Трябва ли да назнача ДЛЗД?

Отговорете на въпросите чрез нашата интерактивна блок схема, за да разберете!

*Съдилищата, действащи в качеството си на органи на съдебната власт, са изключение!

Обработвам чувствителни данни или данни, свързани с присъди и нарушения

Правя това в голям мащаб

Извършвам редовно и систематично наблюдение на физически лица

Основните ми дейности изискват обработването на
чувствителни данни или данни, свързани с присъди и нарушения

Правя това в голям мащаб

Основните ми дейности изискват обработването на чувствителни данни или данни, свързани с присъди и нарушения

Трябва ли да назнача длъжностно лице по защита на данните?

Да, назначаването на ДЛЗД е задължително

Трябва ли да назнача длъжностно лице по защита на данните?

Не, назначаването на длъжностно лице по защита на данните е доброволно.
Въпреки това е то е насърчавано.

Какво е ДЛЗД и Вашата организация нуждае ли се от такова?

Какво е ДЛЗД и какво прави то?

Длъжностното лице по защита на данните (наричано още „ДЛЗД“) е експерт по защита на данните, който извършва консултация относно спазването на изискванията за защита на данните в рамките на дадена организация.

ДЛЗД трябва да участва правилно и своевременно във всички въпроси, свързани със защитата на личните данни.

Съгласно ОРЗД задачите на ДЛЗД са най-малко следните:

  • да информира и съветва организацията и нейните служители относно спазването на изискванията за защита на данните;
  • да наблюдава спазването на изискванията за защита на данните;
  • да предоставя съвети по искания във връзка с извършването на оценка на въздействието върху защитата на данните (ОВЗД);
  • да действа като звено за контакт с органа за защита на данните (ОЗД) и да си сътрудничи с този ОЗД;
  • да действа като звено за контакт с физическите лица.

Присъствието на ДЛЗД обикновено се препоръчва, когато се вземат решения с последици за защитата на данните. Длъжностното лице също трябва да бъде незабавно консултирано след настъпване на нарушение на сигурността на данните или друг инцидент.

На практика, на ДЛЗД често се възлага от администратора на данни или обработващия лични данни поддържането на регистър на операциите по обработване.

Има ли нужда от ДЛЗД моята организация?

Назначаването на ДЛЗД е задължително в следните три случая:

  • организацията е публичен орган, който извършва обработването на лични данни;
  • основните дейности на организацията се състоят в редовно и систематично наблюдение на лица в голям мащаб, например геолокация чрез мобилно приложение или наблюдение на търговски центрове и обществени пространства чрез видеонаблюдение;
  • основните дейности на организацията се състоят в широкомащабна обработка на чувствителни данни.

Понятията „основни дейности„, „редовно и систематично наблюдение„ и „широкомащабно“ са от решаващо значение, за да се определи дали дадена организация следва да назначи ДЛЗД.

„Основни дейности“ означава, че операциите по обработване са от ключово значение за постигането на целите на администратора или обработващия лични данни. Те включват и всички дейности, при които обработването на данни представлява неразделна част от дейността на администратора или обработващия лични данни.

„Голям мащаб“ зависи от различни фактори, като например обема на обработваните данни, броя на засегнатите физически лица — или като конкретен брой, или като дял от съответното население, продължителността и географския обхват на обработването.

„Редовно и систематично наблюдение“ включва всички форми на проследяване и профилиране в интернет, включително за целите на поведенческата реклама. Обхвата на наблюдението обаче не се ограничава до онлайн средата.

На практика

  • Основни дейности

Например, основната цел на клиниката е да предоставя здравни услуги на хората. В този случай обработването на здравни данни, като здравните досиета на пациентите, следва да се счита за една от основните дейности на организацията.

Всички организации обаче извършват определени спомагателни дейности, например като плащат на служителите си или извършват стандартни дейности за ИТ поддръжка. Това са примери за необходими спомагателни функции за основната дейност на организацията. Въпреки че тези дейности са необходими или съществени, те обикновено се считат за спомагателни функции, а не за основна дейност.

  • Широкомащабно

Примерите за широкомащабна обработка включват например:

  1. обработването на данните на пациента като част от ежедневната дейност на болницата;
  2. обработването на клиентски данни във връзка с ежедневната дейност на застрахователно дружество или банка;
  3. обработването на актуални данни за местоположението на клиенти от международна верига за бързо хранене от подизпълнител, специализиран в такива услуги за статистически цели ;
  4. обработване на лични данни за извършване на поведенческа реклама от търсачка;
  5. обработка на данни (съдържание, поток, местоположение) от доставчици на телефонни и интернет услуги.

Примери за обработване, което не се счита за широкомащабно:

  1. обработка на данните на пациента от един общопрактикуващ лекар;
  2. обработване на лични данни, свързани с присъди и престъпления от отделен адвокат.
  • Редовно и систематично наблюдение

Например редовното и системно наблюдение обхваща пренасочването по електронна поща; маркетингови дейности, основани на данни; профилиране и точкуване за целите на оценката на риска (напр. за целите на кредитния рейтинг, определянето на застрахователни премии, предотвратяването на измами, откриването на изпиране на пари); проследяване на местоположението (например чрез мобилни приложения); програми за лоялност; поведенческа реклама; наблюдение на уелнес, фитнес и здравни данни чрез преносими устройства; видеонаблюдение; свързани устройства (напр. интелигентни измервателни уреди), интелигентни автомобили, домашна автоматизация и др.

Предвид товаобработващ лични данни, който има като основна дейност да предоставя услуги за анализ на уебсайтове и помощ при целенасочена реклама и маркетинг, ще трябва да назначи ДЛЗД.

Винаги можете да назначите ДЛЗД на доброволен принцип, дори ако това не се изисква по закон. Моля, имайте предвид, че в този случай трябва да спазвате всички разпоредби на ОРЗД относно задачите и положението на длъжностното лице по защита на данните. Поради това се препоръчва като ДЛЗД да се назначава само лице, чиято функция и позиция съответстват на описанието на ОРЗД.

Кой може да бъде ДЛЗД в моята организация?

ДЛЗД трябва да е в състояние да изпълнява своите задължения и задачи по независим начин. Това означава, че Вашата организация:

  • не може да дава указания на ДЛЗД във връзка с изпълнението на задълженията му;
  • не може да санкционира или освобождава ДЛЗД за изпълнението на неговите задачи.

Автономията на длъжностните лица обаче не означава, че те разполагат с правомощия за вземане на решения, надхвърлящи техните задачи. Организациите продължават да носят отговорност за спазването на законодателството за защита на данните и трябва да са в състояние да докажат съответствие.

ДЛЗД следва да се разглежда като дискусионен партньор в рамките на организацията и следва да бъде част от обсъжданията, свързани с дейностите по обработване на данни в рамките на организацията.

Длъжностните лица докладват пряко на най-високото управленско равнище на администратора или обработващия лични данни.

ДЛЗД могат да изпълняват други задачи в рамките на организацията, но това не може да доведе до конфликт на интереси. Това означава, че длъжностното лице не може да заема позиция, в рамките на която да определя целите и средствата на дейностите по обработване на лични данни. Конфликтните функции включват главно ръководни длъжности (главен изпълнителен директор, главен оперативен директор, главен финансов директор, ръководител на човешките ресурси, ръководител на ИТ, управляващ директор), но могат да включват и други позиции, ако заемането им води до определяне на целите и средствата за обработка.

Съгласно ОРЗД е възможно да се назначи външно ДЛЗД с договор за услуги. Този договор може да бъде сключен с физическо лице или организация. В последния случай е от съществено значение всеки член на организацията да не е в конфликт на интереси и да е защитен срещу каквото и да било неравноправно прекратяване на договора за услуга, но също и срещу незаконно уволнение на всеки отделен член на организацията за извършваните от него дейности в качеството му на ДЛЗД.

Вашата организация следва да подпомага ДЛЗД, като предоставя достъп до всички операции по обработване, както и до всички лични данни, обработвани във връзка с тези операции по обработване. От решаващо значение е длъжностното лице да участва от възможно най-ранен етап във всички въпроси, свързани със защитата на данните. Следва също така да се предоставят необходимите ресурси на ДЛЗД, за да изпълнява задълженията си (време, обучение, оборудване и финансови средства).

На практика

При изпълнението на своите задачи ДЛЗД не трябва да бъдат инструктирани как да се справят с даден въпрос. Например на ДЛЗД не следва да се дават указания за това какъв следва да бъде резултатът от неговите съвети или как трябва да разследва жалба на физическо лице, или дали консултацията с органа за защита на данните е подходяща или задължителна. Освен това длъжностното лице не трябва да бъде инструктирано да изрази определена гледна точка по въпрос, свързан със законодателството за защита на данните, например конкретно тълкуване на закона.

Списък за оценка на необходимостта от назначаване на ДЛЗД

  • Проверете дали се изисква ДЛЗД: Проверете дали трябва да назначите ДЛЗД и, ако имате съмнения, документирайте причините, поради които назначавате или не ДЛЗД.
  • Ако се изисква ДЛЗД:
    • Решете между вътрешно или външно ДЛЗД: Ако се изисква ДЛЗД, решете дали ще бъде член на Вашата организация или външно лице, назначено въз основа на договор за услуги;
    • Проверете дали ДЛЗД притежава професионалните качества и експертен опит в областта на законодателството и практиките в областта на защитата на данните, както и способността да изпълнява задачите;
    • Проверете  изискванията за независимост: Проверете дали Вашето ДЛЗД има други задължения, които биха могли да компрометират неговата  независимост при изпълнението на  задачите (конфликти на интереси);
    • Подгответе стандартни процедури в рамките на на Вашата организация, с които да се регламентира  участието на ДЛЗД.
  • Ако не се изисква ДЛЗД:
    • Преценете добреДори ако не назначите ДЛЗД по смисъла на ОРЗД, все пак ще трябва да спазвате редица изисквания за защита на данните. Съветваме Ви да назначите длъжностно лице на доброволен принцип или лице, което няма да бъде назначено като длъжностно лице и може дори да не изпълнява изцяло задачите на ДЛЗД, но ще наблюдава спазването на изискванията и ще действа като лице за контакт за физическите лица, упражняващи правата си за защита на данните.