Неделна разходка 9: Какво пише в писмото ми до КЗЛД, което ще изпратя утре

Защо АПИ, МВР и Агенция Митници трябва да публикуват три оценки на въздействието върху защита на личните данни заради висок риск за правата и свободите на физическите лица във връзка с прилагането на Инструкцията за обмена на информация, условията и реда за достъп до информационни системи за целите на осъществяване на контрол, установяване и санкциониране на нарушения, свързани със събиране на пътни такси между АПИ, МВР, Агенция Митници?

До Комисия за защита

на личните данни

Уважаеми г-н Председател, Уважаеми членове,

На 6 март изтича срокът на общественото обсъждане на Проекта на Инструкция за обмена на информация, условията и реда за достъп до информационни системи за целите на осъществяване на контрол, установяване и санкциониране на нарушения, свързани със събиране на пътни такси между АПИ, МВР, Агенция Митници. Общественото обсъждане започна на 21 февруари и е предвидено да продължи 14 дни заради старта на тол системата на 1 март. Смятам за уместно КЗЛД да поиска публикуването на трите оценки на въздействието от прилагането на практика на въпросния проект на инструкция поради следните причини:

В Насоките относно оценката на въздействието върху защитата на данни (ОВЗД) и определяне дали съществува вероятност обработването „да породи висок риск“ за целите на Регламент 2016/679 на РГ по чл. 29 са изброени основанията за извършване на ОВЗД. В проекта на инструкция има поне три основания за извършването й.

Съгласно ОРЗД администраторите са длъжни да въведат подходящи мерки, за да гарантират и да бъдат в състояние да докажат, че спазват ОРЗД, като вземат предвид, наред с другото, „рисковете с различна вероятност и тежест за правата и свободите на физическите лица“ (член 24, параграф 1). Задължението на администраторите да извършват ОВЗД при определени обстоятелства следва да се разбира в контекста на общото им задължение да управляват по подходящ начин рисковете, породени от обработването на лични данни.

„Риск“ означава сценарий, описващ дадено събитие и неговите последици, оценени от гледна точка на тяхната тежест и вероятност. От друга страна „управление на риска“ може да се определи като координирани дейности за ръководенето и контролирането на дадена организация във връзка с риска.

В член 35 се посочва вероятността от висок риск „за правата и свободите на физическите лица“. Както се посочва в изготвеното от Работната група за защита на личните данни по член 29 изявление относно ролята на основания на анализ на риска подход към правните рамки за защита на данните, посочването на „правата и свободите“ на субектите на данни е свързано най-вече с правата за защитата на личните данни и неприкосновеността на личния живот, но може да включва и други основни права, като например свободата на словото, свободата на мисълта, свободата на движение, забраната за дискриминация, правото на свобода и свободата на съвестта и религията.

В съответствие с основания на анализ на риска подход, залегнал в ОРЗД, извършването на ОВЗД не е задължително за всяка операция по обработване. Вместо това ОВЗД се изисква само когато съществува вероятност определен вид обработване „да породи висок риск за правата и свободите на физическите лица“ (член 35, параграф 1). При все това самият факт, че не са налице условията, при които извършването на ОВЗД е задължително, не намалява общото задължение на администраторите да въведат мерки, за да управляват по подходящ начин рисковете за правата и свободите на субектите на данни. На практика това означава, че администраторите трябва непрекъснато да оценяват рисковете, които се пораждат от техните дейности по обработване, за да идентифицират кога съществува вероятност определен вид обработване „да породи висок риск за правата и свободите на физическите лица“.

  • ОВЗД следва да бъде извършена „преди да бъде извършено обработването“ (член 35, параграфи 1 и 10, съображения 90 и 93). Това съответства на принципите за защита на данните на етапа на проектирането и по подразбиране (член 25 и съображение 78). ОВЗД следва да се разглежда като инструмент, който подпомага вземането на решения относно обработването.
  • ОРЗД не включва правно изискване за публикуването на ОВЗД, администраторът сам решава дали да направи това. При все това администраторите следва да обмислят публикуването най-малкото на части от оценката, например на резюме или на заключението от своята ОВЗД.

И още от Насоките: „Когато операцията по обработване включва съвместни администратори, те трябва да определят прецизно своите задължения. В тяхната ОВЗД следва да се посочва коя страна отговаря за различните мерки за третиране на рисковете и за защита на правата и свободите на субектите на данни. Всеки администратор следва да посочи своите потребности и да споделя полезна информация, без да разкрива тайни (например защита на търговски тайни, интелектуална собственост, поверителна търговска информация) или да оповестява слабости.

ОВЗД също така може да бъде полезна за оценяване на въздействието върху защитата на данните на даден технологичен продукт, например хардуер или софтуер, когато има вероятност той да се използва от различни администратори за извършване на различни операции по обработване. Естествено администраторът, който въвежда продукта, продължава да носи отговорност за извършването на своя ОВЗД по отношение на конкретното изпълнение, но при нейното извършване той може да използва като основа изготвена от доставчика на продукта ОВЗД, ако е целесъобразно. Като пример могат да бъдат посочени отношенията между производителите на интелигентни измервателни уреди и дружествата за комунални услуги. Всеки доставчик на продукт или обработващ лични данни следва да споделя полезна информация, без да разкрива тайни или да създава рискове за сигурността, като оповестява слабости.

… Освен ако операцията по обработване не отговаря на едно от изключенията (III.Б.а), трябва да се извърши ОВЗД, когато съществува вероятност операцията по обработване „да породи висок риск“ (III.Б.б).

… Съгласно ОРЗД не се изисква да се извършва ОВЗД за всяка операция по обработване, която може да породи рискове за правата и свободите на физическите лица. Извършването на ОВЗД е задължително само когато съществува вероятност обработването „да породи висок риск за правата и свободите на физическите лица“ (член 35, параграф 1, както е илюстрирано в член 35, параграф 3 и допълнено от член 35, параграф 4). Това е от особено значение, когато се въвежда нова технология за обработване на данни.

България има и Списък на видовете операции по обработване на лични данни, за които се изисква извършване на оценка за въздействие върху защитата на данните съгласно чл. 35, пар. 4 от Регламент (ЕС) 2016/679:

  1. I) Общи положения

Настоящият списък на операциите по обработване на лични данни, за които се изисква извършване на оценка на въздействието върху защитата на данните, е приет от Комисията за защита на личните данни на основание чл. 35, пар. 4 от Регламент (ЕС) 2016/679, след получаване на становище от Европейския комитет по защита на данните в рамките на механизма за съгласуваност.

Настоящият списък е неизчерпателен, като същият може да бъде актуализиран при необходимост, по реда на неговото приемане.

Целта на настоящия списък е да подпомогне администраторите при изпълнение на задължението им по чл. 35, пар. 1 от Регламент (ЕС) 2016/679 да извършват оценка на въздействието винаги, когато съществува вероятност определен вид обработване да поради висок риск за правата и свободите на физическите лица, дори и когато операциите по обработване не са посочени в настоящия списък.

Настоящият списък е съставен въз основа на Насоки относно оценката на въздействието върху защитата на данните (ОВЗД) и определяне дали съществува вероятност обработването „да породи висок риск” за целите на Регламент (ЕС) 2016/679, приети от Работна група по чл. 29 на 4 април 2017 г., последно преработени и приети на 4 октомври 2017 г., впоследствие потвърдени от Европейския комитет по защита на данните на 25 май 2018 г.

  1. II) Видове операции по обработване, които изискват извършване на оценка на въздействието върху защитата на данните

Администраторите на лични данни, чието основно или единствено място на установяване е на територията на Република България, следва да извършват оценка на въздействието върху защитата на обработваните от тях лични данни във всички случаи, когато съществува вероятност определен вид обработване да породи висок риск за правата и свободите на субектите на данни, вкл. в случаите по чл. 35, пар. 3 от Регламент (ЕС) 2016/679, както и при следните видове операции по обработване:

  1. Мащабно обработване на биометрични данни за целите на уникалната идентификация на физическо лице, което не е спорадично.
  2. Обработване на генетични данни с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен.
  3. Обработване на данни за местоположение с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен.
  4. При невъзможност за предоставяне на информация на субекта на данни по чл. 14 от Регламент (ЕС) 2016/679 или ако предоставянето на тази информация изисква несъразмерно големи усилия, или има вероятност да направи невъзможно, или сериозно да затрудни постигането на целите на обработване, когато това е свързано с мащабно обработване на данни.
  5. Обработване на лични данни, осъществявано от администратор с основно място на установяване извън ЕС, когато определеният за негов представител в ЕС е разположен на територията на Република България.
  6. Редовно и систематично обработване, при което предоставянето на информацията по чл. 19 от Регламент (ЕС) 2016/679 от администратора на субекта на данни е невъзможно или изисква несъразмерно големи усилия.
  7. Обработване на лични данни на деца при пряко предлагане на услуги на информационното общество.
  8. Осъществяване на миграция на данни от съществуващи към нови технологии, когато това е свързано с мащабно обработване на данни.

В самия портал за обществени консултации се обяснява какво е оценка на въздействието и кога се извършва:

http://www.strategy.bg/StaticPages/CalculatingManual.aspx?guidanceType=1&sectionName=Part10

ГЛАВА ПЪРВА. ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО – СЪЩНОСТ

1.1. Оценката на въздействието на законодателството е инструмент за изследване на ефектите от различните варианти на действие за разрешаване на съществуващи проблеми от гледна точка на разходите, ползите и рисковете свързани с тях.

1.2.  Оценката на въздействието гарантира, че процесът на вземане на решения се базира на доказателства и данни, събрани чрез консултации със заинтересованите страни.

2.1. Освен за предложения, от които се очаква да има значителни последици,  един проект на нормативен акт трябва да бъде придружен от оценка на въздействието, когато това е предвидено в законодателната и оперативната програма на Министерския съвет.

2.2. Оценка на въздействието е необходима и когато се приемат мерки на национално ниво за осигуряване прилагането на пряко приложимите актове на ЕС. Когато става въпрос за транспониране на директиви на ЕС или за приемане на мерки за прилагането на актове на ЕС, оценка на въздействието на проекта на нормативен акт може да бъде извършена при спазване на условията, залегнали в съответния акт на ЕС. Оценката на въздействието обхваща специфичните национални аспекти на въвежданото европейско законодателство, за които в съответните европейски и международни актове няма изготвена оценка на въздействието.

3.1. Ключовите аналитични стъпки на оценката на въздействието са:

  1. дефиниране на проблема;
  2. определяне на целите;
  3. разработване на основни варианти на действие;
  4. анализ на въздействията на вариантите;
  5. сравняване на вариантите;
  6. мониторинг и оценяване.

3.2. Ключовите аналитични стъпки са детайлно описани в трети дял на настоящото ръководство.

След всичко изброено мисля, че стана ясно защо и трите оценки на въздействието трябва да бъдат публикувани.

 

Можете да споделите: