Актуално към 26.03.2021 г.
В тази секция можете да намерите следната информация:
Какви са основните процедури, които трябва да се приложат по отношение обработването на лични данни?
Основните процедури по регламент включват:
Уведомяване в случай на нарушение на лични данни |
В случай на нарушение на сигурността на личните данни, не по-късно от 72 часа след като администраторът разбере за нарушението, той трябва да уведоми за това Комисията за защита на личните данни.
Съгласно чл. 4, т. 12 от Регламента нарушението на сигурността значи такова нарушение, което да води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
Нарушението на личните данни е тип инцидент в сигурността, който е свързан с възможността да се наруши поверителността, целостта или наличността на данните.
Важно е да знаете, че не е нужно комисията да бъде уведомявана за всяко нарушение, а само за такова, което може да породи риск за правата и свободите на физическите лица. Ако нарушението може да породи висок риск за правата и свободите на физическите лица, самите лица трябва да бъдат уведомени за това.
Оценката на риска за правата и свободите на физическите лица зависи от редица фактори:
Рискът трябва да се прецени във всеки конкретен случай и Насоките на работна група по член 29 относно уведомлението за нарушение на сигурността на личните данни от дата 3 октомври 2017 г. са полезни при определянето му и при решаването дали да се уведоми Комисията за защита на личните данни и дали да се уведомят физическите лица. Уведомяването на Комисията за защита на личните данни и физическите лица вероятно няма да бъде необходимо, ако например се изгуби база данни, която е криптирана и няма как да бъде разкрита без парола и/или криптоключ или която не съдържа голяма по обем или чувствителна информация относно лични данни като медицинска или финансова информация и наличността на данните не може да бъде възстановена.
Администраторът обаче е задължен да документира всяко едно нарушение на сигурността на личните данни, независимо какъв риск представлява. За това е необходимо създаването на специален регистър.
Задължението за уведомяване трябва да бъде осъществено от администратора, но в случай че обработващият лични данни узнае за нарушение в сигурността, той трябва да уведоми администратора незабавно. За повече информация относно отношенията между администратор и обработващ, моля вижте тук.
Уведомлението към Комисията за защита на личните данни и физическите лица трябва да съдържа описание на естеството на нарушението на личните данни, което да включва:
Субектите на лични данни може да не бъдат уведомени, ако администраторът предварително или след нарушението е взел мерки, така че високият риск за правата и свободите на физическите лица да не се осъществи или ако уведомяването би довело до непропорционални усилия. В последния случай може да се направи публично съобщение.
Анализ на процесите на обработване на лични данни и оценка на въздействието върху защитата на данните |
За да бъдат защитени данните ефективно, трябва да се направи обстоен анализ на процесите, които включват работа с лични данни в дадено дружество.
Важно е да знаете | |
Оценката на въздействието е процедура, която се прилага само спрямо процесите в дружеството, чието обработване поражда висок риск. Важно е да се отбележи, че тя трябва да се осъществи преди обработването на личните данни да е започнало. |
Ако при извършването на оценката на въздействието се стигне до извод, че процесите не са адекватно защитени, трябва да се вземат мерки за тяхната по-добра и ефективна защита. След взимането на тези мерки, процедурата се осъществява още веднъж и ако се стигне до извод, че мерките са адекватни и данните са достатъчно добре защитени, обработването може да започне.
Отговорен да осъществи процедурата е администраторът на лични данни. Съдействие при провеждането й може да оказва обработващият предвид техническите и организационните мерки за защита на личните данни, както и в случай, че е по-добре запознат с конкретния процес. Длъжностното лице по защита на данните участва в процедурата като консултира провеждането й.
Пример за процеси, за които трябва да се приложи процедурата оценка на въздействието са програмите, с които се обработват личните данни и финансовата информация на служителите в дружеството относно изплащането на заплатите им, процеса по видеонаблюдение, процесите по съхраняване и архивиране на информация от доставчика на облачни услуги и от доставчик, който съхранява информацията на хартия, както и всички останали процеси, които отговарят на критерия за висок риск.
Всички процеси по обработване на лични данни трябва да бъдат документирани и съхранявани от администратора. Съхранението може да бъде и в електронен вариант, като документите трябва да са на разположение на Комисията за защита на лични данни при поискване.
Предаване на лични данни в страни извън Европейското икономическо пространство |
Когато се прехвърлят данни извън Европейското икономическо пространство на трета държава или международна организация, администраторът трябва да осигури съответствие с Регламента чрез използване на подходящи мерки за защита. Спазването на тези мерки важи и за последващи прехвърляния на личните данни към други държави или международни организации. Мерките зависят от това доколко е надеждна получаващата държава членка или международна организация. Европейската комисия е взела изрично решение дали определени държави осигуряват адекватно ниво на защита на данните.
Ако такова ниво не е осигурено, прехвърлянето все пак е възможно, ако са налице задължителни фирмени правила, стандартни клаузи за защита на данните в подписаните договори между прехвърлящите дружества, одобрен кодекс за поведение или одобрен механизъм за сертифициране.
Също така, обработващият личните данни не може да прехвърля, съхранява или по друг начин обработва лични данни извън Европейското икономическо пространство без предварителното писмено съгласие на администратора.
Изготвяне и съблюдаване на кодекс за поведение |
Регламентът дава възможност в рамките на отделните сектори, предприятия и микропредприятия да се изготвят кодекси за поведение, които целят правилното прилагане на законодателството, свързано с личните данни. Тези кодекси трябва да съдържат механизми, които да позволят задължително наблюдение на спазването на разпоредбите на кодекса от администраторите и обработващите лични данни, които приемат да го прилагат, от акредитиран орган от Комисия за защита на личните данни. Комисията за защита на личните данни също така трябва да одобри кодекса преди да започне неговото прилагане като го регистрира и публикува.
Ако такъв кодекс бъде одобрен от Европейската комисия, той може да бъде валиден и да се прилага в няколко страни членки или дори в рамките на целия Европейски съюз.
Изготвяне и съблюдаване на политики и документи |
По-долу предоставяме примерен списък на политиките и документите, които всяко дружество трябва задължително да изготви при обработването на лични данни. Изброяването е примерно и е възможно всяко дружество, предвид спецификата на своята дейност да има допълнителни политики, които да отговарят на вътрешната организация на дейността му по обработване на личните данни:
Поддържане на регистри |
Всеки администратор е нужно да води регистри за обработване на личните данни, в които да вписва процесите по обработване:
Как да търсим правата си?
Физическите лица могат да подават молби и жалби до администраторите или обработващите лични данни, ако считат, че правата им са нарушени. Обработващите лични данни трябва да прехвърлят към администратора жалбата или молбата и да му съдействат максимално за установяване на фактите и обстоятелствата относно конкретния случай. Отговорът на жалбата или молбата трябва да бъде предоставен от администратора.
Държавният орган, отговорен за защитата на личните данни на физически лица на територията на България е Комисия за защита на личните данни, към която физическите лица могат да подават жалби и сигнали, в случай че считат, че техните права са нарушени. Повече информация за комисията може да бъде намерена тук.
Повече информация | |
Повече информация може да намерите на интернет страниците на:
|