Отговаря Андрей АЛЕКСАНДРОВ - доц. д-р по трудово право
В предприятието ни работят около 35 служители, а клиентите ни са само юридически лица. Имаме ли при това положение задължение да определяме длъжностно лице по защита на данните и с какво би трябвало да се занимава то?
От 25 май 2018 г. започна да се прилага Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент за защита на личните данни). В него са регламентирани статусът и функциите на длъжностните лица по защита на данните (ДЛЗД).
ДЛЗД е “отговорник” по въпросите, свързани със защитата на личните данни в организацията на администратора или на обработващия лични данни. То е служител на администратора/обработващия или външно за организацията лице, натоварено с консултативни функции в областта на защитата на личните данни, надзор по спазването на Регламента в организацията и повишаването на осведомеността и обучението на персонала. Това лице информира и съветва администратора или обработващия лични данни и служителите, които извършват обработване, за техните задължения по силата на нормативните актове за защита на личните данни, наблюдава спазването на правилата за защита на личните данни и на съответните вътрешни политики, съдейства при извършване на оценка на въздействието, осъществява връзка с надзорния орган и служи като точка за контакт на субектите на данни при упражняване на техните права.
По силата на новите правила могат да се обособят две групи случаи на определяне на ДЛЗД. При първата от тях то представлява правно задължение и евентуалното му неизпълнение може да доведе до налагане на санкции на задължените лица. Във втората група случаи определянето на ДЛЗД става по избор на съответната организация, с цел да се оптимизира защитата на обработваните лични данни. Независимо дали определянето на ДЛЗД е било задължително или е предприето от организацията доброволно, неговите статут и функции са еднакви.
Хипотезите на задължително определяне на ДЛЗД според Регламента са следните:
• Когато обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции.
• Когато основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни.
• Когато основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения.
Описаните по-горе хипотези налагат няколко уточнения, например кога обработването на данни представлява основна дейност на администратора или на обработващия. За “основни дейности” се считат ключовите операции, които са необходими за постигането на целите на администратора или обработващия лични данни. Обработването на данни е основна дейност и в случаите, когато то е неразделна част от останалите дейности на организацията. Така например основната дейност на една болница - без съмнение - е предоставянето на здравно обслужване. Болницата обаче не може да предоставя здравно обслужване безопасно и ефективно, без да обработва данни за здравословното състояние, като например здравни досиета на пациенти. Следователно обработването на тези данни следва да се счита за една от основните дейности на всяка болница и съответно болниците трябва да определят ДЛЗД.
Обратно, дейности като обработка на данни на работници и служители с цел изплащане на възнагражденията им или стандартна ИТ поддръжка на системите не следва да се считат за основна дейност на администратора/обработващия. Това са примери за спомагателни функции, които са необходими за основната дейност или основното направление на стопанската дейност на организацията.
Що се отнася до хипотезите на мащабно обработване на данни, липсва точен количествен критерий кога е налице такова обработване. При преценката следва да се вземат под внимание фактори като броя на субектите на данни, обема или вида данни, които се обработват, продължителността на обработването, географския обхват на обработването. При това тези критерии следва да се съобразят кумулативно (едновременно), а не самостоятелно. Обработването например може да се осъществява паралелно в няколко държави членки и да е налице широк географски обхват, но да засяга малко на брой лица и незначителен обем данни. В този случай то няма да се характеризира като мащабно.
Понятието за редовно и систематично наблюдение на субектите на данните също не е изрично дефинирано в Регламента. За “редовно” се счита напр. текущото или възникващо на определени интервали за определен период наблюдение. То е систематично, когато се осъществява чрез система, организирано е или е част от целенасочен план или стратегия за събиране на данни.
Въпреки че въпросът дали трябва да бъде определено ДЛЗД винаги налага анализ на конкретната обстановка, от данните в запитването може да се предположи, че в случая е слабо вероятно да възникне такова задължение за дружеството. По-вероятно е, ако се идентифицира необходимост от определяне на ДЛЗД, това да е доброволно предприета мярка за по-добрата организация на работата с лични данни в дружеството.