Въпрос: Как да се попълни уведомлението към КЗЛД за определяне на длъжностно лице по защита на данните, когато юридическото лице е микропредприятие и дали управителят на съответното предприятие може да бъде длъжностното лице?
Независимо в коя сфера работите Общият регламент относно защита начините данни (GDPR) е едно от основните неща, за които трябва да бъдете внимателни. Глобите при нарушения са големи и касаят не само Вас, но и цялата фирма.
За да бъдете спокойни, на Ваша помощ идва едно ръководство в електронен формат, а именно – “GDPR – отговори на въпроси от практиката 2021” с подбрани експертни решения на казуси, възникнали в практиката на колегите Ви през настоящата 2021-ва година. Ръководството включва и ➪ Становище на КЗЛД по някои често поставяни въпроси относно допустимите форми на контрол на достъпа в учебните заведения. Вземете го в удобен електронен формат тук >>
А ето и отговора на доц. д-р Андрей Александров по въпроса за уведомяване на КЗЛД за определеното длъжностно лице по защита на данните:
Длъжностното лице по защита на данните (ДЛЗД) е „отговорник“ по всички въпроси, свързани със защитата на личните данни в организацията на администратора или на обработващия лични данни. Това е служител на администратора/обработващия или външно за организацията лице, натоварено с консултативни функции в областта на защитата на личните данни, надзор по спазването на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общия регламент за защита на данните или ОРЗД) и вътрешното законодателство по защита на личните данни в организацията, както и повишаването на осведомеността и обучението на персонала.
По смисъла на Регламента могат да се обособят две групи случаи на определяне на ДЛЗД. При първата от тях то представлява правно задължение и евентуалното му неизпълнение може да доведе до налагане на санкции на задължените лица. Във втората група случаи определянето на ДЛЗД става по избор на съответната организация, с цел да се оптимизира защитата на обработваните лични данни. Независимо дали определянето на ДЛЗД е било задължително или е предприето от организацията доброволно, неговите статут и функции са еднакви.
Хипотезите на задължително определяне на ДЛЗД според Регламента са следните:
• Когато обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
• Когато основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни;
• Когато основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения.
Следователно първият въпрос, на който следва да потърси отговор всеки администратор или обработващ лични данни, е дали дейността му попада в някоя от тези три хипотези, в които определянето на ДЛЗД е задължително. Въпреки че в запитването изрично се посочва, че става дума за микропредприятие, не е изключено неговата дейност да включва например редовно и систематично мащабно наблюдение на физически лица (субекти на данни). Както беше посочено, дори да не е налице правно задължение за определяне на ДЛЗД, ръководството на предприятието може да стигне до извода, че определянето на такова лице ще е удачна организационна мярка за оптимизиране на процесите по обработване на данните.
В част I, т. 4 от утвърдения образец на уведомление до националния ни надзорен орган (Комисията за защита на личните данни) за определените длъжностни лица по защита на данните, достъпен на Интернет-страницата на Комисията (https://www.cpdp.bg/userfiles/ file/Documents_2020/UVEDOMLENIE_DLZD-KZLD.pdf), е предвидено да се посочи и правното основание за определяне на ДЛЗД: една от трите изброени по-горе хипотези на задължително определяне или „друго“, т.е. определянето на такова лице по преценка на администратора или обработващия. Ако в тази точка се маркира „друго“, заявителят следва да поясни поради какви съображения е определил ДЛЗД: например да посочи, че не е налице мащабно обработване, но се обработват специални категории (чувствителни) данни, разкриващи здравния статус или свързани със сексуалния живот на субектите на данни, поради което е взето решението за определяне на ДЛЗД като допълнителна организационна мярка за повишаване на осигурената защита на данните.
Според Регламента ДЛЗД може да бъде както служител на предприятието, така и да изпълнява задълженията си по договор за услуги. Няма пречка служителят, определен от администратора за лице по защита на данните, да изпълнява и други функции в рамките на организацията (т.е. вече назначен на друга длъжност служител да поеме и функциите на ДЛЗД по вътрешно съвместителство). Предвид възможността ДЛЗД да изпълнява и други задачи, Регламентът въвежда изискването те да не водят до конфликт на интереси. В нарочни разяснения, дадени от Европейския комитет по защитата на данните (бившата Работна група по чл. 29 от Директива 95/46/ЕО – независим европейски консултативен орган за защита на личните данни и неприкосновеността на личния живот) се посочва, че ДЛЗД не може да заема позиция в организацията, която е свързана с определяне на целите и средствата за обработка на личните данни. Поради специфичната организационна структура във всяка организация, конфликтът на интереси трябва да се преценява конкретно за случая. Комитетът предлага примерни насоки, като посочва, че висшите ръководни позиции (например главен изпълнителен директор, главен оперативен директор, главен финансов директор, ръководителите на звената за човешките ресурси и информационните технологии) могат да създадат такъв конфликт, т.е. такива лица не следва да се определят за ДЛЗД. Противното би означавало тези лица да съчетаят в едно качествата на контролиращ и контролиран, т.е. да осъществяват контрол над собствените си действия, което е логически неиздържано, а оттук – и юридически недопустимо.
Ето защо отговорът на последната част от въпроса е отрицателен – управителят на дружеството не следва да се определя за ДЛЗД, защото това би го поставило в конфликт на интереси между изпълняваните от него функции.
За още експертни решения, свързани с правилното прилагане на Общия регламент на защита на личните данни, вижте електронното издание „GDPR – отговори на въпроси от практиката 2021”, като кликнете тук >>
За да бъдете спокойни, на Ваша помощ идва едно ръководство в електронен формат, а именно – “GDPR – отговори на въпроси от практиката 2021” с подбрани експертни решения на казуси, възникнали в практиката на колегите Ви през настоящата 2021-ва година. Ръководството включва и ➪ Становище на КЗЛД по някои често поставяни въпроси относно допустимите форми на контрол на достъпа в учебните заведения. Вземете го в удобен електронен формат тук >>
А ето и отговора на доц. д-р Андрей Александров по въпроса за уведомяване на КЗЛД за определеното длъжностно лице по защита на данните:
Длъжностното лице по защита на данните (ДЛЗД) е „отговорник“ по всички въпроси, свързани със защитата на личните данни в организацията на администратора или на обработващия лични данни. Това е служител на администратора/обработващия или външно за организацията лице, натоварено с консултативни функции в областта на защитата на личните данни, надзор по спазването на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общия регламент за защита на данните или ОРЗД) и вътрешното законодателство по защита на личните данни в организацията, както и повишаването на осведомеността и обучението на персонала.
По смисъла на Регламента могат да се обособят две групи случаи на определяне на ДЛЗД. При първата от тях то представлява правно задължение и евентуалното му неизпълнение може да доведе до налагане на санкции на задължените лица. Във втората група случаи определянето на ДЛЗД става по избор на съответната организация, с цел да се оптимизира защитата на обработваните лични данни. Независимо дали определянето на ДЛЗД е било задължително или е предприето от организацията доброволно, неговите статут и функции са еднакви.
Хипотезите на задължително определяне на ДЛЗД според Регламента са следните:
• Когато обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
• Когато основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни;
• Когато основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения.
Следователно първият въпрос, на който следва да потърси отговор всеки администратор или обработващ лични данни, е дали дейността му попада в някоя от тези три хипотези, в които определянето на ДЛЗД е задължително. Въпреки че в запитването изрично се посочва, че става дума за микропредприятие, не е изключено неговата дейност да включва например редовно и систематично мащабно наблюдение на физически лица (субекти на данни). Както беше посочено, дори да не е налице правно задължение за определяне на ДЛЗД, ръководството на предприятието може да стигне до извода, че определянето на такова лице ще е удачна организационна мярка за оптимизиране на процесите по обработване на данните.
В част I, т. 4 от утвърдения образец на уведомление до националния ни надзорен орган (Комисията за защита на личните данни) за определените длъжностни лица по защита на данните, достъпен на Интернет-страницата на Комисията (https://www.cpdp.bg/userfiles/ file/Documents_2020/UVEDOMLENIE_DLZD-KZLD.pdf), е предвидено да се посочи и правното основание за определяне на ДЛЗД: една от трите изброени по-горе хипотези на задължително определяне или „друго“, т.е. определянето на такова лице по преценка на администратора или обработващия. Ако в тази точка се маркира „друго“, заявителят следва да поясни поради какви съображения е определил ДЛЗД: например да посочи, че не е налице мащабно обработване, но се обработват специални категории (чувствителни) данни, разкриващи здравния статус или свързани със сексуалния живот на субектите на данни, поради което е взето решението за определяне на ДЛЗД като допълнителна организационна мярка за повишаване на осигурената защита на данните.
Според Регламента ДЛЗД може да бъде както служител на предприятието, така и да изпълнява задълженията си по договор за услуги. Няма пречка служителят, определен от администратора за лице по защита на данните, да изпълнява и други функции в рамките на организацията (т.е. вече назначен на друга длъжност служител да поеме и функциите на ДЛЗД по вътрешно съвместителство). Предвид възможността ДЛЗД да изпълнява и други задачи, Регламентът въвежда изискването те да не водят до конфликт на интереси. В нарочни разяснения, дадени от Европейския комитет по защитата на данните (бившата Работна група по чл. 29 от Директива 95/46/ЕО – независим европейски консултативен орган за защита на личните данни и неприкосновеността на личния живот) се посочва, че ДЛЗД не може да заема позиция в организацията, която е свързана с определяне на целите и средствата за обработка на личните данни. Поради специфичната организационна структура във всяка организация, конфликтът на интереси трябва да се преценява конкретно за случая. Комитетът предлага примерни насоки, като посочва, че висшите ръководни позиции (например главен изпълнителен директор, главен оперативен директор, главен финансов директор, ръководителите на звената за човешките ресурси и информационните технологии) могат да създадат такъв конфликт, т.е. такива лица не следва да се определят за ДЛЗД. Противното би означавало тези лица да съчетаят в едно качествата на контролиращ и контролиран, т.е. да осъществяват контрол над собствените си действия, което е логически неиздържано, а оттук – и юридически недопустимо.
Ето защо отговорът на последната част от въпроса е отрицателен – управителят на дружеството не следва да се определя за ДЛЗД, защото това би го поставило в конфликт на интереси между изпълняваните от него функции.
За още експертни решения, свързани с правилното прилагане на Общия регламент на защита на личните данни, вижте електронното издание „GDPR – отговори на въпроси от практиката 2021”, като кликнете тук >>
Свързани статии
Абонамент за newsletter
Абонирайте се БЕЗПЛАТНО за Newsletter clubtrznormativi.bg
за да получавате най-новата информация и анализи по темите, които Ви интересуват!
Коментари
2 Коментари