внимание посочените в чл. 39 задължения на ДЛЗД, логично, предоставянето на компетентни правни съвети, може да бъде осигурено от професионалисти, които са с юридическо образование и притежават достатъчно задълбочени познания и опит в сферата на защитата на личните данни.

 ЗА ДЛЪЖНОСТТА ДЛЗД:

Чл. 38 очертава в общи линии предметния обхват на Длъжността длъжностно лице по защита на данните, като разпределя в тежест на администратора и/или на обработващия определени задължения/отговорности.

  • Точка 1 на чл. 38 вменява задължение на администратора и обработващия да осигурят по подходящ и своевременен начин участие на ДЛЗД във всички дейности/въпроси, имащи отношение към защитата на личните данни, включително, но не само – осигуряване възможност за присъствие от страна на ДЛЗД на всички срещи на висшия и среден мениджмънт в организацията; своевременно осигуряване на цялата налична и относима информация на ДЛЗД по даден казус, с цел предоставяне от негова страна на компетентно становище; вземане винаги под внимание изразеното от ДЛЗД мнение по конкретен въпрос, включително документиране на причината за несъобразяване с изразеното от ДЛЗД мнение, както и информиране на ДЛЗД за всяко нарушение.
  • Точка 2 на чл. 38 от ОРЗД казва, че с цел изпълнение на посочените в чл. 39 задачи на ДЛЗД, обработващият и/или администраторът на данните, следва да „осигурят ресурсите, необходими за изпълнението на тези задачи и достъп до личните данни и операциите по обработването“, включително и да полагат грижи за поддържане нивото на експертиза на ДЛЗД. Като примери в тази насока могат да бъдат посочени оказването на адекватно съдействие, осигуряването на нужните ресурси за изпълнението на вменените от му ОРЗД задачи, включително, но не само, ресурси като работно място, оборудване, достъп до всички звена/структури на администратора и/или обработващия, имащи отношение към обработването на личните данни /IT, човешки ресурси и т.н./, както и осигуряване от страна на администратора и/или обработващия на възможности за постоянно надграждане на професионалната квалификация на ДЛЗД и т.н. С оглед на факта, че ОРЗД поставя силен акцент върху ролята на ДЛЗД в процеса по обработване на лични данни, Регламентът изрично поставя изискване относно независимостта на ДЛЗД при вземането на решения и формирането на мнение по даден казус, както и относно защитата по отношение на самата длъжност ДЛЗД. ДЛЗД не може да бъде заставяно как да процедира в определена ситуация, нито пък как да обработва оплакванията на субектите на данните и/или дали да се допита до надзорен орган в конкретна ситуация.
  • В допълнение, изр. второ на т. 3 на чл. 38 от ОРЗД изрично посочва, че ДЛЗД не може да бъде нито санкционирано, нито освобождавано от администратора или обработващия във връзка с изпълнението на своите задачи. Тук е важно да се подчертае, че това не означава, че ДЛЗД не може да бъде освободено въобще – напр. при несправяне с възложените задачи или неспазване на установените от администратора или обработващия правила за поведение вътре в организацията. Целта на ОРЗД е да се осигурят необходимите условия, при наличието на които ДЛЗД ще може да действа самостоятелно с цел даване/изразяване безпристрастно и аргументирано мнение по въпросите, свързани със защитата и обработването на личните данни на физическите лица.
  • т. 6 на чл. 38 от ОРЗД допълва, че ДЛЗД може да изпълнява и други задачи и задължения, като това съвместяване на позицията на длъжностно лице по защита на данните заедно с изпълнението и на други задачи и задължения, не следва да води до възникването на конфликт на интереси. Избягването на конфликт на интереси е тясно свързано с изискването за осигуряване на ДЛЗД на възможност за изпълнението на вменените му от Регламента задължения по независим и безпристрастен начин – конфликт на интереси би възникнал винаги, напр., когато ДЛЗД съвместява отговорностите и на позиция, позволяваща му да определя целите, за които данните се обработват.

НАЗНАЧАВАНЕ НА ДЛЗД ИЛИ ПОЛЗВАНЕ НА ВЪНШЕН КОНСУЛТАНТ ЗА ТАЗИ ЦЕЛ:

В допълнение, част от големите администратори и/или обработващи в България ще ангажират/наемат длъжностно лице по защита на данните, едно или няколко, с оглед обхвата на извършваните от тях дейности. Но за по – голямата част от бизнеса у нас, както беше посочено по – горе, възможностите са две – съвместяване функцията на ДЛЗД с друга длъжност вътре в самата организация или ползването на външни консултантски услуги за тази цел. Възлагането функциите на ДЛЗД на вече ангажиран в организацията служител би било финансово по – ефективно, но подобен подход поражда съмнения относно качественото и своевременно изпълнение на двете възложени функции, съвместявани от един човек, както и наличието или липсата на конфликт на интереси. Въпреки, че ангажирането на външен консултант, може, на пръв поглед, да изглежда финансово необосновано, прибягването до подобен подход е напълно възможно да се окаже по – ефективното и работещо решение. Външният консултант, с цел предоставяне на възможно най – качествената услуга, винаги ще се стреми към запазване на конкурентноспособността си и поддържане на ниво на експертните си познания и своята квалификация. Придобиването на специфичен опит в дадена сфера на дейност, дава възможност за натрупването на задълбочени познания и опит в разрешаването на специфични казуси. В допълнение, ползването услугите на външен консултант по защита на личните даннине, би разтоварило администратора или обработващия от част от вменените им по силата на ОРЗД задължения (напр. осигуряване на ресурси, избягване на конфликт на интерести и т.н.), като следва да се отчете и фактът, че ангажирането на външен консултант по защита на личните данни, може да се окаже не толкова често и наложително, отколкото сте очаквали, с оглед на което, прибягването до подобен тип експертни услуги, може да се окаже по – доброто решение.

/Настоящото изложение не претендира за изперпателност и представлява авторски коментар на екипа на АС“ Ангелови и Ко“  по засегнатата тема. Ако имате въпроси свързани с прилагането на Общия регламент за защита на данните и/или нужда от правен съвет в сферата на защита на личните данни, във всеки конкретен случай, следва да се обърнете към специалист./