От 25 май 2018 ще започне да се прилага Регламент (ЕС) 2016/679. Той касае защитата на физическите лица във връзка с обработването на лични данни. Едно от новите положения в Регламента е фигурата на „Длъжностно лице по защита на личните данни“ или Data Protection Officer (DPO). За мястото и ролята на тази позиция, нейните функции и изискванията към хората, които я заемат, разговаряме с професор д.т.н. Вeселин Целков, преподавател в Университета по библиотекознание и информационни технологии и член на Комисията за защита на личните данни. Вижте какво сподели той пред екипа на Economy.bg:
Проф. Целков, кои са най-често отправяните въпроси от страна на администраторите на данни във връзка с фигурата на длъжностното лице по защита на данните? Влизането в сила на Общия регламент относно защита на личните данни или Общ регламент за защита на данните, или GDPR от 25 май 2018 налага голяма част от администраторите на лични данни и обработващите лични данни да назначат длъжностно лице по защита на данните. Длъжностното лице по защита на данните е превод на Data Protection Officer и много често съкращението DPO се използва в практиката. Естествено възникват много въпроси от администраторите на лични данни: трябва или не трябва да назначаваме длъжностно лице по защита на данните; каква ще бъде неговата длъжностна характеристика; какви задачи ще изпълнява; какви са изискванията за професионален опит и квалификация... Регламентът не дава ясен и категоричен отговор. Но на всички тези въпроси има отговори. Те биха могли да се намерят на електронната страница на Комисията за защита на личните данни. Първо, има в голяма част отговори на тези въпроси, публикувани от КЗЛД, и второ, има общоевропейски насоки – това са насоките, които са дадени от работната група по чл. 29.
Фигурата на Длъжностното лице по защита на данните изцяло нова ли е за българското законодателство? За българския надзорен орган длъжностното лице по защита на данните не е нова визия. Още през 2013 Комисията прие и публикува в Държавен вестник Наредба №1 относно минималното ниво на техническите и организационни мерки, които трябва да предприемат администраторите на лични данни за защита на личните данни. Там е казано, че администраторът на лични данни може да назначи или да определи служител по защита на личните данни. Между другото, в тази Наредба има доста новости и доста неща, които са изпреварили с около 5 години Регламента за защита на личните данни. Това са например целите за защита: поверителност, цялостност и наличност и изобщо механизмът и процедурата за оценка на въздействието. От края на 2015 освен алгоритъм и методика за извършване оценка на въздействието Комисията е създала и е дала достъп до инструмент за оценка на въздействието. Човек може съвсем безплатно и безкористно да извърши такава оценка и да получи нивото на въздействие. Освен това в съответствие с нивото на въздействие да получи препоръки за необходимите организационни и технически мерки. Само да отбележа, че тази Наредба ще действа до 24 часа на 24 май, защото от 25 май вече с влизането на Общия европейски регламент страните нямат право с подзаконови актове да извършват и да налагат допълнителни действия или допълнителни условия.
Къде е мястото и каква е ролята на DPO? Вижте какво сподели професор д.т.н. Веселин Целков, член на Комисията за защита на личните данни пред Economy.bg.
Какви са разликите между Data Protection Officer и Data Security Officer? Data Protection Officer като понятие е много близо до наложилото се понятие Data Security Officer. Това е служителят по сигурността на информацията, който отговаря в определените организации за защита на класифицираната информация. Понеже звученето е много близко, автоматично понякога се пренасят функции от служителя по защита на информацията върху длъжностното лице по защита на данните. Истината е, че има много голяма разлика във философията на това лице. Служителят по сигурността на информацията има отговорности и има изпълнителски функции, а длъжностното лице по защита на данните – той няма отговорности и няма изпълнителски функции. Неговата задача е да консултира, да съветва, да анализра, да дава становище. Докато цялата отговорност за защита на личните данни се носи от администратора на лични данни.
Къде е мястото и каква е ролята на DPO? Нека да си представим един общ модел на защитата на лични данни. Нека да си мислим, че изобщо правната рамка е един голям кръг и в този голям кръг има три по-малки независими кръгчета. Едното кръгче - това са субектите на данните или хората с техните лични данни. Другото кръгче е администраторът на лични данни, който обработва личните данни на хората. Третото кръгче е надзорният орган, който съблюдава за спазване на правната рамка и другите условия, които трябва. Длъжностното лице по защита на данните е в кръгчето, което е за администратора на лични данни, но то има много интересни взаимодействия. То, първо, е точката на контакт за висшето ръководство на администратора на лични данни, а освен това е и точката за контакт за всички служители на администратора на лични данни. Т.е. служителите в дадената организация, ако имат някакви проблеми и питания, трябва да се обръщат към длъжностното лице по защита на данните. Длъжностното лице по защита на данните е точката за контакт с всички субекти на данните и затова администраторът на лични данни изрично е задължен да обяви длъжностното лице по защита и то да бъде достъпно по всички информационни средства за комуникация. Длъжностното лице по защита на данните е точката за контакт на администратора на лични данни с надзорния орган. Така че функцията на длъжностното лице по защита на данните е доста важна.
Колко близо до висшето ръководство на съответната компания трябва да бъде позиционирано длъжностното лице по защита на данните? Има няколко изисквания, така че длъжностното лице да изпълни своите задачи и своите функционални задължения. Първо, длъжностното лице трябва да има достъп и да се ползва с подкрепата на най-висшето ниво на управление на дадения администратор на личните данни – било то държавна структура, било частна компания и т.н. Трябва да има достъп и ангажираност на най-високото ниво на управление. Второто важно нещо е, че високото ниво на управление трябва да ангажира длъжностното лице по всички въпроси, свързани със защитата на личните данни. Т.е. за всяка една нова дейност или за съществуващи дейности, или за всеки отговор, за всяко едно нещо, което е свързано с обработката на лични данни и за което няма създадени правила и процедури, топ ръководството на администратора трябва да се допитва за становище, за анализ, за компетентно мнение до длъжностното лице по защита на личните данни. На следващо място на длъжностното лице по защита на данните трябва да бъдат осигурени достатъчно ресурси, за да може той да си изпълни задачите. Тези ресурси са свързани както с чисто материална база, така и с достъп до информация, с възможност за въздействие и др. Длъжностното лице по защита на данните в определен смисъл се явява пълномощник на надзорния орган, т.е. той трябва да дава своите становища, да прави своите анализи независимо от топ ръководството на организацията и в съответствие и следвайки само изискванията на правната рамка. В тази връзка изрично е записано, че длъжностното лице не може да бъде наказвано или уволнявано при изпълнение на неговите служебни задължения. Освен това на длъжностното лице трябва да кажем, че могат да се възлагат и други задачи, които обаче не трябва да влизат в конфликт на интереси.
Какво ще се разбира под конфликт на интереси? Този въпрос е дискусионен и той ще подлежи на допълнително тълкуване, анализ и за всяка една организация е различно, защото при чисто прагматичното пренасяне на понятието конфликт на интереси ще се окаже, че в една организация ръководителят или собственикът не може да бъде длъжностно лице по защита на данните; човекът, който отговаря за човешките ресурси, не може да бъде; човекът, който отговаря за информационната инфраструктура, не може. И може да се окаже, че никой не може. Но това е парадокс и той подлежи на уточняване.
Кои компании трябва да назначат DPO? Вижте какво сподели професор д.т.н. Веселин Целков, член на Комисията за защита на личните данни пред Economy.bg
Всички администратори ли трябва да назначат длъжностно лице по защита на данните? През 2008 или 2009 КЗЛД инициира едно обществено обсъждане. Ние искахме да предложим още през 2008 и 2009 година в българския закон да има специална клауза за длъжностното лице по защита на данните. Това обществено обсъждане не беше съпроводено с достатъчно добра информационна кампания и ние получихме много силен отпор и от бизнеса, и от някои неправителствени организации и медии, които започнаха много дефинитно да казват, че наличието на такова лице ще бъде една допълнителна тежест за бизнеса. Член 37 от Регламента дефинира кои организации или кои структури, кои администратори или обработващи на лични данни трябва задължително да назначат длъжностно лице по защита на данните. Първо, когато обработването се извършва от публичен орган или структура освен когато става въпрос за съдилища при изпълнение на съдебните им функции. Веднага възниква въпросът „Какво означава публичен орган или публична структура?“. Регламентът не дава тълкуване. Публичен орган и структура по насоките, които са дадени от работната група по чл. 29, е въпрос на националното законодателство. Но при всички случаи държавните органи и структури трябва да назначат такова длъжностно лице по защита на данните. На второ място, когато основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/ или цели изискват редовно и систематично мащабно наблюдение на субектите на данни. Тук веднага трябва да направим разлика кои са основните дейности и какво означава редовно и систематично, мащабно.
Кога се приема, че основната дейност се състои в обработване, което изисква такъв тип наблюдение на субектите? За основните дейности веднага можем да дадем един пример, който е много ясен. Всеки един администратор, всяка една структура извършва дейности по обработка на личните данни на своите служители. Това са т.нар. регистри персонал или личен състав и т.н., но обработката на данните за служителите не е основна дейност за организацията. Но ако вие сте една компания, която предлага услугата „Управление на човешки ресурси“, т.е. вие се грижите за подбора на персонал, за поддържане на досиетата, за назначаване и за всички тези дейности, които са свързани с управление на човешките ресурси... Това вече за тази компания са основни дейности. Ако вземем например една болница - основните ѝ услуги са свързани с осигуряване здравето на хората. Но осигуряването на здравето на хората е свързано и то не може да бъде осъществено без здравно досие, в което да има огромно количество лични данни, попадащи в категорията специални лични данни или чувствителни лични данни. Болницата попада в тази група администратори или обработващи лични данни, които задължително трябва да имат длъжностно лице по защита на данните. От другата страна, естествено, отделният зъболекар, отделният лекар, въпреки че обработва чувствителни лични данни, от него не може да се иска да има и длъжностно лице по защита на данните.
Има ли критерии, които поясняват тези понятия? Работната група по чл. 29 казва някои критерии, които поясняват понятията „редовен и систематичен мониторинг“ и понятието „голям мащаб“. Когато говорим за редовен и систематичен мониторинг, това включва всички форми на проследяване и профилиране било то в реално време или извън реално време т.е. офлайн или онлайн. В този случай задължително трябва да има длъжностно лице по защита на данните.
Какво се разбира под обработка на лични данни в голям мащаб? За една малка страна голям мащаб са примерно 10 милиона. За друга държава 10 милиона не са голям мащаб. Комисията за защита на личните данни, базирайки се на своя опит, е подготвила едно множество от промени в Закона за защита на личните данни. Готов е Закон за изменение и допълнение на Закона за защита на личните данни, който вече е на обществено обсъждане, публикуван, и там е написана границата 10 хил. Т.е. ако се обработват личните данни на 10 и повече хиляди субекти на данните, това вече може да го считаме за голям мащаб. Работната група казва: „Нека всеки да определи дали е голям мащабът, но да се вземат предвид, първо, броят на засегнатите субекти; второ – обемът на личните данни, защото вие може да имате малко субекти, обаче за тези субекти да поддържате голям брой лични данни. На трето място - обхватът на различните елементи от данните. На четвърто място – географският обхват на дейността – дали вие работите в един много малък географски регион или работите на големи територии и т.н. И на последно място се дава препоръка, че трябва да се вземе предвид и продължителността на обработка, т.е. имаме много краткотрайна обработка, както и дълга и продължителна.
Бихте ли дали друг пример? Как стои този въпрос при компаниите, занимаващи се с онлайн търговия? Да вземем за пример компания, която се занимава с онлайн търговия и предлага различни продукти. Тази компания за онлайн търговия непрекъснато извършва мониторинг на това от какво се интересуват нейните клиенти, води статистическа информация и тя всъщност извършва профилиране. Както на типа на клиентите, така и на търсените стоки. Тогава тази компания се счита, че извършва редовен и систематичен мониторинг. Друг един пример – можем да вземем застрахователните компании. Даже само здравнозастрахователна компания да вземем – тя обработва личните данни на голям брой физически лица, освен това тези данни са свързани със здравословно и с медицинско състояние. Попадат в категорията специфични или чувствителни лични данни и тогава тази здравнозастрахователна компания трябва да има назначено длъжностно лице по защита на данните.
Може ли длъжностното лице по защита на личните данни да бъде служител, който изпълнява и други функции? Може ли да бъде външно за компанията лице? Може ли едно длъжностно лице да отговаря за няколко компании? Не е задължително длъжностното лице в дадена организация да изпълнява единствено и само функциите на длъжностно лице по защита на данните. То може да изпълнява и други функции, като изрично е казано в Регламента и в насоките и тълкуванията, че то не трябва да бъде в конфликт на интереси. Да видим сега един пример. Вие сте една организация, която се занимава с реклама, с маркетинг и решавате да проведете едно широкомащабно маркетингово проучване. Правите един екип и назначавате ръководител на маркетинговата кампания. Въпросът е може ли това лице да бъде длъжностно лице по защита на данните или може ли на длъжностно лице да се повери функцията ръководител на маркетинговата кампания? Естественият отговор е, че той не може да бъде длъжностно лице по защита на данните, защото се получава конфликт между целите на маркетинговата кампания на проучването и на целите на защита на личните данни. Възможно ли е длъжностното лице да бъде външен служител? Възможно е да бъде външен служител, но то трябва да бъде много ясно и добре дефинирано и да бъде винаги достъпно. То трябва да бъде винаги достъпно както на висшия мениджмънт на организацията, така на всички служители на организацията, на всички субекти на личните данни. Трябва да бъде достъпно и на надзорния орган.
Какво се разбира под лесен достъп до длъжностното лице по защита на личните данни? Да бъде публично обявен. Да има имена, телефони за връзки, имейл, той да бъде реално съществуващо лице, което отговаря бързо на всевъзможни въпроси, запитвания, на различни казуси.
Според Вас ще има ли фиктивно назначени длъжностни лица по защита? Не е в интерес на администратора да назначава длъжностно лице по защита на данните, което да е фиктивно. Той ще изпълни формалните изисквания, но всъщност една от най-важните задачи на длъжностното лице е той да бъде онзи независим одитор, през погледа на който ще минават всички действия по обработката на личните данни. И този одитор ще осигури на администратора на лични данни, че той обработва личните данни в съответствие с изискванията на законите. Иначе вие може наистина да си назначите едно длъжностно лице, което да не върши никаква работа, но това пък поставя администратора на личните данни под угрозата той да наруши законите и тогава да се стартира процедурата по налагане на санкции. Служителят по защита на личните данни, първо, информира и съветва администратора или обработващия. Второ, той контролира спазването на различните изисквания на Регламента и на всички други. На трето място, той упражнява надзор. Другото важно нещо е, че той контролира и повишава осведомеността и извършва обучението на персонала. Сътрудничи си с надзорния орган и той е всъщност онази точка, през която всички нови промени в правната рамка, всички насоки, всички инструкции, задължителни предписания, указания и т.н стават реално действащи правила на самата организация. Ако погледнем тези задачи на длъжностното лице по защита на данните, се вижда, че той на практика ще има доста работа и трябва да има доста големи компетенции и знания и опит, защото той първо, трябва да може да събира и да идентифицира дейностите по обработка, информира, съветва, издава препоръки на ръководството. Извършва надзор на регистъра по операциите; дава съвети по прилагането на основните принципи: неприкосновеност по подразбиране и неприкосновеност при проектиране. Той съветва дали трябва да се извърши оценка на въздействието. Той трябва да дава съвети и анализи каква методология трябва да се спазва при извършване на оценката на въздействието и той трябва да прецени дали организацията или администраторът на лични данни има достатъчно капацитет, компетентност и квалификация да извърши сам оценката на въздействието или трябва да използва външни оценители.
Какъв опит и квалификация трябва да притежава? Естествено възниква въпросът, след като длъжностното лице по защита на данните е ключова фигура в администратора или обработващия лични данни за спазването на законността, какви трябва да бъдат опитът и професионалната квалификация на длъжностното лице по защита на лични данни. Регламентът казва само, че трябва да има доказана компетентност и квалификация. Като единственият критерий, който е ясно написан, е, че ако човек има 5 и повече години опит в работата с лични данни, той притежава достатъчно компетентност и квалификация за заемане на длъжността за длъжностно лице по защита на личните данни. В промените на Закона Комисията предвижда длъжностните лица по защита на личните данни да бъдат подлагани на специален изпит и в резултат от този изпит те да получат съответния сертификат. Предвижда се сертификатът, който Комисията ще издава, да бъде с валидност 3 години. И на всеки 3 години този сертификат трябва да се подновява. Обучението може да се извършва на две места. Това може да бъде извършвано или от КЗЛД, или от други обучаващи организации по програми, одобрени от КЗЛД, т.е. от националния надзорен орган. Ние проучваме - аз и моят екип, този въпрос в Университета по библиотекознание и информационни технологии. Разработили сме една магистърска програма – Неприкосновеност и защита на личните данни. Извършваме анализ на това какво правят другите надзорни органи в страните от Европейския съюз и трябва да ви кажа, че има страни, които са доста напред в това отношение.
Вижте какво сподели професор д.т.н. Веселин Целков, член на КЗЛД за добрите практики на надзорните органи в други държави членки пред Economy.bg.
Как е решен този въпрос в други държави. Може ли да споделите добри практики? Изобщо по внедряване на изискванията на Регламента лично на мен много добро впечатление ми правят надзорният орган на Великобритания, испанският надзорен орган, френският надзорен орган. Специално испанският надзорен орган е издал и едно цяло ръководство и една цяла т.нар. „схема“ за длъжностното лице по защита на данните, в която много ясно са описани и учебната програма, и как се извършва сертификацията, какви компетенции трябва да има, какво трябва да се отчита. Казано е, че ако имате 5 години, вие удовлетворявате изискванията. Добре, ама какво става, ако нямате 5 години? Според мен положителното тук е, че се казва следното: ако имате от 3 до 5 години опит, тогава трябва да имате обучение по една програма, която е от 60 часа. Ако пък имате само две години трудов опит, тогава учебната програма трябва да бъде 100 часа. Ако пък нямате никакъв опит, тогава пък трябва да преминете обучение по учебна програма, която да е, да кажем, минимум 180 часа. Като много е интересно, че в изпита, който и ние ще заложим, ще има няколко важни тематични направления. Групи знания. Най-първата група знания са свързани с Общия регламент и изобщо с правната рамка. В Европейския съюз и в българското законодателство. Второто важно нещо са групата знания, свързани с отчетността и освен това с управление на риска и оценката на въздействие. И третата група знания са свързани с различни техники и средства, методи за защита на данните като техники и технологии вече. Не със защита правата на субекта на данните, а със защита на данните. И общо взето при процентното съотношение на тези 3 групи знания най-голямо внимание би трябвало да се отдаде на правната рамка – 50%. 30% за отчетност, управление на риска и оценка на въздействието и 20% за сигурността и защита на данните. Много важно е, че в самия изпит може би около 20% от въпросите, които ще бъдат разглеждани, са свързани с практически действия. Т.е. с оценка на ситуации, решаване на отделни казуси. Другите ще бъдат само демонстриране на знания. Като при тези оценки трябва да се има предвид, че човек може да получава и допълнителни бонуси например допълнителен бонус е университетско образование в бакалавърска или магистърска степен, свързана със защита на личните данни. Допълнителен бонус е участието в регионални или международни проекти, свързани със защита на личните данни, участие в международни конференции и четене на лекции и създаване на учебни пособия, публикуване. Изобщо, доста внимателно трябва да се развие въпросът с обучението, квалификацията и в крайна сметка сертификацията на длъжностното лице по защита на данните, защото личностното ми усещане е, че длъжностното лице по защита на данните ще бъде оная трансмисия или онзи мотор, който ще помогне да бъдат внедрени изискванията на Регламента.
Вижте интервюто с Мартин Форд - един от най-влиятелните визионери по темата AI, който участва в първото събитие на Jobs.bg, Tech.bg и Economy.bg - EconomyForum
Попитахме HR професионалисти по време на Let’s Talk about Tomorrow - първото събитие, част от EconomyForum, организиран от Economy.bg, Jobs.bg и Tech.bg