Предложение за сътрудничество за организационна и вътрешно – нормативна подготовка за изпълнение на изискванията на новия Общ Регламент относно защитата на данните /GDPR/.

Logo_ECZ_1

ПРЕДЛОЖЕНИЕ ЗА СЪТРУДНИЧЕСТВО

 

Относно: Организационна  и вътрешно – нормативна подготовка за изпълнение на изискванията на новия Общ Регламент относно защитата на данните /GDPR/.

От 25 май 2018г.  е в сила Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните, GDPR), който въвежда по – високи стандарти за защита на личните данни, по – широки права на физическите лица и нови задължения на администраторите на лични данни, в това число защита на личните данни на етапа на проектирането и по подразбиране.

Общинските  администрации, администрациите на кметствата и кметските наместничества също се подчиняват на правилата на GDPR при обработката на лични данни, отнасящи се до дадено лице.

В качеството си на администратор на лични данни общината следва да предприеме съответните действия, за да изпълни новите изисквания на Регламента, като за тази цел е необходимо да бъде извършена съответната организационна и вътрешно – нормативна подготовка  до влизането в сила на Регламента от 25 май 2018г.

I. В тази връзка представяме на Вашето внимание предложение за цялостно съдействие за практическото прилагане и изпълнение на изискванията на Общия Регламент, което включва следните услуги:

  1. Анализ на процесите по обработка на лични данни и оценка на риска.
  • Извършване на анализ на съществуващите процеси и процедури по събиране, обработка и съхранение на лични данни в административната структура на общинската администрация, кметствата и кметските наместничества /GAP анализ на процесите/;
  • Извършване на дейности по управление на риска при обработването на лични данни, а при необходимост и оценка на въздействието.
  • Изготвяне на План за действие за въвеждане на определените технически и организационни мерки;
  1. Разработване на вътрешно – нормативни документи, вътрешни процедури и механизми за отчетност.
  • Разработване на правила /в т. ч. вътрешно – нормативни документи/;
  • Разработване на вътрешни процедури за обработване на данни, предоставяне на информация на субектите на данните и практическото упражняване на правата на субектите на данни;
  • Разработване на контролни механизми и механизми за отчетност и известяване в съответствие с GDPR;
  • Съдействие, включително обучение на служителите на администрацията при внедряване на правилата, процедурите, вътрешните контроли, организацията на работа и отчетността за изпълнение на изискванията на GDРR и привеждане в пълно съответствие с Регламента;
  1. Предоставяне на специализирана услуга – „Длъжностно лице по защита на данните“ (ДЛЗД).

II. Описание на услугите:

  1. Анализ на процесите по обработка на лични данни и оценка на риска.

а/  Въвеждащо запознаване на определения екип с новите нормативни изисквания в  областта на защита на личните данни;

/Провежда се под формата на представяне на основните положения в Регламента, Закон за защита на личните данни и подзаконовите актове по прилагането му, ръководствата и насоките на Комисията за защита на личните данни (КЗЛД) и Работната група по чл. 29 (след 25.05.2018 г. – на Европейския комитет по защита на данните).

б/ Извършване на анализ на дейностите по обработване на личните данни и прилаганите мерки за сигурност / GAР анализ/

/Извършва се оценка на действащите процеси, свързани с обработка и администриране на лични данни на физически лица, така и на извършваната обработка на такива данни с помощта на ИТ средства. В рамките на анализа се установява какви категории лични данни и на какви категории физически лица (независимо от тяхното гражданство) се обработват, за какви конкретни цели се събират, съхраняват и обработват личните данни, на кого се предоставят или разкриват личните данни извън организацията, колко време се съхраняват личните данни в организацията и как е определен този срок, какви мерки за сигурност се прилагат за защита на данните./

в/  Извършване на дейности по управление на риска по отношение на защитата на личните данни.

/Извършва се оценка на риска при обработването на лични данни, а при наличие на

висок риск и оценка на въздействието, като при необходимост се прави задължителна консултация с Комисията за защита на личните данни, предприемане на мерки за защита на данните на етапа на проектирането и по подразбиране/.

г/ Изготвяне на план за действие за  въвеждане на определените технически и организационни мерки.

/В плана се определят мерките, отговорните лица, сроковете и етапите за

изпълнение, както и необходимите финансови, технически и човешки ресурси/.

2. Разработване на вътрешно – нормативни документи, вътрешни процедури и

механизми за отчетност.

а/ Преглед на правните основания за обработване на лични данни, включително въз основа на съгласие на лицата и предлагане на необходимите мерки.

    /Преглед на използваните до момента алтернативни правни основания за обработване на лични данни, преценка дали е законосъобразно и целесъобразно обработването на лични данни – да е на основание единствено съгласието на лицето, документиране на съгласието с цел доказване пред Комисията за защита на личните данни и съда (декларации и др.)/

б/  Създаване на вътрешни процедури за практическо упражняване на правата на субектите на данни и за уведомяване за нарушение на сигурността на личните данни.

   /Разработване на вътрешни процедури за приемане, разглеждане и отговаряне в едномесечен срок на искания от физически лица за упражняване на правата им като субекти на лични данни и създаване на организация за прилагането им на практика. Приемане на вътрешна процедура и/или план за действие в случай на нарушение на сигурността на личните данни и на вътрешна организация за своевременно уведомяване на КЗЛД в срок до 72 часа от узнаването за нарушението./

в/ Консултиране за начина и формата за предоставяне на информация на субектите на данните и прозрачност на обработването.

 /Предоставяне на обобщена, кратка и разбираема информация чрез интернет сайта на общината или по друг достъпен за субектите на данни начин за обработване на данните, информация за правата /право на достъп, коригиране или изтриване на лични данни, ограничаване на обработването, възражение срещу обработването /и реда за обжалване, данни за контакт с общината и Длъжностното лице по защита на данните, във връзка с обработване на лични данни/. Информиране по подходящ начин на служителите в общината в случай, че се извършва видеонаблюдение на работното място, следят се средствата за електронна комуникация на работното място./

г/ Извършване на дейности във връзка с документиране и отчетност.

/Създаване на вътрешен регистър на дейностите по обработване на лични данни в общината, Вътрешна инструкция/правила/процедури/политика за защита на личните данни, преглед и при нужда актуализиране на декларациите или другите форми за документиране на съгласието на субекта на данните./

  1. Предоставяне на специализирана услуга – „Длъжностно лице по защита на

данните“ (ДЛЗД).

/С цел законосъобразното обработване на лични данни в структурата на

администратора, той определя Длъжностно лице по защита на данните, като за органите на местно самоуправление това е задължително. ДЛЗД трябва да разполага с професионални качества и експертни познания в областта на защитата на лични данни /законодателство и  практика/. ДЛЗД може да бъде и външно за администратора лице.  ДЛЗД осъществява консултативно – превантивни функции по всички въпроси, свързани с обработването и защитата на личните данни./

Настоящото предложение е с обхват административна структура на общинска администрация,  кметства и кметски наместничества, в качеството на администратор на лични данни и не включва администраторите на данни второстепенни разпоредители с бюджетни кредити.

Оставаме на Ваше разположение за допълнителни въпроси във връзка с това предложение.

 

gdpr-eu_770x513thumb_249_news_detail