Глава 2 – Оценка на въздействието върху зашитата на личните данни

Раздел I

Оценка на въздействието

Чл. 3. (1) Оценката на въздействието върху защитата на данните (ОВЗД) е процес, при който администраторът преценява нивата на рисковете свързани с правата и свободите на субектите на данни, а именно степента на въздействие, при което нарушаването на поверителността, целостта или наличността на личните данни би оказало влияние върху конкретно физическо лице или група физически лица в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица.

(2)   Администраторът извършва ОВЗД с цел определяне на:

  1. Адекватно ниво на технически и организационни мерки за защита на личните данни, което отговаря на обработваните лични данни и въздействието при нарушаване на защитата им;
  2. Най-ефективния начин за спазване на задълженията на служителите на „ИНОВАТИВНИ ФИНАНСИ“ ООД  за защита на данните;

Чл. 4. (1) ОВЗД трябва да съдържа най-малко следната информация.

  1. Описание на операциите по обработване и целите, включително, когато е приложимо, законните интереси, преследвани от администратора;
  2. Оценка на необходимостта и пропорционалността на операциите по обработване във връзка с целта;
  3. Оценка на рисковете свързани с правата и свободите на субектите на данни, които е вероятно да възникнат от обработването (и по-специално произхода, естеството, особеностите и тежестта на тези рискове);
  4. Мерките, предвидени за справяне с рисковете, включително предпазни мерки за сигурност и механизми за гарантиране на защитата на личните данни и доказване на спазването на разпоредби те на ОРЗД;
  5. Оценката за въздействие може да се отнася за повече от един проект.

(2)   При извършване на ОВЗД администраторът изисква становището на ДЛЗД.

Раздел II

Оценка на риска при обработката на лични данни

Чл. 5. (1) Всички дейности, осъществявани от „ИНОВАТИВНИ ФИНАНСИ“ ООД, които предвиждат обработка на лични данни, са предмет на предварителна оценка на риска;

(2)   Всяко от административните звена в „ИНОВАТИВНИ ФИНАНСИ“ ООД  което обработва лични данни, идентифицира рисковете, свързани със защитата на лични данни, за възникване на нарушение на сигурността на данните, както и за възможното влияние при евентуалното им възникване. При оценката на риска се определят 3 нива на риска – нисък (приемлив), среден (изисква внимание), висок (неприемлив). Оценката на риска се извършва най-малко веднъж годишно и се ръководи от длъжностното лице за защита на личните данни в „ИНОВАТИВНИ ФИНАНСИ“ ООД.

Чл. 6. При определянето на степента на риска администраторът трябва да вземе предвид:

  1. Критериите за вероятен „висок риск“ на чл. 35. § 3 от ОРЗД;
  2. Общите положения на Стратегията за управление на риска в „ИНОВАТИВНИ ФИНАНСИ“ ООД ;
  3. Съответните рискови области (стратегически рискове, оперативни рискове, политически рискове, икономически рискове, рискове за репутацията, правни, регулаторни рискове, рискове за сигурността и т.н. );
  4. Всички отношения на „ИНОВАТИВНИ ФИНАНСИ“ ООД с външни субекти (други организации, контрагенти по договори, граждани и др.).

Чл.7.(1) В зависимост от определеното ниво на въздействие администраторът извършва:

  1. Приоритизация на идентифицираните рискове в зависимост от резултатите от оценката им;
  2. Определяне на стойността и рейтинга на всеки риск;
  3. Определяне на адекватно ниво на защита, включващо техническите и организационни мерки, които трябва да предприеме за тяхното ограничаване.

(2) В зависимост от рисковете и идентифицираното ниво на въздействие се определя съответно ниво на защита – ниско, средно или високо, както и организационните и технически мерки, адекватни на така определеното ниво.

Раздел III

Предварителни консултации с надзорния орган

Чл. 8. (1) Задължителна предварителна консултация с надзорния орган е необходима, когато

  1. Оценката на въздействието върху защитата на данните покаже, че предвиденото обработване ще породи висок риск и;
  2. Администраторът не може да предприеме ефективни мерки за ограничаването му.

(2) Предварителна консултация може да не бъде проведена, ако администраторът счита, че идентифицираният риск може да бъде смекчен с разумни средства по отношение на наличните технологии и разходите за изпълнение.