неделя, 19 ноември 2017  RSS
    Барометър | Региони | Компании | Лица | Назначения


    6544 прочитания

    Какво трябва да знаят работодателите за новата позиция Data Protection Officer?

    За функциите и възможностите за организация на новата длъжност, вижте какво споделиха адв. Карушков и адв. Арабистанов пред Economy.bg
    12 юли 2017, 13:44 a+ a- a

    От 25 май 2018 ще започне да се прилага Регламент (ЕС) 2016/679. Той касае защитата на физическите лица във връзка с обработването на лични данни. Едно от новите положения в Регламента е фигурата на „Длъжностно лице по защита на личните данни“ или Data Protection Officer (DPO). Каква е функцията на това лице и как се уреждат взаимоотношенията между него и компаниите? С тези и други въпроси се обърнахме към адв. Митко Карушков, съдружник в Адвокатско дружество „Камбуров и Съдружници“, и адв. Марио Арабистанов от същото дружество. И двамата практикуват най-вече в областта на технологиите, медиите и телекомуникациите. Вижте какво споделиха пред екипа на Economy.bg:

    Каква ще бъде ролята на Data Protection Officer?

    Каква е ролята на тази нова фигура „Длъжностно лице по защита на личните данни“?
    Адв. Митко Карушков: Човешкият фактор е водещ в това отношение. Прочетохме прогнозни изследвания за това, че между 40 и 50 хил. работни места ще бъдат създадени. Можем да отгатнем дали това са нови 40 хил. заети или преквалифициране на съществуващи служители в служители по защита на данните – DPO – Data Protection Officers. Това е едно от задълженията, които се въвеждат с регламента - да има лице във всеки един администратор на лични данни, което да изпълнява функцията на Data Protection Officer. Това лице ще отговаря както за съответствието на вътрешните писани и фактически правила с предписанията на Регламента, така и за комуникацията със субектите на данни и КЗЛД, и други органи, които имат по една или друга законова линия правомощия в областта на обработването на данни.
    Адв. Марио Арабистанов: Самият DPO ще представлява активна връзка между субекта на данните, местния регулатор и самия администратор на лични данни. Той, въпреки че ще е част от структурата, от служителите на администратора на лични данни, ще има една своя относителна независимост, за да може да защитава интересите на всички страни в процеса по защита на лични данни.

    Кой може да бъде натоварен с тези функции?
    Адв. М.К.: Възможно е да е служител на администратор на лични данни. Възможно е да е външно лице по търговски или консултантски договор. Въпросното външно лице може да е компания или физическо лице.

    Т.е. тези функции могат да бъдат изнесени към друга компания?
    Адв. М.К.: При всяко едно положение, дори се практикува към днешна дата.

    Какви са правните възможности за уреждане на взаимоотношенията между администратор на личните данни и DPO – трудов договор, граждански договор?
    Адв. М.К.: Всяка от тези възможности би била законна. Във формалния контекст на трудовия договор конкретно решение на самата компания е дали да наеме нов човек, или да преквалифицира някой от служителите си. Според нас една от практическите стъпки, които очакваме бизнесът да предприеме, е дописване на длъжностната характеристика на трудовия договор. Струва ми се, че това няма да е достатъчно. Защото очакванията на Регламента и на играчите на пазара особено на регулаторите са Data Protection Officer да има задълбочени познания в законите и практиката по защита на личните данни.

    Т.е. на Вас ви се струва, че няма да бъде удачно съвместяването на задълженията на DPO с друг тип задължения в компанията, но все пак ще бъде позволено?
    Адв. М.К.: Ще бъде позволено. Може да е удачно от гледна точка на конкретния случай. Мисълта ни беше по-скоро, че с дописване на длъжностната характеристика няма да бъде изпълнен целият обем от очаквания на регулаторите и на Регламента.
    Адв. М.А.: Още повече, когато самите обеми от лични данни, които се съхраняват и обработват, надвишават капацитета на един DPO, който би могъл да ги контролира, тогава за мен лично би било немислимо един служител, който и без това има други задължения, да трябва да съвместява и това. Още повече, като се има предвид и целият контрол, който GDPR налага върху личните данни, просто се губи не само правната, но и житейската логика.

    На какви изисквания трябва да отговаря DPO?

    На какви изисквания трябва да отговаря едно лице, за да може да изпълнява функциите на DPO? Споменахте, че трябва да познава добре законите, изисква ли се юридическо образование?
    Адв. М.К.: И на ниво регламент, и на ниво българска национална регулация не са предвидени такива специфични изисквания. Не пречи DPO да е с такова образование, практика или професия, но същевременно не е и задължително изискване. Може би с течение на времето ще се развие и практически, и законодателно уточняването на тази уредба. Към днешна дата това по една или друга причина е въпрос, който е по-скоро отворен.

    Някакви конкретни задължителни изисквания към тези лица има ли?
    Адв. М.К.: Умения, компетентност и лични качества, които администраторът като организация може да прецени, че са необходими за функционирането на тази длъжност.
    Адв. М.А: Трябва да отбележим, че личните данни към момента и за в бъдеще ще се развиват като основен актив на голяма част от компаниите. DPO ще е този човек, който ще отговаря за неговата защита, за неговия контрол. Самите компании ще въведат свои лични изисквания, защото трудно можем да си представим, че един бизнес би възложил защитата на най-големия си актив на човек, който не притежава необходимата компетентност.

    Как се разпределя отговорността между длъжностно лице по защита на данни и администратора на лични данни?
    Адв. М.К.: Един от водещите принципи е чрез договор – както вътре в организацията, така и при редовно аутсорсване на процеси. Договорите обикновено възпроизвеждат постановките на Регламента. Самият Регламент пзоволява това да се случи чрез договор или чрез правото на съответната страна членка на Европейския съюз. От практиката забелязваме, че в добавка на това, което казах за договорното уреждане на отговорността, стремежът на хората и бизнеса, имащи достъп до лични данни, е да имат личните данни, но не и отговорността. Колкото по-малко отговорност носи администраторът, толкова по-добре.
    Адв. М.А.:Тук е хубаво да разграничим отговорността на администратора и DPO от отговорността на администратора и обработващия лични данни, които са две различни фигури. Докато отговорността на администратора и DPO се урежда по тези начини, при отговорността на администратора и обработващия лични данни говорим за един вид солидарна отговорност пред самото лице, чиито права са нарушени

    Как се разпределя отговорността между администратора на лични данни, обработващия данни и DPO?

    Каква е разликата между DPO и Обработващ данни?
    Адв. М.К.: Администраторът на лични данни е компания (може да не е само компания разбира се, но ние говорим за компании по-скоро), която определя целите за събиране, обработване, съхраняване и използване на лични данни. Обработващият е фигура – може да е отделно лице, може да е вътре в рамките на администратора, може да е физическо или юридическо лице. Обработващият е лицето, което извършва техническите действия по събиране, съхраняване. След определените цели от администратора имаме изпълнение на целите от обработващия лични данни. А длъжностното лице по защита на данните- DPO, е да го наречем служител или консултант на администратора на лични данни, който следи за съответствието на писаните правила и фактическото им изпълнение. Стават три фигури, които е възможно да бъдат съчетани в едно. Ако DPO е служител или консултант на един от другите играчи в областта на обработване на личните данни – било то администратор, било то обработващ, той носи директната договорна отговорност, която е договорена, разпределена и на основание на писаните правила. Когато администраторът, който е определил целите за събиране на лични данни, е аутсорснал тази дейност на обработващия лични данни, при евентуално нарушение на правата на субекта на данните, отговорността на тези два играча – адмнинистратор и обработващ, спрямо субекта на данните е солидарна.

    Има ли възможност администраторът да се изключи от кръга на отговорните лица?
    Адв. М.К.: Има екосистеми, в които е възможно законово договаряне, което да изключи солидарната отговорност.

    Това касае само вътрешните отношения между отделните играчи или по някакъв начин се отразява и на възможността на субекта на личните данни да търси отговорност от администратора?
    Адв. М.А.: Изборът дали да се насочим към обработващия личните данни, или към администратора е на увреденото лице. По-вероятно е потребителите първо да търсят компенсация или защита на правата си срещу самия администратор на лични данни или срещу онази компания, която има по-голям шанс да удовлетвори финансово претенцията им.
    Адв. М.К.: Акцентът на Регламента е да защити субектите на данни от неправомерно използване на техните данни. Поради което излага на теоретичен риск не само нарушителите, ами този нарушител, който е по-надежден финансово от гледна точка субекта на данните.
    Адв. М.А.: Да започнем оттук, че обработващият лични данни ги обработва от името и по възлагане на администратора, т.е. за пред третото лице, за пред физическото лице, чиито данни се обработват, администраторът винаги стои на дневен ред като носител на отговорност. Докато обработващият лични данни – неговата отговорност е по-скоро спомагателна спрямо тази на самия администратор. Но при всички положения и администраторът, и обработващият за пред третото лице носят отговорност.

    Към датата на прилагане на Регламента компаниите трябва да разполагат и с DPO, и с обработващ данни, така ли?
    Адв. М.К.: DPO – да. Като има изключения, които са предвидени в регламента. Но принципът е, че да. По отношение на обработващите и към днешна дата администраторите имат възможността да възлагат обработването на данни на т.нар. обработващ данни, който да е външно лице или вътрешно лице на компанията

    Т.е. към края на май догодина новото за фирмите ще бъде, че те ще трябва да сключват договор с DPO?
    Адв. М.К.: Да, като при фина настройка някои от компаниите няма да имат тази нужда. В Регламента са посочени списъци, които показват кои администратори на данни при всяко едно положение трябва да имат DPO.

    Нагоре
    Отпечатай
     

    17 ноември 2017, 16:08
    Енергийният преход коства на Siemens близо 7 хил. работни места
    Бързият ръст при възобновяемите енергийни източници засегна бизнеса с енергийно и газово обрудване на компанията
    17 ноември 2017, 15:27
    Български мебелни фирми изнасят за британските вериги Tesco и Homebase
    Около 20 хил. души работят в 2 600 фирми за производство на мебели у нас
    17 ноември 2017, 14:13
    Данъчни отклонения в размер на 3 млрд. лв. установи НАП
    Проверките са продължили малко повече от месец
    17 ноември 2017, 09:06
    Нова дебитна карта позволява заплащането с Bitcoin
    Тя ще използва технологиите на Visa за осъществяването на превода