Очакваният Правилник за дейността на Комисията за защита на личните данни и нейната администрация („Правилник“) беше обнародван в брой 60 на „Държавен вестник“ от 30.07.2019 г.

В Правилника, освен правомощията на Комисията за защита на лични данни и нейната администрация („Комисията“), са уредени и отделните производства, както и редът, по който те се развиват:

  • Производство за разглеждане на жалби от субекти на данни, във връзка с нарушени техни права;
  • Производство по налагане на принудителни административни мерки като налагане на временно или окончателно ограничаване или забрана на конкретна обработка, разпореждане за преустановяване на потока на данни към получател в трета държава и др. мерки съгласно параграф 2 от Регламент (ЕС) 2016/679 („GDPR“);
  • Приемане на стандартни договорни клаузи;
  • Разглеждане на уведомления за нарушения на сигурността на личните данни; и др.

Съгласно Правилника, Комисията следва да води електронни регистри, които могат да бъдат както публични, така и непублични. Публичните са:

  • Регистър на администраторите и обработващите лични данни, които са определили длъжностни лица по защита на данните;
  • Регистър на акредитираните сертифициращи органи, съгласно чл. 14 от Закона за защита на личните данни („ЗЗЛД“);
  • Регистър на кодексите за поведение по чл. 40 от GDPR.

Друг акцент в Правилника е уредбата на обученията в областта на защитата на личните данни, които Комисията следва да организира и провежда. Обученията ще се извършват или въз основа на подадено до Комисията искане за обучение или по нейна самостоятелна инициатива.

Обученията по инициатива на Комисията се провеждат на основа годишен план за обучение, в който се включват администратори и обработващи лични данни:

  • Чиято основна дейност е с висока обществена и социална значимост;
  • Чиито основни дейности се състоят в мащабно обработване на специални категории лични данни;
  • Чиито основни дейности се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни;
  • Които осъществяват дейности, които попадат в списъка на видовете операции по обработване, за които се изисква оценка на въздействието върху защитата на данните;
  • Които осъществяват обработване на лични данни, което поражда висок риск за правата и свободите на физическите лица.