Защита на личните данни през 2018г. се урежда от Българския закон за защита на лични данни и Регламен за защита на личните данни 2016/679 и Наредба №1/30.01.2013 за минималното ниво на технически и организационни мерки и допустимият вид защит. Същият цели защитата на интересите на физическите лица. Регламента влиза в сила от 25.05.2018г, приложението му е пряко свързано и с предимството пред Българското законодателство. Важи с пълна сила дори и за малки фирми без нает персонал. Сред лицата, които приведат дейността си в съответствие с регламента са:
- Онлайн търговия – фирми приемащи поръчки от разстояние и извършващи доставки чрез куриер
- Услуги – счетоводители, счетоводни кантори, посредници(агенции за подбор на персонал), агенции за недвижими имоти, застрахователни брокери, рекламни агенции.
- Аптеки, оптики, индивидуални и групови практики за първична и специализирана извънболнична медицинска помощ, търговия с медицински изделия, машини, материали и помощни средства, служба по трудова медицина.
- Образование – школи, курсове за обучение, частни училища, занимални, детски градини,
- Туризъм – туроператори, туристически агенции, агенти, хотели, хостели, къщи за гости.
- Търговци на горива и смазочни материали
- Международен транспорт (във връзка с вписване на имената и ЕГН на шофьора при товаро-разтоварващи дейности)
- Всички физически и юридически лица обработващи лични данни във връзйа с Трудови договори; Граждански договори и др.
Кои данни са лични?
Данни отнасящи се до определено физическо лице:
- Имена или прякок на лицето
- ЕГН
- Дата и място на раждане
- Данни или копия от паспорт, лична карта
- Данни свързани със семейното положение, родство, брачен статус
- Професионална дейност – квалификация, доход и др.
Новият регламент третира и специални категории лични данни – т.нар. „Чувствителни данни” – здравен статус(болнични листове, протоколи от ТЕЛК и др.), сексуална ориентация, политически възгледи, расово – етнически произход и др.
Обработването на „чувствителните данни” е забранена. Не се прилага единствено ако е налице едно от условията посочени в чл.9 ал.2 от Регламента(По силата на Трудовото право и правото в обсластта на социалната сигурност и социалната закрила)
Много строги са изискванията на Регламента по отношение на личните данни на деца – при пряко предлагане на онлайн услуги на деца, детето следва да е поне на 16г. В случая е задължително съгласието на родителите или настойници.
Всяка операция, която се извършва по отношение на лични данни, е обработване на лични данни. Извършването на каквито и да е справки, архивирането, съхранението и дори изтриването са форми на обработване на лични данни. Обстоятелствата при които е допустима обработката на лични данни е при подписване или изпълнение на договор (Т.Д, облигационен, договор по ЗДДС), или когато администраторът има такова задължение по закон.
Най-популярният случай е даденото от съответното физическо лице съгласие, личните му данни да бъдат обработвани, като администратора на лични данни е задължен да предоставо всеобхватната информация, на разбираем език, а съгласието да бъда изразено изрично, категорично и свободна(декларация за съгласие писменна)
Съхранението на лични данни може да бъде на основание договор или за конкретна цел. Когато са на основание на договор, зависи от вида на договора и предвидените от съотвения закон на базата на които е сключен договора( Трудов договор – 50години, Граждански договор – 10години, Договори с клиенти и доставчици – 10 години,) Когато администратора обработва лични данни с определена цел(при кандидатстване за работа), администратора ги унищожава или изтрива в срок от 1 месец.
Всички търговци са Администратори на лични данни. Качеството им на такива възниква не в резултат на някаква определена регистрация, а по силата на закона. От 25.05.2018отпада задължението за регистрация на администратори на лични данни.
Администраторът на лични данни прилага подходящи технически и организационни мерки, за да гарантира и да докаже, че съхранението и обработването се извършват в съответствие на директивата.
Администраторът може да възложи обработването на лични данни от негово име, само на обработващи лични данни, които предоставят достатъчно гаранции, че отговарят на изискванията на директивата.
Обработването от страната на обработващият лични данни(счетоводна кантора) се урежда чрез договор, който обвързва обработващия лични данни със администратора и регламентира предмета на обработването, естеството и целта на обработването, вида на лични данни и категориите на данни, задълженията и правата на администратора.
Счетоводно предприятие е обработващ на данните на администратора по защитата на лични данни. За длъжностно лице може да бъде поставено – управителя, друго лице по Трудов договор или възложено на друга фирма от името на администратора.
Администраторът и обработващия не могат да съвместяват и функциите на длъжностното лицец по защита на данни.
Десет Практически стъпки за прилагане на общия регламент за защита на Данните
Целта на настоящия документ е да подпомогне практическото прилагане на Общия регламент относно защитата на данните
- Запознаване с новите норматинви изисквания в областта на защитата на личните данни.
- Определяне на служители и екип, които да отговарят за привеждане на дейността на дружеството или организацията – администратор на лични данни, в съответсвие на личните данни(ръководни служители, други ключови служители в дружеството или организацията, Правен отдел, IT отдел, Човешки ресурси и др.)
- Вътрепен анализ на дейностите по обработване на лични данни.
- Какви категории лични данни и на какви категории физически лица (независимо от тяхното гражданство) се обработват:
Обикновенни лични данни – имена, адрес, електронна поща, IP адрес и т.н.;
Единен граждански номер;
- Специални („чувствителни) лични данни – данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни, биометрични данни, данни за здравословно състояние или даннни за сексуалния живот и ориентация.
- За какви конкретни цели се събират, съхраняват и обработват личните данни (трудово отношение, счетоводство, клиенти, доставчици, реклама, законово определени цели, журналистическа дейност и т.н.)
- На кого се предоставят или разкриват личните данни извън организацията
- Дали се предават лични данни в други държави, в кои ( държава членка на на Европейския съюз, или трети страни)
- Колко време се съхраняват личните данни в организацията и как е определен този срок.
- Какви мерси за сигурност се прилагат за защита на данните.
- Преценка дали е налице задължение да се определи Длъжностно лице по защита на данните.
- Задължение да се определят Длъжностно лице по защита на данните имат следните администратори на лични данни (физически или юридически лица):
Публичен орган или орган на местно самоуправление;
Администратори, които извършват мащабно обработване на специални лични данни.
- Определяне на Длъжностно лице по защита на данните по един от следните алтернативни начини:
- Назначаване на служител в дружеството или организацията;
- Съвместяване с друга длъжност
- По граждански договор с външно за организацията физическо лице.
- Квалификация на Длъжностното лице по защита на данните да има експерни познания в областта на защитата на данните – законодателство и практика.
- Обучение на длъжностното лице по защита на данните – първоначално и текущо;
- Управление на риска по отношение на защитата на личните данни.
- Извършване на оценка на риска
- Извършване на оценка на въздействието върху защира на личните данни при наличие на висок риск(напр.в резултат на профилиране, мащабно обработване на специални лични данни, систематично мащабно наблючдение на публично достъпна зона, нови технологии)
- Задължителна предварителна консултация с КЗЛД. Ако оценката на въздействието върху защитата на данните покаже, че обработването ще породи висок риск, ако не се прдприемат ефективни мерки за ограничаването му.
- Избор на подходящи технически и организационни мерки, за да може да се гарантира и докаже спазване на Регламент 2016/679 и ЗЗЛД.
- Предприемане на мерки на защита на данните на етапа на проектирането и по подразбиране
- Приемане на план за действие на въвеждане на определени технически и организационни мерки.
- Определяне на отговорник екип
- Определеня на срокове и етапи на изпълнение
- Осигуряване на необходимите финансови, технически и човешки ресурси.
- Преглед на правните основания за обработване на лични данни, чключително въз основа на съгласие на лицата.
- Преглед на използваните до момента алтернативни правни основания за обработване на лични данни – съгласие, сключване или изпълнение на договор, законово задължение за администратора,
- Преценка дали е законосъобразно или целесъобразно обработването на лични данни – да е на основание единствно съгласие на лицето.
- Документиране на съгласието с цел доказване пред Комисията за защита на личните данни и съда.
- Осигуряване на прктическа възможност на субектаа на данните да оттегли по всяко време съгласието си толкова лесно, колкото го е дал.
- В случай на пряко предлагане на услуги на информационното общество на дете под 14 години – изрично съгласие от родител.
- Информираност на субектите на данните и прозрачност на обработването.
- Практическо упражняване на права от субектите на данните.
- Уведомяване на нарушение на сигурността на личните данни
- Приемане на вътрешни процедури и/или план за действие в случай на нарушение на сигурността на личните данни.
- Определяне на отговорен служител/екип за реакция при нарушение на сигурността на личните данни, инструктаж на персонала
- Всъздаване на вътрешна организация за своевременно уведомяване на КЗЛД в срок до 72часа от узнаването за нарушението.
- Документиране и отчетност.
- Създаване и редовно актуализиране на вътрешен регистър на дейностите по обработване на лични данни в дружеството със следната информация – името и координатите за връзка на администратора; целите на обработването; описание на категориите субекти на данни и на категориите лични данни;
- Приемане на вътрешни правила политика за защита на лизните данни в съответното дружество
