Skip to content Skip to sidebar Skip to footer

Становище по запитване на ОУ „Свети Княз Борис I“ – град Бургас , свързано с приложението на ЗЗЛД и Регламент EU 2016/679 (GDPR)

 ПРАВНО СТАНОВИЩЕ

от Петър Бакърджиев – експерт по лични данни в Институт за правни анализи и изследвания

 

Относно: Запитване от образователна институция от Област Бургас, регистрирано в деловодната система на ИПАИ под Вх. № ОУКБ-2059 /12.11.2018г.[1], изпратено под формата на електронно писмо, със следното съдържание:

„По време на разработването на училищна Инструкция за защита на личните данни се натъкнахме на няколко казуса или по-скоро въпроси, на които не успяхме да си отговорим адекватно на ситуация,  в която се намира едно училище.

1.   Възможно и допустимо ли е определеното длъжностно лице по защита на личните данни да бъде зам.-директорът по АСД, който е и обработващ лични данни?

Ако не е допустимо –  кое лице може да бъде определено – учител, домакин, външно лице, счетоводител….?

2.   Трябва ли да бъде длъжностно лице от училище?

3.   Нарушава ли се законов норматив при събиране и съхраняване на копия от актове за раждане на учениците от училище?

4.   Трябва ли всички служители в училище да подадат декларация, че предоставят личните си данни, на основание Регламента и ЗЛД?“.

 

І. ОПИСАНИЕ НА РАЗГЛЕЖДАНИЯ СЛУЧАЙ

На електронната поща на Центъра за обучение и квалификация на ИПАИ на 12.11.2018г. е получено запитване от ОУ "Свети Княз Борис I"  – град Бургас съдържащо четири основни въпроса, перифразирани от екипа на ИПАИ по следния начин:

  допустимо ли е за Длъжностно лице по защита на личните данни в образователна институция, да бъде определен заместник-директора по административно-стопанската дейност, който има качеството и на обработващ лични данни по смисъла на националното право и на Регламент EU 2016/679 (GDPR)? Кое лице може да бъде определено за длъжностно лице по защита на личните данни в образователната институция – учител, домакин, външно лице, счетоводител, и/или др.?;

  необходимо ли е длъжностното лице по защита на личните данни в образователната институция да бъде длъжностно лице от щатния състав на училището (в разглеждания случай се касае за основно училище)?;

  ще наруши ли образователната институция разпоредбите на националното право и тези на Регламент EU 2016/679 (GDPR), ако събира и съхранява копия от актове за раждане на учениците от училището?;

  необходимо ли е служителите на образователната институция да подадат (или вече да са подали) декларации за съгласие, по силата на които да предоставят личните си данни на работодателя, съгласно изискванията на националното право и тези на Регламент EU 2016/679 (GDPR), който пряко се прилага и в България?

Във връзка с постъпилото запитване от ОУ "Свети Княз Борис I"  – град Бургас, следва да се отбележи, че Институт за правни анализи изследвания (ИПАИ) няма компетенции по издаването на методически указания свързани с приложението на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), ЗЗЛД и свързаните с тях подзаконови нормативни актове, а предоставя безвъзмездно правни становища по запитвания на образователни институции, с оглед по-доброто и законосъобразно прилагане на разпоредбите на посочените нормативни актове, които становища също нямат общозадължителен характер или обвързваща сила.

 

С цел законосъобразното прилагане на посоченото национално и европейско законодателство свързано със защитата на личните данни от ОУ "Свети Княз Борис I"  – град Бургас, предоставяме на Вашето внимание настоящото правно становище.

 

II. АНАЛИЗ НА ПРИЛОЖИМИТЕ ПРОЦЕДУРНИ ПРАВИЛА

В настоящият раздел ще бъдат посочени някои основни положения, свързани с поставените въпроси, компетенциите на образователната институция, компетенциите на длъжностното лице по защита на личните данни и техните задължения при прилагането на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), ЗЗЛД, както и свързаните с тях подзаконови нормативни актове и указания:

 

1). Становището е изготвено въз основа на извършена преценка, обоснована на задълбочен правен и фактически анализ, обхващащ следните документи:

1.1. Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните);

1.2. Насоки на Работна група по чл. 29 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) с оглед на началото на прилагането на Общия регламент за защита на данните;

1.3. Закона за защита на личните данни;

1.4. Практиката и становищата на Комисия за защита на личните данни.

 

2). По отношение на поставения от ОУ "Свети Княз Борис I"  – град Бургас първи въпрос:  допустимо ли е за Длъжностно лице по защита на личните данни в образователна институция, да бъде определен заместник-директора по административно-стопанската дейност, който има качеството и на обработващ лични данни и поясняващият подвъпрос – кое лице може да бъде определено за длъжностно лице по защита на личните данни в образователната институция – учител, домакин, външно лице, счетоводител, и/или др., следва да се отбележи следното:

2.1.  Според изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), някои администратори и обработващи лични данни са задължени да определят Длъжностно лице по защита на личните данни. Такъв е случаят с образователните институции, в това число и с останалите публични органи и структури (независимо какви данни обработват), както и други организации, чиято основна дейност включва систематично и мащабно наблюдение на физически лица или които обработват мащабно специални категории лични данни.

2.2. Длъжностното лице по защита на личните данни в образователната институция може да е служител на образователната институция или външно за организацията на администратора физическо лице, натоварено с консултативни функции в областта на защитата на личните данни, което осъществява надзор по спазването на регламента в организацията на администратора и отговаря за повишаването на осведомеността и обучението на персонала. В този смисъл е възможно за Длъжностно лице по защита на личните данни в образователна институция, да бъде определен заместник-директора по административно-стопанската дейност, който освен това да има качеството и на обработващ лични данни по смисъла на националното право и на Регламент EU 2016/679 (GDPR). Освен това за Длъжностно лице по защита на личните данни в образователната институция, може да бъде определен компетентен учител, домакин, или външно лице, както и счетоводител, стига посоченото да упражнява тази функция лице да притежава задълбочени експертни познания в областта на законодателството и практиката на защитата на личните данни. Конкретните изисквания за образователен статус, на които трябва да отговаря служителят в структурата на администратори от публичната сфера, са посочени изрично в Класификатора на длъжностите в администрацията – редове 109 а, 111 а, 178 а и 262 а. Следва да се има предвид, че по принцип няма задължителни изисквания, които да определят типа на образованието на лицата по защита на личните данни.

Освен посоченото, следва да имате съобразите, че Длъжностното лице по защита на личните данни (ДЛЗД) има определени специфични задължения, сред които, като най-съществени се открояват следните функции:

– да информира и съветва администратора или обработващия лични данни и служителите, които извършват обработване, за техните задължения по силата на нормативните актове за защита на личните данни;

– да наблюдава спазването на правилата за защита на личните данни и на политиките на администратора (вътрешните правила) или обработващия лични данни по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и при съответните одити, ако такива се предвиждат;

– при поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката, ако такава се предвижда;

– да си сътрудничи с надзорния орган – КЗЛД;

– да действа като лице за контакт с надзорния орган по въпроси, свързани с обработването, включително и за даване на предварителна консултация и по целесъобразност, както и да се консултира по всякакви други въпроси, свързани с приложението на националното право и на Регламент EU 2016/679 (GDPR).

2.3. Според член 37, параграф 2 от Регламент EU 2016/679 (GDPR) група предприятия има право да определи едно Длъжностно лице по защита на личните данни (ДЛЗД), при условие че „от всяко предприятие има лесен достъп“ до него. Понятието за достъпност се отнася до задачите на ДЛЗД като точка за контакт по отношение на субектите на данните[2], надзорния орган[3], но също така вътрешно в организацията, като се има предвид, че една от задачите на ДЛЗД е „да информира и съветва администратора или обработващия лични данни и служителите, които извършват обработване, за техните задължения по силата на настоящия регламент“[4].

За да се гарантира достъпът до ДЛЗД, независимо дали е вътрешен или външен достъп, важно е да се осигури наличието на неговите данни за контакт в съответствие с изискванията на РЕГЛАМЕНТ EU 2016/679 (GDPR)[5].

2.4. Въпросното лице, при нужда с помощта на екип, трябва да има възможност ефективно да общува със субектите на данните[6] и да си сътрудничи[7] със съответните надзорни органи. Това означава също така, че тази комуникация трябва да се осъществява на езика или езиците, използван/и от съответните надзорни органи или субекти на данните. Наличието на ДЛЗД (независимо дали присъства физически в същото помещение като служителите, или чрез гореща линия или други сигурни средства за комуникация) е от съществена важност, за да се гарантира, че субектите на данни ще могат да се свържат с ДЛЗД.

В съответствие с член 37, параграф 3 от Регламент EU 2016/679 (GDPR) едно ДЛЗД може да бъде определено за няколко публични органа или структури, като се отчита организационната им структура и размер. По отношение на ресурсите и комуникацията се прилагат същите условия. Като се има предвид, че ДЛЗД отговаря за разнообразни задачи, администраторът или обработващият лични данни трябва да гарантира, че едно ДЛЗД, при нужда с помощта на екип, може да ги изпълнява ефективно, въпреки че е определено за няколко публични органа или структури.

         2.5. Изисквания за достъпност и местоположение на ДЛЗД

В раздел 4 от Регламент EU 2016/679 (GDPR) е предвидено, че ДЛЗД следва реално да бъде достъпно. За да се гарантира достъпността на ДЛЗД, Работната група по член 29 препоръчва ДЛЗД да се намира в рамките на Европейския съюз, независимо дали администраторът или обработващият лични данни е установен в Европейския съюз или не.

2.6. Изисквания към опита и уменията на ДЛЗД

В член 37, параграф 5 от Регламент EU 2016/679 (GDPR) се казва, че ДЛЗД „се определя въз основа на неговите професионални качества, и по-специално въз основа на експертните му познания в областта на законодателството и практиките в областта на защитата на данните и способността му да изпълнява задачите, посочени в член 39“. Според съображение 97 необходимото ниво на експертни познания следва да се определя по-специално в съответствие с извършваните операции по обработване на данни и защитата, която е необходима за личните данни, обработвани от администратора или обработващия лични данни.

   2.7. Изисквания към нивото на опит

Изискваното ниво на опит не е строго определено, но то трябва да е съизмеримо с чувствителността, сложността и обема на данните, които обработва дадена организация. Например когато дадена дейност по обработване на данни е особено сложна или когато се касае за голям обем от чувствителни данни, за ДЛЗД може да са нужни повече опит и подкрепа. Налице е също така разлика в зависимост от това дали организацията системно прехвърля лични данни извън Европейския съюз или дали подобни прехвърляния са редки. Следователно ДЛЗД трябва да се избира внимателно, предвид възникващите в рамките на организацията въпроси във връзка със защитата на данните.

2.8. Изисквания към професионалните качества

Въпреки че в член 37, параграф 5 от Регламент EU 2016/679 (GDPR) не са изрично определени професионалните качества, които следва да се имат предвид при определянето на ДЛЗД, важен фактор е ДЛЗД да има опит в сферата на националните и европейските закони и практики в областта на защитата на данните и да разбира в дълбочина Регламент EU 2016/679 (GDPR). Полезно би било също така надзорните органи да насърчават подходящото и редовно обучение на ДЛЗД. От полза е да притежава познания за стопанския сектор и организацията на администратора. ДЛЗД следва също така добре да познава извършваните операции по обработване, както и информационните системи и нуждите на администратора, свързани със сигурността и защитата на данните. В случай на публичен орган или структура, ДЛЗД следва да е добре запознато също така с административните правила и процедури на организацията.

2.9. Изисквания към способността да изпълнява своите задачи

Способността за изпълняване на задачите, възлагани на ДЛЗД, следва да се тълкува както по отношение на неговите лични качества и знания, така също и във връзка с позицията му в рамките на организацията. Личните качества следва да включват например почтеност и висока професионална етика; първостепенната задача на ДЛЗД следва да бъде осигуряването на възможност за спазване на Регламент EU 2016/679 (GDPR). ДЛЗД изпълнява ключова роля за насърчаване на културата на защита на данните в рамките на организацията и спомага за прилагането на съществено важните елементи на Регламент EU 2016/679 (GDPR) като принципите на обработване на данните[8], правата на субектите на данните[9], защита на данните чрез проектното решение и по подразбиране[10], записи на дейностите по обработване[11], сигурност на обработването[12] [13], както и уведомяване и съобщаване за нарушения на сигурността на данните.

2.10. Общи положения, когато функцията ДЛЗД е възложена въз основа на договор за услуги на външно за организацията лице

Функциите на ДЛЗД може да се упражняват също така въз основа на договор за услуги, сключен с физическо лице или организация – юридическо лице, извън организацията на администратора/обработващия лични данни. В последният случай е съществено важно всеки член на организацията, който изпълнява функциите на ДЛЗД, да отговаря на всички приложими изисквания от раздел 4 от Регламент EU 2016/679 (GDPR) (например съществено важно е никой да не е в конфликт на интереси). Също толкова важно е всеки един член да бъде защитен по разпоредбите на Регламент EU 2016/679 (GDPR) (например да няма несправедливо прекратяване на договор за услуги за дейностите като ДЛЗД, но също така да няма несправедливо уволняване на никой отделен член на организацията при изпълняване на задачите на ДЛЗД). В същото време отделните умения и силни страни може да се съчетаят, така че различните физически лица, работещи в екип, да могат по-ефективно да обслужват своите клиенти. Предвид правната яснота и добрата организация и с оглед на избягването на конфликт на интереси сред членовете на екипа, се препоръчва да е налице ясно разпределение на задачите в рамките на екипа на ДЛЗД, като отделно лице бъде натоварено с ролята на основно лице за контакт и „отговорник“ за всеки клиент. По принцип би било от полза също така тези задължения да бъдат включени в договора за услуги.

2.11. Изисквания за публикуване и съобщаване на данните за контакт с ДЛЗД

Според член 37, параграф 7 от Регламент EU 2016/679 (GDPR) се изисква администраторът или обработващият лични данни:

   да публикува данните за контакт с ДЛЗД; както и

   да съобщи данните за контакт с ДЛЗД на съответните надзорни органи.

Целта на тези изисквания е да се гарантира, че субектите на данни (както в рамките на организацията, така и извън нея) и надзорните органи ще могат лесно и пряко да се свързват с ДЛЗД, без да се налага да осъществява контакт с друга част на организацията. Поверителността е също толкова важна: например служителите може да не са склонни да се оплачат на ДЛЗД, ако не е гарантирана поверителността на техните съобщения. ДЛЗД е длъжно да спазва секретността или поверителността на изпълняваните от него задачи в съответствие с правото на Съюза или правото на държава членка (член 38, параграф 5). Данните за контакт с ДЛЗД следва да включват информация, позволяваща на субектите на данните и на надзорните органи лесно да осъществяват връзка с ДЛЗД (пощенски адрес, конкретен телефонен номер и/или специален адрес на ел. поща). По целесъобразност, за целите на комуникацията с обществеността може да бъдат осигурени и други средства за комуникация, като например специална гореща линия или специален формуляр за контакт с ДЛЗД на уебсайта на организацията.

Според член 37, параграф 7 от Регламент EU 2016/679 (GDPR) не се изисква публикуваните данни за контакт да включват името на ДЛЗД. Въпреки че това може да е добра практика, администраторът или обработващият лични данни и ДЛЗД решават дали това е необходимо или полезно с оглед на конкретните обстоятелства[14]. Съобщаването на името на ДЛЗД на надзорния орган обаче е съществено важно, за да може ДЛЗД да служи като точка за контакт между организацията и надзорния орган (член 39, параграф 1, буква д).

 Работната група по член 29 от Регламент EU 2016/679 (GDPR) препоръчва така също като добра практика организацията да уведомява служителите си за името и данните за контакт с ДЛЗД. Например името и данните за контакт с ДЛЗД може да са публикувани вътрешно в интранета на организацията, в указател на вътрешните телефони и организационните диаграми.

2.12. Специфики на длъжността ДЛЗД

Ангажираност на ДЛЗД с всички въпроси, свързани със защитата на личните данни:

В член 38 от Регламент EU 2016/679 (GDPR) се казва, че администраторът и обработващият лични данни гарантират, че ДЛЗД „участва по подходящ начин и своевременно във всички въпроси, свързани със защитата на личните данни“.

Съществено важно е ДЛЗД или неговият екип да се включват на възможно най-ранен етап във всички въпроси, касаещи защитата на данните. Що се отнася до оценките на въздействието върху защитата на данните, в Регламент EU 2016/679 (GDPR) изрично се предвижда ранното включване на ДЛЗД и се посочва, че администраторът следва да се съветва с ДЛЗД, когато прави такива оценки на въздействието33. Като се гарантира информирането на ДЛЗД и консултирането с него от самото начало, ще се улесни спазването на Регламент EU 2016/679 (GDPR), ще се насърчи възприемането на подход за неприкосновеност на личния живот чрез проектното решение и съответно следва да се включи като стандартна процедура в управлението на организацията. Освен това е важно ДЛЗД да се приема като партньор за обсъждане в рамките на организацията и да се включва в съответните работни групи, които се занимават с дейностите по обработване на данни в рамките на организацията.

Следователно образователната институция трябва да гарантира например, че:

  редовно ДЛЗД се кани да участва на заседанията на висшето и средното ръководство;

  присъствието му е препоръчително, когато се вземат решения, имащи отражение върху защитата на данните. Всяка релевантна информация трябва своевременно да се предоставя на ДЛЗД, за да може ДЛЗД да даде подходящ съвет;

  на становището на ДЛЗД трябва винаги да се отдава необходимото значение. Работната група по член 29 препоръчва като добра практика в случай на несъгласие да се документират причините, поради които съветът на ДЛЗД не е последван;

  когато се установи нарушение на сигурността на данните или друг инцидент, незабавно трябва да се направи консултация с ДЛЗД.

Когато е целесъобразно, администраторът или обработващият би могъл да разработи насоки или програми за защита на данните, в които да се предвидят случаите, когато трябва да се направи консултация с ДЛЗД.

  2.13. Необходими ресурси за работата на ДЛЗД

Според член 38, параграф 2 от Регламент EU 2016/679 (GDPR) организациите са длъжни да подпомагат своите ДЛЗД, като „осигуряват ресурсите, необходими за изпълнението на [техните] задачи, и достъп до личните данни и операциите по обработване, а така също поддържат [техните] експертни знания “. По-специално следва имате предвид предвид следните аспекти:

      активно подпомагане на функциите на ДЛЗД от страна на висшето ръководство (като например на ниво управление на образователната институция);

      достатъчно време за изпълнението на задълженията на ДЛЗД. Това е особено важно, когато е назначено вътрешно ДЛЗД на непълно работно време или когато външно ДЛЗД изпълнява функции по защита на данните в допълнение към други задължения. В противен случай противоречието между приоритетите би могло да доведе до пренебрегване на задълженията на ДЛЗД. Съществено важно е да се предвиди достатъчно време за задачите на ДЛЗД. Добра практика е да се определи процент от времето за функциите на ДЛЗД, когато те не се изпълняват на база пълен работен ден. Добра практика е също така определянето на необходимото време за изпълнение на функциите, определянето на подходящото ниво на приоритет за задълженията на ДЛЗД и изготвянето на работен план от ДЛЗД (или от организацията);

      подходящо подпомагане от гледна точка на финансовите ресурси, инфраструктурата (помещения, съоръжения, оборудване) и персонала, когато е целесъобразно;

      официално съобщаване за определянето на ДЛЗД пред целия персонал, за да се гарантира, че в организацията се знае за наличието и функциите му;

      необходим достъп до други отдели, като човешки ресурси, правни, ИТ, по сигурността и т.н., за да могат ДЛЗД да получават съществено важно подпомагане, ресурси и информация от въпросните други отдели;

      продължаващо обучение. ДЛЗД трябва да имат възможност да са в крак с новостите в областта на защитата на данните. Целта трябва да е непрекъснато да се повишава нивото на опит на ДЛЗД и те следва да се насърчават да участват в курсове за обучение по защита на данните и други форми на професионално развитие, като участие на форуми и семинари, посветени на неприкосновеността на личния живот, т.н.;

      предвид големината и структурата на организацията, може е наложително да се сформира екип на ДЛЗД (ДЛЗД и неговия персонал). В такива случаи ясно трябва да се определи вътрешната структура на екипа и задачите и отговорностите на всеки от неговите членове. Аналогично, когато функциите на ДЛЗД се изпълняват от външен доставчик на услуги, екип от физически лица, работещи за съответното предприятие, може ефективно да изпълнява задачите на ДЛЗД като екип, отговорност за който носи определеното лице за контакт и „отговорник“ за клиента.

Обикновено колкото по-сложни и по-чувствителни са операциите по обработване, толкова повече ресурси трябва да бъдат предоставени на ДЛЗД. Функциите по защита на данните трябва да бъдат ефективни и достатъчно добре ресурсно обезпечени с оглед на извършваното обработване на данни.

В член 38, параграф 3 от Регламент EU 2016/679 (GDPR) са предвидени някои основни положения, които спомагат да се осигурят гаранции за това, че ДЛЗД са в състояние да изпълняват своите задачи с достатъчна степен на независимост в рамките на тяхната организация. По-специално администраторите/обработващите лични данни са длъжни да гарантират, че ДЛЗД „не получава никакви указания във връзка с изпълнението на [своите] задачи“. В съображение 97 е добавено, че ДЛЗД „независимо от това дали са служители на администратора, следва да бъдат в състояние да изпълняват своите задължения и задачи независимо “.

Това означава, че при изпълнението на своите задачи по член 39 ДЛЗД не бива да получават указания как да решат въпроса, например какъв резултат трябва да бъде постигнат, как да провеждат разследване по жалба или дали да се консултират с надзорния орган. Освен това те не бива да получават указания да възприемат определена гледна точка по даден въпрос, свързан със законодателството в областта на защитата на данните, например конкретно тълкуване на закона.

Независимостта на ДЛЗД обаче не означава, че те разполагат с правомощия за вземане на решения извън задачите им по член 39 от Регламент EU 2016/679 (GDPR).

Администраторът или обработващият лични данни продължава да носи отговорност за спазването на законодателството в областта на личните данни, което трябва да бъде в състояние да докаже34. Ако администраторът или обработващият лични данни взема решения, които са несъвместими с Регламент EU 2016/679 (GDPR) и съвета на ДЛЗД, на ДЛЗД трябва да бъде дадена възможност ясно да изрази неговото различно становище пред най-висшето ръководно ниво и пред лицата, които вземат решенията. В това отношение в член 38, параграф 3 е предвидено, че ДЛЗД „се отчита пряко пред най-висшето ръководно ниво на администратора или обработващия лични данни“. Благодарение на това пряко отчитане се гарантира, че висшето ръководство (например съвета на директорите) е запознато със съвета и препоръките на ДЛЗД в рамките на неговите задачи да уведомява и съветва администратора или обработващия лични данни. Друг пример за пряко отчитане е изготвянето на годишен отчет за дейността на ДЛЗД, който се представя на най- висшето ръководно ниво.

2.14. Освобождаване от длъжност или санкциониране за неизпълнението на задачите

Според член 38, параграф 3 от Регламент EU 2016/679 (GDPR) се изисква ДЛЗД да „не може да бъде освобождавано от длъжност, нито санкционирано от администратора или обработващия лични данни за изпълнението на своите задачи“. Това изискване затвърждава независимостта на ДЛЗД и спомага да се гарантира, че те действат независимо и се ползват с достатъчна подкрепа при изпълнението на техните задачи по защита на данните. Според Регламент EU 2016/679 (GDPR) санкционирането е забранено само ако се налага в резултат на изпълнението на задълженията на ДЛЗД в качеството му на ДЛЗД. Например ДЛЗД може да прецени, че  дадено обработване би могло да доведе до голям риск и да посъветва администратора или обработващия лични данни да направи оценка на въздействието върху защитата на данните, но администраторът или обработващият лични данни да не е съгласен с оценката на ДЛЗД. В такъв случай ДЛЗД не може да бъде освободено от длъжност поради факта, че е дало този съвет. Санкционирането може да се извършва под най-различни форми и може да е пряко или непряко. То може да се състои например в отсъствието или забавянето на повишение; недопускането до кариерно развитие; лишаването от придобивки, каквито другите служители получават. Не е задължително тези санкции реално да бъдат наложени; само заплахата с такива е достатъчна, доколкото се използват за санкциониране на ДЛЗД на основания, свързани с неговите дейности като ДЛЗД. Като нормално управленско правило, какъвто би бил случаят с всеки друг служител или изпълнител съгласно приложимото национално договорно или трудово и наказателно право, ДЛЗД все пак може да бъде освободено от длъжност по законосъобразен начин по причини, различни от изпълнението на неговите задачи като ДЛЗД (например в случай на кражба, физически, психологически или сексуален тормоз или подобни груби прояви на лошо поведение). В този контекст следва да се отбележи, че в Регламент EU 2016/679 (GDPR) не е посочено как и кога ДЛЗД може да бъде освободено от длъжност или заменено с друго лице. Колкото по-стабилен е договорът на ДЛЗД обаче и колкото повече гаранции има срещу несправедливо освобождаване от длъжност, толкова е по-голяма вероятността да може да действа независимо. По тази причина Работната група по член 29 би приветствала полагането на усилия от организациите в тази насока.

2.15. Относно конфликта на интереси при изпълнение на функцията ДЛЗД

Според член 38, параграф 6 от Регламент EU 2016/679 (GDPR) се допуска ДЛЗД „да изпълнява и други задачи и задължения“. Изисква се обаче организацията да гарантира, че „тези задачи и задължения да не водят до конфликт на интереси“.

Отсъствието на конфликт на интереси е тясно свързано с изискването да се действа независимо. Въпреки че се допуска ДЛЗД да изпълняват и други функции, те може да бъдат натоварени с други задачи и задължения, само ако те не пораждат конфликт на интереси. Това означава по- специално, че ДЛЗД не може да заема длъжност в рамките на организацията, която ще го задължава да определя целите и средствата за обработването на лични данни. Поради специфичната организационна структура във всяка организация, този аспект трябва да се разглежда на база конкретен случай. Длъжностите в рамките на организацията, които влизат в противоречие, по общо правило може да включват длъжности във висшето ръководство (като главен изпълнителен директор, главен оперативен директор, главен финансов директор, главен медицински директор, ръководител на маркетингов отдел, ръководител на отдел „Човешки ресурси“ или ръководител на ИТ отдел), но също така и други функции по-надолу в организационната структура, ако въпросните длъжности или функции са свързани с определяне на целите и средствата за обработване на данните. Освен това конфликт на интереси може да възникне също така например, ако външно ДЛЗД бъде поканено да представлява администратора или обработващия лични данни пред съдилищата по дела, касаещи теми за защитата на данните. В зависимост от дейностите, големината и структурата на организацията, може да е добра практика администраторите и обработващите лични данни:

       да идентифицират длъжностите, които биха били несъвместими с функциите на ДЛЗД;

       да разработят вътрешни правила в тази връзка, за да се избягва възникването на конфликти на интереси;

       да включат по-общо обяснение на понятието „конфликт на интереси“;

       да декларират, че тяхното ДЛЗД не е в конфликт на интереси, що се отнася до изпълнението на неговите функции на ДЛЗД, като средство за повишаване на осведомеността по отношение на това изискване;

       да предвидят гаранции във вътрешните правила на организацията и да осигурят достатъчната точност и детайлност на съобщението за свободната длъжност на ДЛЗД или на договора за услуги, за да се избегне конфликт на интереси. В този контекст следва да се има предвид също така, че конфликтите на интереси може да съществуват под различни форми, в зависимост от това дали ДЛЗД е наето като вътрешен служител или на външна база.

    2.16. ОСНОВНИ ЗАДАЧИ НА ДЛЗД:

          2.16.1. Наблюдение на спазването на Регламент EU 2016/679 (GDPR)

Според член 39, параграф 1, буква б) от Регламент EU 2016/679 (GDPR) ДЛЗД са натоварени, наред с други задължения, със задължението да наблюдават спазването на РЕГЛАМЕНТ EU 2016/679 (GDPR). В съображение 97 е уточнено допълнително, че „администраторът или обработващият лични данни следва да бъде подпомаган при наблюдението на вътрешното спазване на настоящия регламент “ от ДЛЗД. В рамките на тези задължения за наблюдаване на спазването ДЛЗД има право иално:

    да събира информация за определяне на дейностите по обработване;

    да анализира и проверява изпълнението на дейностите по обработване;

    да информира, съветва и отправя препоръки към администратора или обработващия лични данни.

Наблюдаване на спазването не означава, че ДЛЗД носи лична отговорност в случай на неспазване. В РЕГЛАМЕНТ EU 2016/679 (GDPR) ясно се казва, че администраторът, а не ДЛЗД, е този, който е длъжен да „въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент“ (член 24, параграф 1). Спазването на изискванията за защита на данните е корпоративна отговорност на администратора на данни, а не на ДЛЗД.

          2.16.2.  Роля на ДЛЗД в оценката на въздействието върху защитата на данните

Според член 35, параграф 1 от Регламент EU 2016/679 (GDPR) извършването на оценка на въздействието върху защитата на данните („ОВЗД“) е задача на администратора, а не на ДЛЗД. Все пак ДЛЗД може да изиграе много важна и полезна роля, като подпомага администратора. Въз основа на принципа на защита на данните чрез проектното решение, с член 35, параграф 2 от Регламент EU 2016/679 (GDPR) изрично се изисква администраторът на данните да „иска становището“ на ДЛЗД, когато прави оценка на въздействието. От друга страна, съгласно член 39, параграф 1, буква в) ДЛЗД е натоварено със задължението „да предоставя съвети по отношение на [ОВЗД] и да наблюдава извършването на оценката съгласно член 35“. Работната група по член 29 препоръчва администраторът да иска становището на ДЛЗД по следните въпроси, наред с други [15]:

    дали да извърши ОВЗД или не;

    каква методика да използва при извършването на ОВЗД;

    дали да извърши ОВЗД вътрешно или да я възложи на външен изпълнител;

    какви гаранции (включително технически и организационни мерки) да приложи, за да намали до минимум всички рискове за правата и интересите на субектите на данните;

    дали оценката на въздействието върху защитата на данните е направена правилно и дали заключенията от нея (дали да се продължи с обработването и какви гаранции да се приложат) показват спазване на РЕГЛАМЕНТ EU 2016/679 (GDPR);

Ако администраторът не е съгласен със становището на ДЛЗД, документацията на ОВЗД изрично следва да обосновава в писмен вид защо становището не е взето предвид[16].Работната група по член 29 препоръчва също така администраторът ясно да очертае, например в договора с ДЛЗД, но също така в информацията, която се предоставя на служителите, ръководството (и други заинтересовани страни, ако е уместно), точните задачи на ДЛЗД и техния обхват, по-специално по отношение на извършването на ОВЗД.

2.16.3. Сътрудничество на ДЗЛД с надзорния орган и действие като точка за контакт

Според член 39, параграф 1, букви г) и д) от Регламент EU 2016/679 (GDPR) ДЛЗД следва „да си сътрудничи с надзорния орган“ и „да действа като точка за контакт за надзорния орган по въпроси, свързани с обработването, включително предварителната консултация, посочена в член 36, и по целесъобразност да се консултира по всякакви други въпроси“.

Тези задачи се отнасят до ролята на ДЛЗД като „лице, оказващо съдействие“, спомената във въведението към настоящите насоки. ДЛЗД действа като точка за контакт, за да се улесни достъпът на надзорния орган до документите и информацията по изпълнението на предвидените в член 57 задачи, както и за упражняването на неговите разследващи, коригиращи, разрешителни и консултативни правомощия, посочени в член 58. Както вече беше посочено, ДЛЗД е обвързано със спазване на секретност или поверителност по отношение на изпълняваните от него задачи в съответствие с правото на Съюза или правото на държава членка (член 38, параграф 5). Все пак задължението за секретност/поверителност не забранява на ДЛЗД да осъществява контакт и да иска становището на надзорния орган. В член 39, параграф 1, буква д) е предвидено, че ДЛЗД може да се консултира с надзорния орган по целесъобразност по всякакви други въпроси.

         2.16.4. Подход при работата на ДЛЗД, основан на преценка на риска

С член 39, параграф 2 от Регламент EU 2016/679 (GDPR) се изисква ДЛЗД „надлежно [да] отчита рисковете, свързани с операциите по обработване, и [да] се съобразява с естеството, обхвата, контекста и целите на обработката “.

С този член се напомня един общ принцип на здравия разум, който може да е релевантен за много аспекти от ежедневната работа на ДЛЗД. По същество с него се изисква ДЛЗД да определят приоритетите в техните дейности и да съсредоточават усилията си върху въпросите, които представляват най-голям риск за защитата на данните. Това не означава, че те следва да пренебрегват наблюдението на спазването на операциите по обработване на данни, които са със сравнително по-ниско ниво на риск, а по-скоро означава, че те следва да се съсредоточават най- вече върху областите с по-висок риск.

Този селективен и прагматичен подход следва да помогне на ДЛЗД да съветват администратора каква методика да използва когато извършва ОВЗД, в кои области трябва да се направи вътрешен или външен одит на защитата на данните, какви дейности по вътрешно обучение да се осигурят за персонала или ръководството, отговорно за дейностите по обработване на данни, както и на кои операции по обработване да отдели повече от времето си и от ресурсите.

2.16.5. Функции на ДЛЗД по отношение на воденето на регистър/регистри

Според член 30, параграфи 1 и 2 от Регламент EU 2016/679 (GDPR) администраторът или обработващият лични данни, а не ДЛЗД, следва да „поддържа регистър на дейностите по обработване, за които отгов[а]ря“ или да „поддържа регистър на всички категории дейности по обработването, извършени от името на администратор “.

На практика ДЛЗД често създават описи и водят регистър на операциите по обработване въз основа на информация, която им се предоставя от различни отдели в тяхната организация, отговарящи за обработването на лични данни. Тази практика е установена съгласно множество действащи национални закони и според правилата за защита на данните, приложими за институциите и органите на ЕС37. В член 39, параграф 1 от Регламент EU 2016/679 (GDPR) е посочен списък със задачите, с които ДЛЗД трябва да бъде натоварено като минимум. Следователно нищо не пречи на администратора или на обработващия лични данни да възложи на ДЛЗД задачата да води регистър на операциите по обработване, за които отговаря администраторът или обработващият лични данни. Този регистър следва да се счита за един от инструментите, даващи възможност на ДЛЗД да изпълнява неговите задачи по наблюдаване на спазването, информиране и съветване на администратора или обработващия лични данни. Във всички случаи регистърът, който се изисква да се води в съответствие с член 30 от Регламент EU 2016/679 (GDPR), следва да се счита също така за инструмент, позволяващ на администратора и на надзорния орган, при поискване, да придобият представа за всички дейности по обработване на лични данни, които се извършват в дадена организация. Следователно това е предварително условие за спазването и, като такова, представлява ефективна мярка за отчетност.

 

По отношение на поставения от ОУ "Свети Княз Борис I"  – град Бургас първи въпрос: допустимо ли е за Длъжностно лице по защита на личните данни в образователна институция, да бъде определен заместник-директора по административно-стопанската дейност, който има качеството и на обработващ лични данни и поясняващият подвъпрос – кое лице може да бъде определено за длъжностно лице по защита на личните данни в образователната институция – учител, домакин, външно лице, счетоводител, и/или др., следва да се подчертае, че:

 

Не е задължително условие Длъжностното лице по защита на личните данни да бъде част от персонала на администратора. То може да бъде част от персонала, но може и да е външен субект, който да изпълнява своите задължения въз основа на сключен договор. Образователните институции нямат задължение да назначават специално такъв служител, а имат задължение да определят лице, което да изпълнява функциите на служител по защита на данните.

              

2). Въпреки, че отговорът на първия въпрос съдържа в себе си информация, свързана с поставения втори по ред въпрос, за да бъде даден отделен отговор на поставеният втори въпрос – необходимо ли е длъжностното лице по защита на личните данни в образователната институция, да бъде длъжностно лице от щатния състав на училището, следва да се подчертае следното:

 

Не е необходимо Длъжностното лице по защита на личните данни да бъде част от персонала на администратора, но ако тази функция се изпълнява от служител на институцията, тя има задължението да определи лице, което да изпълнява тези функции.

 

3). За да бъде  даден отговор на поставеният трети въпрос – ще наруши ли образователната институция разпоредбите на националното право и тези на Регламент EU 2016/679 (GDPR), ако събира и съхранява копия от актове за раждане на учениците от училището, е необходимо да се обърне внимание върху следното:

Когато се обработват лични данни на физическите лица, следва да се има предвид, че обработването на лични данни от администратори на лични данни (независимо дали са в публичната или в частната сфера на дейност), е законосъобразно, само когато е налице някое от посочените правни основания в чл. 6, параграф 1 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, GDPR), а именно:

a) субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

г) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;

д) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

е) обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

Посоченото означава, че наличието на някое от изброените основания/правила прави обработването на лични данни законосъобразно, при условие, че са спазени и другите изисквания на регламента.

Съгласно чл.7, ал.1 от Наредба № РД-02-20-9 от 21 Май 2012 г. за функциониране на единната система за гражданска регистрация, издадена от министъра на регионалното развитие и благоустройството, актът за раждане е официален писмен документ, в който по установения в Закона за гражданската регистрация ред, длъжностното лице по гражданското състояние регистрира събитието раждане. След съставянето на акта за раждане се издава оригинално удостоверение за раждане по утвърден образец, което се връчва на родител или на изрично упълномощено от родителя лице. Актът за раждане съдържа всички стандартни реквизити на останалите актове за гражданско състояние, и по-конкретно:

1). място на съставяне на акта-област, община, населено място/район;

2). номер на акта и дата на съставяне;

3). номер на оригиналното удостоверение;

4). дата – ден, месец, година, час и минута на раждането;

5). място на раждане – област, община, населено място или държава, ако детето е родено извън територията на Република България;

6). име на новороденото;

7). ЕГН на детето (попълва се само за български граждани);

8). пол и гражданство;

9). данни за родителите – имена, дата на раждане, ЕГН, гражданство;

10). документ, удостоверяващ раждането;

11). длъжностно лице – имена, ЕГН и подпис;

12). бележки.

Личните данни, съдържащи се в Акта за раждане респективно във всички стандартни реквизити на останалите актове за гражданско състояние, не могат да бъдат събирани, респективно обработвани от ОУ "Свети Княз Борис I"  – град Бургас поради липсата на пряка връзка на тези данни с предоставянето на административни услуги от образователната институция, включително поради липсата на връзка с осигуряването на гарнирания достъп до средно образование на гражданите или до другите услуги предоставяни от системата на образованието. В посочения случай, са налага извода, че липсва правно основание за събиране и обработване на посочените лични данни, както и че тяхното обработване няма да бъде в изпълнение на задача от обществен интерес или на упражняване на официални правомощия по закон от образователната институция. Събирането на посочените лични данни, съдържащи се в Акта за раждане респективно във всички стандартни реквизити на останалите актове за гражданско състояние, дори да бъде скрепено от доброволно съгласие от лицата (чрез декларация), е напълно ненужно и неадекватно, поради което няма да бъде законосъобразно.

Ето защо, по отношение на поставения от ОУ "Свети Княз Борис I"  – град Бургас трети въпрос: ще наруши ли образователната институция разпоредбите на националното право и тези на Регламент EU 2016/679 (GDPR), ако събира и съхранява копия от актове за раждане на учениците от училището?, следва да се подчертае, че:

 

Липсва правно основание за обработването на личните данни, съдържащи се в Акта за раждане и във всички останалите актове за гражданското състояние на лицата, тъй като тяхното обработване не е в изпълнение на задача от обществен интерес или на упражняването на официалните правомощия произтичащи от закон за образователната институция,  поради което същото ще бъде незаконосъобразно.

              

Посоченият извод е единствено възможният, тъй като от ОУ "Свети Княз Борис I"  – град Бургас безспорно действа като администратор на лични данни (от публичната сфера на обществения живот), който е задължен да събира определен обем лични данни в изпълнение на свои задължения по силата на закон, в случая Закона за предучилищното и училищното образование и Наредба № 8/ 11.08.2016 за информацията и документите за системата на предучилищното и училищното образование. В посочените хипотези законодателят не е оставил действията на свободата на преценката на администратора или на субекта на данните, в резултат на което се налага логичният извод, че евентуалното обработване на личните данни, съдържащи се в Акта за раждане и във всички останалите актове за гражданското състояние на лицата, не е в изпълнение на задача от обществен интерес или на упражняването на официалните правомощия произтичащи от закон за образователната институция, поради което ще бъде незаконосъобразно.

 

4). За да бъде даден отговор на поставеният четвърти последен въпрос – необходимо ли е служителите на образователната институция да подадат декларации за съгласие, по силата на която да предоставят личните си данни на работодателя, съгласно изискванията на националното право и тези на Регламент EU 2016/679 (GDPR)?, следва да се подчертае следното:

Служителите на образователната институция са длъжни да предоставят личните си данни на работодателя, тъй като в отношенията между работодател и работник най-често основанието за обработване на такива данни е или законовото задължение на образователната институция, или изпълнение на договор. Следва да се има предвид обаче, че това, което процесът по сключване на трудов договор предполага и изисква, и представлява набавяне, респективно предоставяне на задължителна и нормативно определена информация, която задължително трябва да бъде включена в неговото съдържание, е определено от нормативен акт – Кодекса на труда, макар тя да е доста ограничена информация за всеки служител.

Съгласно изискванията на Кодекса на труда работодателят може и следва да иска, а служителя е длъжен да предостави, за да бъдат включени като част от съдържанието на трудовия договор, следните лични данни:

– имена;

– ЕГН;

– постоянен адрес;

– вид и степен на притежаваното образование.

Във връзка с горното е много важно да се изясни въпросът дали винаги и дали изобщо е необходимо предварително дадено съгласие на работодателя от страна на служителя. Отговорът на този въпрос е – не, не винаги.

Следва да имаме предвид, че съгласието за обработване на лични данни е самостоятелно основание за обработка на лични данни тогава, когато не е налице някое от другите основания, които са: законово задължение (в случая произтичащо от КТ) или изпълнение на договор (в случая трудов договор).

В отношенията работодател-служител/работник най-често на практика сме изправени по-скоро пред законово задължение (КТ) отколкото пред изпълнението на договор (трудов договор). Случаите обаче, в които работодателя използва външна фирма, която предоставя счетоводни или правни услуги и във връзка с получаването на тази услуга работодателят трябва да предостави данни на физическото лице на това трето в отношенията им лице, работодателят трябва да информира физическото лице, че негови определени данни – име, банкова сметка или заплата, ще бъдат предоставени на съответната фирма, за конкретни цели, която ще ги обработва в определен срок. Другите хипотези за предоставяне на лични данни включват например задължението на работодателя предоставяне за обработка на болничен лист, изпращане на болничния в НОИ, съхраняване на ТЕЛК решения, съответно предоставяне на определена закрила на служителите, когато имат ТЕЛК решения и други, като и в тези посочени случаи обработката на изброената информация се извършва в изпълнение на закон. По тази причина в посочените случаи работодателят няма нужда от съгласието на физическото лице за тази обработка на посочените лични данни.

Съгласие на служителя обаче ще бъде необходимо, когато за последния възникват допълнителни придобивки в трудовия процес – например ваучери за храна, подаръчни карти, карти за транспорт или за спорт, допълнително здравно осигуряване. Тогава предоставянето на данните на служителите на образователната институция на фирмите, доставчици на тези услуги, не е част нито от законово задължение, а по-скоро част от изпълнението на конкретен договор, освен ако в трудовия договор не е включено още при подписването му изрична клауза, че служителят ще получава конкретна придобивка, която ще бъде предоставяна от конкретно юридическо лице и в тази връзка работодателят ще му предостави конкретни данни на служителя. По този начин служителят би изразил  предварително (още при сключването) съгласието си за обработване на данните за тази нова цел в рамките на самия трудов договор.

Когато обаче образователната институция събира например CV-та на потенциални педагогически и непедагогически специалисти, или пък прави подбор на други потенциални свои служители или персонал, тя все още няма качеството на работодател, така че е много важно в посочените като примери дейности да е осигурено при това предварително, съгласието на физическите лица за обработка на техните лични данни, особено когато образователната институция съхранява CV-та в база данни извън позицията, за която конкретният служител е кандидатствал. Защото например когато определено физическо лице кандидатства за една позиция, изпраща свое CV, във фазата на преддоговорното отношение (във фазата на преговорите и/или проучванията). По този начин всяко лице заявява, че има намерение да встъпи в договорни отношения с образователната институция и по този начин заявява съгласието си да се обработват личните му данни. Когато обаче конкретно CV остане с години в базата данни на училището, и последното се предполага, че ще обработва данните на служителя за целите на различни работодатели или за други позиции – трябва да има предварително осигурено съгласие на физическото лице изрично за това.

Съгласно Регламент EU 2016/679 (GDPR), съгласието не се счита за валидно основание за обработка на лични данни, в случаите, когато отношението между обработващия и субекта на данните са неравнопоставени, каквито именно са отношенията служител-работодател. Обикновено съгласие за обработване на лични данни се осигурява, чрез попълването на стандартни форми – декларации или чрез включени разпоредби в самия трудов договор, като по този начин направено, изглежда, че служителят не може да се откаже от това съгласие или не може да даде съгласие само за част от данните, а за друга част да откаже даването на съгласие, тъй като Регламентът забранява подобен подход, особено в отношения на силно подчинение, каквито безспорно са отношенията между работник и работодател.

 

Ето защо, по отношение на поставения от ОУ "Свети Княз Борис I"  – град Бургас четвърти последен въпрос: необходимо ли е служителите на образователната институция да подадат декларации за съгласие, по силата на която да предоставят личните си данни на работодателя, съгласно изискванията на националното право и тези на Регламент EU 2016/679 (GDPR), следва да се подчертае, че:

 

Не е необходимо служителите на образователната институция да са подписали декларации за съгласие, по силата на които да предоставят личните си данни на работодателя, съгласно националното право и тези на Регламент EU 2016/679 (GDPR).

              

III. ОТГОВОР НА ПОСТАВЕНИТЕ ВЪПРОСИ И ЗАКЛЮЧЕНИЕ

1. Отговор на първия поставен въпрос не е задължително условие Длъжностното лице по защита на личните данни, да бъде част от персонала на администратора. То може да бъде част от персонала, но може и да е външен субект, който да изпълнява своите задължения въз основа на сключен договор. Образователните институции нямат задължение да назначават специално такъв служител, а имат задължение да определят лице, което да изпълнява функциите на служител по защита на данните;

2. Отговор на втория поставен въпрос не е необходимо Длъжностното лице по защита на личните данни да бъде част от персонала на администратора, но ако тази функция се изпълнява от служител на институцията, тя има задължението да определи лице, което да я изпълнява;

3. Отговор на третия поставен въпрос не съществува законово задължение или право на ОУ "Свети Княз Борис I"  – град Бургас при осъществяването на учебно-възпитателния процес или при предоставянето на административни услуги, да обработва личните данни съдържащи се в Акта за раждане и във всички останалите актове за гражданското състояние на лицата,  поради което същото ще бъде незаконосъобразно.

4. Отговор на четвъртия поставен въпрос не е необходимо служителите на образователната институция да са подписали декларации за съгласие, по силата на които да предоставят личните си данни на работодателя, съгласно националното право и тези на Регламент EU 2016/679 (GDPR).

 

Забележка: Изчерпателността и коректността на отговорите, съдържащи се в настоящото становище, са изцяло обвързани от обема и достоверността на предоставената информация, коректността на изложението, пълното отразяване на фактическата обстановка и относимите въпроси от съществено значение.

Настоящото правно становище е изготвено от Петър Бакърджиев – експерт по лични данни в Институт за правни анализи и изследвания и се предоставя безвъзмездно в отговор на постъпило запитване по електронен път, като неговото съдържание е изцяло съобразено с действащата нормативна уредба и съдебна практика.

Становището е публично достъпно и оповестено на сайта на ИАПИ, находящ се на интернет адрес – www.ipai-bg.eu.

З. А. ПРЕДСЕДАТЕЛ НА ЦЕНТЪРА ЗА

ОБУЧЕНИЕ И КВАЛИФИКАЦИЯ:

 

                                                     Ясен Ганчев



[1] Съгласно данните от деловодната система на ИПАИ.

[2] Член 38, параграф 4: „Субектите на данни могат да се обръщат към длъжностното лице по защита на данните по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права съгласно настоящия регламент. “

[3] Член 39, параграф 1, буква д): „да действа като точка за контакт за надзорния орган по въпроси, свързани с обработването, включително предварителната консултация, посочена в член 36, и по целесъобразност да се консултира по всякакви други въпроси.“

[4] Член 39, параграф 1, буква а).

[5] Вж. също раздел 2.6 по-долу.

[6] Член 12, параграф 1: „Администраторът предприема необходимите мерки за предоставяне на всякаква информация по членове 13 и 14 и на всякаква комуникация по членове 15—22 и член 34, която се отнася до обработването, на субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език, особено що се отнася до всяка информация, конкретно насочена към деца. “

[7] Член 39, параграф 1, буква г): „да си сътрудничи с надзорния орган“.

[8] Глава II.

[9] Глава Ш.

[10] Член 25.

[11] Член 30.

[12] Член 32.

[13] Членове 33 и 34.

[14] Следва да се отбележи, че според член 33, параграф 3, буква б), където е описана информацията, която трябва да бъде предоставена на надзорния орган и на субектите на данни в случай на нарушение на сигурността на личните данни, за разлика от член 37, параграф 7, изрично се изисква да се съобщи и името (а не само данните за контакт) на ДЛЗД.

[15] В член 39, параграф 1 са посочени задачите на ДЛЗД и се указва, че ДЛЗД следва да изпълнява „най- малко“ следните задачи. Следователно нищо не пречи на администратора да възложи на ДЛЗД други задачи, различни от изрично посочените в член 39, параграф 1, или да прецизира тези задачи по- подробно.

[16] В член 24, параграф 1 е посочено, че „[к]ато взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент. Тези мерки се преразглеждат и при необходимост се актуализират“.