Регламент (ЕС) 2016/679. Задължение за назначаване на ДЛЗД и уведомление за него в КЗЛД

Регламент (ЕС) 2016/679. Въпрос. Кога е налице задължение за назначаване на длъжностно лице по защита на личните данни и съответно за подаване на уведомление за него в КЗЛД
 
 
Отговор: д-р Мартин Захариев,
 
Актуално към 01. 06. 2018 г.
 
Независимо, че новият Регламент за защита на личните данни 2016/679 (GDPR) вече официално се прилага във всички държави членки на ЕС, а периодът преди приложението му бе наситен с редица обучения, семинари, информационни материали и др. под. от най-различни организации, все още, поради една или друга причина, обществеността масово остава неинформирана относно логиката на режима за защита на личните данни и задълженията, които се вменяват на организациите с GDPR.
 
Предвид обстоятелството, че на 23. 05. 2018 г. българският надзорен орган в областта на защитата на личните данни – Комисията за защита на личните данни (КЗЛД) утвърди образец за подаване на уведомление относно назначеното от организациите длъжностно лице по защита на данните (наричани съответно „Уведомлението“ и „ДЛЗД“) (1) , настоящият анализ им за цел да даде кратък отговор на въпроса кои организации имат задължение да назначат ДЛЗД и каква е ролята на посоченото Уведомление до КЗЛД.
 
Първо, задължението за назначаване на ДЛЗД не е предвидено за всяка организация, която обработва лични данни.
 
Хипотезите в GDPR, при които е задължително назначаването на ДЛЗД, са уредени в чл. 37, § 1, б. „а“ – „в“ и са следните:
 
 
1. Обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции.
 
Идеята е организация, която е носител на публична власт (на централно, регионално или местно равнище), независимо от спецификите на националното право, уреждащи устройството й, да трябва да определи ДЛЗД;
 
 
2. Основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни.
 
 Основна дейност“ означава ключовата дейност на организацията, а не спомагателни дейности като управление на човешки ресурси или осигуряване на IT поддръжка (2).
 
За да се определи дали обработването е „мащабно“ следва да се държи сметка за:
 
  • броя засегнати субекти на данните,
  • обема на данните,
  • продължителност във времето на обработването и други подобни.
Работната група по чл. 29 (вече Европейски комитет по защита на данните) е дала следните примери за мащабно обработване:
 
  • обработване:
-   на пациентски данни при дейността на болница или
-   на клиентски данни от застрахователно дружество или банка;
 
  • обработване на данни за пътувания на физически лица, използващи системата на обществен транспорт на даден град;
  • обработване на лични данни от търсачка с цел поведенческа реклама;
  • обработване на данни (съдържание, трафик, местоположение) от доставчици на телефонни или интернет услуги и други подобни (3).
 
„Редовно“ предполага повтаряемост на обработването във времето, то да става през определени интервали, за определен период или постоянно, а „системно“ – случващо се съобразно някакъв план или стратегия за обработването.
 
Сред примерите за такова обработване според Работната група са:
 
  • експлоатация на далекосъобщителна мрежа;
  • предоставяне на далекосъобщителни услуги;
  • пренасочване на електронни съобщения;
  • основани на данни маркетингови дейности;
  • профилиране и оценяване за целите на оценка на риска (например за целите на определяне на кредитоспособността, изчисляване на застрахователни премии, предотвратяване на измами, откриване на случаи на изпиране на пари);
  • проследяване на местоположението, например чрез мобилни приложения;
  • програми за лоялност;
  • поведенческа реклама;
  • вътрешна система за видеонаблюдение; свързани (интелигентни) устройства и други (4).
 
3.  Основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни (5) или на лични данни, свързани с присъди и нарушения.
 
Неслучайно това са първите три възможни полета, които фигурират като основание за определянето на ДЛЗД съгласно утвърдения образец на уведомление (вж. ЧАСТ I, т. 4. ПРАВНО ОСНОВАНИЕ ЗА ОПРЕДЕЛЯНЕ НА ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ от Уведомлението).
 
Интерес прави наличието на още едно, четвърто поле в Уведомлението, озаглавено „друго“, като срещу него е оставено поле, в което администраторът/ обработващият да конкретизира защо е определил ДЛЗД. Тук са възможни две хипотези, уредени в чл. 37, пар. 4 от GDPR:
 
  1. GDPR допуска правото на ЕС или право на държава членка да предвидят други основания за назначаване на ДЛЗД, различни от изброените по-горе.
 
За момента в България тече обществено обсъждане на проект на Закон за изменение и допълнение на закона за защита на личните данни, като в проекта на ЗИДЗЗЛД българският законодател се е възползвал от предоставената възможност, като е предвидил ново основание, различно от посочените по-горе по GDPR, а именно ако администраторът/ обработващият лични данни обработва лични данни на над 10 000 физически лица (6).
 
Доколкото в Проекта не е предвиден допълнителен уточняващ критерий, очевидно и простото съхранение на данни на над 10 000 лица като форма на обработване би задължило организациите да назначат ДЛЗД.
 
Предстои да видим дали този текст ще бъде приет в предложената редакция, но това е една от допълнителните хипотези, в които може да се окаже задължително назначаването на ДЛЗД.
 
  1. GDPR допуска организациите, без да имат задължение по GDPR и без да имат задължение съгласно правото на ЕС и правото на държава членка, по своя преценка да определят ДЛЗД. Тук изборът е предоставен изцяло на организациите и не зависи от нормативни изисквания. Ако съответната организация е преценила (по организационни, имиджови, икономически и всякакви други съображения), че ще определи ДЛЗД, тя следва да отбележи това именно в полето „друго“.
 
Значението на посоченото Уведомление е следното: съгласно чл. 37, пар. 7 GDPR администраторът/ обработващият, определил ДЛЗД, има задължение да съобщи данните за контакт на надзорния орган, доколкото това е точката за контакт между организацията и надзорния орган.
 
Именно чрез подаване на посоченото Уведомление ще се постигне исканото от съобщаване до КЗЛД.
 
Ето защо, ако съответна организация:
 
  • не попада в посочените хипотези на GDPR,
  • не обработва данни на над 10 000 физически лица и
  • не желае да определи ДЛЗД,
посоченото Уведомление няма отношение към нейната дейност в контекста на режима на защита на личните данни.
 
 

Не пропускай най-новите ни безплатни публикации. Абонирай се за нашия е-бюлетин ТУК.

Назад