Регламент (ЕС) 2016/679 (ОРЗД, GDPR) въведе фигурата на т.нар. длъжностно лице по защита на данните.

Длъжностно лице по защита на данните (ДЛЗД) може да бъде:
  • служител на администратора или обработващия, или
  • външно за организацията на администратора или обработващия лице.

Ако за ДЛЗД бъде назначен служител, няма пречка той да изпълнява и други функции при администратора или обработващия. Съвместяваните длъжности обаче трябва да не водят до конфликт на интереси. Едно от основните задължения на ДЛЗД е да следи дали служителите, които обработват лични данни, спазват приетите в организацията правила и политики. Ако лицето, назначено за ДЛЗД, определя целите и средствата за обработване на лични данни, това би означавало да контролира самò себе си.

Затова НЕ може функциите на ДЛЗД да бъдат съвместявани със следните длъжности:
  • главен изпълнителен директор;
  • главен оперативен директор;
  • главен финансов директор;
  • ръководителите на звената за човешките ресурси и информационните технологии.

Поради което, работодателят трябва внимателно да определи другите задължения, които служителят може да съвместява с работата си като ДЛЗД. Също така, в длъжностната характеристика следва да се посочи как се разпределя работното му време за изпълнение на съвместяваните функции.

Ако обемът на основните трудови задължения е голям, препоръчително е функциите на ДЛЗД да бъдат възложени с трудов договор за допълнителен труд по чл. 110 от Кодекса на труда. В този случай, задълженията на служителя като ДЛЗД ще бъдат изпълнявани извън установеното за него работно време по основното трудово правоотношение.

Практиката показва, че много малки и средни фирми възлагат на свои служители да изпълняват функцията на ДЛЗД наред с другите си задължения. Тези служители обаче нямат достатъчно експертни знания в областта, нямат време поради натовареност с други задължения и не успяват (а някои и не желаят) реално да изпълняват и функциите си на ДЛЗД. Дори работодателят да заплати обучението на такъв служител, при евентуално негово напускане няма да има кой да го замести. Проблеми възникват и при продължително отсъствие на такъв служител поради болест или майчинство. Всичко това поставя работодателят в риск някой недоволен или бивш служител да му предизвика проверка от надзорния орган.

Няма пречка група предприятия да имат общо длъжностно лице по защита на данните.

Единственото изискване е всяко от предприятията да има лесен и свободен достъп до това лице. Отношенията между отделните предприятия и ДЛЗД могат да се уредят с трудов договор по чл. 111 от КТ (т.нар. външно съвместителство) или с граждански договор за услуга.

Няма законови изисквания за вид и степен на образование или професионална квалификация на лицето, което може да бъде назначено за ДЛЗД в частния сектор. Общият регламент относно защита на данните предвижда само, че лицето трябва да притежава експертни познания в областта на законодателството и практиката на защитата на личните данни, да познава сектора и организацията на администратора или обработващия, както и операциите по обработка, информационните системи, сигурността на данните и необходимостта от тяхната защита. Всеки работодател сам определя конкретните изисквания за заемане на тази длъжност в зависимост от чувствителността, сложността и количеството данни, които се обработват.

За заемане на длъжността „ДЛЗД“ в държавната администрация има конкретни изисквания. Те са посочени в Класификатора на длъжностите в администрацията (редове 109а, 111а, 178а и 262а).

Администраторът или обработващият лични данни са длъжни да публикуват данните за контакт с длъжностното лице по защита на данните и да ги съобщят на надзорния орган. Такива данни за контакт могат да бъдат адрес, телефонен номер, електронна поща и др. Не се изисква да бъде посочено името на служителя, който изпълнява функциите на ДЛЗД. Публикуването на името обаче се приема като добра практика от надзорния орган. При всички случаи обаче служителите трябва да бъдат информирани за името и данните за контакт с ДЛЗД.

Уведомяването на Комисията за защита на личните данни за лицето, определено за ДЛЗД, се извършва чрез уведомление по образец. Ако уведомлението се подава по електронен път, то трябва да е подписано с квалифициран електронен подпис.

Когато изпълнител по договор за ДЛЗД като външна услуга е юридическо лице, в договора трябва да се посочи конкретното физическо лице, което ще изпълнява тези функции. В уведомлението до КЗЛД се посочва името на това физическо лице, а не юридическото лице-изпълнител по договора.

Длъжностното лице по защита на данните има най-малко следните задължения:
  1. да информира и съветва администратора или обработващия лични данни и служителите, които извършват обработване, за техните задължения по защитата на лични данни;
  2. да наблюдава спазването на ОРЗД и на другите нормативни разпоредби за защитата на лични данни;
  3. да следи за спазването на политиките на администратора или обработващия по отношение на защитата на личните данни, включително възлагането на отговорности;
  4. да участва в повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване и съответните одити;
  5. при поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката;
  6. да спазва конфиденциалност при изпълнение на задълженията си;
  7. да си сътрудничи с надзорния орган;
  8. да поддържа регистър на дейностите по обработване, за които отговаря;
  9. да действа като точка за контакт за надзорния орган по въпроси, свързани с обработването, включително предварителната консултация по чл. 36 от ОРЗД и по целесъобразност да се консултира по всякакви други въпроси.

На ДЛЗД могат да бъдат възложени и други задължения. Например изготвянето и актуализирането на вътрешните политики и другите документи по защита на личните данни, воденето на регистъра на операциите по обработване и др.

Длъжностното лице по защита на данните НЕ носи лична отговорност в случай на нарушение на ОРЗД.

Отговорността е на администратора или обработващия. Те трябва да доказват, че обработването на лични данни се извършва в съответствие с приложимото законодателство.

Ролята на ДЛЗД е преди всичко консултативна. Това обаче не означава, че длъжностното лице въобще не носи отговорност. То отговаря за неизпълнение на своите задължения пред своя работодател, респ. възложител.

Когато служителят изпълнява функциите на ДЛЗД по трудов договор, относно отговорността му се прилагат правилата на Кодекса на труда.

Той носи дисциплинарна отговорност за неизпълнение на възложените му трудови задължения. Той отговаря и имуществено за вредата, която е причинил на работодателя по небрежност при или по повод изпълнението на трудовите си задължения. В този случай служителят отговаря в размер на вредата, но не повече от уговореното месечно трудово възнаграждение.

Трудовият договор на длъжностно лице по защита на данните може да бъде прекратен на всяко от основанията, предвидени в Кодекса на труда. То обаче не може да бъде освободено от длъжност или да му бъдат налагани дисциплинарни наказания във връзка с изпълнението на задълженията му като ДЛЗД. Например, не е допустимо налагане на наказание от страна на администратора, ако той не е съгласен с дадената от длъжностното лице оценка на въздействие за дадена операция по обработване на лични данни.

При прекратяване на трудовия договор работодателят дължи на служителя предвидените в КТ обезщетения. В случай, че служителят се ползва и от закрилата по чл. 333 от КТ, освобождаването му може да се окаже изключително трудно.

Ако функциите на ДЛЗД се ползват като външна услуга, размерът на отговорността му и основанията за прекратяване се уреждат в самия договор за възлагане.

Едно от предимствата на такава външна услуга е, че договорът се прекратява значително по-лесно.

Също така, в договора може да се предвиди по-голям размер на отговорността за обезщетение за причинените на администратора или обработващия вреди.

В случай, че се нуждаете от съдействие за изготвяне на документи или от консултация в областта на защита на личните данни, свържете се с нас на тел.: 02 851 72 59 или по e-mail: office@kgmp-legal.com

За Ваше улеснение сме подготвили този въпросник. Той ще ни помогне да направим оценка на нуждите на Вашето дружество или организация, за привеждане на документацията Ви в съответствие с GDPR:
https://docs.google.com/forms/d/1TrjcWzf0ApNdUdE1AISYSrMRyCenl5WpPsdq5QI0IiQ/viewform?edit_requested=true

Изпратете запитване

Контакти
Първо
Фамилия