Длъжностно лице по защита на данните

Длъжностно лице по защита на данните

Основна цел на новия РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните (ОРЗД и/или GDPR и/или Регламентът)), в сила от 25 май 2018г., е да осигури модернизирана, основана на принципа на отчетността, правна рамка в сферата на защита на личните данни. Ролята на Длъжностното лице по защита на данните (ДЛЗД и/или DPO) се явява ключова. ОРЗД, в раздел IV, чл. 37-39  установява критериите, при съблюдаването на които, определянето на длъжностно лице по защита на данните се явява задължително, заедно с неговите функции, отговорности и отношенията му /на ДЛЗД/ със субектите на данни, администраторите и обработващите данни, надзорните органи и т.н.

Задължението за определяне/назначаване на ДЛЗД следва да бъде изпълнено при всички случаи съгласно чл. 37, ал. 1 от ОРЗД:

  1. обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
  2. основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни; или
  3. основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни съгласно член 9 и на лични данни, свързани с присъди и нарушения, по член 10.

Някои от посочените тук по – горе условия, при наличието на които следва задължително да бъде назначено длъжностно лице по защита на данните,  са динамични величини, с оглед на което, преценката дали дадено лице, явяващо се администратор и/или обработващ лични данни, следва задължително да назначи ДЛЗД се прави конкретно, за всеки отделен случай. Напълно е възможно дейността на администратора и/или обработващия да не позволява да се направи подобна категорична преценка към даден момент. От друга страна, в резултат на постоянно изменящите се икономически условия и/или разрастването на бизнеса, може да се направи обосновано предположение, че за вбъдеще следва да се определи/назначи длъжностно лице по защита на данните. В тази връзка, Регламентът дава пълната свобода на администратора и/или обработващия, по свое усмотрение, доброволно да назначи длъжностно лице по защита на данните, с цел изпълнение на вменените му от ОРЗД задължения за въвеждане на подходящи организационни мерки, за да гарантира и да е в състояние да докаже, че обработването на данните се извършва съобразно действащата нормативна уредба. Важно е да се отбележи, че независимо дали определянето/назначаването на ДЛЗД е задължително или е направено доброволно, по преценка на администратора и/или обработващия, разпоредбите на чл. 37 до чл. 39 от ОРЗД се прилагат и в двата случая.

В допълнение, нищо не препятства всеки обработващ и/или администратор, които нямат вменено по закон задължение да назначат ДЛЗД или не желаят да го направят по своя воля, при положение, че за тях не съществува подобно задължение, да определят свой служител или да наемат външен консултант, който да бъде натоварен с отговорностите, свързани със защитата на личните данни. В случай, че подобен служител бъде определен, или бъде нает външен консултант за тази цел, това следва да бъде направено по такъв начин, че да не се допуска объркване относно длъжността, статуса, позицията и/или професионалните отговорности на тези хора. Поради това, следва да бъде пределно ясно при провеждането на всяка коминукация – била тя писмено и/или устна, между, от една страна, администратора и/или обработващия данните, и от друга страна – субектите на данните, надзорния орган по защита на данните и/или обществеността, че позицията на този служител и/или на специално ангажираният за целта външен консултант, не се припокрива с тази на Длъжностно лице по защита на данните.

 КВАЛИФИКАЦИЯ НА ДЛЗД:

ОРЗД не поставя конкретни изисквания що се отнася до професионалните качества на лицето, заемащо позицията ДЛЗД – било тя вътрешна за организацията, или изпълнявана от външен консултант – лице/дружество, предоставящо услуги в сферата на защита на личните данни. Дадените в т. 5 на чл. 37 общи насоки, а именно, че ДЛЗД се определя: „въз основа на неговите професионални качества, и по – специално въз основа на експертните му познания в областта на законодателството и практиките в областта на защита на данните и способността му да изпълнява задачите, посочени в чл. 39“, са твърде широки, с оглед на което на администраторите и/или на обработващите данни е дадена свободата при дефинирането на конкретни критерии за заемането на тази позиция. В крайна сметка, взимайки под внимание посочените в чл. 39 задължения на ДЛЗД, логично, предоставянето на компетентни правни съвети, може да бъде осигурено от професионалисти, които са с юридическо образование и притежават достатъчно задълбочени познания и опит в сферата на защитата на личните данни.

 ЗА ДЛЪЖНОСТТА ДЛЗД:

Чл. 38 очертава в общи линии предметния обхват на Длъжността длъжностно лице по защита на данните, като разпределя в тежест на администратора и/или на обработващия определени задължения/отговорности.

  • Точка 1 на чл. 38 вменява задължение на администратора и обработващия да осигурят по подходящ и своевременен начин участие на ДЛЗД във всички дейности/въпроси, имащи отношение към защитата на личните данни, включително, но не само – осигуряване възможност за присъствие от страна на ДЛЗД на всички срещи на висшия и среден мениджмънт в организацията; своевременно осигуряване на цялата налична и относима информация на ДЛЗД по даден казус, с цел предоставяне от негова страна на компетентно становище; вземане винаги под внимание изразеното от ДЛЗД мнение по конкретен въпрос, включително документиране на причината за несъобразяване с изразеното от ДЛЗД мнение, както и информиране на ДЛЗД за всяко нарушение.
  • Точка 2 на чл. 38 от ОРЗД казва, че с цел изпълнение на посочените в чл. 39 задачи на ДЛЗД, обработващият и/или администраторът на данните, следва да „осигурят ресурсите, необходими за изпълнението на тези задачи и достъп до личните данни и операциите по обработването“, включително и да полагат грижи за поддържане нивото на експертиза на ДЛЗД. Като примери в тази насока могат да бъдат посочени оказването на адекватно съдействие, осигуряването на нужните ресурси за изпълнението на вменените от му ОРЗД задачи, включително, но не само, ресурси като работно място, оборудване, достъп до всички звена/структури на администратора и/или обработващия, имащи отношение към обработването на личните данни /IT, човешки ресурси и т.н./, както и осигуряване от страна на администратора и/или обработващия на възможности за постоянно надграждане на професионалната квалификация на ДЛЗД и т.н. С оглед на факта, че ОРЗД поставя силен акцент върху ролята на ДЛЗД в процеса по обработване на лични данни, Регламентът изрично поставя изискване относно независимостта на ДЛЗД при вземането на решения и формирането на мнение по даден казус, както и относно защитата по отношение на самата длъжност ДЛЗД. ДЛЗД не може да бъде заставяно как да процедира в определена ситуация, нито пък как да обработва оплакванията на субектите на данните и/или дали да се допита до надзорен орган в конкретна ситуация.
  • В допълнение, изр. второ на т. 3 на чл. 38 от ОРЗД изрично посочва, че ДЛЗД не може да бъде нито санкционирано, нито освобождавано от администратора или обработващия във връзка с изпълнението на своите задачи. Тук е важно да се подчертае, че това не означава, че ДЛЗД не може да бъде освободено въобще – напр. при несправяне с възложените задачи или неспазване на установените от администратора или обработващия правила за поведение вътре в организацията. Целта на ОРЗД е да се осигурят необходимите условия, при наличието на които ДЛЗД ще може да действа самостоятелно с цел даване/изразяване безпристрастно и аргументирано мнение по въпросите, свързани със защитата и обработването на личните данни на физическите лица.
  • т. 6 на чл. 38 от ОРЗД допълва, че ДЛЗД може да изпълнява и други задачи и задължения, като това съвместяване на позицията на длъжностно лице по защита на данните заедно с изпълнението и на други задачи и задължения, не следва да води до възникването на конфликт на интереси. Избягването на конфликт на интереси е тясно свързано с изискването за осигуряване на ДЛЗД на възможност за изпълнението на вменените му от Регламента задължения по независим и безпристрастен начин – конфликт на интереси би възникнал винаги, напр., когато ДЛЗД съвместява отговорностите и на позиция, позволяваща му да определя целите, за които данните се обработват.

НАЗНАЧАВАНЕ НА ДЛЗД ИЛИ ПОЛЗВАНЕ НА ВЪНШЕН КОНСУЛТАНТ ЗА ТАЗИ ЦЕЛ:

В допълнение, част от големите администратори и/или обработващи в България ще ангажират/наемат длъжностно лице по защита на данните, едно или няколко, с оглед обхвата на извършваните от тях дейности. Но за по – голямата част от бизнеса у нас, както беше посочено по – горе, възможностите са две – съвместяване функцията на ДЛЗД с друга длъжност вътре в самата организация или ползването на външни консултантски услуги за тази цел. Възлагането функциите на ДЛЗД на вече ангажиран в организацията служител би било финансово по – ефективно, но подобен подход поражда съмнения относно качественото и своевременно изпълнение на двете възложени функции, съвместявани от един човек, както и наличието или липсата на конфликт на интереси. Въпреки, че ангажирането на външен консултант, може, на пръв поглед, да изглежда финансово необосновано, прибягването до подобен подход е напълно възможно да се окаже по – ефективното и работещо решение. Външният консултант, с цел предоставяне на възможно най – качествената услуга, винаги ще се стреми към запазване на конкурентноспособността си и поддържане на ниво на експертните си познания и своята квалификация. Придобиването на специфичен опит в дадена сфера на дейност, дава възможност за натрупването на задълбочени познания и опит в разрешаването на специфични казуси. В допълнение, ползването услугите на външен консултант по защита на личните даннине, би разтоварило администратора или обработващия от част от вменените им по силата на ОРЗД задължения (напр. осигуряване на ресурси, избягване на конфликт на интерести и т.н.), като следва да се отчете и фактът, че ангажирането на външен консултант по защита на личните данни, може да се окаже не толкова често и наложително, отколкото сте очаквали, с оглед на което, прибягването до подобен тип експертни услуги, може да се окаже по – доброто решение.

/Настоящото изложение не претендира за изперпателност и представлява авторски коментар на екипа на АС“ Ангелови и Ко“  по засегнатата тема. Ако имате въпроси свързани с прилагането на Общия регламент за защита на данните и/или нужда от правен съвет в сферата на защита на личните данни, във всеки конкретен случай, следва да се обърнете към специалист./

Съгласни ли сте?

Съгласни ли сте?

В светлината на новия Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), за краткост тук по – долу Регламент/-а, в сила от 25 май 2018г., понятията „лични данни“ и законосъобразно „обработване“ добиха  огромна  гласност, а GDPR се превърна в едно от най-обсъжданите явления за месец май 2018г., включително стана причина за стрес, обект на хумор, неразбиране. Трябва да се посочи, че в България има действащ Закон за защита на личните данни от 2002г, в който подробно е заложена уредбата на тази чувствителна за правата ни сфера, поради което за България, една част от изискванията на GDPR не са ексклузивни, а принципните положения в никакъв случай не са новост. Считам, че до известна степен се кумулира изкуствено „напрежение“ в публичното пространство, относно това, готов ли е българският бизнес да продължи да функционира безпрепятствено и законосъобразно при действието на Общия регламент относно защитата на данните.

По мое мнение, балансираният подход е изключително важен – спазването на Регламента изисква едновременно спокойно и професионално адаптиране към новите моменти, след консулатации с нужните за целта експерти, включително IT специалисти. Консултантите, на които се доверяваме, е необходимо да притежават задълбочени познания, за да може да има индивидуален подход при изготвянето на документацията по приложението на Регламента. Не трябва да се изпада в крайностите, които вече се чуват в публичното пространство и заради които хората останаха с впечатление, че не бива да казват ЕГН-то и името си, да посочват телефонният си номер, или да показват личната си карта – напомням, че говорим за законосъобразно обработване на личните данни, а не за това да спрем да обработваме лични  данни въобще.

В този смисъл, без да претендира за изчерпателност, настоящото изложение има за цел да обобщи изискванията, които следва да бъдат спазени при използването на един от способите за законосъобразно обработване на лични данни, а именно – Съгласието.

Позоваването на Съгласието при обосноваване законосъобразното опериране с лични данни на пълнолетни лица, е често срещано в практиката, с оглед на което Общият регламент относно защитата на данните съдържа ясни изисквания какво трябва да съдържа и как следва да бъде дадени едно неопорочено и изразено съобразно изискванията на Регламента Съгласие. Съгласно съдържащата се в Общия регламент относно защитата на данните легална дефиниция, „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени“.

Свободно изразено, съгласието предполага предоставяне на даващия съгласие, наричан още и субект на данни, на възможност за недвусмислено демонстриране на осъзнато взето решение от негова страна, както и упражняването на контрол при обработването на личните му данни. Ако субектът на данните не разполага с възможност за избор, то неговото съгласие няма да бъде свободно изразено и следователно ще бъде невалидно. Както ясно и категорично е посочено в рецитал 43 от Общия регламент относно защитата на данните, „за да се гарантира, че е дадено свободно, съгласието не следва да представлява валидно правно основание за обработването на лични данни в конкретна ситуация, когато е налице очевидна неравнопоставеност между субекта на данните и администратора, по-специално когато администраторът е публичен орган, поради което изглежда малко вероятно съгласието да е дадено свободно при всички обстоятелства на конкретната ситуация.“

Конкретно и информирано, означава, че субектът на данните следва да е запознат с целите, за изпълнението на които, ще се обработват неговите лични данни. Получаването на валидно съгласие от страна на администратора на данните, винаги следва да бъде предшествано от ясното и конкретно посочване на легитимните цели, за които ще се обработват данните на субекта. В допълнение, изискването за конкретност на Съгласието е в тясна зависимост и с това, същото да бъде информирано. Предоставянето на необходимата информация преди получаването на Съгласието на субектите на данни, е от съществено значение, с оглед осигуряването на възможност за взимане на информирано решение, включително и упражняването на осигурената от Общия регламент възможност за оттегляне на вече даденото Съгласие – лишено от логика би било всяко оттегляне на съгласие, което е дадено от субекта на данните, без да знае защо. В случай, че администраторът на данните не осигури достъп на субектите на данните до относимата за получаването на Съгласието информация на достъпен и лесно разбираем език, упражняването на контрол от страна на субектите на данните ще остане илюзорно, а даденото при подобни обстоятелства съгласие – лишено от правно основание.

Недвусмислено указание за волята на субекта на даннитепри обработването на данните следва да се демонстрира ясно и недвусмислено с какво субектът на данните се е съгласил. Това изисква не просто потвърждение на факта, че субектът е прочел общите условия напр. Допълнителни указания в тази връзка се съдържат в рецитал 32 от Общия регламент относно защитата на данните, който рецитал гласи, че: „Съгласие следва да се дава чрез ясно утвърдителен акт, с който да се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Това може да включва отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Поради това мълчанието, предварително отметнатите полета или липсата на действие не следва да представляват съгласие. Съгласието следва да обхваща всички дейности по обработване, извършени за една и съща цел или цели. Когато обработването преследва повече цели, за всички тях следва да бъде дадено съгласие. Ако съгласието на субекта на данни трябва да се даде след искане по електронен път, искането трябва да е ясно, сбито и да не нарушава излишно използването на услугата, за която се предвижда.”

Съгласно установеното в чл. 7, ал. 3 от Регламента, субектът на данните следва, преди да даде своето съгласие за обработването на данните му, да бъде информиран, че има право да оттегли съгласието си по всяко време, както и да бъде информиран за начина, по който може да направи това. Оттеглянето на съгласието следва да става също толкова лесно, колкото и даването му. Оттеглянето на съгласието не опорочава по никакъв начин вече извършеното до момента на оттеглянето на съгласието обработване на данни. След този момент, администраторът трябва да прекрати обработването, което е било основано на вече оттегленото съгласие или, в случай, че продължи да обработва данните, да обоснове наличието на някое от другите предвидени в Регламента основания, за да продължи да обработва същите тези данни. В допълнение, на субектите на данни следва да им бъде гарантирана възможността да оттеглят вече даденото от тях съгласие, без възникването на каквито и да било негативни последици за тях – напр. пораждане на задължение за заплащане на допълнителни такси или понижаване качеството на предоставяната услуга като последица от оттеглянето на съгласието. В противен случай, съгласието няма как да бъде считано за свободно дадено.

/Настоящата статия представлява авторски коментар на екипа на АС“ Ангелови и ко“  по засегнатата тема и няма претенции за изчерпателност. Ако имате въпроси свързани с прилагането на Общия регламент за защита на данните и/или нужда от правен съвет в сферата на защита на личните данни, във всеки конкретен случай, трябва да се обръщате към специалист, който да проучи казуса всестранно/.

14.06.2018г.