Комисията за защита на личните данни („КЗЛД“) публикува нов Списък на видовете операции по обработване на лични данни, за които се изисква извършване на оценка за въздействие върху защитата на данните съгласно чл. 35, пар. 4 от Регламент (ЕС) 2016/679 („Списъкът“). След като първоначалният вариант на Списъка премина съгласувателна процедура с Европейския комитет по защита на  данните, който направи препоръки към КЗЛД, формулировките на повечето от операциите по обработване на лични данни претърпяха промени.

В този вид Списъкът, съдържащ осем операции, трябва да се вземе предвид от администраторите на лични данни. Те ще имат задължение да провеждат оценка на въздействието, ако операциите по обработка на лични данни, които провеждат, попадат сред някои от изброените в Списъка. Също така трябва да се отчете, че Списъкът е неизчерпателен и по всяко време КЗЛД може да добавя или премахва операции, изискващи оценка на въздействието.

 

По отношение на операциите по обработка на лични данни, включени в Списъка, може да се отбележи следното:

Съгласно препоръките на Европейския комитет по защита на данните, към някои от операциите КЗЛД добави допълнителни условия, без които операциите сами по себе си не биха довели до вероятност от риск за правата на субектите на данни. Така, за да има нужда администраторът да прави оценка на въздействието, той не само трябва да осъществява операцията обработка на биометрични данни, а освен това към нея трябва да са налице условията обработката да е  мащабна, за целите на уникална идентификация на физическо лице и да не е спорадична. КЗЛД е добавила и допълнително условие към операцията обработка на генетични данни, а именно – обработването да е с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен. Миграцията на лични данни като операция също ще изисква оценка на въздействието, но ако е налице допълнителното условие миграцията да се осъществява от съществуващи към нови технологии, когато това е свързано с мащабно обработване на данни. Отново КЗЛД не дава насоки какво би следвало да се разбира под понятието „нови технологии“, поради което преценката за това следва да се прави от администраторите.

Операцията, посочена в т. 4 от Списъка, отваря широка хипотеза за провеждане на оценка на въздействието. Така всеки администратор, който мащабно обработва лични данни, но няма възможност да предоставя информация за обработката на субектите на данни или предоставянето на информация изисква несъразмерно големи усилия, ще трябва да прави оценка на въздействието.

Други операции по обработване, които са залегнали в Списъка на КЗЛД, са следните:

  • Обработване на данни за местоположение с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен.
  • Обработване на лични данни, осъществявано от администратор с основно място на установяване извън ЕС, когато определеният за негов представител в ЕС е разположен на територията на Република България.
  • Редовно и систематично обработване, при което предоставянето на информацията по чл. 19 от Регламент (ЕС) 2016/679 от администратора на субекта на данни е невъзможно или изисква несъразмерно големи усилия.
  • Обработване на лични данни на деца при пряко предлагане на услуги на информационното общество.

След препоръка на Европейския комитет по защита на данните, от Списъка на КЗЛД отпаднаха операции, които не предполагат рисково обработване на лични данни. Такива са: обработка на основание изпълнение на законово задължение; обработка от съвместни администратори; трансгранична обработка на лични данни с информационни системи (при която данните се прехвърлят между държави-членки на ЕС).

 

Статията не представлява правно становище или съвет, свързан с конкретна ситуация или субект. Поради ограничения й обхват същата не претендира за изчерпателност по темата. За повече информация по засегнатите по-горе въпроси можете да се свържете с нас на e-mail: office@tmlawoffice.bg