Към главното съдържание

Препоръки към администраторите на лични данни при възлагане на обработване на лични данни

19.12.2024 г.

 

При осъществяване на контролната си дейност и направени проверки на множество администратори на лични данни, КЗЛД е установила значителен брой на случаи на формален подход при дефиниране на условията за регламентиране на взаймоотношенията при възлагане на дейности на обработващи лични данни, съгласно изискванията чл.28 от Регламент (ЕС)2016/679. В тази връзка, на свое заседание на 18.12.2024г., Комисията прие “Препоръки към администраторите на лични данни при възлагане на обработване на лични данни.

 

Тези препоръки се основават на „Насоки 07/2020 относно понятията „администратор“ и „обработващ лични данни“ в ОРЗД“ (Насоките) на Европейския комитет по защита на данните (ЕКЗД), налични тук. Насоките, които приема ЕКЗД, са задължителни за всички надзорни органи по защита на личните данни в ЕС и като такива се взимат изцяло предвид от Комисията за защита на личните данни (КЗЛД, комисията) при осъществяването на надзорната й дейност. В този смисъл и администратор/и на лични данни (администратор/и) и обработващ/и лични данни (обработващ/и) следва добре да ги познават и да се съобразяват с изложените в тях принципни правила. С настоящите препоръки КЗЛД иска още веднъж да обърне специално внимание на някои конкретни акценти, които следва да се вземат пред вид, при възлагане на обработване на лични данни на обработващ/и лични данни.   

  1. Действия на администратора преди да избере обработващия.

1.1. В случаите, когато администратор реши да възложи обработването на лични данни на обработващ, той следва на първо място да направи преценка за това – кои лични данни, в какъв вид и обем ще се обработват от негово име. Това е от изключително значение, защото възлагането на операции по обработване на лични данни на обработващ, не освобождава по никакъв начин администратора от носенето на отговорността му по ОРЗД (чл.5, пар.2 от ОРЗД). Задължително е администраторът да извърши първоначален анализ на риска с оглед преценка на рисковете от предстоящото възлагане на обработването и съответно да вземе предвид резултата от този анализ при последващите си действия.

На този етап администраторът следва  да определи границите на достъпа, който обработващият следва да има, като се изключи достъп до лични данни, обработвани от администратора, които не са свързани конкретно с предстоящото възлагане на обработване. Два са често използваните принципи в тази насока:

  • „необходимо е да знае“, като се предоставя достъп само до лични данни, от които обработващият има нужда, за да изпълни задълженията си;
  • „необходимо е да ползва“, когато се предоставя достъп само до средства за обработване на лични данни, от които обработващият има нужда, за да изпълнява задълженията си.

1.2. На следващо място администраторът трябва да направи оценка дали гаранциите, които обработващият предоставя, са достатъчни, за да се гарантира спазването на всички изисквания на ОРЗД. („…администраторът използва само обработващи лични данни, които предоставят достатъчни гаранции…“ – чл. 28, пар. 1 от ОРЗД). Тази оценка на администратора по отношение на гаранциите е форма на оценка на риска, която в голяма степен зависи от вида обработване, което ще се възложи на обработващия. (пар. 96 от Насоките).

Администраторът следва да вземе предвид следните елементи (съображение 81 от ОРЗД и пар. 97 от Насоките), за да оцени дали гаранциите са достатъчни:

  • експертните познания на обработващия (напр. технически и експертен опит по отношение на мерките за сигурност и нарушенията на сигурността на данните);
  • надеждността на обработващия, вкл. репутацията, която има на пазара;
  • ресурсите на обработващия.     

            В допълнение, с оглед спазването на принципа за отчетност по чл.5, пар.2 от ОРЗД, администраторът следва да може да представи извършването на този анализ/оценка на  риска и изводите от него, свързани с избора на обработващ.

Изпълнението на този етап (т.1.2) е постоянно задължение на администратора и следва на подходящи интервали от време да се извършва отново преценка на гаранциите на обработващия, вкл. чрез одити и проверки (чл. 28, пар. 3, б. “з“ от ОРЗД и пар.  99 от Насоките).

  1. Действия на администратора преди сключване на договор с обработващия.

2.1. На този етап администраторът следва да се увери, че обработващият ще спазва изискванията за обработване на лични данни съгласно ОРЗД. Обработващият трябва да докаже по удовлетворителен за администратора начин (пар. 95 от Насоките), че ще прилага конкретни правила (политики) във връзка със сигурността на лични данни:

  • конкретно за категориите лични данни, които ще се обработват;
  • физическо местонахождение на регистрите (сървърите);
  • гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
  • начините на достъп и предоставяне на лични данни;
  • механизми за контрол, включително контрол на достъпа, мониторинг, докладване и одит;
  • изричен списък на служителите на обработващия, оторизирани за достъп или получаване на информация, вкл. декларации, че са поели ангажимент за поверителност (чл.28, пар.3, б. “б“ от ОРЗД);
  • процедури за управление на нарушения на сигурността на лични данни (уведомяване и сътрудничество за възстановяване след инцидент).

2.2. Важен момент тук е и конкретното уточняване на взаимоотношенията между администратора и обработващия:

  • ОЛД обработва лични данни само по документирано нареждане на администратора (чл.28, пар.3, б. “а“ от ОРЗД);
  • конкретно посочване на личните данни, които ще се обработват (естеството, обхвата, контекста и целите на обработването);
  • начинът на предоставяне на личните данни;
  • избор на подходящи технически и организационни мерки, за да може да се гарантира и докаже спазване на Регламент (ЕС) 2016/679 и ЗЗЛД (напр. псевдонимизация или криптиране на лични данни) – след анализ на рисковете (чл.28, пар.3, б. “в“ от ОРЗД);
  • водене на журнални записи (logs) на дейностите по обработване на данни в системите за автоматизирано обработване;
  • обучение на служители;
  • процеси и процедури за мониторинг на спазването на уговорените изисквания за сигурност на обработването;
  • нормативните изисквания за конкретното обработване и описание на това как се осигурява тяхното спазване;
  • условия и действия при промяна на договора;
  • задължения след прекратяване на договора – връщане, унищожаване, съхраняване;
  • преносимост – как и колко време се съхраняват данните след прехвърляне;
  • задължение за информираност на администратора, вкл. да го подпомага да отговори на искания за упражняване на правата на субектите на данни (чл.28, пар.3, б. “д“ от ОРЗД);
  • задължение за информираност и сътрудничество с надзорния орган;
  • действия при нарушения на сигурността, вкл. възстановяване на наличността на ЛД.
  • одити/проверки на обработващия (чл.28, пар.3, б. “з“ от ОРЗД);
  • основания за прекратяване на договора.

Необходимо е да се уточни и дали обработващият ще извършва обработването самостоятелно или ще използва и подизпълнители, за които следва да се прилагат всички посочени по-горе изисквания (чл.28, пар.3, б. “г“ от ОРЗД) Това може да се случи само след изрично предварително съгласие на администратора, защото и в този случай администраторът запазва главната си роля в обработването (пар.152 от Насоките).

2.3. При реализация на техническа услуга следва да се определи нивото на услугата (Service Level Agreement (SLA)), което да включва:

  • Описание на предоставяната услуга;
  • Канали за комуникация;
  • Ефективност/качество на услугата;
  • Обем на услугата – разработка, тест, производство и др.;
  • Наличност – времеви период и време за обслужване на отказ;
  • Архивираща политика;
  • Управление на промените;
  • Мерки за сигурност и нива на сигурност;
  • Инциденти и нарушения;
  • Мониторинг и одити;
  • Прекратяване на услугата;
  • Изтриване и унищожаване;
  • Санкции за неспазване на SLA;
  • Преглед на SLA.
  1. Правно основание за уреждане на взаимоотношенията между администратор и обработващ – чл. 28 от ОРЗД.

Отношенията между администратор и обработващ, съгласно чл. 28, пар. 3 от ОРЗД, се уреждат „с договор или с друг правен акт съгласно правото на Съюза или правото на държава членка, който е задължителен за обработващия лични данни спрямо администратора, и който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора.“. В него следва да се разпишат всички елементи, които са разгледани в т. 1 и т. 2 по-горе (пар. 100-160 от Насоките).

За изясняване на някои други аспекти от взаимоотношенията между администратор и обработващ, може да се ползват и „Становище 22/2024 относно определени задължения, произтичащи от използване на обработващ(и) и подобработващ(и)“ на ЕКЗД, налично тук и „Решение за изпълнение (ЕС) 2021/915 на Комисията от 4 юни 2021 година относно стандартни договорни клаузи между администратори и обработващи лични данни съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета и Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета“, налично тук.

Търсене

Провери статус на преписка
Декември 2024
ПВСЧПСН
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
     
< Ное Яну >
Забравена парола?