За длъжностните лица по защита на личните данни

Началната дата на прилагане на Общия регламент за защита на данните (Регламент (ЕС) 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО) – 25 май 2018 г., като че ли заварва неподготвени голяма част от администраторите и обработващите лични данни у нас. Все още много практически въпроси търсят своите отговори, а и забавянето на очакваните изменения в националното законодателство създава допълнителни колебания и тревоги. Всяко по-нататъшно отлагане на привеждането в съответствие с правилата на Регламента обаче е твърде рисковано и може да доведе до сериозни административни санкции.
 
Поради изложените съображения избрахме един от въпросите по прилагането на Регламента със сравнително изчерпателна уредба, който би могъл да се реши в рамките на организацията и преди приемането на измененията в Закона за защита на личните данни – статуса и функциите на длъжностно лице по защита на данните (ДЛЗД). Ако тук се предвидят допълнителни национални специфики, те могат да бъдат съобразени и впоследствие. Администраторите и обработващите лични данни обаче не бива да отлагат вътрешния си анализ по темата необходимо ли е определянето на такова лице, съответно с негова помощ да предприемат следващите стъпки в подготовката си.

 
Длъжностното лице по защита на данните е „отговорник“ по всички въпроси, свързани със защитата на личните данни в организацията на администратора или на обработващия лични данни. Това е служител на администратора/обработващия или външно за организацията лице, натоварено с консултативни функции в областта на защитата на личните данни, контрол по спазването на Регламента, повишаване на осведомеността и обучение на персонала.
 
По силата на новите правила могат да се обособят две групи случаи на определяне на ДЛЗД. При първата от тях то представлява правно задължение и евентуалното му неизпълнение може да доведе до налагане на санкции на задължените лица. Във втората група случаи определянето на ДЛЗД става по избор на съответната организация, с цел да се оптимизира защитата на обработваните лични данни. Независимо дали определянето на ДЛЗД е било задължително или е предприето от организацията доброволно, неговите статус и функции са еднакви.
 
По въпросите, свързани с определянето на ДЛЗД, са издадени нарочни указания (насоки) от Работната група по чл. 29 от Директива 95/46/ЕО (след 25.05.2018 г. – Европейски комитет по защита на данните). В тях е дадена препоръка към администраторите и обработващите лични данни, освен ако е очевидно, че дадена организация не е задължена да определя ДЛЗД, да документират направения вътрешен анализ с оглед на вземането на решение дали да бъде назначено ДЛЗД или не, за да бъдат в състояние да докажат, че съответните фактори са взети предвид по надлежен начин. Този анализ представлява част от документацията според принципа на отчетност. Той може да бъде изискан от надзорния орган и следва да се актуализира при нужда, например ако администраторите или обработващите лични данни започнат осъществяването на нови дейности или предоставянето на нови услуги, които е възможно да попадат в случаите на задължително определяне на ДЛЗД.
 
Хипотезите на задължително определяне на ДЛЗД според Регламента са следните:
• Когато обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
• Когато основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни;
• Когато основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения.
 
Така описаните хипотези налагат няколко уточнения, например кога обработването на данни представлява основна дейност на администратора или на обработващия. За „основни дейности“ се считат ключовите операции, които са необходими за постигането на целите на администратора или обработващия лични данни. Обработването на данни е основна дейност и в случаите, когато то е неразделна част от останалите дейности на организацията.
 
Работната група по чл. 29 от Директивата посочва някои конкретни примери:
- Основната дейност на една болница е предоставянето на здравно обслужване. Болницата обаче не може да предоставя здравно обслужване безопасно и ефективно, без да обработва данни за здравословното състояние, като например здравни досиета на пациенти. Следователно обработването на тези данни следва да се счита за една от основните дейности на всяка болница и болниците трябва да определят ДЛЗД.
- Частно охранително дружество осъществява наблюдение върху няколко частни търговски обекта и обществени места. Основната дейност на дружеството е наблюдение, което от своя страна е неразривно свързано с обработването на лични данни. Следователно това дружество също трябва да определи ДЛЗД.

 
Обратно, следните дейности по обработване на данни не следва да се считат за основна дейност на администратора/обработващия:
- Обработка на данни на работници и служители с цел изплащане на възнагражденията им;
- Стандартна IT поддръжка на фирмени системи;
- Наблюдение на интернет и имейл трафик с цел спазване на изискванията за киберсигурността и др. п.

 
Това са спомагателни функции, които са необходими за основната дейност или основното направление на стопанската дейност на организацията.
 
Що се отнася до хипотезите на „мащабно обработване“ на данни, липсва точен количествен критерий кога е налице такова обработване. При преценката следва да се вземат под внимание фактори като броя на субектите на данни, обема или вида данни, които се обработват, продължителността на обработването, географския обхват на обработването. При това тези критерии следва да се съобразят кумулативно (едновременно), а не самостоятелно. Обработването например може да се осъществява паралелно в няколко държави-членки и да е налице широк географски обхват, но да засяга малко на брой лица и незначителен обем данни. В този случай то няма да се характеризира като мащабно.
 
Понятието за редовно и систематично наблюдение на субектите на данните не е изрично дефинирано в Регламента. Според тълкуването на Работната група по член 29 „редовно“ означава: текущо или възникващо на определени интервали за определен период; многократно или повтарящо се на определени интервали; случващо се постоянно или периодично наблюдение. Наблюдението е систематично, когато се осъществява чрез система, организирано е или е част от целенасочен план или стратегия за събиране на данни.
 
Редовно и систематично наблюдение може да е налице при профилиране и оценяване на субектите за целите на оценка на риска (например за целите на определяне на кредитоспособността, изчисляване на застрахователни премии, предотвратяване на измами, откриване на случаи на изпиране на пари) и др.п.

 
В чл. 37, параграф 5 от Регламента е предвидено, че „длъжностното лице по защита на данните се определя въз основа на неговите професионални качества, и по-специално въз основа на експертните му познания в областта на законодателството“. Необходимото ниво на експертни познания следва да се определи в съответствие с извършваните операции по обработване на данни и защитата, която е необходима за тях. Въпреки че Регламентът не поставя конкретни изисквания относно необходимата професионална квалификация и опит на ДЛЗД, то следва да познава добре сектора и организацията на администратора, както и да разбира операциите по обработка, информационните системи, сигурността на данните и необходимостта от тяхната защита. Препоръчително е и доброто познаване на специалното законодателство, регулиращо дейността на администратора (напр. Закона за кредитните институции и съответните подзаконови актове – по отношение на дейността на банките и т.н.).
 
Длъжностното лице по защита на данните играе ключова роля в насърчаването на културата по защита на данните в рамките на организацията. Затова, наред с професионалните качества, Регламентът поставя като изискване и „способността му да изпълнява задачите, посочени в чл. 39“. Според Работната група по чл. 29 тази способност трябва да се тълкува като отнасяща се до личните качества и знания на лицето, като се изисква почтеност и висока професионална етика.

 
ДЛЗД може да бъде както служител на предприятието, така и да изпълнява задълженията си по договор за услуги. Няма пречка служителят, определен от администратора за лице по защита на данните, да изпълнява и други функции в рамките на организацията (т.е. вече назначен на друга длъжност служител да стане и длъжностно лице по защита на данните по вътрешно съвместителство). Изглежда, че практиката се ориентира и към „вменяването“ на такива функции чрез изменение на длъжностната характеристика и включване на нови задължения в нея. Въпреки че Регламентът принципно не изключва подобен подход, следва да се държи сметка, че допълнителното натоварване на един служител със сложни и комплексни нови задачи може да се окаже недостатъчно ефективно, ако той не е в състояние да им посвети нужното внимание.
 
Възможно е и съвместно определяне на ДЛЗД в група предприятия. Условието е всяко предприятие да има „лесен достъп“ до длъжностното лице по защита на данните. Според Работната група по чл. 29 достъпността се отнася до задачите на длъжностното лице като точка за контакт на субектите на данни и надзорния орган, но също и в рамките на организацията, като се има предвид, че една от задачите му е да информира и съветва администратора или обработващия и служителите, които извършват обработване, за техните задължения. В многонационалните групи предприятия улесняването на достъпа до ДЛЗД би включвало и възможността с него да се комуникира на език, какъвто владеят служителите и в останалите държави, в които компанията има структури.
 
Предвид възможността длъжностното лице по защита на данните да изпълнява и други задачи, Регламентът въвежда изискването те да не водят до конфликт на интереси. Работната група по чл. 29 приема, че ДЛЗД не може да заема позиция в организацията, която е свързана с определяне на целите и средствата за обработка на личните данни. Поради специфичната организационна структура във всяка организация конфликтът на интереси трябва да се преценява конкретно за случая. Така например висшите ръководни позиции (главен изпълнителен директор, оперативен или финансов директор, ръководител на звеното за човешките ресурси и др.) могат да създадат такъв конфликт, т.е. такива лица не следва да се определят за ДЛЗД. Противното би означавало тези лица да съчетаят в едно качествата на контролиращ и контролиран и да осъществяват контрол над собствените си действия, което е логически неиздържано, а оттук – и юридически недопустимо.
 
Пряко свързан с правилото за предотвратяване на всеки възможен конфликт на интереси е и принципът на независимост на ДЛЗД.
 
Администраторът/обработващият трябва да гарантират, че това лице не поучава никакви указания във връзка с изпълнение на своите задачи. Това означава не само те да се въздържат от указания как да се реши конкретен въпрос или жалба, но това да важи и за всички други техни служители. Работната група по чл. 29 препоръчва да се даде възможност на ДЛЗД да изразява несъгласие с решения на администратора или обработващия, които са несъвместими с неговите препоръки.
 
ДЛЗД се отчита пряко пред най-висшето ръководно ниво на администратора или обработващия лични данни. Това е проявление на неговата независимост от други ръководни нива в структурата.
 
Според член 38, параграф 3 от Регламента ДЛЗД не може да бъде освобождавано от длъжност, нито санкционирано от администратора или обработващия лични данни за изпълнението на своите задачи. Дадените от Работната група по чл. 29 насоки в тази връзка поясняват, че санкциите са забранени само ако са наложени във връзка с изпълнението на задълженията като ДЛЗД. Например няма да е допустимо налагане на наказание от страна на администратора, ако той не е съгласен с дадената от ДЛЗД оценка на въздействие за дадена операция по обработване на лични данни.
 
ДЛЗД е обвързано със задължение да спазва конфиденциалност при изпълнение на неговите задачи. Това е и гаранция за субектите на данни, които могат да се обръщат към него по всички въпроси, свързани с обработването на лични данни и с упражняването на техните права съгласно Регламента. Задължението за поверителност е установено по отношение на конкретните обстоятелства, станали известни на длъжностното лице при или по повод изпълнение на неговите задачи.
 
ДЛЗД не са лично отговорни в случай на неспазване на правилата на Регламента. Администраторът или обработващият лични данни е този, който е длъжен да гарантира и да е в състояние на докаже, че обработването се извършва в съответствие с предвидените в него разпоредби (член 24, параграф 1). Спазването на разпоредбите за защита на данните е отговорност на администратора на данни или на обработващия лични данни.

 
На длъжностното лице по защита на данните могат да се възлагат редица задължения, по-важните от които са:
- да информира и съветва администратора или обработващия лични данни и служителите, които извършват обработване, за техните задължения по силата на нормативните актове за защита на личните данни;
- да наблюдава спазването на правилата за защита на личните данни и на политиките на администратора или обработващия лични данни по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити;
- да си сътрудничи с надзорния орган и да действа като точка за контакт за надзорния орган по въпроси, свързани с обработването на данните;
- при поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката. Работната група по чл. 29 препоръчва администраторът да потърси съвет от длъжностното лице по защита на данните най-малко по следните въпроси:
> да извърши, или не, оценка на въздействието върху защитата на данните;
> по каква методология да се извършва оценката на въздействието върху защитата на данните;
> дали оценката на въздействието върху защитата на данните да се извърши в организацията или да се възложи на външен изпълнител;
> какви гаранции (включително технически и организационни мерки) да се прилагат, за да се намалят рисковете за правата и интересите на субектите на данни;
> дали оценката на въздействие върху защитата на данните е извършена коректно и дали нейните заключения са в съответствие с Регламента.

 
Задължение на администратора и на обработващия лични данни е да гарантират участието на ДЛЗД по всички въпроси, свързани със защитата на личните данни. Това трябва да става по „подходящ начин“ и „своевременно“, т.е. като се отчитат конкретните обстоятелства при организиране на защитата и операциите по обработване на лични данни, извършвани в структурата на администратора или обработващия, и се осигури запознаване с тях на ДЛЗД. Удачно е участието му в решаването на всички въпроси, свързани със защитата на личните данни, да става на възможно най-ранен етап, включително да се изисква и негово предварително становище.
 
В чл. 38, параграф 2 от Регламента са посочени някои задължения на администратора и обработващия личните данни за подпомагане на ДЛЗД при изпълнение на неговите задачи. Те са свързани с осигуряване на необходимите ресурси, достъп до личните данни и операциите по обработване и поддържане на експертните познания на длъжностното лице по защита на данните. Тук се включва активната подкрепа на функцията на ДЛЗД от висшето ръководство; осигуряване на достатъчно време за изпълнение на задълженията му; осигуряване на финансови ресурси, инфраструктура и персонал към длъжностното лице по защита на данните, ако е необходимо и т.н.
 
Администраторът или обработващият лични данни са длъжни да публикуват данните за контакт с длъжностното лице по защита на данните и да ги съобщят на надзорния орган. Това е гаранция, че субектите на данни и надзорните органи могат да се свържат с длъжностното лице пряко, без „посредничеството“ на администратора или обработващия данните. Такива данни за контакт могат да бъдат адрес, телефонен номер, електронен адрес, специален формуляр за контакт на интернет страницата на организацията, адресиран до длъжностното лице по защита на данните и др.

Доц. д-р Андрей Александров