Комисията за защита на личните данни (КЗЛД) прие списък на операциите по обработване на лични данни, за които администратор или обработващ лични данни съгласно глава осма от Закона за защита на личните данни (ЗЗЛД) следва да проведе задължителна предварителна консултация с КЗЛД. С цитираната глава осма от ЗЗЛД се транспонират някои разпоредби на Директива (ЕС) 2016/680, сред които и изискванията на чл. 28 от Директивата. Списъкът е приет от КЗЛД на основание чл. 65, ал. 3 от ЗЗЛД, транспониращ чл. 28, параграф 3 от Директивата. Настоящият списък е неизчерпателен, като същият може да бъде актуализиран при необходимост, по реда на неговото приемане.

Въз основа на този списък операциите по обработване, за които е задължителна предварителна консултация с КЗЛД преди започването им, са следните:

1. Редовно и систематично обработване на данни за местоположение на лица с технически средства с цел осъществяване на контрол по спазването на мярка за неотклонение по чл. 58 от Наказателно процесуалния кодекс.
2. Мащабно обработване на лични данни на деца за целите на предотвратяване, разследване или разкриване на противообществени прояви или престъпления, извършени от или срещу малолетни и непълнолетни, вкл. за целите на прилагане на възпитателни мерки или наказания.
3. Мащабно обработване на специални категории лични данни, когато това е свързано с автоматизирано вземане на решения, вкл. с цел извършване на криминологичен анализ.
4. Осъществяване на систематично мащабно наблюдение на публично достъпни зони, когато това е свързано с автоматизирано вземане на решения, вкл. лицево разпознаване.
5. Осъществяване на миграция на данни от съществуващи към нови технологии, когато това е свързано с мащабно обработване на данни.

Всички операции по обработване на данни, изброени по-горе, се считат от КЗЛД за пораждащи висок риск за правата и свободите на субектите на данни

Приетият списък е приложим към операциите по обработване, извършвани от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, като в него се посочват и видовете дейности по обработване, за които КЗЛД може да счете, че пораждат висок риск за правата и свободите на субектите на данни. Следователно, дори в случаите, когато даден администратор не попада в обхвата на Директивата и вместо това е задължен да спазва ОРЗД, ако същият планира да извършва операции по обработване на данни, включени в горепосочения списък, или подобни на операция, включена в списъка, това може да е индикация, че такъв администратор следва да извърши поне оценка на въздействието върху защитата на данните съгласно чл. 35 от ОРЗД.

‍