Длъжностно лице по защита на данните - една от професиите на бъдещето

Длъжностно лице по защита на данните - една от професиите на бъдещето

С  влизането в сила на 25 май тази година на Регламент (ЕС) 2016/679 на ЕП и на Съвета от 27 април 2016 година, по-известен като GDPR (наричан за краткост "Регламента"), се появява една нова длъжност – Длъжностно лице по защита на данните (Data Protection Officer - DPO), която има потенциала да стане една от най-популярните и интересни професии на десетилетието. Както с всяко ново нещо, така и с тази професия, все още има доста неясни моменти, които ще се разяснят с течение на времето, след като Регламентът влезе в сила и се установи конкретна практика по прилагането му.

В настоящата статия ще се опитаме да отговорим на някои от най-важните въпроси, а именно какви знания трябва да притежава едно Длъжностно лице по защита на данните, кой може да бъде назначен на тази позиция и кои компании ще са задължени да имат такива служители.

Рецитал 77 и членове 39.2 и 35.2 от Регламента изискват от Длъжностното лице по защита на данните да предлага насоки относно оценките на риска, противодействието и оценката на въздействието върху защитата на данните в организацията, в която работи или обслужва. Това значи, че неминуемо то трябва да има познания както в областта на методиката за оценка на риска, така и технически познания.

От друга страна, рецитал 97 и членове 37.1, 37.5 и 38.5 от Регламента уточняват, че Длъжностно лице по защита на данните следва да е "лице с експертни познания в областта на правото и практиките за защита на данните".

Предвижда се задачите и отговорностите на Длъжностното лице по защита на данните да са доста обширни. Това е и причината в Регламента да се предвиждат гаранции за неговата независимост и самостоятелност. В член 38.3 от Регламента се казва, че Длъжностното лице по защита на данните "не получава инструкции относно упражняването на своите задачи и директно докладва на най-високото ниво на управление на администратора". От тази разпоредба може да се направи изводът, че Длъжностното лице по защита на данните трябва да присъства и в управителния борд на организацията.

Тази комбинация от отговорности и широки правомощия поставя лицата, които ще заемат въпросната длъжност, на изключително високо ниво в йерархията на всяка една компания или институция.

Задълженията на Длъжностното лице по защита на данните не са малко и лицето, което ще заема тази длъжност, трябва да е с изключително широки познания в сферите на правото, да е запознато с националното и европейското законодателство в областта на защитата на личните данни, както и да има добра техническа култура.

Регламентът препоръчва, лицата, заемащи тази позиция, да имат широк опит в бизнеса, за да познават индустриите на администратора на данни достатъчно добре, за да знаят как трябва да се прилагат законовите изисквания по повод защитата на личните данни, за да се интегрират гладко с начина, по който всяка компания е структурирана и работи. Една от основните задачи на Длъжностното лице по защита на данните е описана в чл. 38.4 от Регламента, който позволява на субектите да се свържат с Длъжностното лице по защита на данните "по отношение на всички въпроси, свързани с обработката на личните им данни и упражняването на техните права". Т.е., предвижда се Длъжностното лице по защита на данните да се занимава лично с искания и оплаквания на субектите. Друга вменена му отговорност е "да сътрудничат на надзорния орган (...) и да действат като контактна точка за надзорния орган по въпроси, свързани с обработката." (чл. 39.1 от Регламента).

До скоро сред бизнеса беше разпространена погрешната идея, че лица, които са назначени на други позиции в отдели като "Правен", "Човешки ресурси" или "ИТ" могат паралелно с другите си задачи да извършват и тази дейност. Регламентът предвижда изрично, че "такива задачи и задължения не следва да водят до конфликт на интереси". Например, Длъжностно лице по защита на данните, което също така контролира сигурността на информацията, има конфликт, когато оценките и процедурите за оценка на риска за сигурността се оценяват съгласно ролята му на Длъжностно лице по защита на данните. То не може да бъде и част от юридическия отдел или отдела "Човешки ресурси", поради същите причини. Длъжностното лице по защита на данните трябва да бъде изцяло посветено на тази си длъжност или ролята да бъде възложена на външно, независимо Длъжностното лице по защита на данните.

В същото време Регламентът дава възможност администраторите да изберат дали да назначат такова лице във вътрешната си структура или да делегират тази работа на външен изпълнител (outsourcing). Тази възможност е изключително полезна за бизнеса, тъй като би спестила най-малкото разходите за първоначално и последващо обучение на такива лица.

Кои администратори на лични данни следва задължително да назначат или да имат сключен договор с външно Длъжностно лице по защита на данните?

В чл.37.1 от Регламента се предвиждат три специфични случаи, в които е задължително назначаването или наемането на Длъжностно лице по защита на данните. Това са, първо, когато обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;

На второ място, основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни. На трето място, ако основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни, съгласно чл. 9 от Регламента и на лични данни, свързани с присъди и нарушения, по чл. 10 от Регламента.

Тези определения са доста общи, което е и причината Работната група по чл. 29 (Article 29 Data Protection Working Party) да излезе с разяснения по повод на тези изисквания. В настоящата статия ще разгледаме дадените разяснения главно по повод на термина "мащабно обработване" или "large scale", който считаме за най-неясен към настоящия момент. Този термин се среща в две от изискванията, а именно член 37(1) (b) и (c) от Регламента.

В същото време, там не се дава дефиниция на това понятие, въпреки че Рецитал 91 дава някои насоки по този повод. Работната  група в разясненията си казва, че не е възможно да се даде точна цифра, било то за количеството данни, които се обработват или за броя лица, чиито лични данни се обработват, която да се приеме за общовалидна граница. Това не изключва възможността за в бъдеще подобна цифра да бъде възприета от практиката. Факторите, които Работната група препоръчва да бъдат взимани предвид при оценка на този обем, са няколко. Някои от тях са броят на лицата, чиито лични данни се обработват, обемът на информация, продължителността на обработването на информацията, географският обхват на дейността, обработването на личните данни на пациентите в нормалния ход на работата на болница, обработване на информация за локацията в реално време за статистически цели за международни вериги за бързо хранене, обработване на лични данни в хода на нормалната дейност на застрахователните компании, обработване на лични данни за целите на поведенчески маркетинг, провеждан от интернет търсачките, обработване на личните данни на пациенти от личните лекари, обработване на лични данни във връзка с присъди от страна на адвокати.              

В заключение, следва да се отбележи, че Работната група изрично посочва, че нищо не пречи дадена организация, която не попада в хипотезите, посочени в Регламента като организация, задължена да назначи Длъжностно лице по защита на данните, да има такова.

В Регламента се предвиждат още редица промени по повод на боравенето с лични данни, но към настоящия момент има още неясноти и въпроси без отговор, които ще бъдат изяснявани след влизането му в сила и започването на прилагането му от държавите-членки. 

*Авторът е основател на Международен правен център (ILAC), Алианс за защита на личните данни (DPA.BG) експерт по дигитално право. 

Още по темата

Президентът също сезира Конституционния съд за Закона за частната охранителна дейност

Предишна новина

12 и 13,4 години затвор за убийството на варненски таксиметров шофьор

Следваща новина

Коментари

3 Коментара

 1. 3
  | нерегистриран
  3
  -2

  Идеята е цялата информация да се концентрира в едни ръце, та да може по-лесно да се дърпа. Защото ако е пръсната между няколко човека, при необходимост да се източат лични данни някои може да се навият, а други не.  То е като в родната правосъдна система - има системен администратор, който може да точи данни от компютъра на всеки магистрат, без магистрата изобщо да подозира, че е изтекло цялото му дело.

 2. 2
  DPO | нерегистриран
  9
  0

  Няколко правно-технически бележки на иначе добрата статия:

  Регламентът е влязъл в сила, но ще започне да се прилага от 25 май 2018

  Рециталите всъщност се наричат "съображения". 3. 1
  Адвокатът с ватенката | нерегистриран
  24
  -1

  Пак едни пари ще трябва да се харчат. задължителни одитори, служби по трудова медицина, директори за връзки с инвеститорите, строителни надзори, сега тези, след време навярно и длъжностно лице по сексуална ориентация и равнопоставеност на пола и какво ли още!

Твоят коментар

Сайтът е защитен с reCaptcha. Политика за лични данни.