С влезналия в сила от 25 май на Регламент (ЕС) 2016/679, по-известен като GDPR/Регламента, се появи нова длъжност – Длъжностно лице по защита на данните (Data Protection Officer - DPO), която има потенциала да стане една от най-търсените и интересни съвременни професии. Както с всяко ново нещо, така и с тази професия, все още има доста неясни моменти. Търсенето на подготвен, комплексен служител, наложи нужда на пазара да се появи и опцията за наемане на външен експерт по защита на данните. Kаква ще е ролята на длъжностно лице по защита на данните и какви са разликите при наемането на вътрешно или външно лице, разказва доц. д-р Даниела Илиева, Изпълнителен директор на DPOPRO.
DPOPRO e компания, която подкрепя организациите в постигането на съответствие с изискванията на новия Регламент, предоставяйки аутсорсинг услугата „Длъжностно лице по защита на данните“. Eкип от експерти подпомага организациите в посрещането на предизвикателствата, свързани с осигуряване на защитата на личните данни и изграждане на отчетна рамка за управление и защита на личните данни, съобразно изискванията на новия Регламент.
1. Каква е ролята на Външен експерт „Длъжностно лице по защита на данните“?
Въвеждайки фигурата на длъжностното лице по защита на данните (ДЛЗД), GDPR предоставя възможност на администраторите и обработващите да изберат два варианта за определяне на такова лице, а именно: назначаване на член на персонала или ползване на външна услуга „Длъжностно лице по защита на данните“, изпълняващо функциите по Регламентa на база договор, сключен с физическо лице или с организация.
При последния вариант ролята на длъжностното лице по защита на данните се поема от физически лица, специалисти в областта на защитата на личните данни, които ефективно изпълняват обширните функции на длъжността като екип. Външният екип от експерти спазва надлежно заложените по Регламент задачи и задължения като предоставя независим експертен съвет и насоки. Гарантирането на независимост на длъжностното лице и избягването на потенциален конфликт на интереси, от своя страна, са аспекти на които организациите трябва да обърнат особено внимание при назначаването на такова лице. Конфликт на интереси възниква в случаите, когато длъжностното лице съвместява други функции и задачи, като например подбор, назначаване, освобождаване на персонал, поддръжка на ИТ системи, ръководство на отдел или организация, които влизат в пряко противоречие с ролята на ДЛЗД. При определяне на външен експерт, рискът от възникване на конфликт на интереси се елиминира.
2. Кои администратори или обработващи лични данни следва задължително да определят Длъжностно лице по защита на данните?
Задължително назначаване на Длъжностно лице по защита на данните имаме, в случаите когато:
• Обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
• Основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни;
• Основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специални категории данни чл. 9 или чл. 10 от Регламента.
В Регламента не се дават разяснения и насоки за това кои дейности включват редовно и систематично мащабно наблюдение, или пък кои дейности се състоят в мащабно обработване на специални категории лични данни, но Работната група за защита на личните данни по чл. 29 посочва в своите Насоки за длъжностните лица по защита на данните, примери за:
Редовно и систематично наблюдение на субектите на данните – като „поведенческа реклама, основани на данни маркетингови дейности, предоставяне на далекосъобщителни услуги , профилиране и оценяване за целите на риска (при изчисление на застрахователни премии, за целите на определянето на кредитоспособността); вътрешна система за видеонаблюдение“ и други.
Мащабно обработване, което се извършва от болници и други медицински заведения, обработващи пациентски данни, както и в случаите на обработване на данни от застрахователно дружество или банка в обичайните условия на осъществяване на дейността, обработване на данни от търсачка при поведенческа реклама и т.н.
3. Какви са ползите за бизнеса от назначаването на Длъжностно лице по защита на данните?
Ползите за бизнеса при определянето на Длъжностното лице по защита на данните могат да бъдат много, стига с него да се работи правилно. Длъжностното лице по защита на данните, изпълняващо ефективно своите задължения и задачи по Регламент, подпомага организациите да спазят широкия набор от изисквания, но и да поддържат постоянно високо ниво на защита на личните данни.
Назначаването му би внесло спокойствие в организациите, тъй като и риска от неспазване на изискванията значително намалява. С наемането на ДЛЗД се осигурява точка за контакт с надзорния орган по защита на личните данни на национално и на ниво ЕС по въпроси, свързани с обработването на лични данни, както и сътрудничество и комуникация с надзорния орган и оказване на съдействие по въпроси, свързани с обработването на лични данни. Осигурява се и точка за контакт със субектите на данни, които могат да се обръщат към него по всички въпроси, свързани с обработването на техни лични данни и с упражняването на техни права съгласно Регламента. Длъжностното лице информира и съветва администратора или обработващия и служителите за задълженията по Регламента и съгласно други разпоредби за защита на личните данни на равнище Съюз или държава членка.
Предвид дискутираните в Регламента значителни глоби в размер до 20 млн. евро или 4% от годишния оборот на дружеството, определянето на такова лице внася сигурност и би се оправдало напълно. ДЛЗД следи за сигурността и защитата на личните данни, за цялостното съответствие и възникване на потенциален риск от неправомерно обработване на лични данни, като уведомява своевременно при установени нарушения.
Длъжностното лице по защита на данните може да бъде един ефективен инструмент за постигане и поддържане на съответствие с новите правила за защита на личните данни. А постигането и поддържането на съответствие, от своя страна е предпоставка за повишаване на доверието на партньорите и клиентите, на репутацията на компаниите и цялостната им конкурентоспособност на пазара. Осигуряването на висока защита на личните данни ще бъде един от основните фактори за конкурентоспособност, и компаниите, неотговарящи на тези изисквания ще бъдат постепенно игнорирани от пазара.
4. Каква е разликата между това да се наеме външен изпълнител (консултантска фирма) или да назначим вътрешно лице – член на персонала за изпълнението на функциите на „Длъжностното лице по защита на данните“?
Разликите между посочените два начина за определяне произтичат от няколко основни аспекта.
При назначаване на ДЛЗД – член на персонала, на първо място, организацията следва да осигури в достатъчна степен натовареност на лицето. При външен доставчик на услуги, изборът на услуга е по-гъвкав и подбран за нуждите на организацията от изпълнението на тези функции.
При вътрешно лице – член на персонала, повечето компании и институции ще решат този проблем чрез опцията за съвместяване на две длъжности. В случаите на изпълнение на други функции и задачи от ДЛЗД, обаче, се крие потенциален риск от възникване на конфликт на интереси, за който вече споменах. Работната група за защита на личните данни по член 29 извежда в своите Насоки за длъжностните лица по защита на данните, списък с длъжностите, влизащи в противоречие с ДЛЗД, а именно: главен изпълнителен директор, главен оперативен директор, главен финансов директор, главен медицински директор, ръководител на маркетингов отдел, ръководител на отдел „Човешки ресурси“ или ръководител на ИТ отдел, както и други позиции, пряко въвлечени в обработването на лични данни, на по-ниско организационно ниво. Лице, което би защитавало интересите на организацията пред надзорния орган или пред съд по възникнал казус, свързан с нарушение на изискванията за защита на личните данни (като вътрешен за организацията юрисконсулт или пък адвокат), също не би могло да съвместява своите дейности с функцията на ДЛЗД. Конкретен пример за възникване на конфликт на интереси е служител „Човешки ресурси“, който не би следвало да изпълнява едновременно и функциите на длъжностното лице, тъй като не се гарантира независимостта при наблюдаване на съответствието и осъществяване на контрол на обработването на лични данни.
Освен това, организацията следва да гарантира и взаимозаменяемост на това лице при негово отсъствие, както и да инвестира в последващо обучение и сертификация.
Друг интересен аспект, отново свързан с независимостта на Длъжностното лице, е назначаването му на достатъчно високо ниво в йерархията на компанията или институцията, така че то ефективно да си сътрудничи с най-висшето ръководство на организацията, както и да му докладва директно (чл. 38, параграф 3 от Регламента посочва, че ДЛЗД „се отчита пряко пред най-висшето ръководно ниво на администратора или обработващия лични данни“).
При външна услуга, администраторът или обработващият „изнася“ функциите на външен доставчик на услуга, и следователно не е натоварен със задачата да премисля тези аспекти, а се фокусира върху развитието на своя бизнес.
Освен това, що се касае до отговорността при спазването на изискванията, Регламентът изрично споменава, че администратора или обработващия носят отговорност за спазването на съответствие с изискванията на Регламента, а ДЛЗД е този, който дава насоки и съвети. ДЛЗД трудно би могло да бъде санкционирано или освободено при изпълнение на неговите функции.
Разликата тук, при ползването на подобен тип услуга от външен доставчик, е че договорът може да бъде прекратен по-лесно и бързо, а възложителят може да търси отговорността на доставчика при доказване на неизпълнение на услугата.
Не на последно място, администраторът или обработващият следва да назначат физическо лице, което да притежава разнообразни способности, умения и качества като на първо място трябва да притежава експертни познания по националните и европейските закони по защита на личните данни и практиките в тази област, да познава и индустрията на организацията и нейните бизнес процеси, освен това трябва да притежава и отлични комуникативни качества и умения, така че да си сътрудничи ефективно с надзорния орган, със субектите на данните, и разбира се с ръководството на администратора. Тези качества е трудно да се открият в едно физическо лице и поради това, в случаите, когато функциите на ДЛЗД се изпълняват от екип от физически лица, работещи за съответното предприятие, те могат да съвместяват всички тези разнообразни и обширни качества.
5. Защо компаниите да се обърнат към DPOPRO?
DPOPRO на първо място предлага готов екип от специалисти в областта на защитата на личните данни, които ефективно изпълняват функциите на „Длъжностното лице по защита на данните“ за организации от всякакъв мащаб и сфери на дейност. Екипът на компанията включва експерти, както по правните, така и по технологичните аспекти на Регламента. Услугите на компанията са разработени, така че да предоставят гъвкав избор на обхват услуги, които да отговарят на нуждите на организации и институции. Освен това, при изпълнението на дейността от външния екип се гарантира и независимостта на експертните съвети и насоки.
Осигуряването на висока защита на личните данни в рамките на организацията е предпоставка за бъдещото й развитие като организация, която спазва изискванията на Регламент (ЕС) 2016/679, увеличава доверието на клиентите и партньорите в дейностите й, повишава репутацията си и конкурентоспособността си на пазара.