GDPR налага обременяващи задължения за отчетност на администраторите на данни.

Забележително е, че ще се изисква Администратор на данни, който:

 да поддържа отчети за всички обработващи дейности под негова отговорност - едно обезкуражаващо начинание, което не трябва да се подценява, но също така не трябва да се надценява;

 да оценява въздействието върху защитата на данните за по-рисковата обработка, включително за да определи къде на първо място е необходима защитата - много организации ще въведат по подразбиране някакво ниво на DPIA (DATA PROTECTION IMPACT ASSESSMENT - Оценка на въздействието за защита на данните) в техните процеси;

 да прилага защитата на данни по проект и по подразбиране (вж. раздел "Поверителност по проект"); и

 да уведомяват за известни нарушения на данните (виж секция "Защита на данните и уведомяване за нарушаване на данните").

Може също да е необходимо да се назначи Служител по защита на данните. Ще бъде необходимо да се демонстрира на надзорните органи основанието, върху което се обработват личните данни и нещо повече, как са изпълнени изискванията на GDPR. Текущ одит, осигуряване и подобряване качеството на програмата, както е вероятно да се изисква наблюдение и докладване, относно спазването на поверителността в рамките на организацията.

Поддържане на записи!

Задължението да се поддържат записи е особено обременително. Тези записи трябва да бъдат предоставени на разположение на надзорен орган при поискване. В контекста на създаване на съответен архив, конфигурирането на системите за поддържане на записи на цялата необходима информация, може да се окаже изключително предизвикателство. За подпомагане на компаниите, на пазара се появиха редица технологични решения с това предизвикателство.

Администраторът трябва да прави записи на следната информация:

Името и координатите на Администратора и (където е приложимо) подробности за всички съвместни администратори и техни представители, или данните на Служитела по защитата на личните данни.

Целите на обработката.

 Описание на категориите субекти на данни и категориите лични данни.

Категориите получатели, включително получателите в трети страни или международни организации.

Подробности за прехвърлянето на лични данни към трети държави.

 Предвидените периоди за запазване на различните категории лични данни (когато е възможно).

 Общо описание на действащите мерки за сигурност (където е възможно).

Обработката трябва:

Да поддържа запис на всички категории обработващи дейности, извършени от името на администратор, включително и прехвърлянията към трети държави, както и предприетите мерки за сигурност.

Оценки на въздействието за защита на данните

Ако се занимавате с обработка с висок риск, ще бъде необходимо да извърши оценка на въздействието върху защитата на данните (DPIA - Data Protection Impact Assessment). Това би било необходимо, например, когато се обработват специални категориите лични данни в голям мащаб, или при използването на нови технологии, или се съпоставят системни и разширени профили. Допълнителни подробни указания са направени в член 29 на Работната група. Полезно може да бъде да се направи оценка, на подобен набор обработващи операции.

Особено предизвикателство за големи комплексни организации ще бъде да се определи къде се изисква DPIA (оценка на въздействието върху защитата на данните) без прилагане на ненужно обременителен процес на оценяване. Това ще включва поставяне на въпроси за бизнес процеса или за собственика на ИТ активите, за да се идентифицира ключовата информация при обработващите дейности. Някои информации може да бъдат събирани във всеки случай, за да се поддържа писменият запис на обработката.

Много организации, за да предприемат оценка на въздействието върху защитата на данните (DPIA) използват подходящи за бизнеса полуавтоматизирани технологични инструменти. Преди обработката може да се наложи да се консултирате с надзорния орган, ако при оценката на въздействието върху защитата на данните, се окаже, че идентифицираните рисковете са високи и не могат да бъдат ефективно смекчени.

Служители по защита на данните (Data Protection Officer- DPO)

От много компании ще се изисква да назначат Служител по защита на данните (СЗД). Това се изисква, например, ако основните дейности на администратора или обработващия се състоят в обработка, която по своя характер, обхват или цели изисква редовно и систематично наблюдение на субектите на данни в голям мащаб, или където основните дейности включват широкомащабна обработка на специални категории данни и данни, свързани с престъпници, осъждания и престъпления.

Служителят по защита на данните може да бъде нает или ангажиран със служебен договор. Група от предприятия може да назначи един СЗД (това зависи от възможностите за достъп до всички предприятия).

Служителят по защита на данните ще се нуждае от достатъчно експертни познания. Това ще зависи от дейностите по обработка, за които служителят ще има контрол. Те могат да изпълняват и други задачи, докато няма конфликт на интереси. СЗД трябва да участва в разглеждането на всички въпроси, които се отнасят до защитата на личните данни, както и по други специфичните задачи, които се очакват от тях и са посочени в GDPR. Те трябва да са подчинени директно на най-високото ниво на управление.

Ръководството на работната група по член 29 относно СЗД изяснява, че когато даден бизнес решава да определи един СЗД да изпълнява на доброволни начала тази дейност, то той/тя ще продължи да бъде подложен на същите задължителни изисквания/отговорности както и един задължително назначен по щат, но този на щатната длъжност (професионалиста) трябва да трябва да бъде различно титулуван. Когато една фирма решава, че не е длъжна да назначи СЗД - Работната група по член 29 препоръчва да се документира причината за решението (освен ако не е очевидно).

Данните за начина за връзка със СЗД трябва да бъдат публикувани от администратор на данни или обработващия, като тези данни за контакт трябва също да се предоставят и на надзорния орган.

Тъй като организациите започват да се замислят кого да назначат като СЗД, става ясно, че това е роля, която се разпростира в много области на бизнеса, включително правни въпроси, сигурност, съответствие и оценка на риска. СЗД ще трябва да представя висшето ръководство по въпросите на защитата на данните и при сътрудничеството с надзорния орган.

Свързани с горните текстове членове от Регламента:

Член 30 - Регистри на дейностите по обработване

1. Всеки администратор и — когато това е приложимо — представител на администратор поддържа регистър на дейностите по обработване, за които отговоря. Този регистър съдържа цялата по-долу посочена информация:

a) името и координатите за връзка на администратора и — когато това е приложимо — на всички съвместни администратори, на представителя на администратора и на длъжностното лице по защита на данните, ако има такива;

б) целите на обработването;

в) описание на категориите субекти на данни и на категориите лични данни;

г) категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;

д) когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, посочено в член 49, параграф 1, втора алинея, документация за подходящите гаранции;

е) когато е възможно, предвидените срокове за изтриване на различните категории данни;

ж) когато е възможно, общо описание на техническите и организационни мерки за сигурност, посочени в член 32, параграф 1.

2. Всеки обработващ лични данни и — когато това е приложимо — представителят на обработващия лични данни поддържа регистър на всички категории дейности по обработването, извършени от името на администратор, в който се съдържат:

a) името и координатите за връзка на обработващия или обработващите лични данни и на всеки администратор, от чието име действа обработващият лични данни и — когато това е приложимо —на представителя на администратора или обработващия лични данни и на длъжностното лице по защита на данните;

б) категориите обработване, извършвано от името на всеки администратор;

в) когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, посочено в член 49, параграф 1, втора алинея, документация за подходящите гаранции;

г) когато е възможно, общо описание на техническите и организационни мерки за сигурност, посочени в член 32, параграф 1.

3. Регистрите, посочени в параграфи 1 и 2, се поддържат в писмена форма, включително в електронен формат.

4. При поискване, администраторът или обработващият лични данни и — когато това е приложимо — представителят на администратора или на обработващия личните данни, осигуряват достъп до регистъра на надзорния орган.

5. Задълженията, посочени в параграфи 1 и 2, не се прилагат по отношение на предприятие или дружество с по-малко от 250 служители, освен ако има вероятност извършваното от тях обработване да породи риск за правата и свободите на субектите на данни, ако обработването не е спорадично или включва специални категории данни по член 9, параграф 1 или лични данни, свързани с присъди и нарушения, по член 10.

Изложение 82, свързано с Член 30

(82) За да докаже спазването на настоящия регламент, администраторът или обработващият данни следва да поддържа документация за дейностите по обработване, за които той е отговорен. Всеки администратор и обработващ лични данни следва да е длъжен да си сътрудничи с надзорния орган и да му осигури достъп до тази документация при поискване, за да може да бъде използвана за наблюдение на тези операции по обработване.

Член 35 - Оценка на въздействието върху защитата на данните

1. Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, администраторът извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни. В една оценка може да бъде разгледан набор от сходни операции по обработване, които представляват сходни високи рискове.

2. При извършването на оценка на въздействието върху защитата на данните администраторът иска становището на длъжностното лице по защита на данните, когато такова е определено.

3. Оценката на въздействието върху защитата на данните, посочена в параграф 1, се изисква по-специално в случай че:

a) систематична и подробна оценка на личните аспекти по отношение на физически лица, която се базира на автоматично обработване, включително. профилиране, и служи за основа на решения, които имат правни последици за физическото лице или по подобен начин сериозно засягат физическото лице;

б) мащабно обработване на специални категории данни, посочени в член 9, параграф 1 или на лични данни за присъди и нарушения по член 10; или

в) систематично мащабно наблюдение на публично достъпна зона.

4. Надзорният орган съставя и оповестява списък на видовете операции по обработване, за които се изисква оценка на въздействието върху защитата на данните съгласно параграф 1. Надзорният орган съобщава тези списъци на Комитета, посочен в член 68.

5. Надзорният орган може също да състави и оповести списък на видовете операции по обработване, за които не се изисква оценка на въздействието върху защитата на данните. Надзорният орган съобщава тези списъци на Комитета.

6. Преди приемането на списъците, посочени в параграфи 4 и 5, компетентният надзорен орган прилага посочения в член 63 механизъм за съгласуваност, ако тези списъци включват дейности за обработване, свързани с предлагането на стоки или услуги на субекти на данни или с наблюдението на тяхното поведение в няколко държави членки или могат съществено да засегнат свободното движение на лични данни в рамките на Съюза.

7. Оценката съдържа най-малко:

a) системен опис на предвидените операции по обработване и целите на обработването, включително, ако е приложимо, преследвания от администратора законен интерес;

б) оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;

в) оценка на рисковете за правата и свободите на субектите на данни, посочени в параграф 1; и

г) мерките, предвидени за справяне с рисковете, включително гаранциите, мерките за сигурност и механизмите за осигуряване на защитата на личните данни и за демонстриране на спазването на настоящия регламент, като се вземат предвид правата и законните интереси на субектите на данни и на други заинтересовани лица.

8. При оценката на въздействието на операциите по обработване, извършвани от администраторите и обработващите лични данни, надлежно се отчита и спазването от тяхна страна на одобрените кодекси за поведение, посочени в член 340 особено за целите на оценката на въздействието върху защитата на данните.

9. Когато е целесъобразно, администраторът се обръща към субектите на данните или техните представители за становище относно планираното обработване, без да се засяга защитата на търговските или обществените интереси или сигурността на операциите по обработване.

10. Когато обработването съгласно член 6, параграф 1, буква в) или д) има правно основание в правото на Съюза или в правото на държавата членка, под чиято юрисдикция е администраторът, и това право регулира конкретната операция по обработване или набор от такива операции, и вече е извършена оценка на въздействието върху защитата на личните данни като част от общата оценка на въздействието в контекста на приемането на това правно основание, параграфи 1—7 не се прилагат, освен ако държавите членки не сметнат за необходимо да направят такава оценка преди започването на дейностите за обработване.

11. При необходимост администраторът прави преглед, за да прецени дали обработването е в съответствие с оценката на въздействието върху защитата на данни, най-малкото когато има промяна в риска, с който са свързани операциите по обработване.

Изложения 75-77, 84 и 89-94, свързани с Член 35

(75) Рискът за правата и свободите на физическите лица, с различна вероятност и тежест, може да произтича от обработване на лични данни, което би могло да доведе до физически, материални или нематериални вреди, по- специално когато обработването може да породи дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, неразрешено премахване на псевдонимизация, или други значителни икономически или социални неблагоприятни последствия; или когато субектите на данни могат да бъдат лишени от свои права и свободи или от упражняване на контрол върху своите лични данни; когато се обработват лични данни, които разкриват расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в професионална организация, и обработването на генетични данни, данни за здравословното състояние или данни за сексуалния живот или за присъди и нарушения или свързани с тях мерки за сигурност; когато се оценяват лични аспекти, по-специално анализиране или прогнозиране на аспекти, отнасящи се до представянето на работното място, икономическото положение, здравето, личните предпочитания или интереси, надеждността или поведението, местонахождението или движенията в пространството, с цел създаване или използване на лични профили; когато се обработват лични данни на уязвими лица, по-специално на деца; или когато обработването включва голям обем лични данни и засяга голям брой субекти на данни. 

(76) Вероятността и тежестта на риска за правата и свободите на субекта на данни следва да се определят с оглед на естеството, обхвата, контекста и целта на обработването. Рискът следва да се оценява въз основа на обективна оценка, с която се определя дали операцията по обработването на данни води до риск или до висок риск.

(77) Насоки за прилагането на подходящи мерки и за доказване на съответствие от страна на администратора или обработващия лични данни, особено по отношение на идентифицирането на риска, свързан с обработването, оценката по отношение на произход, естество, вероятност и тежест и определянето на добри практики за ограничаване на риска, биха могли да се предоставят по-специално чрез одобрени кодекси на поведение, одобрени механизми за сертифициране, насоки на Комитета или чрез указания, предоставени от длъжностното лице за защита на данните. Комитетът може също да издава насоки относно операции по обработване, за които се счита, че е малко вероятно да доведат до висок риск за правата и свободите на физическите лица, и да даде указания какви мерки могат да бъдат достатъчни в такива случаи за преодоляването на такъв риск.

Член 36 - Предварителна консултация за Оценка въздействието върху защитата на данните

1. Администраторът се консултира с надзорния орган преди обработването, когато оценката на въздействието върху защитата на данните съгласно член 35 покаже, че обработването ще породи висок риск, ако администраторът не предприеме мерки за ограничаване на риска.

2. Когато надзорният орган е на мнение, че планираното обработване, посочено в параграф 1, нарушава настоящия регламент, особено когато администраторът не е идентифицирал или ограничил риска в достатъчна степен, надзорният орган в срок до осем седмици след получаване на искането за консултация дава писмено становище на администратора или на обработващия лични данни, когато е приложимо, като може да използва всяко от правомощията си, посочени в член 58. Този срок може да бъде удължен с още шест седмици предвид сложността на планираното обработване. Надзорният орган информира администратора и, когато е приложимо, обработващия лични данни за такова удължаване в срок от един месец от получаване на искането за консултация, включително за причините за забавянето. Тези срокове може да спрат да текат, докато надзорният орган получи всяка евентуално поискана от него информация за целите на консултацията.

3. Когато се консултира с надзорния орган съгласно параграф 1, администраторът предоставя на надзорния орган следната информация:

a) където е приложимо — информация за съответните отговорности на администратора, съвместните администратори и обработващите лични данни, които се занимават с обработването, по-конкретно при обработване на данни в рамките на група предприятия;

б) целите на планираното обработване и средствата за него;

в) предвидените мерки и гаранции за защита на правата и свободите на субектите на данни съгласно настоящия регламент; г) където е приложимо, координатите за връзка на длъжностното лице по защита на данните;

д) оценката на въздействието върху защитата на данните по член 35; както и

е) всякаква друга информация, поискана от надзорния орган.

4. Държавите членки се консултират с надзорния орган по време на изготвянето на предложения за законодателни мерки, които да бъдат приети от националните парламенти, или на регулаторни мерки, основани на такива законодателни мерки, които се отнасят до обработването.

5. Без да се засяга параграф 1, правото на държавите членки може да изисква от администраторите да се консултират с надзорния орган и да получават предварително разрешение от него във връзка с обработването от администратор за изпълнението на задача, осъществявана от администратора в полза на обществения интерес, включително обработване във връзка със социалната закрила и общественото здраве.

Изложения 94-96, свързани с Член 36

(94) Когато в оценката на въздействието върху защитата на данните е указано, че при липса на гаранции, мерки за сигурност и механизми за ограничаване на риска обработването би довело до висок риск за правата и свободите на физическите лица, и администраторът счита, че рискът не може да бъде ограничен с разумни средства от гледна точка на наличните технологии и разходи за прилагане, преди началото на дейностите по обработването следва да се осъществи консултация с надзорния орган. Има вероятност такъв висок риск да бъде породен от определени видове обработване и от степента и честотата на обработване, които могат да доведат и до нанасяне на вреди или до възпрепятстване на упражняването на правата и свободите на физическото лице. Надзорният орган следва да отговори на искането за консултация в рамките на определен срок. Въпреки това отсъствието на отговор от надзорния орган в рамките на този срок не следва да препятства евентуалната намеса на надзорния орган в съответствие със задълженията и правомощията му, установени в настоящия регламент, включително правомощието да забранява операции по обработване. Като част от този процес на консултации, на надзорния орган може да се представи резултатът от оценка на въздействието върху защитата на данните, извършена във връзка с въпросното обработване, и по-конкретно мерките, предвидени за ограничаване на възможните рискове за правата и свободите на физическите лица.

(95) При необходимост и при поискване, обработващият лични данни следва да подпомага администратора, за да се гарантира спазването на задълженията, произтичащи от извършването на оценки на въздействието върху защитата на личните данни и от предварителната консултация с надзорния орган.

(96) Следва да се проведе консултация с надзорния орган и при изготвяне на законодателна или регулаторна мярка, която предвижда обработване на лични данни, за да се гарантира, че планираното обработване отговаря на изискванията на настоящия регламент, и по-специално за да се ограничат рисковете, свързани със субекта на данни.

Член 37 - Определяне на Служител по защита на данните;

1. Администраторът и обработващият лични данни определят длъжностно лице по защита на данните във всички случаи, когато:

a) обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;

б) основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни; или

в) основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни съгласно член 9 и на лични данни, свързани с присъди и нарушения, по член 10.

2. Група предприятия може да назначи едно длъжностно лице по защита на данните, при условие че от всяко предприятие има лесен достъп до длъжностно лице по защита на данните.

3. Когато администраторът или обработващият лични данни е обществен орган или структура, едно длъжностно лице по защита на данните може да бъде назначено за няколко такива органа или структури, като се отчита организационната им структура и размер.

4. В случаи, различни от посочените в параграф 1, администраторът или обработващият лични данни или сдружения и други структури, представляващи категории администратори или обработващи лични данни, могат да определят — или ако това се иска от правото на Съюза или право на държава членка определят — длъжностно лице по защита на данните. Длъжностното лице по защита на данните може да действа в полза на такива сдружения и други структури, представляващи администратори или обработващи лични данни.

5. Длъжностното лице по защита на данните се определя въз основа на неговите професионални качества, и по- специално въз основа на експертните му познания в областта на законодателството и практиките в областта на защитата на данните и способността му да изпълнява задачите, посочени в член 39.

6. Длъжностното лице по защита на данните може да бъде член на персонала на администратора или на обработващия лични данни или да изпълнява задачите въз основа на договор за услуги.

7. Администраторът или обработващият лични данни публикува данните за контакт с длъжностното лице по защита на данните и ги съобщава на надзорния орган.

Член 38 - Длъжност на Служителя по защита на данните;

1. Администраторът и обработващият лични данни гарантират, че длъжностното лице по защита на данните участва по подходящ начин и своевременно във всички въпроси, свързани със защитата на личните данни.

2. Администраторът и обработващият лични данни подпомагат длъжностното лице по защита на данните при изпълнението на посочените в член 39 задачи, като осигуряват ресурсите, необходими за изпълнението на тези задачи, и достъп до личните данни и операциите по обработване, а така също поддържат неговите експертни знания.

3. Администраторът и обработващият лични данни правят необходимото длъжностното лице по защита на данните да не получава никакви указания във връзка с изпълнението на тези задачи. Длъжностното лице по защита на данните не може да бъде освобождавано от длъжност, нито санкционирано от администратора или обработващия лични данни за изпълнението на своите задачи. Длъжностното лице по защита на данните се отчита пряко пред най-висшето ръководно ниво на администратора или обработващия лични данни.

4. Субектите на данни могат да се обръщат към длъжностното лице по защита на данните по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права съгласно настоящия регламент.

5. Длъжностното лице по защита на данните е длъжно да спазва секретността или поверителността на изпълняваните от него задачи в съответствие с правото на Съюза или правото на държава членка.

6. Длъжностното лице по защита на данните може да изпълнява и други задачи и задължения. Администраторът или обработващият лични данни прави необходимото тези задачи и задължения да не водят до конфликт на интереси.

Член 39 - Задачи на Служителя по защита на данните

1. Длъжностното лице по защита на данните изпълнява най-малко следните задачи:

a) да информира и съветва администратора или обработващия лични данни и служителите, които извършват обработване, за техните задължения по силата на настоящия регламент и на други разпоредби за защитата на данни на равнище Съюз или държава членка;

б) да наблюдава спазването на настоящия регламент и на други разпоредби за защитата на данни на равнище Съюз или държава членка и на политиките на администратора или обработващия лични данни по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити;

в) при поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката съгласно член 35;

г) да си сътрудничи с надзорния орган;

д) да действа като точка за контакт за надзорния орган по въпроси, свързани с обработването, включително предварителната консултация, посочена в член 36, и по целесъобразност да се консултира по всякакви други въпроси. 

2. При изпълнението на своите задачи длъжностното лице по защита на данните надлежно отчита рисковете, свързани с операциите по обработване, и се съобразява с естеството, обхвата, контекста и целите на обработката.

Изложение 97, свързано с Член 39

(97) Когато обработването на данни се извършва от публичен орган, с изключение на съдилища или съдебни органи, които действат в изпълнение на съдебните си функции, когато в частния сектор обработването се извършва от администратор, чиито основни дейности се състоят от операции по обработване, които изискват редовно и систематично мащабно наблюдение на субектите на данни, или когато основните дейности на администратора или на обработващия лични данни се състоят в мащабно обработване на специални категории лични данни и данни относно присъди и нарушения, администраторът или обработващият лични данни следва да бъде подпомаган при наблюдението на вътрешното спазване на настоящия регламент от лице с експертни познания в областта на правото и практиките за защита на данните. В частния сектор основните дейности на администратора се отнасят до неговите първични дейности, а не до обработването на лични данни като вторични дейности. Необходимото ниво на експертни познания следва да се определя по-специално в съответствие с извършваните операции по обработване на данни и защитата, която е необходима за личните данни, обработвани от администратора или обработващия лични данни. Тези служители по защита на данните, независимо от това дали са служители на администратора, следва да бъдат в състояние да изпълняват своите задължения и задачи независимо.

Въздействие

 Създайте съответни записи за съществуващите дейности по обработване.

 Внедрете системи и процеси, които да осигурят на организация ви улавяне и съхранение на съответните записи.

 Помислете при какви обстоятелства организацията ви ще иска да предприеме оценки на въздействието за защита на данните и как те ще бъдат преглеждани с течение на времето. Прилагайте процеса със съответната документация и го организирайте практически.

 Установете (спрямо изискванията на GDPR и структура и дейност на фирмата) дали вашата организация има задължението да назначи СЗД и ако това е така, обмислете каква ще е неговата роля.