Част 4: Кой е длъжен да назначи специален служител по данните?

-

Първо трябва да изясним кой има задължението да назначи такова длъжностно лице.

Според регламента администраторът и обработващият лични данни определят длъжностно лице по защита на данните във всички случаи, когато са публични органи или структури, когато основната им дейност се състои в обработването на лични данни и това обработване е редовно, систематично и мащабно, както и когато обработват "специални данни" - за присъди и нарушения, за здравословно състояние и др.

В предложението за промени в българския Закон за защита на личните данни /ЗЗЛД/ обаче е записано, че администраторът или обработващият лични данни ще е длъжен да назначи длъжностно лице по защита на данните винаги, когато обработва данните на повече от 10 000 физически лица.

Срещу това предложение вече има заявена съпротива от множество работодателски и съсловни организации - най-малкото, защото една камера пред входа на офиса лесно може да доведе до задължението за назначаване на нарочен служител по данните. А и защото при изчисляването на обработваните данни трябва да се включи информацията за хора, напуснали предприятията десетки години преди влизането в сила на регламента - една обикновена ведомност за заплати например се пази 50 години, а тя е пълна с лични данни на вече бивши служители. Така че тепърва ще видим дали това новата норма ще бъде приета в този си вид.

В случай, че това стане обаче, трябва да се знае, че когато администраторът прави преценка данните на колко души обработва, той трябва да включи в "сметката" както хората, които вече не са част от персонала, така и тези, които са кандидатствали за работа и не са били одобрени - ако документите от конкурсите все още се пазят във фирмата. Както и данните на клиентите, включително тези на заснетите от камерите във и пред магазините, на контрагентите и техните представители, и т.н. При това за години назад - в зависимост от това колко време се съхранява съответната документация в съответствие с изискванията на закона или вътрешнофирмените решения.

"Добрата новина" е, че администраторите може и да не раздуват излишно щата, назначавайки специален нов служител като длъжностно лице по данните.  Защото тази нова длъжност може да бъде съвместявана - т.е. вече назначен служител може да бъде натоварен с допълнителни отговорности, стига да не изпадне в конфликт на интереси и да отговаря на изискванията, които поставя регламентът. А те са длъжностното лице по защита на данните да се определи "въз основа на неговите професионални качества, и по-специално въз основа на експертните му познания в областта на законодателството и практиките в областта на защитата на данните и способността му да изпълнява задачите", посочени в регламента. 

Другата възможност е група предприятия да назначат "общ служител" по защита на данните. Или да сключат граждански договор с външно за структурата им лице - влючително адвокат. 

Важно! Разясненията, които четете тук, нямат характер на адвокатска консултация. Тяхната цел е просто да помогнат на "малките" играчи на пазара да разберат какви са новите им задължения, за да могат да се изправят пред тях без излишна паника.


Коментари

Публикуване на коментар

Популярни публикации от този блог

КЗЛД: Кога не се иска съгласие от субекта на данните

-
Изображение
В последно време сме свидетели на засилено искане на съгласие за събиране и обработване на лични данни на граждани при предоставянето на различни видове услуги. В КЗЛД ежедневно постъпват сигнали и въпроси относно необходимостта да се иска и дава съгласие. Не трябва да се забравя, че както лесно е дадено, така лесно съгласието може да бъде оттеглено, поради което обработването на лични данни само въз основа на съгласие не винаги е най-удачен избор и е добре да се направи преценка дали не е налице друго правно основание. Във връзка с повишения обществен интерес и явната значимост на този въпрос, КЗЛД изготви информационен материал относно случаите, в които администраторите / обработващите лични данни не следва да изискват съгласие от физическите лица, за да събират и обработват техни лични данни. Съгласието е едно от основанията за събиране и обработване на лични данни. Независимо от факта, че то е посочено на първо място, важно е да се знае, че всички правни основания са алтернат...
Прочетете още

Част 3. Кой е администратор, кой - обработващ и трябва ли да има длъжностно лице за защита на данните?

-
Изображение
Администраторът - това е всяко физическо или юридическо лице, държавен орган или орган на местната власт, агенция или друга структура, която самостоятелно определя целите и средствата за обработването на лични данни в хода на своята дейност или бизнес. Това, което трябва да се знае е, че занапред администраторите няма да се регистрират в Комисията за защита на личните данни - това задължение отпада, а сега съществуващите регистри на администраторите вече няма да се поддържат. Но всеки, който борави с лични данни /а това са на практика всички фирми - най-малкото заради личните данни на служителите си/, ще има задължения по този регламент. Администраторът - физическото или юридическо лице, сдружение, структура и др., носи отговорността за спазването на правилата за защита на личните данни. То ще понесе и тежестта на санкцията, ако ги наруши. Освен това тежестта на доказване, че изискванията на закона са спазени, тежи върху администратора - при проверка от...
Прочетете още