Каква квалификация е нужна за длъжностно лице по защита на данните?

Специална рубрика вече разяснява изискванията в сайта на ирландския надзорен орган

В сайта на ирландската Комисия за защита на данните (DPC) вече има рубрика Служители по защита на данните. В нея е публикувана разнообразна информация, включително и отговорите на въпросите Кой се нуждае от DPO? и Каква квалификация е нужна?

В раздела за Квалификации за DPO се уточнява, че членове 37-39 от Общия регламент относно защита на данните (GDPR) подробно определят изискванията около назначаването на длъжностно лице по защита на данните (DPO), както и неговата позиция и задачи съгласно GDPR.

Тук е мястото да напомня, че и в сайта на българската Комисия за защита на личните данни има Наръчник за длъжностните лица по защита на данните.

Той беше финансиран по проект „T4DATA” от Европейския съюз по програма „Права, равенство, гражданство“

В тези Насоки за длъжностните лица по защита на данните в публичния сектор относно това как да осигурят спазване на Регламент (ЕС) 2016/679 се казва следното:

Най-добрите практики, помагащи да се осигури независимостта на длъжностното лице по защита на данните, са:

  • Институцията или структурата следва да установи позицията на длъжностното лице по защита на данните в рамките на организацията като позиция на Консултант, Ръководител на звено или Директор и, във всеки случай, позицията на длъжностното лице по защита на данните следва да бъде официално призната като ръководно ниво в официалната органограма на институцията/структурата;
  • Институцията или структурата следва да назначи длъжностното лице по защита на данните за възможно най-дълъг срок, в светлината на договора на длъжностното лице по защита на данните. По този начин нормата би следвало да е назначение за петгодишен период, освен ако това е невъзможно при конкретните обстоятелства;
  • Длъжностното лице по защита на данните следва да има постоянен договор/ договор с неопределен срок с институцията или структурата [и] следва да бъде достатъчно опитно ( … );
  • Длъжностното лице по защита на данните следва да бъде в състояние да посвети времето си изцяло на своите задължения като длъжностно лице по защита на данните, по-специално за големи институции и органи, и за по-малки такива в началната фаза на установяване на режим на защита на данните. Следва да бъде осигурена надлежна поддръжка от гледна точка на ресурси и инфраструктура. Задълженията, несвързани с функцията на длъжностно лице по защита на данните, на длъжностно лице по защита на данните на непълен работен ден следва да не представляват конфликт на интереси, или дори да приличат на конфликт, със задълженията на длъжностното лице по защита на данните като такова;
  • Длъжностните лица по защита на данните в организации, в които дейностите по обработване на данни са основната дейност на организацията, обичайно ще изискват различни членове на персонала. Следва да се осигури такъв капацитет на персонала;
  • Следва да има правила в рамките на организацията, които да гарантират задължението на всички членове на персонала да сътрудничат на ДЛЗД без да трябва да чакат нареждане или разрешение на техния ръководител;
  • Длъжностното лице по защита на данните следва да се отчита през ръководителя на институцията или структурата, който следва да отговаря за контрола върху изпълнението от ДЛЗД на задълженията му, установени от Регламента. Лицето, отговарящо за контрола на изпълнението на ДЛЗД, следва да бъде внимателно към нуждата на ДЛЗД да заема силни позиции, които другите в организацията може и да не оценят. Длъжностното лице по защита на данните не следва да търпи неблагоприятни последствия заради изпълнението на задълженията си. Назначаващият орган следва да гарантира, че докато ДЛЗД заема тази длъжност, то се ползва от „нормално” кариерно развитие. При осъществяване на преглед на изпълнението на задълженията и задачите на ДЛЗД, оценяващото лице следва да внимава, както да не порицава длъжностното лице по защита на данните за заемането на непопулярни позиции, така и да не счита изискванията за защита на данните за административна тежест. За длъжностно лице по защита на данните на непълен работен ден, изпълнението на задълженията като такова следва да има същата тежест като изпълнението на задълженията, несвързани с изпълнението на функцията му;
  • Длъжностното лице по защита на данните следва да има своя собствена бюджетна линия, създадена в съответствие с правилата и процедурите на съответната институция/орган; неговите молби за допълнителни ресурси следва да подлежат на одобрение от административния ръководител. Други договорености са приемливи, само ако предоставят на ДЛЗД ресурсите, от които се нуждае, за да изпълнява своите задължения по независим начин;
  • Длъжностното лице по защита на данните следва да има право да полага подпис за кореспонденция във връзка със защитата на данните.

 

Органите по защита на данните може да счетат за подходящо и да издадат подробни насоки в този смисъл, по описаното в горните редове, пише в наръчника.

Можете да споделите: