Прилагане на защитата на личните данни

Методики, препоръки и практически стъпки

ISBN: 978-954-608-279-4
40,00 лв.
+

Тази книга е своеобразно продължение на  „Защита на личните данни“, която предложи цялостно знание по съдържанието и прилагането на Общоевропейския регламент относно защитата на данните у нас. Тя е дело на същите автори и има за цел да даде общо приложими практически инструменти за това как защитата на личните данни да бъде реализирана още на етапа на проектиране на обработването.

В съдържанието на книгата са включени двадесет и пет методики с коментари, препоръки и практически стъпки за прилагане на защитата на личните данни. Целта е да се систематизира процесът по защита на данните във всяка дейност, осъществявана спрямо физически лица и да се улесни спазването на общия регламент. Методиките обхващат базови въпроси, като определяне дали се обработват лични данни, установяване на приложимия правен режим към съответното обработване, определяне на правните качества на лицата, които обработват личните данни. Представени са механизми, по които да бъдат прилагани принципите, свързани с обработване на личните данни, задълженията на администраторите и обработващите лични данни, задачите на длъжностното лице по защита на данните.

Откроени са специфични аспекти в защитата на личните данни, прилагани в дейността на администраторите и обработващите лични данни в различни сектори, като например в публичния сектор, в полицейската и наказателната дейност, в здравните дейности, в хотелиерската дейност.

Книгата е полезен инструмент за администратори на лични данни, обработващи лични данни и длъжностни лица по защита на данните, при изпълнение на техните задължения и задачи. Разработените методики и практически инструменти, ще бъдат полезни и на субектите на данни, разкривайки им изискванията, на които трябва да се подчинява обработването на техните лични данни в специфичен контекст.

Книгата е дело на водещи специалисти в областта на защитата на личните данни.


Д-р Невин Фети, магистър по право и по защита на националната сигурност, преподавател в Националния институт на правосъдието, в Института по публична информация и в Юридическия факултет на Софийския университет „Св. Климент Охридски“ по защита на информацията. Тя е съветник по правни въпроси на Президента на Република България.

Десислава Тошкова-Николова, магистър по право, експерт в областта на защитата на личните данни, преподавател в Националния институт на правосъдието по защита на личните данни. Тя е главен секретар в Комисията за защита на личните данни.

Част I
МЕТОДИКИ ЗА ПРИЛАГАНЕ НА РЕГЛАМЕНТ (ЕС) 2016/679

Методика I
ЗАЩИТА НА ЛИЧНИТЕ ДАННИ НА ЕТАПА НА ПРОЕКТИРАНЕТО И ПО ПОДРАЗБИРАНЕ
1. Концепцията за защита на личните данни на етапа на проектирането и по подразбиране (в широк смисъл)
2. Съдържание на концепцията за защита на личните данни на етапа на проектирането и по подразбиране (в широк смисъл)
3. Правни последици

Методика II
ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ. ПРИЛОЖИМА ПРАВНА УРЕДБА
1. Изясняване на контекста на обработването и неговата цел
2. Определяне дали дадена информация представлява лични данни и обособяване на регистри с лични данни
3. Дефиниране дали е налице обработване на лични данни
4. Определяне на приложимата правна уредба към обработването на лични данни
5. Периодичен преглед на анализа дали е налице обработване на лични данни
6. Правни последици
Позовавания
Приложение № 1: Въпросник за определяне дали дадена информация представлява лични данни
Приложение № 2: Примерна структура на вътрешен анализ за обработването на лични данни

Методика III
ОПРЕДЕЛЯНЕ НА ПРАВНОТО КАЧЕСТВО, В КОЕТО СЕ ОБРАБОТВАТ ЛИЧНИТЕ ДАННИ
1. Необходимост от правилно дефиниране на правното качество на участниците в системата за защита на личните данни
2. Администратор на лични данни
3. Съвместни администратори
4. Обработващ лични данни
5. Лице с право на достъп до данните (лице по чл. 29 от Регламент (ЕС) 2016/679
6. Трета страна
7. Получател
8. Правни последици
Позовавания

Методика IV
ОПРЕДЕЛЯНЕ НА ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ
1. Анализ дали е необходимо определяне на длъжностно лице по защита на данните
2. Изисквания към длъжностното лице по защита на данните
3. Публикуване на данните за контакт с длъжностното лице по защита на данните и съобщаването им на надзорния орган
4. Задачи на длъжностното лице по защита на данните
5. Необходими ресурси на длъжностното лице по защита на данните
6. Отчетност на длъжностното лице по защита на данните
7. Правни последици
Позовавания
Приложение № 1: Примерно съдържание на анализ дали е необходимо определяне на длъжностно лице по защита на данните
Приложение № 2: Примерна структура на отчет на длъжностното лице по защита на данните

Методика V
ПРИЛАГАНЕ НА ПРИНЦИПИТЕ, СВЪРЗАНИ С ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
1. Принципът „Законосъобразност, добросъвестност, прозрачност“
2. Принципът „Ограничение на целите“
3. Принципът „Свеждане на данните до минимум“
4. Принципът „Точност“
5. Принципът „Ограничение на съхранението“
6. Принципът „Цялостност и поверителност“
7. Механизъм за отчетност
8. Правни последици
Позовавания

Методика VI
ОПРЕДЕЛЯНЕ НА ПРИЛОЖИМОТО ПРАВНО ОСНОВАНИЕ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
1. Необходимост от точно определяне на правното основание
2. Последователност на стъпките в процеса по определяне на приложимото правно основание
3. Определяне на подходящото правно основание
4. Допълнителни ориентири и препоръки за избор на подходящо правно основание
5. Правни последици
Позовавания

Методика VII
ГАРАНТИРАНЕ НА ПРОЗРАЧНОСТ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ
1. Определяне на приложимото към дейността на администратора задължение за предоставяне на прозрачна информация
2. Определяне на съдържанието на информацията по чл. 13 и 14 от Регламент (ЕС) 2016/679
3. Изисквания при формулиране на информацията по чл. 13 и 14 от Регламент (ЕС) 2016/679
4. Изисквания при предоставяне/публикуване на информацията по чл. 13 и 14 от Регламент (ЕС) 2016/679
5. Актуализиране на информацията по чл. 13 и 14 от Регламент (ЕС) 2016/679
6. Други проявления на прозрачността на обработването на лични данни
7. Правни последици
Позовавания

Методика VIII
ГАРАНТИРАНЕ НА ПРАВАТА НА СУБЕКТИТЕ НА ДАННИ
1. Изпълнение на задължението за осигуряване на прозрачна информация
2. Избор на канал(и) за комуникация със субектите на данни
3. Избор на средства за установяване на самоличността на субекта на данни
4. Въвеждане на механизъм за следене на сроковете
5. Действия на администратора при явна неоснователност или прекомерност на исканията на субекта на данни
6. Въвеждане на процедура за разглеждане на заявления на субектите на данни
7. Гарантиране на правата на субектите на данни на етапа на проектирането
8. Правни последици
Позовавания

Методика IX
ИЗВЪРШВАНЕ НА АНАЛИЗ НА РИСКА ПРИ ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
1. Избор на лице/екип за изготвяне на анализа на риска
2. Идентифициране на характеристиките на обработването
3. Определяне на факторите, които обуславят риска
4. Избор на методика за оценка на риска
5. Критерии за определяне на подходящи технически и организационни мерки
6. Гарантиране на подходящо ниво на сигурност на личните данни
7. Примерно съдържание на анализа на риска
8. Преразглеждане на анализа на риска и преглед за ефективността на въведените мерки за защита
9. Правни последици
Позовавания

Методика X
ИЗВЪРШВАНЕ НА ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ЗАЩИТАТА НА ДАННИТЕ
1. Идентифициране на случаите, в които се изисква извършване на оценка на въздействието върху защитата на данните
2. Сравнение между оценката на въздействието върху защитата на данните и анализа за защита на данните на етапа на проектирането
3. Определяне на предмета на оценката на въздействието върху защитата на данните
4. Определяне на изпълнител на оценката на въздействието върху защитата на данните
5. Избор на методология за извършване на оценката на въздействието върху защитата на данните
6. Изискване на становище от длъжностното лице по защита на данните по оценката на въздействието върху защитата на данните
7. Изискване на становище от обработващия лични данни по оценката на въздействието върху защитата на данните
8. Преценка дали да се поиска становище от субектите на данни или от техни представители по оценката на въздействието върху защитата на данните
9. Публикуване на оценката на въздействието върху защитата на данните
10. Преглед на оценката на въздействието върху защитата на данните
11. Правни последици
Позовавания

Методика XI
СЪЗДАВАНЕ НА ВЪТРЕШНИ ПРАВИЛА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ. ОБРАБОТВАНЕ ПОД РЪКОВОДСТВОТО НА АДМИНИСТРАТОРА
1. Необходимост от създаване на вътрешна организация за спазване на правилата за защита на личните данни
2. Предмет и цел на вътрешните правила за защита на личните данни
3. Последователност от стъпки за създаване на Вътрешните правила
4. Съдържание на Вътрешните правила за защита на личните данни
5. Проект на структура и съдържание на Вътрешни правила за защита на личните данни
6. Ръководство на обработването на лични данни от лица с право на достъп по чл. 29 от Регламент (ЕС) 2016/679
7. Правни последици
Позовавания

Методика XII
СЪВМЕСТНИ АДМИНИСТРАТОРИ
1. Практически критерии за определяне дали е налице съвместно администриране на лични данни
2. Разграничения
3. Видове съвместно администриране
4. Уредба на отношенията между съвместните администратори
5. Прозрачност на съвместното обработване спрямо субектите на данни
6. Правни последици на съвместното администриране
Позовавания

Методика XIII
ИЗПОЛЗВАНЕ НА ОБРАБОТВАЩ ЛИЧНИ ДАННИ
1. Преценка на необходимостта от възлагане на обработването на лични данни на външен изпълнител
2. Определяне на правното качество, в което ще се обработват личните данни
3. Критерии за избор на обработващ лични данни
4. Спазване на изискванията за законосъобразност в отношенията между администратор и обработващ лични данни
5. Извършване на проверки от страна на администратора
6. Прекратяване на договора с обработващ лични данни
7. Често срещани примери за отношения администратор – обработващ лични данни
Позовавания

Методика XIV
ДЕЙСТВИЯ ПРИ НАРУШЕНИЯ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ
1. Прецизиране на използваната терминология
2. Установяване на признаци за нарушение на сигурността на личните данни
3. Анализ на риска от нарушението на сигурността за правата и свободите на субектите на данни
4. Предприемане на мерки за ограничаване на неблагоприятните последици от нарушението на сигурността на личните данни
5. Уведомяване на надзорния орган за нарушение на сигурността на личните данни
6. Съобщаване на субектите на данни, засегнати от нарушението на сигурността на личните данни
7. Документиране на всяко нарушение на сигурността на личните данни
8. Особени правила при използване на обработващ лични данни
9. Примери на Работната група по чл. 29
Позовавания

Методика XV
ПРИЛАГАНЕ НА ИЗИСКВАНИЯТА ПРИ ПРЕДАВАНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ДЪРЖАВИ ИЛИ МЕЖДУНАРОДНИ ОРГАНИЗАЦИИ1. Изисквания към предаването на данни
2. Избор на правен инструмент за предаването на данни
3. Правни последици
Позовавания

Методика XVI
ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ ЗА СТАТИСТИЧЕСКИ И НАУЧНОИЗСЛЕДОВАТЕЛСКИ ЦЕЛИ
1. Терминологични уточнения
2. Предпоставки за обработване на личните данни за статистически цели или за научни изследвания
3. Дефиниране на целта (целите) на обработването на личните данни
4. Наличие на основание за законосъобразност на обработването според естеството на обработваните лични данни
5. Гарантиране на добросъвестност и прозрачност на обработването
6. Определяне на обема лични данни, необходим за постигане на целите
7. Механизми за точност на данните
8. Период на съхранение
9. Гарантиране на подходящо ниво на сигурност на личните данни
10. Отчетност
11. Гарантиране на правата на субектите на данни
12. Правни последици
Позовавания

Методика XVII
КОНТРОЛ ВЪРХУ ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ И ОТЧЕТНОСТ
1. Отговорност на администратора за обработването на лични данни
2. Организация на контрола върху обработването на лични данни и на отчетността
3. Основни направления на контрола и на отчетността
4. Правни последици
Позовавания

Част II
СПЕЦИФИЧНИ СЛУЧАИ И СЕКТОРНИ ПРОЯВЛЕНИЯ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ

Методика XVIII
ОСОБЕНОСТИ ПРИ ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ В ДЕЙНОСТТА НА ПУБЛИЧНИТЕ ОРГАНИ
1. Правни източници на задълженията на публичните органи при обработването на лични данни
2. Правно качество на публичните органи
3. Прилагане на принципите на Регламент (ЕС) 2016/679 в дейността на публичните органи
4. Правни основания за обработването на лични данни от публичните органи
5. Обработване на лични данни, свързани с присъди и нарушения
6. Категории физически лица, чиито лични данни обработват публичните органи
7. Задължения за администраторите – публични органи, които са идентични с тези на всички други администратори
8. Задължения, относими само към дейността на администраторите – публични органи.
Други специфики в правния режим по Регламента
9. Ограничения при упражняване на правата на субектите на данни
10. Изводи

Методика XIX
СЪГЛАСУВАНЕ НА ДОСТЪПА ДО ОБЩЕСТВЕНА ИНФОРМАЦИЯ СЪС ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ
1. Съгласуване на правото на информация и правото на защита на личните данни
като основни права в Европейския съюз
2. Приложно поле на Закона за достъп до обществена информация
3. Степенуване на задълженията за предоставяне на обществена информация
4. Обработване на лични данни в производствата по ЗДОИ
5. Изводи

Методика XX
ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ В ПРЕДДОГОВОРНИТЕ И ДОГОВОРНИТЕ ОТНОШЕНИЯ
1. Приложно поле на Регламент (ЕС) 2016/679 в контекста на преддоговорните и договорните отношения
2. Особености в прилагане на принципите на Регламент (ЕС) 2016/679 при обработване на личните данни в преддоговорните и договорните отношения
3. Особености в проявлението на правата на субекта на данни
4. Изводи

Методика XXI
ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ В ХОТЕЛИЕРСКАТА ДЕЙНОСТ
1. Правното качество „администратор на лични данни“ на лицата, извършващи хотелиерство
2. Прилагане на принципите на Регламент (ЕС) 2016/679 в хотелиерската дейност
3. Задължения на администраторите
4. Изводи

Методика XXII
ОСОБЕНОСТИ ПРИ ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ НА ДЕЦА
1. Специфики в прилагането на принципите на Регламент (ЕС) 2016/679 при обработване на лични данни на деца
2. Упражняване на правата по Регламент (ЕС) 2016/679, когато субектът на данни е дете
3. Особености в задълженията на администраторите при обработване на лични данни на деца
4. Изводи

Методика XXIII
ЗАКОНОСЪОБРАЗНОСТ И ПРОЗРАЧНОСТ ПРИ ИЗПОЛЗВАНЕ НА „БИСКВИТКИ“
1. Приложимата правна уредба за „бисквитките“
2. Изисквания за използване на „бисквитки“
3. Други задължения, произтичащи от Регламент (ЕС) 2016/679
4. Изводи

Методика XXIV
ОСОБЕНОСТИ ПРИ ОБРАБОТВАНЕТО НА ДАННИ ЗА ЗДРАВЕТО
1. Понятиен апарат и терминологични уточнения
2. Законосъобразност на обработването
3. Задължения на администраторите при обработване на данни за здравето
4. Гарантиране на правата на субектите на данни
Изводи

Методика XXV
ОСОБЕНОСТИ В ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ В ПОЛИЦЕЙСКАТА И НАКАЗАТЕЛНАТА ДЕЙНОСТ
1. Специфики в понятийния апарат на Директива (ЕС) 2016/680
2. Особености в прилагането на принципите, свързани с обработване на личните данни в полицейската и наказателната дейност
3. Специфични проявления в правата на субектите на данни
4. Особености в задълженията на администраторите
5. Особености при предаване на лични данни на трети държави или международни организации
6. Изводи