Извършване на оценка на въздействието на предвидените операции по обработването върху защитата на личните данни

Предназначение на процедурата по оценка на въздействие

Настоящата статия има за цел да предостави повече информация относно извършването на оценка на въздействие, чиято правна уредба е в чл.35 и 36 от Регламент (ЕС) 2016/679. Оценката на въздействие е инструмент за отчетност, който помага на администраторите не само да спазват изискванията на Регламент (ЕС) 2016/679, но и да демонстрират, че са взети подходящи мерки, за да се гарантира спазването на Регламента. Тя се изисква, когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица. Тогава, преди да бъде извършено обработването, администраторът извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни. В една оценка може да бъде разгледан набор от сходни операции по обработване, които представляват сходни високи рискове.

Извършването на оценка на въздействието се изисква по-специално в следните случаи, а именно:

  • систематична и подробна оценка на личните аспекти по отношение на физически лица, която се базира на автоматично обработване, включително. профилиране, и служи за основа на решения, които имат правни последици за физическото лице или по подобен начин сериозно засягат физическото лице;
  • мащабно обработване на специални категории данни, посочени в член 9, параграф 1 или на лични данни за присъди и нарушения по член 10; или
  • систематично мащабно наблюдение на публично достъпна зона.

Оценка на въздействието се изисква и съгласно списъка съставен и оповестен от Националния надзорен орган в съгласие с Европейския комитет по защита на личните  данни съгласно чл. 35 параграф 4 от Регламент (ЕС) 2016/679.

При извършването на оценка на въздействието върху защитата на данните администраторът следва да поиска становището на длъжностното лице по защита на данните, когато такова е определено.

Съдържание на оценката на въздействието

Оценката на въздействието трябва да съдържа най-малко:

  • системен опис на предвидените операции по обработване и целите на обработването, включително, ако е приложимо, преследвания от администратора законен интерес;
  • оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;
  • оценка на рисковете за правата и свободите на субектите на данни;
  • мерките, предвидени за справяне с рисковете, включително гаранциите, мерките за сигурност и механизмите за осигуряване на защитата на личните данни и за демонстриране на спазването на Регламент (ЕС) 2016/679, като се вземат предвид правата и законните интереси на субектите на данни и на други заинтересовани лица.

Задължение за консултация с надзорния орган

Съгласно чл.36, параграф 1 от Регламент (ЕС) 2016/679 администраторът следва да се консултира с надзорния орган, който е Комисията за защита на личните данни, преди обработването, когато оценката на въздействието върху защитата на данните съгласно член 35 от Регламента покаже, че обработването ще породи висок риск, ако администраторът не предприеме мерки за ограничаване на риска.

Когато надзорният орган е на мнение, че планираното обработване нарушава Регламент (ЕС) 2016/679, особено когато администраторът не е идентифицирал или ограничил риска в достатъчна степен, надзорният орган в срок до осем седмици след получаване на искането за консултация дава писмено становище на администратора.  Когато се консултира с надзорния орган, администраторът предоставя на надзорния орган следната информация, а именно:

  • където е приложимо — информация за съответните отговорности на администратора, съвместните администратори и обработващите лични данни, които се занимават с обработването, по-конкретно при обработване на данни в рамките на група предприятия;
  • целите на планираното обработване и средствата за него;
  • предвидените мерки и гаранции за защита на правата и свободите на субектите на данни съгласно Регламент (ЕС) 2016/679;
  • където е приложимо, координатите за връзка на длъжностното лице по защита на данните;
  • оценката на въздействието върху защитата на данните по член 35 от Регламент (ЕС) 2016/679;
  • всякаква друга информация, поискана от надзорния орган.

Поради изброените по-горе особености при извършване на оценка на въздействието на предвидените операции по обработването върху защитата на личните данни е препоръчително да бъде потърсено съдействие от специалист с опит в тази материя. Красимира Кадиева с удоволствие ще Ви съдейства при изготвянето на оценка на въздействието съгласно изискванията на Регламент (ЕС) 2016/679.

Сред клиентите, които се довериха на адвокат Кадиева през изминалите месеци във връзка с оказване на съдействие относно подготовката на необходимите документи за съответствие с Регламент (ЕС) 2016/679, включително и извършване на оценки на въздействието, са доставчици на услуги, разработчици на софтуери, дигитални агенции, електронни магазини, фармацевтични дружества, строителни фирми, счетоводни къщи, транспортни фирми, производители на козметика, производители на храни, кариерна медия, застрахователен брокер, собственици на ресторанти, дружество предоставящо услуги в областта на проектирането, изграждането, поддръжката и въвеждането в експлоатация на вътрешни електроинсталации, а също така и дружество, което разпространява термопомпени, соларни и климатични системи. Внедряването на Регламента от правна страна е двустранен процес, при който е необходимо съдействието на клиента чрез попълване на специално изготвен въпросник, а също така и предоставяне на необходимата информация за изготвяне на документите. Адвокат Кадиева помогна на клиентите си при изготвянето на необходимите документи, при извършване на оценки на въздействието, а също така и при внедряването на вътрешни процедури за осъществяване на задълженията на администратора както и процедури за проверка и контрол.

Този материал, изготвен от Красимира Кадиева, има за цел да предостави информация относно извършването на оценка на въздействието на предвидените операции по обработването върху защитата на личните данни съгласно Регламент (ЕС) 679/2016. Материалът не представлява правно становище и не може да бъде разглеждан като индивидуална консултация, отчитаща спецификите на конкретни факти и обстоятелства. За всеки конкретен случай, следва да се потърси професионален съвет от специалист с опит в тази материя. За допълнителна информация по засегнатите по-горе въпроси, както и за индивидуална консултация, можете да се свържете с автора Красимира Кадиева на 00359 882 308 670 или да направите запитване чрез формата за контакт на този уеб сайт. Адвокат Красимира Кадиева предоставя правни услуги за привеждане на бизнеса на клиентите си по прилагането и съответствието с Регламента от правна страна.