Поради засилен обществен интерес към Инструкцията за практическото осъществяване на надзорната дейност на Комисията за защита на личните данни, Комисията информира администраторите на лични данни и обработващите данни, че същата е публикувана тук.
Инструкцията е вътрешен документ, приет на основание чл.12, ал.10 от Закона за защита на личните данни с решение на КЗЛД от 29.05.2020г.(Протокол №23/2020г.), изм. и доп. с решение от 24.06.2021г.(Протокол №27/2021г.). Като установява методологията за извършване на различни видове проверки (секторни, съвместни проверки с други надзорни органи, предварителна консултация и др.), инструкцията има за цел да създаде унифицирани правила и единен подход при осъществяване на надзорната дейност от страна на КЗЛД и нейната администрация.
Като приложение на Инструкцията Комисията е приела Методика за определяне на нивото на риска при нарушения на сигурността на личните данни и Въпросник за извършване на проверки при осъществяване на надзорната дейност на КЗЛД. Методиката е важен инструмент в дейността на надзорния орган при разглеждане на уведомления за нарушения на сигурността на личните данни, подадени на основание чл.33 от Регламент (ЕС) 2016/679, респ. чл.67 от Закона за защита на личните данни. В зависимост от преценката на нивото на риска, Комисията взема решения за последващи действия и комуникация с администратора, засегнат от нарушението (вж. Глава Четвърта, РазделVII от Правилника за дейността на КЗЛД и на нейната администрация).
Целта на Въпросника за извършване на проверки при осъществяване на надзорната дейност на КЗЛД е събирането на предварителна информация, която да изясни контекста на обработването на лични данни и да улесни установяването на факти и обстоятелства, относими към предмета на конкретната проверка. Въпросникът се изпраща предварително на вниманието на всеки администратор– обект на проверка.
С публикуването на Инструкцията и приложенията към нея Комисията цели да повиши информираността по въпросите, свързани с осъществяването на нейните надзорни правомощия, като допринася за последователното прилагане на Регламент (ЕС) 2016/679 и Закона за защита на личните данни. Комисията обаче обръща внимание, че тези документи са изцяло с вътрешен характер и не създават права или задължения за администраторите на лични данни, обработващите данни и субектите на данни. (Не)познаването на съдържанието на публикуваните документи и/или (не)прилагането им в дейността на даден администратор/обработващ лични данни е ирелевантно за констатациите на надзорния орган относно наличието или липсата на съответствие с изискванията в областта на защитата на личните данни и не може да се счита за смекчаващо или отегчаващо вината обстоятелство в конкретен случай.
При разработването на документите Комисията е отчела натрупания национален и чуждестранен опит в областта на контролната дейност, насоките на Европейския комитет по защита на данните, правната уредба в областта на защитата на личните данни и минималните изисквания за мрежова и информационна сигурност. Инструкцията за практическото осъществяване на надзорната дейност на Комисията за защита на личните данни и приложенията към нея подлежат на периодична актуализация с цел отчитане на натрупаните добри практики в национален и европейски мащаб и съобразяване с динамиката на обществените отношения-предмет на надзор.
