GDPR - Оперативно ръководство - част "Права на субекта на данни"

ОБЩ РЕГЛАМЕНТ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

(EU General Data Protection Regulation - GDPR)

ОПЕРАТИВНО РЪКОВОДСТВО

ЗА МАЛКИТЕ И СРЕДНИ ПРЕДПРИЯТИЯ ,

ЗА ВНЕДРЯВАНЕ НА ИЗИСКВАНИЯТА, В СЪОТВЕТСТВИЕ С

GDPR И ЗАКОНА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ (проект)

Забележка: За по-добро разбиране на Оперативното ръководство е препоръчително предварително да се запознаете (ако не сте го направили вече) с публикуваната по-рано (в същия блог) първа част - „Въведение“.

1.Права на субекта на данни

Цел

Организацията трябва изясни, дали предоставя възможности на субектите на лични данни да ползват пълноценно правата си.

1.1Общи въпроси

• Позволява ли организацията на субектите на данни да ползват пълноценно правата си ?

Контрол

Член от GDPR , определящ изисквания, свързани с МСП	Контроли (сигнатура по ISO 27002:2013) свързани със съответните членове на GDPR	Допълнителни контроли (сигнатура по ISO 27018:2014) свързани със съответните членове на GDPR (при използване на публични „облачни“ услуги за обработка на лични данни)”.=6
Чл.12 (2) (прозрачност) Администраторът съдейства на субекта на данни по начин, осигуряващ го с възможности да упражнява своите права.	A.12.1.1 (документирани процедури за работа) Контрол Процедурите за работа трябва да бъдат документирани и достъпни за всички потребители, които се нуждаят от тях.	Няма допълнителен контрол
Чл.12 (3) (прозрачност) Администратора ще може да отговори на запитвания на субекта на данни, без прекомерно забавяне и при всички случаи, в рамките на един месец от получаването на запитването.	A.12.1.1 (документирани процедури за работа) Контрол Процедурите за работа трябва да бъдат документирани и достъпни за всички потребители, които се нуждаят от тях.	Няма допълнителен контрол
Чл. 13 (1) (2) (информацията, която трябва да се предостави, когато се събират данни от субекта на данни) Чл.14 (1) (2) (информацията, която трябва да се предостави, когато се придобиват данни НЕ от субекта на данни) Чл. 15 (1) (права и достъп на субекта на данни) Администратора ще осигури субекта на данни с информация за обработките и съответните им операции, независимо от това дали данните са събрани от самия субект или са придобити от трета страна. В допълнение към задълженията на администратора за активно предоставяне на информация на субекта на данни преди започване на обработките, субекта може във всяко време да изисква достъп до данните и до информация, свързана с обработките. Администраторът трябва да разкрива най-малкото, следната информация: -Информация за идентичността и за контакт (същата информация, ако е приложимо, се предоставя е за служителя по защита на личните данни; -Целите на обработките и правните основания за тяхното извършване; -Легитимните интереси на администратора, ако обработките се основават на принципа за „баланс на интересите“; -Категориите персонални данни; -Категориите получатели на лични данни; -Информация за трансфера на лични данни към трети страни (ако е приложимо); -Времето за извършване (периода) за извършване на обработките (вкл. И съхраняване); -Правата, корекциите или изтриването на личните данни, ограниченията в обработките, правата за преносимост на данните; -Възможност за отказ от дадено съгласие; -Възможност за оплакване към надзорен орган; -Източниците за придобиване на лични данни (за трети стрени); -Информация за това, дали личните данни се обработват, като част от изпълнението на договор; -Информация, ако обработките се използват за „профилиране“; -Информация, ако личните данни се използват за нови цели;	A.12.1.1 (документирани процедури за работа) Контрол Процедурите за работа трябва да бъдат документирани и достъпни за всички потребители, които се нуждаят от тях. А.6.1.1 (роли и отговорности по информационната сигурност) Контрол Трябва да бъдат определени и разпределени всички отговорности по информационната сигурност A.18.1.4 (съответствие с тайната и защитата на информацията за самоличността) Контрол Трябва да бъде осигурена тайната и защитата на информацията за самоличността според изискванията на съответните нормативни актове и регламенти, където са приложими. А.8.2.1 (класифициране на информацията) Контрол Информацията трябва да бъде класифицирана според изискванията на нормативните актове, нейната стойност, критичност и чувствителност към неоторизирано разкриване или модифициране. A.13.2.1 (iполитика и процедури за обмен на информация) Контрол Трябва да съществуват официални политики, процедури и механизми за контрол, за да се защити обменът на информация чрез използване на всички средства за комуникация.	А.11 (съответствие с тайната на информацията за самоличността) A.11.1 Географско разположение на информация за самоличността Контрол Организациите поддържащи (оператор) публичен „облак“ и изпълняващи обработка на лични данни (обработващ лични данни) на администратори, трябва да определят и документират страните, в които личните данни могат да бъдат съхранявани. А.11.2 Планирани места за получаване на информация за самоличността Контрол Информацията за самоличността, предавана чрез мрежите за обмен на данни, трябва да бъде контролирана, с цел да се осигури, че е пристигнала на планираното място за получаване. Забележка: Когато за трансфера на информация се използват физически носители, трябва да има изградена система, чрез която да се регистрират входящите и изходящи физически носители, съдържащи лични данни, вкл., и типа на физическите носители; оторизираните податели и получатели; дата и време; брой на физическите носители. Когато е възможно, може да се приложат допълнителни мерки за сигурност (напр., криптиране на данните), с цел да се осигури, че данните могат дъ бъдат достъпни само в крайната (планираната) точка за получаване, а не по пътя на трансфера.
Чл.16 (корекция) Чл.17 (право за изтриване) Чл. 18 (право за ограничение на обработките) Администратора ще осигури изпълнението на правото на субекта на данни, за корекция или изтриване на данните. Администратора ще осигури ограничение на обработките, в съответствие с изискването на субекта на данни.	A.12.1.1 (документирани процедури за работа) Контрол Процедурите за работа трябва да бъдат документирани и достъпни за всички потребители, които се нуждаят от тях.	Няма допълнителен контрол
Чл.19 (задължения за оповестяване) Администраторът ще информира всички трети страни, за всяка корекция или изтриване на лични данни, свързани с конкретен субект на данни.	A.12.1.1 (документирани процедури за работа) Контрол Процедурите за работа трябва да бъдат документирани и достъпни за всички потребители, които се нуждаят от тях.	Няма допълнителен контрол
Чл.20 (преносимост на данните) Администраторът ще предоставя данни за субекта на данни в структуриран, общо приет, машинно четабилен формат на самия субект или на всеки друг администратор, на база искане от субекта на данни	A.12.1.1 (документирани процедури за работа) Контрол Процедурите за работа трябва да бъдат документирани и достъпни за всички потребители, които се нуждаят от тях.	Няма допълнителен контрол
Чл.21 (право на възражение) Администраторът ще управлява правата на субекта на данни, свързани с негови възражения към обработките на лични данни.	A.12.1.1 (документирани процедури за работа) Контрол Процедурите за работа трябва да бъдат документирани и достъпни за всички потребители, които се нуждаят от тях. A.18.1.4 (съответствие с тайната и защитата на информацията за самоличността) Контрол Трябва да бъде осигурена тайната и защитата на информацията за самоличността според изискванията на съответните нормативни актове и регламенти, където са приложими.	А.11 (съответствие с тайната на информацията за самоличността) A.11.1 Географско разположение на информация за самоличността Контрол Организациите поддържащи (оператор) публичен „облак“ и изпълняващи обработка на лични данни (обработващ лични данни) на администратори, трябва да определят и документират страните, в които личните данни могат да бъдат съхранявани. А.11.2 Планирани места за получаване на информация за самоличността Контрол Информацията за самоличността, предавана чрез мрежите за обмен на данни, трябва да бъде контролирана, с цел да се осигури, че е пристигнала на планираното място за получаване.
Чл.22 (профилиране) Ката правило, администраторът не може да извършва профилиране на субектите на данни, и трябва да осигури, че това практически не се случва. Ако профилирането е: необходимо за изпълнението на договор; правно оторизирано; или, изрично разрешено, чрез съответното съгласие на субекта на данни, профилирането може да бъде извършвано (т.е., то е легално ).	A.12.1.1 (документирани процедури за работа) Контрол Процедурите за работа трябва да бъдат документирани и достъпни за всички потребители, които се нуждаят от тях. A.18.1.4 (съответствие с тайната и защитата на информацията за самоличността) Контрол Трябва да бъде осигурена тайната и защитата на информацията за самоличността според изискванията на съответните нормативни актове и регламенти, където са приложими.	А.11 (съответствие с тайната на информацията за самоличността) A.11.1 Географско разположение на информация за самоличността Контрол Организациите поддържащи (оператор) публичен „облак“ и изпълняващи обработка на лични данни (обработващ лични данни) на администратори, трябва да определят и документират страните, в които личните данни могат да бъдат съхранявани. А.11.2 Планирани места за получаване на информация за самоличността Контрол Информацията за самоличността, предавана чрез мрежите за обмен на данни, трябва да бъде контролирана, с цел да се осигури, че е пристигнала на планираното място за получаване.

Препоръки за изпълнение на изискванията по чл.12, 13, 14,15,16, 19, 20, 21 и 22

Администраторът ще подпомага субекта на данни по начин, който да му позволява да ползва пълноценно своите права. Освен другото, информацията трябва да бъде предоставяна на субекта на данни в лесно разбираем вид и език, а когато е възможно, и чрез подходящи, стандартизирани „икони“.

Администратора ще осигурява поддръжка на субекта на данни безплатно, освен ако се получават многократно повтарящи се запитвания. Субекта на данни може да има промяна на своите лични данни по различни причини - напр., отказ от предварително дадено съгласие – вкл., тяхното изтриване. Ако администратора разкрива данните, то той трябва да оповести всяко искане за изтриване, корекция и премахване на връзките към информацията на страната (организацията) пред която се разкрива информацията.

Ако информацията е некоректна или незаконна, субекта на данни може да се възползва от правото си за предявяване на претенции (несъгласие), свързани с ограничаване на обработките на данни.

Субекта на данни трябва да има правото да получи своите лични данни в структуриран, общоприет машинно четабилен формат. Целта на това право е да позволи на субекта на данни да предостави своите лични данни на друг администратор. Субекта на данни има и правото да изисква администратора да предостави неговите лични данни на нов администратор.

Субекта на данни има право да НЕ бъда „профилиран“. Профилирането може да се извършва само, когато е основано на изпълнение на договор; когато е разрешено по правен път или когато субекта на данни е дал изрично съгласие. Съгласието може да бъде дадено и за цели на маркетинга.

По собствена инициатива, администратора трябва да информира субекта на данни за обработките и съответните операции. Ако администратора получава личните данни директно от субекта на данни, обработващия данни трябва да информира за следното:

• идентификация на администратора и информация за контакт с него(вкл., за Служителя по защита на личните данни – ако е приложимо);

• целта и правните основания за извършване на обработките;

• категориите получатели, имащи достъп за обработване на информацията;

• има ли трансфер на данни към трета страна;

• период на обработката;

• права за изтриване или корекция на лични данни;

• права за несъгласие и ограничаване на обработката на данни;

• възможност за преносимост на данните;

• възможност за отказ от съгласие;

• възможност за оплакване на надзорен орган;

• дали, личните данни се обработват на основание част от договор;

• дали обработката е част от автоматизирана обработка за вземане на решения, базирани на информацията (профилинг);

• дали информацията се обработва за нови цели;

Ако информацията се събира от трета страна, администратора трябва да информира субекта на данни кои категории лични данни ще бъда обработване и от какви източници постъпва информацията за него.

Забележка: След приемането на новия Закон за защита на личните данни, това ОР ще бъде своевременно актуализирано, както е приложимо.

Следва публикуването на поредната част от ОР – „Задължения на МСП (администратор и/или обработващ лични данни) по сигурността“

GDPR - Оперативно ръководство - част "Принципи за обработка на личните данни"

ОБЩ РЕГЛАМЕНТ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

(EU General Data Protection Regulation - GDPR)

ОПЕРАТИВНО РЪКОВОДСТВО

ЗА МАЛКИТЕ И СРЕДНИ ПРЕДПРИЯТИЯ ,

ЗА ВНЕДРЯВАНЕ НА ИЗИСКВАНИЯТА, В СЪОТВЕТСТВИЕ С

GDPR И ЗАКОНА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ (проект)

Забележка: За по-добро разбиране на Оперативното ръководство е препоръчително предварително да се запознаете (ако не сте го направили вече) с публикуваната по-рано (в същия блог) първа част - „Въведение“.

1.Принципи за обработка на личните данни

Необходимо е организацията да определи, дали ще обработва личните данни, в съответствие със съответните принципи в GDPR

1.1 Общи въпроси

• Организацията ще изпълнява ли принципите за обработка на личните данни ?

• Обработките на личните данни пропорционални ли са на целите на тези обработки (изисква ли се тяхното изпълнение) ?

• Възможно ли е организацията да използва по-малко „агресивни / натрапчиви“ начини за работа с личните данни (вкл. за събиране на данни) и пак да постигне поставените цели на обработките ?

Контрол

Член от GDPR , определящ изисквания, свързани с МСП	Контроли (сигнатура по ISO 27002:2013) свързани със съответните членове на GDPR	Допълнителни контроли (сигнатура по ISO 27018:2014) свързани със съответните членове на GDPR (при използване на публични „облачни“ услуги за обработка на лични данни)”.=6
Чл.5 (принципи) Организацията трябва да определи кои лични данни ще обработва и по какъв начин ще се извършва обработката	A.8.2.3 (работа с активи) Контрол Трябва да бъдат разработени и приложени процедури за работа с активи в съответствие с класификационната схема на информацията, приета от организацията.	Няма допълнителен контрол
Чл.5 (1) (законосъобразност, безпристрастност и прозрачност) Чл.6 (1), „а“ (съгласие) Чл.7(съгласие) Чл.8(съгласие за деца) Чл.9( 2) „а“ (съгласие) Ако за съответната обработка има правно основание, под формата на съгласие, то това съгласие трябва да бъде документирано	A.18.1.4 (съответствие с тайната и защитата на информацията за самоличността) Контрол Трябва да бъде осигурена тайната и защитата на информацията за самоличността според изискванията на съответните нормативни актове и регламенти, където са приложими. A.12.1.1 (документирани процедури за работа) Контрол Процедурите за работа трябва да бъдат документирани и достъпни за всички потребители, които се нуждаят от тях.	А.11 (съответствие с тайната на информацията за самоличността) A.11.1 Географско разположение на информация за самоличността Контрол Организациите поддържащи (оператор) публичен „облак“ и изпълняващи обработка на лични данни (обработващ лични данни) на администратори, трябва да определят и документират страните, в които личните данни могат да бъдат съхранявани. А.11.2 Планирани места за получаване на информация за самоличността Контрол Информацията за самоличността, предавана чрез мрежите за обмен на данни, трябва да бъде контролирана, с цел да се осигури, че е пристигнала на планираното място за получаване.
Чл.5 (1) (законосъобразност, безпристрастност и прозрачност) Чл.6 (1), „f“ (легитимни интереси) Ако съответната обработка е базирана на принципа за баланс на интереси между легитимните интереси на организацията (администратор) и интересите на субекта на данни за защита на личните данни, то този баланс трябва да бъде изрично документиран.	A.18.1.4 (съответствие с тайната и защитата на информацията за самоличността) Контрол Трябва да бъде осигурена тайната и защитата на информацията за самоличността според изискванията на съответните нормативни актове и регламенти, където са приложими. A.12.1.1 (документирани процедури за работа) Контрол Процедурите за работа трябва да бъдат документирани и достъпни за всички потребители, които се нуждаят от тях.	А.11 (съответствие с тайната на информацията за самоличността) A.11.1 Географско разположение на информация за самоличността Контрол Организациите поддържащи (оператор) публичен „облак“ и изпълняващи обработка на лични данни (обработващ лични данни) на администратори, трябва да определят и документират страните, в които личните данни могат да бъдат съхранявани. А.11.2 Планирани места за получаване на информация за самоличността Контрол Информацията за самоличността, предавана чрез мрежите за обмен на данни, трябва да бъде контролирана, с цел да се осигури, че е пристигнала на планираното място за получаване.
Чл.5 (1) (законосъобразност, безпристрастност и прозрачност) Чл.6 (1), „b“ (договор) и „с“ (правни задължения) Ако съответната обработка на лични данни се основава на договор или на правни задължения, тези обстоятелства трябва да бъдат документирани.	A.18.1.4 (съответствие с тайната и защитата на информацията за самоличността) Контрол Трябва да бъде осигурена тайната и защитата на информацията за самоличността според изискванията на съответните нормативни актове и регламенти, където са приложими.	А.11 (съответствие с тайната на информацията за самоличността) A.11.1 Географско разположение на информация за самоличността Контрол Организациите поддържащи (оператор) публичен „облак“ и изпълняващи обработка на лични данни (обработващ лични данни) на администратори, трябва да определят и документират страните, в които личните данни могат да бъдат съхранявани. А.11.2 Планирани места за получаване на информация за самоличността Контрол Информацията за самоличността, предавана чрез мрежите за обмен на данни, трябва да бъде контролирана, с цел да се осигури, че е пристигнала на планираното място за получаване.
Чл.5 (1) (законосъобразност, безпристрастност и прозрачност) Чл.6 (законосъобразност на обработката) Чл.9 (чувствителна информация) Чл. 85 (обработване и свобода на изразяването и и информация – за челите на журналистиката, летуратурата, актьорското майсторство и академизма) Чл.86 (обществен достъп до до официални документи) 87 (национални идентификационни номера) Чл. 88 (трудово-правни отношения) Чл. 89 (обществен интерес, наука, история и статистика) Чл. 90 (тайна) Организацията трябва да документира правните основания за извършване на обработка на съответните категории лични данни.	A.18.1.4 (съответствие с тайната и защитата на информацията за самоличността) Контрол Трябва да бъде осигурена тайната и защитата на информацията за самоличността според изискванията на съответните нормативни актове и регламенти, където са приложими. A.12.1.1 (документирани процедури за работа) Контрол Процедурите за работа трябва да бъдат документирани и достъпни за всички потребители, които се нуждаят от тях.	А.11 (съответствие с тайната на информацията за самоличността) A.11.1 Географско разположение на информация за самоличността Контрол Организациите поддържащи (оператор) публичен „облак“ и изпълняващи обработка на лични данни (обработващ лични данни) на администратори, трябва да определят и документират страните, в които личните данни могат да бъдат съхранявани. А.11.2 Планирани места за получаване на информация за самоличността Контрол Информацията за самоличността, предавана чрез мрежите за обмен на данни, трябва да бъде контролирана, с цел да се осигури, че е пристигнала на планираното място за получаване
Чл.5 (1) (законосъобразност, безпристрастност и прозрачност) Организацията трябва осигури прозрачност и пропорционалност (на целите на обработките) на обработките на лични данни	A.18.1.4 (съответствие с тайната и защитата на информацията за самоличността) Контрол Трябва да бъде осигурена тайната и защитата на информацията за самоличността според изискванията на съответните нормативни актове и регламенти, където са приложими.	А.11 (съответствие с тайната на информацията за самоличността) A.11.1 Географско разположение на информация за самоличността Контрол Организациите поддържащи (оператор) публичен „облак“ и изпълняващи обработка на лични данни (обработващ лични данни) на администратори, трябва да определят и документират страните, в които личните данни могат да бъдат съхранявани. А.11.2 Планирани места за получаване на информация за самоличността Контрол Информацията за самоличността, предавана чрез мрежите за обмен на данни, трябва да бъде контролирана, с цел да се осигури, че е пристигнала на планираното място за получаване
Чл.5 (1) (законосъобразност, безпристрастност и прозрачност) Организацията трябва осигури прозрачност на обработките на лични данни	A.18.1.4 (съответствие с тайната и защитата на информацията за самоличността) Контрол Трябва да бъде осигурена тайната и защитата на информацията за самоличността според изискванията на съответните нормативни актове и регламенти, където са приложими.	А.11 (съответствие с тайната на информацията за самоличността) A.11.1 Географско разположение на информация за самоличността Контрол Организациите поддържащи (оператор) публичен „облак“ и изпълняващи обработка на лични данни (обработващ лични данни) на администратори, трябва да определят и документират страните, в които личните данни могат да бъдат съхранявани. А.11.2 Планирани места за получаване на информация за самоличността Контрол Информацията за самоличността, предавана чрез мрежите за обмен на данни, трябва да бъде контролирана, с цел да се осигури, че е пристигнала на планираното място за получаване
Чл.5 (1) “в“ (ограничение на целите) Организацията трябва да осигури, че обработките са ограничени до определените, изключителните (специалните) и легитимните цели.	A.18.1.4 (съответствие с тайната и защитата на информацията за самоличността) Контрол Трябва да бъде осигурена тайната и защитата на информацията за самоличността според изискванията на съответните нормативни актове и регламенти, където са приложими.	А.11 (съответствие с тайната на информацията за самоличността) A.11.1 Географско разположение на информация за самоличността Контрол Организациите поддържащи (оператор) публичен „облак“ и изпълняващи обработка на лични данни (обработващ лични данни) на администратори, трябва да определят и документират страните, в които личните данни могат да бъдат съхранявани. А.11.2 Планирани места за получаване на информация за самоличността Контрол Информацията за самоличността, предавана чрез мрежите за обмен на данни, трябва да бъде контролирана, с цел да се осигури, че е пристигнала на планираното място за получаване
Чл.5 (1) “в“ (ограничение на целите) Организацията трябва да осигури, че обработките няма да се извършват за несъвместими цели.	A.18.1.4 (съответствие с тайната и защитата на информацията за самоличността) Контрол Трябва да бъде осигурена тайната и защитата на информацията за самоличността според изискванията на съответните нормативни актове и регламенти, където са приложими.	А.11 (съответствие с тайната на информацията за самоличността) A.11.1 Географско разположение на информация за самоличността Контрол Организациите поддържащи (оператор) публичен „облак“ и изпълняващи обработка на лични данни (обработващ лични данни) на администратори, трябва да определят и документират страните, в които личните данни могат да бъдат съхранявани. А.11.2 Планирани места за получаване на информация за самоличността Контрол Информацията за самоличността, предавана чрез мрежите за обмен на данни, трябва да бъде контролирана, с цел да се осигури, че е пристигнала на планираното място за получаване.
Чл.5 (1) “с“ (минимизация на данните) Организацията трябва да осигури, че ще се извършват само обработки, които отговарят и са ограничени единствено и само за постигане на техните цели. Включително, че целите не могат да се постигнат с по-малко „натрапчиви “ методи и операции. Забележка: Под „натрапчиви“ може да се разбира досадни / обезпокоителни методи и операции, насочени към субекта на лични данни.	A.18.1.4 (съответствие с тайната и защитата на информацията за самоличността) Контрол Трябва да бъде осигурена тайната и защитата на информацията за самоличността според изискванията на съответните нормативни актове и регламенти, където са приложими. A.12.1.1 (документирани процедури за работа) Контрол Процедурите за работа трябва да бъдат документирани и достъпни за всички потребители, които се нуждаят от тях.	А.11 (съответствие с тайната на информацията за самоличността) A.11.1 Географско разположение на информация за самоличността Контрол Организациите поддържащи (оператор) публичен „облак“ и изпълняващи обработка на лични данни (обработващ лични данни) на администратори, трябва да определят и документират страните, в които личните данни могат да бъдат съхранявани. А.11.2 Планирани места за получаване на информация за самоличността Контрол Информацията за самоличността, предавана чрез мрежите за обмен на данни, трябва да бъде контролирана, с цел да се осигури, че е пристигнала на планираното място за получаване.
Чл.1(1) „d” (точност – виж и Чл.16 - 21) Организацията трябва да осигури точност и актуалност на личните данни с които работи.	A.12.1.1 (документирани процедури за работа) Контрол Процедурите за работа трябва да бъдат документирани и достъпни за всички потребители, които се нуждаят от тях.	Няма допълнителен контрол
Чл.1(1) „d” (точност – виж и Чл.16 – 21) Организацията трябва да осигури, че некоректните лични данни са изтрити или коригирани.	A.12.1.1 (документирани процедури за работа) Контрол Процедурите за работа трябва да бъдат документирани и достъпни за всички потребители, които се нуждаят от тях.	Няма допълнителен контрол
Член 5(1) „е“ (ограничения при съхраняването на лични данни) Организацията трябва да осигури, че личните данни се съхраняват по начин, позволяващ възможност за тяхното използване за идентифициране на субект на данни, за период от време, не по-дълъг от необходимия, за изпълнение целите на обработката.	A.12.1.1 (документирани процедури за работа) Контрол Процедурите за работа трябва да бъдат документирани и достъпни за всички потребители, които се нуждаят от тях.	Няма допълнителен контрол
Член 5(1) „е“ (ограничения при съхраняването на лични данни) Организацията трябва за внедри съответните технически и организационни мерки (контроли) за сигурност, така, че личните данни да бъдат обработвани законосъобразно, с гарантирана степен на конфиденциалност, цялостност, наличности и устойчивост, без загуба, увреждане и/или разрушаване. (мерките за сигурност на личните данни са описани в следваща част на ОР, свързана със задълженията на организациите по сигурността на личните данни)	A.12.1.1 (документирани процедури за работа) Контрол Процедурите за работа трябва да бъдат документирани и достъпни за всички потребители, които се нуждаят от тях.	Няма допълнителен контрол
Член 5(1) „f“ (конфиденциалност и цялостност на личните данни – виж също чл. 32) Организацията трябва за внедри съответните технически и организационни мерки (контроли) за сигурност, така, че личните данни да бъдат обработвани законосъобразно, с гарантирана степен на конфиденциалност, цялостност, наличности и устойчивост, без загуба, увреждане и/или разрушаване. (мерките за сигурност на личните данни са описани в следваща част на ОР, свързана със задълженията на организациите по сигурността на личните данни)	A.5.1.1 (политики за информационна сигурност) Контрол Трябва да бъде определен набор от политики за сигурност на информацията, одобрен от ръководството, разпространен и разгласен на всички служители и съответните външни страни. A.6.1.5 (информационната сигурност при управлението на проекти) Контрол Независимо от вида на проекта трябва да бъде отчетена сигурността на информацията при управление на проекти. A.14.1.1 (анализ на изискванията за сигурност и спецификации) Контрол Изискванията, имащи отношение към сигурността на информацията, трябва да бъдат включени в изискванията за нови информационни системи или подобряване на съществуващи информационни системи. A.14.2.5 (принципи за сигурност при системното инженерство) Контрол Инженерни принципи за сигурни системи трябва да бъдат създадени, документирани, поддържани и приложени при всеки опит за реализиране на информационна система.	Няма допълнителен контрол

Препоръки за изпълнение на изискванията по чл.5 (за всички позиции, описани в горната таблица)

Организацията, администратор на лични данни е в правото си да реши какви обработки ще използва, отчитайки техните цели.Отговорността за обработките е на администратора на лични данни. Целта на обработките трябва да бъде ясно и точно определена, и документирана, без ненужни допълнителни разяснения.

Организацията, администратор на лични данни трябва да има и представя доказателства за правните основания за извършване на обработките. Как ще бъде документирано това, е решение на администратора. Ако администратора има намерение да използва личните данни за друга цел, то е необходимо да се оцени съвместимостта на двете цели. Това се извършва чрез оценка на взаимовръзките между двете цели; връзките между администратора и субекта на данни; чувствителността на данните; възможните последствия за субекта на данни; мерките за сигурност; и дали субекта на данни трябва да бъде информиран. Когато се извършва обработка, тя трябва да се ограничава до степен, която осигурява честно и безпристрастни отношение към субекта на данни. Това означава,че субекта на данни трябва да бъде информиран и да има възможност да се възползва от правата си, в пълен обем.

Администратора трябва да осигури прозрачност на обработките. Това може да се осъществи, като на субекта на данни се предостави информация за идентичността на администратора и за контакти с него; за целите на обработките; за правните основания; за възможното предаване налични данни към трети страни; за периода на обработване; за профилирането (ако се извършва); за правата на субекта на данни. Тази информация трябва да се представи по ясен, четабилен начин или чрез стандартизирани „икони“.

Обработката на личните данни трябва да бъде точна и обновявана, като некоректната информация трябва да бъде изтривана или коригирана. Няма необходимост за редактиране на личните данни, ако за тях не са планирани допълнителни обработки; изтриването на личните данни трябва да се извършва само, когато това е необходимо. В много случаи грешните лични данни не трябва да бъдат изтривани, вместо това те могат да се коригират и това да бъде оповестено по подходящ начин.

Личните данни могат да бъдат изтривани, когато целите за тяхната обработка са постигнати. Освен изтриване, личните данни могат да бъдат анонимизирани, като при този случай, организацията трябва да осигури, че не е възможно на практика отново да се идентифицира субекта на данни.

Организациите могат да внедрят адекватни мерки за защита на личните данни (на тяхната конфиденционалност, цялостност и наличност), така, както е описано в ISO 27001 / 27002 / 27018. В допълнение, самите ИТ системи, обработващи лични данни, трябва да има висока устойчивост на външни и вътрешни кибер атаки. Може, с голяма степен на увереност да се приеме, че тази устойчивост може да бъде постигната изпълнявайки изискванията на ISO 27001 и препоръките на ISO 27002 и ISO 27018.

Всички мерки за сигурност, които се внедряват за защита на личните данни, трябва да са резултат от провеждането на оценка и анализ на риска. Приложените мерки за сигурност трябва да бъдат периодично тествани, като осигуряват и възможност за възстановяване в случай на пробиви в сигурността.

Забележка: След приемането на новия Закон за защита на личните данни, това ОР ще бъде своевременно актуализирано, както е приложимо.

Следва публикуването на поредната част от ОР – „Права на субекта на лични данни“