Regulatory

Bulgaria: Data Protection Officers – Now and in the Future

If you think it’s expensive to hire a professional to do the job, wait until you hire an amateur.” – Red Adair

Now

The topic of “personal data” has dramatically increased in importance over the past decade. “Personal data is the new oil” is a popular quote, especially in the business world. However, a company’s reputation may be endangered by potentially unlawful personal data processing, often arising from disorganisation and confusion about who is processing the data and when and why it is being collected.

Many companies, realising the potential danger, have already taken steps to address these concerns by hiring Data Protection Officers (“DPOs”), even where local data protection legislation does not explicitly require them to do so. The criteria concerning an optimum professional background and specific responsibilities of DPOs remain unsettled, however, and many companies still face uncertainty in determining who their DPOs should be as well as in establishing the criteria for their appointment and their obligations within the organisation. The (statutory) criteria concerning the optimal professional background and the responsibilities of DPOs are thus far rather unclear. Undoubtedly, in order to execute their tasks appropriately, DPOs must have thorough knowledge and expertise in both, IT and legal knowledge relating to personal data protection. However, because of the relative newness of this profession, in many cases companies struggle to find people with appropriately diverse backgrounds and are forced to consider appointing an IT or legal professional who has data protection knowledge to take the role. Some countries have implemented rules with respect to the responsibilities of DPOs and the level of their independence, but many others have left the matter unsettled.

In January 2012, the European Commission introduced a proposal for a single data protection law that will apply across the European Union and harmonise the fragmented local data protection rules. The proposal of the General Data Protection Regulation (“Regulation”) initially addressed the obligatory appointment of DPOs. Following the interference of the Council, the appointment of DPOs is no longer mandatory. However, the Regulation envisages such role and stipulates various requirements for the DPOs.

The future

In the near future, the field of data protection will enter into a completely new phase, as the world is waiting for the adoption of the EU’s new General Data Protection Regulation (“Regulation”). The Regulation1 (which is currently still negotiated) envisages the following requirements for DPOs:

A. Professional Background

(i) must have expert knowledge of the data protection law and practices, and the ability to fulfill their obligations.

B. Employment

(i) may be staff members or work on the basis of service contracts.

(ii) may be dismissed only if DPOs do not fulfill the conditions that are required for execution of their tasks under the Regulation (or where material grounds under local law justifies the dismissal).

C. Independence

(i) must be independent in performing tasks and must not receive instructions regarding the performance of their obligations. DPOs should report directly to the top management of the company.

(D) Responsibilities

(i) must be involved in all issues concerning the protection of personal data.

(ii) may execute other tasks if there is no conflict of interest with their main obligations.

(iii) must advise on the Regulation’s obligations and local data protection provisions.

(iv) must ensure compliance with the Regulation, the local data protection provisions and privacy policies of the company. This includes raising awareness and training the staff involved in the processing operations.

(v) must advise (when requested) with respect to data protection impact assessments.

(vi) must be the point of contact for the supervisory data protection authority on issues concerning personal data processing, etc.

(vii) must have their contact details available for the subjects whose data is collected and published and communicated to the supervisory authority.

The final version of the Regulation is expected in 2016. The negotiations are ongoing, and it is likely that the Regulation may undergo certain changes prior to its final adoption, including in terms of the function of DPOs and the criteria for their appointment. Even at this stage, however, businesses may use the existing developments as a compass and plan ahead, especially in light of the significantly increased penalties (the supervisory authority may impose a fine up to 1,000,000 EUR or, in the case of an undertaking, 2 % of its total worldwide annual turnover for the preceding financial year) as envisaged by the Regulation.

even at this stage, however, businesses may use the existing developments as a compass and plan ahead, especially in light of the significantly increased penalties envisaged by the Regulation.

1
Reference is made to the 4-column table for the GDPR published on 8 July 2015, ST 10391 2015 INIT (http://data.consilium.europa.eu/doc/document/ST-10391 – 2015-INIT/en/pdf)

България: Лица по защита на личните данни (Data Protection Officers) – настояще и бъдеще

Ако мислиш, че е скъпо да наемеш професионалист да свърши работа, виж какво е да наемеш аматьор” – Ред Адер

Настояще

Темата “лични данни” увеличи драматично значението си през последното десетилетие. “Личните данни са новото гориво” (Personal data is the new oil) е популярен цитат, особено в света на бизнеса. Репутацията на дадена компания може значително да бъде застрашена от потенциално незаконно обработване на лични данни, често възникващо от липса на организация и объркване, що се отнася до това кой, кога и защо обработва лични данни.

Много компании, осъзнаващи потенциалните рискове, предприеха стъпки да ги минимизират, като назначиха лице по защита на личните данни (“ЛЗД”), дори в случаите, когато местното законодателство по защита на личните данни не предвижда изрично изискване в тази връзка. Следва да се отбележи обаче, че критериите отнасящи се до професионалната квалификация и специфичните отговорности на ЛЗД все още не са уточнени; много компании все още имат съмнения относно кой да бъде техен ЛЗД, както и какви критерии и задължения за работа в компанията да въведат при назначаването на ЛЗД. Законовите изисквания, отнасящи се до професионалната квалификация и задълженията на ЛЗД, са все още неясни. Без съмнение, за да изпълнява задълженията си по подходящ начин, ЛЗД трябва да има дълбоки познания и опит в областта, както на информационните технологии, така и в областта на правото по отношение на защита на личните данни. Професията на ЛЗД обаче е нова и в много случаи компаниите сa затруднени да намерят хора с подходяща, разнообразна квалификация и са принудени да наемат или специалисти в областта на информационните технологии или юристи, които имат познания в областта на личните данни. Някои държави са въвели правила, отнасящи се до отговорностите на ЛЗД (напр. Унгария) и нивото на тяхната независимост, но много други са оставили въпроса неразрешен.

През Януари 2012 г. Европейската комисия направи предложение за единно законодателство, което да се приложи в целия Европейски съюз и да хармонизира раздробените местни правила за защита на личните данни. Предложението за общ Регламент за защита на личните данни (“Регламент”) първоначално предвиждаше задължително назначаване на ЛЗД. След намесата на Съвета, назначаването на ЛЗД в повечето случаи вече не е задължително. Все пак, Регламентът предвижда фигурата ЛЗД и посочва изисквания, на които ЛЗД следва да отговаря.

Бъдеще

В бъдеще, сферата на защита на личните данни ще навлезе в напълно нова фаза, с приемането на новия Регламент. Регламентът1 в момента се финализира и предвижда следните изисквания за ЛЗД:

A. Професионална квалификация

(i) ЛЗД трябва да има експертни познания в областта на практиката и законодателството за защита на личните данни, както и възможността да изпълнява своите задължения.

B. Служебно правоотношение

(i) ЛЗД може да бъде част от персонала или да работи на базата на граждански договор.

(ii) ЛЗД може да бъде отстранен само, ако не изпълнява условията, които се изискват за изпълнение на задълженията му, съгласно Регламента (или където материални предпоставки, съгласно местното законодателство, оправдават отстраняването).

C. Независимост

(i) ЛЗД трябва да бъде независим при изпълняване на задълженията си и не трябва да получава инструкции, относно изпълнение на задълженията си. ЛЗД трябва да дава отчет за дейността си директно на висшия мениджмънт на компанията.

(D) Отговорности

(i) ЛЗД трябва да бъде запознат с всички въпроси, отнасящи се до защитата на личните данни.

(ii) ЛЗД може да изпълнява други задължения, ако не са в конфликт с основните му задължения.

(iii) ЛЗД трябва да консултира относно задълженията, предвидени с Регламента и съгласно местното законодателство за защита на личните данни.

(iv) ЛЗД трябва да осигури съответствие с Регламента, разпоредбите на местното законодателство за защита на личните данни и политиките за поверителност на компанията. Това включва информиране и провеждане на обучения на персонала участващ в обработването на лични данни.

(v) ЛЗД трябва да консултира (когато е поискано от него) по отношение на извършване на оценка за въздействие, отнасяща се до обработване на лични данни.

(vi) ЛЗД трябва да бъде лице за контакти, с компетентните органи, по въпроси, отнасящи се до обработване на лични данни и др.

(vii) Данните за контакт на ЛЗД следва да бъдат на разположение на физическите лица, чиито лични данни се обработват, да бъдат публикувани и предоставени на надзорните органи.

Крайната версия на Регламента се очаква през 2016 г. Преговорите продължават и се очаква проектът за Регламента да претърпи някои промени, преди финализирането си, включително по отношение на функцията на ЛЗД и критериите за назначаването му. Все пак, дори на този етап, бизнесът може да използва съществуващия стадий на развитие, като компас и да планира занапред, особено имайки предвид значително увеличените санкции (надзорните органи могат да наложат санкции в размер до 1 000 000 евро или за дружества – до 2 % от общия световен годишен оборот за предходната финансова година), предвидени от Регламента.

"…Все пак, дори на този етап, бизнесът може да използва съществуващия стадий на развитие, като компас и да планира занапред, особено имайки предвид значително увеличените санкции, предвидени от Регламента"

1
Reference is made to the 4-column table for the GDPR published on 8 July 2015, ST 10391 2015 INIT (http://data.consilium.europa.eu/doc/document/ST-10391 – 2015-INIT/en/pdf)