През септември 2017 година с нас се свърза клиент, който се занимава с търговия на метал и ни възложи да изготвим инструкция за мерките и средствата за защита на личните данни съгласно Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни. Водените от клиента регистри са регистър „Персонал“ и регистър „Контрагенти“. Успяхме да изготвим инструкцията в уговорения срок като инструкцията, която изготвихме съдържа следната информация.
- индивидуализиране на администратора на лични данни;
- общо описание на поддържаните регистри – категории лични данни и основание за обработване;
- технологично описание на поддържаните регистри – носители на данни, технология на обработване, срок за съхранение и предоставени услуги;
- определяне на длъжностите, свързани с обработване и защита на лични данни, правата и задълженията им;
- оценка на въздействие и определяне на съответно ниво на защитa – изключително високо, високо, средно или ниско;
- описание на предприетите технически и организационни мерки;
- действия за защита при аварии, произшествия и бедствия (пожар, наводнение и др.);
- предоставяне на лични данни на трети лица – основание, цел, категории лични данни;
- срок за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за заличаването им;
- определяне на ред за изпълнение на задълженията по чл. 25 от Закона за защита на личните данни. Съгласно член 25 от Закона за защита на личните данни след постигане целта на обработване на личните данни или преди преустановяване на обработването на личните данни администраторът е длъжен да ги унищожи, или прехвърли на друг администратор, като предварително уведоми за това комисията, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването.
Информацията по точки 2-10 по-горе беше описана за всеки един от поддържаните от клиента в качеството му на администратор на лични данни регистри (регистър „Персонал“ и регистър „Контрагенти“).