Комисията за защита на личните данни (КЗЛД) прие ново Становище с рег. № РД-01-102/28.06.2023 г. относно длъжностите на „длъжностно лице по защита на личните данни” и на „служител, отговарящ за разглеждане на сигнали” в администрацията и кои са най-подходящите лица или звена в рамките на задължения субект от публичния сектор да изпълняват тези функции.
Кой може да е длъжностно лице по защита на данните?
Съгласно Общия регламент за защита на данните (GDPR) длъжностно лице по защита на данните в администрацията може да е:
- служител, който е назначен на самостоятелно обособена длъжност „длъжностно лице по защита на данните” с пълно работно време;
- служител, който е назначен на длъжност с непълно работно време в повече от един административен орган;
- служител, който изпълнява тази длъжност по съвместителство – при спазване на ограниченията по Закона за държавния служител или Кодекса на труда;
- служител, който изпълнява функциите на ДЛЗД по възлагане със заповед в рамките на административната структура и др.;
- външно лице, което изпълнява функциите на ДЛЗД въз основата на договор за услуги с администратора или обработващия. Единствено функциите на длъжностни лица по защита на данните в структурите и за целите на компетентните органи по смисъла на Директива (ЕС) 2016/680, респ. Глава осма от ЗЗЛД, не могат да се изпълняват от външни за компетентния орган лица.
Независимо дали ДЛЗД е член на персонала на администратора/обработващия, дали съвместява длъжността или изпълнява задачи по договор за услуги, той трябва „да изпълнява своите задължения и задачи независимо” и функциите му „да не водят до конфликт на интереси”. За това, според КЗЛД, длъжностно лице по защита на данните може да е лице, различно от администратора/обработващия, както и от лицата, които определят целите и средствата за обработването на лични данни при съответния администратор/обработващ.
Следователно, ДЛЗД НЕ може да бъде ръководител на административния орган, главен/изпълнителен директор, главен оперативен директор, главен финансов директор, главен медицински директор, ръководител на маркетингов отдел, ръководител на отдел „Човешки ресурси” или ръководител на ИТ отдел, както и други по-низши длъжности в организационната структура, ако тези длъжности са свързани с определяне на целите и средствата за обработване на данните.
Няма нормативно задължение функцията на ДЛЗД да се урежда в устройствения правилник на административния орган. Тя следва да е изведена от структурата на общата и специализираната администрация на административния орган и да е пряко подчинена на най-висшето ръководство. Напр. лице, назначено на експертна длъжност в общата или специализираната администрация на административния орган и определено със заповед да изпълнява и функциите на ДЛЗД се отчита на:
- прекия си ръководител в структурното звено на администрацията, където е назначен – за функциите по експертната си длъжност;
- пряко на най-висшето ръководство – за функциите си на ДЛЗД.
КЗЛД подчертава, че когато е обособена самостоятелна длъжност „ДЛЗД“, тя трябва да е извън структурата на общата или специализираната администрация. В другите случаи обаче – при съвместителство, по заповед, на непълно работно време, в повече от един администратор и т.н. – длъжността е само функционално обособена.
Кой може да е служител, отговарящ за разглеждането на сигнали по ЗЗЛПСПОИН?
Съгласно ЗЗЛПСПОИН служител, отговарящ за разглеждането на сигнали, може да е:
- длъжностно лице в структурата на задължените лица, натоварени с обработването и защитата на лични данни, или
- друг служител в структурата на задължените лица.
Според Становище рег. № РД-01-102/28.06.2023 г. на КЗЛД, няма пречка функцията на служител, отговарящ за разглеждането на сигнали по ЗЗЛПСПОИН, да бъде възложена на инспектор/и или друг/и служител/и от инспекторатите по Закона за администрацията. Също така, тези функции могат да бъдат възложени и на друго лице от администрацията, стига да се гарантира неговата независимост при разглеждането на сигналите и да не е в конфликт на интереси в тази хипотеза.
Независимо от административното йерархично подчинение между дадени структури, техни поделения или звена в администрацията (напр. министерство и изпълнителна агенция; община и общински предприятия или детски градини и др. под.), за възникване на задължението за изграждане и поддържане на вътрешен канал по ЗЗЛПСПОИН, определящо е качеството „самостоятелен работодател” по смисъла на § 1, т. 2 от ДР на ЗЗЛПСПОИН на съответната структура, поделение или звено и броя служители, а не йерархичната субординация в организацията, правно-организационната форма или това кой избира/назначава и освобождава ръководителя ѝ.
Напомняме, че работодателите в публичния сектор НЕ могат да възлагат функциите по приемане, регистриране и разглеждане на сигнали по ЗЗЛПСПОИН на физически или юридически лица, извън тяхната структура. Ако административният орган се полза от услугите на външно ДЛЗД, то не може да изпълнява функциите на служител, отговарящ за разглеждането на сигнали по ЗЗЛПСПОИН.
Изборът на най-подходящите лица или звена в рамките на задължения субект от публичния сектор по ЗЗЛПСПОИН, които могат да бъдат определени да разглеждат сигнали и да предприемат последващи действия по тях, зависи от структурата на субекта, но според КЗЛД във всеки случай тяхната функция следва да е такава, че да гарантира независимост и липса на конфликт на интереси.
Ако се нуждаете от изготвяне на правила за вътрешно подаване на сигнали, изготвяне на документи по GDPR или други правни консултации и съдействие във връзка със задълженията по GDPR или по ЗЗЛПСПОИН, свържете се с нас на тел.: 02 851 72 59 или по e-mail: office@kgmp-legal.com
Изпратете запитване
