Становище на КЗЛД относно длъжности на пряко подчинение на органите на изпълнителната власт – „длъжностно лице по защита на данните” и „служител, отговарящ за разглеждането на сигнали” по ЗЗЛПСПОИН

ОТНОСНО: Длъжности на пряко подчинение на органите на изпълнителната власт – „длъжностно лице по защита на данните” и „служител, отговарящ за разглеждането на сигнали” по ЗЗЛПСПОИН

Комисията за защита на личните данни (КЗЛД) в състав – председател: Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков, разгледа при условията на чл. 12 от Правилника за дейността на КЗЛД и на нейната администрация писмо с вх. № РД-01-102/15.06.2023 г. от главния секретар на Министерския съвет (МС) на Република България. В писмото се посочва, че Администрацията на Министерския съвет (АМС) е ангажирана пряко с координацията и наблюдението по установяването на законосъобразна и ефективна структура на държавната администрация. От МС изразяват мнение, че изграждането на максимално унифицирани структура и процеси на администрациите е основна предпоставка за постигане на тяхната ефективност. Съгласно действащата нормативна уредба административните структури следва да са изградени съобразно Закона за администрацията (ЗАдм) и съответните специални закони. Такива са напр. Законът за защита на личните данни (ЗЗЛД) и Законът за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения (ЗЗЛПСПОИН), които въвеждат фигурите съответно на „длъжностно лице по защита на личните данни” и на „служител, отговарящ за разглеждане на сигнали”.

От МС предвиждат изготвянето на последващи инструкции към органите на изпълнителната власт за законосъобразно, целесъобразно и потенциално унифицирано вътрешно структуриране на администрациите, които ги подпомагат. С оглед на това се обръщат към КЗЛД с искане за становище по следните въпроси:

1. Относно изложеното в искането виждане на АМС относно вътрешното позициониране на „длъжностното лице по защита на личните данни”; и

2. На кои звена/длъжности следва да бъде възложена функцията на „служител, отговарящ за разглеждане на сигнали по ЗЗЛПСПОИН”, при отчитане на факта, че в част от администрациите има създадени инспекторати по ЗАдм, докато в останалата част изграждането на такива звена не е предвидено от закона.

По т. 1 АМС смята, че позицията „длъжностно лице по защита на личните данни” не следва да се обособява на пряко подчинение на ръководителя на администрацията извън общата и специализираната администрация. От МС посочват, че функцията на това длъжностно лице следва да се поеме от служител – част от дирекция от общата или специализираната администрация, както и че не следва неговите функции специално да се описват в устройствения правилник. Изложени са и мотиви:

От АМС посочват, че съгласно чл. 5, ал. 1 от ЗАдм администрацията е обща и специализирана, според разпределението на дейностите, които извършва при подпомагане на органа на държавна власт. За извеждането на длъжност или звено извън общата или специализираната администрация е необходимо подобна възможност да е уредена в закон.

Според виждането на АМС ЗЗЛД не изисква създаване на длъжност „длъжностно лице по защита на личните данни” на пряко подчинение на органа, извън общата и специализираната администрация. Съгласно чл. 69 от ЗЗЛД „администраторът на лични данни определя длъжностно лице по защита на данните въз основа на неговите професионални качества и по-специално въз основа на експертните му познания по законодателството и практиките в областта на защитата на личните данни и способността му да изпълнява задачите по чл. 70. Едно длъжностно лице по защита на данните може да е определено съвместно за няколко администратори, като се отчитат организационната им структура и мащаб”. От разпоредбата става ясно, че:

– Не е задължително лицето по защита на личните данни да бъде част от персонала на администратора. Лицето по защита на личните данни може да бъде част от персонала, но може и да е външен субект, който изпълнява своите задължения въз основа на сключен договор. Затова администраторите нямат задължение да назначават специално такъв служител, а са длъжни само да определят лице, което да изпълнява функциите на служител по защита на данните.

– Няма пречка служителят, определен от администратора за лице по защита на данните, да изпълнява и други функции в рамките на организацията. Условията, при които се определя или назначава лице по защита на личните данни, са изцяло в преценката на администратора на лични данни.

От АМС считат, че тъй като няма изисквания лицето, определено да изпълнява функциите на „длъжностно лице по защита на личните данни” да е извън общата и специализираната администрация, то най-ефективното и в същото време законосъобразно решение е функциите на това лице да бъдат възложени на служител от съществуващите дирекции от общата или специализираната администрация.

По т. 2 АМС смята, че „служител, отговарящ за разглеждане на сигнали по ЗЗЛПСПОИН” не следва да се обособява като отделна длъжност на пряко подчинение на ръководителя на администрацията извън общата и специализираната администрация. Излагат се мотиви, че функцията на това длъжностно лице следва да се поеме от служител от съществуващо вътрешно звено, както и че не следва неговите функции специално да се описват в устройствения правилник. От АМС намират за удачно в администрациите, в чиято структура са създадени инспекторати, функциите по разглеждане на сигнали да бъдат възложени на служители от инспектората, а в останалите случаи на служител от дирекция от общата или специализираната администрация. В писмото се посочва също, че организацията на работата със сигналите следва да се определи в раздела „Организация на работа” в
устройствените правилници.

Фигурата на длъжностното лице по защита на данните се регламентира с Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД). Цитираните в искането разпоредби (чл. 69 и чл. 70) от ЗЗЛД се отнасят за определянето на длъжностното лице по защита на данните в структурите на компетентните органи по смисъла на Директива (ЕС) 2016/680¹ (т. нар. Полицейска директива).

Според чл. 37, пар. 1 от Регламент (ЕС) 2016/679 определянето на длъжностно лице по защита на данните се изисква задължително в три конкретни случая:

а) когато обработването се извършва от публичен орган или структура;

б) когато основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни; или

в) когато основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни или на лични данни, свързани с присъди и нарушения.

Определянето на длъжностно лице по защита на данните е задължително също така и за компетентни органи по чл. 32 от Директива (ЕС) 2016/680 (съответно чл. 69 – 70 от ЗЗЛД). В този смисъл са и Насоки за длъжностните лица по защита на данните на Европейския комитет по защита на данните </em >(приети на 13 декември 2016 г. и последно преразгледани и приети на 5 април 2017 г.). Макар въпросните насоки да се отнасят към длъжностните лица по защита на данните съгласно Регламент (ЕС) 2016/679, по аналогия, те също са приложими и за длъжностните лица по защита на данните съгласно Директива (ЕС) 2016/680. Това разграничение се налага единствено поради факта, че функциите на длъжностните лица по защита на данните в структурите и за целите на компетентните органи по смисъла на Директива (ЕС) 2016/680, съответно Глава осма от ЗЗЛД, не могат да се изпълняват от външни за компетентния орган лица. Допуска се единствено едно длъжностно лице по защита на данните да бъде назначено съвместно за няколко компетентни органа, като се отчитат организационната им структура и мащаба им (арг. чл. 32, пар. 3 от Директива (ЕС) 2016/680 и
съответно чл. 69, ал. 2 от ЗЗЛД).

Според чл. 37, пар. 6 от Регламент (ЕС) 2016/679 длъжностното лице по защита на данните може да е:

• член на персонала (вътрешно), включително, но не само:

– на самостоятелно обособена длъжност „длъжностно лице по защита на данните” с пълно работно време;

– на длъжност с непълно работно време в повече от един административен орган;

– по съвместителство, при спазване на ограниченията за това по Закона за държавния служител или Кодекса на труда;

– по възлагане на функции със заповед в рамките на административната структура и др.

• да изпълнява задачите си въз основата на договор за услуги с администратора или обработващия (външно), с изключение на длъжностното лице, определено в компетентен орган по смисъла на Директива (ЕС) 2016/680.

В този дух са и Указанията на КЗЛД относно изпълнението на задължението на администраторите и обработващите лични данни за уведомяване на КЗЛД при определяне на длъжностно лице по защита на данните, публикувани на официалния сайт на Комисията, секция „Длъжностно лице по защита на данните”

Съществен елемент от статута на длъжностното лице по защита на данните е неговата независимост. Съгласно чл. 38, пар. 3 от Регламент (ЕС) 2016/679 администраторите/обработващите лични данни са длъжни да гарантират, че ДЛЗД² „не получава никакви указания във връзка с изпълнението на тези задачи“ и „се отчита пряко пред най-висшето ръководно ниво на администратора или обработващия лични данни”. С нормите на съображение (97) и чл. 38, пар. 6 от Регламент (ЕС) 2016/679 се очертават характерните особености на длъжността на ДЛЗД – „да изпълнява своите задължения и задачи независимо” и функциите му „да не водят до конфликт на интереси”, независимо дали ДЛЗД е член на персонала на администратора/обработващия, дали съвместява длъжността или изпълнява задачи по договор за услуги. Направените уточнения налагат ДЛЗД да е лице, различно от администратора/обработващия, както и от лицата, които определят целите и средствата за обработването на лични данни при съответния администратор/обработващ (като напр. ръководителя на административния орган, главен/изпълнителен директор, главен оперативен директор, главен финансов директор, главен медицински директор, ръководител на маркетингов отдел, ръководител на отдел „Човешки ресурси” или ръководител на ИТ отдел, но също така и други функции по-надолу в организационната структура, ако въпросните длъжности или функции са свързани с определяне на целите и средствата за обработване на данните). Също толкова важно е ДЛЗД да бъде защитено от несправедливо уволнение или прекратяване на договора за услуги, когато добросъвестно изпълнява функциите и задачите, предвидени в Регламент (ЕС) 2016/679. Тази мярка гарантира независимостта на ДЛЗД.

Независимо от това как е определено ДЛЗД (вътрешно или външно за административния орган), по отношение на възложените му функции като такова, администраторът трябва да осигури неговата функционална независимост. Когато изпълнява функциите на ДЛЗД, служителят „не получава никакви указания във връзка с изпълнението на тези задачи” и „се отчита пряко пред най-висшето ръководно ниво на администратора или обработващия лични данни”, т.е. в това си качество той не може да бъде подчинен на други административни ръководители освен на висшето ръководство на административния орган.

Няма нормативно задължение функцията на ДЛЗД да се урежда в устройствения правилник на административния орган, тъй като същата е уредена в Регламент (ЕС) 2016/679 (чл. 37 – 39). Функцията на ДЛЗД следва да е изведена от структурата на общата и специализираната администрация на административния орган и да е пряко подчинена на най-висшето ръководство, т. е. това не е нова структура, а единствено функционална обособеност. Напр. лице, назначено на експертна длъжност в общата или специализираната администрация на административния орган и определено със заповед да изпълнява и функциите на ДЛЗД се отчита съответно на:

• прекия си ръководител в структурното звено на администрацията, където е назначен – за функциите по експертната си длъжност, а

• пряко на най-висшето ръководство – за функциите си на ДЛЗД.

Както правилно е посочено в искането, за извеждането на длъжност или звено извън общата или специализираната администрация е необходимо подобна възможност да е уредена в закон. В случая това е Регламент (ЕС) 2016/679. Особено важно е, когато лицето, определено да изпълнява функциите на ДЛЗД и заема такава самостоятелно обособена длъжност, същата да е извън структурата на общата или специализираната администрация. В останалите хипотези на изпълнение на тази функция (съвместителство, по заповед, на
непълно работно време, в повече от един администратор и т.н.), тя е само функционално обособена.

Следва да се вземе предвид, че с писмо рег. № АПО-20-13/17.10.2017 г. до министъра на труда и социалната политика КЗЛД изрази становище със същите мотиви относно включването на длъжността „ДЛЗД” в Националната класификация на професиите и длъжностите.

Съгласно чл. 14, ал. 2 от ЗЗЛПСПОИН служители, отговарящи за разглеждането на сигнали, може да са длъжностните лица в структурата на всеки от задължените субекти по чл. 12, ал. 1, натоварени с обработването и защитата на лични данни. Преценката е на работодателя – задължен субект по закона. Задължените субекти по ЗЗЛПСПОИН, които нямат задължение по чл. 37 от Регламент (ЕС) 2016/679 за определяне на лице, натоварено с обработването и защитата на лични данни, определят друг служител, отговарящ за разглеждането на сигнали. В този смисъл, няма пречка функцията на служител, отговарящ за разглеждането на сигнали по ЗЗЛПСПОИН да бъде възложена на инспектор/и или друг/и служител/и от инспекторатите по ЗАдм. Също така няма правна пречка тези функции да бъдат възложени и на друго лице от администрацията, стига да се гарантира неговата независимост при разглеждането на сигналите и да не е в конфликт на интереси в тази хипотеза.

Независимо от административното йерархично подчинение между дадени структури, техни поделения или звена в администрацията (напр. министерство и изпълнителна агенция; община и общински предприятия или детски градини и др. под.), за възникване на задължението за изграждане и поддържане на вътрешен канал по ЗЗЛПСПОИН, определящо е качеството „самостоятелен работодател” по смисъла на § 1, т. 2 от ДР на ЗЗЛПСПОИН на съответната структура, поделение или звено и броя служители, а не йерархичната субординация в организацията, правно-организационната форма или това кой избира/назначава и освобождава ръководителя ѝ.

Следва да се има предвид, че per argumentum a contrario от чл. 14, ал. 5 от ЗЗЛПСПОИН, не се допуска задължени субекти по чл. 12, ал. 1, т. 1 (т.е. работодатели в публичния сектор) от същия закон, да възлагат функциите по приемане, регистриране и разглеждане на сигнали по ЗЗЛПСПОИН на физически или юридически лица, извън тяхната структура. Вследствие на това, в случай че административният орган се полза от услугите на външно ДЛЗД, то не може да изпълнява функциите на служител, отговарящ за разглеждането на сигнали по ЗЗЛПСПОИН.

Задължените субекти по ЗЗЛПСПОИН следва да изработят и приемат свои правила и процедури за приемане, регистриране и разглеждане на устни и писмени сигнали по смисъла на този закон.

По тези съображения и на основание чл. 58, пар. 3, б. „б” от Регламент (ЕС) 2016/679 във вр. с чл. 10а, ал. 1 от Закона за защита на личните данни и чл. 51, т. 2 от Правилника за
дейността на КЗЛД и на нейната администрация и § 7 от Заключителните разпоредби на ЗЗЛПСПОИН и чл. 25а, ал. 1, т. 10 от Правилника за дейността на КЗЛД и на нейната администрация, Комисията за защита на личните данни изразява следното

1. При задължителното определяне на длъжностно лице по защита на данните (ДЛЗД) от администратор/обработващ лични данни – публичен орган, последният е длъжен да осигури и гарантира неговата независимост и липса на конфликт на интереси, независимо от структурното му позициониране в рамките на администрацията на този орган. За да се изпълни това изискване неговата фигура следва да е функционално обособена извън структурата на общата и специализираната администрация и да е пряко подчинена на най-висшето ръководство на публичния орган.

2. Съгласно чл. 14, ал. 2 от ЗЗЛПСПОИН служители, отговарящи за разглеждането на сигнали, може да са длъжностните лица по защита на данните в структурата на всеки от задължените субекти по чл. 12, ал. 1 от същия закон. Няма пречка функцията на служител, отговарящ за разглеждането на сигнали по ЗЗЛПСПОИН да бъде възложена на инспектор/и или друг/и служител/и от инспекторатите по ЗАдм. Също така няма правна пречка тези функции да бъдат възложени и на друго лице от администрацията, стига да се гарантира неговата независимост при разглеждането на сигналите и да не е в конфликт на интереси в тази хипотеза.

Изборът на най-подходящите лица или звена в рамките на задължения субект от публичния сектор по ЗЗЛПСПОИН, които могат да бъдат определени за компетентни да разглеждат сигнали и да предприемат последващи действия по тях, зависи от структурата на субекта, но във всеки случай тяхната функция следва да е такава, че да гарантира независимост и липса на конфликт на интереси. В този смисъл, тяхната дейност трябва да е функционално обособена и да не се засяга от йерархичното подчинение в рамките на общата и специализираната администрация на съответния орган.

____________