Добри практики при обработване на лични данни

Работещите в областта на личните данни и оказващите процесуално представителство пред Комисията за защита на лични данни (КЗЛД) отпреди влизането в сила на Общия регламент за защита на данните (GDPR) помнят значението на Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.

Тя беше съществена при преценка дали администраторите на лични данни с оглед обработването на последните са въвели и поддържат адекватни технически и организационни мерки в рамките на своята дейност.

С влизане в сила на GDPR през 2018 г., обаче, Наредба № 1 бе отменена и на сайта си КЗЛД обяви, че предстои преработването ѝ в методически указания към администраторите.

Такива методически указания така и не бяха изготвени. Неотдавна, обаче, на сайта на Комисията се появи интересен информационен материал, един вид компилация от практиката на КЗЛД, от която произтича кои практики на администраторите на лични се възприемат добре в хода на осъществяване на надзорната си дейност и оценяват положително спрямо действащото законодателство.

Детайлният прочит на информационния материал сочи, че по всяка вероятност той е създаден, за да замести дългоочакваните методически указания.

Структура на документа

Публикацията на КЗЛД е разделена на следните теми:

  • Добри практики по отношение на предприети технически и организационни мерки за защита на данните

  • Добри практики при използване на облачни технологии и услуги

  • Добри практики при осъществяване на видеонаблюдение

  • Изводи за добри практики при анализ на нарушенията на сигурността на данните по чл. 33 от Регламент (ЕС) 2016/679

които в следващите редове биват обсъдени накратко.

Добри практики по отношение на предприети технически и организационни мерки за защита на данните

Предприемането на технически и организационни мерки е преди всичко „вътрешна бюрокрация“ у администратора на лични данни. То е свързано с определяне на нивата на достъп (в компании с поне няколко служители – кои от тях имат достъп до кои данни). Също така с определяне на защитата на данните (физическа – определяне на отделно помещение или обособяване на част от едно помещение, в което са устройствата за съхраняване данни, както и софтуерна – определяне на пароли и други мерки за сигурността на достъпа до устройствата, върху които са данните или с които се осъществява достъп до данните).

В тази част попада и определянето кой служител води отделните регистри за обработка на лични данни, кой оценява риска от обработването и определя какви мерки за неговото минимизиране и управление.

Добри практики при използване на облачни технологии и услуги

Тази част на документа се отнася до ползването на вече незаменимите от бизнес гледна точка облачни услуги, предлагани от Гугъл, Амазон или Майкрософт. Тук се очаква да е извършена преценка дали въпросните доставчици прилагат GDPR и ако да – в каква степен. Задължение на администратора е да се убеди в приложимостта или да предприеме определени стъпки за това (приемане на споразумение за Data Processing Amendment от Google).

Добри практики при осъществяване на видеонаблюдение

Видеонаблюдението е сред най-честите поводи за сезиране на КЗЛД със сигнал или жалба. Това е и частта, в която администраторите на лични данни най-често допускат сериозни грешки, водещи до налагането на глоби или имуществени санкции. Именно поради това си струва да се инвестира в съвет при съобразяване на произтичащите от видеонаблюдението законови задължение.

Изводи за добри практики при анализ на нарушенията на сигурността на данните по чл. 33 от Регламент (ЕС) 2016/679

Тук става дума за задълженията на администраторите на лични данни в случай на нарушение на сигурността или с други думи: в случай на неоторизиран достъп до данните или на теч на данни. Спомняте ли си #НАПлийкс?

Разбира се, на първо място до такива сценарии не бива да се стига, но стигнало ли се е дотам, то трябва, без ненужно забавяне (не по-късно от 72 часа), да бъде уведомена КЗЛД и засегнатите физически лица. Последното е особено важно, за да могат лицата да предприемат каквото могат за сигурността си, като сменят пароли за достъп, ограничат функционалности и други подобни.

Заключение

Публикуването на този информационен материал от страна на КЗЛД е стъпка в правилната посока. Той може и да не обхваща всички примери на добри практики, но ориентира администраторите на лични данни и онези, които им помагат да спазват ясно и точно закона.

Имате ли въпроси, свързани с обработването на лични данни? Просто ни се обадете!

500pxarrow-leftarrow-rightbandcampbehancebitbucketchaincodepencreative-commonsdeviantartdiggdribbbledropboxenvelope-ofacebookflickrfoursquareget-pocketgithubgoogle-plushacker-newshashtagimdbinstagramlastfmlinkedinmeanpathmediummeetuppausepinterest-pplayreddit-alienrssskypeslidesharesnapchat-ghostsoundcloudspotifystumbleuponthumb-tacktumblrtwitchvimeovinevkwordpressxingyelpyoutube