Определяне на длъжностно лице по защита на данните (ДЗЛД). Хипотези на задължително определяне на ДЗЛД

В новоприетият ЗЗЛД не е посочено изрично в кои хипотези администратора на лични данни е длъжен да определи длъжностно лице по защита на личните данни. В чл. 69, ал. 1 от ЗЗЛД се казва само, че администраторът на лични данни определя длъжностно лице по защита на данните въз основа на неговите професионални качества и по-специално въз основа на експертните му познания по законодателството и практиките в областта на защитата на личните данни и способността му да изпълнява задачите по чл. 70.
 
 
Според § 1, т. 17 от ДР на ЗЗЛД „публичен орган" е държавен или местен орган, както и структура, чиято основна дейност е свързана с разходване на публични средства.
 
 
За да разтълкуваме правилно тази хипотеза на първо място място е необходимо да се определи какво означава „основни дейности” на администратора или обработващият. Според съображение 97 от ОРЗД в частния сектор основните дейности на администратора се отнасят до неговите първични дейности, а не до обработването на лични данни като вторични дейности. Необходимото ниво на експертни познания следва да се определя по-специално в съответствие с извършваните операции по обработване на данни и защитата, която е необходима за личните данни, обработвани от администратора или обработващия лични данни. Тези служители по защита на данните, независимо от това дали са служители на администратора, следва да бъдат в състояние да изпълняват своите задължения и задачи независимо.
 
 
Наблюдението трябва да е редовно, систематично и мащабно. Съгласно Работната група по чл. 29, консултативен орган в ЕС, който дава тълкувания на правилата за защита на личните данни, неизчерпателни примери за мащабно обработване са следните дейности:
- обработване на пациентски данни в обичайните условия на осъществяване на дейността на болница;
- обработване на данни за пътувания на физически лица, използващи системата на обществен транспорт на даден град (например проследяване чрез карти за пътуване);
- обработване в реално време на данни за определяне на географското местоположение на клиенти на международна верига за бързо хранене за статистически цели от страна на обработващ лични данни, който е специализиран в предоставянето на тези услуги;
- обработване на клиентски данни от застрахователно дружество или банка в обичайните условия на осъществяване на дейността;
- обработване на лични данни от търсачка с цел поведенческа реклама;
- обработване на данни (съдържание, трафик, местоположение) от доставчици на телефонни или интернет услуги).

 
„Редовно“ е обработването, което се осъществява непрекъснато, или периодично през определен период от време. Иначе казано, това е обработване, което следва да се осъществява многократно във времето.
 
„Систематично“ пък е обработването, което отговаря на едно или няколко повече от следните изисквания:
- възникващо по някаква система;
- предварително уредено, организирано или методично;
- случващо се в рамките на общ план за събиране на данни;
- осъществявано в рамките на стратегия .

 
Съгласно работната група по чл. 29 неизчерпателни примери за дейности, които може да представляват редовно и систематично наблюдение на субектите на данните, включват:
- „експлоатация на далекосъобщителна мрежа;
- предоставяне на далекосъобщителни услуги;
- пренасочване на електронни съобщения;
- основани на данни маркетингови дейности;
- профилиране и оценяване за целите на оценка на риска (например за целите на определяне на кредитоспособността, изчисляване на застрахователни премии, предотвратяване на измами, откриване на случаи на изпиране на пари);
- проследяване на местоположението, например чрез мобилни приложения;
- програми за лоялност;
- поведенческа реклама;
- наблюдение на данни за благосъстоянието, тонуса и здравословното състояние чрез носими устройства;
- вътрешна система за видеонаблюдение;
- свързани устройства, например интелигентни измервателни устройства, интелигентни автомобили, автоматизация на дома и т.н.“.
 
 
Относно определнеито за мащабно наблюдение следва да се има предвид и опредлението дадено в § 1, т. 15 от ДР на ЗЗЛД според което „мащабно" е наблюдение и/или обработване на лични данни на значителен или неограничен брой субекти на данни или обем лични данни, когато основните дейности на администратора или обработващия лични данни, включително средствата за тяхното изпълнение, се състоят в такива операции.
 
Третата хипотеза на задължително назначаване на длъжностно лице по защита на личните данни е при мащабно обработване на специалните категории данни съгласно член 9 и на лични данни, свързани с присъди и нарушения, по член 10.
 
Съгласно чл. 69, ал. 3 от ЗЗЛД администраторът оповестява по подходящ начин координатите за връзка на длъжностното лице по защита на данните и уведомява комисията по реда на чл. 25б.
 
Съгласно чл. 37, пар. 5 от ОРЗД, длъжностното лице по защита на данните се определя въз основа на неговите професионални качества, и по-специално въз основа на експертните му познания в областта на законодателството и практиките в областта на защитата на данните. Важно правило се съдържа и в нормата на чл. 38, ал. 6 от ОРЗД съгласно което  Длъжностното лице по защита на данните може да изпълнява и други задачи и задължения. Администраторът или обработващият лични данни прави необходимото тези задачи и задължения да не водят до конфликт на интереси.
 
ДЛЗД може да бъде назначено както по трудов договор, така и да бъде външен изпълнител по граждански договор за услуги.
 
ДЛЗД може да съвместява както друга длъжност, така и да бъде разкрита нова щатна бройка за лице, което да изпълнява само тези функции.
 
ОРЗД не въвежда изискване към образованието на това лице, важното е то да има професионални качества, и по-специално експертни познания в областта на законодателството и практиките в областта на защитата на данните.
 
Ако лицето ще бъде по трудов договор обаче, то не може да съвместява длъжност, която би го поставила в конфликт на интереси с изпълнението на функциите на ДЛЗД.
 
Конфликт на интереси ще е налице, ако тази друга длъжност определя целите и средствата за обработване на личните данни.
 
Ето защо, несъвместими с ролята на ДЛЗД са длъжности като: 
-   главен изпълнителен директор,
-   главен оперативен директор,
-   главен финансов директор,
-   главен медицински директор,
-   ръководител на маркетингов отдел,
-   ръководител на отдел „Човешки ресурси“ или
-   ръководител на ИТ отдел.
 
Несъвместими са и всички други функции по-надолу в организационната структура, ако въпросните длъжности или функции са свързани с определяне на целите и средствата за обработване на данните.
 
При външно ДЛЗД конфликт може да възникне, ако едно и също ДЛЗД представлява администратора или обработващия лични данни пред съдилищата по дела, касаещи теми за защитата на данните.
 
Група предприятия може да назначи едно длъжностно лице по защита на данните, при условие че от всяко предприятие има лесен достъп до длъжностно лице по защита на данните.
 
Същото се отнася и за администратори/ обработващи, които са обществен орган или структура, като следва да се отчете организационната им структура и размер.
 
 
Следователно ЗЛЗД ИМА надзорни и съвещателни функции – то контролира процесите по обработване на данни и консултира и съветва администраторите и техните служители относно процесите по обработване на лични данни. То е единна точка за контакт с надзорния орган по отношение на обработването на личните данни, а субектите на данни могат да се обръщат към ДЛЗД по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права съгласно ОРЗД.
 
ДЛЗД е длъжно да спазва секретността или поверителността на изпълняваните от него задачи в съответствие с правото на ЕС/ на държава членка. Отделно, ДЛЗД е длъжно да си сътрудничи с надзорния орган.
 
Много важно изискване е ДЛЗД да действа независимо – ето защо ОРЗД предвижда то да се отчита само пред най-висшето ръководство в предприятието (напр. управител) и да не може да бъде санкционирано, вкл. Уволнено, заради добросъвестното изпълнение на задълженията си.