Част 7: Не претупвайте "инвентаризацията" на данните

-
Най-лесно "инвентаризацията" на данни се прави по отдели и по видове субекти на данни. Започвате, разбира се, с ТРЗ и персонала - колко души, какъв вид информация събирате за тях, има ли чувствителни данни, които събирате и необходими ли са ви изобщо. Следват контрагентите и техните представители. И продължавате нататък.

Когато сте направили този вътрешен анализ, вие вече ще сте наясно какви лични данни се обработват във фирмата. Включително и чрез камерите за наблюдение. И, повярвайте ми, ще бъдете изненадани от техния обем. 

Вдомностите например се пазят 50 години и са пълни с лични данни, които трябва да вземете предвид. При едно по-голямо текучество във фирмата, току-виж бройката на хората, чиито данни се пазят във фирмата, скочила неимоверно. Другата "екстра", която трупа много лична информация - това са охранителните камери. Съхранението на записи с лицата на случайни минувачи, посетители или клиенти за прекалено дълъг срок може да се окаже проблем.

Пак да повторим, че ако се установи, че данните са на повече от 10 000 души /според проектозакона за изменение на ЗЗЛД/, ще трябва да си определите длъжностно лице по защита на данните -  или вече работещ във фирмата  служител да съвмести тази функция, или да наемете нов, или да потърсите външен консултант /физическо лице, адвокатска кантора, друга консултантска фирма/.

Това обаче не е краят на "домашното", което трябва да се подготви.

След като вече сте наясно с това какви данни се събират във фирмата, на какво основание постъпват - със съгласие на техния субект, по силата на закона или по друг начин, кой и как има достъп до тях, колко време се пазят, как се охраняват, следва да се направи нова преценка: дали всичко това ви е наистина необходимо и дали има излишни данни, които съхраняване.

Защото регламентът допуска обработка на лични данни само тогава, когато това е необходимо /принцип на свеждане на данните до минимум/, само за конкретни и предварително посочени цели и само за период, "не по-дълъг от необходимото".

Тежестта да докаже, че не е обработвал лични данни в по-голям обем или за по-дълъг срок от необходимия лежи върху администратора.

Законосъобразността на обработването на чужди лични данни е налице само в случай, че има  съгласие на субекта /при това не абстрактно, а за изпълнението на конкретната цел, изразено свободно, информирано и недвусмислено/, законово основание, необходимост за изпълнението на договор, за защита на жизненоважни интереси на субекта на данните, за целите на легитимните интереси на администратора или трета страна или когато се обработват при изпълнението на задача от обществен интерес. 

Без да са налице тези предпоставки, всяко обработване на "излишни" данни е недопустимо. Например събирането на информация относно политическата принадлежност или изповядваната религия при сключване на трудов договор е напълно излишно за това правоотношение. И администраторът на личните данни, който съхранява такива данни, трябва да се "отърве" от тях, а и да не ги събира в бъдеще. По силата на измененията в закона ще бъде забранено и преснимането на лични карти, което е масова практика на много места - те също да "излишни" лични данни, които трябва да бъдат унищожени и повече да не се събират. Какво конкретно трябва да се предприеме ще видим по-нататък.

С две думи: своеобразната "инвентаризация" на наличното състояние трябва да доведе администратора до решението какви данни обработва в момента, какво ще събира занапред и какво ще прави с това, което пази в разрез със закона /ако има такова/. И тя не трябва да бъде "претупвана", защото това носи риск за администратора.

Следващата стъпка е на база този анализ да прецените дали с организационните и технически мерки, които сте взели във фирмата, можете да гарантирате /и в каква степен/ защитата  на личните данни, които обработвате. И дали е необходимо да предприемете още нещо. 
 

Коментари

Публикуване на коментар

Популярни публикации от този блог

КЗЛД: Кога не се иска съгласие от субекта на данните

-
Изображение
В последно време сме свидетели на засилено искане на съгласие за събиране и обработване на лични данни на граждани при предоставянето на различни видове услуги. В КЗЛД ежедневно постъпват сигнали и въпроси относно необходимостта да се иска и дава съгласие. Не трябва да се забравя, че както лесно е дадено, така лесно съгласието може да бъде оттеглено, поради което обработването на лични данни само въз основа на съгласие не винаги е най-удачен избор и е добре да се направи преценка дали не е налице друго правно основание. Във връзка с повишения обществен интерес и явната значимост на този въпрос, КЗЛД изготви информационен материал относно случаите, в които администраторите / обработващите лични данни не следва да изискват съгласие от физическите лица, за да събират и обработват техни лични данни. Съгласието е едно от основанията за събиране и обработване на лични данни. Независимо от факта, че то е посочено на първо място, важно е да се знае, че всички правни основания са алтернат...
Прочетете още

Част 3. Кой е администратор, кой - обработващ и трябва ли да има длъжностно лице за защита на данните?

-
Изображение
Администраторът - това е всяко физическо или юридическо лице, държавен орган или орган на местната власт, агенция или друга структура, която самостоятелно определя целите и средствата за обработването на лични данни в хода на своята дейност или бизнес. Това, което трябва да се знае е, че занапред администраторите няма да се регистрират в Комисията за защита на личните данни - това задължение отпада, а сега съществуващите регистри на администраторите вече няма да се поддържат. Но всеки, който борави с лични данни /а това са на практика всички фирми - най-малкото заради личните данни на служителите си/, ще има задължения по този регламент. Администраторът - физическото или юридическо лице, сдружение, структура и др., носи отговорността за спазването на правилата за защита на личните данни. То ще понесе и тежестта на санкцията, ако ги наруши. Освен това тежестта на доказване, че изискванията на закона са спазени, тежи върху администратора - при проверка от...
Прочетете още

Част 4: Кой е длъжен да назначи специален служител по данните?

-
Изображение
Първо трябва да изясним кой има задължението да назначи такова длъжностно лице. Според регламента администраторът и обработващият лични данни определят длъжностно лице по защита на данните във всички случаи, когато са публични органи или структури, когато основната им дейност се състои в обработването на лични данни и това обработване е редовно, систематично и мащабно, както и когато обработват "специални данни" - за присъди и нарушения, за здравословно състояние и др. В предложението за промени в българския Закон за защита на личните данни /ЗЗЛД/ обаче е записано, че администраторът или обработващият лични данни ще е длъжен да назначи длъжностно лице по защита на данните винаги, когато обработва данните на повече от 10 000 физически лица.
Прочетете още