Блог

30 Apr

Задължения на Администраторите на лични данни по Регламент /ЕС/2016/679 на Европейския парламент и на Съвета от 27.04.2016 г.

Borislava Apostolova 0

                        Със започването на прилагането на новия Регламент /ЕС/2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. /“Регламента“/ отпада задължението на Администраторите на лични данни/“АЛД“/ за регистрация в националния регулатор- Комисия за защита на личните данни. Въпреки това те са длъжни да водят отчетност относно обработването на лични данни и да са в положение във всеки момент да могат да докажат съответното обработване на лични данни и целта му.

                          За да припомним понятията АЛД и Обработващ лични данни /“ОЛД“/ използваме определенията, дадени в чл.4, т.7 и т.8 от Регламента:

                             „Администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка“;

                            „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора“.

                         АЛД е длъжен да води регистри и при нужда да допуска и предоставя на членове на Комисията за защита на лични данни/“Комисията“/ достъп до своите регистри. Съгласно действащия в момента Закон за защита на личните данни – чл. 22, ал.3-„ Наличието на търговска, производствена или друга защитена от закона тайна не може да бъде основание за отказ от съдействие от страна на администратора.“

                       В тези регистри следва да се впише основно следната информация:

                  АЛД е длъжен да предприеме необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване. АЛД определя срокове за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за заличаване на личните данни. Целта е да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. По-специално, подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.

                    С цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на Регламента, АЛД или ОЛД следва да извърши оценка на рисковете, свързани с обработването, и да предприеме мерки за ограничаване на тези рискове, например криптиране. Тези мерки следва да гарантират подходящо ниво на сигурност, включително поверителност, като се вземат предвид достиженията на техническия прогрес и разходите по изпълнението спрямо рисковете и естеството на личните данни, които трябва да бъдат защитени. При оценката на риска за сигурността на данните следва да се разгледат рисковете, произтичащи от обработването на лични данни, като случайно или неправомерно унищожаване, загуба, промяна, неправомерно разкриване, или достъп до предадени, съхранявани или обработвани по друг начин лични данни, което може по-конкретно да доведе до физически, материални или нематериални вреди.

                   Когато в оценка на въздействието върху защитата на личните данни е указано, че операциите по обработването водят до висок риск, който АЛД не може да ограничи с подходящи мерки от гледна точка на налични технологии и разходи за прилагане, преди обработването следва да се осъществи консултация с надзорния орган.

            Като взема предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и породените от обработването рискове с различна вероятност и тежест за правата и свободите на физическите лица, АЛД въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, например псевдонимизация, които са разработени с оглед на ефективното прилагане на принципите за защита на данните, например свеждане на данните до минимум, и интегриране на необходимите гаранции в процеса на обработване, за да се спазят изискванията на Регламента и да се осигури защита на правата на субектите на данни.

              Придържането към одобрени кодекси за поведение, посочени в член 40 от Регламента или одобрени механизми за сертифициране, посочени в член 42 от Регламента, може да се използва като елемент за доказване на спазването на задълженията на администратора.

                  В случай на пробив на данните, АЛД е длъжен да документира всяко нарушение, да уведоми КЗЛД в срок до 72 часа от узнаването в кратка форма, както и да уведоми субекта на данните при вероятност от висок риск за правата и свободите им. Уведомлението трябва да е незабавно, на прост език, без излишно забавяне, с описание на нарушението, евентуални последици, взетите мерки. Уведомление не е нужно, ако данните са неразбираеми за трети лица /криптирани/, взети да адекватни мерки или това изисква непропорционални усилия- в последния случай се обявява публично съобщение.

 

               АЛД или ОЛД следва да обезщетят всички вреди, които дадено лице може да претърпи в резултат на обработване на данни, което нарушава Регламента. АЛД или ОЛД следва да бъдат освободени от отговорност, ако докажат, че по никакъв начин не са отговорни за вредите. Понятието „вреда“ следва да се тълкува в по-широк смисъл в контекста на съдебната практика на Съда по начин, който отразява напълно целите на Регламента. Това не засяга евентуални искове за вреди, произтичащи от нарушаване на други правила на правото на Съюза или правото на държава членка. Обработване на данни, което нарушава Регламента, включва и обработване, което нарушава делегираните актове и актовете за изпълнение, приети в съответствие с него, и правото на държава членка, конкретизиращо правилата на Регламента. Субектите на данни следва да получат пълно и действително обезщетение за претърпените от тях вреди. Когато АЛД или ОЛД участват в едно и също обработване на данни, всеки администратор или обработващ лични данни следва да носи отговорност за цялата вреда. Когато обаче те са обединени в едно съдебно производство, в съответствие с правото на държава членка, обезщетението може да се разпределели съобразно отговорността на всеки АЛД или ОЛД за причинената от обработването вреда, при условие че на претърпелия вреда субект на данни бъде осигурено пълно и действително обезщетение. Всеки администратор или обработващ лични данни, който е изплатил пълно обезщетение, може впоследствие да предяви регресен иск срещу другите администратори или обработващи лични данни, участвали в същото обработване.