Необходими процедури при обработването на лични данни
 

Актуално към 26.03.2021 г.

В тази секция можете да намерите следната информация:

  • Какви са основните процедури, които трябва да се приложат по отношение обработването на лични данни?
  • Как да търсим правата си?

 

Какви са основните процедури, които трябва да се приложат по отношение обработването на лични данни?

Основните процедури по регламент включват:

  • уведомяване в случай на нарушение на лични данни;
  • анализ на процесите на обработване на лични данни и оценка на въздействието върху защитата на данните;
  • предаване на лични данни в страни извън Европейското икономическо пространство;
  • изготвяне и съблюдаване на кодекс за поведение;
  • изготвяне и съблюдаване на политики;
  • поддържане на регистри.

 

Уведомяване в случай на нарушение на лични данни

Уведомяване в случай на нарушение на лични данни

В случай на нарушение на сигурността на личните данни, не по-късно от 72 часа след като администраторът разбере за нарушението, той трябва да уведоми за това Комисията за защита на личните данни.

Съгласно чл. 4, т. 12 от Регламента нарушението на сигурността значи такова нарушение, което да води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.

Нарушението на личните данни е тип инцидент в сигурността, който е свързан с възможността да се наруши поверителността, целостта или наличността на данните.

Важно е да знаете, че не е нужно комисията да бъде уведомявана за всяко нарушение, а само за такова, което може да породи риск за правата и свободите на физическите лица. Ако нарушението може да породи висок риск за правата и свободите на физическите лица, самите лица трябва да бъдат уведомени за това.

Оценката на риска за правата и свободите на физическите лица зависи от редица фактори:

  • важен фактор може да е типът инцидент в сигурността: ако например е нарушена поверителността на медицинска информация, това може да доведе до сериозни последици за физическото лице;
  • характерът и обемът на лични данни има огромно значение – ако например са разкрити голям брой имена в комбинация с финансова информация за кредитни и дебитни карти или имената на биологичните родителите и осиновители на едно дете, това може да доведе до сериозен риск;
  • ако вследствие на нарушението лицата може да бъдат лесно идентифицирани, това безспорно може да доведе до редица усложнения;
  • ако последствията за физическите лица са сериозни и могат да доведат до нарушаване на репутацията на физическото лице, до измама, телесна повреда и дори до кражба на самоличност, рискът определено може да се квалифицира като висок;
  • ако при нарушение на целостта на личните данни са разкрити данни на деца или голям брой данни на физически лица, това също може да доведе до високи нива на риск;

Рискът трябва да се прецени във всеки конкретен случай и Насоките на работна група по член 29 относно уведомлението за нарушение на сигурността на личните данни от дата 3 октомври 2017 г. са полезни при определянето му и при решаването дали да се уведоми Комисията за защита на личните данни и дали да се уведомят физическите лица. Уведомяването на Комисията за защита на личните данни и физическите лица вероятно няма да бъде необходимо, ако например се изгуби база данни, която е криптирана и няма как да бъде разкрита без парола и/или криптоключ или която не съдържа голяма по обем или чувствителна информация относно лични данни като медицинска или финансова информация и наличността на данните не може да бъде възстановена.

Администраторът обаче е задължен да документира всяко едно нарушение на сигурността на личните данни, независимо какъв риск представлява. За това е необходимо създаването на специален регистър.

Задължението за уведомяване трябва да бъде осъществено от администратора, но в случай че обработващият лични данни узнае за нарушение в сигурността, той трябва да уведоми администратора незабавно. За повече информация относно отношенията между администратор и обработващ, моля вижте тук.

Уведомлението към Комисията за защита на личните данни и физическите лица трябва да съдържа описание на естеството на нарушението на личните данни, което да включва:

  • описание на естеството на нарушението на сигурността на личните данни, в т.ч. ако е възможно приблизителен брой на засегнатите субекти;
  • описание на евентуалните последици;
  • предприетите или предложените мерки за справяне с нарушението и евентуалните последици от него;
  • данни за контакт с администратора или негов служител, назначен като длъжностно лице по защита на личните данни.

Субектите на лични данни може да не бъдат уведомени, ако администраторът предварително или след нарушението е взел мерки, така че високият риск за правата и свободите на физическите лица да не се осъществи или ако уведомяването би довело до непропорционални усилия. В последния случай може да се направи публично съобщение.

Анализ на процесите на обработване на лични данни и   оценка на въздействието върху защитата на данните

Анализ на процесите на обработване на лични данни и оценка на въздействието върху защитата на данните

За да бъдат защитени данните ефективно, трябва да се направи обстоен анализ на процесите, които включват работа с лични данни в дадено дружество.

  • Определяне на процесите: дружеството трябва да определи всички процеси, при които то обработва лични.
  • Анализ на процесите: процесите трябва да се анализират и систематизират като се проследи целият процес на данните: откъде се получават, през кои отдели на дружеството се обработват, дали се променят вследствие на обработването и на кои трети лица или държавни институции се предоставят данните на крайния етап.
  • Определяне на категориите лични данни, които се обработват: трябва да се определят категориите лични данни, които се обработват в рамките на всеки процес и какви точно са тези данни: дали са специални категории лични данни или данни, свързани с присъди и нарушения или пък са само имена, имейл адрес и ЕГН („обикновени“ категории лични данни). Дали специалните категории лични данни включват например медицинска информация. Важно е да се уточни каква е тази медицинска информация: дали става въпрос само за съхраняване на болничен лист или за генетични и биометрични данни, дали тази информация е в комбинация с имена и ЕГН на конкретното физическо лице, така че то да бъде лесно установено.
  • Анализ спрямо цели на обработването: въз основа на структурираните процеси е необходимо да се анализира доколко данните, които се събират, отговарят на целите за тяхното събиране.
  • Анализ на адекватността на техническите и организационни мерки за защита: трябва да се определи дали средствата, които се прилагат за защита на личните данни, са адекватни, т.е. дали осигуряват необходимото ниво на сигурност, относно техническите параметри и да се анализира организацията на защита като нива на достъп или обезпеченост на помещенията отговаря ли на достиженията на техническия прогрес.

 

Важно е да знаете
Важно е да знаете

Оценката на въздействието е процедура, която се прилага само спрямо процесите в дружеството, чието обработване поражда висок риск. Важно е да се отбележи, че тя трябва да се осъществи преди обработването на личните данни да е започнало.

Ако при извършването на оценката на въздействието се стигне до извод, че процесите не са адекватно защитени, трябва да се вземат мерки за тяхната по-добра и ефективна защита. След взимането на тези мерки, процедурата се осъществява още веднъж и ако се стигне до извод, че мерките са адекватни и данните са достатъчно добре защитени, обработването може да започне.

Отговорен да осъществи процедурата е администраторът на лични данни. Съдействие при провеждането й може да оказва обработващият предвид техническите и организационните мерки за защита на личните данни, както и в случай, че е по-добре запознат с конкретния процес. Длъжностното лице по защита на данните участва в процедурата като консултира провеждането й.

Пример за процеси, за които трябва да се приложи процедурата оценка на въздействието са програмите, с които се обработват личните данни и финансовата информация на служителите в дружеството относно изплащането на заплатите им, процеса по видеонаблюдение, процесите по съхраняване и архивиране на информация от доставчика на облачни услуги и от доставчик, който съхранява информацията на хартия, както и всички останали процеси, които отговарят на критерия за висок риск.

Всички процеси по обработване на лични данни трябва да бъдат документирани и съхранявани от администратора. Съхранението може да бъде и в електронен вариант, като документите трябва да са на разположение на Комисията за защита на лични данни при поискване.

Предаване на лични данни в страни извън Европейското икономическо пространство

Предаване на лични данни в страни извън Европейското икономическо пространство

Когато се прехвърлят данни извън Европейското икономическо пространство на трета държава или международна организация, администраторът трябва да осигури съответствие с Регламента чрез използване на подходящи мерки за защита. Спазването на тези мерки важи и за последващи прехвърляния на личните данни към други държави или международни организации. Мерките зависят от това доколко е надеждна получаващата държава членка или международна организация. Европейската комисия е взела изрично решение дали определени държави осигуряват адекватно ниво на защита на данните.

Ако такова ниво не е осигурено, прехвърлянето все пак е възможно, ако са налице задължителни фирмени правила, стандартни клаузи за защита на данните в подписаните договори между прехвърлящите дружества, одобрен кодекс за поведение или одобрен механизъм за сертифициране.

Също така, обработващият личните данни не може да прехвърля, съхранява или по друг начин обработва лични данни извън Европейското икономическо пространство без предварителното писмено съгласие на администратора.

Изготвяне и съблюдаване на кодекс за поведение

Изготвяне и съблюдаване на кодекс за поведение

Регламентът дава възможност в рамките на отделните сектори, предприятия и микропредприятия да се изготвят кодекси за поведение, които целят правилното прилагане на законодателството, свързано с личните данни. Тези кодекси трябва да съдържат механизми, които да позволят задължително наблюдение на спазването на разпоредбите на кодекса от администраторите и обработващите лични данни, които приемат да го прилагат, от акредитиран орган от Комисия за защита на личните данни. Комисията за защита на личните данни също така трябва да одобри кодекса преди да започне неговото прилагане като го регистрира и публикува.

Ако такъв кодекс бъде одобрен от Европейската комисия, той може да бъде валиден и да се прилага в няколко страни членки или дори в рамките на целия Европейски съюз.

Изготвяне и съблюдаване на политики и документи

Изготвяне и съблюдаване на политики и документи

По-долу предоставяме примерен списък на политиките и документите, които всяко дружество трябва задължително да изготви при обработването на лични данни. Изброяването е примерно и е възможно всяко дружество, предвид спецификата на своята дейност да има допълнителни политики, които да отговарят на вътрешната организация на дейността му по обработване на личните данни:

  • обща политика за защита на личните данни, включваща процесите по обработване на личните данни и общите правила за работа с тях, сроковете за съхранение и др.;
  • политика относно процедурата по оценка на въздействието на защитата на данните;
  • образец за уведомления за поверителност на данните;
  • образец на Съгласие за обработване на лични данни;
  • политика относно управление на нарушения, свързани със защита на личните данни;
  • политика относно правата на субектите на данни;
  • политика относно сигурността на информацията;
  • политика относно поверителност и сигурност на информацията (Етичен кодекс относно работата с лични данни от страна на служителите и Стандарти);
  • политика относно ползването на мобилни устройства от страна на служителите и защитата на информация;
  • други политики по процесите на обработване на личните данни, ако такива се окажат необходими.

 

Поддържане на регистри

Поддържане на регистри

Всеки администратор е нужно да води регистри за обработване на личните данни, в които да вписва процесите по обработване:

  • регистър по дейностите по обработване, за които дружеството отговаря. Този регистър трябва да се води както за дейностите, за които дружеството е администратор, така и за тези, при които е обработващ;
  • регистър за нарушенията на сигурността на личните данни. Този регистър трябва да поддържа не само нарушенията, които представляват риск или висок риск, но и всяко едно нарушение на сигурността на личните данни, независимо от нивото на риска и това  дали Комисия за личните данни и /или физическите лица трябва да се уведомят за инцидента;
  • регистър за сигналите и молбите, подадени от субектите на лични данни с оглед защита на техните права и интереси.

 

Как да търсим правата си?

Физическите лица могат да подават молби и жалби до администраторите или обработващите лични данни, ако считат, че правата им са нарушени. Обработващите лични данни трябва да прехвърлят към администратора жалбата или молбата и да му съдействат максимално за установяване на фактите и обстоятелствата относно конкретния случай. Отговорът на жалбата или молбата трябва да бъде предоставен от администратора.

Държавният орган, отговорен за защитата на личните данни на физически лица на територията на България е Комисия за защита на личните данни, към която физическите лица могат да подават жалби и сигнали, в случай че считат, че техните права са нарушени. Повече информация за комисията може да бъде намерена тук.

Повече информация
Повече информация

Повече информация може да намерите на интернет страниците на:

  • Мнения на работна група по член 29:

- „след 2016 г.“

- архив „1997 – 2016“

Текст на Регламента

отпечатай тази страница
 
 


Публикувай коментар

In nisl nibh, tempus eget adipiscing at, venenatis vel ligula! Aenean mattis elit ut est congue sagittis. Lorem ipsum dolor sit amet, consectetur adipiscing elit

 
Пишете ни
Министерство на икономиката и индустрията
ул. "Славянска" № 8
ЕИК 177549105
Тел.: +359 2 940 7001

факс: +359 2 9872190; 02 9819970
 
Оперативна програма Заявяване на услуги по електронен път
Контакти: София 1052 ул. "Славянска" 8 тел. 02 940 7001   e-docs@mi.government.bg