Защо бизнесът има нужда от длъжностни лица по защита на личните данни?

В 21 век новият и най-скъп актив се очертава да бъдат данните. Дигитализацията на бизнеса доведе и до превръщането на данните във валута, която подобно на всички традиционни такива, наложи да бъде намерен работещ механизъм за регулиране на процесите по тяхната обработка, трансфер и защита.

В отговор на тази необходимост правителствата по света приеха редица актове в областта на защита на личните данни, като водещ и може би най-прогресивен за последното десетилетие е приетият Регламент 2016/679 (GDPR1), който ще действа задължително на територията на всички държави членки на ЕС най-късно от 25 май 2018 г.

По данни на Европейския парламент в България около 80% от всички компании ще бъдат засегнати от новата регламентация, в това число малките и средни предприятия. Резултатите от проучване на водеща европейска одиторска компания, към 27.11.2017 г. сочат, че в европейски мащаб 92 % от бизнеса НЕ Е подготвен за новите мерки, които GDPR въвежда.

Широка популярност получи увеличеният размер на санкциите, които грозят бизнеса в случай на несъответствие с Регламента (до 4% от общия годишен световен оборот на групата или 20 млн. евро) при несъответствие с което и да е от задълженията на новия Регламент.

Една от най-основните новости е задължението за администраторите и обработващите лични данни да назначат длъжностно лице по защита на личните данни (DPO).

Кои дружества/администратори са задължени да назначат длъжностно лице по защита на личните данни?

Задължени да назначат длъжностни лица по защита на лични данни ще бъдат няколко категории администратори на лични данни, в случай че:

Обработват лични данни като част от дейността си, която включва редовно и систематично мащабно наблюдение на физически лица – такива са всички телекомуникационни оператори, доставчици на услуги включващи проследяване на местоположението/GPS услуги, поведенческа реклама, CCTV услуги, всички банки, финансови институции и пр. По данни на европейските и местните регулатори като обработващи редовно и систематично лични данни ще бъдат разгледани всички администратори, които имат назначени повече от 250 служители;

  • обработват специални или т.нар. чувствителни" лични данни в голям мащаб – такива са всички болници, здравни учреждения, пенсионно-осигурителни и застрахователни дружества;
  • обработват личните данни на повече от 10 000 физически лица;
  • всички публични органи или структури, с изключение на съдилищата при изпълнение на съдебните им функции.

По последни данни, предоставени от КЗЛД, за изпълнение на GDPR в България ще бъдат необходими поне 50 000 длъжностни лица по защита на личните данни. В това число са само администраторите, които имат нормативно задължение да назначат такива лица.

Макар за всички останали администратори да не съществува изрично задължение за назначаване на длъжностно лице, в практиката на европейските компании се утвърждава подход на възлагане отговорностите по привеждане на дружествените процеси в съответствие с регламентацията на длъжностни лица по защита на личните данни.

Причините за този подход

Длъжностните лица по защита на личните данни дават експертно становище и препоръки за начините на привеждане на процесите в дружеството в съответствие с изискванията на GDPR. На лицето по защита на личните данни се възлага реализацията на всички задължителни технически и организационни мерки за защита на личните данни. Длъжностното лице е точка за контакт с Комисията за защита на личните данни, като по време на проверки, с оглед експертизата си, има възможност да улесни значително процеса и да бъдат предотвратени недоразумения.  Сред другите, не по-малко значими функции на лицето по защита на лични данни са задълженията за провеждането на обучение на персонала в дружеството, повишаване осведомеността на служителите, надзор по спазването на процедурите по защита на лични данни в дружеството. Длъжностното лице спомага за безпроблемното приложение на регламентацията като изпълнява консултативни функции в областта на защитата на личните данни на всички нива в дружеството. Своевременното информира служителите, които обработват лични данни за задълженията им съгласно нормативната база. Организира осъществяването на задължителната оценка на въздействието и предоставя съвети по отношение на резултатите, с оглед съответствие на GDPR.

Условия за изпълнение на функции като длъжностно лице по защита на личните данни.

Регламентът изрично предвижда, че длъжностното лице по защита на личните данни трябва да притежава както задълбочени експертни познания в областта на законодателството и практиката, така и професионален  опит в областта на защита на личните данни, като тези факти ще се удостоверяват със сертификация и/или вписване в нарочен регистър на длъжностните лица по защита на личните данни2.

Конфликт на интереси

Регламентът дава възможност на администраторите на лични данни да изберат дали да възложат функциите на длъжностно лице по защита на личните данни на техен вътрешен" служител или да се обърнат към утвърдени специалисти, които са независими и външни" за компанията, като по този начин получават сигурност в експертизата на съответните отраслови професионалисти.

Европейският надзорен орган3 в насоките си изрично е предписал, че длъжностното лице по защита на личните данни трябва да има възможност да изпълнява задълженията си независимо. В тази връзка се обръща внимание и на възможността лицето по защита на лични данни да съвместява няколко длъжности, в който случай се счита, че не е допустимо съвместителство с длъжност, която включва дейности по ръководство и контрол на обработката на лични данни (например ръководител отдел IT, HR, правен и др.) или съвместителство с длъжност, която би довела до конфликт при упражняване задълженията по надзор и контрол (например обработващо данните лице, което в качеството си на длъжностно лице ще се налага да упражнява контрол сам на себе си).

За избягване на конфликт на интереси е препоръчително длъжностното лице по защита на личните данни да не бъде лице на краткосрочен или срочен трудов договор, както и да бъде лице пряко подчинено на висшия изпълнителен орган" – изпълнителен директор, съвет на директорите и пр.

Ползите за бизнеса

С назначаването на длъжностно лице по защита на личните данни се редуцират значително рисковете от несъответствие с Регламент 2016/679 и потенциално налагане на санкции. Гарантира се своевременната осведоменост за промени в областта на защита на личните данни, както и се установява контакт с Комисия за защита на личните данни, чиято практика е неразделна част от регламентацията в областта и следва да се съблюдава. На служителите на дружеството се дава възможност за спокойна работа и възможност да се консултират с професионалист в случай на възникнали въпроси в областта на защита на личните данни.  Разходите за назначаването на такова лице се оправдават, като освен реализираната превенция от налагане на значителни глоби в размер до 20 млн. евро или 4 % от годишния оборот се постига сигурност, че са взети и мерки срещу възникване на пробиви в системите и изтичане на лични данни, фирмени тайни и ноу-хау. В случай на пробиви в системите евентуалните неблагоприятни последици от репутационни рискове и санкции от регулатора ще бъдат избегнати, тъй като длъжностното лице следи за сигурността на защита на личните данни и уведомява органите на реда в случай на неправомерна обработка и/или изтичане на данни. В допълнение длъжностното лице подпомага цялостното съответствие на реализация на бизнес процесите в дружеството със законовата уредба, имайки достъп до обработката на данни във всички отдели, своевременно има възможност да разбере за потенциални нарушения и/или трудности при изпълнение на текущи задачи и да комуникира с органите на управление на дружеството за предприемане на необходимите действия.

Като краен резултат се осигурява защита на (личните) данни в предприятието, с което се дава възможност за продуктивно и спокойно функциониране на бизнес процесите и възможности за печалби от законосъобразното притежание на новото злато на 21 век". 

Footnotes

1. GDPR – General Data Protection Regulation 2016/679

2. В България поради липса на финансиране не съществува национален обучителен център, като предстои да бъде създаден единен регистър на длъжностните лица по защита на личните данни.

3. European data protection supervisor

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.