През август 2016 година с нас се свърза клиент, който се занимава с търговия на фармацевтични продукти и ни възложи да изготвим инструкция за мерките и средствата за защита на личните данни съгласно Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни. Клиентът ни оказа пълно съдействие като ни предостави необходимата информация, за да изготвим Инструкцията в срок и съдържаща следната информация:
- индивидуализиране на администратора на лични данни;
- общо описание на поддържаните регистри – категории лични данни и основание за обработване;
- технологично описание на поддържаните регистри – носители на данни, технология на обработване, срок за съхранение и предоставени услуги;
- определяне на длъжностите, свързани с обработване и защита на лични данни, правата и задълженията им;
- оценка на въздействие и определяне на съответно ниво на защитa – изключително високо, високо, средно или ниско;
- описание на предприетите технически и организационни мерки;
- действия за защита при аварии, произшествия и бедствия (пожар, наводнение и др.);
- предоставяне на лични данни на трети лица – основание, цел, категории лични данни;
- срок за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за заличаването им;
- определяне на ред за изпълнение на задълженията по чл. 25 от Закона за защита на личните данни. Съгласно член 25 от Закона за защита на личните данни след постигане целта на обработване на личните данни или преди преустановяване на обработването на личните данни администраторът е длъжен да ги унищожи, или прехвърли на друг администратор, като предварително уведоми за това комисията, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването.
Клиентът ни поддържа общо четири регистри. Информацията по точки 2-10 по-горе беше описана за всеки един от поддържаните от клиента регистри в качеството му на администратор на лични данни.