Защита на личните данни

Примерен алгоритъм за прилагане на изискванията по защита на личните данни

Увод

Защитата на правата на физическите лица (субекти) при обработването на личните им данни се урежда със Закон за защитата на личните данни в Република България. От 25 май 2018 г. се прилага пряко във всички държави-членки на Европейския съюз Общ Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета, отменящ предходен документ – Директива 95/46/ЕО. Регламентът има за цел да се определят правилата по отношение на защитата на физическите лица при обработването и свободното движение на личните им данни.

Правна рамка на ЕС:
– Общ регламент за защита на личните данни (Регламент (ЕС) 2016/679)
– Директива за защита на личните данни в полицейската и наказателната дейност (Директива (ЕС) 2016/680)

Национална правна рамка:
– Конституция на Република България
– Закон за защита на личните данни
– Закон за електронните съобщения
– Правилник за дейността на Комисията за защита на личните данни и нейната администрация
Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни (отменена)
– Инструкция №1 от 21 декември 2016г. за обстоятелствата, при които предприятията, предоставящи обществени електронни съобщителни услуги, уведомяват потребителите за нарушения на сигурността на личните данни, формата и начина на уведомяването

Обща част

Прилагането на правилата по Регламент (ЕС) 2016/679 във всяко дружество може да се разглежда условно на три етапа:
– подготовка на средата в която ще се обработват лични данни;
– обработка на лични данни;
– действия при нарушение на сигурността на личните данни.

Дейностите по защита на личните данни се извършват от администратор, съвместен администратор или обработващ лични данни.

Забележка: Дружествата следва да имат изготвен анализ на текущото си състояние по отношение на защитата на личните данни, на база на който се установяват разликите и несъответствие с изискванията. Нарушенията на разпоредбите на Регламента на ЕС се наказват с административни наказания от държавните контролни органи с глоби или имуществени санкции до 20 млн. евро или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока.

Дефиниции:

Съгласно чл.2, ал.1 от ЗЗЛД, лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.
Лични данни са:
– физическа идентичност: имена, ЕГН, адрес, телефон, месторождение, паспортни данни на лицето;
– семейна идентичност: семейно положение и родствени връзки;
– трудова дейност: професионална биография;
– медицински данни: здравен статус, психологическо и/или умствено състояние, сексуална ориентация;
– обществена идентичност: расов или етнически произход, политически, религиозни или философски убеждения;
– икономическа идентичност: имотно състояние, финансово състояние, участие и/или притежаване на дялове или ценни книжа на дружества и др.

Администратор означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.

Обработващ лични данни означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.

Администраторът и обработващият лични данни определят длъжностно лице по защита на данните във всички случаи, когато:
– Обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
– Основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни; или
– Основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни (съгласно член 9 от Регламента) и на лични данни, свързани с присъди и нарушения, (съгласно член 10 от Регламента).

Длъжностното лице отговаря за обучението на служителите в дружеството за спазване на изискванията на Регламента,  и провеждане на редовни одити по отношение на сигурността. Длъжностното лице представлява контактно звено между компанията и всички надзорни органи, които осъществяват контрол върху дейностите, свързани с личните данни.

Задължението за регистрация на Администратора в Комисията за защита на личните данни отпада, считано от 25 май 2018 г.

1. Подготовка на средата в която ще се обработват лични данни.

За тази цел трябва да се направи Оценка на въздействие и уязвимости, да се осигури минималното ниво на технически и организационни мерки при обработване на лични данни и допустимия вид защита.

Забележка: Администраторът извършва подготовка на средата за сигурност задължително след Оценка (анализ) на въздействие (риск) за нарушение на сигурността на личните данни! Анализът трябва да бъде базиран на стандартизирани методики за оценки на видовете сигурност за да е правно убедителен, с ясни качествени и количествени характеристики за всеки параметър от средата в която ще се обработват личните данни на физическите лица.

Забележка: Администраторът определя съответно ниво на защита в зависимост от нивото на въздействие. Нивото на защита представлява съвкупност от технически и организационни мерки за физическа, персонална, документална защита и защита на автоматизираните информационни системи и/или мрежи, както и криптографска защита на личните данни.

Забележка: Сертифицирането на администраторите и обработващия лични данни, се реализира от сертифициращи органи или от компетентния надзорен орган. Сертифицирането е доброволно и е достъпно чрез процедура, която е прозрачна.

2. Обработка на лични данни.

2.1. Задължения на администратора на лични данни:
– администраторът може да определи едно или повече лица по защита на личните данни;
– определя политиката за защита на личните данни в организацията;
– приема инструкция за защита на личните данни;
– осигурява организацията по водене на регистрите;
– прилага конкретни мерки за защита съобразно спецификата на водените регистри;
– осъществява контрол по спазване на изискванията за защита на регистрите, установява обстоятелства, свързани с нарушаване на тяхната защита, и предприема мерки за тяхното отстраняване;
– актуализира поддържаните регистри с лични данни;
– въвежда псевдонимизация за защита на данните;
– извършва периодична оценка на въздействието;
– оказва съдействие при осъществяване на контролните функции на Комисията за защита на личните данни.

Забележка: Задълженията на администратора и обработващият лични данни са подробно описани в Глава IV на Регламента.

2.2. Условия за даване на съгласие. Обработването на лични данни става само чрез доказуемо съгласие от субекта – физическо лице.

2.3. Условията, приложими за съгласието на дете са, ако детето е поне на 16 години. Ако детето е под 16 години това обработване е законосъобразно само ако и доколкото такова съгласие е дадено или разрешено от носещия родителска отговорност за детето.

2.4. Забранява се обработване на специални категории лични данни. Това са разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице. Забраната не е в сила ако: субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели; обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила; обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие; и други, съгласно чл. 9 от Регламента.

2.5. Обработване на лични данни, свързани с присъди и нарушения. Извършва се само под контрола на официален орган или когато обработването е разрешено от правото на Съюза или правото на държава членка, в което са предвидени подходящи гаранции за правата и свободите на субектите на данни.

2.6. Прозрачност и условия.
Администраторът предприема необходимите мерки за предоставяне на всякаква информация, която се отнася до обработването, на субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език, особено що се отнася до всяка информация, конкретно насочена към деца.

2.7. Субектът има право на достъп до личните си данни в процеса на обработка.

2.8. Право на коригиране, ограничаване, изтриване и преносимост от страна на субекта.

2.9. Право на възражение и автоматизирано вземане на индивидуални решения от страна на субекта.

2.10. Сигурност на обработването:
– псевдонимизация и криптиране на личните данни;
– способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
– способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
– процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

2.11. Оценка на въздействието върху защитата на данните и предварителни консултации.
– съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, администраторът извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни. В една оценка може да бъде разгледан набор от сходни операции по обработване, които представляват сходни високи рискове;
– администраторът се консултира с надзорния орган преди обработването, когато оценката на въздействието върху защитата на данните покаже, че обработването ще породи висок риск, ако администраторът не предприеме мерки за ограничаване на риска.

2.12. Предаване на лични данни на трети държави или международни организации.
Предаване на лични данни, които се обработват или са предназначени за обработване след предаването на трета държава или на международна организация, се осъществява само при условие че са спазени другите разпоредби на Регламента.

3. Действия при нарушение на сигурността на личните данни.

3.1. Уведомяване на надзорния орган за нарушение на сигурността на личните данни:
– в случай на нарушение на сигурността на личните данни администраторът, без ненужно забавяне и когато това е осъществимо, не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни надзорния орган, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Уведомлението до надзорния орган съдържа причините за забавянето, когато не е подадено в срок от 72 часа;
– обработващият лични данни уведомява администратора без ненужно забавяне, след като узнае за нарушаване на сигурността на лични данни;
– когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне;
– администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него.

3.2. Съобщаване на субекта на данните за нарушение на сигурността на личните данни:
– когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни;
– в съобщението до субекта на данните на ясен и прост език се описва естеството на нарушението на сигурността на личните данни и се посочват най-малко информацията и мерките;
– администраторът може да не уведоми субекта ако е предприел мерки, описани в Регламента;
– ако администраторът все още не е съобщил на субекта за нарушението на сигурността на личните данни, надзорният орган може, след като отчете каква е вероятността нарушението на сигурността на личните данни да породи висок риск, да изиска от администратора да съобщи за нарушението или да реши, че е изпълнено някое от условията по предишния параграф.

Приложна част
Всяко дружество изготвя правила по прилагане на Регламента. Най-общо, това са дейности и документи, имащи за цел да обезпечат коректно обработката на личните данни.

4. Изготвяне оценка на въздействие и определяне на нивата на защита чрез стандартизирани методики за всичките видове сигурност. Това включва качествено и количествено остойностена фактическа информация в протоколи, на базата на които се изготвят съответните анализи.

5. Препоръки по отстраняването на уязвимостите.

6. Изготвяне на инструкция, съобразена с особеностите на дружеството, по прилагане на всички аспекти от Регламента.

7. Изготвяне на типови документи – образци декларации, заявления и искания.

8. Предложение за вписване на новите дейности в длъжностните характеристики на лицата, обработващи лични данни.

9. Изготвяне на стандартни процедури при нарушение на сигурността на личните данни (може да се впише в инструкцията).

10. Други документи в зависимост от характера на обработването и/или предоставянето на трети лица лична информация.

Заключение

В примерния алгоритъм за прилагане правилата по защита на личните данни се използват цитати от документите в сайта на Комисия по защита на личните данни – https://www.cpdp.bg/?p=rubric&aid=2. Целта на авторите е да се даде практическа идея за реализация на Регламент (ЕС) 2016/679 в дейностите на дружествата и на настоящия работен етап представлява схема за оценка на риска и метод за работа, в която не са включени практическите чек-листи както и юридически детайли.

Разработили:

д-р Николай Табальов
инж. Николай Иванов