Новите драми със защита на личните данни

15.03.2018, 14:25 90696 440

0 Потребители и 1 Гост преглежда(т) тази тема.


Hrili

  • Публикации: 1192 / 225
...назначават ми някаква random-личност, парашутист спуснат кой знае от къде и кой знае от кого и с познания на дете от предучилищната детска градина, обаче с една такаааааа мазничка заплатка и... за всяка цифра и данна търчиш да искаш разрешение.
...

Кратко уточнение - никой няма да ти я назначи - ти си я назначаваш сама(в случаите, в които Регламента мъгляво остава тази работа на твоята преценка) и се погаждате с нея. Или специално наето лице, или съвместяващо и тази длъжност, без конфликт на интереси и поставяне в зависимо положение(което също е странно, като се има предвид, че говорим за нает работник). И не знам дали правилно разбрах, но това лице май трябвало да се регистрира в КЗЛД...  :blush:
Но поне твоята работа е лесна - винаги може да попиташ Жълтото куче, или да хвърлиш едно оЧо в кристалната си гадателска топка...  :wink1:

lope

  • Публикации: 76 / 2
Чета интервю на председателя на КЗЛД - http://www.economy.bg/bulgaria/view/30799/Predsedatelyat-na-KZLD-Vencislav-Karadzhov-za-noviya-reglament-GDPR
Този текст би отговорил на въпроса за конфликтите с други закони (би трябвало например такъв да е и ЗСч за сроковете на съхранение на информация), както и че в определени случаи личните данни трябва да бъдат обработвани и съхранявани независимо дали лицето е съгласно или не:
"Друга често дискутирана промяна са основанията за обработване на лични данни. Какво е новото при използването на съгласието като основание?
И в нашия Закон за защита на личните данни, и в Регламента има минимум 6-7 основания, на които могат да се обработват лични данни. Има правни основания в различни видове специални закони. Знаете, че Законът за защита на личните данни е от правна гледна точка общ закон, т.е. той регулира общата материя по защита на личните данни и има такива, които са специални спрямо него, примерно Законът за мерките срещу изпиране на пари, Законът за банките и кредитното дело, Законът за митниците, Законът за МВР, прокуратурата, Законът за съдебната власт и т.н., наказателният кодекс. Това са все специални закони. Ако тези закони предоставят или въвеждат задължения на различните органи, които прилагат процедурите в тая област, то те трябва да имат предимство пред Закона за защита на личните данни и в този смисъл, ако има такова законно овластяване, то е основание да се обработват лични данни независимо от съгласието. Съгласието е последното правно основание, ако мога така да се изразя. Ако няма друго правно основание за обработване на личните данни, предвидено в Регламента или в нашия Закон в момента, то тогава личните данни могат да бъдат обработени със съгласието на физическото лице. "

lope

  • Публикации: 76 / 2
Много е важно да се конкретизират критериите, при които назначаването на длъжностно лице е задължително. На практика всяка счетоводна кантора, независимо че може да се състои от 1-2 работещи собственици, обработва чувствителни данни – например отчита болнични листове (същото се отнася и за всички фирми с персонал, като администратори).

Критерият за назначаване на длъжностно лице, който ни засяга е: „мащабно обработване на специални категории данни съгласно член 9 от GDPR (например, данни за расов и етнически произход, данни за здравословното състояние и др.) или на лични данни, свързани с присъди и нарушения.“
Чета едно тълкувание на това, какво е „мащабно“ - https://www.tita.bg/free/commercial-law/537 , който пак не дава пълна яснота:
„За да се определи кое обработване е „мащабно“ трябва да се имат предвид най-малко следните критерии:
 брой на засегнатите субекти на данните или като конкретен брой, или като дял от съответното население;
обем на данните и/или диапазон от различни елементи на данните, които се обработват;
продължителност или постоянство на дейността по обработване на данните;
географски обхват на дейността по обработване (12).
Съгласно Работната група по чл. 29, консултативен орган в ЕС, който дава тълкувания на правилата за защита на личните данни, неизчерпателни примери за мащабно обработване са следните дейности:
 обработване на пациентски данни в обичайните условия на осъществяване на дейността на болница;
обработване на данни за пътувания на физически лица, използващи системата на обществен транспорт на даден град (например проследяване чрез карти за пътуване);
обработване в реално време на данни за определяне на географското местоположение на клиенти на международна верига за бързо хранене за статистически цели от страна на обработващ лични данни, който е специализиран в предоставянето на тези услуги;
обработване на клиентски данни от застрахователно дружество или банка в обичайните условия на осъществяване на дейността;
обработване на лични данни от търсачка с цел поведенческа реклама;
обработване на данни (съдържание, трафик, местоположение) от доставчици на телефонни или интернет услуги (13).“

Тук може да се включат и медицинско свидетелство и свидетелство за съдимост, при постъпване на работа, автобиография при подбор на персонал и т.н.

На какво мнение сте колеги – мащабно ли обработваме специални категории данни?

Hrili

  • Публикации: 1192 / 225
Аз така както виждам нещата, колкото и да ми е неприятно да го призная, намирам, че ги обработваме мащабно. По отношение на чуждите данни(по възлагане от клиенти) ние се явяваме обработващи, а не администратори, но като се има предвид, че не просто ги обработваме, а и ги предоставяме на трети лица(държавни институции, служби по трудова медицина и други), при това в  значителен съвкупен обем от отделните възложители, няма да се разминем леко.

Irena Atanasova

  • Публикации: 2 / 0
Бях на един курс и обясниха, че длъжностно лице се назначава във фирми с назначен персонал над 250 човека или ако фирмата обработва лични данни на физически лица над 10 000 броя.

bobo

  • Публикации: 2831 / 384
Това за броя на човеците май си го е измислил лектора.

Hrili

  • Публикации: 1192 / 225
Регламентът не поставя подобни разграничения. Това са някакви виждания, пренесени от националната законова и подзаконова нормативна уредба(отделен момент е, че към момента няма нов Закон и Правилник, в духа на регламента).
Така или иначе обаче, всяка счетоводна кантора е уязвима според мен, поради изключително големия обем и разностранност на личните данни, с които борави...

Catch-22

  • Публикации: 217 / 22
За мен проблем е, че нашите законотворци се туткат и ако въобще измислят нещо, то ще е в последният момент. Толкова ли е трудно (опита паказва, че да, доста е трудно) да интерпретират всичките европейски изисквания в българската действителност под формата на стегнат и ясен закон, за който няма да са необходими "н" на брой оказания, тълкувания за да е работещ.




P.G.H.R.

Колега, Catch-22, отговорът на въпроса, който зададе се съдържа в добре подбрания от теб ник-нейм.  :smile1:

lope

  • Публикации: 76 / 2
Примерите, които са дали (и които са неизчепрателни), са далеч от нашата дейност:
- обработване на пациентски данни в обичайните условия на осъществяване на дейността на болница;
- обработване на данни за пътувания на физически лица, използващи системата на обществен транспорт на даден град (например проследяване чрез карти за пътуване);
- обработване в реално време на данни за определяне на географското местоположение на клиенти на международна верига за бързо хранене за статистически цели от страна на обработващ лични данни, който е специализиран в предоставянето на тези услуги;
- обработване на клиентски данни от застрахователно дружество или банка в обичайните условия на осъществяване на дейността;
- обработване на лични данни от търсачка с цел поведенческа реклама;
- обработване на данни (съдържание, трафик, местоположение) от доставчици на телефонни или интернет услуги (13).“
Реално една счетоводна кантора обработва следните "чуствителни" данни: болнични листове, медицински свидетелства за постъпване на работа, свидетелства за съдимост. Микро и малките счетоводни кантори обработват 10-20-50.. такива данни ежемесечно. Същото се отнася и за малките и средни фирми - там се налага да обработват и лични данни с подбор на персонал например. Ако за всички тези случаи се тълкува, че се обработват "мащабно" и трябва да назначават длъжностно лице - то не знам първо от къде пазара на труда ще смогне да ги осигури и второ това ще доведе до фалити на много фирми

Катя Крънчева

А обърнахте ли внимание на въпроса за договорите/анексите, които ще трябва да подписваме с клиентите, заради отношенията ни администратор - обработващ? - член 28 от Регламента.

Hrili

  • Публикации: 1192 / 225
Да, аз мисля, че с колежите го коментирахме на друго място. Действително, по отношение на данните, ние се явяваме обработващи, съгласно договора с възложителя(който е администратор). В тази връзка аз мисля, че така или иначе тези отношения трябва да бъдат уредени по един максимално ясен и безусловен начин - това е в интерес и на двете страни, за да не се получи "прехвърляне на топка"(и респективно - отговорност) при евентуална, но напълно реална ситуация с участието на някое недоволно личице, чиито данни обработваме.
За мен е по-щекотлив въпроса дали е уместно в трудовия договор да се включва клауза, касаеща регламента, дори само под форма на уведомление, че ги обработваме по силата на нормативно установено задължение.

lope

  • Публикации: 76 / 2
Зравейте – пецизирането на споразумения с клиентите (или анекс към договорите) по повод обработването на лични данни е много важен момент. Добре е да се обсъди въпроса и който има идеи – да ги споделя, за да не пропуснем нещо.

Хрумна ми една идея – понеже навсякъде се казва, че според Регламента декларацията-съгласие за обработка на лични данни на служителя може да се оспори, защото страните по трудово правоотношение не били равнопоставени – може да се подписва такава декларация преди да се сключи трудовия договор (например от същата дата) като се пояснява, че данните ще започнат да се обработват след сключване на договора. Така няма да има спор, че страните са равнопоставени в момента на подписването и.

Hrili

  • Публикации: 1192 / 225
Според мен, подобно уточнение под форма на декларация, няма да има особена стойност, така или иначе един повратлив проверяващ с основание може да изтъкне, че лицето е било принудено да предостави своето съгласие, защото в противен случай е нямало да бъде наето на работа. Като цяло декларираното съгласие е най-слабото основание, на което да се осланяме. По-удачна е уведомителна клауза в трудовия договор, стъпила на нормативно основание. Примерно нещо от сорта "Работодателят, в качеството си на администратор на лични данни обработва и възлага на обработващ данните, съгласно разпоредбите на нормативната уредба в минимален изискуем обем". Това съвсем общо и грубо казано. Не пречи да се направи един регистър, в който да се изреди, примерно "За целите на ДОО с ежемесечно подаване на Декларация 1 - на основание Наредба Н-8, за целите на поддържане и организация на трудоавата документация - Кодекс на труда, Наредба 4 за сключване на трудов договор, съгласно н'ам кой си член от ЗДДФЛ във връзка с ползване данъчни облекчения за лица с намалена трудоспособност, медицинско свидетелство за зпочване на работа - съгласно Закон за здравословни и безопасни условия на труд и Наредба РД..."

bobo

  • Публикации: 2831 / 384
Това последното - списък на основанията, на които обработваме ЛД наистина е много полезно и улесняващо. Сещам се за още няколко в моята сфера, ще ги систематизирам и добавя.
За декларацията - практически обработваме ЛД само по законови изисквания,поне аз не се сещам да съм събирал такива по някакви други поводи.






delphine

  • Публикации: 8722 / 1466
Питам се дали някой е правил равносметка какъв административен и бюрократичен товар тежи на всяка една фирма ? Дали тя може финансово да го понесе ? Дали чрез разни облекчения не натоварват още повече фирмите ? Всъщност тези облекчения за кого са ? До вчера се регистрирахме в КЗЛД, а тепърва предстои да сме вече нерегистрирани и да добавим нови функции и ангажименти по този повод . Да си припомним и ДАНС и цялата суматоха, наподобяваща сегашната , относно това какво и как да го направим .
Регистрации тук и там, директиви една след друга , невъобразим хаос.
Чета ви внимателно, но да си призная честно само информативно. Ние си задаваме повече въпроси, отколкото законотворците . Още нищо не е ясно като практика. Омръзна ми да губя ценно време за половинчати неща. В крайна сметка наистина има адвокати и тази материя си им приляга толкова добре.
Вероятно това е една ниша, която би могла да води до увеличаване на възнаграждението на пожелалите да се занимават и с това. Стана обаче твърде много...

Hrili

  • Публикации: 1192 / 225
Това последното - списък на основанията, на които обработваме ЛД наистина е много полезно и улесняващо. Сещам се за още няколко в моята сфера, ще ги систематизирам и добавя.
За декларацията - практически обработваме ЛД само по законови изисквания,поне аз не се сещам да съм събирал такива по някакви други поводи.

Именно - много е важно изрично да се обосновем и подчертаем, че обработваме лични данни, без значение дали лично, или чрез възлагане обработващ(респективно - по силата на договор между АЛД и нас), на основание нормативно основание нормативно вменено задължение. И това задължение определя кръга  и обема данни, които събираме.
За мен изключително важно е да се избегне всякаква предпоставка, водеща до заключение, че ни е нужно Длъжностно лице по защита на данните. Като оставим настрана разхода, това е един допълнителен ангажимент, чиито мащаб още дори не сме в състояние да оценим.

bobo

  • Публикации: 2831 / 384
delphine, и аз чета засега само информативно. Имам си началник да мисли, но имам усещането, че "у наше село" това ще се стовари на моята глава и се опитвам да си самосистематизирам какво-що.

Catch-22

  • Публикации: 217 / 22
аз както ги виждам нещата ще трябва да се добави към ПВТР разработена процедура по обработване, използване и съхранение на личните данни паралелно с няколко регистъра по подобие на тези електронните (но по прецизни) в "Електронен регистър на Администратори на лични данни".
Като гледам как вървят нещата ще е нелепо Длъжностното лице по защита на данните да няма правно образование и опит, така че както колегата ще се хвана и за сламката, но ако има възможност няма да назначаваме.

Иначе, да, работата на сляпо, без реална законова рамка в българското законодателство е доста дразнещ момент за мен, просто за лудо повече не ми се работи...

bobo

  • Публикации: 2831 / 384
Набързо стъкмих за проба една табличка, пробвайте, моля, дали това се отваря и дали може да добавяте.
Този формат вижда ли ви се удобен и полезен?

Линк към гугъл екселски документ

В момента тук са: 0 Потребители и 1 Гост


Facebook група с над 24 000 членове!

Харесайте ни във Facebook