Определението, функцията и функцията на длъжностното лице по защита на личните данни (DPO)

Право във всичките му форми

длъжностното

Като част от прилагането на принципа на отчетност, GDPR предвижда назначаването, задължително, в определени случаи, на служител по защита на данните (DPD или DPO за служител по защита на данните).

DPO играе ключова роля за насърчаването на култура на защита на данните в рамките на организацията и помага за прилагането на съществени елементи на GDPR, като принципите, свързани с обработката на данни, правата на засегнатите лица, защитата на данните по дизайн и защитата на данните по подразбиране, регистъра на дейностите по обработка, сигурността на обработката, както и уведомяването и съобщаването за нарушения на данните.

DPD се представя от групата по член 29 като „един от крайъгълните камъни на режима на отговорност“, установен от европейския законодател.

По-точно целта му е:

  • Първо, улесняване на спазването на правилата чрез прилагане на инструменти за отчетност (като улесняване на оценките на въздействието върху защитата на данните и улесняване или извършване на одити за защита на данните)
  • От друга страна, да действа като посредник между заинтересованите участници (например надзорните органи, заинтересованите лица и икономическите субекти в дадена организация).

Всъщност определянето на лице, отговорно да гарантира, че вътрешните процедури на компанията отговарят на принципите, заложени в текстовете, не е ново.

The директива от 24 ноември 1995 г. вече предвижда възможността държавите-членки да определят длъжностно лице по защита на данните, което ще бъде известно във Франция, под името Correspondentant Informatique et Libertés (CIL).

Достатъчно е да се каже, че DPD има за цел да замени този CIL, с изключение обаче, че обозначаването на DPD в някои случаи е задължително от GDPR.

Изненадващо, докато GDPR подробно описва статуса на DPO, френският закон за транспониране от 20 юни 2018 г. е ограничен до предвиждането на неговото определяне. В останалото се отнася до европейския регламент, който, макар и да се прилага пряко, съдържа много области на неточност.

Също така, от CNIL и съдебната практика зависи от определянето на правния статут на DPD.

За момента е препоръчително да се обърнете към GDPR и към насоките на групата по член 29, за да разберете правния режим на DPD.

I) Определението на длъжностното лице по защита на данните

AT) Случаи на определяне на DPO

От GDPR следва, че трябва да се прави разграничение между случаите, когато назначаването на DPO е задължително, и случаите, когато назначаването е по избор.

  1. Определянето на DPO е задължително

Като предварителна забележка може да се отбележи, че член 37 от GDPR се прилага както за администраторите на данни, така и за обработващите лични данни по отношение на назначаването на DPO.

В зависимост от лицето, което отговаря на задължителните критерии за определяне, в някои случаи се изисква само контролерът или процесорът да посочи DPO, в други контролерът и процесорът са длъжни да назначат DPO (двамата DPO трябва да си сътрудничат помежду си).

Важно е да се подчертае, че въпреки че администраторът отговаря на задължителните критерии за определяне, не е задължително неговият процесор да назначи DPO.

За да определите дали обозначението е задължително, вижте раздел 37, 1. от GDPR, който излага три случая.

В мълчанието на LIL и съдебната практика, която все още не е имала възможност да коментира, обхватът на тези три случая трябва да се разбира в светлината на Насоките относно длъжностните лица за защита на данните, приети от групата по член 29 на 13 декември 2016 г.

2. Назначаването на DPO не е задължително

Раздел 37, 4. от ОРЗД ​​предвижда, че „администраторът или обработващият лични данни или асоциации и други органи, представляващи категории администратори или обработващи лица, могат да определят или, ако законодателството на Съюза или законодателството на държава членка изисква това, се изисква да назначи длъжностно лице по защита на данните“.

Това определяне ще бъде резултат от оценка на нивото на риск от несъответствие, на което е изложен контролерът или обработващият.

Във връзка с това може да се забележи, че G29 препоръчва администраторите и обработващите данни да документират вътрешния анализ, извършен, за да се определи дали е необходимо да се назначи DPO, така че те да могат да докажат, че съответните фактори са били правилно взети предвид.

Този анализ е част от документацията, изисквана съгласно принципа на отговорността. Това може да се изисква от надзорния орган и трябва да се актуализира при необходимост, например ако администраторите или обработващите лични данни извършват нови дейности или ако предлагат нови услуги, които могат да съответстват на изброените случаи в член 37.