Длъжностно лице по защита на личните данни съгласно Регламент (ЕС) 2016/679

Новият регламент за защита на личните данни въведе фигурата на т.нар. длъжностно лице по защита на данните. Основната роля на служителя по защита на данните е да гарантира, че съответния администратор обработва личните данни на своите служители, клиенти, доставчици или други лица (наричани още субекти на данни) в съответствие с приложимите правила за защита на данните. Следва да се посочи, че в България и до сега съществуваше правна възможност за назначаване на лице по защита на личните данни, която произтичаше от разпоредбата на чл. 18 от Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни. За първи път обаче определянето на такова длъжностно лице произтича от акт със сила на закон и става задължително в изрично определени в Регламента случаи. Съгласно чл. 37 от Регламента определени категории администратори и обработващи лични данни задължително да определят длъжностно лице по защита на данните, а именно:
- Публични органи или структури, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
- Администратори, чиято дейност, поради своето  естество, обхват  и цели, изискват редовно и систематично мащабно  наблюдение  на субектите  на данни;
- Администратори, чиито основни дейности се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения.

Във връзка с така определените групи администратори възникват няколко въпроса – първо какво обхваща като съдържание понятието „публичен орган“, „основни дейности“, „мащабно обработване“.

Регламентът не определя какво представлява "публичен орган или орган". Следователно съдържанието на същото би следвало да се определи съгласно националното законодателство, макар че в сега действащата законодателна уредба липсва изрично определение на понятието. Същото би могло да се изведе по тълкувателен път. Така например в чл. 3 от Закона за публичните финанси е дадено легално определение на понятието „публични финанси“ - система за осигуряване и финансиране на публични блага и услуги, преразпределение и трансфериране на доходи и акумулиране на ресурси от бюджетните организации чрез приходи, помощи и дарения, реализация на финансови активи и поемане на дълг. Като в Допълнителните разпоредби на същия нормативен акт е определено съдържанието и на „бюджетна организация“ - всички юридически лица, чиито бюджети се включват в държавния бюджет, в бюджетите на общините, в бюджетите на социалноосигурителните фондове, както и всички останали юридически лица, чиито средства, постъпления и плащания се включват в консолидираната фискална програма по силата на нормативен акт или по реда на чл. 171.Следователно почти всички организации на бюджетна издръжка по своята същност могат да се определят като публични органи.


Въпреки това "основни дейности" не следва да се тълкуват като изключващи дейности, при които обработването на данни представлява неразделна част от дейността на администратора или преработвателя. Например основната дейност на болницата е да осигурява здравни грижи. Болницата обаче не може да осигури безопасно и ефективно здравеопазване без да обработва данни за здравето, като здравни досиета на пациентите. Поради това обработването на тези данни трябва да се счита за една от основните дейности на болницата, поради което болниците трябва да определят длъжностно лице по защита на данни.

Като друг пример, частна охранителна фирма извършва наблюдение на редица частни търговски центрове и обществени пространства. Наблюдението е основната дейност на компанията, която от своя страна е неразривно свързана с обработката на лични данни. Следователно, тази фирма трябва да определи и ДЗД.

От друга страна, всички организации извършват определени дейности, например, като плащат своите служители или имат стандартни дейности по ИТ поддръжка. Това са примери за необходимите функции за подпомагане на основната дейност или основната дейност на организацията. Въпреки че тези дейности са необходими или съществени, те обикновено се разглеждат като спомагателни функции, а не като основна дейност.

Примери за мащабна обработка включват:
- обработка на данните за пациентите в нормалния ход на бизнес от болница;
- обработка на данни за пътуване на лица, използващи система за обществен транспорт в града (напр. Проследяване чрез туристически карти);
- обработка на данни за географско местоположение в реално време на клиенти на международна заведения за бързо хранене верига за статистически цели от специалист, специализиран в предоставянето на тези услуги;
- обработка на данни за клиентите в обичайния ход на дейност от застрахователна компания или банка;
- обработка на лични данни за поведенческа реклама от търсачка;
- обработка на данни (съдържание, трафик , местоположение) от доставчици на телефонни или интернет услуги.

 
Примери, които не представляват мащабна обработка, включват:
- обработка на данни за пациентите от отделен лекар;
- обработка на лични данни, свързани с осъдителни присъди и престъпления от отделен адвокат.

Примери за дейности, които могат да представляват редовен и систематичен мониторинг на субектите на данни: експлоатация на телекомуникационна мрежа; предоставяне на телекомуникационни услуги; пренасочване на имейл; маркетингови дейности, базирани на данни; профилиране и оценяване за целите на оценката на риска (например за целите на кредитния скок, установяване на застрахователни премии, предотвратяване на измами, откриване на пране на пари); проследяване на местоположенията, например от мобилни приложения; програми за лоялност; поведенческа реклама; мониторинг на уелнес, фитнес и здравни данни чрез устройства за носене; затворена телевизионна система; свързани устройства, напр. интелигентни измервателни уреди, интелигентни автомобили и др.

В останалите случаи извън посочените по-горе администраторите на лични данни преценяват дали доброволно да определят лице по защита на данните. Но имайки предвид, че това е лице, натоварено с консултативни функции в областта на защитата на личните данни, надзор по спазването на регламента в организацията на администратора и повишаването на осведомеността и обучението на персонала, е добре да се направи анализ на причините за и или против определянето му от страна на администратора на лични данни. 

 
Регламента не предвижда специални изисквания  по отношение на образование например към лицето по защита на данни. Достатъчно е да притежава задълбочени експертни познания в областта на законодателството и практиката на защитата на личните данни. Лицето по защита на личните данни може да бъде част от персонала, но може и да е външен субект, който изпълнява своите задължения въз основа на сключен договор – например договор за услуги, сключен с физическо лице или организация извън организацията на администратора / преработвателя. За целите на правната яснота и добрата организация и за предотвратяване на конфликти на интереси за членовете на екипа се препоръчва да има ясно разпределение на задачите в екипа на ДЗД и да се назначи едно лице като водещ контакт и "за всеки клиент“. По принцип би било полезно да се посочат тези точки в договора за услуги.

В случаите, когато длъжностното лице е част от персонала на администратора на лични данни, същото да изпълнява и други функции в рамките на организацията. Условията, при които се определя или назначава лице по защита на личните данни, са изцяло в преценката на администратора на лични данни, като основното което следва да се съблюдава е наличието на „конфликт на интереси“. Липсата на конфликт на интереси е тясно свързана с изискването за действие по независим начин. Въпреки че на ДЗД се разрешава да изпълняват други функции, те могат да бъдат натоварени само с други задачи и задължения, при условие че те не водят до конфликт на интереси. Това по-специално означава, че ДЗД не може да заема позиция в организацията, която го кара да определя целите и средствата за обработка на лични данни. Поради специфичната организационна структура във всяка организация, това трябва да се разглежда поотделно.


В изпълнение на своите задължения ДЗД действа по независим начин, това означава че същите не трябва да бъдат инструктирани как да се занимават с въпрос, например какъв резултат трябва да бъде постигнат, как да разследва жалба или дали да се консултира с надзорния орган. Освен това, те не трябва да бъдат инструктирани да приемат определено мнение за проблем, свързан със закона за защита на данните, например конкретно тълкуване на закона. Автономията на ДЗД обаче не означава, че те имат правомощия за вземане на решения, които надхвърлят техните задачи съгласно член 39 от Регламента. Администраторът на лични данни остава отговорен за спазването на законодателството за защита на данните и трябва да може да доказва съответствие. Ако администраторът взема решения, които са несъвместими с препоръките на ДЗД, на ДЗД следва да бъде дадена възможност да направи своето несъгласие ясно до най-висшето управленско ниво и до тези, които взимат решенията. В това отношение член 38 от Регламента предвижда, че ДЗД "докладва директно на най-високото ниво на управление на администратора или преработвателя". Такова директно отчитане гарантира, че висшето ръководство (напр. Бордът на директорите) е наясно с препоръките и препоръките на ДЗД като част от мисията на ДЗД да информира и съветва администратора или преработвателя. Друг пример за директно отчитане е изготвянето на годишен доклад за дейностите на ДЗД, предоставени на най-високо управленско ниво.

Друга своеобразна гаранция за изпълнението на задълженията на ДЗД е липса на уволнение или наказание от страна на администратора за изпълнението на задачите на ДЗД.Например ДЗД може да сметне, че определена обработка е вероятно да доведе до висок риск и да посъветва администратораили обработващия да извърши оценка на въздействието върху защитата на данните, но администраторът или обработващия не са съгласни с оценката на ДЗД. В такава ситуация ДЗД не може да бъде отхвърлен за предоставянето на този съвет. Санкциите могат да приемат различни форми и могат да бъдат преки или косвени. Те могат да се състоят например в отсъствие или забавяне на повишението; предотвратяване на професионалното развитие; отричане от обезщетения, които получават други служители. Не е необходимо тези санкции действително да се изпълняват, а само заплахата е достатъчна, стига те да бъдат използвани за санкциониране на ДЗД на основания, свързани с неговите дейности по ДЗД.

Регламентът предвижда възможност едно лице по защита на данните да отговаря за няколко структури т.нар. съвместно ДЗД, при условие, че той е „леснодостъпен от всяко предприятие“. За да се гарантира, че длъжностното лице,вътрешно или външно, е достъпно следва да се налице данните за контакт, които се публикуват  и се съобщават на съответния надзорен орган. На практика това означава, че ДЗД следва да комуникира  със субектите на данни и съответно да си сътрудничи със съответните надзорни органи на езиците използвани от тях.

Видно от изискванията на Регламента като фигура длъжностното лице за защита на данни се явява важна част от организацията на администраторите съответно преработващите лични данни, която улеснява и подпомага спазването на нормативните изисквания при обработката на лични данни.