Част 5: Какво ще работи длъжностното лице по защита на данните? И защо то може да се окаже полезно?

-

Длъжностното лице по защита на данните всъщност не е нова фигура - то съществува в нашето законодателство отпреди около пет години. Това е така нареченият Data Protection Officer. Както вече казахме, той се определя въз основа на професионалните му качества и личните способности - една съвкупност от правни познания, практически опит в областта на защитата на данните и лични възможности да се справи с поставените му задачи. Неговата задача е да консултира, да съветва, да анализра, да дава становище. Но цялата отговорност за защита на личните данни се носи от администратора на лични данни.

Според регламента длъжностното лице трябва да участва "по подходящ начин и своевременно" при решаването на всички въпроси, свързани със защитата на личните данни. Което означава, че то трябва да има достъп до висшите ръководни нива във фирмата, които всъщност взимат решенията. Освен това служителят се "отчита пряко пред най-висшето ръководно ниво на администратора или обработващия лични данни" и пред никой друг от фирмата.

Освен това длъжностното лице трябва да разполага с необходимия ресурс - като правомощия и техническа осигуреност, с доверието и подкрепата на ръководния екип на фирмата, както и с достъп до личните данни и операциите по тяхното обработване.


Администраторът и обработващият данните имат задължение да подпомагат дейността на длъжностното лице. Освен това за длъжни и да "поддържат неговите експертни знания", което означава най-малкото да не възпрепятстват  длъжностното лице, когато му е необходимо да се включи в курсове или обучения, свързани с неговата дейност, да му осигурят достъп до правно-информационни системи, посредством които то да поддържа информираността си относно съдебната практика по въпросите на защитата на личните данни и др.

Освен това регламентът изисква длъжностното лице да бъде защитено от всеки опит да получава указания "отгоре": с други думи не шефът ще казва какво да прави то, а обратното - ръководството  трябва да слуша какво ще е необходимо да направи, за да не се стига до санкции за нарушение на закона.

И още нещо важно: длъжностното лице не може нито да бъде уволнявано, нито да търпи каквито и да било санкции във връзка с изпълнението на задълженията си - пак повтаряме, че отговорността за спазването на закона и евентуалното нарушение на правилата не е на длъжностното лице, а на администратора.

Логично е изискването длъжностното лице да спазва секретността ири поверителността на информацията, която му става известна в хода на изпълнението на задачите му.

Задачите на длъжностното лице по защита на данните също са определени в регламента - само като минимум. В случай, че работата изисква обемът от ангажиментите му да бъде увеличен, това е напълно възможно.

Минимумът задачи изисква от длъжностното лице да:

- да информира и съветва администратора или обработващия лични данни и служителите, които извършват обработване, за техните задължения,

-да наблюдава спазването на регламента, и българското законодателство и вътрешнофирмените политики по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити,

- при поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката,

- да си сътрудничи с надзорния орган,

- да действа като точка за контакт за надзорния орган по въпроси, свързани с обработването,

- да приема всички въпроси, свързани с обработването на лични данни и упражняването на правата от субектите на данни,

- може да изпълнява и други задачи и задължения, като администраторът или обработващият лични данни прави необходимото тези задачи и задължения да не водят до конфликт на интереси.

Точно в задължението да действа като "точка за контакт" в отношенията със субектите на лични данни, от друга страна - със служителите, които се занимават с обработка на данни, а от трета - и с надзорния орган /в случая Комисията за защита на личните данни/, е една от най-големите практически ползи от назначаването на такова лице. То ще ще облекчи ръководството на фирмата от ангажимента да се занимават с проблеми и материя, които са непонятни и сложни за тях. А този ангажимент със сигурност няма да е еднократен.

Освен това съсредоточаването на отговорноста по съобразяването на вътрешнофирмените правила със закона, както и на наблюдението върху изпълнението на тези правила в ръцете на един служител или външен консултант, който освен това ще може да предлага конкретни мерки и решения на висшия ръководен персонал,  е безспорно най-добрата гаранция, че няма всеки във фирмата да решава да действа така, както сам сметне за правилно - а това със сигурност би довело до проблеми.

И още нещо много важно: преценката на администратора/обработващия за това дали е нужно или не да се назначава длъжностно лице за защита на данните, както и мотивите за това решение , се документира. По-нататък ще видим как и защо.

Важно!
Разясненията, които четете тук, нямат характер на адвокатска консултация. Тяхната цел е просто да помогнат на "малките" играчи на пазара да разберат какви са новите им задължения, за да могат да се изправят пред тях без излишна паника.

Коментари

Публикуване на коментар

Популярни публикации от този блог

КЗЛД: Кога не се иска съгласие от субекта на данните

-
Изображение
В последно време сме свидетели на засилено искане на съгласие за събиране и обработване на лични данни на граждани при предоставянето на различни видове услуги. В КЗЛД ежедневно постъпват сигнали и въпроси относно необходимостта да се иска и дава съгласие. Не трябва да се забравя, че както лесно е дадено, така лесно съгласието може да бъде оттеглено, поради което обработването на лични данни само въз основа на съгласие не винаги е най-удачен избор и е добре да се направи преценка дали не е налице друго правно основание. Във връзка с повишения обществен интерес и явната значимост на този въпрос, КЗЛД изготви информационен материал относно случаите, в които администраторите / обработващите лични данни не следва да изискват съгласие от физическите лица, за да събират и обработват техни лични данни. Съгласието е едно от основанията за събиране и обработване на лични данни. Независимо от факта, че то е посочено на първо място, важно е да се знае, че всички правни основания са алтернат...
Прочетете още

Част 3. Кой е администратор, кой - обработващ и трябва ли да има длъжностно лице за защита на данните?

-
Изображение
Администраторът - това е всяко физическо или юридическо лице, държавен орган или орган на местната власт, агенция или друга структура, която самостоятелно определя целите и средствата за обработването на лични данни в хода на своята дейност или бизнес. Това, което трябва да се знае е, че занапред администраторите няма да се регистрират в Комисията за защита на личните данни - това задължение отпада, а сега съществуващите регистри на администраторите вече няма да се поддържат. Но всеки, който борави с лични данни /а това са на практика всички фирми - най-малкото заради личните данни на служителите си/, ще има задължения по този регламент. Администраторът - физическото или юридическо лице, сдружение, структура и др., носи отговорността за спазването на правилата за защита на личните данни. То ще понесе и тежестта на санкцията, ако ги наруши. Освен това тежестта на доказване, че изискванията на закона са спазени, тежи върху администратора - при проверка от...
Прочетете още

Част 4: Кой е длъжен да назначи специален служител по данните?

-
Изображение
Първо трябва да изясним кой има задължението да назначи такова длъжностно лице. Според регламента администраторът и обработващият лични данни определят длъжностно лице по защита на данните във всички случаи, когато са публични органи или структури, когато основната им дейност се състои в обработването на лични данни и това обработване е редовно, систематично и мащабно, както и когато обработват "специални данни" - за присъди и нарушения, за здравословно състояние и др. В предложението за промени в българския Закон за защита на личните данни /ЗЗЛД/ обаче е записано, че администраторът или обработващият лични данни ще е длъжен да назначи длъжностно лице по защита на данните винаги, когато обработва данните на повече от 10 000 физически лица.
Прочетете още