В тази статия ще разгледаме какви задължения има администратор, обработващи лични данни и ДЛЗЛД/ длъжностно лице по защита на лични данни/, как се управлява риска за сигурност от администратор на лични данни.
Задължения на администратор на лични данни
- Обработване на личните данни в съответствие с принципите за защита на личните данни (чл. 5-11) – администраторът носи отговорността и трябва да е в състояние да докаже спазването на произтичащите от тях изисквания
- Съдействие за упражняване на правата на субектите на данни съгласно ОРЗД (чл. 12-22)
- администраторът предприема необходимите действия за предоставяне на информация и комуникация, която се отнася до обработването
- запознаване на администратора и неговите служители с правата на физическите лица и тяхното съдържание
- предвиждане на вътрешни процедури за приемане, разглеждане и отговаряне в едномесечен срок на искания от физически лица за упражняване на правата им
- Определяне на представител в ЕС, ако не е установен в ЕС, но ОРДЗ се прилага за него (чл. 27)
представителят трябва да е установен в една от държавите членки, в която се намират субектите, чиито данни се обработват
овластяване на представителя с мандат, който позволява надзорните органи и субектите на данни да се обръщат към него по всички въпроси, свързани с обработването
Управление на риска от администратор на лични данни:
- анализ на риска (чл. 24)
- осигуряване на защита на етапа на проектирането и по подразбиране (чл. 25)
- извършване на оценка на въздействието върху защитата на данните (чл. 35)
- провеждане на предварителна консултация с надзорния орган, когато от оценката на въздействието следва висок риск, ако администраторът не предприеме мерки за ограничаване на риска (чл. 36)
- прилагане на подходящи технически и организационни мерки за защита на данните (чл. 32), например криптиране, псевдонимизация, гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване, своевременно възстановяване на наличността и достъпа до личните данни в случай на инцидент, редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки
- Отношения администратор-обработващ (чл. 28)
- Отношения между съвместни администратори (чл. 26)
- Сътрудничество с надзорния орган
– с Регламента отпадна задължението за регистрация пред КЗЛД, считано от 25 май 2018 г.
– определяне на длъжностно лице по защита на данните, когато такова се изисква (чл. 37-39)
– провеждане на предварителна консултация с надзорния орган, когато от оценката на въздействието следва висок риск, ако администраторът не предприеме мерки за ограничаване на риска (чл. 36), както и в случаите по чл. 12, ал. 2 от ЗЗЛД
– сътрудничество с надзорния орган при изпълнение на неговите задължения от страна на администратора и обработващия (чл. 31)
– уведомяване на надзорния орган за нарушение на сигурността на личните данни (чл. 33)
- Съобщаване на субекта на данните за нарушение на сигурността на личните данни (чл. 34);
- Прилагане на изискванията при предаване на лични данни (трансфер на данни) на трети държави или международни организации (чл. 44-48);
- Осигуряване на отчетност:
- поддържане на регистър на дейностите по обработване на лични данни (чл. 30)
- по желание присъединяване към одобрени кодекси за поведение (чл. 40) и сертифициране (чл. 42)
- извършване на оценка на въздействието върху защитата на данните в изискуемите случаи (чл. 35)
- документиране на съгласието, ако на това основание се обработват личните данни (чл. 7)
- други способи за отчетност
Задължения на обработващия лични данни
- Определяне на представител, когато не е установен в ЕС (чл. 27)
- Спазване на изискванията по чл. 28 от Регламента в отношенията с администратора
- Поддържане на регистър на всички дейности по обработването (чл. 30, пар. 2)
- Сътрудничество с надзорния орган (чл. 31)
- Прилагане на подходящи технически и организационни мерки (чл. 32)
- Уведомяване на администратора при нарушение на сигурността на личните данни (чл. 33, пар. 2)
- Определяне на длъжностно лице по защита на данните (чл. 37)
- Прилагане на изискванията при предаване на лични данни на трета държава или международна организация (чл. 44 и сл.)
Длъжностни лица по защита на лични данни
- Случаи на задължително определяне на ДЗЛД:
- при обработване, извършвано от публичен орган или структура (държавни органи, с изключение на съдилищата при изпълнение на съдебните им функции; органи на местното самоуправление; структура, чиято основна дейност е свързана с разходване на публични средства)
- когато основните дейности на администратора/обработващия се състоят в операции по обработване, които изискват редовно и систематично мащабно наблюдение на субектите на данни
- когато основните дейности на администратора/обработващия се състоят в мащабно обработване на специални категории данни или на лични данни, свързани с присъди и нарушения
- когато това се изисква от правото на Европейския съюз или на държава членка
Вижте още Обработване на лични данни за целите на директния маркетинг.