Раздел I

ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО

Чл. 3. (1) Оценката на въздействието върху защитата на данните (ОВЗД) е процес, при който администраторът преценява нивата на рисковете свързани с правата и свободите на субектите на данни, а именно степента на въздействие, при което нарушаването на поверителността, цялоста или наличността на личните данни би оказало влияние върху конкретно физическо лице или група физически лица в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица.

(2)   Администраторът извършва ОВЗД с цел определяне на:

  1. Адекватно ниво на технически и организационни мерки за защита на личните данни, което отговаря на обработваните лични данни и въздействието при нарушаване на защитата им;
  2. Най-ефективния начин за спазване на задълженията на служителите на „С.Г.ГРУП” ЕАД за защита на данните;

Чл. 4. (1) ОВЗД трябва да съдържа най-малко следната информация:

  1. Описание на операциите по обработване и целите, включително, когато е приложимо, законните интереси, преследвани от администратора;
  2. Оценка на необходимостта и пропорционалността на операциите по обработване във връзка с целта;
  3. Оценка на рисковете свързани с правата и свободите на субектите на данни, които е вероятно да възникнат от обработването (и по-специално произхода, естеството, особеностите и тежестта на тези рискове);
  4. Мерките, предвидени за справяне с рисковете, включително предпазни мерки за сигурност и механизми за гарантиране на защитата на личните данни и доказване на спазването на разпоредби те на ОРЗД;
  5. Оценката за въздействие може да се отнася за повече от един проект.

(2)   При извършване на ОВЗД администраторът изисква становището на ДЛЗД.

Раздел II

ОЦЕНКА НА РИСКА ПРИ ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

Чл. 5. (1) Всички дейности, осъществявани от „С.Г.ГРУП” ЕАД, които предвиждат обработка на лични данни, са предмет на предварителна оценка на риска;

(2)   Всяко от административните звена в „С.Г.ГРУП” ЕАД което обработва лични данни, идентифицира рисковете, свързани със защитата на лични данни, за възникване на нарушение на сигурността на данните, както и за възможното влияние при евентуалното им възникване. При оценката на риска се определят 3 нива на риска – нисък (приемлив), среден (изисква внимание), висок (неприемлив). Оценката на риска се извършва най-малко веднъж годишно и се ръководи от длъжностното лице за защита на личните данни в „С.Г.ГРУП” ЕАД.

Чл. 6. При определянето на степента на риска администраторът трябва да вземе предвид:

  1. Критериите за вероятен „висок риск“ на чл. 35. § 3 от ОРЗД;
  2. Общите положения на Стратегията за управление на риска в „С.Г.ГРУП” ЕАД;
  3. Съответните рискови области (стратегически рискове, оперативни рискове, политически рискове, икономически рискове, рискове за репутацията, правни, регулаторни рискове, рискове за сигурността и т.н. );
  4. Всички отношения на „С.Г.ГРУП” ЕАД с външни субекти (други организации, контрагенти по договори, граждани и др.).

Чл.7.(1) В зависимост от определеното ниво на въздействие администраторът извършва:

  1. Приоритизация на идентифицираните рискове в зависимост от резултатите от оценката им;
  2. Определяне на стойността и рейтинга на всеки риск;
  3. Определяне на адекватно ниво на защита, включващо техническите и организационни мерки, които трябва да предприеме за тяхното ограничаване.

(2) В зависимост от рисковете и идентифицираното ниво на въздействие се определя съответно ниво на защита – ниско, средно или високо, както и организационните и технически мерки, адекватни на така определеното ниво.

Раздел II

ПРЕДВАРИТЕЛНИ КОНСУЛТАЦИИ С НАДЗОРНИЯ ОРГАН

Чл. 8. (1) Задължителна предварителна консултация с надзорния орган е необходима, когато

  1. Оценката на въздействието върху защитата на данните покаже, че предвиденото обработване ще породи висок риск и;
  2. Администраторът не може да предприеме ефективни мерки за ограничаването му.

(2) Предварителна консултация може да не бъде проведена, ако администраторът счита, че идентифицираният риск може да бъде смекчен с разумни средства по отношение на наличните технологии и разходите за изпълнение.