Длъжностно лице по защита на данните (DPO) – кога е задължително и как да го назначим?

Какво е длъжностното лице по защита на данните (DPO)?

Когато за пръв път попаднах на термина длъжностно лице по защита на данните, звучеше като поредната бюрократична измислица на ЕС. Но след като се запознах по-подробно с ролята, разбрах, че DPO (Data Protection Officer) всъщност е изключително ценна функция – и за бизнеса, и за клиентите му. Въпросът е: задължително ли е за моя конкретен случай и как да го назнача правилно?

В тази статия ще обясня точно кога DPO по GDPR е задължителна позиция, какви са задачите му, дали може да е външно лице и как трябва да уведомя КЗЛД за назначението.

Кога назначаването на DPO е задължително?

GDPR (чл. 37) предвижда три основни хипотези, при които назначаването на длъжностно лице по защита на данните е задължително:

1. Публичен орган или публично тяло

Ако съм публична институция – държавна агенция, община, болница, училище или друго публично тяло – назначаването на DPO е абсолютно задължително, независимо от обема на обработваните данни. Изключение се прави само за съдилищата при упражняване на съдебната им дейност.

2. Систематично и мащабно наблюдение на физически лица

Ако основната ми дейност включва редовно и систематично наблюдение на хора в голям мащаб – например управлявам платформа за онлайн реклама с проследяване на поведението, видеонаблюдение на публични пространства в голям мащаб, или предоставям телекомуникационни услуги – DPO е задължителен. Ключовата дума тук е систематично: случайното наблюдение не попада в тази категория.

3. Обработка в голям мащаб на специални категории данни

Специалните категории включват: данни за здравословното състояние, расов или етнически произход, политически възгледи, религиозни убеждения, генетични и биометрични данни, данни за сексуалната ориентация и данни за присъди и нарушения. Ако обработвам такива данни в голям мащаб – например болница, застрахователна компания, или HR платформа – DPO е задължителен.

Специфичният праг от 10 000 лица (по ЗЗЛД)

Българският Закон за защита на личните данни (ЗЗЛД) добавя национална специфика: когато обработвам лични данни на повече от 10 000 физически лица годишно, назначаването на длъжностно лице по защита на данните е задължително, дори ако не попадам в горните три категории. Това е важен детайл, който много български бизнеси пропускат – онлайн магазин с 15 000 клиентски акаунта например е длъжен да има DPO.

За да разбера по-добре задълженията си като администратор на данни, препоръчвам да прочета: Каква отговорност нося като администратор на уеб сайт?

Кога DPO НЕ е задължителен?

Ако съм малък или среден бизнес, обработвам данни на по-малко от 10 000 лица годишно, не работя с чувствителни данни и основната ми дейност не е систематично наблюдение на хора – DPO не е задължителен. Но дори в този случай назначаването на DPO доброволно е добра практика, особено ако планирам растеж или работя с чувствителна клиентска информация.

Какви са задачите на DPO?

Длъжностното лице по защита на данните не е просто „отговорник за GDPR" – ролята е много по-комплексна. Според чл. 39 от GDPR, задачите на DPO включват:

• Информиране и консултиране – DPO информира ръководството и служителите за задълженията им по GDPR и дава практически съвети.
• Наблюдение на съответствието – следи дали бизнесът спазва GDPR и националното законодателство, включително разпределението на отговорностите, обучението и одитите.
• Консултиране при DPIA – когато се налага оценка на въздействието върху защитата на данните (Data Protection Impact Assessment), DPO е задължителен консултант в процеса.
• Сътрудничество с КЗЛД – DPO е основната точка на контакт между моята организация и надзорния орган при проверки или жалби.
• Управление на искания от субекти на данни – координира отговорите на искания за достъп, изтриване, коригиране и преносимост на данни.
• Управление на нарушения – при изтичане на данни DPO координира уведомяването на КЗЛД в рамките на 72 часа.

За да разбера по-добре какви са правата на хората, чиито данни обработвам, препоръчвам: GDPR и лични данни - какви са правата на потребителите?

Изисквания към DPO – какво трябва да знае и умее?

GDPR не изисква конкретна диплома или сертификат за DPO. Важно е лицето да притежава:

• Експертни познания в областта на законодателството и практиките за защита на данните
• Способност да изпълнява задачите си независимо – DPO не може да получава инструкции относно изпълнението на задачите си
• Достъп до ресурси и информация, необходими за изпълнение на задачите
• Директен достъп до висшето ръководство

DPO не може да бъде освободен или наказан за изпълнение на задълженията си – това е гаранция за независимостта му.

Може ли DPO да е външно лице?

Да – и това е едно от най-практичните решения за малкия и среден бизнес. GDPR изрично допуска DPO да е външно лице (физическо или юридическо), което предоставя услугите си въз основа на договор. Предимствата на външния DPO са:

• По-ниска цена – не е нужно да назначавам щатен служител с пълно работно време
• По-висока експертиза – специализираните фирми за DPO услуги следят постоянно регулаторните промени
• По-лесна независимост – външното лице е по-малко изложено на вътрешен натиск

При zewnętrzния DPO обаче трябва да се уверя, че: контактните му данни са публично достъпни (на уебсайта ми и в уведомлението до КЗЛД), той е реално ангажиран с дейността ми и разполага с необходимите ресурси.

За да имам и правно издържани общи условия и политики за поверителност, съобразени с назначения DPO, е добре да потърся специализирана правна помощ.

Ограничения за DPO – какво НЕ може да прави?

DPO не може да заема позиция, при която сам определя целите и средствата на обработване на данни. Конкретно, DPO не трябва едновременно да е:

• Изпълнителен директор, финансов директор или главен оперативен директор
• Ръководител на отдел „Маркетинг" или „HR" (тъй като тези отдели вземат решения за обработката на данни)
• Главен IT директор (в определени случаи)

Причината е проста: DPO трябва да наблюдава и оценява независимо, а ако той самият взема решенията, контролът е невъзможен.

Как да уведомя КЗЛД за назначен DPO?

След назначаването на длъжностното лице по защита на данните, трябва да уведомя КЗЛД. Ето как протича процесът:

1. Попълни онлайн формуляр на сайта на КЗЛД (kzld.bg) – там е предвиден специален раздел за уведомления за DPO.
2. Посочи задължителната информация: трите имена на DPO, имейл адрес и телефон за контакт. Физическият адрес не е задължителен, но е добра практика.
3. Публикувай контактните данни на DPO и на уебсайта си – GDPR изрично изисква те да са достъпни за субектите на данни.
4. Уведоми при промяна – ако DPO бъде сменен, незабавно актуализирай данните в КЗЛД.

Уведомлението до КЗЛД не е сложна процедура, но трябва да се направи своевременно – желателно преди или веднага след реалното назначаване на DPO.

Цялостно въвеждане на GDPR – не само DPO

DPO е само един елемент от пълното GDPR съответствие. За да съм наистина защитен, трябва да имам и: политика за поверителност, регистър на дейностите по обработване, процедури за упражняване на права от субектите на данни, и процедура при нарушения на сигурността.

Препоръчвам да се запозная с новите правила за защита на личните данни (GDPR) – там е обяснено достъпно цялото законодателство.

За цялостно въвеждане на GDPR в бизнеса – включително назначаване на DPO, изготвяне на документация и обучение на служители – мога да потърся специализирана правна помощ и да получа персонализиран GDPR наръчник за конкретните нужди на бизнеса си.

Заключение

Длъжностното лице по защита на данните (DPO) е задължително за публичните органи, за бизнеси с систематично наблюдение на хора, за тези, обработващи специални категории данни в голям мащаб, и по ЗЗЛД – при обработка на данни на повече от 10 000 лица годишно. DPO може да е вътрешен служител или външен консултант – решението зависи от размера и нуждите на бизнеса.

Ако попадам в някоя от тези категории и все още нямам назначен DPO, рискувам санкции от КЗЛД. Но по-важното е, че добре функциониращото длъжностно лице по защита на данните реално защитава бизнеса ми – от глоби, от загуба на доверие и от правни спорове. Инвестицията в GDPR съответствие се изплаща многократно. За да се ориентирам в допълнителните си задължения, мога да разгледам и политиките и общите условия, изисквани от GDPR за онлайн бизнеси.