Една от основните новости, които въведе Регламент (ЕС) 2016/679 (GDPR) относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, е фигурата на длъжностното лице по защита на данните.
Кои лица следва задължително да назначат длъжностно лице по защита на данните:

  1. Администратори или обработващи лични данни, които са публични органи или структури (с изключение на съдилища при изпълнение на съдебните им функции).
    В тази категория попадат държавните органи, органите на местното самоуправление, както и други публичноправни субекти, създадени по силата на нормативен акт за осъществяване на публични функции.
  2. Администратори или обработващи лични данни, чиито основни дейности изискват редовно и систематично мащабно наблюдение на субектите на данни.
    Например: охранителна фирма; лечебно заведение; застрахователна компания; телеком оператор; кредитна институция; организации, осъществяващи профилиране на данни.
    В нито един от гореизборените примери, организацията не би могла да постигне целите си изолирано от обработването на личните данни.
  3. Администратори или обработващи лични данни, чиито основни дейности се състоят в мащабно обработване на специални категории данни и на лични данни, свързани с присъди и нарушения
    „Специални категории данни“ (чувствителни данни) са лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице. Приема се, че контекстът на тяхното обработване може да създаде значителни рискове за основните права и свободи на физическите лица. Това налага и поставянето им под специален режим, който включва и определянето на длъжностно лице по защита на данните, когато обработването им е основна дейност и се извършва в голям мащаб. Забранява се обработването на тези категории данни, когато това обработване се извършва единствено с цел идентифициране на физическото лице. Обработването на специалните категории лични данни винаги трябва да се съчетава с обработване на обикновени данни.
    „Обработване на данни, свързани с присъди и нарушения“ – следва да се извършва само под контрола на официален орган или когато обработването е разрешено от правото на ЕС или правото на държава членка, в което са предвидени подходящи гаранции за правата и свободите на субектите на данни.
Нуждае ли се представляваната от Вас организация от ДЛЗД?
Преценката, дали организацията, се нуждае от назначаване на длъжностно лице по защита на данните, е строго индивидуална. Следва да бъдат анализирани дейността на организацията, процесите на постъпване на личните данни, естеството на данните – дали са обикновени или чувствителни, както и начините за обработването им.
Примери за организации, които задължително се нуждаят от ДЛЗД: охранителна фирма; лечебно заведение; застрахователна компания; телеком оператор; кредитна институция; организации, осъществяващи профилиране на данни.
В случай, че Вашата организация не попада в хипотезите на изрично посочените в Регламента случаи, в които за администратора или обработващия лични данни е очевидно, че трябва да назначи ДЛЗД, то е силно препоръчително анализът/преценката, въз основа на които е взето решение да не се определи ДЛЗД да бъдат документирани. По този начин Вие ще можете да докажете извършената преценка, да демонстрирате, че сте взели предвид всички релевантни фактори и че аргументирано сте обосновали липсата на задължение за назначаване на ДЛЗД.
Няма пречка администратор или обработващ лични данни, за който не е налице задължение да определи ДЛЗД по Регламента, да определи такова като допълнителна мярка. Поощрява се!
Основни изисквания и задължения към длъжностното лице по защита на данните:

  • Отлично да познава нормативната уредба в областта на защита на личните данни;
  • Да познава дейността и бизнеса. ДЛЗД следва да разбира в дълбочина всеки един процес в организацията, всяка функция, на всяко ниво, възможностите за въвеждане на програма за защита на личните данни по начин, по който да отговаря на целите на организацията и нейния оперативен модел;
  • Да познава в дълбочина технологичните достижения, най-добрите практики в областта на информационната сигурност, необходомостта от криптиране на информация, анонимизация и псевдонимизация.
  • Може да е служител на администратора (самостоятелно или по съвместителство) или външно за организацията на администратора физическо лице;
  • Отговаря за съответствието на вътрешните правила с предписанията на законодателството и Регламента;
  • Следи процесите и ги анализира.
  • Дава препоръки за защита на личните данни на етапа на проектирането (Privacy by design);
  • Дава становища за подобрение на работата по обработка и съхранение на лични данни;
  • Комуникира директно с ръководството на компанията;
  • Провежда обучения на персонала;
  • Комуникира със субектите на данни – физически лица;
  • ДЛЗД е лицето за контакт пред регулатора и другите държавни органи;
  • Назначава се с писмен договор – ясни критерии; разпределяне на отговорността между ДЛЗД и администратора.
Изискване за независимост на ДЛЗД:

  • Съветва организацията/работодателя, а не получава инструкции;
  • Не може да бъде санкционирано за изпълнението на задачите си;
  • Не може да бъде освобождавано от длъжност, заради изпълнението на задачите си;
  • Отчита се пряко пред най-висшето ръководство.
ДЛЗД не може да бъде в конфликт на интереси
ОРЗД въвежда забрана функцията на ДЛЗД да бъде изпълнявана от лице, което е в конфликт на интереси. ДЛЗД следва да следи за максималното спазване на правата на субектите на данни и поради тази причина не може да поставя на първо място интересите на своя работодател или клиент.
Предимства на външната услуга „ДЛЗД“

  1. ДЛЗД е самостоятелно и никой от организацията не може да му въздейства. По този начин администраторът е сигурен, че неговия интерес ще бъде защитен и ще се извършва безпристрастен контрол над обработката на личните данни.
  2. Освен конкретно назначеното ДЛЗД, получавате достъп и до експертизата на неговите колеги и партньори – юристи и ИТ специалисти.
  3. ДЛЗД своевременно Ви информира за последните изменения в нормативната уредба и най-добрите практики за обработване на личните данни.
  4. Спестявате средства за обучения на ДЛЗД. От друга страна ДЛЗД има възможност за регулярни обучения на персонала.
Автор: адв. Ивайло Бурков