Защо шефът на HR отдела не може да е DPO?

“Другите задачи и задължения на ДЛЗД не трябва да водят до конфликт на интереси. Първо, това означава, че ДЛЗД не може да заема длъжност в рамките на организацията, която ще го задължава да определя целите и средствата за обработването на лични данни. Поради специфичната организационна структура във всяка организация, този аспект трябва да се разглежда на база конкретен случай.”

Това се казва в Насоките за длъжностните лица по защита на данните („ДЛЗД“) на  Работна група за защита на личните данни по чл. 29 във връзка с прилагането на Общия регламент за защита на данните.

Длъжностите в рамките на организацията, които влизат в противоречие, по общо правило може да включват длъжности във висшето ръководство (като главен изпълнителен директор, главен оперативен директор, главен финансов директор, главен медицински директор, ръководител на маркетингов отдел, ръководител на отдел „Човешки ресурси“ или ръководител на ИТ отдел), но също така и други функции по-надолу в организационната структура, ако въпросните длъжности или функции са свързани с определяне на целите и средствата за обработване на данните. Освен това конфликт на интереси може да възникне също така например, ако външно ДЛЗД бъде поканено да представлява администратора или обработващия лични данни пред съдилищата по дела, касаещи теми по защита на данните.

Източник: член 38, параграфи 3 и 6 от ОРЗД

Материята за длъжностното лице за защита на данните е уредена в чл. 37-39 от Общия регламент.

Той е служител на администратора на лични данни или външно за неговата организация физическо лице, натоварено с консултативни функции в областта на защитата на личните данни, надзор по спазването на регламента в организацията на администратора и повишаването на осведомеността и обучението на персонала.

Регламентът предвижда длъжностно лице по защита на личните данни да имат само определени категории администратори, а именно:

– публични органи или структури, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;

– администратори, чиято дейност, поради своето естество, обхват и цели, изискват редовно и систематично мащабно наблюдение на субектите на данни;

– администратори, чиито основни дейности се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения.

Във всички случаи Работната група по член 29 препоръчва, когато се установява дали се извършва мащабно обработване, да се вземат предвид по-специално следните фактори:

– брой на засегнатите субекти на данните или като конкретен брой, или като дял от съответното население;

– обем на данните и/или диапазон от различни елементи на данните, които се обработват;

–  продължителност или постоянство на дейността по обработване на данните;

–  географски обхват на дейността по обработване.

Примерите за мащабно обработване включват:

– обработване на пациентски данни в обичайните условия на осъществяване на дейността на болница;

– обработване на данни за пътувания на физически лица, използващи системата на обществен транспорт на даден град (например проследяване чрез карти за пътуване);

– обработване в реално време на данни за определяне на географското местоположение на клиенти на международна верига за бързо хранене за статистически цели от страна на обработващ лични данни, който е специализиран в предоставянето на тези услуги;

– обработване на клиентски данни от застрахователно дружество или банка в обичайните условия на осъществяване на дейността;

–  обработване на лични данни от търсачка с цел поведенческа реклама;

– обработване на данни (съдържание, трафик, местоположение) от доставчици на телефонни или интернет услуги.

Примерите, които не представляват мащабно обработване, включват:

– обработване на пациентски данни от отделен лекар;

– обработване на лични данни от отделен адвокат във връзка с присъди и нарушения.

Според тълкуването на Работната група по член 29 „редовно“ означава едно или повече от следните:

–  текущо или възникващо на определени интервали за определен период;

–  многократно или повтарящо се на определени интервали;

–  случващо се постоянно или периодично.

Според тълкуването на Работната група по член 29 „систематично“ означава едно или повече

от следните:

–  възникващо по някаква система;

– предварително уредено, организирано или методично;

–  случващо се в рамките на общ план за събиране на данни;

–  осъществявано в рамките на стратегия.

Примери за дейности, които може да представляват редовно и систематично наблюдение на субектите на данните: експлоатация на далекосъобщителна мрежа; предоставяне на далекосъобщителни услуги; пренасочване на електронни съобщения; основани на данни маркетингови дейности; профилиране и оценяване за целите на оценка на риска (например за целите на определяне на кредитоспособността, изчисляване на застрахователни премии,предотвратяване на измами, откриване на случаи на изпиране на пари); проследяване на местоположението, например чрез мобилни приложения; програми за лоялност; поведенческа реклама; наблюдение на данни за благосъстоянието, тонуса и здравословното състояние чрез носими устройства; вътрешна система за видеонаблюдение; свързани устройства, например интелигентни измервателни устройства, интелигентни автомобили, автоматизация на дома и т.н.

Можете да споделите: