Длъжностното лице по защита на данните (ДЛЗД) е нова фигура, която GDPR въвежда на помощ на организациите в процеса по управление на защитата на личните данни. ДЛЗД е призвано да бъде своеобразен „отговорник“ по всички въпроси, свързани със защитата на личните данни в предприятието – от даването на разяснения и съвети на служителите и ръководството, през осъществяването на контрол върху процесите по обработване на данните, до функционирането като единна точка за контакт за надзорните органи и лицата, чиито данни се обработват.
Ако по сега действащия режим предприятията имаха възможност по своя преценка да назначат т.нар. „лице по защита на личните данни“, то с GDPR за първи път назначаването на подобен отговорник по защитата на личните данни става задължение за организациите (администратори и обработващи лични данни). Според GDPR задължение за назначаване на ДЛЗД възниква, ако:
- обработването се извършва от публичен орган или структура (с някои малки изключения за съдебните функции на съдилищата);
- основните дейности на организацията се състоят в:
- операции по обработване, които изискват редовно и систематично мащабно наблюдение на субектите на данни. За „мащабно“ се приема напр. обработването на пациентски данни в болниците; на данни за пътувания на физически лица, използващи системата на обществен транспорт на даден град; на клиентски данни от застрахователни дружества и банки; на лични данни от търсачка с цел поведенческа реклама; на данни (съдържание, трафик, местоположение) от доставчици на телефонни или интернет услуги и др. „Редовно и систематично“ пък е наблюдението, когато се осъществяват дейности като експлоатация на далекосъобщителна мрежа; предоставяне на далекосъобщителни услуги; пренасочване на електронни съобщения, основани на данни маркетингови дейности; профилиране и оценяване за целите на оценка риска (кредитоспособност, изчисляване на застрахователни премии, предотвратяване на измами и пране на пари); проследяване на местоположението чрез мобилни приложения; програми за лоялност; поведенческа реклама; вътрешна система за видеонаблюдение и др. под.[1];
- мащабно обработване на специални по смисъла на GDPR категории данни (напр. данни за расов или етнически произход; данни за здравословното състояние, сексуалния живот и сексуалната ориентация; генетични данни; биометрични данни като пръстови отпечатъци, лицеви характеристики, очен ирис, ретина и др.) или лични данни, свързани с присъди/ нарушения.
Освен в посочените случаи, държавите членки могат да предвидят и други изисквания за назначаване на ДЛЗД. Според информация, достъпна на сайта на българската Комисия за защита на личните данни, ДЛЗД трябва да се назначи и ако организацията обработва лични данни на над 10 000 физически лица[2]. Дори когато назначаването на ДЛЗД не е задължително, GDPR допуска организациите доброволно да определят такова – назначаването на ДЛЗД може да бъде успешен маркетингов и репутационен ход, а също и ефикасен начин за изпълнение на някои обременяващи задължения. Ако предприятието, дори да няма такова задължение, назначи ДЛЗД, то следва да спазва всички правила на GDPR относно тази позиция, включително осигуряването на независимост.
ДЛЗД трябва да притежава задълбочени експертни познания относно законодателството и практиката на защитата на личните данни. Едно ДЛЗД може да бъде назначено за група предприятия (ако всяко от тях има лесен достъп до ДЛЗД) или за няколко публични органа/ структури, като се отчита организационната им структура и размер. GDPR допуска ДЛЗД да бъде член на персонала на организацията или да бъде външен изпълнител по договор за услуги. Въпрос на преценка за всяка организация с оглед специфичния ѝ начин на функциониране е как най-целесъобразно да се ангажира ДЛЗД. Ако ДЛЗД ще бъде член на персонала, то не може да съвместява други функции, които са в конфликт на интереси с функциите му на ДЛЗД. Така напр. главният изпълнителен директор, мениджърът „Човешки ресурси“, главният финансов директор или ръководителят на ИТ отдела не може да действат като ДЛЗД, защото ще трябва сами да контролират себе си. ДЛЗД трябва да бъде „независимо“ – то е подчинено само на най-висшето ръководство на организацията и не може да бъде освободено от длъжност или санкционирано по причини, свързани с изпълнение на своите задачи (напр. за даване на съвет на администратора да извърши оценка на въздействието, защото ДЛЗД счита дадена операция по обработвана на данни за особено рискова).
Правилата за ДЛЗД трябва да бъдат взети сериозно, защото нарушаването им може да доведе до глоба от 10 милиона евро или 2% от общия световен годишен оборот за предходната финансова година на предприятието, което от двете е по-високо. Ако се използва правилно, фигурата на ДЛЗД може да бъде мощен инструмент за постигане и поддържане на съответствие с новите правила.
[1] Вж. в този смисъл Насоки за длъжностните лица по защита на данните („ДЛЗД“) на Работната група по чл. 29, достъпни на следния интернет адрес: http://ec.europa.eu/newsroom/document.cfm?doc_id=44100
[2] Вж. Десет практически стъпки за прилагане на Общия регламент за защита на данните на КЗЛД, достъпни на следния интернет адрес: https://www.cpdp.bg/?p=element&aid=1109/
Екипът на „Димитров, Петров и Ко.
Настоящият материал е изготвен от екипа на Адвокатско дружество Димитров, Петров & Ко. и е предназначен за клиенти и партньори на дружеството, както и за други читатели с интереси в областта на правото и защитата на личните данни.
Информацията и становищата, съдържащи се в материала, не съставляват изчерпателен и детайлен анализ на разгледаните правни въпроси.
Представените анализи и други информационни материали нямат характера на правен съвет или консултация, и не следва да бъдат възприемани като достатъчни за разрешаването на конкретни правни проблеми, казуси и др. Всички материали, съдържащи се в електронния блог на Димитров, Петров & Ко. са обект на закрила по ЗАПСП. Всяко изменение, публикуване, разпространяване и др. подобни без изричното предварително съгласие на Димитров, Петров & Ко. е забранено.