Публикации

Най-новото

КЗЛД: Кога не се иска съгласие от субекта на данните

-
Изображение
В последно време сме свидетели на засилено искане на съгласие за събиране и обработване на лични данни на граждани при предоставянето на различни видове услуги. В КЗЛД ежедневно постъпват сигнали и въпроси относно необходимостта да се иска и дава съгласие. Не трябва да се забравя, че както лесно е дадено, така лесно съгласието може да бъде оттеглено, поради което обработването на лични данни само въз основа на съгласие не винаги е най-удачен избор и е добре да се направи преценка дали не е налице друго правно основание. Във връзка с повишения обществен интерес и явната значимост на този въпрос, КЗЛД изготви информационен материал относно случаите, в които администраторите / обработващите лични данни не следва да изискват съгласие от физическите лица, за да събират и обработват техни лични данни. Съгласието е едно от основанията за събиране и обработване на лични данни. Независимо от факта, че то е посочено на първо място, важно е да се знае, че всички правни основания са алтернат...
Публикуване на коментар
Прочетете още

Част 9: Прословутите регистри не са нищо страшно

-
Изображение
Според Регламента писмен регистър на дейностите по обработване на данните трябва да поддържа всеки администратор или обработващ лични данни на физически лица, но е предвидено следното изключение: той не е задължителен за предприятия или дружества с по-малко от 250 души служители. Има и изключение от изключението: регистър все пак ще е задължителен и за тези малки фирми, ако "има вероятност извършеното от тях обработване да породи риск за правата и свободите на субектите на данните", ако обработването не е спорадично или включва "чувствителни данни" или лични данни, свързани с присъди и нарушения.  Очевидно при списването на законопроекта за изменение на ЗЗЛД и привеждането му в съотвествие с регламента, в Комисията за защита на личните данни са приели, че риск за правата на субектите на данни винаги има. И затова в ЗИД на ЗЗЛД е записано, че регистри трябва да водят всички администратори. Какво ще приеме парламентът обаче тепърва ще стане ясно. Да видим как...
Публикуване на коментар
Прочетете още

Част 8: Необходимите мерки за защита са съобразно риска

-
Изображение
Тук е мястото да се извърши и преценката за риска от евентуално нарушаване правата на субектите на личните данни при изтичане, унищожаване или каквото и да било друго неправомерно въздействие върху наличната за тях информация. За повечето малки предприятия той ще е нисък.   Според ЗИД на закона "риск е функция от вероятността дадена заплаха да се превърне в потенциална уязвимост и резултатно въздействие от неблагоприятното събитие върху организацията". Преведено на човешки език, това безумно чиновническо клише ще рече, че трябва да прецените какъв е рискът от неправомерно изтичане, разкриване или изтриване на събраните данни и как то ще се отрази на субекта на данните и на фирмата. А оттам - какви мерки за предотвратяване на такова неправомерно въздействие сте взели до момента, дали те са подходящи и има ли нужда да търсите допълнителни защити. Администраторът има задължението да осигури подходящо ниво на сигурност съобразно степента на риска.   Непроменен...
Публикуване на коментар
Прочетете още

Част 7: Не претупвайте "инвентаризацията" на данните

-
Изображение
Най-лесно "инвентаризацията" на данни се прави по отдели и по видове субекти на данни. Започвате, разбира се, с ТРЗ и персонала - колко души, какъв вид информация събирате за тях, има ли чувствителни данни, които събирате и необходими ли са ви изобщо. Следват контрагентите и техните представители. И продължавате нататък. Когато сте направили този вътрешен анализ, вие вече ще сте наясно какви лични данни се обработват във фирмата. Включително и чрез камерите за наблюдение. И, повярвайте ми, ще бъдете изненадани от техния обем.  Вдомностите например се пазят 50 години и са пълни с лични данни, които трябва да вземете предвид. При едно по-голямо текучество във фирмата, току-виж бройката на хората, чиито данни се пазят във фирмата, скочила неимоверно. Другата "екстра", която трупа много лична информация - това са охранителните камери. Съхранението на записи с лицата на случайни минувачи, посетители или клиенти за прекалено дълъг срок може да се окаже пробле...
Публикуване на коментар
Прочетете още

Част 6: Как да се справим със задълженията по регламента: първо, второ, трето... Или какво практически трябва да предприеме малка фирма, за да спази регламента?

-
Изображение
Първо трябва да съберете екипа, на който ще възложите подготовката за спокойното посрещане на "сакралната дата" 25 май, от която ще влезе в действие регламентът и за нашата страна. В този екип задължително трябва да има юрист /юрисконсултът на предприятието ще се окаже ключовата фигура в този екип, но ако нямате такъв - потърсете юридически съвет отвън/. Счетоводителят и служителите /или поне този от тях с ръководни за дейността функции/ от личния състав - задължително трябва да се включат. Системният администратор - без него също няма да може, защото повечето от конкретните мерки за защита на данните със сигурност ще се окажат свързани именно с неговите компетенции и специфични познания в областта на компютърните технологии. Шефовете на различните отдели - реклама, маркетинг, администрация и човешки ресурси/ако има такива/, продажби и др. Те също трябва да присъстват в екипа - най-малкото, за да очертаят кръга от данни, с които се работи при тях, ...
Публикуване на коментар
Прочетете още

Част 5: Какво ще работи длъжностното лице по защита на данните? И защо то може да се окаже полезно?

-
Изображение
Длъжностното лице по защита на данните всъщност не е нова фигура - то съществува в нашето законодателство отпреди около пет години. Това е така нареченият Data Protection Officer. Както вече казахме, той се определя въз основа на професионалните му качества и личните способности - една съвкупност от правни познания, практически опит в областта на защитата на данните и лични възможности да се справи с поставените му задачи. Неговата задача е да консултира, да съветва, да анализра, да дава становище. Но цялата отговорност за защита на личните данни се носи от администратора на лични данни. Според регламента длъжностното лице трябва да участва "по подходящ начин и своевременно" при решаването на всички въпроси, свързани със защитата на личните данни. Което означава, че то трябва да има достъп до висшите ръководни нива във фирмата, които всъщност взимат решенията. Освен това служителят се "отчита пряко пред най-висшето ръководно ниво на администратора ...
Публикуване на коментар
Прочетете още

Част 4: Кой е длъжен да назначи специален служител по данните?

-
Изображение
Първо трябва да изясним кой има задължението да назначи такова длъжностно лице. Според регламента администраторът и обработващият лични данни определят длъжностно лице по защита на данните във всички случаи, когато са публични органи или структури, когато основната им дейност се състои в обработването на лични данни и това обработване е редовно, систематично и мащабно, както и когато обработват "специални данни" - за присъди и нарушения, за здравословно състояние и др. В предложението за промени в българския Закон за защита на личните данни /ЗЗЛД/ обаче е записано, че администраторът или обработващият лични данни ще е длъжен да назначи длъжностно лице по защита на данните винаги, когато обработва данните на повече от 10 000 физически лица.
Публикуване на коментар
Прочетете още