Изискването на GDPR за водене на регистър на дейностите по обработване на лични данни

17 март 2025

Корпоративни клиенти

Разпоредбите на Общия регламент относно защитата на данните (GDPR) изцяло преобразиха нормативната уредба в тази сфера, като въведоха подробни и задълбочени изисквания към администраторите на лични данни. Тези изисквания отразяват нивото на риск, свързано с обработването на лични данни, броя на лицата с достъп до тях, обема и чувствителността на данните, както и други относими фактори. Поради тази сложност не винаги е лесно да се определи дали дадено изискване се прилага спрямо  даден администратор. Въпреки това съответствието с GDPR е от ключово значение, тъй като неспазването му може да доведе до сериозни имуществени санкции и уронване на репутацията.

Задължение за водене на регистър на дейностите по обработване на лични данни

Сред основните изисквания на GDPR е предвиденото в чл. 30, пар. 1 задължение за администраторите да водят регистър на дейностите по обработване на лични данни. Този регистър служи както като доказателство за съответствието с нормативната уредба, така и като вътрешно средство за контрол, което предоставя цялостен поглед върху начина, по който се обработват личните данни. Съгласно чл. 30, пар. 1 всеки администратор трябва да води регистър, който съдържа следната информация:

  • Името и данните за контакт на администратора, както и, когато е приложимо, на неговия представител и на длъжностното лице по защита на данните;
  • Целите на обработването;
  • Описание на категориите субекти на данни (например клиенти, служители) и категориите лични данни (например данни за контакт, финансови данни);
  • Категориите получатели, на които са или ще бъдат разкрити личните данни, включително получатели в трети държави или международни организации;
  • Когато е приложимо – информация относно трансфер на лични данни към трети държави или международни организации, включително наименованията на тези държави/организации и, ако се изисква, доказателства за подходящи гаранции;
  • Когато е възможно – предвидени срокове за изтриване на различните категории данни;
  • Когато е възможно – общо описание на техническите и организационните мерки за сигурност, предприети за защита на данните.

Целта на тези изисквания е с тях да се осигури прозрачност и отчетност в процеса на обработване на лични данни и да се улесни контролът както от страна на вътрешни заинтересовани лица, така и на надзорните органи.

Изключения от задължението за водене на регистър

Воденето на регистър на дейностите по обработване може да наложи значителни административни разходи, особено за по-малки организации с ограничени ресурси. С оглед на това, чл. 30, пар. 5 от GDPR предвижда изключение за организации с по-малко от 250 служители. Все пак, предвид потенциалните рискове, GDPR определя случаи, в които дори такива организации са длъжни да водят регистър.

Изключения от изключението

Следните обстоятелства водят до отпадане на изключението и съответно до задължение за водене на регистър, дори за малки организации:

  • Когато дейностите по обработване вероятно ще представляват риск за правата и свободите на субектите на данни, което налага по-строг контрол;
  • Когато обработването не е спорадично, а е регулярно и част от ежедневните дейности на организацията;
  • Когато се обработват специални категории лични данни, като данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикати, както и генетични и биометрични данни, здравни данни или такива, свързани със сексуалния живот или ориентация на физическото лице;
  • Когато се обработват данни, свързани с присъди и нарушения, което подчертава чувствителността и значението на тази информация от регулаторна гледна точка.

Тези изключения от изключението показват ангажимента на GDPR към високо ниво на защита на личните данни и осигуряване на съответствието между необходимостта от отчетност и свързаните с обработката рискове.

Заключение

Спазването на законодателството за защита на личните данни е от съществено значение за организации от всякакъв мащаб. В New Balkans Law Office предоставяме цялостна правна подкрепа в областта на защитата на личните данни – от изготвяне на политики, съответстващи на GDPR, до създаване и поддържане на регистри на дейностите по обработване и представителство пред надзорни органи. Нашият екип разполага със задълбочена експертиза и активен интерес в тази област.

За повече информация, можете да се запознаете и с нашия анализ The California Consumer Privacy Act: EU perspective, който предлага сравнение между регулациите в ЕС и САЩ – полезен ориентир за клиенти, опериращи в повече от една юрисдикция.

© New Balkans Law Office 2025

Дейността на българските и международно квалифицирани адвокати на New Balkans Law Office се регулира от съответната адвокатска колегия по регистрация. New Balkans Law Office е търговска марка на „Лигъл сървисиз“ ЕООД, дружество, регистрирано по българското законодателство с ЕИК 202331677. Допълнителни подробности можете да откриете тук.

© New Balkans Law Office 2025