От 25 май 2018 г. Законът за защита на личните данни No. 18/2018. Този закон въвежда регламента GDPR в нашето законодателство. Съкращението GDPR се използва доста често навсякъде този месец, така че редовно ви предоставяме нови приноси по тази тема, за да бъдете информирани за всички промени в законодателството и за това, което GDPR носи на практика. В днешната статия ще се съсредоточим главно върху записите на дейностите по обработка.

защита

Кой трябва да води записи на дейностите по обработка?

Всеки оператор или представител на оператора (ако операторът го има) води отчет на дейността по обработка на хартиен или електронен носител. Този запис не трябва да се изпраща никъде, операторът само го държи при себе си. Въпреки това, по искане на Органа, операторът или представителят на оператора са длъжни да предоставят документацията на разположение на Органа.

Посредникът и представителят на посредника, ако са упълномощени, водят отчет за категориите операции по обработка, извършени от името на администратора.

Записите на дейностите по обработка заменят уведомленията за информационни системи, приложения за специална регистрация на информационни системи и регистрационни листове за информационни системи. За разлика от правната уредба, съдържаща се в Закон №. 122/2013 Coll. по отношение на защитата на личните данни това задължение не е свързано с информационната система, а с целта на обработването.

Операторът или неговият представител е отговорен да гарантира, че цялата информация, предоставена в записа, е актуална. Например, ако отговорното лице се е променило, операторът е длъжен да актуализира тази информация в записа в деня на промяната.

В премиум частта на съдържанието ще намерите:

  • Какво трябва да съдържа записът за дейността по обработка?
  • Кой не трябва да води записи на дейностите по обработка?
  • Образец на запис на дейностите по обработка
  • Инструкции за попълване на образцовия запис на дейностите по обработка

Какво трябва да съдържа записът на дейността по обработка?

Записът на оператора трябва да съдържа:

  • идентификационни данни и данни за контакт на оператора, съвместния оператор, представителя на оператора, ако е упълномощен, и отговорното лице,
  • целта на обработването на лични данни,
  • описание на категориите субекти на данни и категориите лични данни,
  • категории бенефициенти, включително бенефициер в трета държава или международна организация,
  • определяне на трета държава или международна организация, ако администраторът възнамерява да прехвърли лични данни на трета държава или международна организация и документация за подходящи предпазни мерки, ако администраторът възнамерява да прехвърли съгласно § 51, ал. 1 и 2,
  • прогнозни срокове за изтриване на различни категории лични данни,
  • общо описание на техническите и организационни мерки за сигурност съгласно § 39, ал. 1.

Записът на брокера трябва да съдържа:

  • данни за идентификация и данни за контакт на посредника и оператора, от чието име посредникът действа, представителя на оператора или посредника, ако е упълномощен, и отговорното лице,
  • категории обработка на лични данни, извършена от името на всеки администратор,
  • определянето на трета държава или международна организация, ако администраторът възнамерява да прехвърли лични данни на трета държава или международна организация, и документация за разумни гаранции, ако администраторът възнамерява да прехвърли съгласно § 51, ал. 1 и 2,
  • общо описание на техническите и организационни мерки за сигурност съгласно § 39, ал. 1.

Кой не трябва да води записи на дейностите по обработка?

Ако в предприятието или организацията работят по - малко от 250 души и

  • освен ако е малко вероятно обработването на лични данни, което извършва, да доведе до риск за правата и свободите на субекта на данните, и
  • обработването на лични данни е случайно и
  • обработването не включва специални категории лични данни съгласно § 16, ал. 1 от закона, или Изкуство. 9 ал. 1 от регламента (например биометрични данни, здравни данни и др.) Или не включва лични данни, свързани с признаването на вина за престъпление или нарушение по § 17 от закона, или Изкуство. 10 от регламента, така че

операторът или неговият представител не е длъжен да води записи за конкретната дейност по преработка, обхваната от това освобождаване.

Забележете Podnikam.sk

Администраторът или представителят на оператора не трябва да водят записи само за онези операции по обработка, за които се прилага самото освобождаване. По този начин, ако има 10 операции по обработка и 2 са освободени, останалите 8 трябва да водят записи на дейностите по обработка.

Образец на запис на дейностите по обработка

Можете да изтеглите примерен запис на обработващи дейности тук: Образец на запис на дейностите по обработка

Този шаблон съдържа всички задължителни изисквания, изисквани от закона, или. Регламент, но не е задължителен. Операторът или неговият представител има възможност да го коригира според себе си, но той трябва да съдържа всички законови изисквания.

Инструкции за попълване на образцовия запис на дейностите по обработка

  1. Операторът или представителят на оператора изброява идентификационни данни и данни за контакт - име и фамилия на фирмата, идентификационен номер, адрес на седалище/постоянно пребиваване, телефонен контакт, имейл адрес
  2. Подробности за съвместния оператор, представителя на оператора и отговорното лице се предоставят, ако делегираното или отговорното лице е посочено.
  3. За отговорното лице, което може да бъде физическо или юридическо лице, трябва да бъдат изброени всички данни за идентификация и контакт, достъпни за оператора или представителя на оператора. В случай на отговорно лице, което е и служител на оператора/представител на оператора, не е необходимо да попълвате адреса. В случай на външно отговорно лице се посочва адресът на неговото седалище или постоянно местожителство.
  4. За целите на обработването на лични данни означава конкретна определена или установена цел, въз основа на която администраторът ще обработва лични данни, свързани с неговата дейност. Тази цел трябва да бъде предварително определена от оператора, недвусмислено и следва да бъде обоснована. Напр. обработка на лични данни на служителя с цел изпълнение на задълженията на работодателя, свързани с трудовото правоотношение. Всяка цел на обработката трябва да бъде дефинирана отделно в записа и всички задължителни изисквания трябва да бъдат изпълнени за всяка. Колко цели има операторът, колко "редове" трябва да съдържа записът.
  5. Описание на категориите заинтересовани лица е кръгът от лица, чиито лични данни ще бъдат обработвани. В случай на служители, такава категория ще бъде работникът, съпругът на служителя, децата на служителя и т.н.
  6. В категория лични данни следните опции са: обикновени лични данни, специална категория лични данни и/или лични данни, свързани с признаването на вина за престъпление или престъпление. Представителят на администратора/оператора трябва да посочи категорията, но не е изключено да предостави списък с имена на всички лични данни, които той обработва.
  7. Друго задължително изискване е категория бенефициенти. Получател означава всеки, на когото се предоставят лични данни, независимо дали е трета страна. Ако операторът е в състояние да идентифицира бенефициера, той вписва конкретен бенефициер в записа, например социално осигурително дружество, здравноосигурително дружество в случай на служител и плащането на вноски за него. Ако операторът не е в състояние да идентифицира получателя, категорията, кръгът на получателите, напр. съдилища, публични органи и др. Бенефициентът е и посредник на оператора.
  8. Ако операторът възнамерява трансфер на лични данни към трети държави или международни организации са длъжни да изброят полето с това законово изискване, към което ще бъдат прехвърлени данните. Трябва да е налице документация за адекватни предпазни мерки, за да се гарантира такова предаване.
  9. Необходимо е да се посочи за всяка категория лични данни термина, след което те трябва да бъдат лични данните са изтрити. Този период може да бъде определен от специално законодателство, напр. Закон за архивите и регистрите, или операторът сам го определя по отношение на принципа за свеждане до минимум на запазването на лични данни.
  10. Необходимо е да се посочи в записа на дейностите по преработка, които техническите и организационни мерки за сигурност са предприети от оператора, да гарантира, че обработката на лични данни е сигурна, защитена и да направи всичко по силите си, за да предотврати злоупотребата им. Необходимо е да се изхожда от § 39 от закона, който предвижда по-специално следните мерки:
    • псевдонимизация и криптиране на лични данни,
    • осигуряване на постоянна поверителност, цялост, наличност и устойчивост на системите за обработка на лични данни,
    • процесът на възстановяване на наличността на лични данни и достъп до тях в случай на физически или технически инцидент,
    • процесът на редовно тестване, оценка и оценка на ефективността на техническите и организационни мерки за осигуряване на сигурността на обработката на лични данни.

Може да става въпрос за технически мерки за сигурност за осигуряване на компютъра с антивирус, защита с парола, в случай на хартиен документ това може да бъде заключващ се шкаф, сейф, архив с код. В случай на организационни мерки, човешкият фактор е този, който гарантира сигурността на обработката на лични данни на засегнатите лица, напр. определено отговорно лице, информирано упълномощено лице. В случай на изготвена документация за защита на личните данни е възможно да се предостави препратка към такъв документ.

16. Незадължителното вписване „правно основание на обработваща дейност“ се вмъква в модела на записа на дейностите по обработка на оператора или на представителя на оператора, който е регламентиран в § 13 от закона. Това не е задължителна част от записа на дейностите по обработка, но поради факта, че правното основание е свързано с целта на обработване на лични данни и в случай на контрол администраторът/представителят на администратора все още е длъжен да заяви правната основа на обработката.