Администратор на лични данни

В тази статия ще разгледаме какви задължения има администратор, обработващи лични данни и ДЛЗЛД/ длъжностно лице по защита на лични данни/, как се управлява риска за сигурност от администратор на лични данни.

Задължения на администратор на лични данни

  • Обработване на личните данни в съответствие с принципите за защита на личните данни (чл. 5-11) – администраторът носи отговорността и трябва да е в състояние да докаже спазването на произтичащите от тях изисквания
  •  Съдействие за упражняване на правата на субектите на данни съгласно ОРЗД (чл. 12-22)
  • администраторът предприема необходимите действия за предоставяне на информация и комуникация, която се отнася до обработването
  • запознаване на администратора и неговите служители с правата на физическите лица и тяхното съдържание
  • предвиждане на вътрешни процедури за приемане, разглеждане и отговаряне в едномесечен срок на искания от физически лица за упражняване на правата им
  • Определяне на представител в ЕС, ако не е установен в ЕС, но ОРДЗ се прилага за него (чл. 27)

представителят трябва да е установен в една от държавите членки, в която се намират субектите, чиито данни се обработват

овластяване на представителя с мандат, който позволява надзорните органи и субектите на данни да се обръщат към него по всички въпроси, свързани с обработването

Управление на риска от администратор на лични данни:

  • анализ на риска (чл. 24)
  • осигуряване на защита на етапа на проектирането и по подразбиране (чл. 25)
  • извършване на оценка на въздействието върху защитата на данните (чл. 35)
  • провеждане на предварителна консултация с надзорния орган, когато от оценката на въздействието следва висок риск, ако администраторът не предприеме мерки за ограничаване на риска (чл. 36)
  • прилагане на подходящи технически и организационни мерки за защита на данните (чл. 32), например криптиране, псевдонимизация, гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване, своевременно възстановяване на наличността и достъпа до личните данни в случай на инцидент, редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки
  • Отношения администратор-обработващ (чл. 28)
  • Отношения между съвместни администратори (чл. 26)
  • Сътрудничество с надзорния орган

– с Регламента отпадна задължението за регистрация пред КЗЛД, считано от 25 май 2018 г.

– определяне на длъжностно лице по защита на данните, когато такова се изисква (чл. 37-39)

– провеждане на предварителна консултация с надзорния орган, когато от оценката на въздействието следва висок риск, ако администраторът не предприеме мерки за ограничаване на риска (чл. 36), както и в случаите по чл. 12, ал. 2 от ЗЗЛД

– сътрудничество с надзорния орган при изпълнение на неговите задължения от страна на администратора и обработващия (чл. 31)

– уведомяване на надзорния орган за нарушение на сигурността на личните данни (чл. 33)

  •  Съобщаване на субекта на данните за нарушение на сигурността на личните данни (чл. 34);
  • Прилагане на изискванията при предаване на лични данни (трансфер на данни) на трети държави или международни организации (чл. 44-48);
  •  Осигуряване на отчетност:
  • поддържане на регистър на дейностите по обработване на лични данни (чл. 30)
  • по желание присъединяване към одобрени кодекси за поведение (чл. 40) и сертифициране (чл. 42)
  • извършване на оценка на въздействието върху защитата на данните в изискуемите случаи (чл. 35)
  • документиране на съгласието, ако на това основание се обработват личните данни (чл. 7)
  • други способи за отчетност

Задължения на обработващия лични данни

  • Определяне на представител, когато не е установен в ЕС (чл. 27)
  •  Спазване на изискванията по чл. 28 от Регламента в отношенията с администратора
  •  Поддържане на регистър на всички дейности по обработването (чл. 30, пар. 2)
  •  Сътрудничество с надзорния орган (чл. 31)
  •  Прилагане на подходящи технически и организационни мерки (чл. 32)
  •  Уведомяване на администратора при нарушение на сигурността на личните данни (чл. 33, пар. 2)
  •  Определяне на длъжностно лице по защита на данните (чл. 37)
  •  Прилагане на изискванията при предаване на лични данни на трета държава или международна организация (чл. 44 и сл.)

Длъжностни лица по защита на лични данни

  • Случаи на задължително определяне на ДЗЛД:
    • при обработване, извършвано от публичен орган или структура (държавни органи, с изключение на съдилищата при изпълнение на съдебните им функции; органи на местното самоуправление; структура, чиято основна дейност е свързана с разходване на публични средства)
    • когато основните дейности на администратора/обработващия се състоят в операции по обработване, които изискват редовно и систематично мащабно наблюдение на субектите на данни
    • когато основните дейности на администратора/обработващия се състоят в мащабно обработване на специални категории данни или на лични данни, свързани с присъди и нарушения
    • когато това се изисква от правото на Европейския съюз или на държава членка

Вижте още Обработване на лични данни за целите на директния маркетинг.