Кой пази длъжностното лице по защита на данните от конфликт на интереси?

От новия проект за промени в Закона за защита на личните данни изчезна текстът „Длъжностното лице по защита на данните може да изпълнява задачите си по трудово или служебно правоотношение, вкл. по вътрешно съвместителство, или въз основа на договор за услуги. Администраторът и обработващият не могат да съвместяват и функциите на длъжностно лице по защита на данните.“

Едно от обясненията е, че така се освобождава пространство за наемане на външни фирми, които да предоставят тази услуга.

Какво казва по този проблем „Работна група по чл. 29 с оглед на началото на прилагането на Общия регламент за защита на данните“ в насоките си:

Възможно ли е да се назначи външно ДЛЗД?

Да. ДЛЗД може да бъде член на персонала на администратора или обработващия лични данни (вътрешно ДЛЗД) или да изпълнява задачите въз основа на договор за услуги. Това означава, че ДЛЗД може да бъде външно лице и в такъв случай неговите функции може да се упражняват на база на договор за услуги, сключен с физическо лице или организация.

Когато функциите на ДЛЗД се изпълняват от външен доставчик на услуги, екип от физически лица, работещи за съответното предприятие, може ефективно да изпълнява задачите на ДЛЗД като екип, отговорност за който носи определеното лице за контакт и „отговорник“ за клиента.

В този случай е съществено важно всеки член на външната организация, който изпълнява функциите на ДЛЗД, да отговаря на всички приложими изисквания по ОРЗД.

В насоките се препоръчва, с оглед на правната яснота и добрата организация и за избягване на конфликти на интереси сред членовете на екипа, в договора за услуги да се предвиди ясно разпределение на задачите в рамките на външния екип на ДЛЗД и за всеки клиент да бъде определено по едно физическо лице като основно лице за контакт и „отговорник“.

Източник: член 37, параграф 6 от ОРЗД

Според член 38, параграф 6 се допуска ДЛЗД „да изпълнява и други задачи и задължения“.

Изисква се обаче организацията да гарантира, че „тези задачи и задължения да не водят до конфликт на интереси“.

В зависимост от дейностите, големината и структурата на организацията, може да е добра практика администраторите и обработващите лични данни:

 да идентифицират длъжностите, които биха били несъвместими с функциите на ДЛЗД;

 да разработят вътрешни правила в тази връзка, за да се избягва възникването на конфликти на интереси;

 да включат по-общо обяснение на понятието „конфликт на интереси“;

 да декларират, че тяхното ДЛЗД не е в конфликт на интереси, що се отнася до изпълнението на неговите функции на ДЛЗД, като средство за повишаване на осведомеността по отношение на това изискване;

 да предвидят гаранции във вътрешните правила на организацията и да осигурят достатъчната точност и детайлност на съобщението за свободната длъжност на ДЛЗД или на договора за услуги, за да се избегне конфликт на интереси. В този контекст следва да се има предвид също така, че конфликтите на интереси може да съществуват под различни форми, в зависимост от това дали ДЛЗД е наето като вътрешен служител или на външна база.“

Всички тези текстове възлагат на администратора задачата да избягва конфликт на интереси. Но все пак в закона беше добре да остане записът, че „Администраторът и обработващият не могат да съвместяват и функциите на длъжностно лице по защита на данните.“ Защото и длъжностните лица по защита на данните се нуждаят понякога от законово основание като аргумент.

Можете да споделите: