Длъжностно лице по защита на данните в публичен орган или публична структура

В последните години защитата на личните данни се превърна в приоритет за много институции, включително публичните органи и публичните структури. През последните години се забелязва, че все повече институции спазват законовото си задължение за назначаване на длъжностни лица по защита на данните. Това до голяма степен води до по-сигурно и законосъобразно обработване на личните данни.

Кои институции попадат в понятията „публичен орган“ и „публична структура“?

Съгласно българското законодателство „публичен орган“ е държавен или местен орган, както и структура, чиято основна дейност е свързана с разходване на публични средства. Видно от определението, българският законодател е съчетал в едно понятието „публичен орган“ и публична „структура“. От анализа на дефиницията следва, че в нея попадат три основни групи:

• държавни органи – това са самостоятелно обособени структури, чрез които държавата осъществява публичната власт в определена област; В тази група попадат например министрите, омбудсман, президент и т.н.
• местни органи – това са структури, чиято компетентност е ограничена териториално, например органите на местното самоуправление и местната администрация, както и териториални поделения на ведомства; В тази категория попадат например общините, както и районните администрации.
• структура, чиято основна дейност предполага разходване на публични средства; Легалната дефиниция на словосъчетанието „публични средства“ се съдържа в §1, т.1 от Закона за финансовото управление и контрол в публичния сектор, съгласно която публични средства са всички средства, които се събират, получават, съхраняват, разпределят и разходват от организациите от публичния сектор. Същият закон очертава кръга от организации от публичния сектор. Това са:

1. бюджетни организации по смисъла на Закона за публичните финанси;
2. общинските предприятия по смисъла на Закона за общинската собственост;
3. организации, разпореждащи се със средства, гарантирани от Република България;
4. държавните предприятия по чл.62, ал.3 от Търговския закон;
5. търговските дружества, включително лечебните заведения, с над 50 на сто държавно и/или общинско участие в капитала;
6. търговските дружества, чийто капитал е изцяло собственост на търговски дружества, включително лечебни заведения, с над 50 на сто държавно и/или общинско участие в капитала.

Кои институции трябва да определят ДЛЗД?

Според Регламент (ЕС) 2016/679 и българския Закон за защита на личните данни, всички публични органи и публични структури са длъжни да назначат Длъжностно лице по защита на данните (ДЛЗД). В това число попадат например общините, държавните или общинските болници, всички училища и детски градини, разходващи публични средства, както и всички други държавни и общински институции и институции, които разходват публични средства.

Кой може да бъде ДЛЗД?

Няма задължителни образователни или квалификационни изисквания за ДЛЗД. Важно е обаче лицето, което изпълнява тази роля, да има експертни познания в областта на защитата на личните данни. ДЛЗД може да бъде:

• служител на самата институция;
• външно лице или фирма, с която е сключен договор за услуга.

Институциите не са задължени да назначават специален служител за тази позиция – възможно е съществуващ служител да съвместява функциите на ДЛЗД с други трудови задължения. Важно е обаче да няма конфликт на интереси – например, лице, чиито задължения са свързани с определяне на целите и средствата за обработване на лични данни, не може да бъде и ДЛЗД.

Какви са предимствата на външното ДЛЗД?

Много образователни институции предпочитат да възложат тази роля на външен специалист или фирма, което има няколко предимства:

• Спестяват се разходи за възнаграждения, осигуровки и периодични обучения на вътрешен служител.
• Гарантира се независимост, което е ключов принцип при изпълнение на функцията.
• Намалява се рискът от липса на ДЛЗД поради напускане, болнични или други отсъствия.

Какви са задълженията на ДЛЗД?

Основните функции на ДЛЗД включват:

• консултира администратора и персонала относно спазването на законовите изисквания за защита на личните данни;
• наблюдава спазването на Регламент(ЕС) 2016/679 и на други разпоредби за защитата на данни на равнище Съюз или държава членка и на политиките на администратора или обработващия лични данни по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити;
• при поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката;
• да действа като точка за контакт с КЗЛД, както и със субектите на данни по отношение на въпросите свързани със защитата на личните данни. Това важи и за служителите на администратора, чиито лични данни биват обработвани от него или които обработват лични данни от негово име;
• съдействие при нарушение на сигурността на личните данни;
• други функции, възложени от администратора на лични данни.

Как се уведомява КЗЛД?

Публичните органи и публичните структури трябва да публикуват информация за своето ДЛЗД и да уведомят КЗЛД, като използват утвърден образец. Ако уведомлението се подава по електронен път, то трябва да бъде подписано с квалифициран електронен подпис. След подаване на уведомлението, КЗЛД извършва вписване на администратора и определеното от него ДЛЗД в публичен регистър.

Заключение

Определянето на ДЛЗД е не само законово задължение, но и ключова мярка за гарантиране на сигурността на личните данни в публичните органи и публичните институции. Независимо дали се избере вътрешен служител или външна услуга, важно е лицето да има необходимите компетенции и да работи независимо, за да осигури спазването на всички изисквания за защита на личните данни.

Източник: dspartners.bg