Част 1. Какво представляват личните данни

-


"Лични данни" означава всяка информация, свързана с физическо лице, с помощта на която то може да бъде идентифицирано пряко или непряко. Това са име, ЕГН, данни за местонахождение, онлайн идентификатор и други.

Освен това като лични данни се третират и признаците, които са специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице и по които то може да бъде идентифицирано.

Какви лични данни "обработва" една малка фирма?


На първо място данните на служителите си - име, ЕГН, адрес, месторождение, паспортни данни - това е така наречената "физическа идентичност". Ако събира информация за имотното състояние, притежаване на дялове в дружества и прочие - това са данни, свързани с икономическата идентичност на служителите. Социалната идентичност пък се свързва с произхода, образованието, трудовата дейност. Семейната - със семейното положение, децата и родствените връзки.

Всичко това са данни, свързани със служителите, които трябва на първо място да се събират, обработват и унищожават законосъобразно, а и да бъдат опазени - това е отговорност на този, който оперира с тях.

Отговорност, впрочем, се носи и по отношение на личните данни не само на назначените слугжители, но и на кандидатите за работа във фирмата.

Втората основна група лични данни постъпва от контрагентите: най-често това са данните на техните представители или служители - например тези, които доставят стоки, извършват услуги, фактурират и т.н. - оставяйки своите лични данни на разположение на фирмата.

И разбира се - данните на клиентите, ако такива се събират. Ясно е, че една лавка за цигари и вестници не събира ЕГН-тата на тези, които пазаруват оттам. Но зависи какъв е бизнесът.

Всички данни на физически лица, които по един или друг начин ползва фирмата, трябва да се "идентифицират" и да се вкарат в правила, които освен че по някакъв начин трябва да регламентират обработването им, така и да осигурят защитата им от злоупотреба или унищожаване. 

И още нещо важно: регламентът категорично забранява обработването на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.

Тази забрана отпада ако самото физическо лице е дало съгласие за такава обработка, като това съгласие трябва да е за конкретно посочена цел, лицето да е било пределно ясно информирано за какво се събират тези данни и какво ще се случва с тях и доброволно и свободно да се е съгласило. Тежестта да докаже наличието на тези обстоятелства лежи върху администратора на данни.

Освен при съгласие, обработването на "забранените" данни е допустимо и ако законът изрично разпорежда това, както и ако обработката е необходима, за да бъдат защитени жизненоважните интереси на лицето, а то е физически или юридически неспособно да даде своето съгласие.

Допустимо е и ако самото лице ги е направило обществено достояние, както и /най-общо казано/ - ако важен обществен интерес налага това, но при спазване на множество изисквания и ограничения.

Важно!
 Разясненията, които четете тук, нямат характер на адвокатска консултация. Тяхната цел е просто да помогнат на "малките" играчи на пазара да разберат какви са новите им задължения, за да могат да се изправят пред тях без излишна паника.

Коментари

Публикуване на коментар

Популярни публикации от този блог

КЗЛД: Кога не се иска съгласие от субекта на данните

-
Изображение
В последно време сме свидетели на засилено искане на съгласие за събиране и обработване на лични данни на граждани при предоставянето на различни видове услуги. В КЗЛД ежедневно постъпват сигнали и въпроси относно необходимостта да се иска и дава съгласие. Не трябва да се забравя, че както лесно е дадено, така лесно съгласието може да бъде оттеглено, поради което обработването на лични данни само въз основа на съгласие не винаги е най-удачен избор и е добре да се направи преценка дали не е налице друго правно основание. Във връзка с повишения обществен интерес и явната значимост на този въпрос, КЗЛД изготви информационен материал относно случаите, в които администраторите / обработващите лични данни не следва да изискват съгласие от физическите лица, за да събират и обработват техни лични данни. Съгласието е едно от основанията за събиране и обработване на лични данни. Независимо от факта, че то е посочено на първо място, важно е да се знае, че всички правни основания са алтернат...
Прочетете още

Част 3. Кой е администратор, кой - обработващ и трябва ли да има длъжностно лице за защита на данните?

-
Изображение
Администраторът - това е всяко физическо или юридическо лице, държавен орган или орган на местната власт, агенция или друга структура, която самостоятелно определя целите и средствата за обработването на лични данни в хода на своята дейност или бизнес. Това, което трябва да се знае е, че занапред администраторите няма да се регистрират в Комисията за защита на личните данни - това задължение отпада, а сега съществуващите регистри на администраторите вече няма да се поддържат. Но всеки, който борави с лични данни /а това са на практика всички фирми - най-малкото заради личните данни на служителите си/, ще има задължения по този регламент. Администраторът - физическото или юридическо лице, сдружение, структура и др., носи отговорността за спазването на правилата за защита на личните данни. То ще понесе и тежестта на санкцията, ако ги наруши. Освен това тежестта на доказване, че изискванията на закона са спазени, тежи върху администратора - при проверка от...
Прочетете още

Част 4: Кой е длъжен да назначи специален служител по данните?

-
Изображение
Първо трябва да изясним кой има задължението да назначи такова длъжностно лице. Според регламента администраторът и обработващият лични данни определят длъжностно лице по защита на данните във всички случаи, когато са публични органи или структури, когато основната им дейност се състои в обработването на лични данни и това обработване е редовно, систематично и мащабно, както и когато обработват "специални данни" - за присъди и нарушения, за здравословно състояние и др. В предложението за промени в българския Закон за защита на личните данни /ЗЗЛД/ обаче е записано, че администраторът или обработващият лични данни ще е длъжен да назначи длъжностно лице по защита на данните винаги, когато обработва данните на повече от 10 000 физически лица.
Прочетете още