# 8 ОТЧЕТНОСТТА КАТО НОВ ПРИНЦИП НА GDPR

В продължение на публикациите относно GDPR с настоящия материал ще засегнем един от изцяло новите принципи на защитата на личните данни, въведен с Регламента – отчетността.

Отчетност на практика означава способността на администратора на лични данни във всеки един момент да докаже, че обработва личните данни законосъобразно, добросъвестно, прозрачно и в минимален обем за постигане на ясно определени цели, като данните се съхраняват точни и само за времето, необходимо за постигане на тези цели, а посоченото обработване е обезпечено с подходящо ниво на сигурност и защита на данните.

Отчетността предполага надлежно документиране на всички процеси по обработване на лични данни в предприятието. Иначе казано, предприятията трябва да създадат „документална следа“ относно обработването – да разполагат с писмен документ, който позволява проследимост на процесите по обработване на данните и който може да се ползва като доказателство при проверка от КЗЛД относно спазването на изискванията на GDPR.

Сред някои от най-важните инструменти за постигане на отчетност можем да посочим средства :
• поддържането на регистри на дейностите по обработване по чл. 30 GDPR;
• надлежно уреждане на отношенията със субектите на данни по повод обработването на данни (чрез политики за защита на личните данни, декларации за информираност и др. под.);
• надлежно уреждане на отношенията с трети лица по повод предаване на данни (договори между администратори и между администратори и обработващи);
• определяне на длъжностно лице по защита на личните данни, когато такова се изисква;
• извършване на оценка на въздействието при наличие на висок риск за правата и свободите на физическите лица;
• своевременно уведомяване на Комисията за защита на личните данни и субекта на данните при нарушения на сигурността;
• прилагане на доброволни механизми за сертифициране и/или спазване на кодекси на поведение;
• приемане на вътрешни правила за защита на личните данни (инструкции, политики, и др. под.).

Сред посочените по-горе средства особено внимание следва да се отдели на воденето на регистри на дейностите по обработване. Тези регистри се поддържат от администратора и обработващия лични данни и при поискване трябва да осигурят достъп до регистъра на надзорния орган. Съдържанието на регистрите е подробно уредено в GDPR (чл. 30, пар. 1 и пар. 2).

Задължението за водене на регистър не се прилага по отношение на организации с по-малко от 250 служители, освен ако (i) има вероятност извършваното от тях обработване да породи риск за правата и свободите на субектите на данни, (ii) ако обработването не е спорадично или (ii) включва специални категории данни или лични данни, свързани с присъди и нарушения. Кое да е от тези изключения да е налице, съответната организация трябва да води регистри за съответната дейност по обработване.

От значение за спазване на принципа на отчетност е и оценката на въздействието върху защитата на данните. Работната група по член 29 приема, че оценката на въздействието върху защитата на данните представлява важен инструмент за отчетност, тъй като подпомага не само спазването на установените изисквания, но и демонстрира, че са предприети подходящи мерки.

Работната група по член 29 – консултативен орган на ниво ЕС относно защитата на личните данни – посочва в едно от становищата си по стария режим за защита на личните данни още някои категории общи мерки за отчетност извън посочените по-горе, по-важните от които са[1] :
• идентифициране на всички процеси по обработване на данните в организацията;
• предоставяне на адекватна защита на данните, обучение на членовете на персонала, които обработват или отговарят за личните данни (като например директорите на човешките ресурси), но също и ИТ мениджъри, разработчици и директори на бизнес звена, както и заделяне на достатъчно ресурси за защита на личните данни в организацията;
• създаване на вътрешен механизъм за разглеждане на жалби;
• създаване на вътрешни процедури за ефективно управление и докладване на нарушения на сигурността;
• изпълнение и надзор на процедурите за проверка, за да се гарантира, че всички мерки не само съществуват на хартия, но и че те се изпълняват и работят на практика (вътрешни или външни одити и т.н.).

Каква е практическата нужда от принципа на отчетност и защо трябва една организация да положи усилия, за да го спазва?

Личните данни представляват особен „ресурс“ на всяка една организация. Те са мощен инструмент за правене на бизнес, доколкото носят информация за изборите, предпочитанията, нагласите и желанията на потребителите. Това разкрива големи възможности за по-добър маркетинг, PR и др. под. В същото време, освен ресурс, личните данни са особена категория информация, която може да засегне личната сфера на лицата, за които се отнасят, или да даде възможност за недобросъвестни практики (манипулации и др. под. – пример за това е скандалът с Cambridge Analytica и данните от социалната мрежа Фейсбук). Ето защо, организациите трябва да осигурят адекватна защита на този вид информация. Това става още по-наложително в контекста на новите правила и високите санкции на GDPR.

Смисълът на принципа на отчетност е постепенно в компаниите да се развие култура на надлежно документиране на цялото движение на всякакви лични данни в организацията. Така компаниите ще имат по-голям контрол и ще могат по-адекватно да управляват ресурсите си, а при проверка – да докажат спазването правилата на GDPR.

[1] Opinion 3/2010 on the principle of accountability, WP 173, Adopted on 13 July 2010, p. 11-12.