Във времена на все по-осезаема глобализация и дигитализация бизнесите се ориентират към по-широкообхватни действия с цел да се привлекат максимално голям брой клиенти. Наличието на значителен брой клиенти или потребители води до обработване и съхранение на огромни количества лични данни от страна на икономическите оператори, което от своя страна поставя въпроси за извършването на оценка на риска на подобен вид операции и ангажирането на длъжностни лица в тези структури, които да бъдат отговорни за законосъобразното обработване и защитата на личните данни.
Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните), по-известен като GDPR, е основният инструмент в сила в ЕС за защита на личните данни. Регламентът установява редица задължения, свързани с обработването и съхранението на лични данни на физически лица. В предишна статия Ви информирахме относно подходящи превантивни мерки срещу нарушенията на сигурността на данни в киберпространството и задълженията на администратора на лични данни при тяхното установяване. В настоящата публикация ще засегнем темите за оценка на въздействието върху защитата на данните и назначаването на длъжностно лице по защита на данните.
Рискове за защитата на личните данни и начини за преодоляването им
Операциите по обработване на лични данни предпоставят рискове за правата и свободите на физическите лица. Личните данни могат да бъдат изгубени, предоставени на неоторизирани лица или обработвани по незаконосъобразен начин. Рискът зависи основно от естеството и обхвата на обработването на лични данни. Мащабни операции, включващи обработката на специални категории лични данни (генетични и биометрични данни например), представляват много по-висока степен на риск за субекта, чиито данни се обработват, в сравнение със случаите, когато малки дружества обработват лични данни като адреси и телефонни номера на своите клиенти.
С напредването на новите технологии обработването на лични данни става все по-сложен и комплексен процес. Именно поради тази причина администраторите на лични данни и обработващите трябва предварително да определят и оценят възможните рискове, като изследват евентуалните последици, които всяко обработване на данните би могло да породи. По този начин организациите могат да идентифицират, адресират и смекчат рисковете от обработката на лични данни, значително намалявайки възможността за негативно въздействие върху физическите лица като резултат от обработването. За тази цел GDPR въвежда задължението за извършване на оценка на въздействието върху защитата на данните.
В кои случаи извършването на оценка на въздействието върху защитата на лични данни е задължително
Член 35 от Регламент (ЕС) 2016/679 за защитата на лични данни предвижда, че оценка на въздействието върху защитата на данните трябва да бъде осъществена, когато е вероятно обработката да представлява риск за правата и свободите на физическото лице ,чиито данни се обработват. GDPR не дефинира как точно трябва да бъде извършена преценката дали съществува такъв риск, но в Рецитал 75 въвежда разяснения от какво точно могат да произтичат тези рискове. Сред примерите са анализиране и прогнозиране на аспекти, отнасящи се до представянето на работното място, икономическото положение, здравето, личните предпочитания и интереси и много други. Операции по обработване на лични данни, които са считани за високорискови и за които е необходимо изготвянето на оценка на въздействието върху защитата на данните според GDPR, са следните: систематична и подробна оценка на личните аспекти по отношение на физически лица, която се базира на автоматично обработване, включително профилиране, и служи за основа на решения, които имат правни последици за физическото лице (решение за отпускане или отказ за предоставяне на кредит, решение за назначаване или прекратяване на трудово правоотношение и други) или по подобен начин сериозно засягат физическото лице; мащабно обработване на специални категории данни или на лични данни за присъди и нарушения; систематично мащабно наблюдение на публично достъпна зона (видеокамери пред дома или в офиса).
Съдържание и последици от оценката на въздействието върху защитата на личните данни
Конкретните видове операции, за които оценка на въздействието върху защитата на данните се изисква, са оповестени съобразно чл. 35, ал. 4 от Регламента на сайта на Комисията за защита на лични данни (КЗЛД). Такива например представляват обработване на данни за местоположение с цел профилиране, което поражда правни последици за субекта на данни или мащабно обработване на биометрични данни с цел идентификация на физическо лице. В случаите, в които оценката е задължителна, администраторите на лични данни трябва да оценят необходимостта и пропорционалността на обработването на лични данни, както и възможните рискове за правата на физическите лица. Оценката трябва да съдържа и планираните мерки за сигурност, които са предназначени за справяне с идентифицираните рискове. В помощ на всички субекти са разработените от Работната група за защита на личните данни по член 29 (сега Европейски комитет по защита на данните (ЕКЗД)) насоки относно оценката на въздействието върху защитата на данни (ОВЗД) и определяне дали съществува вероятност обработването „да породи висок риск“ за целите на Регламент 2016/679. Ако оценката на въздействието върху защитата на данните установи, че обработването на лични данни ще породи висок риск за правата на физически лица и никакви мерки не са въведени, за да се облекчи ефекта на този риск, то тогава администраторът на лични данни трябва да се консултира с КЗЛД преди да започне да ги обработва.
Длъжностно лице по защита на личните данни – функции и особености
Друг механизъм за защитата на лични данни на физически лица при обработката им е определянето на длъжностното лице по защита на данните, предвидено в член 37 от GDPR. Длъжностното лице може да бъде служител на администратора на лични данни или външно за организацията на администратора физическо лице, натоварено със следните функции:
- консултативни функции в областта на защитата на личните данни;
- надзор по спазването на Регламента в организацията на администратора;
- повишаване на осведомеността и обучение на персонала.
GDPR предвижда длъжностно лице по защита на данните задължително да бъде определено от следните категории администратори, а именно:
- Публични органи или структури, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
- Администратори, чиято дейност, поради своето естество, обхват и цели, изискват редовно и систематично мащабно наблюдение на субектите на данни (болници и застрахователи);
- Администратори, чиито основни дейности се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения (социални мрежи и други платформи в интернет пространството).
Всички останали администратори, които не попадат в горецитираните хипотези, разполагат с възможност да определят длъжностно лице, за да гарантират законосъобразното обработване на лични данни.
Функциите на длъжностното лице включват информиране и съветване на администратора или обработващия лични данни и служителите, които извършват обработване за техните задължения по силата на нормативните актове за защита на личните данни, наблюдение за спазването на правилата за защита на личните данни, задължение за сътрудничество с КЗЛД и други (с пълния списък можете да се запознаете в член 39 от Регламента).
Интересна особеност на длъжностното лице е, че то следва да осъществява посредничество между КЗЛД, като се явява точка за контакт с надзорния орган, лицата, чиито данни се обработват, и организацията, която го е определила като длъжностно лице. Длъжностното лице е независимо от администратора и не може да получава инструкции от организацията, която го е определила, дори и от най-високото ръководно ниво (управители, изпълнителни директори и т.н.). Освен това, длъжностното лице по защита на личните данни не може да бъде освободено от длъжност, нито санкционирано от администратора или обработващия лични данни за изпълнението на своите задачи, свързани с функциите му на длъжностно лице. По този начин Регламентът гарантира неговата независимост.
При преценка на всички аспекти, свързани с определянето на длъжностното лице, администраторите следва да се запознаят с Насоки за длъжностните лица по защита на данните („ДЛЗД“), изготвени от Работната група за защита на лицата при обработването на лични данни (по чл. 29, сега ЕКЗД).
Заключение относно механизма за оценка на въздействието върху защитата на лични данни и длъжностното лице по защита на данните
Двата инструмента, които представляват фокуса на настоящата публикация, са изключително полезни за всички икономически оператори, тъй като минимизират риска от извършване на нарушение на правата и свободите на физически лица, чиито лични данни се обработват. Имплементирането им неминуемо води и до по-големи разходи, които някои организации не са склонни да бюджетират и реализират, но от друга страна те намаляват значително риска съответната организация да бъде обект на сурови санкции за неспазване на правилата за защита на личните данни. Ярък пример в това отношение на местно ниво е глобата от 5,1 милиона лева, която КЗЛД наложи на Национална агенция за приходите заради изтичането на огромен обем от лични данни през 2019 година, а в международен план – глобата от около 28 милиона евро, наложена на телекомуникационния оператор TIM от италианския надзорен орган, отговорен за защитата на лични данни.
Рискове за защитата на личните данни и начини за преодоляването им
В кои случаи извършването на оценка на въздействието върху защитата на лични данни е задължително
Съдържание и последици от оценката на въздействието върху защитата на личните данни
Длъжностно лице по защита на личните данни – функции и особености