Част 4: Кой е длъжен да назначи специален служител по данните?

Първо трябва да изясним кой има задължението да назначи такова длъжностно лице.

Според регламента администраторът и обработващият лични данни определят длъжностно лице по защита на данните във всички случаи, когато са публични органи или структури, когато основната им дейност се състои в обработването на лични данни и това обработване е редовно, систематично и мащабно, както и когато обработват "специални данни" - за присъди и нарушения, за здравословно състояние и др.

В предложението за промени в българския Закон за защита на личните данни /ЗЗЛД/ обаче е записано, че администраторът или обработващият лични данни ще е длъжен да назначи длъжностно лице по защита на данните винаги, когато обработва данните на повече от 10 000 физически лица.

Срещу това предложение вече има заявена съпротива от множество работодателски и съсловни организации - най-малкото, защото една камера пред входа на офиса лесно може да доведе до задължението за назначаване на нарочен служител по данните. А и защото при изчисляването на обработваните данни трябва да се включи информацията за хора, напуснали предприятията десетки години преди влизането в сила на регламента - една обикновена ведомност за заплати например се пази 50 години, а тя е пълна с лични данни на вече бивши служители. Така че тепърва ще видим дали това новата норма ще бъде приета в този си вид.

В случай, че това стане обаче, трябва да се знае, че когато администраторът прави преценка данните на колко души обработва, той трябва да включи в "сметката" както хората, които вече не са част от персонала, така и тези, които са кандидатствали за работа и не са били одобрени - ако документите от конкурсите все още се пазят във фирмата. Както и данните на клиентите, включително тези на заснетите от камерите във и пред магазините, на контрагентите и техните представители, и т.н. При това за години назад - в зависимост от това колко време се съхранява съответната документация в съответствие с изискванията на закона или вътрешнофирмените решения.

"Добрата новина" е, че администраторите може и да не раздуват излишно щата, назначавайки специален нов служител като длъжностно лице по данните.  Защото тази нова длъжност може да бъде съвместявана - т.е. вече назначен служител може да бъде натоварен с допълнителни отговорности, стига да не изпадне в конфликт на интереси и да отговаря на изискванията, които поставя регламентът. А те са длъжностното лице по защита на данните да се определи "въз основа на неговите професионални качества, и по-специално въз основа на експертните му познания в областта на законодателството и практиките в областта на защитата на данните и способността му да изпълнява задачите", посочени в регламента. 

Другата възможност е група предприятия да назначат "общ служител" по защита на данните. Или да сключат граждански договор с външно за структурата им лице - влючително адвокат. 

Важно! Разясненията, които четете тук, нямат характер на адвокатска консултация. Тяхната цел е просто да помогнат на "малките" играчи на пазара да разберат какви са новите им задължения, за да могат да се изправят пред тях без излишна паника.