GDPR: Защита на личните данни

[zaharna]

Четох, четох, ама едно от нещата дето не ми е понятно: Ние/фирма ЕООД/ сме администратор на лични данни, а обслужващата ни счетоводна къща-обработващ. Искаме да ни изпрати/счет.къщата/ по имейл копие на личните карти на служителите ни, но отказват/искаме ги, за да изготвим декл.съгл от физическия обект/. Как ще се случват вече нещата?

[Tea S]

Четох, четох, ама едно от нещата дето не ми е понятно: Ние/фирма ЕООД/ сме администратор на лични данни, а обслужващата ни счетоводна къща-обработващ. Искаме да ни изпрати/счет.къщата/ по имейл копие на личните карти на служителите ни, но отказват/искаме ги, за да изготвим декл.съгл от физическия обект/. Как ще се случват вече нещата?

Можете да поискате да бъде описано в договора между вас (така или иначе трябва да правите анекс за обработване на лични данни), как точно може да се предава този вид информация. Файлът може или да бъде криптиран, или да му бъде сложена парола, която те да ви пратят отделно (с СМС например). По този начин файлът ще бъде защитен. Давам примерни варианти.

[bobo]

Копие на личните карти?!? Не сте ли чували, че такова копие е позволено да се прави в съвсем малко случаи? Ако ви трябват може да ви дадат списък на данните. Всъщност, когато обработвате ЛД на законово основание съгласие не ви трябва.

[Tea S]

Копие на личните карти?!? Не сте ли чували, че такова копие е позволено да се прави в съвсем малко случаи? Ако ви трябват може да ви дадат списък на данните. Всъщност, когато обработвате ЛД на законово основание съгласие не ви трябва.

Вярно е, че по принцип копия на л.карти изобщо не би трябвало да им трябват. Но в редки и неуредени случаи все още (например - обекти с пропускателен режим), знам, че все още ги изискват. Трябва, обаче, да се прецени в конкретния случай за какво се касае.

[bobo]

Обекти с пропускателен режим - ОК е да ми погледнат ЛК, или дори запишат данните (въпреки, че в момента не се сещам за нормативно основание), ама да искат копие на ЛК?!? Е, ако обектът е АЕЦ може и да имат право, не знам

Ако знаете нормативно основание да ми записват данните при пропускателен режим моля кажете го, ако желаете, да го добавя в табличката.

[Tea S]

Обекти с пропускателен режим - ОК е да ми погледнат ЛК, или дори запишат данните (въпреки, че в момента не се сещам за нормативно основание), ама да искат копие на ЛК?!? Е, ако обектът е АЕЦ може и да имат право, не знам

Ако знаете нормативно основание да ми записват данните при пропускателен режим моля кажете го, ако желаете, да го добавя в табличката.
[/quote

За съжаление към момента и аз не зная такова. Просто клиенти ми се оплакаха, че в някои случаи все още не са променени правилата и някои (тип летище, пристанище) ги искат, за да извадят пропуски на служителите. Но пак да подчертая, това е частен случай.

[petR]

GDPR и детски градини - условие за записване е даване на копие на лична карта на родителя и копие от акта за раждане на детето. Това са изискуемите документи по наредба издадена от Община Варна.

[arnel_81]

Добре де, в трудовите договори, фигурира ЕГН на управителя, личната му карта, работника получава втори екземпляр от договора, той как защитава данните на своя работодател?

[delphine]

Добре де, в трудовите договори, фигурира ЕГН на управителя, личната му карта,

Това пък защо ? В чл.66 от КТ пише, че в ТД следва да се впишат данни за управителя - не съм сигурна дори, че и ЕГН-то е задължителен реквизит.

[arnel_81]

Това пък защо ? В чл.66 от КТ пише, че в ТД следва да се впишат данни за управителя - не съм сигурна дори, че и ЕГН-то е задължителен реквизит.

Чл. 66. (Изм. - ДВ, бр. 100 от 1992 г.) (1) (Изм. - ДВ, бр. 52 от 2004 г., в сила от 01.08.2004 г.) Трудовият договор съдържа данни за страните и определя:

Сигурно за това.

[delphine]

Сигурно за това.

То ясно, но чак пък личната карта...дори и само трите имена биха били достатъчни може би.

[valenciq]

Само имена и ЕГН на управителя е задължителен реквизит - § 1 т.10 от КТ
Но пък и ЕГН-то му е видно от търг. регистър.

[delphine]

Все пак ЕГН-то не е толкова достъпно за гледане в ТР. По принцип е помислено да защитим данните на наетите, но е съвсем резонен въпроса какво става с ЕГН-то на управителите. Доста неща има да се доизглаждат си мисля в това отношение.

[valenciq]

Ами, напротив - напълно свободно се свалят документи - с един цък, без подпис, и там има вс. данни на управителя, че и на собственика на ЕООД примерно
Съмнявам се някога да успеят да синхронизират вс.нормативи.

[thebest]

Здравейте! От всичко, което изчетох за личните данни - разбрах, че трябва да се промени договора със счетоводна къща. Но не мога да разбера -  как стой въпроса със нает счетоводител на трудов договор. В смисъл трябва ли нещо като документ да се попълва? И още трябва ли да даваме декларации на персонала, че са съгласни да им се ползват данните ?
Благодаря за вниманието и отделеното време

[bobo]

За счетоводителя, пък и другите служители, клиенти, доставчици и т.н. - добре е да си направите някакви вътрешни правила защо, как, кога и т.н. обработвате, съхранявате и т.н данни.
За персонала - доколкото обработваните, съхраняваните, предоставяните и т.н. данни на персонала е по законови изисквания - няма нужда от съгласие. Какво правите, ако някой работник не даде съгласие да предоставите данните му в НАП-ските декларации?!? Ако събирате някакви други данни по ваша инициатива - искате съгласие.
Вече има доста избор в нета, та и в този форум.

[asparuh_91]

Доста полезна тема!

[asparuh_91]

Само имам два въпроса, защото тепърва ще се започвам да се запознавам с материала. Администратор на лични данни се явява фирмата/дружеството/бюджетната организация, примерно училище.  Управителя/Директора, трябва ли да пусне някаква заповед, че се определя примерно гл.счетоводител и счетоводител( който прави заплатите на служителите, изготвя трудовите договори, справки за доходи,  да го кажа ТРЗ,осъществява длъжността касиер-домакин,т.е обединена длъжност), като определя за администратори на лични данни двете лица, понеже реално и главния счетоводител има достъп до лични данни на служителите , разбира се и директора/управителя. Или може да се определи само 1 лице за администратор, което да борави с лични данни на служителите? Също така да попитам, ако говорим за училище, то учениците как трябва да се третират, т.е ако училището има 28 персонал и 400 ученици, дали реално трябва да се назначава длъжностно лице по защита на данните ?

[bobo]

"Администратор" - училището, вероятно в лицето на директора (понеже има отговорности и задължения), останалите са "обработващи ЛД". На практика в едно училище обработващи не са само чистачките и параджията, но и това не е сигурно (няма пречка чистачка да е председател на синдиката - тогава се превръща в обработващ)
Не съм сигурен дали трябва да назначавате длъжностно лице.

[n_alex76]

РЕГЛАМЕНТ (ЕС) 2016/679. НЕОБХОДИМОСТ ОТ СЕРТИФИЦИРАНЕ СЪГЛАСНО GDPR

Сертифициране за съответствие с GDPR ще може да се извършва само от организации (сертифициращи органи), които преди това са акредитирани по реда на чл. 43 от GDPR.
Това ще са специални, изцяло нови механизми за сертифицирани (различни от наличните до момента), които ще трябва да са създадени в съответствие с изискванията на чл. 42 и чл. 43 от GDPR.
Поради това е изключително важно да се подчертае, че към момента (края на май 2018 г.) в България все още не съществуват официално утвърдени механизми за сертифициране по реда на GDPR.
Подобна е ситуацията в голяма част от другите държави членки.
Сертифицирането по GDPR е чудесен начин един администратор или обработващ да демонстрира, че полага усилия в посока защитата на личните данни, но далеч не му дава каквито и да е гаранции, че няма риск да бъде санкциониран при нарушение.
Също така, това, че една организация е сертифицирана, не е пълна гаранция, че в действителност спазва изискванията на GDPR.