Във връзка със задължението на администраторите или обработващите лични данни да публикуват данните за контакт с длъжностното лице по защита на данните и да ги съобщават на надзорния орган, до КЗЛД достига информация за различното разбиране по отношение на фигурата на въпросното лице. С оглед на това, КЗЛД дава следните указания:
Съгласно съображение (97) и разпоредбата на чл. 37, пар. 5 от Регламент (ЕС) 2016/679 администраторът или обработващият лични данни следва да бъде подпомаган при наблюдението на вътрешното спазване на регламента от лице с „експертни познания и професионални качества” в областта на правото и практиките за защита на данните. Изискването на „експертни познания и професионални качества” са характерни единствено за физическо лице. Публични органи, юридически лица и други организации и структури сами по себе си, в качеството си на самостоятелни субекти на правото, не биха могли да бъдат носители на посочените характеристики. Нещо повече, Регламентът вменява задължение на администратора и обработващия да поддържат „неговите експертни знания”.
Правната уредба, разписана в съображение (97) и разпоредбата на чл. 37, пар. 6 от Регламент (ЕС) 2016/679 определя длъжностното лице по защита на данните, като „служител” или „член на персонала”. Граматическото тълкуване на тези понятия показва, че законодателят е имал предвид конкретни физически лица. Независимо дали са служители на администратора или обработващият или служители на външна организация, предоставяща услуги в областта на защитата на данните.
Разпоредбата на чл. 37, пар. 6 от Регламент (ЕС) 2016/679 допуска възможността Длъжностното лице по защита на данните „да изпълнява задачите въз основа на договор за услуги”. Логическото тълкуване показва, че фигурата на ДЛЗД не е задължително да бъде страна по договора за представянето на услугата. Напротив, то винаги следва да е конкретен служител, изпълняващ задачите, произтичащи от договора.
Съгласно разпоредбата на чл. 38, пар. 3 от Регламент (ЕС) 2016/679 ДЛЗД не може да бъде „освобождавано от длъжност”. Понятието „длъжност” е от сферата на трудовоправната материя. Освобождаването от длъжност предполага, че конкретно физическо лица заема тази длъжност. Не е случайно и заглавието на чл. 38 – „Длъжност на длъжностното лице по защита на данните”.
Съгласно разпоредбите на чл. 37, пар. 7, чл. 38, пар. 4, чл. 39, пар. 1, б. д) от Регламент (ЕС) 2016/679 длъжностното лице по защита на данните е точка за контакт за субектите на данни, за служителите на администратора и за надзорния орган. Според Насоките за длъжностните лица по защита на данните („ДЛЗД”) на Европейския комитет за защита на данните „целта на тези изисквания е да се гарантира, че субектите на данни (както в рамките на организацията, така и извън нея) и надзорните органи ще могат лесно и пряко да се свързват с ДЛЗД, без да се налага да осъществява контакт с друга част на организацията.” Непосредственият контакт с ДЛЗД е особено важен в процедурата по уведомяване на надзорния орган за нарушение на сигурността на личните данни по смисъла на чл. 33 от Регламент (ЕС) 2016/679, предвид краткия 72-часов срок, отреден за предприемане на действия и комуникация. Това е съществена гаранция за правата на субектите на данни от една страна, а от друга е проявление на спазването на принципа за отчетност, предвидени в Регламента.
В съответствие с разпоредбата на чл. 25б от ЗЗЛД администраторът и обработващият лични данни уведомяват Комисията за имената, единния граждански номер или личния номер на чужденец или друг аналогичен идентификатор, и за данните за контакт на длъжностното лице по защита на данните, както и за последващи промени в тях. Съгласно чл. 11 от Закона за гражданската регистрация единният граждански номер (ЕГН) е административен идентификатор на физическите лица. Следователно с посочената норма от ЗЗЛД националният законодател, в синхрон с духа на Регламента, изисква определянето на конкретно физическо лице, което да изпълнява длъжността на длъжностно лице по защита на данните.
При подаване на данни към регистъра по чл. 15, ал. 1, т. 1 от Закона за защита на личните данни съществен остава въпросът за независимия характер на длъжността на длъжностното лица по защита на данните. Съгласно чл. 38, пар. 3 от Регламент (ЕС) 2016/679 администраторите/обработващите лични данни са длъжни да гарантират, че ДЛЗД „не получава никакви указания във връзка с изпълнението на тези задачи” и „се отчита пряко пред най-висшето ръководно ниво на администратора или обработващия лични данни”. С нормите на съображение 97 и чл. 38, пар. 6 от Регламент (ЕС) 2016/679 се очертават характерните особености на длъжността на ДЛЗД – „да изпълнява своите задължения и задачи независимо” и функциите му „да не водят до конфликт на интереси”, независимо дали ДЛЗД е член на персонала на администратора/обработващия, дали съвместява длъжността или изпълнява задачи по договор за услуги. Направените уточнения налагат ДЛЗД да е лице различно от администратора/обработващия, както и от лицата, които определят целите и средствата за обработването на лични данни при съответния администратор/обработващ (като например управител, главен изпълнителен директор, главен оперативен директор, главен финансов директор, главен медицински директор, ръководител на маркетингов отдел, ръководител на отдел „Човешки ресурси” или ръководител на ИТ отдел, но също така и други функции по-надолу в организационната структура, ако въпросните длъжности или функции са свързани с определяне на целите и средствата за обработване на данните). Също толкова важно е ДЛЗД да бъде защитено от несправедливо уволнение или прекратяване на договора за услуги, когато добросъвестно изпълнява функциите и задачите, предвидени в Общия регламент. Тази мярка гарантира независимост на ДЛЗД. В същото време, когато функциите и задачите се изпълняват по договор за услуги с юридическо лице или организация, отделните умения, експертиза и опит на членовете на екипа може да се съчетаят, така че различните физически лица, да могат по-ефективно да обслужват своите клиенти. Трябва да се има предвид, че при промяна на членовете на екипа, основна цел е осигуряването и поддържането на подходящата експертиза с оглед конкретните нужди на администратора/обработващия. За повече информация относно изискването за независимост и в това число липса на конфликт на интереси, следва да се вземат предвид Насоките за длъжностните лица по защита на данните („ДЛЗД“) на Работната група за защита на личните данни по чл. 29, възприети от Европейския комитет за защита на данни.
С оглед на гореизложеното, всички администратори или обработващи лични данни, които имат задължение или доброволно са определили длъжностни лица по защита на данните и когато тази функция се осъществява по договор за услуги от юридическо лице или друга организация, следва да актуализират данните, подадени в регистъра по чл. 15, ал. 1, т. 1 от Закона за защита на личните данни, като обявят конкретно физическо лице, отговорно да изпълнява задачите на ДЛЗД по отношение на конкретния администратор или обработващ лични данни, което да отговаря на всички изисквания на приложимото законодателство.
Изложените по-горе аргументи не изключват възможността юридически лица или други организации да предоставят услуги, свързани с функциите на ДЛЗД. Напротив, юридически лица и други организации могат да изпълняват функциите на ДЛЗД въз основа на договор за услуга, като в изпълнение на изискванията на Регламент (ЕС) 2016/679 и ЗЗЛД, същите са длъжни да определят конкретно физическо лице, което да изпълнява задачите на ДЗЛД, включително като точка за контакт по отношение на конкретен администратор или обработващ данни.
