Организацията не само трябва да обработва лични данни съгласно Общия регламент относно защитата на данните, но и трябва да е в състояние да докаже тяхното съответствие. Това включва прилагане на защита на данните на етапа на проектирането, водене на регистър на дейностите по обработване и при определени обстоятелства извършване на оценка на въздействието върху защитата на данните.
Защита на данните на етапа на проектирането и по подразбиране
Като администратор на данни, както когато определяте операция по обработване, така и по време на обработката, трябва да приложите подходящи мерки и защити, за да осигурите спазването на принципите за защита на данните. Трябва също така да гарантирате, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел (това се отнася за количеството данни, обхвата на обработката, ограничението за съхранение и тяхната достъпност).
С други думи, организация, която прилага защита на данните още при проектирането и по подразбиране, е организация, която разглежда и интегрира защитата на данните и неприкосновеността на личния живот на физическите лица във всеки аспект и на всеки етап от своите операции по обработване, в използваните инструменти или всяка друга стопанска дейност.
За да направи това, преди да започне каквито и да било операции по обработване, Вашата организация трябва да вземе предвид:
- естеството, контекста и обхвата на предвидената операция по обработване;
- рисковете, които могат да възникнат от предвидените операции по обработване или други стопански дейности, които могат да окажат въздействие върху личните данни на физическите лица;
- техническите и организационните мерки, които следва да бъдат въведени, за да се смекчат установените рискове, и по този начин да се гарантира, че личните данни на физическите лица са адекватно защитени;
- техническите и организационните мерки или процедури, които трябва да бъдат въведени, за да се гарантира, че обработването на лични данни (включително по-специално събиране, съхранение и цялостно използване на данни на физически лица) е ограничено до необходимото с оглед на преследваните цели.
На практика
- Книжарница иска да увеличи приходите си, като продава книги онлайн. Собственикът на книжарницата иска да създаде стандартизиран формуляр, който да се използва за поръчка. На първо място, собственикът прави всички полета във формуляра задължителни, включително датата на раждане на клиента, телефонния номер и домашния адрес. Въпреки това, не всички полета във формуляра са необходими за целите на продажбата и доставката на книгите.
Например, когато поръчва електронна книга, клиентът може да изтегли продукта директно на своето устройство. Предвид това, споменатите полета не могат да бъдат заложени като задължителни в уеб формуляра за поръчка на книги. Поради това собственикът на уеб магазина решава да създаде два уеб формуляра: един за поръчване на книги, с поле за адреса на клиента и един уеб формуляр за поръчка на електронни книги без поле за адреса на клиента. По този начин собственикът се уверява, че се събират само данните, необходими за обработката. - Медицинска практика, в която работят няколко лекари, събира данни за своите пациенти в своята организационна информационна система. Различните лекари може да се нуждаят от достъп до досиетата на пациентите, например, когато те покриват друг отсъстващ лекар, за да информират относно своите решения за необходимите грижи и лечение на пациентите, както и за документирането на всички диагнози, грижи и действия във връзка с предприетото лечение. По подразбиране достъп се предоставя само на лекарите, на които е възложено лечението на съответния пациент.
Полезно е да съхранявате записи на тези оценки и мерки, за да можете да докажете, че спазвате принципите за защита на данните още при проектирането и по подразбиране. Одобреният механизъм за сертифициране може също така да се използва като елемент за доказване на съответствие със защитата на данните още при проектирането и по подразбиране.
Задължение за водене на регистри за обработване на данни
Като организация Вие имате задължението да водите регистър на дейностите си по обработка на данни. Тези регистри следва да се съхраняват в писмена форма, включително в електронна форма.
Този регистър Ви дава преглед на Вашите дейности по обработка. За да създадете такъв запис, трябва да определите кои от Вашите дейности изискват обработка на лични данни (примерите включват набиране на персонал, управление на заплатите, обучение, управление на системата за издаване на пропуск и достъп, списък на потенциалните клиенти и т.н.). Всяка от тези операции по обработване трябва да бъде описана в регистъра със следната информация:
- целта на обработката (напр. лоялност на клиентите);
- категориите обработвани данни (напр. за заплати: име, собствено име, дата на раждане, заплата и т.н.);
- кой има достъп до данните (получателите — напр.: отделът, отговарящ за набирането на персонал, звеното, отговарящо за ИТ системата, ръководството, доставчиците на услуги, партньорите и т.н.);
- когато е приложимо, информация, свързана с предаване на лични данни извън Европейското икономическо пространство (ЕИП);
- когато е възможно, периодът на съхранение (периодът, за който данните са полезни от оперативна гледна точка и от гледна точка на архивирането);
- когато е възможно, общо описание на мерките за сигурност.
Регистърът на дейностите по обработване е отговорност на ръководителя на Вашата организация. Този регистър трябва да бъде на разположение на органа за защита на данните на държавата от ЕИП, в която работите, ако бъде поискан.
Не се изисква организациите, в които работят по-малко от 250 души, да споменават в своя регистър чисто случайни дейности (напр. данни, обработвани за еднократни събития, като например откриването на магазин.
Прочетете повече
Как да се извърши оценка на въздействието върху защитата на данните (ОВЗД)?
Какво представлява ОВЗД?
Когато има вероятност обработването да породи висок риск за правата и свободите на физическите лица, администраторът на данни трябва да извърши оценка на въздействието върху защитата на данните (ОВЗД). ОВЗД представлява писмена оценка на планирана операция по обработване. Тя ви помага да определите подходящите предпазни мерки за смекчаване на рисковете и да докажете съответствие.
Кога да се направи ОВЗД?
Въпреки че винаги е за предпочитане да се предвиди въздействието на планираните операции по обработване на Вашата организация чрез извършване на ОВЗД, извършването на такава оценка е задължително, когато има вероятност обработването да доведе до висок риск за правата и свободите на физическите лица.
По-конкретно такъв е случаят, когато предвиденото обработване включва:
- мащабно обработване на чувствителни лични данни и данни, свързани с наказателни присъди;
- систематична и задълбочена оценка на личните аспекти на дадено лице въз основа на автоматизирано обработване, включително профилиране, и служи за основа на решения, които пораждат правни последици за въпросното лице или по подобен начин засягат значително физическите лица;
- систематично мащабно наблюдение на публично достъпна зона.
В повечето случаи операциите по обработване, които отговарят на два от следните критерии, следва да бъдат оценени чрез ОВЗД, като например:
- оценяване или точкуване;
- автоматизирано вземане на решения с правен или подобен значителен ефект;
- систематично наблюдение;
- чувствителни данни или данни от изключително личен характер;
- данни, обработвани в голям мащаб:
- съпоставяне или комбиниране на набори от данни;
- данни, отнасящи се до уязвими субекти на данни;
- иновативно използване или прилагане на нови технологични или организационни решения;
Когато обработването само по себе си възпрепятства физическите лица да упражняват право или да използват услуга или договор
Основен съвет във връзка с ОВЗД
Трябва да се свържете с органа за защита на данните на държавата от ЕИП, в която се намира Вашата организация, за да разберете дали разполага с публично достъпен документ, в който са изброени условията, при които операциите по обработване ще се нуждаят от ОВЗД, и за коя операция по обработване няма да е необходима ОВЗД.
Примери за това кога може да се изисква ОВЗД:
- обработване на биометрични данни, например сканиране на пръстови отпечатъци или лицеви характеристики с цел идентифициране на пациентите;
- използване на данни на уязвими лица за маркетингови цели, например за прогнозиране на техните покупки;
- мобилно приложение, което проследява местоположението на физическото лице.
Примери за това кога може да не се изисква ОВЗД
- предвидената операция по обработване е много подобна на обработка, която е била предмет на ОВЗД;
- обработването е включено в незадължителния списък на операциите по обработване (установени от Вашия национален орган за защита на данните), които не са предмет на ОВЗД;
- операцията по обработване е разрешена съгласно правото на ЕС или националното право.
Какво да включите в ОВЗД?
Вашата ОВЗД трябва да включва:
- описание на планираната операция по обработване и нейната цел;
- оценка на необходимостта и пропорционалността;
- рисковете, до които може да доведе операцията по обработване;
- мерките за справяне с рисковете.
Предварителна консултация по време на ОВЗД
Когато администраторът на данни не може да предвиди достатъчно мерки за намаляване на рисковете до приемливо ниво (т.е. остатъчните рискове все още са високи), се изисква консултация с органа за защита на данните. В този случай администраторът на данни трябва да предостави следната информация:
- съответните отговорности на администратора, съвместните администратори и обработващите лични данни, участващи в обработването;
- целта на операцията по обработване и начина на провеждане;
- предвидените мерки за защита на личните данни на физическите лица;
- данните за връзка с длъжностното лице по защита на данните на Вашата организация, ако е приложимо;
- въпросната ОВЗД.
След ОВЗД — тествайте, подобрете, проверете Вашата оценка!
След като вашата ОВЗД бъде изготвена, трябва да я тествате; да я подобрите, ако е необходимо; проведете Вашата операция по обработване; оценете наново дали вашата ОВЗД съответства на операцията по обработване; и извършете контролна проверка.
Прочетете повече
Работна група по член 29: Насоки относно оценката на въздействието върху защитата на данните (ОВЗД)
Новинарска зала на Европейската комисия
Национални списъци на видовете операции по обработка на данни, които изискват или не изискват оценка на въздействието върху защитата на данните
Комисия за защита на данните, Ирландски надзорен орган
Кодекси за поведение
В зависимост от това къде се намира Вашата организация в ЕИП, може да има асоциации или други органи, представляващи администратори на данни или обработващи лични данни. Тези сдружения и органи могат да изготвят кодекси за поведение, включително механизми за защита на данните, към които администраторите и обработващите лични данни могат да се придържат, за да се гарантира, че личните данни на физическите лица се спазват съгласно ОРЗД.
По-конкретно, въведените кодекси за поведение трябва да гарантират например:
- че личните данни се обработват по справедлив и прозрачен начин;
- че целите, за които се обработват личните данни на физическите лица, са законосъобразни;
- че се знае, как да се псевдонимизират личните данни;
- че се предоставя прозрачна информация на физическите лица, чиито лични данни се обработват;
- че по подходящ начин се търси съгласие за обработването на данни на физически лица, особено на лични данни, свързани с деца;
- че са въведени всички технически и организационни мерки, за да се гарантира сигурното обработване на данните на физическите лица;
- че се следват процедурите за уведомяване за нарушения на сигурността на личните данни;
- че се следват процедурите, включително гаранциите, свързани с предаването на лични данни на държави и организации извън ЕИП;
- че се следват процедури, свързани със съдебни производства и разрешаване на спорове.
Важен съвет
- Трябва да се свържете със съответната асоциация или орган, който изготвя кодекси за поведение, тъй като те могат да ви помогнат за спазването на ОРЗД.
Сертифициране
Какво представлява сертифицирането по ОРЗД?
Организация, която получава сертификат по ОРЗД, може да използва този сертификат, за да докаже съответствието на своите операции по обработване с Регламента.
Органите за защита на данните от ЕИП могат например да:
- издават сертификати по ОРЗД по отношение на собствената си схема за сертифициране;
- издават сертификати по ОРЗД по отношение на собствената си схема за сертифициране, но делегират целия или част от процеса на оценяване на трети страни;
- създават своя собствена схема за сертифициране и да възложат на конкретни органи да издават тези сертификати;
- насърчават пазара да разработва механизми за сертифициране;
- оценяват схемите за сертифициране на сертифициращите органи.
Сертифициращият орган е натоварен със задачата да издава, преразглежда и отнема сертификатите въз основа на одобрен механизъм за сертифициране и критерии.
Сертифициращите органи трябва да документират своята оценка на операциите по обработване във Вашата организация, за които може да бъде издаден сертификат по ОРЗД.
Моята организация е получила сертификат по ОРЗД, какво следва?
Сертифицирането на операция по обработване, която извършва Вашата организация, е валидно за максимум 3 години, но може да бъде подновено или отменено. За да запази това сертифициране, Вашата организация трябва непрекъснато и последователно да прилага на практика мерките, свързани с сертифицираната операция по защита на данните.