Регистри на дейностите по обработване на лични данни, извършване на анализ на риска и оценка на въздействието върху защитата на данните

Както съгласно ЗЗЛД така и в ОРЗД едно от основните задължения на администраторите на лични данни, свързани със задължението им за отчетност, е поддържането на регистър на дейностите по обработване на лични данни. Така съгласно чл. 62, ал. 1 от ЗЗЛД администраторът на лични данни поддържа регистър с категориите дейности по обработване на лични данни, който съдържа: наименованието и координатите за връзка на администратора, и когато е приложимо, на съвместните администратори и на длъжностното лице по защита на данните; целите на обработването на лични данни; категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации; описание на категориите субекти на данни и на категориите лични данни; когато е приложимо, информация дали се извършва профилиране; когато е приложимо, категориите предаване на лични данни на трета държава или международна организация; правното основание за операцията по обработване, включително предаването на данни, за която са предназначени личните данни; когато е възможно, предвидените срокове за изтриване на различните категории лични данни; когато е възможно, общо описание на техническите и организационните мерки за сигурност по чл. 66.
 
 
Воденето на регистри по чл. 30 от ОРЗД и чл. 62 от ЗЗЛД е един от най-силните инструменти в ръцете на администраторите за спазване на принципа за „отчетност“, поради което препоръчваме за всеки основен бизнес процес да се води такъв регистър независимо от размера на предприятието (например „Персонал“, „Отношения с клиенти“, „Отношения с доставчици“ и т.н.).
 
В зависимост от спецификите на всяко предприятие, може да възникне нужда регистрите да са на много по-детайлно ниво (например. регистър „Персонал“ да бъде разделен на регистър „Служители“, регистър „Изпълнители по граждански договори“ и др. под.)
 

 
Съгласно ал. 2, въпросната оценка съдържа най-малко общо описание на предвидените операции по обработване, оценка на рисковете за правата и свободите на субектите на данните, мерките, предвидени за справяне с тези рискове, гаранции, мерки за сигурност и механизми за гарантиране на защитата на личните данни и за доказване на съответствие с правилата на тази глава, като се вземат предвид правата и законните интереси на субектите на данните и другите засегнати лица.
 
От разпоредбата на чл. 64, ал. 1 можем да стигнем до заключението, че за да преценим дали един администратор на лични данни е длъжен да извърши оценка на въздействието на първо място трябва да прецени степента на риска при обработване на лични данни. 
 
Критериите, които трябва да бъдат отчетени при анализа на риска, са посочени в чл. 32 от ОРЗД. Така по силата на чл. 32, пар. 2 от ОРЗД трябва да се вземат предвид рисковете, които са свързани с обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни.
 
 
За улеснение на правоприлагащите Комисията за защиата на личните данни (КЗЛД) е публикувала на Интернет страницата си Списък на видовете операции по обработване на лични данни, за които се изисква извършване на оценка на въздесйтвието.    
 
Това са дейностите по:
 
1. Мащабно обработване на биометрични данни за целите на уникалната идентификация на физическо лице, което не е спорадично.
2. Обработване на генетични данни с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен.
3. Обработване на данни за местоположение с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен.
4. При невъзможност за предоставяне на информация на субекта на данни по чл. 14 от Регламент (ЕС) 2016/679 или ако предоставянето на тази информация изисква несъразмерно големи усилия, или има вероятност да направи невъзможно, или сериозно да затрудни постигането на целите на обработване, когато това е свързано с мащабно обработване на данни.
5. Обработване на лични данни, осъществявано от администратор с основно място на установяване извън ЕС, когато определеният за негов представител в ЕС е разположен на територията на Република България.
6. Редовно и систематично обработване, при което предоставянето на информацията по чл. 19 от Регламент (ЕС) 2016/679 от администратора на субекта на данни е невъзможно или изисква несъразмерно големи усилия.
7. Обработване на лични данни на деца при пряко предлагане на услуги на информационното общество.
8. Осъществяване на миграция на данни от съществуващи към нови технологии, когато това е свързано с мащабно обработване на данни.
 
В заключение ще посочим също така и правилото на чл. 65 от ЗЗЛД, съгласно което администраторът или обработващият лични данни се консултира с комисията  преди обработването на лични данни, което ще е част от нов регистър с лични данни, който предстои да се създаде, когато: съгласно оценката на въздействието обработването ще породи висок риск въпреки предприетите от администратора мерки за ограничаване на риска, или видът обработване, по-специално когато се използват нови технологии, механизми или процедури, включва висока степен на риск за правата и свободите на субектите на данните. Администраторът предоставя на комисията, съответно на инспектората, оценката на въздействието и при поискване - всяка друга информация, която ще им позволи да извършат оценка на съответствието на обработването и по-специално на рисковете за защитата на личните данни и на съответните гаранции за тази защита.