Част 9: Прословутите регистри не са нищо страшно

-
Според Регламента писмен регистър на дейностите по обработване на данните трябва да поддържа всеки администратор или обработващ лични данни на физически лица, но е предвидено следното изключение: той не е задължителен за предприятия или дружества с по-малко от 250 души служители. Има и изключение от изключението: регистър все пак ще е задължителен и за тези малки фирми, ако "има вероятност извършеното от тях обработване да породи риск за правата и свободите на субектите на данните", ако обработването не е спорадично или включва "чувствителни данни" или лични данни, свързани с присъди и нарушения. 

Очевидно при списването на законопроекта за изменение на ЗЗЛД и привеждането му в съотвествие с регламента, в Комисията за защита на личните данни са приели, че риск за правата на субектите на данни винаги има. И затова в ЗИД на ЗЗЛД е записано, че регистри трябва да водят всички администратори. Какво ще приеме парламентът обаче тепърва ще стане ясно.
Да видим какво представлява този регистър. 

Той не е нищо ново - такива регистри представяха и поддържаха и досега администраторите на лични данни. Трябва да е писмен - на хартиен или електронен носител. И да съдържа следните данни:

1.    наименованието на администратора и координатите за връзка с него. А сега вече ще трябва да се посочват и координатите на длъжностното лице по защита на данните, ако има такова,
2.    целите на обработването на данните;
3.   категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;
4.    описание на категориите субекти на данни и на категориите лични данни;
5.    когато е приложимо, използването на профилиране;
6.  когато е приложимо, категориите предаване на лични данни на трета държава или международна организация;
7.    посочване на правното основание за операцията по обработване, включително предаването на данни, за която са предназначени личните данни;
8.  когато е възможно, предвидените срокове за изтриване на различните категории лични данни;
9.  когато е възможно, общо описание на техническите и организационните мерки за сигурност. 

Това е задължителното съдържание. Досега имаше практика да се водят по няколко различни регистри: отделно  за персонала, отделно за контрагентите, отделно за чувствителните данни - ако има такива, отделно за видеонаблюдението.  Сега обаче в закона се говори за един регистър с "всички категории дейности по обработване".

Няма задължителна форма на регистъра - не са "спуснати" указания как трябва да бъде оформен, важното е да съдържа задължителната информация. Но трябва да се поддържа в писмен вид, "включително в електронен формат", казва законът.

И още нещо: при поискване администраторът и обработващият лични данни трябва да са в състояние да предоставят достъп до регистрите си на КЗЛД.



Коментари

Публикуване на коментар

Популярни публикации от този блог

КЗЛД: Кога не се иска съгласие от субекта на данните

-
Изображение
В последно време сме свидетели на засилено искане на съгласие за събиране и обработване на лични данни на граждани при предоставянето на различни видове услуги. В КЗЛД ежедневно постъпват сигнали и въпроси относно необходимостта да се иска и дава съгласие. Не трябва да се забравя, че както лесно е дадено, така лесно съгласието може да бъде оттеглено, поради което обработването на лични данни само въз основа на съгласие не винаги е най-удачен избор и е добре да се направи преценка дали не е налице друго правно основание. Във връзка с повишения обществен интерес и явната значимост на този въпрос, КЗЛД изготви информационен материал относно случаите, в които администраторите / обработващите лични данни не следва да изискват съгласие от физическите лица, за да събират и обработват техни лични данни. Съгласието е едно от основанията за събиране и обработване на лични данни. Независимо от факта, че то е посочено на първо място, важно е да се знае, че всички правни основания са алтернат...
Прочетете още

Част 3. Кой е администратор, кой - обработващ и трябва ли да има длъжностно лице за защита на данните?

-
Изображение
Администраторът - това е всяко физическо или юридическо лице, държавен орган или орган на местната власт, агенция или друга структура, която самостоятелно определя целите и средствата за обработването на лични данни в хода на своята дейност или бизнес. Това, което трябва да се знае е, че занапред администраторите няма да се регистрират в Комисията за защита на личните данни - това задължение отпада, а сега съществуващите регистри на администраторите вече няма да се поддържат. Но всеки, който борави с лични данни /а това са на практика всички фирми - най-малкото заради личните данни на служителите си/, ще има задължения по този регламент. Администраторът - физическото или юридическо лице, сдружение, структура и др., носи отговорността за спазването на правилата за защита на личните данни. То ще понесе и тежестта на санкцията, ако ги наруши. Освен това тежестта на доказване, че изискванията на закона са спазени, тежи върху администратора - при проверка от...
Прочетете още

Част 4: Кой е длъжен да назначи специален служител по данните?

-
Изображение
Първо трябва да изясним кой има задължението да назначи такова длъжностно лице. Според регламента администраторът и обработващият лични данни определят длъжностно лице по защита на данните във всички случаи, когато са публични органи или структури, когато основната им дейност се състои в обработването на лични данни и това обработване е редовно, систематично и мащабно, както и когато обработват "специални данни" - за присъди и нарушения, за здравословно състояние и др. В предложението за промени в българския Закон за защита на личните данни /ЗЗЛД/ обаче е записано, че администраторът или обработващият лични данни ще е длъжен да назначи длъжностно лице по защита на данните винаги, когато обработва данните на повече от 10 000 физически лица.
Прочетете още