1) Какво представлява т.нар. длъжностно лице по защита на данните?
Общият регламент относно защитата на личните данни въвежда фигурата на т.нар. длъжностно лице по защита на данните. Това е служител на администратор на лични данни или външно за организацията на администратора физическо лице, натоварено с консултативни функции в областта на защитата на личните данни, надзор по спазването на Регламента в организацията на администратора и повишаването на осведомеността и обучението на персонала.
2) За първи път ли се въвежда длъжността „лице по защита на личните данни“ в България?
В България и до сега съществуваше правна възможност за назначаване на лице по защита на личните данни, която произтичаше от разпоредбата на чл. 18 от Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни. За първи път обаче определянето на такова длъжностно лице произтича от акт със сила на закон и става задължително в изрично определени в Регламента случаи.
3) Всички администратори ли трябва задължително да имат длъжностно лице по защита на личните данни?
Не. Регламентът предвижда длъжностно лице по защита на личните данни да имат само определени категории администратори, а именно:
- Публични органи или структури, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
- Администратори, чиято дейност, поради своето естество, обхват и цели, изискват редовно и систематично мащабно наблюдение на субектите на данни;
- Администратори, чиито основни дейности се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения.
4) Има ли възможност едно лице по защита на данните да отговаря за няколко структури?
Да, Регламентът предвижда такава възможност, при условие че администраторът е обществен орган или структура. В тези случаи при определянето на служителя следва да се отчита организационната структура и размерът на администраторите. Група предприятия също могат да определят едно длъжностно лице по защита на данните, което да работи за тях, като изискването е всяко от предприятията да има лесен и свободен достъп до това лице.
5) На какви изисквания трябва да отговаря даден служител, за да бъде назначен или определен за лице по защита на личните данни?
Регламентът изисква лицето по защита на личните данни да притежава задълбочени експертни познания в областта на законодателството и практиката на защитата на личните данни.
6) Какви функции ще изпълнява лицето по защита на личните данни?
Лицето по защита на личните данни има набор от задължения, сред които:
- Да информира и съветва администратора или обработващия лични данни и служителите, които извършват обработване, за техните задължения по силата на нормативните актове за защита на личните данни;
- Да наблюдава спазването на правилата за защита на личните данни и на политиките на администратора или обработващия лични данни по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити;
- При поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката;
- Да си сътрудничи с надзорния орган;
- Да действа като точка за контакт за надзорния орган по въпроси, свързани с обработването, включително предварителната консултация и по целесъобразност да се консултира по всякакви други въпроси.
7) Задължително ли е лицето по защита на личните данни да бъде част от персонала на администратора?
Не, това не е задължително условие. Лицето по защита на личните данни може да бъде част от персонала, но може и да е външен субект, който изпълнява своите задължения въз основа на сключен договор. Затова администраторите нямат задължение да назначават специално такъв служител, а само имат задължение да определят лице, което да изпълнява функциите на служител но защита на данните.
8) Възможно ли е лицето по защита на личните данни да съвместява длъжности в рамките на организацията?
Няма пречка служителят, определен от администратора за лице по защита на данните, да изпълнява и други функции в рамките на организацията. Условията, при които се определя или назначава лице по защита на личните данни, са изцяло в преценката на администратора на лични данни.
9) Ще има ли възможности за обучение на лицата по защита на личните данни във връзка с прилагането на Общия регламент относно защитата на личните данни?
Отчитайки необходимостта от обучение и хармонизиране на стандартите и практиките в сферата на защитата на личните данни, Комисията за защита на личните данни планира да изгради национален обучителен център, който да осигури нужното обучение за лицата по защита на личните данни.
10) Съществуват ли задължителни изисквания за образованието на лицата по защита на личните данни (например изискване за наличие на юридическо, икономическо или техническо образование)?
Конкретните изисквания, на които трябва да отговаря служителят в структурата на администратори от публичната сфера, са посочени изрично в Класификатора на длъжностите в администрацията – редове 109 а, 111 а, 178 а и 262 а. Няма задължителни изисквания, които да определят типа на образованието на лицата по защита на личните данни.
