С въвеждането на Регламент (ЕС) 2016/679, познат като Общ регламент за защита на данните (GDPR), бе установена фигурата на длъжностното лице по защита на данните (ДЛЗД). То изпълнява ключова роля в осигуряването на съответствие с разпоредбите на GDPR и е сред главните отговорници за защитата на личните данни в рамките на организациите.

I. Възможности за назначаване на ДЛЗД

Длъжностното лице по защита на данните може да бъде:

• Вътрешен служител на организацията – администратор или обработващ лични данни;
• Външно лице или фирма, наета чрез договор за услуга за изпълнение на задълженията на ДЛЗД.

Ако длъжностното лице е вътрешен служител, то може да има и други задължения, но само при условие, че това не създава конфликт на интереси. Основните отговорности на ДЛЗД включват осигуряване на спазването на вътрешните политики и правилата за защита на данните от страна на всички служители, които обработват лични данни. Лице, на което са възложени решенията относно целите и методите на обработка на лични данни, не може да бъде назначено за ДЛЗД, тъй като това би означавало да се самоконтролира.

Важно: Не се допуска лицето, изпълняващо функциите на ДЛЗД, да съвместява тази длъжност с ръководни роли като:

• главен изпълнителен директор,
• главен оперативен директор,
• главен финансов директор,
• ръководител на отдел „Човешки ресурси“,
• ръководител на отдел „Информационни технологии“.

Работодателят трябва да прецени внимателно обема на задълженията, които могат да се комбинират с работата като ДЛЗД. В длъжностната характеристика е необходимо да се посочи какъв дял от работното време ще бъде посветен на задълженията на ДЛЗД, за да се избегнат конфликтни ситуации и недостатъчно изпълнение на задълженията.

Договор за допълнителен труд за изпълнение на функциите на ДЛЗД

Когато обемът на основните трудови задължения е голям, препоръчително е функциите на ДЛЗД да бъдат изпълнявани с договор за допълнителен труд по чл. 110 от Кодекса на труда (КТ), в случаите, когато служителят ще поема тези отговорности извън основното си работно време.

Практически проблеми за малките и средни предприятия

При малките и средни предприятия често се възлага на служители да изпълняват функциите на ДЛЗД, паралелно с други задължения. Обикновено тези служители нямат необходимите експертни знания или време за изпълнение на тези функции. При възникване на непредвидени обстоятелства, като напускане, отсъствие поради болест или майчинство, работодателите могат да останат без длъжностно лице по защита на данните и да се изложат на риск от проверка от надзорния орган по защита на личните данни.

II. Назначаване на общо ДЛЗД в група предприятия

Група свързани предприятия може да назначи общо ДЛЗД за всички юридически лица. В този случай обаче всяко предприятие трябва да има лесен и свободен достъп до това лице. Отношенията между предприятията и ДЛЗД могат да бъдат уреждани с договор по чл. 111 от КТ (трудов договор за външно съвместителство) или чрез граждански договор за услуга.

III. Изисквания за образование и квалификация на ДЛЗД

Според GDPR няма специални изисквания за образование и квалификация на ДЛЗД в частния сектор. Лицето обаче трябва да има познания в областта на законодателството за защита на личните данни и опит с процесите в организацията на администратора или обработващия данни, включително информационните системи и методи за осигуряване на сигурност. Работодателят преценява сам какви квалификации са необходими за тази длъжност според спецификата на дейността и обема на обработваните данни.

Специални изисквания за ДЛЗД в държавната администрация: Назначаването на ДЛЗД в държавната администрация подлежи на специфични изисквания, описани в Класификатора на длъжностите.

IV. Уведомяване на надзорния орган за назначаване на ДЛЗД

Администраторът на лични данни е задължен да публикува данните за контакт с ДЛЗД и да ги съобщи на надзорния орган . Данните могат да включват адрес, телефонен номер и електронна поща. Не се изисква посочване на името на служителя, но е добра практика да бъде публично достъпно.

Ако уведомлението се подава по електронен път, то трябва да е подписано с квалифициран електронен подпис. Когато ДЛЗД е юридическо лице, надзорният орган трябва да бъде информиран за конкретното физическо лице, което изпълнява тези функции.

V. Задължения на длъжностното лице по защита на данните

ДЛЗД има задължение да:

• Консултира и информира администратора или обработващия, както и служителите, обработващи данни, относно техните отговорности по GDPR.
• Наблюдава съответствието с изискванията за защита на лични данни.
• Следи за прилагането на политиките за защита на личните данни в организацията, включително обучението и осведомеността на персонала.
• Предоставя съвети за оценка на въздействието върху защитата на данните и извършва наблюдение.
• Гарантира конфиденциалност при изпълнение на задълженията си.
• Сътрудничи с надзорния орган по всички въпроси, свързани с обработката на лични данни.
• Поддържа регистър на дейностите по обработване на данни, за които отговаря.
• Действа като точка за контакт за надзорния орган и по целесъобразност за консултации по други въпроси.

Допълнителните задължения на ДЛЗД могат да включват изготвяне и актуализиране на вътрешни политики за защита на данните и други подобни задължения.

VI. Отговорност на ДЛЗД

ДЛЗД не носи лична отговорност за неспазване на GDPR. Отговорността за нарушения на регламента остава на администратора или обработващия данни. Ако ДЛЗД е назначено на трудов договор, отговорността му се регулира от Кодекса на труда и включва:

• Дисциплинарна отговорност за неизпълнение на задълженията,
• Имуществена отговорност в случай на нанесени вреди поради небрежност при изпълнение на служебните задължения.

При прекратяване на договора за ДЛЗД, работодателят е длъжен да спази предвидените в закона изисквания и обезщетения.

Предимства на външната услуга за ДЛЗД: Назначаването на ДЛЗД като външен изпълнител предоставя на администратора по-голяма гъвкавост при прекратяване на договора и възможност за включване на по-голяма отговорност за вреди в самия договор.

В случай, че се нуждаете от съдействие за изготвяне на документи или от консултация в областта на защита на личните данни, свържете се с нас на тел.: 0887550706 или по e-mail: philipiliev@mail.bg