През миналата година само двама администратори на лични данни са поискали консултации с надзорния орган

По чл. 36 от GDPR КЗЛД трябва да се произнесе, за да се определят подходящи технически и организационни мерки, които да свалят високото ниво на риск

Само двама администратори са потърсили Комисията за защита на личните данни за предварителна консултация по чл. 36 от Регламент (ЕС) 2016/679, пише в годишния отчет на ведомството.

Това е изключително странно като се има предвид бумът на създаване на всякакви портали в държавната администрация или мобилни приложения в частния бизнес. Да не говорим за Ковид сайтове, приложения, карти и портали.

Нямам обяснение защо администраторите не питат Комисията. Безплатно е! А така ще сте спокойни и защитени от изнудвачи! От неоснователни претенции на юридически неграмотни майки, от самозвани компютърни специалисти и други ненормалници.

Какво пише в отчета:

Предварителната консултация по чл. 36 от Регламент (ЕС) 2016/679 (ОРЗД, Регламента) е част от контролните функции на КЗЛД и е в пряка връзка с извършването от администратор/обработващ лични данни на оценка на въздействието върху защитата на данните (ОВЗД) по чл. 35 от ОРЗД.

Значението и ролята на ОВЗД са пояснени в съображение 84 от Регламента: „За да се подобри спазването на настоящия регламент, когато има вероятност операциите по обработването да доведат до висок риск за правата и свободите на физическите лица, администраторът следва да отговаря за изготвянето на ОВЗД, за да се оценят по-специално произходът, естеството, спецификата и степента на този риск“. Самата ОВЗД се определя като процес, чиято цел е да опише обработването, да оцени неговата необходимост и пропорционалност и да спомогне за управлението на рисковете за правата и свободите на физическите лица, произтичащи от обработването на лични данни, като ги оцени и определи мерки за справяне с тези рискове. От друга страна, ОВЗД представлява важен инструмент за отчетност, тъй като помага на АЛД не само да спазят изискванията на ОРЗД, но и да демонстрират, че са предприети подходящи мерки за гарантиране спазването на Регламента.

Минималното съдържание на ОВЗД е посочено в чл. 35, пар. 7 от Регламента, а в пар. 3 на същата норма се посочва кога задължително следва такава да се извърши. На сайта на КЗЛД е публикуван и „Списък на видовете операции по обработване на лични данни, за които се изисква извършване на оценка за въздействие върху защитата на данните съгласно чл. 35, пар. 4 от Регламент (ЕС) 2016/679“. ОВЗД следва да се направи, преди да започне самото обработване, а задължено да извърши ОВЗД лице е администраторът на лични данни заедно с длъжностното лице по защита на данните, ако има определено такова.

Когато ОВЗД покаже, че остатъчните рискове са високи и администраторът не може да установи достатъчни мерки за намаляване на тези рискове до приемливо равнище, задължително се осъществява консултация с надзорния орган. Преди да започне консултацията, АЛД представя на надзорния орган цялата информация, посочена в чл. 36, пар. 3 от Регламента.

Целта на предварителната консултация по чл. 36 от Регламента е да се определят от АЛД и с помощта на надзорния орган подходящи технически и организационни мерки, които да свалят високото ниво на риск, показано от ОВЗД, до приемливи за целта на обработването нива.

Ако по време на консултацията не се постигне такъв резултат, надзорният орган следва да даде писмено становище на администратора, с което изразява мнение, че планираното обработване не е в съответствие с разпоредбите, посочени в чл. 36, пар. 2 от Регламента. Надзорният орган може да използва и всяко от правомощията си по чл. 58 от Регламента, за да ограничи или спре такова обработване, докато администраторът не намери подходящи мерки за намаляване на високия риск до приемливо равнище.

През 2020 г. Комисията е била адресат на две искания за предварителна консултация по чл. 36 от ОРЗД. В първия случай АЛД иска да постави на своите паркинги система за видеонаблюдение, която посредством камери, монтирани на входовете и изходите на паркингите към магазините, ще заснема регистрационните номера на влизащите и излизащите МПС. По икономически съображения няма да се използват бариери. Планира да определи безплатен престой до 2 часа, като престоят за по-голям период да бъде платен, за което физическите лица да бъдат информирани от информационни табели с текст и пиктограми както на входовете към паркингите, така и на самите паркинги. Системата за видеозаснемане ще извършва анализ за времето на престой и ще сигнализира на охраната при превишаване на безплатния престой, като последната ще поставя скоби на автомобилите до заплащане на престоя.

Анализът на престоя на МПС ще се извършва от системата след снимка с висока резолюция, която обхваща само регистрационния номер и част от предницата на МПС. Достъп до системата ще има само с потребителско име и парола от имащите право лица, а хардуерът ще се помещава в помещение с ограничен достъп с чип. Съхранението на данните е за три денонощия, след което данните се изтриват чрез презаписване. При спорове принтирани снимки ще бъдат съхранявани до окончателното разрешаване на спора в заключващи се помещения и шкафове/трезори.

Направената ОВЗД посочва, че липсата на бариери занижава вниманието на преминаващите субекти и е възможно те да не забележат информационните табели, а в крайна сметка поставянето на скоби на МПС за просрочен престой (над 2 часа) ще доведе до ограничаване правата на субектите. Последното се изразява в негативните последици от блокирането на МПС при невъзможност за плащане – пропуснати ползи или директни загуби за субекта на данни, както и нематериални щети за него. Приложено е становище на ДЛЗД, което подкрепя тезата за висок риск, който не може да бъде ограничен. Като заключение от ОВЗД се твърди, че предприетите технически и организационни мерки не довеждат до минимизиране на рисковете, и се счита, че рискът остава висок за правата и свободите на субектите на данни при обработването, и АЛД иска да проведе предварителна консултация с КЗЛД по чл. 36 от Регламент (ЕС) 2016/679.

След анализ на преписката Комисията установява, че без използването на допълнителни данни за идентифициране на физическото лице – собственик на МПС, тези данни не следва да се приемат за „лични данни“ по смисъла на чл. 4, т. 1 от Регламент (ЕС) 2016/679, тъй като не съществува публичен регистър на регистрационните номера на МПС и без получаването на допълнителни данни (напр. информация от КАТ, което става по специален ред) не може да се идентифицира притежателят на МПС – субект на лични данни. Затова в този случай КЗЛД е приела, че не са налице предпоставките за провеждане на предварителна консултация по чл. 36 от Регламента.

Вторият случай, който не е директно искане за предварителна консултация по чл. 36 от Регламента, касае АЛД, който иска да дигитализира целия процес по попълване (изготвяне), подписване, подаване и обработване на заявленията от физически лица. Дружеството планира да снабди своите служители или представители (посредници) със специализирани устройства (таблети), чрез които при лична среща (в присъствието на осигуреното лице) да бъде изготвяно съответното заявление за участие (прехвърляне на участие) в пенсионен фонд, което да бъде подписано с еднократен квалифициран електронен подпис от осигуреното лице. В процеса на подготовка на документите на осигурените лица ще бъде предлагана възможност личните им данни да бъдат попълнени автоматизирано чрез специализиран софтуер/технология — ОCR (Оptical Character Recognition), и след това заявлението да се подписва от осигуреното лице и от представителя на дружеството чрез индивидуални квалифицирани електронни подписи. В хода на използването на ОCR технологията няма да бъде създавано и записвано копие (или изображение) на документа за самоличност на осигуреното лице нито в паметта на използваните специализирани устройства (таблети), нито на сървърите на дружеството, като в този смисъл личните данни са максимално защитени и не подлежат на възстановяване и/или използване за други цели в снимков и/или в текстов формат. За по-голяма сигурност и контрол на процеса се предвижда уведомяването и изборът на осигуреното лице да се документират с писмена декларация. В случай, че осигуреното лице не желае при подготовката на документите да бъде използван ОCR, процесът позволява продължаване на електронната процедура с „ръчно” попълване на данните (чрез клавиатурата на устройството). Планира се обработването на заявлението по описания по-горе начин и изпращането му до бекофиса (в централното управление) да се извършва в сигурна среда (в мрежата на дружеството) и при липса на всякаква намеса на трети лица – доставчици на услуги (като куриери, оператори на пощенска услуга и други), в канала на комуникация между пенсионното дружество и осигуреното лице.

Дружеството е представило пред надзорния орган ОВЗД и становище на ДЛЗД, които показват, че е структурирало проекта и неговите процеси по начин, който ефективно води до минимизиране на рисковете за правата и свободите на субектите на данни. В заключение се отбелязва, че в случай че КЗЛД установи несъответствие на процеса по обработване с нормативни документи, дружеството очаква указания. При допълнителната кореспонденция с дружеството е уточнено, че не се изисква предварителна консултация по чл. 36 от ОРЗД с Комисията, а от друга страна, такава не се и налага поради успешното минимизиране на рисковете, установени от ОВЗД.“

 

Можете да споделите: