Във връзка със зачестили запитвания, касаещи задължението на институциите в системата на предучилищното и училищното образование за определяне на длъжностно лице по защита на данните (ДЛЗД), Комисията за защита на личните данни информира за следното:
Съгласно разпоредбата на чл. 37, пар. 1, б. „а” от Регламент(ЕС) 2016/679 във вр. с §1, т.17 от ДР на Закона за защита на личните данни, институциите в системата на предучилищното и училищното образование (училища, детски градини и др.), в качеството си на администратори на лични данни, са задължени да определят ДЛЗД.
Регламентът предвижда, че ДЛЗД следва да се определи въз основа на неговите експертни познания в областта на законодателството и практиките за защита на личните данни, както и способността му да изпълнява задачите, посочени в чл.39 на същия.
Въпреки заложените критерии относно експертизата и професионалните качества на ДЛЗД, нито Регламентът, нито националният Закон за защита на личните данни, предвиждат изискване за наличие на образователно-квалификационна степен за изпълнение на функциите на ДЛЗД.
Допустимо е ДЛЗД да бъде както служител на администратора, така и външно лице по отношение на него. В тази връзка няма нормативна пречка функциите на ДЛЗД да се изпълняват от служител на институция в системата на предучилищното и училищното образование, доколкото заеманата от него длъжност съответства на предвидените в чл.38 от Регламента критерии за изпълнение на длъжността на ДЛЗД. В допълнение, Регламентът предоставя свобода на администратора за определяне на формата на правоотношението с въпросното лице (напр. трудов, граждански договор и т.н.).
Въпреки че за ДЛЗД е предвидена нормативна възможност да изпълнява и други задължения, администраторът следва да направи преценка дали те не водят до конфликт на интереси, като примери за това може да намерите в Насоките за длъжностните лица по защита на данните.