Регламент (ЕС) 2016/679 относно защитата на данните („GDPR“ или „Регламентът“), в сила от 25 май 2018 година, въвежда редица задължения за администраторите и обработващите лични данни. Едно от тези задължения е определянето на длъжностно лице по защита на личните данни („ДЛЗЛД“, „Data Protection Officer“). Това лице в общи линии има задача да информира и съветва администратора или обработващия лични данни и служителите, които извършват обработване, за техните задължения по силата на Регламента, да наблюдава спазването на Регламента и да си сътрудничи с надзорния орган.

Фигурата на ДЛЗЛД не е нова за българското законодателство – тя е въведена още през 2007 г. с Наредба № 1 от 07.02.2007 г. Регламентът въвежда изискване за задължително определяне на длъжностно лице с тези специфични функции в следните случаи:

  • Публични органи или структури, освен когато става въпрос за съдилища при изпълнение на съдебните им функции – например – общини, министерства;
  • Администратори, чиято дейност, поради своето естество, обхват и цели, изискват редовно и систематично мащабно наблюдение на субектите на данни – например – големи търговски центрове, банки;
  • Администратори, чиито основни дейности се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения – например – болници, застрахователни компании.

В останалите случаи определяне на такова лице не е задължително.

Регламентът допуска едно и също ДЛЗЛД да бъде определено от група предприятия, но при условие, че всяко предприятие има лесен достъп до него. ДЛЗЛД трябва да притежава задълбочени експертни познания в областта на законодателството и практиката на защитата на личните данни.

Администраторите могат да избират дали лицето да бъде назначено по трудов договор или да изпълнява задачите въз основа на договор за услуги. Когато е назначено по трудов договор, лицето може да съвместява и други трудови функции по преценка на работодателя. Ако задачите по защитата на личните данни ще се възлагат на лице, което е вече на трудов договор при администратора, не трябва да се съвместява с длъжност, с която би могло да се счита, че има конфликт на интереси – например тази длъжност би била несъвместима с ръководна длъжност от Човешки ресурси или IT. Това лице се ползва с особен статут – не може да бъде освобождавано от длъжност, нито санкционирано от администратора или обработващия лични данни за добросъвестно изпълнение на своите задачи по защита на лични данни (например уведомяване на надзорния орган за неспазване на определени задължения от страна на администратора). ДЛЗЛД се отчита пряко пред най-висшето ръководно ниво на администратора или обработващия лични данни. Все пак, на това лице може да бъде търсена дисциплинарна отговорност за недобросъвестно изпълнение на задълженията по защита на лични данни, както и за всякакви други нарушения, несвързани със задълженията по изпълнението на задачите му по защита на лични данни – неспазване на трудовата дисциплина, закъснение за работа, неуплътняване на работното време, неспазване на правилата за здравословни и безопасни условия на труд и др.

Основна и най-съществена разлика между назначаване на ДЛЗЛД с трудов договор и с договор за услуги е размерът на отговорността при действия/бездействия на лицето, представляващи нарушаване на законодателството за защитата на личните данни, довели до санкции за администратора – работодател; при наличие на трудов договор, съгласно чл. 203 от КТ служителят носи ограничена имуществена отговорност, която в общия случай е до уговорения размер на получаваното месечно трудово възнаграждение (до 3 месечни възнаграждения, когато вредата е причинена от ръководител). Отговорността на служителя е в пълен размер, само когато е причинена умишлено или в резултат на престъпление или е причинена не при или по повод изпълнението на трудовите задължения. При констатирано нарушение следва да се прави анализ за всеки един случай, като работодателят е длъжен да докаже, че нарушението е извършено умишлено.

При сключен договор за услуги възможностите на възложителя – администратор на лични данни, са далеч по-големи – в зависимост от договорките и конкретните обстоятелства изпълнителят би могъл да бъде отговорен за всички вреди и пропуснати ползи, особено ако е търговец, извършващ тази дейност по занятие.

Предвид изключително високите глоби и имуществени санкции, предвидени при нарушения на Регламента – стигащи до 20 милиона евро или до 4% от годишния оборот на предприятието–нарушител – съвсем резонен е въпросът дали не е за предпочитане ДЛЗЛД да бъде определено въз основа на граждански или търговски договор за услуга. В този договор следва ясно и изчерпателно да бъдат уредени правата и задълженията на изпълнителя (лицето по защита на данните), както и размерът на отговорността при понасяне на санкции от страна на администратора на лични данни вследствие на допуснати нарушения от страна на изпълнителя. В този ред на мисли е препоръчително също да се изисква от ДЛЗЛД да представят и поддържат застраховка относно отговорността им към трети лица за причинени вреди по повод на дейността им. За съжаление все още застрахователите не предлагат такъв продукт на българския застрахователен пазар. Към настоящия момент липсва и нормативно задължение за поддържане на такъв тип застраховка от лицата по защита на личните данни като вид професионална отговорност (аналогично на участниците в строителния процес или адвокатите), което може да бъде повод законодателят да предприеме стъпки в тази насока, за да се намали финансовият риск за лицата по защита на лични данни при осъществяване на тяхната дейност.

Тази статия не представлява правно становище или правен съвет, свързан с конкретна ситуация или субект. За повече информация по засегнатите по-горе въпроси, както и за индивидуална консултация можете да се обърнете към автора на e-mail: dinev@tmlawoffice.bg.