Основни задължения на администраторите на лични данни – ключови промени по GDPR

 Основни задължения на администраторите на лични данни – ключови промени по GDPR
 
 
 Д-р Мартин Захариев,
 
Актуално към 07. 03. 2018 г.
 
Общи бележки
 
В продължение на материала от предишния брой на тема основания за обработване на лични данни и основни права и задължения на субектите на данни съгласно новия европейски регламент за защита на личните данни – Регламент 2016/679 (GDPR/ Регламента) – настоящият анализ е посветен на основните задължения, които GDPR предвижда за администраторите на лични данни.
 
Това е от особено значение в контекста на новия принцип за „отчетност“, който GDPR въвежда.
Съгласно този принцип администраторите носят тежестта и са длъжни по всяко време да са в състояние да докажат спазването на изискванията на Регламента.
 
Иначе казано, при евентуална проверка от Комисията за защита на личните данни (КЗЛД) всеки администратор трябва да е в състояние да представи писмени доказателства (включително и в електронна форма) за спазването на GDPR – например да има:
 
  • необходимите договори,
  • политики за защита на данните,
  • вътрешни правила и инструкции,
  • доказателства за получено съгласие, когато обработването се основава на това основание (1), и други подобни.
Преди да се насочим към самите задължения обаче първо следва да се направят няколко терминологични обяснения, а именно да се изясни какво представлява т.нар. „администратор“ на лични данни.
 
Администраторът винаги е бил и ще продължи да бъде централна фигура в режима на защита на личните данни.
 
GDPR го дефинира като физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни“ (2).
 
Същността на администратора много ясно се проявява в английския еквивалент на този термин – data controller.
 
Иначе казано, това е субектът (бил той физическо или юридическо лице, публичноправен или частноправен субект), който контролира процеса по обработване на лични данни.
 
Именно администраторът определя:
 
  • за какво се обработват данните (т.е. целите на обработването) и
  • по какъв начин ще се обработват (т.е. средствата за обработване).
Класически примери за администратори на лични данни са:
 
  • работодателите, които обработват лични данни на своите служители в контекста на трудовите правоотношения;
  • търговците при обработване на данни на своите клиенти/ бизнес партньори/ подизпълнители;
  • публичните органи при обработване на данни на гражданите с цел предоставяне на различни видове административни услуги (напр. издаване на удостоверение за данъчна оценка) или съдействие за изпълнение на законови задължения (обработване на информация за данъчни и осигурителни плащания, регистриране на придобити МПС и много други) (3).
Фигурата на администратора следва да се отличава от другата ключова фигура, която (макар и не задължително) би могла да участва в процеса по обработване на лични данни – това е т.нар. обработващ лични данни.
 
Обработващият обработва лични данни от името на администратора.
 
Администраторът остава този, който определя:
 
  • целите и
  • средствата за обработване.
Нещо повече, именно защото администраторът определя средствата за обработване, той може да реши да обработва сам личните данни и това би било напълно в съответствие с правилата за защита на личните данни.
 
По определени причини обаче (икономически съображения, бизнес решения, липса на собствени ресурси и достатъчно квалифициран персонал и т.н.) администраторът може да реши да превъзложи дейностите по обработване на трети лицанапример:
 
  • да наеме външна счетоводна фирма,
  • да прехвърли данните си на външен облак или
  • да премести хардуера си в специален дейта център (т.нар. услуги по колокация (4)) и друго подобни.
В тези случаи посочените лица ще действат като обработващи от името на администратора.
 
Разбира се, обработващите също имат определени задължения при обработването.
 
Нещо повече, GDPR въвежда за първи път у нас административнонаказателна и имуществена отговорност и за обработващи (5).
 
Задълженията на обработващите обаче ще бъдат предмет на отделен анализ и няма да бъдат засягани в настоящото изложение.
 
С оглед изложеното, настоящият анализ има за цел да изясни някои ключови промени и нововъведения, които GDPR ще въведе относно задълженията на личните данни.
Извън обхвата на настоящия анализ остава напр. задължението за извършване на оценка на въздействието, т.к. такава се изисква и по сегашния режим (6).
 
Ето защо, в следващите редове ще се спрем на по-новите и непознати задължения и ще дадем отговор на следните въпроси:
 
  1. Какво означава принципът защита на данните на етапа на проектирането и по подразбиране (privacy by default & privacy by design);
  2. Кога трябва да се водят регистри на дейностите по обработване по чл. 30 от GDPR;
  3. Какви са изискванията по отношение на сигурността и какви са задълженията при нарушение на сигурността на данните;
  4. Какво представлява и кога трябва да се назначи длъжностно лице по защита на данните.
Настоящият анализ е без претенции за изчерпателност, защото комплексният анализ на промените, въведени с GDPR, далеч би надхвърлил целите на настоящото изложение (7).
 
 
1. Защита на данните на етапа на проектирането и по подразбиране (privacy by default & privacy by design)
 
Защитата на данните на етапа на проектирането и по подразбиране е изцяло ново изискване, непознато по сега действащата Директива 95/46 и имплементиращият я у нас Закон за защита на личните данни (ЗЗЛД).
 
Това изискване касае цялостната дейност по обработване на лични данни, още преди самото обработване да е започнало както и през целия период, докато трае то, поради което същото може да оприличи на своеобразен нов принцип за защита на личните данни.
 
Макар да се съдържат в една разпоредба (чл. 25 от GDPR), защитата на данните:
 
  • на етапа на проектирането и
  • по подразбиране
са две напълно различни неща и не следва да се смесват.
 
  • Защитата на данните на етапа на проектирането измества защитата на личните данни на един много по-ранен етап.
Администраторът е длъжен да въведе, както
 
-   към момента на определянето на средствата за обработване, така и
-   към момента на самото обработване,
 
подходящи технически и организационни мерки, за да се спазят изискванията на принципите на GDPR и да се осигури защита на правата на субектите на данни.
 
Това изискване предполага при внедряването на всяка нова услуга или бизнес процес администраторът да взема предвид правилата за защитата на личните данни.
 
Така например, ако администраторът планира кампания по директен маркетинг за рекламиране на дадена нова стока/услуга чрез имейли и SMS-и, същият следва още преди самото осъществяване на обработването да съобрази поне следните неща:
 
  1. има ли законосъобразно основание за това обработване (по отношение на директния маркетинг трайното разбиране на КЗЛД е, че той следва да се осъществява въз основа на предварително съгласие), ето защо администраторът следва да има писмено доказателство за такова съгласие:
-   декларация,
-   отметнато поле в електронна форма със съответен лог файл и други подобни;
 
  1. да оцени доколко съответните данни са пропорционални на преследваната цел – например, дали потребителите ще бъдат потърсени:
-   на произволен принцип или
-   на база на някаква допълнителна информация за тях (например, извлечени от посещения в уебсайт и активност в интернет лични предпочитания и интереси, оценка за платежоспособност, оценка за добри/лоши клиенти/платци и др. под.);
 
  1. да оцени средствата за самото обработване – например, да отчете обстоятелство, че в някои случаи субектите (потребителите) биха били по-чувствителни, ако получават съобщения на мобилните си телефони, отколкото по имейл и други подобни.
Иначе казано, защитата на личните данни следва да не бъде „последна грижа“ за администратора, а централен фактор при вземане на дадено бизнес решение.
 
  • Защита на данните по подразбиране пък е тясно свързана с начина, по който се извършва самото обработване на данните.
Съгласно този принцип, автоматично (т.е. по подразбиране) следва да се прилагат най-стриктните настройки за поверителност/защита на личните данни, след като потребителят веднъж вече е придобил нов продукт или услуга.
 
Така например, ако инсталираме нов софтуер, по подразбиране същият следва да събира минимално количество данни за потребителя, а ако последният разреши – да събира и някаква допълнителна информация.

В някои социални мрежи например, в опреден етап автоматично при споделяне на информация (изпращане на чат-съобщения, споделяне на коментари и публикации) се генерираше информация за местоположението на потребителя. Това в бъдеще не следва да става „по подразбиране“, а само ако потребителят изрично е разрешил тази допълнителна опция чрез настройките на съответното приложение.
 
 
2. Регистри на дейностите по обработване по чл. 30 от GDPR
 
Въвеждането на регистри на дейностите по обработване е своеобразно проявление на принципа на „отчетност“.
 
С въвеждането на това задължение организациите сами следва да бъдат отговорни за документирането на вътрешните процеси по обработване на данните, като това трябва да стане в нарочни регистри.
 
Целта с въвеждането на задължение за водене на вътрешни регистри е „да се намали административната тежест за бизнеса“, като администраторите се освободят от задължението за регистрация пред надзорния орган, което съществува в някои държави членки. Според GDPR това задължение създава административна и финансова тежест и невинаги е допринасяло за подобряването на защитата на личните данни.
 
Ето защо, съгласно Регламента, такива неправещи разграничения общи задължения за уведомяване следва да бъдат премахнати и заменени с ефективни процедури и механизми, които да са насочени към онези видове операции по обработване, които има вероятност да доведат до висок риск за правата и свободите на физическите лица поради своето естество, обхват, контекст и цели (съображение 89 от GDPR).
 
Намаляването на административната тежест като цяло е една от амбициозните цели на европейския законодател с приемането на GDPR, която обаче на практика ще се реализира с променлив успех, най-малкото защото организациите на този етап не се подготвени самостоятелно да понесат тежестта изцяло сами да документират обработването на данни.
 
Съществуващия в България регистрационен режим малко или много улесняваше организациите, най-малкото поради съществуващите утвърдени бланки за регистрация, които се подаваха към КЗЛД.
 
С това задължение обаче GDPR изцяло променя съществуващата рамка на отношенията с надзорния орган, като прехвърля тежестта изцяло върху организациите – вече всяка организация сама ще бъде отговорна за воденето на своите вътрешни регистри.
 
Задължението за регистрация в КЗЛД отпада от 25 май 2018 г. (8)
 
Безспорно най-голямо значение за бизнеса има отговорът на въпроса всеки администратор ли е длъжен да води регистри на дейностите по обработване и има ли изключения от това задължение.
 
Съгласно GDPR, задълженията за водене на регистър „не се прилагат по отношение на предприятие или дружество с по-малко от 250 служители“, освен ако:
 
  • има вероятност извършваното обработване да породи риск за правата и свободите на субектите на данни,
  • обработването не е спорадично, или
  • обработването включва специални категории данни (напр. данни за здравето, за членство в синдикални организации и др. под.) или лични данни, свързани с присъди и нарушения.
Ако някоя от посочените хипотези е налице, компаниите трябва да водят регистри дори да имат под 250 служители. В тази връзка следва да се направят няколко уточнения.
 
  • Първо, работодателите събират съществена и подробна информация за служителите си (напр. имена, постоянен адрес, ЕГН, финансова информация, здравословна информация и т.н.). Ето защо, обработването в контекста на трудовото правоотношение би могло да се приеме за рисково.
  • Второ, обработването на данни на служителите е редовна дейност в рамките на предприятието, която се извършва по предварително установени правила и процедури. Обработването се извършва редовно, систематично (напр. за управление на човешки ресурси, за счетоводни дейности, за здравна и социално-осигурителни дейности и т.н.), в този смисъл не е спорадично.
  • Трето, по българското право всеки работодател е длъжен по закон да обработва данни за здравето на служителите (напр. за постъпване на работа задължително се изисква медицинско; администрирането на отпуски поради болест, майчинство и т.н., както трудоустрояването на служители с ТЕЛК предполагат обработването на такива данни).
Поради това нашето разбиране е, че по закон всеки работодател трябва да води регистри по чл. 30 GDPR, т.е. и това задължение е приложимо към всяка българска компания със служители.
 
Регистрите най-общо следва да съдържат следната информация:
 
  • името и координатите за връзка на администратора (ако са налице т.нар. „съвместни администратори“ или администраторът е установен извън ЕС и е задължен да назначи представител – данни за този представител).
Ако е назначено длъжностното лице по защита на данните, неговите име и координати също следва да бъдат посочени;
 
  • целите на обработването – тук се имат предвид конкретните цели, за които се обработват данните (управление на човешки ресурси, директен маркетинг, привличане на клиенти и др. под.).
Доколкото при информацията, която следва да се даде на субектите, фигурира целите заедно с правното основание за обработването, препоръчваме тази информация също да фигурира в регистъра.
След като администраторът веднъж ще е извършил мисловното усилие да привърже целите със съответното правно основание, за да даде тази информация на субекта, няма да представлява особена пречка същата да се включи в регистъра по чл. 30 от GDPR.
 
Нещо повече, така администраторите ще имат ясна картина обработването за коя цел на кое конкретно основание почива, което ще ги улесни при евентуална проверка от надзорните органи. Например:
 
-   ако обработването е на съгласие, следва да се осигурят документи за него – например, декларации,
-   ако обработването е в изпълнение на законово задължение – следва да се идентифицира текстът от съответния закон, вменяващ задължението и други подобни;
 
  • описание на категориите субекти на данни и на категориите лични данни;
  • категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации (например. самите субекти на данните, държавни органи и други подобни.);
  • когато е приложимо, предаването на лични данни на трета държава/ международна организация, включително идентификацията на тази трета държава/ организация. Ако предаването е на основание подходящи гаранции в тази държави, следва да се посочи и документация за тези подходящи гаранции;
  • предвидените срокове за изтриване на различните категории данни (ако е възможно).
Доколкото сред информацията, която следва да се даде на субектите на данни (9) е информация за сроковете на съхранение на данните, препоръчваме винаги да бъде фиксиран срок/ критерии за определянето му в посочените регистри;
 
  • общо описание на техническите и организационни мерки за сигурност на данните (ако е възможно) – напр. псевдонимизация, криптиране, помещения за съхранение на данните и други подобни.
Воденето на регистри по чл. 30 е един от най-силните инструменти в ръцете на администраторите за спазване на принципа за „отчетност“, поради което препоръчваме за всеки основен бизнес процес да се води такъв регистър независимо от размера на предприятието (например, „Персонал“, „Отношения с клиенти“, „Отношения с доставчици“ и т.н.).
 
В зависимост от спецификите на всяко предприятие, може да възникне нужда регистрите да са на много по-детайлно ниво (например. регистър „Персонал“ да бъде разделен на регистър „Служители“, регистър „Изпълнители по граждански договори“ и др. под.)
 
 
3. Сигурност на данните и задължения при нарушение на сигурността на данните
 
Изискването за сигурност на данните произтича от принципа за „цялостност и поверителност“ на данните.
 
Това задължение предполага администраторите да прилагат подходящи технически и организационни мерки за осигуряване на съобразено с нивото на риск на обработването ниво на сигурност на данните.
 
За различните организации и различните операции по обработване тези мерки следва да бъдат различни.
 
Като примери в GDPR са посочени:
 
  • псевдонимизацията и
  • криптирането
на личните данни.
 
„Псевдонимизацията“ означава обработването на лични данни по такъв начин, че те да не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация.
 
Тази информация следва да се съхранява отделно и да е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано.
 
Тя е логически метод на „маскиране“ на данните, докато криптирането е математически метод, при което данните се преобразуват по начин, по който същите остават неразбираеми за трети лица, нямащи нужния „ключ“, за да ги възстановят в първоначален вид.
 
И псевдонимизацията, и криптирането са обратими процеси, т.е. при нужда данните могат да бъдат възстановени в първоначалния им вид.
 
Поради това тези способи не могат да се използват за изтриване на данните.
 
Наред с това, администраторите редовно следва да изпитват, преценяват и извършват оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.
 
Служителите, които боравят с лични данни, следва да имат достъп на принципа „необходимост да се знае“.
 
Изискването за осигуряване на сигурността на данните се прилага не само към обработването им със средствата на информационните и комуникационните технологии, но и при обработването на данните на хартия. Администраторите следва да са въвели подходящи правила и процедури, както и мерки, за да гарантират сигурността на хартиения оборот, съдържащ лични данни.
 
Посочените задължения са от особено значение в контекста на въведеното задължение за уведомяване на надзорния орган за нарушение на сигурността на личните данни.
 
Ако сигурността на личните данни бъде нарушена, администраторът е длъжен не по-късно от 72 часа от узнаването да уведоми КЗЛД за нарушението (ако уведомлението е след този срок, то трябва да съдържа и причините за забавянето).
 
Това задължение може да не се приложи, ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица.
 
Теоретично това биха могли да бъдат инцидентни изтичания на данни за много малко количество субекти (например, мислимо би било такива данни да включват само ограничен брой имейли или пък само две имена без друга информация, като обаче винаги трябва да се държи сметка за конкретните факти по казуса), но категорично е препоръчително за всеки конкретен случай да се прави внимателна преценка и администраторите да не разчитат прекомерно на това изключение, а да уведомяват своевременно КЗЛД.
 
Уведомлението трябва да съдържа най-малко следното:
 
  • описание на естеството на нарушението на сигурността на личните данни, включително,
-   категориите и
-   приблизителният брой на засегнатите субекти на данни и
-   категориите и приблизителното количество на засегнатите записи на лични данни (ако е възможно);
 
  • име и координати за връзка на длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;
  • описание на евентуалните последици от нарушението на сигурността на личните данни;
  • описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.
Ако не е възможно информацията да се подаде едновременно, GDPR допуска информацията да се подаде поетапно без по-нататъшно ненужно забавяне.
 
Администраторите са длъжни да документират всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него. Тази документация трябва да е на разположение на КЗЛД при проверка.
 
В някои случаи, субектите също следва да бъдат информирани за нарушение на сигурността.
 
По-специално, такъв е случаят, когато има вероятност нарушението да породи висок риск за правата и свободите на физическите лица. В това съобщение на ясен и прост език следва да се опише естеството на нарушението на сигурността на личните данни и се посочват най-малко информацията за контакт с администратора, описание на евентуалните последици от нарушението на сигурността на личните данни и описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни/ мерки за намаляване на евентуалните неблагоприятни последици.
 
Такова уведомление не се изисква, ако:
 
  • администраторът е предприел подходящи технически и организационни мерки за защита, приложени по отношение на личните данни, засегнати от нарушението на сигурността – по-специално мерки, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;
  • администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни;
  • то би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.
Ако администраторът не съобщи на субекта на данните за нарушението на сигурността на личните данни, КЗЛД може, след като отчете каква е вероятността нарушението на сигурността на личните данни да породи висок риск,
 
  • да задължи администратора да съобщи за нарушението или
  • да реши, че е налице някое от основанията, освобождаващи администратора от задължение да уведомява субектите.

 

4. Длъжностно лице по защита на данните

Длъжностното лице по защита на данните (ДЛЗД) е нова фигура, която GDPR въвежда.
 
По сега действащия режим съществуваше известен аналог на тази фигура – т.нар. „лице по защита на личните данни”, което обаче имаше по-различна роля.
 
Лицето по защита на данните се дефинираше като „физическо лице, притежаващо необходимата компетентност, което е упълномощено или назначено от администратора със съответен писмен акт, в който са уредени правата и задълженията му във връзка с осигуряване на необходимите технически и организационни мерки за защита на личните данни при тяхното обработване“ (10).
 
Администраторите обаче нямаха задължение да назначат такова лице, т.е. назначаването му бе пожелателно и бе оставено на тяхната преценка.
 
С GDPR за първи път се въвеждат хипотези, в които назначаването на такова лице става задължително, а именно:
 
  • обработването се извършва от публичен орган/ структура (изключение е предвидено за съдилища при изпълнение на съдебните им функции);
  • основните дейности на администратора/ обработващия лични данни се състоят в:
-   операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни; или
 
-   мащабно обработване на специални категории данни съгласно член 9 от GDPR (например, данни за расов и етнически произход, данни за здравословното състояние и др.) или (11) на лични данни, свързани с присъди и нарушения.
 
Интерес за частните организации представляват второто и третото основание. По отношение на тях трябва да се има предвид следното:
 
За да се определи кое обработване е „мащабно“ трябва да се имат предвид най-малко следните критерии:
 
  • брой на засегнатите субекти на данните или като конкретен брой, или като дял от съответното население;
  • обем на данните и/или диапазон от различни елементи на данните, които се обработват;
  • продължителност или постоянство на дейността по обработване на данните;
  • географски обхват на дейността по обработване (12).
Съгласно Работната група по чл. 29, консултативен орган в ЕС, който дава тълкувания на правилата за защита на личните данни, неизчерпателни примери за мащабно обработване са следните дейности:
 
  • обработване на пациентски данни в обичайните условия на осъществяване на дейността на болница;
  • обработване на данни за пътувания на физически лица, използващи системата на обществен транспорт на даден град (например проследяване чрез карти за пътуване);
  • обработване в реално време на данни за определяне на географското местоположение на клиенти на международна верига за бързо хранене за статистически цели от страна на обработващ лични данни, който е специализиран в предоставянето на тези услуги;
  • обработване на клиентски данни от застрахователно дружество или банка в обичайните условия на осъществяване на дейността;
  • обработване на лични данни от търсачка с цел поведенческа реклама;
  • обработване на данни (съдържание, трафик, местоположение) от доставчици на телефонни или интернет услуги (13).
 
„Редовно“ е обработването, което се осъществява или:
 
  • непрекъснато, или
  • периодично
през определен период от време.
 
Иначе казано, това е обработване, което следва да се осъществява многократно във времето.
 
Систематично“ пък е обработването, което отговаря на едно или няколко повече от следните изисквания:
 
  • възникващо по някаква система;
  • предварително уредено, организирано или методично;
  • случващо се в рамките на общ план за събиране на данни;
  • осъществявано в рамките на стратегия (14).
 
Съгласно Работната група по чл. 29 неизчерпателни примери за дейности, които може да представляват редовно и систематично наблюдение на субектите на данните, включват:
 
-   „експлоатация на далекосъобщителна мрежа;
-   предоставяне на далекосъобщителни услуги;
-   пренасочване на електронни съобщения;
-   основани на данни маркетингови дейности;
-   профилиране и оценяване за целите на оценка на риска (например за целите на определяне на кредитоспособността, изчисляване на застрахователни премии, предотвратяване на измами, откриване на случаи на изпиране на пари);
-   проследяване на местоположението, например чрез мобилни приложения;
-   програми за лоялност;
-   поведенческа реклама;
-   наблюдение на данни за благосъстоянието, тонуса и здравословното състояние чрез носими устройства;
-   вътрешна система за видеонаблюдение;
-   свързани устройства, например интелигентни измервателни устройства, интелигентни автомобили, автоматизация на дома и т.н.“(15).
 
Държавите членки могат да предвидят и други хипотези, в които назначаването на ДЛЗД да е задължително.
 
ДЛЗД може да бъде назначено както по трудов договор, така и да бъде външен изпълнител по граждански договор за услуги.
 
ДЛЗД може да съвместявакакто друга длъжност, така и да бъде разкрита нова щатна бройка за лице, което да изпълнява само тези функции.
 
GDPR не въвежда изискване към образованието на това лице, важното е то да има професионални качества, и по-специално експертни познания в областта на законодателството и практиките в областта на защитата на данните.
 
Ако лицето ще бъде по трудов договор обаче то не може да съвместява длъжност, която би го поставила в конфликт на интереси с изпълнението на функциите на ДЛЗД.
 
Конфликт на интереси ще е налице, ако тази друга длъжност определя целите и средствата за обработване на личните данни.
 
Ето защо, несъвместими с ролята на ДЛЗД са длъжности като:
 
-   главен изпълнителен директор,
-   главен оперативен директор,
-   главен финансов директор,
-   главен медицински директор,
-   ръководител на маркетингов отдел,
-   ръководител на отдел „Човешки ресурси“ или
-   ръководител на ИТ отдел.
 
Несъвместими са и всички други функции по-надолу в организационната структура, ако въпросните длъжности или функции са свързани с определяне на целите и средствата за обработване на данните.
 
При външно ДЛЗД конфликт може да възникне, ако едно и също ДЛЗД представлява администратора или обработващия лични данни пред съдилищата по дела, касаещи теми за защитата на данните (16).
 
Група предприятия може да назначи едно длъжностно лице по защита на данните, при условие че от всяко предприятие има лесен достъп до длъжностно лице по защита на данните.
 
Същото се отнася и за администратори/ обработващи, които са обществен орган или структура, като следва да се отчете организационната им структура и размер.
 
ДЛЗД следва да бъде ангажирано по всички въпроси, касаещи защитата на личните данни в предприятието.
 
То има надзорни и съвещателни функции – то контролира процесите по обработване на данни и консултира и съветва администраторите и техните служители относно процесите по обработване на лични данни.
 
То е единна точка за контакт с надзорния орган по отношение на обработването на личните данни, а субектите на данни могат да се обръщат към ДЛЗД по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права съгласно GDPR.
 
ДЛЗД е длъжно да спазва секретността или поверителността на изпълняваните от него задачи в съответствие с правото на ЕС/ на държава членка.
 
Отделно, ДЛЗД е длъжно да си сътрудничи с надзорния орган.
 
Много важно изискване е ДЛЗД да действа независимо – ето защо, GDPR предвижда то да се отчита само пред най-висшето ръководство в предприятието (напр. управител) и да не може да бъде санкционирано вкл. уволнено заради добросъвестното изпълнение на задълженията си.
 
 
Заключение
 
Задълженията на администраторите по GDPR са много и съществени.
 
Някои от тях са познати и биват единствено доразвити и конкретизирани с Регламента.
 
Други обаче са нови и напълно непознати като:
 
  • воденето на вътрешни регистри или
  • назначаване на ДЛЗД.
Ето защо, администраторите следва да се отнесат сериозно към тези промени, да се информират за тях и своевременно да предприемат нужните действия по привеждане на дейността си в съответствие с GDPR.
 
Това е особено важно в контекста на предвидените санкции за неспазване на задълженията на администраторите – до 10 милиона евро или 2% от световния годишен оборот, която от двете суми е по-висока.
 
 
За абонатити на списанието виж още: GDPR - задължения на обработващите личните данни
 
 

Абонирайте се за цялата 2018 г. и получете:

  • 12 електронни броя за 2018 година.
  • Електронен архив с търсачка за периода 2010 – 2017 г.
  • 5 видео семинара за промените в законодателството и годишното приключване
Назад