Длъжностно лице по защита на данните - задачи и отговорности
гост-автори: адв. Цвета Спартанска,
Пламена Янчева адв. сътрудник
Кой може да бъде длъжностно лице по защита на данните?
Общият регламент относно защитата на данните (ОРЗД, GDPR) въвежда фигурата на т.нар. длъжностно лице по защита на данните (ДЛЗД). То може да бъде физическо лице или организация, натоварено с консултативни функции в областта на защитата на личните данни от администратор или обработващ лични данни. ДЛЗД осъществява надзор по спазването на GDPR в организацията на администратора и спомага за повишаването на осведомеността и обучението на персонала по отношение на защитата на личните данни.
Определяне на ДЛЗД
Съгласно чл. 37, пар. 1 от ОРЗД определянето на ДЛЗД се изисква в три конкретни случая:
-
когато обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
-
когато основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни;
- когато основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни съгласно чл. 9 и на лични данни, свързани с присъди и нарушения, по чл. 10.
Физическо лице или организация?
Не съществува изрично изискване ДЛЗД да бъде физическо лице. Неговите функции могат да се упражняват въз основа на договор за услуги, сключен с организация. Всеки член на тази организация, който изпълнява функциите на ДЛЗД, трябва да отговаря на всички приложими изисквания. Препоръчително е във всеки екип на организацията, обслужващ един клиент, да се определя основно лице за контакт с представителите на клиента.
Лицето по защита на личните данни може да бъде собствен служител или трето лице, което изпълнява своите задължения въз основа на сключен договор. Няма пречка служителят, определен от администратора за лице по защита на данните, да изпълнява и други функции в рамките на организацията.
Длъжностно лице или обикновен консултант?
Извън случаите, в които определяне на ДЛЗД е задължително, администраторите и обработващите могат по собствена преценка да назначат такова лице, въпреки че не са задължени да го извършат. Разпоредбите на чл. 37 - 39 от GDPR ще се прилагат за тях по същия начин, както ако определянето е било задължително. Не съществува пречка за тези субекти да възложат подобни задачи и на собствен служител или външен консултант, без те да са изрично определени за длъжностни лица по защита на данните.
Необходими опит и умения на ДЛЗД
Регламентът изисква лицето по защита на личните данни да притежава задълбочени експертни познания в областта на законодателството и практиката в сферата на защитата на личните данни. Необходимото ниво на опит не е строго определено, но трябва да е съобразено с чувствителността, обема и сложността на данните, които обработва дадена организация.
Няма задължителни изисквания, които да определят вида на образованието на лицата по защита на личните данни. Важен фактор е ДЛЗД да познава националното и общоевропейското законодателство и практики в областта на защитата на данните и да разбира в дълбочина разпоредбите на GDPR. Необходимо по подразбиране е и лицето да притежава определени личностни качества, гарантиращи изпълнението на поставените задачи, като почтеност, професионална етика, организираност и комуникативност.
Достъпност и местоположение на ДЛЗД
Съгласно чл. 37, пар. 2 от GDPR група предприятия има право да определи едно ДЛЗД, при условие че “от всяко предприятие има лесен достъп” до него. Въпросното лице, при необходимост със съдействието на екип, трябва да има възможност ефективно да общува със субектите на данните и да си сътрудничи със съответните надзорни органи. За администратори и обработващи лични данни, които не са установени в рамките на Европейския съюз, е препоръчително самото ДЛЗД да се намира в рамките на Съюза.
Данни за контакт
Задължения на администраторите и обработващите е да публикуват данните за контакт с ДЛЗД и да съобщят тези данни на съответните надзорни органи. В интернет страницата на Комисия за защита на личните данни е публикуван образец на уведомлението за определяне на ДЛЗД.
Задължения на ДЗЛД
Съблюдавайки спазването на разпоредбите на GDPR, ДЛЗД следва да:
- информира и съветва администратора или обработващия лични данни и служителите, които извършват обработване, за техните задължения по силата на нормативните актове за защита на личните данни;
-
наблюдава спазването на правилата и политиките за защита на личните данни на администратора или обработващия лични данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити;
-
предоставя съвети при поискване по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката;
-
сътрудничи с надзорния орган;
- действа като точка за контакт за надзорния орган по въпроси, свързани с обработването, включително предварителната консултация и по целесъобразност да се консултира по всякакви други въпроси.
Съдействие от администратора и обработващия
Дори най-компетентното ДЛЗД няма да осъществява ефективно своите функции, ако не получава насрещно съдействие от организацията, която го е назначила. С оглед на това, от организациите се изисква да подпомагат и съдействат на своите ДЛЗД, като:
-
им предоставят достатъчно време за изпълнение на поставените задачи;
-
ги подпомагат от гледна точка на финансови ресурси, инфраструктура и комуникация с персонала;
-
им предоставят достъп до други отдели в организацията;
-
инвестират в продължаващото им обучение и квалификация.
Функциите по защита на данните трябва да бъдат ефективни и достатъчно добре ресурсно обезпечени с оглед на извършваното обработване на лични данни в предприятието.
Освобождаване от длъжност или санкциониране
Съгласно чл. 38, пар. 3 от GDPR ДЛЗД “не може да бъде освобождавано от длъжност, нито санкционирано от администратора или обработващия лични данни за изпълнението на своите задачи”.
Санкционирането е забранено само ако се налага в резултат на изпълнението на задълженията на ДЛЗД в качеството му на ДЛЗД. ДЛЗД все пак може да бъде освободено от длъжност по законосъобразен начин по причини, различни от изпълнението на неговите задачи като ДЛЗД (например в случай на кражба, физически, психологически или сексуален тормоз и други подобни нарушения).
--------------------------
Автори:
адв. Цвета Спартанска, адвокат в Адвокатско дружество “Георгиева и Джутев”, spartanska@gdlaw.bg
Пламена Янчева, адвокатски сътрудник в Адвокатско дружество “Георгиева и Джутев”, plamena@gdlaw.bg
Важна забележка!
Настоящото изложение не съставлява правно становище, препоръка за действия или бездействия. То отразява единствено мнението на авторите.
Винаги търсете правна помощ и съдействие по конкретни въпроси от своята дейност.
Илюстрация: Frame photo created by awesomecontent - www.freepik.com
Настоящото изложение има информативен и опознавателен характер. Изразява личното професионално мнение на авторите на сайта и не представлява конкретен съвет или консултация