С влизането в сила на Регламент 2016/679 (Общият регламент относно защитата на данните) една абревиатура придоби особена актуалност – ДЛЗД (длъжностно лице по защита на личните данни).
Идеята на Общия регламент относно защитата на данните (ОРЗД) е, чрез изискванията за назначаване, длъжност и задачи, да превърне ДЛЗД във важен фактор в новата система за управление на данните.
Администраторите на лични данни се делят на:
# администратори на лични данни, задължени по силата на Регламента да назначат ДЗЛД
# администратори на лични данни, които не са задължени да назначат ДЗЛД, но могат доброволно да направят това
ДЛЗД – длъжностно лице по защита на личните данни
Съгласно член 37 от ОРЗД администраторът на лични данни задължително определя длъжностно лице по защита на данните, когато:
a) обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции – тази хипотеза не е приложима в дейността на лечебните заведения
б) основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни – това е хипотезата, приложима към дейността на лечебните заведения
в) основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения – данните, които обработват лечебните заведения, подадат в понятието „специални категории данни“, но в тази хипотеза изискването е обработването да е „мащабно“; При тази хипотеза има проблем с езиковата редакция на нормата. Въпреки използването на съюза „и“, твърдението е, че следва да се разбира като „или“. Възможно е КЗЛД да се произнесе със специално становище по този проблем.
Отговорът на въпроса кои лечебни заведения са задължени да определят ДЛЗД следва от тълкуването на член 37, параграф 1, буква „б“ от ОРЗД. Такова тълкуване в направено от Работната група по защита на личните данни, която представлява независим европейски консултативен орган за защита на личните данни и неприкосновеността на личния живот.
Основни дейности на администратора на лични данни
Член 37, параграф 1, буква „б“ от ОРЗД се отнася до „основните дейности на администратора на лични данни“. Основните дейности на администратора се отнасят до неговите „първични дейности, а не до обработването на лични данни като вторични дейности“. „Основните дейности“ може да се считат за ключовите операции, които са необходими за постигането на целите на администратора на лични данни.
Примерът, който изрично е посочен от Работната група
Например основната дейност на една болница е предоставянето на здравно обслужване. Болницата обаче не може да предоставя здравно обслужване безопасно и ефективно, без да обработва данни за здравословното състояние, като например здравни досиета на пациенти. Следователно обработването на тези данни следва да се счита за една от основните дейности на всяка болница и съответно болниците трябва да определят ДЛЗД.
Мащабно обработване на лични данни
Член 37, параграф 1, буква „б“ изисква обработването на лични данни да се извършва мащабно, за да е задължително определянето на ДЛЗД. В ОРЗД не е определено какво се приема за мащабно обработване.
Не е възможно да се посочи точен брой по отношение както на обема обработвани данни, така и на броя на засегнатите физически лица, който да бъде приложим във всички ситуации. В тази връзка обаче не се изключва възможността с течение на времето да се наложи стандартна практика за по-конкретно и/или количествено определяне на това какво представлява „мащабно“ при някои видове общи дейности по обработване.
Работната група препоръчва, когато се установява дали се извършва мащабно обработване, да се вземат предвид следните обстоятелства:
# брой на засегнатите субекти на данните или като конкретен брой, или като дял от съответното население
# обем на данните и/или диапазон от различни елементи на данните, които се обработват
# продължителност или постоянство на дейността по обработване на данните;
географски обхват на дейността по обработване.
И в този случай Работната група подчертава, че един от примерите за мащабно обработване e обработванеto на пациентски данни в обичайните условия на осъществяване на дейността на болница.
С оглед дадените насоки по прилагане на ОРЗД от Работната група, следва да се приеме, че болниците са администратори на лични данни, които са задължени да определят ДЛЗД.
Работната група изрично подчертава, че обработване на пациентски данни от отделен лекар е пример, които не представляват мащабно обработване на лични данни.
Задълженията на администраторите на лични данни, особено лечебните заведения, не се изчерпват с това да се назначи или не ДЛЗД .
Всички администратори на лични данни, независимо дали определят или не ДЛЗД – имат редица други задължения, свързани със защитата на личните данни.
2 comments
д-р Костадин Сотиров
В проекта за промяна в закона за личните данни, вносителите от КЗЛД с вписали механично праг за „мащабна обработка“ от 10 000 души за администратор. Това поражда проблем с груповите практики за първична извънболнична медицинска помощ. Груповата практика е един админстратор и има примерно 15 000 записани пациенти. При механичното прилагане на ЗЗЛД, груповата практика трябва да назначи длъжностно лице и да направи оценка на въздействието, но това не отговаря на действителната ситуация. В груповата практика с общо 15 000 записани пациенти работят 10 общопрактикуващи лекари. Всеки общопрактикуващ лекар работи само със своите 1500 пациенти и в случаите когато замества отсъстващ колега, обработва и данните на неговите пациенти т.е. максимум 3 000 пациенти. Следователно всеки лекар обработва лините данни на най-много 3 000 пациети, а не на всичките 15 000. Ако се подходи от тази гледна точка, груповата практика не би трябвало да назначава длъжностно лице и не би трябвало да прави оценка на въздействието. Не зная какво ще решат народните представители, но ще има доста спорни казуси, ако се определи числов праг. В разясненията си под формата на въпроси и отговори, от Комитета за личните данни дават по-разумен пример. Те определят за мащабно обработването в община или болница, а като пример за немащабно обработване дават общински лекар, който обслужва пациентите записани при него.
Мария Радева
Здравейте,
Количественият критерий, за който говорите за сега е само проект за изменение на ЗЗЛД.
Нека измененията да станат факт, което вероятно ще е през есента – и тогава да се обсъжда този критерии.
Експертите са единодушни, че това предложение в закона ще бъде променено.