ДЕСЕТ ПРАКТИЧЕСКИ СТЪПКИ

КЗЛД НАЛОЖИ САНКЦИЯ ОТ 1 МИЛИОН ЛЕВА НА „БАНКА ДСК” ЕАД
September 4, 2019
ЗАПАЗВАНЕТО НА ДАННИ ЗА ЦЕЛИТЕ НА БОРБАТА С ПРЕСТЪПНОСТТА
June 28, 2018
 

ДЕСЕТ ПРАКТИЧЕСКИ СТЪПКИ ЗА ПРИЛАГАНЕ НА ОБЩИЯ РЕГЛАМЕНТ ЗА ЗАЩИТА НА ДАННИТЕ

Запознаване с новите нормативни изисквания в областта на защитата на личните данни

1.1. Определяне на служители или екип, които да отговарят за привеждане на дейността на дружеството или организацията, в съответствие с новите нормативни изисквания в областта на защитата на личните данни (ръководни служители, други ключови служители в дружеството или организацията (Правен отдел, IT отдел, Човешки ресурси и др.);

 

1.2. Какво трябва да се познава: Регламент 2016/679 (Общ регламент за защита на данните), Закон за защита на личните данни (ЗЗЛД) и подзаконовите актове по прилагането му, ръководствата и насоките на Комисията за защита на личните данни (КЗЛД) и Работната група по чл. 29 (след 25.05.2018 г. – на Европейския комитет по защита на данните).

 

Вътрешен анализ на дейностите по обработване на лични данни

2.1. Какви категории лични данни и на какви категории лица се обработват („обикновени“ лични данни – имена, адрес и т.н.; единен граждански номер; „чувствителни“ лични данни – биометрични, здравни, етническа принадлежност, политически възгледи и т.н.).

 

2.2. За какви конкретни цели се събират, съхраняват и обработват личните данни (трудови отношения, счетоводство, клиенти, доставчици, реклама, законово определени цели, журналистическа дейност и т.н.).

 

2.3. На кого се предоставят или разкриват личните данни извън организацията:

 

– на публични органи (Национална агенция за приходите, Национален осигурителен институт, Министерство на вътрешните работи и т.н.);

 

– на обработващ лични данни (физическо или юридическо лице, което обработва личните данни от името на администратора и по негово нареждане или възлагане) – счетоводна къща, IT компания, поддържаща информационната система, др.;

 

– на бизнес партньори – за целите на директен маркетинг, съвместни продукти и услуги, др.

 

2.4. Дали се предават (трансферират) лични данни в други държави и кои (държава членка на Европейския съюз или трета страна).

 

2.5. Колко време се съхраняват личните данни в организацията.

 

2.6. Какви мерки за сигурност се прилагат за защита на данните.

 

Преценка дали е налице задължение да се определи Длъжностно лице по защита на данните

3.1. Задължително определяне на Длъжностно лице по защита на данните в следните случаи:

– публичен орган или орган на местно самоуправление;

– системно и мащабно наблюдение на субектите на данните;

– мащабно обработване на специални (чувствителни) лични данни;

– обработване на лични данни на над 10 000 физически лица.

3.2. Избор на Длъжностно лице по защита на данните:

– назначаване на служител в дружеството или организацията;

– съвместяване с друга длъжност (без конфликт на интереси);

– външна организация по договор.

3.3. Обучение на Длъжностно лице по защита на данните:

– първоначално;

– текущо.

(Препоръчително е да се определи Длъжностно лице по защита на данните преди да се премине към следващите стъпки.)

Управление на риска по отношение на защитата на личните данни

4.1. Оценка на риска на основата на:

– естеството, обхвата, контекста и целите на обработването;

– възможните рискове и тяхната вероятност;

– последиците за правата и свободите на физическите лица.

4.2. Извършване на оценка на въздействието върху защитата на личните данни при наличие на висок риск (в резултат на профилиране, мащабно обработване на специални (чувствителни) лични данни, систематично мащабно наблюдение на публично достъпна зона, нови технологии и др.).

4.3. Задължителна предварителна консултация с КЗЛД, ако оценката на въздействието върху защитата на данните покаже, че обработването ще породи висок риск и администраторът не може да предприеме ефективни мерки за ограничаването му.

4.4. Избор на подходящи технически и организационни мерки, за да може да се гарантира и докаже спазване на Регламент 2016/679 и ЗЗЛД:

– защита на данните на етапа на проектирането и по подразбиране;

– псевдонимизация на личните данни;

– криптиране на личните данни;

– гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

– обучение на служители и др.

4.5. Евентуално присъединяване към кодекси за поведение и/или сертифициране (незадължително).

Приемане на план за действие

5.1. Определяне на необходимите организационни и технически мерки.

5.2. Определяне на отговорник, екип и срокове за изпълнение.

5.3. Осигуряване на необходими финансови, технически и човешки ресурси.

Документиране и отчетност

6.1. Създаване и редовно актуализиране на вътрешен регистър на дейностите по обработване на лични данни в дружеството/организацията със следната информация:

– името и координатите за връзка на администратора и, когато това е приложимо, на всички съвместни администратори, на представителя на администратора и на Длъжностното лице по защита на данните, ако има такива;

– целите на обработването;

– описание на категориите субекти на данни и на категориите лични данни;

– категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;

– когато е приложимо – предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, документация за подходящите гаранции;

– предвидените срокове за изтриване на различните категории данни;

– общо описание на техническите и организационни мерки за сигурност.

6.2. Приемане на вътрешна инструкция/правила/процедури/политика за защита на личните данни в съответното дружество/организация.

6.3. Ако е приложимо – преглед и при нужда актуализиране на договореностите с обработващите лични данни.

6.4. Ако е приложимо – преглед и при нужда актуализиране на декларациите или другите форми за документиране на съгласието на субекта на данните.

Преглед на правните основания за обработване на лични данни, включително въз основа на съгласие на лицата

7.1. Преглед на използваните до момента правни основания за обработване на лични данни:

– съгласие;

– сключване или изпълнение на договор;

– законово задължение за администратора;

– защита на жизненоважни интереси на субекта на данните или на друго физическо лице;

– изпълнение на задача от обществен интерес или упражняването на официални правомощия, предоставени на администратора;

– легитимни интереси на администратора или на трета страна, когато същите имат преимущество над интересите или основните права и свободи на субекта на данните (неприложимо за публични органи).

7.2. Преценка дали е законосъобразно и целесъобразно обработването на лични данни да е на основание единствено съгласието на лицето. В този случай администраторът следва да е в състояние да докаже, че съгласието е:

– свободно изразено – не дадено под натиск или заплаха от неблагоприятни последици (напр. по-висока цена на услуга);

– конкретно – отделно съгласие за всяка конкретно определена цел;

– информирано – дадено на основата на пълна, точна и лесно разбираема информация;

– недвусмислено – не се извлича или предполага на основата на други изявления или действия на лицето;

– изрично изявление или ясно потвърждаващо действие – мълчанието на лицето вече не може да се приеме за съгласие.

7.3. Документиране на съгласието с цел доказване пред надзорния орган (декларации и др.).

7.4. Осигуряване на практическа възможност на субекта на данните да оттегли по всяко време съгласието си.

7.5. В случай на пряко предлагане на услуги на информационното общество на дете под 14 години – избор на процедура и/или технология за удостоверяване, че съгласието е дадено или разрешено от носещия родителска отговорност за детето.

Информираност на субектите на данните и прозрачност на обработването

8.1. Предоставяне на обобщена, кратка и разбираема информация чрез интернет сайта на дружеството/организацията или по друг достъпен за субектите на данни начин относно:

– идентифициране на дружеството или организацията – наименование и начин за контакт, включително с Длъжностното лице по защита на данните, ако има такова (адрес, електронна поща, телефон и т.н.);

– какви категории лични данни се събират и за какви цели се обработват;

– категориите получатели на лични данни извън дружеството или организацията, както и дали ще се предават (трансферират) данни в трети страни извън ЕС;

– срока за съхранение на данните;

– съществуването на конкретни права на субектите на данните (право на достъп, коригиране или изтриване на лични данни, ограничаване на обработването, възражение срещу обработването, преносимост на данните) и реда за упражняването им;

– правото на жалба до КЗЛД и до съда;

– дали предоставянето на лични данни е задължително по закон или договорно изискване, както и евентуалните последствия, ако тези данни не бъдат предоставени;

– (ако е приложимо) дали има автоматизирано вземане на решения, включително профилиране.

8.2. Информиране по подходящ начин на работниците и служителите в дружеството/организацията в случай, че работодателят:

– извършва видеонаблюдение на работното място;

– следи средствата за електронна комуникация на работното място, предоставени от дружеството/организацията (интернет, телефон, мобилен телефон), с цел предотвратяване на злоупотреби.

Практическо упражняване на права от субектите на данните

9.1. Познаване на правата, които Регламент 2016/679 предоставя на лицата:

– право на достъп до личните данни, свързани с лицето, които се обработват от дружеството/организацията;

– право на коригиране или допълване на неточни или непълни лични данни;

– право на изтриване на лични данни, които се обработват незаконосъобразно или с отпаднало правно основание (изтекъл срок на съхранение, оттеглено съгласие, изпълнена първоначална цел, за която са били събрани и др.) – „право да бъдеш забравен“;

– право на ограничаване на обработването – при наличие на правен спор между дружеството/организацията и физическото лице до неговото решаване и/или за установяването, упражняването или защитата на правни претенции;

– право на преносимост на данните – ако се обработват на основание съгласие или договор, съхраняват се в машиночитаем формат и е технически осъществимо;

– право на възражение – по всяко време и на основания, свързани с конкретната ситуация на лицето, при условие, че не съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или съдебен процес;

– право да не бъде обект на изцяло автоматизирано решение, включващо профилиране, което поражда правни последствия за субекта на данните или го засяга в значителна степен.

9.2. Изготвяне и прилагане на вътрешни процедури относно приемане, разглеждане и отговаряне в едномесечен срок на искания от физически лица за упражняване на правата им като субекти на лични данни.

Уведомяване за нарушение на сигурността на личните данни

10.1. Приемане на вътрешна процедура и план за действие в случай на нарушение на сигурността на личните данни.

10.2. Определяне на отговорен служител/екип за реакция при нарушение на сигурността на личните данни, инструктаж на персонала, др.

10.3. Създаване на вътрешна организация за своевременно уведомяване на КЗЛД в срок до 72 часа от узнаването за нарушението.