Какви са основните задължения и отговорности на администратори или обработващи лични данни?

Задължения и отговорности на администраторите и обработващите лични данни

Докладване при нарушения (чл. 33) : Уведомяване на надзорния орган при настъпило нарушение на сигурността на личните данни, в срок до 72 часа, след като нарушението е установено.

Отчетност (чл. 5, параграф 2) : Принципът на отчетност гласи, че администратора на лични данни е отговорен да демонстрира съответствие с принципите, свързани с обработването на лични данни.

Защита на данните на етапа на проектирането и по подразбиране(чл. 25) :  Спазването на принципите “privacy by design” и “privacy by default” още в най-ранен етап на дейностите, включващи обработване на лични данни.

Технически и организационни мерки (чл. 24, 25, 28, 30, 32) : Съгласно  Регламента,  администраторите и обработващите лични данни трябва да прилагат подходящи технически и организационни мерки, като отчитат и нивото на риска, свързан с обработването на лични данни. Псевдонимизацията и криптирането на лични данни са посочени в Регламента като пример за мерки за сигурност.

Обработване на лични данни на деца под 16-годишна възраст (чл. 8) : За да бъде обработването законосъобразно, администратори или обработващи, които боравят с лични данни на деца под 16-годишна възраст, следва да получат съгласие от страна на носещия родителска отговорност за детето.

Оценка на въздействието върху защитата на данните (“ОВЗД”) (чл. 35, 36)

Оценката на въздействието за защита на данните може да се изисква в случай на:

  • систематична и подробна оценка на лични данни;
  • мащабна обработка на специални категории данни;
  • систематично наблюдение на публично достъпна зона;

*Предварителни консултации с надзорния орган се изисква, в случаи, когато ОВЗД посочи, че обработването на лични данни води до висок риск.

Регистри на дейностите по обработване (чл. 30) : Водене на регистър на дейностите по обработване, включващ подробна информация за администратора, целите на обработката, категориите субекти на данни и личните данни, сроковете на съхранение, изтриване на данните и т.н.)

Длъжностно лице по защита на данните (Раздел 4) : Ролята на Длъжностното лице по защита на данните („ДЗЛД“) цели да улесни спазването на изискванията, залегнали в Регламента. В случай, че организациите не попадат в обхвата на задължителното изискване за определяне на ДЛЗД съгласно Регламента, те биха могли да обмислят назначаването на такова лице като добрата практика, която да спомогне за демонстриране на отчетност и изграждане на съответствие.