Иван Савов, председател на Европейския институт за риск политика
След като в предишната статия описахме правата на собствениците на лични данни, които се събират за обработка, в тази ще се спрем на използването им и задълженията на тези, които ги обработват.
В отношенията на физическите лица с организациите/компаниите, които събират и обработват лични данни, има две основни категории действащи лица – администратори и обработващи. Като една компания може да е едновременно администратор и обработващ, както и да изпълнява само една от двете функции.
Администратор е организацията, която е придобила личните данни, носи отговорност да спази принципите за обработка и да договори точни указания за това с обработващия. Този договор трябва да гарантира шестте принципа на обработка и правата на субектите.
Какви са задълженията на администраторите и обработващите лични данни?
Администраторът на лични данни:
1. Гарантира, че личните данни:
– Обработват се законосъобразно и в съответствие с принципите на GDPR, а именно: те се събират и обработват на база на законово основание; за да се осигурят основни процеси за предоставяне на услуга или продукт; за да се влезе в трудовоправни отношения; за да се извършва вторично обработване с цел подобряване на процеси и ефективност на дейността (например обработване на лични данни с цел предоставяне на кредит или с цел анализ на качеството на предоставяне на услугата, изпращане на комуникация за нови продукти и услуги и т.н.).
– Обработват се на основата на подписан договор с обработващия лични данни. Когато администраторът обработва личните данни с помощта на външна фирма (обработващ), между тях трябва да има ясно разписан договор за обработката. Например фирмата (администратор) трябва да има конкретен договор с външното си счетоводство (обработващ) за процеса на обработка и защита на личните данни, които се предават от фирмата към счетоводството.
– Договорът между администратора и обработващия съдържа детайлни инструкции за получаване, съхранение, обработка и предаване обратно или към трети страни на личните данни, подкрепени с конкретни отговорности и задължения. Договорът трябва да съдържа задължителна клауза за достъп на администратора до организацията на обработващия, като целта е проверка на ефективното спазване на регламента и задълженията по договора за обработка и защита на личните данни.
2. Упражнява цялостен контрол – администраторът трябва да има ефективна система за защита на данните и контрол на нейната ефективност. Също така той трябва да помисли за такава система и при разработване на нови проекти, където да заложи защитата на личните данни още във фазата на проектиране на новите процеси и дейности. Например, ако фирма разширява производствените си площадки, като отваря нова в друг град, следва да направи анализ на въздействието върху защитата на данните още в началото на проектирането и да заложи внедряването на контроли и процеси за защита на данните в новите условия.
3. Уведомява за нарушения и пробиви – администраторът носи отговорност за уведомяване на регулатора и собствениците на лични данни за нарушения и пробиви. За целта трябва да разполага с разработена, внедрена и тествана процедура за управление на пробиви. Тази система трябва да покрива и пробиви, които може да се случат при обработващия лични данни. Според изискванията на новия европейски регламент това уведомление трябва да се осъществи в рамките на 72 часа от установяването на пробива.
Обработващият лични данни:
1. Обработва лични данни от името на клиента – администратор на лични данни, съгласно ясно разписан договор със задължения и отговорности. Обработващи могат да бъдат например счетоводни къщи, банки, информационни центрове, маркетингови компании, адвокатски кантори, служби за трудова медицина и други.
2. Действа само по инструкциите, дадени от администратора на лични данни, в съответствие с ясно определени стандарти и правила, като налага задължение за поверителност на своите служители, които обработват информацията на администратора. Всички служители трябва да бъдат информирани и да спазват задължение за поверителност.
3. Предоставя достатъчно гаранции за доказване на съответствието: декларации, политики за поверителност, доклади и сертификати по отношение на техническите и организационните мерки за сигурност, които регулират обработката на данните.
4. Разрешава одити от администратора на данни. За тази цел се изисква разписан в договора достъп за одит до системата за защита на личните данни от администратора, който да извършва проверки периодично. Проверки могат да се извършват на помещения, системи, процедури, документи и персонал.
5. Изтрива или връща данните при приключване на договора. Детайлите за осъществяването на този процес трябва да са разписани в договора между администратора и обработващия.
Новият европейски регламент определя ясно правата и задълженията на всички участници в процеса, както и реда за сигнали и жалби. В следващата статия от рубриката очаквайте информация за инвентаризацията на лични данни и управлението на риска.
Текстът е публикуван в брой 19/2018 г. на списание "Икономист", който може да купите в разпространителската мрежа. Вижте какво още може да прочетете в броя 
