Хакерът е арестуван, какво следва на направи НАП според GDPR?

НАП ще трябва да извърши оценка на въздействието върху защитата на данни (ОВЗД), за да спази изискванията на GDPR

Какво следва да направи НАП според европейските норми? Изчерпателна информация може да се намери в Насоките относно оценката на въздействието върху защитата на данни (ОВЗД) и определяне дали съществува вероятност обработването „да породи висок риск“ за целите на Регламент 2016/679 на Работна група по чл.29 от Директива 95/46/ЕО – закрита със създаването на Европейския комитет по защита на данните.

Особено важен момент при прилагането на тези насоки е приетият на 6 февруари 2019 г. от Комисията за защита на личните данни списък на видовете операции по обработване на лични данни, за които се изисква извършване на оценка на въздействието върху защитата на данните съгласно чл. 35, пар. 4 от Регламент (ЕС) 2016/679.

Целта на списъка е да подпомогне администраторите при изпълнение на задължението им по чл. 35, пар. 1 от Регламент (ЕС) 2016/679 да извършват оценка на въздействието винаги, когато съществува вероятност определен вид обработване да поради висок риск за правата и свободите на физическите лица. Същият е неизчерпателен и при необходимост може да бъде актуализиран.

Списък на видовете операции по обработване на лични данни, за които се изисква извършване на оценка за въздействие върху защитата на данните съгласно чл. 35, пар. 4 от Регламент (ЕС) 2016/679

I) Общи положения

Настоящият списък на операциите по обработване на лични данни, за които се изисква извършване на оценка на въздействието върху защитата на данните, е приет от Комисията за защита на личните данни на основание чл. 35, пар. 4 от Регламент (ЕС) 2016/679, след получаване на становище от Европейския комитет по защита на данните в рамките на механизма за съгласуваност.

Настоящият списък е неизчерпателен, като същият може да бъде актуализиран при необходимост, по реда на неговото приемане.

Целта на настоящия списък е да подпомогне администраторите при изпълнение на задължението им по чл. 35, пар. 1 от Регламент (ЕС) 2016/679 да извършват оценка на въздействието винаги, когато съществува вероятност определен вид обработване да поради висок риск за правата и свободите на физическите лица, дори и когато операциите по обработване не са посочени в настоящия списък.

Настоящият списък е съставен въз основа на Насоки относно оценката на въздействието върху защитата на данните (ОВЗД) и определяне дали съществува вероятност обработването „да породи висок риск” за целите на Регламент (ЕС) 2016/679, приети от Работна група по чл. 29 на 4 април 2017 г., последно преработени и приети на 4 октомври 2017 г., впоследствие потвърдени от Европейския комитет по защита на данните на 25 май 2018 г.

II) Видове операции по обработване, които изискват извършване на оценка на въздействието върху защитата на данните

Администраторите на лични данни, чието основно или единствено място на установяване е на територията на Република България, следва да извършват оценка на въздействието върху защитата на обработваните от тях лични данни във всички случаи, когато съществува вероятност определен вид обработване да породи висок риск за правата и свободите на субектите на данни, вкл. в случаите по чл. 35, пар. 3 от Регламент (ЕС) 2016/679, както и при следните видове операции по обработване:

  1. Мащабно обработване на биометрични данни за целите на уникалната идентификация на физическо лице, което не е спорадично.
  2. Обработване на генетични данни с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен.
  3. Обработване на данни за местоположение с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен.
  4. При невъзможност за предоставяне на информация на субекта на данни по чл. 14 от Регламент (ЕС) 2016/679 или ако предоставянето на тази информация изисква несъразмерно големи усилия, или има вероятност да направи невъзможно, или сериозно да затрудни постигането на целите на обработване, когато това е свързано с мащабно обработване на данни.
  5. Обработване на лични данни, осъществявано от администратор с основно място на установяване извън ЕС, когато определеният за негов представител в ЕС е разположен на територията на Република България.
  6. Редовно и систематично обработване, при което предоставянето на информацията по чл. 19 от Регламент (ЕС) 2016/679 от администратора на субекта на данни е невъзможно или изисква несъразмерно големи усилия.
  7. Обработване на лични данни на деца при пряко предлагане на услуги на информационното общество.
  8. Осъществяване на миграция на данни от съществуващи към нови технологии, когато това е свързано с мащабно обработване на данни.

Според Насоките относно оценката на въздействието върху защитата на данни на Работна група по чл.29 НАП може да се възползва от добри практики при  ОВЗД като тази да се поиска становището на независими експерти от различни области (адвокати, ИТ експерти, експерти по сигурността, социолози, експерти по етични стандарти и др.).

Според Насоките изискването за извършване на ОВЗД се прилага към съществуващи операции по обработване, при които съществува вероятност да породят висок риск за правата и свободите на физическите лица и по отношение на които е настъпила промяна в рисковете, като се вземат предвид естеството, обхватът, контекстът и целите на обработването.

ОВЗД не е необходима за операции по обработване, които са били проверени от надзорен орган или от длъжностното лице по защита на данните в съответствие с член 20 от Директива 95/46/ЕО и които се извършват по начин, който не се е променил след предишната проверка. В действителност „приетите от Комисията решения и разрешенията на надзорните органи въз основа на Директива 95/46/ЕО остават в сила, докато не бъдат изменени, заменени или отменени“ (съображение 171).

От друга страна това означава, че на ОВЗД следва да подлежи всяко обработване на данни, чиито условия за изпълнение (обхват, цел, събрани лични данни, самоличност на администраторите или получателите, срок на задържане на данните, технически и организационни мерки и др.) са се променили след предишната проверка, извършена от надзорния орган или от длъжностното лице по защита на данните, и при което съществува вероятност да породи висок риск.

Освен това би могла да се изисква ОВЗД след промяна в рисковете, породени от операциите по обработване, например защото започва да се използва нова технология или защото личните данни се използват за различна цел. Операциите по обработване на данни могат да се развият бързо и могат да възникнат нови слабости. Поради това следва да се отбележи, че преразглеждането на ОВЗД не само е от полза за постигането на постоянни подобрения, но е от решаващо значение за поддържането на същото равнище на защита на данните в условията на променяща се с времето среда. ОВЗД може да стане необходима и поради промяна в организационния или обществения контекст за дейността по обработване, например защото последиците от определени автоматизирани решения са станали по-сериозни или защото нови категории субекти на данни са станали уязвими на дискриминация. Всеки от тези примери би могъл да представлява елемент, който води до промяна на риска, произтичащ от съответната дейност по обработване.

От друга страна някои промени също така биха могли да понижат риска. Например дадена операция по обработване може да се развие по такъв начин, че решенията вече да не са автоматизирани или, в случай на дейност по наблюдение, то вече да не е систематично. В такъв случай преразглеждането на извършения анализ на риска може да покаже, че вече не се изисква извършване на ОВЗД.

Съгласно добрата практика ОВЗ  следва постоянно да се преразглежда и да подлежи на редовна повторна оценка. Поради това дори ако към 25 май 2018 г. не се изисква ОВЗД, в подходящ момент администраторът ще трябва да извърши такава ОВЗД като част от общите си задължения за отчетност.

Г. Как следва да бъде извършена ОВЗД?

а) В кой момент следва да бъде извършена ОВЗД? Преди да бъде извършено обработването. ОВЗД следва да бъде извършена „преди да бъде извършено обработването“ (член 35, параграфи 1 и 10, съображения 90 и 93). Това съответства на принципите за защита на данните на етапа на проектирането и по подразбиране (член 25 и съображение 78). ОВЗД следва да се разглежда като инструмент, който подпомага вземането на решения относно обработването.

Извършването на ОВЗД следва да започне на възможно най-ранен етап от проектирането на операцията по обработване, дори ако някои от операциите по обработване все още не са известни. Актуализирането на ОВЗД през целия жизнен цикъл на проекта ще гарантира, че се отчитат защитата на данните и неприкосновеността на личния живот, което ще стимулира създаването на решения, с които се насърчава спазването. Освен това е възможно да бъде необходимо да се повторят отделните стъпки от оценката с напредването на процеса по разработване, защото подборът на определени технически или организационни мерки може да окаже въздействие върху тежестта и вероятността на рисковете, породени от обработването.

Фактът, че може да се наложи актуализиране на ОВЗД след реалното започване на обработването, не е основателна причина да се отложи или да не се извърши ОВЗД. ОВЗД е текущ процес, особено когато операцията по обработване е динамична и подлежи на текущи промени. Извършването на ОВЗД е постоянен процес, а не еднократно действие.

 

Можете да споделите: