На 25 май в сила влезе новият Регламент за Защита на Личните Данни (Регламентът), който надгради действащата до този момент Директива от 1995 г. Регламентът бе приет през 2016 г., като влизането му в сила бе отложено, за да може бизнесът, обществото и институциите да се подготвят за новата регулация. Въпреки че този период бе наситен с обучения, семинари, информационни материали и множество консултантски фирми предлагащи различни пакети от услуги свързани с обучение и внедряване на дружествата в съответствие с новата регулация, бизнесът и обществото по една или друга причина, все още масово остават неинформирани относно логиката на режима за защита на личните данни и правата и задълженията произтичащи от него.
Новата регулация въвежда модернизирана и основана на отчетност рамка за съблюдаване на защитата на личните данни в Европа, която породи притеснения у бизнеса. Длъжностните лица по защита на данните (ДЛЗД) ще играят ключова роля за много организации, като оказват съдействие за спазването на разпоредбите на Регламента. ДЛЗД е призвано да бъде своеобразен „отговорник“ по всички въпроси, свързани със защитата на личните данни в предприятието – от даването на разяснения и съвети на служителите и ръководството, през осъществяването на контрол върху процесите по обработване на данните, до функционирането като единна точка за контакт за надзорните органи и лицата, чиито данни се обработват.
Важно е да се отбележи, че задължението за назначаването на Длъжностно Лице по Защита на Данните не е предвидено за всяка организация, която обработва лични данни. Регламентът посочва 3 хипотези, в които назначаването на ДЛЗД е задължително, като също така е оставена възможност на държавите членки да въведат допълнителни хипотези в националните си законодателства. У нас надзорният орган и комисията по правни въпроси към НС първоначално се възползваха от тази възможност, като предвидиха в проекта за ЗИДЗЗЛД още 1 хипотеза, в която назначаването на ДЛЗД е задължително. На общественото обсъждане на законопроекта въпросната хипотеза бе аргументирано оспорена, което доведе до нейното премахване във втората версия на проекта за ЗИДЗЗЛД.
Хипотезите посочени в Регламента, при които е задължително назначаването на Длъжностно Лице по Защита на Данните са уредени в чл. 37 параграф 1, а именно:
а) когато обработването на лични данни се извършва от публичен орган или структура (освен когато става въпрос за съдилища при изпълнение на съдебните им функции);
б) когато основаните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично[1] мащабно[2] наблюдение на субекти на данни;
в) когато основаните дейности на администратора или обработващия лични данни се състои в мащабно обработване на специалните категории данни[3] или на лични данни, свързани с присъди и нарушения.[4]
Извън горепосочените хипотези, администраторът или обработващият лични данни може да вземе решение доброволно да назначи ДЛЗД, независимо че няма такова задължение. В този случай законовите изисквания за ДЛЗД посочени в чл. 37-39 ще се прилагат за неговото определяне, длъжност и задачи по същия начин, както ако определянето е било задължително.
С цел да облекчи бизнеса при назначаването на ДЛЗД, в Регламента е предвидена възможност това лице „да изпълнява други задачи и задължения“ в организацията. Изисква се обаче последната да гарантира, че при изпълнението на тези задачи и задължения отсъства конфликт на интереси. Също така ДЛЗД не може да заема длъжност в рамките на организацията, която ще го задължава да определя целите и средствата за обработването на личните данни. Поради специфичната организационна структура във всяка организация, този аспект трябва да бъде преценяван във всеки конкретен случай. Длъжностите в рамките на организацията, за които възниква конфликт на интереси по общо правило включва длъжности във висшето ръководство (изпълнителен директор, финансов директор, ръководител на маркетингов отдел, ръководител на отдел „Човешки ресурси“ или ръководител на ИТ отдел), но също така и други длъжности по-надолу в йерархията, ако имат правомощия да определят целите и средствата за обработване на лични данни.
Съгласно чл. 37 пар. 7 от Регламента администраторът или обработващият лични данни, определил ДЛЗД, има задължение да предостави данните за контакт на надзорния орган. Именно поради тази причина Комисията за Защита на Личните Данни утвърди и публикува на интернет страницата си образец за подаване на уведомление относно назначеното от организациите Длъжностно Лице по Защита на Данните.
Нищо не пречи на организация, която не е задължена по закон и не желае да определя доброволно ДЛЗД, все пак да назначи Отговорник по Защита на Данните, като това може да бъде вече наето лице (съвместяване на длъжности) или външен консултант. В този случай е важно да се гарантира, че няма да има объркване по отношение на званието, статута, длъжността и задачите. Поради това във всички процедури, документи и съобщения на организацията трябва да се пояснява, че длъжността на въпросния служител или консултант не е представлява Длъжностно Лице по Защита на Данните.
С назначаването на Длъжностно Лице по Защита на Данните или Отговорник по Защита на Данните, организациите декларират внимание и стремеж за опазване на обработваните от тях лични данни. По този начин се повишава доверието както у субектите на данни, така и у бизнес партньорите. Дружествата в съответствие с изискванията на Регламента ще търсят партньори, които също са в съответствие, за да не бъдат застрашени от глоба при евентуално изтичане на лични данни, предоставени на партньор, който не е в съответствие.
Бележки под линия:
[1] Понятието „редовно и систематично наблюдение“ на субектите на данни не е определено в Регламента. Работната група по чл. 29 обаче в своите насоки базирани на съображение 24 от Регламента посочва, че редовното и систематично наблюдение включва всички форми на проследяване и профилиране в интернет, включително с цел поведенческа реклама. Понятието за наблюдение не бива да се ограничава само до онлайн проследяването. Други примери за дейности, които може да представляват редовно и систематично наблюдение на субектите на данни са: проследяване на местоположение (например чрез мобилни приложения), вътрешна система за видеонаблюдение, предоставяне на далекосъобщителни услуги и др.
[2] Що се отнася до понятието „мащабно“, то всъщност не е възможно да се посочи точен брой по отношение както на обема обработвани данни, така и на броя на засегнатите физически лица, който да бъде приложим за всички ситуации. В проекта за ЗИДЗЗЛД се направи опит да се даде легална дефиниция на термина „мащабно“, като се посочи, че: „мащабно е систематично наблюдение и/или обработване на лични данни на неограничен кръг субекти на данни“. Истината е, че с това определение възникват повече въпроси, отколкото отговори. По всяка вероятност това определение ще бъде прецизирано или премахнато при приемането на закона, защото не изяснява точни смисъл на термина в количествено отношение.
[3] Легална дефиниция на словосъчетанието „специални категории данни“ е посочена в чл. 9 от Регламента, а именно това са: „лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице“.
[4] Важно e да се отбележи, че обработването на пациентски данни от отделен лекар и обработване на лични данни от отделен адвокат във връзка с присъди и нарушения не представлява мащабно обработване на данни.
0 Коментара