Има ли нужда бизнесът от служители по защита на личните данни
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Има ли нужда бизнесът от служители по защита на личните данни

Има ли нужда бизнесът от служители по защита на личните данни

Кои фирми трябва да назначат такъв служител и защо

17024 прочитания

© Цветелина Белутова


През 21 век данните се превръщат в един от най-ценните активи. Дигитализацията на бизнеса ги превърна във валута, което наложи да бъде въведен ефективен механизъм за регулиране на процесите по тяхната обработка, трансфер и защита.

Именно в отговор на тази необходимост се появи и Регламент 2016/679 (GDPR), който ще действа задължително на територията на всички държави - членки на ЕС, най-късно от 25 май 2018 г.

По данни на Европейския парламент около 80% от всички компании в България ще бъдат засегнати от новата уредба, в това число малките и средните предприятия. Резултатите от проучване на водеща европейска одиторска компания сочат, че към 27.11.2017 г. в европейски мащаб 92% от бизнеса НЕ Е подготвен за новите мерки, които GDPR въвежда.

Една от най-основните новости е задължението за администраторите и обработващите лични данни да назначат длъжностно лице по защита на личните данни (DPO).

Кои дружества/администратори са задължени да назначат длъжностно лице по защита на личните данни?

Задължени да назначат длъжностни лица по защита на лични данни ще бъдат няколко категории администратори на лични данни, в случай че:

- обработват лични данни като част от дейността си, която включва редовно и систематично мащабно наблюдение на физически лица – такива са всички телекомуникационни оператори, доставчици на услуги, включващи проследяване на местоположението/GPS услуги, поведенческа реклама, CCTV услуги, всички банки, финансови институции и пр. По данни на европейските и местните регулатори като обработващи редовно и систематично лични данни ще бъдат разгледани всички администратори, които имат назначени повече от 250 служители

- обработват специални, или т.нар. "чувствителни" лични данни в голям мащаб – такива са всички болници, здравни учреждения, пенсионно-осигурителни и застрахователни дружества

- обработват личните данни на повече от 10 000 физически лица

- всички публични органи или структури с изключение на съдилищата при изпълнение на съдебните им функции.

По последни данни, предоставени от Комисията за защита на личните данни (КЗЛД), за изпълнение на GDPR в България ще бъдат необходими поне 50 000 длъжностни лица по защита на личните данни. В това число са само администраторите, които имат нормативно задължение да назначат такива лица.

Макар за всички останали администратори да не съществува изрично задължение за назначаване на длъжностно лице, в практиката на европейските компании се утвърждава подход на възлагане отговорностите по привеждане на дружествените процеси в съответствие с регламентацията на длъжностни лица по защита на личните данни.

Мотивация

Длъжностните лица по защита на личните данни дават експертно становище и препоръки за начините на привеждане на процесите в дружеството в съответствие с изискванията на GDPR. На лицето по защита на личните данни се възлага реализацията на всички задължителни технически и организационни мерки за защита на личните данни. Длъжностното лице е точка за контакт с Комисията за защита на личните данни, като по време на проверки с оглед експертизата си има възможност да улесни значително процеса и да бъдат предотвратени недоразумения. Сред другите, не по-малко значими функции на лицето по защита на лични данни са задълженията за провеждане на обучение на персонала в дружеството, повишаване осведомеността на служителите, надзор по спазването на процедурите по защита на лични данни в дружеството. Длъжностното лице спомага за безпроблемното приложение на регламентацията, като изпълнява консултативни функции в областта на защитата на личните данни на всички нива в дружеството. Своевременно информира служителите, които обработват лични данни, за задълженията им съгласно нормативната база. Организира осъществяването на задължителната оценка на въздействието и предоставя съвети по отношение на резултатите с оглед съответствие на GDPR.

Условия за изпълнение на функции като длъжностно лице по защита на личните данни

Регламентът изрично предвижда, че длъжностното лице по защита на личните данни трябва да притежава както задълбочени експертни познания в областта на законодателството и практиката, така и професионален опит в областта на защита на личните данни, като тези факти ще се удостоверяват със сертифициране и/или вписване в нарочен регистър на длъжностните лица по защита на личните данни.

Конфликт на интереси

Регламентът дава възможност на администраторите на лични данни да изберат дали да възложат функциите на длъжностно лице по защита на личните данни на техен "вътрешен" служител, или да се обърнат към утвърдени специалисти, които са независими и външни за компанията, като по този начин получават сигурност в експертизата на съответните отраслови професионалисти.

Европейският надзорен орган в насоките си изрично е предписал, че длъжностното лице по защита на личните данни трябва да има възможност да изпълнява задълженията си независимо. В тази връзка се обръща внимание и на възможността лицето по защита на лични данни да съвместява няколко длъжности, в който случай се счита, че не е допустимо съвместителство с длъжност, която включва дейности по ръководство и контрол на обработката на лични данни (например ръководител отдел IT, HR, правен и др.) или съвместителство с длъжност, която би довела до конфликт при упражняване задълженията по надзор и контрол (например обработващо данните лице, което в качеството си на длъжностно лице ще се налага да упражнява контрол сам на себе си).

За избягване на конфликт на интереси е препоръчително длъжностното лице по защита на личните данни да не бъде лице на краткосрочен или срочен трудов договор, както и да бъде лице, пряко подчинено на "висшия изпълнителен орган" – изпълнителен директор, съвет на директорите и пр.

Ползите за бизнеса

С назначаването на длъжностно лице по защита на личните данни се редуцират значително рисковете от несъответствие с Регламент 2016/679 и потенциално налагане на санкции. Гарантира се своевременната осведоменост за промени в областта на защита на личните данни, както и се установява контакт с Комисията за защита на личните данни, чиято практика е неразделна част от регламентацията в областта и следва да се съблюдава. На служителите на дружеството се дава възможност за спокойна работа и възможност да се консултират с професионалист в случай на възникнали въпроси в областта на защита на личните данни.

Разходите за назначаването на такова лице се оправдават, като освен реализираната превенция от налагане на значителни глоби в размер до 20 млн. евро или 4% от годишния оборот се постига сигурност, че са взети и мерки срещу възникване на пробиви в системите и изтичане на лични данни, фирмени тайни и ноу-хау. В случай на пробиви в системите евентуалните неблагоприятни последици от репутационни рискове и санкции от регулатора ще бъдат избегнати, тъй като длъжностното лице следи за сигурността на защита на личните данни и уведомява органите на реда в случай на неправомерна обработка и/или изтичане на данни. В допълнение длъжностното лице подпомага цялостното съответствие на реализация на бизнес процесите в дружеството със законовата уредба, имайки достъп до обработката на данни във всички отдели, своевременно има възможност да разбере за потенциални нарушения и/или трудности при изпълнение на текущи задачи и да комуникира с органите на управление на дружеството за предприемане на необходимите действия.

------

Румяна Йорданова е адвокат, част от екип "Защита на лични данни" на Адвокатско дружество "Пенков, Марков и партньори" и лектор на специализирани обучения, свързани с правната рамка на Регламент 679/2016.

През 21 век данните се превръщат в един от най-ценните активи. Дигитализацията на бизнеса ги превърна във валута, което наложи да бъде въведен ефективен механизъм за регулиране на процесите по тяхната обработка, трансфер и защита.

Именно в отговор на тази необходимост се появи и Регламент 2016/679 (GDPR), който ще действа задължително на територията на всички държави - членки на ЕС, най-късно от 25 май 2018 г.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

0 коментара

Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK