Новите драми със защита на личните данни

13.03.2018, 11:02 76132 434

0 Потребители и 1 Гост преглежда(т) тази тема.


Hrili

  • Публикации: 1192 / 224
Здравейте, колежки и колеги!
Пускам тази тема за да споделя собствените си виждания, разбирания и неразбирания във връзка с наближаващите с неумолимостта на валяк промени в режима за администриране на лични данни, както и да си коментираме кой как тълкува нещата. Честно казано, на мен ми се струва безумно един счетоводител или ТРЗ специалист да се занимава и с тях и същите да му бъдат вменявани като допълнителни отговорности.
След като посетих три семинара, запознах се с нормативната уредба(трябва да уточним, че към момента липсва нов национален закон и правилник към него, съобразен с последните изменения - както каза представителя на КЗЛД "Независимо дали имаме или не нов Закон и Правилник, Регламентът влиза в сила на 25 .05.2018г....) останах с впечатление, че всеки ще се оправя както може...
Има няколко тревожни момента за мен, които въпреки, че на пръв поглед изглеждат като облекчения, по същество са предоставка за потенциални и перманентни проблеми.
Както става ясно, след влизането в сила на промените, КЗЛД ще изгуби своите регистрационни и прочие функции, като ще останат основно тези, свързани с упражняваният контрол върху администраторите на лични данни - АЛД(и естествено нормотворчеството в духа на Регламента). Всяко физическо лице може да се оплаче във всеки един момент и да разчита, че ще изкара една подобаваща глоба на АЛД, казано простичко. Ако до момента с регистрацията ние получавахме от Комисията своеобразно признание, че сме отговорили на нормативните изисквания в определен обем, под формата на вписване в регистъра, сега този момент отпада. По същество АЛД определят целите на обработка на ЛД(Защо ги обработваме?) и средствата за обработка(С какво и по какъв начин, респективно как ги пазим?). Подчинени на новия принцип и задължение за отчетност, те имат задължение и отговорност във всеки един момент да могат да удостоверят и докажат категорично на оправомощения държавен орган, че законосъобразно, конкретно, прозрачно и в определени минимален обем обработват личните даннни. И добросъвестно, разбира се. С отпадането на задължение за регистрация обаче не отпада задължението да се поддържат регистри - Регламентът изисква АЛД да ги изготвят и поддържат, като сами да определят алгоритъма и изобщо целия механизъм на събиране, съхраняване и обработка на данните.
Именно тук възниква и следващия конфликтен момент – какво точно означава „законосъобразно” и в „определен минимален обем”. С обработването на ЛД по силата на нормативен акт(без да коментираме честата хипотеза у нас за противоречие между законови такива и „уж” конкретизиращите ги подзаконови) е нужно с конкретен законов текст да бъде обосновано тяхното събиране. Това според мен е по-лесната част. Трудно в нашата реалност е да докажем на Комисията(при проверка), че събираме само минимално количество данни. Всеки знае колко разточителни са българските институции при идентификация на физически лица, стъпили на собствената си нормативна база. Като започнем от НАП и стигнем до ГИТ, където нещата стават буквално страшни. Всеки се е надхващал с последните, във връзка с непопълнена паспортна част от медицинско свидетелство, непълни реквизити в трудов договор – адреси, номера на лични карти, образования и квалификации. Или пък в НАП с непопълнен протокол. Практически, колкото и да е абсурдно, извън ЕГН, всичко останало вече е проблематично, а някои данни като медицинско свидетелство и решения на ТЕЛК, дори попадат в категорията на чувствителни данни с особено високи изисквания за събиране. Специално внимание бе отделено на автобиографията, която  също включвала лични данни и била абсурдна предпоставка за проблеми, особено в процеса на предварително набиране на кандидати, още повече, ако не дай Боже запазим тези данни в последствие, за последващи връзки и ново набиране на персонал. Ако подобни документи бъдат открити при проверка, трябва да можем да докажем еднозначно на какво основание сме ги събирали и съхранявали, което според представителя на КЗЛД (същия и проверяващ), „Едно име и документ за компетенции е предостатъчно”. В тази ситуация всеки АЛД или просто обработващ ЛД е поставен „между чука и наковалнята” да угоди от една страна на КЗЛД, а от друга – на всички останали държавни институции, чиято нормативна уредба е издържана в съвсем друг дух.
Друг момент е начина, по които се получават данните – със съгласие или по силата на законово задължение(в този случай следва да посочим кокретния законов текст, на който почива това основание, а не просто да цитираме общо закона).
Не можем да ползваме и двете основание – по съгласие на лицето и на основание Еди кой си закон. Едното основание е нужно и достатъчно, като с много по-голяма тежест се ползва обработката по силата на нормативен акт. Съгласието(под форма на декларация), като нов момент, може да бъде оттеглено по всяко време, а АЛД е длъжен да се съобрази с волеизявлението на лицето(естествено, ако обработката не се основава на нормативно установено задължение – няма как да искаме да не ни подават декларация 1, защото ни включва ЕГН-то).  Декларацията съгласие за обработка на лични данни, практически остава без особена стойност, защото според гледната точка на нормата(която се спорделя и от съдебни решения), примерно страните по трудово правоотношение не са равнопоставени(напук на написаното в КТ) и в тази връзка под заплахата от санкции работодателят може да изиска от работника да декларира разни обстоятелства. Или най-добрият и първи избор, на който трябва да се позоваваме е нормативното задължение. То не може да бъде оттеглено, отменено или да бъде тълкувано като поставящо някоя страна в неравноправно положение.

Като оставим настрани тези моменти, за мен остават практически неясноти, свързани със самта условност на Регламента, който в своята изчерпателност става мъгляв.
На първо място това е длъжностното лице по защита на данните ДЛЗД. Уж няма изискване всяка организация да има такова, но Регламента разглежда определен кръг от хипотези, в светлината на които  такова лице става задължително и лесно можем да попаднем в тях, особено ако обработването на лични данни бъде категоризирано като „редовно” и „систематично”. Като оставим настрани финансовите аспекти от разполагането с подобен лукс,  достатъчно комплицирано е положението на това лице във фирмата, кой точно може да заема тази длъжност и неговото йерархично положение. Накратко, ако е назначено по трудов договор, това лице трябва да бъде независимо и да се отчита примерно само пред управителя. Същевременно, както разбрах, то не носи пркатическа отговорност за действията си – тя е вменена на АЛД.
Друга неяснота е свързана със създаване и поддържането на регистрите, които до този момент и по силата на Закона създавахме в КЗЛД и си „измивахме ръцете”. Регламента казва, че не сме длъжни да водим регистър, ако имаме по-малко от 250 лица, но след това прави такива уточнения, че това „облекчение” практически става задължително. Особено в нашата действителност, в която обема данни, които събираме по силата на други актове ни поставя в ситуация да доказваме, че не поставяме в риск данните на лицата, а да не говорим за чувствителни данни, касаещи здравното им състояние, които обаче примерно ни изисква трудовото законодателство. Отделен въпрос е, че примерно един лекар на индивидуална практика директно покрива всички изисквания за водене на регистър и нзначаване на ДЛЗД, като се има предвид какви данни обработва и администрира и предава на други АЛД(като ги прати на преглед при специалист или ги изпрати на изследване).
Друг интересен аспект е АЛД да се „самоизкаже” при допускане на нарушение. Нарушение може да бъде всичко – отворено досие на бюро, забравен лист, съдържащ лични данни, в копирна машина... Нещо, което едва ли ще се случи, като се има предвид размера на санкциите...
Казано накратко, за мен всички тези обстоятелства ще доведат до появата на едни нови фирмички, които ще раздават въпросничета, на база на които ще раздават папчици с листчета включващи регистри, оценки на въздействието и прочие, а срещу някой лев горница – сертификати, марки и печати. Всъщност тези хора вече ги видях на входовете на залите, да раздават визитки. Накратко, коментирахме си с много колеги, общо взето май всеки си отиде с повече въпроси и притеснения, от тези, с които дойде на семинара...
Останалите абстрактни моменти за правото да бъдеш забравен, защита на личните данни на етапа на проектиране и подразбиране няма да ги коментираме, че работата отива съвсем в самодивско...



Hrili

  • Публикации: 1192 / 224
И безплатен материал от TITA, който разглежда въпроса многостранно...
https://www.tita.bg/free/commercial-law/537

delphine

  • Публикации: 8375 / 1403
Единственият въпрос, който ме вълнува в момента след прочитането на така обстойно предоставената ни информация от Хрили е дали този ангажимент всъщност е счетоводен ???
Аз лично нямам против да има такива фирми / лица / юристи , които обезпечават тези нови "изисквания" . Къде останаха добрите намерения всеки специалист да си гледа своята работа, за която е компетентен ?
Докато обаче приемаме всяко ново изискване като свой ангажимент ще ни товарят все повече и повече докато се стигне до невъзможност да гледаме счетоводната си работа.

P.G.H.R.

 :noexpression:
ОК, прочетох го и, с риск да изглеждам глупаво, ще попитам останалите колеги, които са го прочели някой забеляза ли в цялата кондикация къде ТОЧНО е ОБЛЕКЧАВАНЕТО на административните ни задължения, щото аз някак си не ги съзрях...

А другото е (доколкото разбирам) че аз бидейки Ръководител отдел УЧР, трябва да си назнача и ДЛЗД...  :blink:
Хм...

delphine

  • Публикации: 8375 / 1403
Излиза, че до сега бяхме регистрирани лица в КЗЛД, а сега вече не сме такива. Продължаваме обаче да сме задължени като такива по презумпция и сме оставени на субективната преценка на разни органи дали правим всичко, както трябва. Там, където е налице човешкият фактор за преценка са налице и условията за корупция, субективизъм и дори замитане под чергата според случая.

P.G.H.R.

Делфинче,
то цялото е натъпкано с толкоз противоречия, че просто няма твърда база, върху която да стъпиш!
На всеки ред си задавах по 150 въпроса, на които няма отговор, безумно е...  :blink:

n_alex76

  • Публикации: 1520 / 166
Длъжностно лице по защита на данните - една от професиите на бъдещето
Рецитал 77 и членове 39.2 и 35.2 от Регламента изискват от Длъжностното лице по защита на данните да предлага насоки относно оценките на риска, противодействието и оценката на въздействието върху защитата на данните в организацията, в която работи или обслужва. Това значи, че неминуемо то трябва да има познания както в областта на методиката за оценка на риска, така и технически познания.

От друга страна, рецитал 97 и членове 37.1, 37.5 и 38.5 от Регламента уточняват, че Длъжностно лице по защита на данните следва да е "лице с експертни познания в областта на правото и практиките за защита на данните".

В заключение, следва да се отбележи, че Работната група изрично посочва, че нищо не пречи дадена организация, която не попада в хипотезите, посочени в Регламента като организация, задължена да назначи Длъжностно лице по защита на данните, да има такова.

В Регламента се предвиждат още редица промени по повод на боравенето с лични данни, но към настоящия момент има още неясноти и въпроси без отговор, които ще бъдат изяснявани след влизането му в сила и започването на прилагането му от държавите-членки.

P.G.H.R.

...ама пък "няма изискване за ОБРАЗОВАНИЕ" как ви звучи...

delphine

  • Публикации: 8375 / 1403
...ама пък "няма изискване за ОБРАЗОВАНИЕ" как ви звучи...

Звучи също като "има още неясноти, които ще бъдат изяснявани СЛЕД влизането в сила..." .

Нашето законодателство е такова - приемаме нещо и после почваме да го обясняваме, изясняваме и така .
Аз мисля да изчакаме спокойно развитието на нещата, изясняването им . Правилно казваш , P.G.H.R. -че, че сега въпросите са повече от отговорите.

 

P.G.H.R.

Ами на мен първо ми се набиха на очи противоречията.
Например, всички знаете, че имаме задължение за съхраняване на платежни документи за определен брой години. Ама и в тях има лични данни.
Значи, като се разписват "някакви" правила и срокове за съхранение трябва да се обвържат със сроковете по другите закони.
И много още подобни... като си ги систематизирам в "харда" ще споделя.

bobo

  • Публикации: 2704 / 362
Сроковете - съгласно ЗСч, ЗДДС (май и там имаше?) и останалите.

Hrili

  • Публикации: 1192 / 224
За мен главния проблем възниква от крещящото противоречие между новата законова рамка и всички останали нормативни актове. И от това обстоятелство възникват всички потенциални и хипотетични(всъщност обаче - съвсем реални) проблеми. И като се добави към това мъглявата рамка, относно йезуитските уточнения за нужда или не от ДЛЗД и поддържане на регистри(с всички пък допълнителни изисквания към тях), нещата стават просто прекрасни.


п.с.
...ама пък "няма изискване за ОБРАЗОВАНИЕ" как ви звучи...

Аз мисля, че кака Пена - чистачката, спокойно може да съвмести тази длъжност, защото естеството на нейната работа не я поставя в конфликт на интереси или противоречие с никой, във връзка с изпълнение на функциите й като ДЛЗД.

P.G.H.R.

Като светкавица ми блесна определението на шопа за закона... "като вратник низ пОле, оти да минаваш през вратникот, гат мож` да прелазиш низ пОлето"...
Обаче, колко ше ни глобят за прелазването е въпросът, щото на края винаги стигаме до едни пари...  :noexpression:

ХХХХХ

  • Публикации: 5933 / 862
Добре де, хем ни задължават да събираме и съхраняваме разни данни, хем трябва непрекъснато да ги ползваме и обработваме, хем трябва да наемем друг /евентуално/ работник, който да се грижи за опазването им... И всеки ден ще трябва да се молим на това ДЛЗД да пи предостави достъп я до някое ЕГН, я до някой ТД, я до някоя ведомост за заплати, платежно, болничен.... И докато си нанасяме данни в счет.програма или си кореспондираме с НОИ, НАП и т.н., това ДЛЗД ще ни стои над главата и ще наблюдава да не изнесем някоя данна навън :( За което ще трябва И да му плащаме...

ПП Отказвам да чета всякакви регламенти и да ходя на разни семинари, дето обясняват какво ще се случи, преди да е ясно, докато не се приеме български закон по въпроса. А после ще реша дали въобще да събирам и съхранявам лични данни. 

P.G.H.R.

Хиксове, мен ме стресирА от линка, дето Хрили го пусна ето този текст:

 Заключение
 
Задълженията на администраторите по GDPR са много и съществени.
Някои от тях са познати и биват единствено доразвити и конкретизирани с Регламента.
 
Други обаче са нови и напълно непознати като:
 
    воденето на вътрешни регистри или
    назначаване на ДЛЗД.

Ето защо, администраторите следва да се отнесат сериозно към тези промени, да се информират за тях и своевременно да предприемат нужните действия по привеждане на дейността си в съответствие с GDPR.
 
Това е особено важно в контекста на предвидените санкции за неспазване на задълженията на администраторите – до 10 милиона евро или 2% от световния годишен оборот, която от двете суми е по-висока.

Последното как ти звучи?

ХХХХХ

  • Публикации: 5933 / 862
2% от световния годишен оборот?

То и 2% от фирмения оборот са си сериозни пари, ама от световния.... 50 фирми нарушителки и ето още един световен оборот :)

Много се извинявам за неадекватнитеси включвания, но съм възмутена първо от приемнето ва закони от днес за вчера, второ - от допълнителната бюрокрация, трето - от насамаряването ни с допълнителни разходи

Благодаря на Hrili за темата и разясненията. Благодаря и на P.G.H.R. за откритите противоречия, върху които тепърва трябва да мислим.

Hrili

  • Публикации: 1192 / 224
На мен ми звучи малоумно, като се има предвид, че по силата на подзаконов нормативен акт могат да те глобят от едно място, защото не си си попълнил паспортната част на медицинското за постъпване на работа. Това същото, чието изискване вече е силно комплицирано, защото съдържало чувствителни данни с произтичащите от това последствия...

delphine

  • Публикации: 8375 / 1403
Как си представят нашите законотворци, че малките фирми, които са мнозинство , биха могли да отделят финансов ресурс за реализиране на тези идеи ?
Назначаване на човек на длъжност или  плащане на външна фирма - въобще не го виждам това. За такива неща следва да вземат отношение и представителите на бизнеса.
И не на последно място адекватно да определим и своето място в тази работа - до каква степен следва да се ангажира счетоводителят с въпроси относно защитата на лични данни. И въобще следва ли да приемем, че това е наша работа ?

P.G.H.R.

Аз песимистично го виждам като черна прокоба.  :(
Както написа горе Хиксовете - назначават ми някаква random-личност, парашутист спуснат кой знае от къде и кой знае от кого и с познания на дете от предучилищната детска градина, обаче с една такаааааа мазничка заплатка и... за всяка цифра и данна търчиш да искаш разрешение.
Мноооооого забавно... :noexpression:

Катя Крънчева

Здравейте, колеги, и ние се подготвяме за GDPR. Няма да се спирам на незпълнимите условия, които регламентът поставя (особено за микро фирмите) и безумните глоби, свързани с тях.

Това, което мога да кажа е, че доколкото можем, ще се постараем да облекчим положението на счетоводителите, чрез материали и ресурси в КиК Инфо.

В момента проучваме обстойно как най-лесно, просто и ясно да решим въпроса, без излишни движения. :)

В момента тук са: 0 Потребители и 1 Гост


Facebook група с над 20 000 членове!

Харесайте ни във Facebook