Този сайт използва т.нар. бисквитки (Cookies), съгласно разпоредбите на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета, за да Ви осигури най-функционалното посещение на нашия сайт. "Бисквитките" ни помагат да подобряваме съдържанието на сайта, като Ви даваме персонализирано и много по-бързо онлайн изживяване. Те се използват само от нашия сайт и нашите доверени партньори. Кликнете ТУК за подробности относно правилата за "бисквитките".
Този сайт използва т.нар. бисквитки (Cookies), съгласно разпоредбите на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета, за да Ви осигури най-функционалното посещение на нашия сайт. "Бисквитките" ни помагат да подобряваме съдържанието на сайта, като Ви даваме персонализирано и много по-бързо онлайн изживяване. Те се използват само от нашия сайт и нашите доверени партньори. Кликнете ТУК за подробности относно правилата за "бисквитките". Съгласен съм
X

Влизане в акаунта

Запомни ме

Забравена парола? Кликнете тук, за да възстановите потребител / парола

Нямате профил?
X

Възстановяване на потребилетско име/ парола

Моля, въведете имейл адреса, който сте използвали, за да регистрирате профила си.

Влезте в системата Регистрирай се

Длъжностно лице по защита на личните данни съгласно Регламент (ЕС) 2016/679

адв. Румяна Пенчева Отговор, предоставен от
адв. Румяна Пенчева
Новият регламент за защита на личните данни въведе фигурата на т.нар. длъжностно лице по защита на данните. Основната роля на служителя по защита на данните е да гарантира, че съответния администратор обработва личните данни на своите служители, клиенти, доставчици или други лица (наричани още субекти на данни) в съответствие с приложимите правила за защита на данните. Следва да се посочи, че в България и до сега съществуваше правна възможност за назначаване на лице по защита на личните данни, която произтичаше от разпоредбата на чл. 18 от Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни. За първи път обаче определянето на такова длъжностно лице произтича от акт със сила на закон и става задължително в изрично определени в Регламента случаи. Съгласно чл. 37 от Регламента определени категории администратори и обработващи лични данни задължително да определят длъжностно лице по защита на данните, а именно:
Публични органи или структури, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
- Администратори, чиято дейност, поради своето  естество, обхват  и цели, изискват редовно и систематично мащабно  наблюдение  на субектите  на данни;
- Администратори, чиито основни дейности се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения.

Във връзка с така определените групи администратори възникват няколко въпроса – първо какво обхваща като съдържание понятието „публичен орган“, „основни дейности“, „мащабно обработване“.

Регламентът не определя какво представлява "публичен орган или орган". Следователно съдържанието на същото би следвало да се определи съгласно националното законодателство, макар че в сега действащата законодателна уредба липсва изрично определение на понятието. Същото би могло да се изведе по тълкувателен път. Така например в чл. 3 от Закона за публичните финанси е дадено легално определение на понятието „публични финанси“ - система за осигуряване и финансиране на публични блага и услуги, преразпределение и трансфериране на доходи и акумулиране на ресурси от бюджетните организации чрез приходи, помощи и дарения, реализация на финансови активи и поемане на дълг. Като в Допълнителните разпоредби на същия нормативен акт е определено съдържанието и на „бюджетна организация“ - всички юридически лица, чиито бюджети се включват в държавния бюджет, в бюджетите на общините, в бюджетите на социалноосигурителните фондове, както и всички останали юридически лица, чиито средства, постъпления и плащания се включват в консолидираната фискална програма по силата на нормативен акт или по реда на чл. 171.Следователно почти всички организации на бюджетна издръжка по своята същност могат да се определят като публични органи.

„Основните дейности“ - могат да се разглеждат като ключови операции, необходими за постигане на целите на администратора или обработващия данни.

Въпреки това "основни дейности" не следва да се тълкуват като изключващи дейности, при които обработването на данни представлява неразделна част от дейността на администратора или преработвателя. Например основната дейност на болницата е да осигурява здравни грижи. Болницата обаче не може да осигури безопасно и ефективно здравеопазване без да обработва данни за здравето, като здравни досиета на пациентите. Поради това обработването на тези данни трябва да се счита за една от основните дейности на болницата, поради което болниците трябва да определят длъжностно лице по защита на данни.

Като друг пример, частна охранителна фирма извършва наблюдение на редица частни търговски центрове и обществени пространства. Наблюдението е основната дейност на компанията, която от своя страна е неразривно свързана с обработката на лични данни. Следователно, тази фирма трябва да определи и ДЗД.

От друга страна, всички организации извършват определени дейности, например, като плащат своите служители или имат стандартни дейности по ИТ поддръжка. Това са примери за необходимите функции за подпомагане на основната дейност или основната дейност на организацията. Въпреки че тези дейности са необходими или съществени, те обикновено се разглеждат като спомагателни функции, а не като основна дейност.

„Широк мащаб“ -  регламента не определя какво представлява мащабна обработка, липсва и методология за определянето й, но могат да се вземат предвид следните фактори например:
- Броят на засегнатите субекти на данни - като конкретен брой или като процент от съответната популация;
- Обемът на данните и/ или обема на различните обработвани данни;
- Продължителността или продължителността на дейността по обработка на данните;
- Географският обхват на обработващата дейност.

Примери за мащабна обработка включват:
- обработка на данните за пациентите в нормалния ход на бизнес от болница;
- обработка на данни за пътуване на лица, използващи система за обществен транспорт в града (напр. Проследяване чрез туристически карти);
- обработка на данни за географско местоположение в реално време на клиенти на международна заведения за бързо хранене верига за статистически цели от специалист, специализиран в предоставянето на тези услуги;
- обработка на данни за клиентите в обичайния ход на дейност от застрахователна компания или банка;
- обработка на лични данни за поведенческа реклама от търсачка;
- обработка на данни (съдържание, трафик , местоположение) от доставчици на телефонни или интернет услуги.
 
Примери, които не представляват мащабна обработка, включват:
- обработка на данни за пациентите от отделен лекар;
- обработка на лични данни, свързани с осъдителни присъди и престъпления от отделен адвокат.

"Редовен и систематичен мониторинг"понятието също не е определено в регламента, но ясно включва всички форми на проследяване и профилиране в интернет, включително за целите на поведенческата реклама. Понятието за мониторинг обаче не се ограничава до онлайн средата.

Наблюдението е  "редовно", когато е:
- Текущо или възникващо на определени интервали за определен период от време;
- Повтарящо се или повтарящи се в определени срокове;
- Постоянно или периодично се провежда. 
"Систематично" когато е:
- Възникнало по система;
- Предварително организирано, организирано или методично;
- Предприето като част от общ план за събиране на данни;
- Извършено като част от стратегия.

Примери за дейности, които могат да представляват редовен и систематичен мониторинг на субектите на данни: експлоатация на телекомуникационна мрежа; предоставяне на телекомуникационни услуги; пренасочване на имейл; маркетингови дейности, базирани на данни; профилиране и оценяване за целите на оценката на риска (например за целите на кредитния скок, установяване на застрахователни премии, предотвратяване на измами, откриване на пране на пари); проследяване на местоположенията, например от мобилни приложения; програми за лоялност; поведенческа реклама; мониторинг на уелнес, фитнес и здравни данни чрез устройства за носене; затворена телевизионна система; свързани устройства, напр. интелигентни измервателни уреди, интелигентни автомобили и др.

В останалите случаи извън посочените по-горе администраторите на лични данни преценяват дали доброволно да определят лице по защита на данните. Но имайки предвид, че това е лице, натоварено с консултативни функции в областта на защитата на личните данни, надзор по спазването на регламента в организацията на администратора и повишаването на осведомеността и обучението на персонала, е добре да се направи анализ на причините за и или против определянето му от страна на администратора на лични данни. 

Лицето по защита на личните данни има набор от задължения, сред които:
- Да информира и съветва администратора или обработващия лични данни и служителите, които извършват обработване, за техните задължения по силата на нормативните актове за защита на личните данни;
- Да наблюдава спазването на правилата за защита на личните данни и на политиките на администратора или обработващия лични данни по отношение на защитата на личните данни, включително възлагането на отговорности,   повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити;
- При поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката;
- Да си сътрудничи с надзорния орган;
- Да действа като точка за контакт за надзорния орган по въпроси, свързани с обработването, включително  предварителната консултация и по целесъобразност да се консултира по всякакви други въпроси.
 
Регламента не предвижда специални изисквания  по отношение на образование например към лицето по защита на данни. Достатъчно е да притежава задълбочени експертни познания в областта на законодателството и практиката на защитата на личните данни. Лицето по защита на личните данни може да бъде част от персонала, но може и да е външен субект, който изпълнява своите задължения въз основа на сключен договор – например договор за услуги, сключен с физическо лице или организация извън организацията на администратора / преработвателя. За целите на правната яснота и добрата организация и за предотвратяване на конфликти на интереси за членовете на екипа се препоръчва да има ясно разпределение на задачите в екипа на ДЗД и да се назначи едно лице като водещ контакт и "за всеки клиент“. По принцип би било полезно да се посочат тези точки в договора за услуги.

В случаите, когато длъжностното лице е част от персонала на администратора на лични данни, същото да изпълнява и други функции в рамките на организацията. Условията, при които се определя или назначава лице по защита на личните данни, са изцяло в преценката на администратора на лични данни, като основното което следва да се съблюдава е наличието на „конфликт на интереси“. Липсата на конфликт на интереси е тясно свързана с изискването за действие по независим начин. Въпреки че на ДЗД се разрешава да изпълняват други функции, те могат да бъдат натоварени само с други задачи и задължения, при условие че те не водят до конфликт на интереси. Това по-специално означава, че ДЗД не може да заема позиция в организацията, която го кара да определя целите и средствата за обработка на лични данни. Поради специфичната организационна структура във всяка организация, това трябва да се разглежда поотделно.

Като правило, противоречивите позиции в организацията могат да включват висши ръководни длъжности (като главен изпълнителен директор, главен оперативен директор, главен финансов директор, главен медицински директор, ръководител на отдела по маркетинг, ръководител на отдел "Човешки ресурси" или ръководител на отделите за информационни технологии) ролите са по-ниски в организационната структура, ако тези позиции или роли водят до определяне на целите и средствата за обработка. Освен това може да възникне конфликт на интереси, например, ако от външен служител по защита на данните се изисква да представлява администратора или преработвателя пред съдилищата в случаи, засягащи въпроси, свързани със защитата на данните.
В зависимост от дейностите, размера и структурата на организацията, може да бъде добра практика за администраторите:
- да се определят позициите, които биха били несъвместими с функциите на ДЗД
- да се изготвят вътрешни правила за това, за да се избегнат конфликтите на интереси
- да се включи по-общо обяснение за конфликтите на интереси- да се обяви, че техният ДЗД няма конфликт на интересите по отношение на неговата функция на ДЗД като начин за повишаване на осведомеността относно това изискване
- да включи предпазни мерки във вътрешните правила на организацията и да гарантира, че обявата за свободна длъжност за длъжността на ДЗД или договора за услуги е достатъчно точна и подробно, за да се избегне конфликт на интереси. В този контекст следва също така да се има предвид, че конфликтите на интереси могат да приемат различни форми в зависимост от това дали ДЗД се набират вътрешно или външно.

В изпълнение на своите задължения ДЗД действа по независим начин, това означава че същите не трябва да бъдат инструктирани как да се занимават с въпрос, например какъв резултат трябва да бъде постигнат, как да разследва жалба или дали да се консултира с надзорния орган. Освен това, те не трябва да бъдат инструктирани да приемат определено мнение за проблем, свързан със закона за защита на данните, например конкретно тълкуване на закона. Автономията на ДЗД обаче не означава, че те имат правомощия за вземане на решения, които надхвърлят техните задачи съгласно член 39 от Регламента. Администраторът на лични данни остава отговорен за спазването на законодателството за защита на данните и трябва да може да доказва съответствие. Ако администраторът взема решения, които са несъвместими с препоръките на ДЗД, на ДЗД следва да бъде дадена възможност да направи своето несъгласие ясно до най-висшето управленско ниво и до тези, които взимат решенията. В това отношение член 38 от Регламента предвижда, че ДЗД "докладва директно на най-високото ниво на управление на администратора или преработвателя". Такова директно отчитане гарантира, че висшето ръководство (напр. Бордът на директорите) е наясно с препоръките и препоръките на ДЗД като част от мисията на ДЗД да информира и съветва администратора или преработвателя. Друг пример за директно отчитане е изготвянето на годишен доклад за дейностите на ДЗД, предоставени на най-високо управленско ниво.

Друга своеобразна гаранция за изпълнението на задълженията на ДЗД е липса на уволнение или наказание от страна на администратора за изпълнението на задачите на ДЗД.Например ДЗД може да сметне, че определена обработка е вероятно да доведе до висок риск и да посъветва администратораили обработващия да извърши оценка на въздействието върху защитата на данните, но администраторът или обработващия не са съгласни с оценката на ДЗД. В такава ситуация ДЗД не може да бъде отхвърлен за предоставянето на този съвет. Санкциите могат да приемат различни форми и могат да бъдат преки или косвени. Те могат да се състоят например в отсъствие или забавяне на повишението; предотвратяване на професионалното развитие; отричане от обезщетения, които получават други служители. Не е необходимо тези санкции действително да се изпълняват, а само заплахата е достатъчна, стига те да бъдат използвани за санкциониране на ДЗД на основания, свързани с неговите дейности по ДЗД.

Регламентът предвижда възможност едно лице по защита на данните да отговаря за няколко структури т.нар. съвместно ДЗД, при условие, че той е „леснодостъпен от всяко предприятие“. За да се гарантира, че длъжностното лице,вътрешно или външно, е достъпно следва да се налице данните за контакт, които се публикуват  и се съобщават на съответния надзорен орган. На практика това означава, че ДЗД следва да комуникира  със субектите на данни и съответно да си сътрудничи със съответните надзорни органи на езиците използвани от тях.

Видно от изискванията на Регламента като фигура длъжностното лице за защита на данни се явява важна част от организацията на администраторите съответно преработващите лични данни, която улеснява и подпомага спазването на нормативните изисквания при обработката на лични данни.
 

БЕЗПЛАТНО приложение portaltrznormativi.bg

ТРЗ експертите съветват: 12 най-четени казуса и техните решения

Бъдете в крак с всички решения, предложени от специалистите.
Абонирайте се сега в бюлетина на PortalTRZnormativi.bg и получете специален PDF "ТРЗ експертите съветват: 12 най-четени казуса и техните решения"!

Да, искам информация за продуктите на РС Издателство и Бизнес консултации. Приемам личните ми данни да бъдат обработвани съгласно Регламент ЕС 2016/679

x