От края на май всяка публична компания или такава, която се занимава с периодично, системно и мащабно обработване на лични данни, е длъжна да назначи такъв специалист
Елина Русева, Красимир Коев
С новия Общ регламент 2016/679 (GDPR), който ще започне да се прилага от 25 май 2018 г., се въвежда фигурата на длъжностното лице по защита на личните данни (DPO). Макар и позната в някои държави, в други като България тя е напълно нова. DPO ще заема централно място при защитата на лични данни. To ще бъде свързващото звено между надзорните органи и дружествата, между дружествата и физическите лица – субекти на данните, а също така ще играе съществена роля при осигуряване на спазването от администраторите на изискванията за защита на личните данни.
На този етап функциите на DPO и изискванията към него, както и случаите, в които назначаването му е задължително, са уредени само в GDPR. Очаква се обаче и приемането на промени в българския Закон за защита на личните данни, които ще се отнасят и до DPO. И все пак на този етап можем да представим особеностите на професията на база регламентацията в GDPR.
Всяка организация (администратор на лични данни) ли трябва да назначи DPO?
Назначаването на DPO е задължително за публични органи, както и за компании, които извършват „периодично, системно и мащабно обработване на лични данни“ или „мащабно“ обработване на чувствителни лични данни. Типични примери за организации, които трябва да назначат DPO, са банки и други финансови институции; застрахователни дружества; лечебни заведения.
За всички други компании, които са администратори и/или обработващи лични данни, назначаването на DPO, макар и да не е задължително, би било полезно за тях. Това е така, тъй като правилно подбрано DPO би улеснило компанията в изпълнение на задълженията й като администратор/обработващ лични данни и би допринесло за постигане на съответствие на дейността на администратора с регулацията.
Кой може да изпълнява тази професия?
DPO може да бъде физическо лице, назначено по трудов договор или да изпълнява задачите въз основа на договор за услуги (граждански договор). DPO може да бъде и юридическо лице.
Лицето, което ще заема позицията DPO, следва да познава добре правната рамка на защитата на личните данни. Същевременно обаче DPO следва да бъде лице, което познава добре и конкретния бизнес сектор и съответната специфична за този сектор правна регулация. Не на последно място, DPO следва да има познания и във връзка с информационна сигурност. Поради комплексната природа на функциите на DPO и необходимите за тях познания DPO следва да има и екип, който да подпомага работата му, като екипът включва експерти по право и такива по информационна сигурност.
DPO трябва да може да бъде лесно откриваемо от надзорни органи и субекти на данните. В тази връзка доброто владеене на повече езици би било от полза за изпълняване на задълженията на длъжностното лице по защита на данните. Това следва да се има предвид и при формиране на екипа, който ще подпoмага DPO.
Няма забрана DPO да заема и друга позиция в структурата на администратора, но при условие че няма да възникне конфликт на интереси.
С какви задачи ще се занимава DPO?
DPO следва да информира и съветва администратора за неговите задължения във връзка със защитата на лични данни, както и да съблюдава за спазването на изискванията на GDPR и на българското законодателство за защита на личните данни. DPO следва да бъде част от всеки процес, свързан с обработването на лични данни от самото му начало, а дори и преди него – на фазата на „проектиране“ на процеса.
DPO ще бъде и лице за контакт за надзорния орган по въпроси, свързани с обработването, както и за консултации по всякакви други въпроси.
Каква е разликата между DPO и обработващ данни?
Администраторът на лични данни е компания (може да не е само компания, разбира се, но ние говорим за компании по-скоро), която определя целите за събиране, обработване, съхраняване и използване на лични данни. Обработващият е фигура – може да е отделно лице, може да е вътре в рамките на администратора, може да е физическо или юридическо лице. Обработващият е лицето, което извършва техническите действия по събиране, съхраняване. След определените цели от администратора имаме изпълнение на целите от обработващия лични данни. А длъжностното лице по защита на данните – DPO, е служител или консултант на администратора на лични данни, който следи за съответствието на писаните правила и фактическото им изпълнение. Стават три фигури, които е възможно да бъдат съчетани в едно.
Ако DPO е служител или консултант на един от другите играчи в областта на обработване на личните данни – било то администратор, било то обработващ, той носи директната договорна отговорност, която е договорена, разпределена и на основание на писаните правила. Когато администраторът, който е определил целите за събиране на лични данни, е аутсорснал тази дейност на обработващия лични данни, при евентуално нарушение на правата на субекта на данните отговорността на тези два играча – администратор и обработващ, спрямо субекта на данните е солидарна.
*Елина Русева е старши адвокат в адвокатско дружество „Цветкова, Бебов, Комаревски“; Красимир Коев е мениджър „Одит – RAS“ в „PwC България“
Каква е вашата реакция?
