Автор: Преслав Балджиев
С влизането в сила на Общия регламент за защита на лични данни (ОРЗД) се създадоха няколко нови фигури, една от които е Длъжностното лице по защита на лични данни.
Какво е Длъжностно лице по защита на лични данни?
Длъжностното лице по защита на лични данни е вътрешна или външна структура, която е изцяло посветена на защитата на обработваните лични данни – дава указания и препоръки, провежда обучения на персонала на Администратора на/Обработващия лични данни и следи за спазването на изискванията, заложени в ОРЗД. Най-често определянето на Длъжностното лице по защита на лични данни става доброволно, с изключение на посочените в ОРЗД случаи, а именно:
- Публични органи или структури, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
- Администратори, чиято дейност, поради своето естество, обхват и цели, изискват редовно и систематично мащабно наблюдение на субектите на данни;
- Администратори, чиито основни дейности се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения.
Длъжностното лице по защита на лични данни може да бъде назначенo, както от една структура, така и от няколко, стига въпросните организации да имат лесен достъп до длъжностното лице.
Изисквания при назначаването на Длъжностното лице по защита на данни
Когато даден Администратор на/Обработващ лични данни назначи Длъжностно лице по защита на лични данни, независимо дали е задължен да го направи или не, то той трябва да се съобрази със следните изисквания залегнали в ОРЗД:
- Необходимо ниво на опит – Нивото на опит се определя от вида, обема и чувствителността на личните данни, които ще бъдат обработвани.
- Необходими професионални качества – Не са посочени изрично. Под професионални качества трябва да се разбира: познания в областта на защитата на лични данни, познания на съответното Национално и Европейско законодателство
- Публичност и Достъпност – Данните на Длъжностното лице по защита на лични данни трябва да бъдат публични и представени по такъв начин, че всеки субект на лични данни или Надзорен орган да може лесно и директно да се свърже с Длъжностното лице. Член 37, параграф 7 ОРЗД предвижда данните на Длъжностното лице по защита на данни да бъдат предоставени на съответния Надзорен орган. Задължително е да се съобщи името на Длъжностното лице единствено пред Надзорния орган (такова изискване няма, ако информацията се предоставя на субектите на лични данни). Няма ограничение за местонахождението на Длъжностното лице по защита на лични данни – то може да бъде на територията на ЕС, както и държава, която е външна за Общността.
- Да няма конфликт на интереси – ОРЗД позволява на едно лице да съвместява функциите на Длъжностно лице по защита на лични данни с други функции, стига те да не си противоречат. Противоречие би имало, ако Длъжностното лице е и част от висшето ръководство на организацията (това означава, че Длъжностното лице по защита на лични данни ще отговаря пред себе си, тъй като то отговаря единствено пред висшето ръководство на организацията).
Изисквания към организациите
Назначаването на Длъжностното лице по защита на лични данни е двустранен процес, в който Администраторът на/Обработващият лични данни трябва да спази определени изисквания. Тези изисквания могат да бъдат сведени до:
- Осигуряване на независимост на Длъжностното лице по защита на лични данни – Длъжностното лице е задължено да действа независимо и да не се влияе от Администратора на/Обработващия лични данни при изпълнение на своите функции (член 39, параграф 2 ОРЗД). Наравно с това Администраторът на/Обработващият лични данни няма право да освобождава от длъжност или санкционира Длъжностното лице по защита на лични данни „при изпълнение на своите задачи“ (член 38, параграф 3 ОРЗД).
- Ангажираност на Длъжностното лице по защита на лични данни при въпроси, свързани със защита на лични данни – Администраторите на/Обработващите лични данни са длъжни да гарантират, че Длъжностното лице по защита на лични данни ще „участва по подходящ начин и своевременно във всички въпроси, свързани със защитата на личните данни“.
- Осигуряване на необходимите ресурси – Администраторите на/Обработващите лични данни са длъжни да подпомагат назначените от тях Длъжностни лица като им „осигуряват ресурсите, необходими за изпълнението на тези задачи, и достъп до личните данни и операциите по обработване, а така също поддържат неговите експертни знания“. Такива ресурси могат да бъдат: предоставяне на необходимото време за изпълнение на задълженията, предоставяне на необходимата информация, сформирането на екип, ръководен от Длъжностното лице по защита на лични данни и прочие.
Задължения на Длъжностното лице по защита на лични данни
- Да следи за спазването на Законодателството – Длъжностното лице по защита на лични данни е фигурата, която трябва да следи дали Администраторът на/Обработващият лични данни спазва съответното Национално и Европейско законодателство, най-вече ОРЗД.
- Да подпомага дейностите, свързани с обработване на лични данни – Важно уточнение е, че Длъжностното лице по защита на лични данни само по себе си не обработва лични данни, така както биха го правили Администратор на/Обработващ лични данни. Функцията на длъжностното лице е свързана с осигуряване на гаранции и препоръки, касаещи обработката на лични данни. Пример за това е препоръката, която Длъжностното лице по защита на данни дава на Администратора на/Обработващия лични данни при извършване на Оценка на въздействие върху защитата на данните.
- Да сътрудничи на Надзорния орган и да действа като Точка за контакт – Това задължение произхожда от изискването за „Публичност и прозрачност“.
Този материал, изготвен от Преслав Балджиев, има за цел да предостави информация относно длъжностно лице по защита на лични данни. Материалът не представлява правно становище и не може да бъде разглеждан като индивидуална консултация, отчитаща спецификите на конкретни факти и обстоятелства. За всеки конкретен случай, следва да се потърси професионален съвет от специалист в тази област на правото. За допълнителна информация по засегнатите по-горе въпроси, както и за индивидуална консултация, можете да се свържете с екипа на кантората на адвокат Красимира Кадиева на 00359 882 308 670 или да направите запитване чрез формата за контакт на този уеб сайт. От 2017 година Преслав Балджиев е студент по право в Софийски университет „Св. Климент Охридски“, като преди това завършва Природо-математическа гимназия „Акад. Никола Обрешков“ в гр. Бургас. През февруари 2020 година преминава курс за представители по индустриална собственост в Патентното ведомство на Република България в областта на марките, географските означения и промишлените дизайни. Проявява интерес към интелектуалната собственост, защитата на лични данни, търговското и облигационно право като също така регулярно посещава конференции, практически курсове, семинари и уебинари. Владее отлично английски език.