Как да се справим с новия регламент за личните данни (GDPR) - част първа

гост-автор: адв. Светлозара Лазарова

На 25 май 2018 г. влиза в сила новият Регламент за личните данни. На пръв поглед – поредната бюрократична машина. На втори – също, този път даже на европейско ниво. Но преди да се смръщите и да се чудите на кое гише да носите поредното заявление, нека се опитаме да погледнем нещата под друг ъгъл.

Новият Регламент има изключително амбициозната цел да постави боравенето с лични данни на всеки от нас на едно ново, по-високо и по-сигурно ниво, както от гледна точка на тяхното събиране и ползване, така и от гледна точка на тяхната защита.

Всеки от нас има достъп до лична информация, отнасяща се за други физически лица – било като потребител, било за целите на бизнеса, който развива. От друга страна всеки от нас дава някъде и на някого личните си данни – дали за да си извади данъчна декларация или някакво удостоверение, или пък да си купи он-лайн самолетен билет или комплект тигани.

Целта на новия Регламент, особено през призмата на дигиталния век, в който живеем и работим, е

да ни направи по-дисциплинирани, мислещи и отговорни, тогава когато предоставяме своите или изискваме чуждите лични данни, за да постигнем резултатите, които преследваме.

И така – ще започна с няколко примера, който най-вероятно сте срещали вече, четейки огромното количество информация, която се появява в публичното пространство по повод прилагането на Регламента за личните данни, а може да сте попадали в подобна ситуация и да сте изпитали го на свой гръб. Връщайте се мислено към тези примери, докато четете настоящата статия и премисляйте прочетеното през призмата на своя бизнес или просто като потребител на стоки и услуги.

Пример 1 разглеждате сайтове за хотели и в следващите няколко дни или месеци електронната ви поща е залята от оферти за хотели и почивки, страниците, които отваряте в Интернет също изобилстват от реклами на същите тези хотели и почивки.

Пример 2 отивате в общината да си вадите удостоверение и в коридора виждате приготвени за изхвърляне кашони със стари заявления, в които всичките ви съседи от квартала някога са искали нещо и чинно са си попълвали трите имена, ЕГН-то, адреса и името на съпругата.

Пример 3 написвате името си в търсачка в Интернет. От там изкача любопитна, вече неактуална, но неприятна за имиджа ви в момента информация за ваш проблемен в миналото дълг към банка (по действителен случай)

Пример 4 правите си изследвания в медицинска лаборатория и ви дават парола за достъп до резултатите в Интернет. Питате се – кой освен вас има достъп до тези резултати? Колко време ще ги съхраняват? Какво е нивото на сигурност на тази информация?

Пример 5 купувате си мобилен телефон на лизинг, млада консултантка бодро ви обяснява как трябва да си дадете личната карта, за да ви я снима. Има ли право? На кого ще я даде? За какво ще я ползва компанията – мобилен оператор?

Пример 6 Имате малка фирма и ползвате услугите на външна счетоводна кантора, на външна Служба по трудова медицина и на Застрахователно дружество за доброволно здравно застраховане. Искат Ви и Вие щедро давате всякакви данни за служителите си, включително и данни за здравословното им състояние. Къде носят болничните листа? Кой чете информацията в тях? В каква база данни отива информацията за здравословното състояние на служителите? Те трябва ли да знаят? Трябва ли да им се иска съгласието?

Пример 7Невинно „дезинформирате“ по Вайбър приятелката си или съпруга си къде се нахождате в момента, без да подозирате, че по подразбиране или без да се усетите как, приложението на телефона ви е с включена настройка Локация, която показва точното ви местонахождение и всъщност се вижда, че сте на съвършено различно място. Използвайте въображението си за набора от проблеми, които може да създаде тази ситуация.

Примерите могат да бъдат безкрайни – и от гледна точка на потребителите, и от гледна точка на тези, които ги събират и работят с лични данни, било за целите на бизнеса си, било защото законът ги задължава в качеството им на публичен орган.

 

Законова регламентация за обработването на лични данни има и понастоящем –Директива 95/46/ЕО, Закон за защита на личните данни.

Защо се налага да има нов законодателен акт? Кое е новото, различното, значимото?

Очевидно Директивата от 1995 г. е морално остаряла, бизнес процесите и информационните системи и услуги пък са напреднали значително, Интернет е навсякъде, дори храна можем да купуваме он-лайн. Управлението на човешкия капитал, оперирането в чувствителни данни, глобализацията, по-високите изисквания към сигурността на информацията и нейната защита от неправомерен достъп са все причини, които са довели до извода, че е настъпил моментът всички тези процеси да се сложат в една качествено нова правна рамка, с амбициозната цел тя да е по-добра и да повиши както бизнес културата ни, така и културата ни като потребители.

И така – какво да направим?

Не  търсете гише, където да носите поредното заявление! Регистрационният режим отпада, считано от 25 май 2018 г. На негово място обаче идва принципът на „отчетност“ – основен принцип на Регламента. Той означава, че във всеки един момент трябва да можете да докажете, че компанията Ви изпълнява изискванията на Регламента и че отговаряте на останалите принципи, заложени в него.

А те накратко са:

1.       Принцип на законосъобразност, добросъвестност и прозрачност;

2.       Принцип на ограничение на целите– това означава, че личните данни се събират само за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели;

3.       Принцип на свеждане на данните до минимум– това означава, че се обработват само лични данни, които са свързани и са ограничени до необходимия минимум във връзка с целите, за които се обработват;

4.       Принцип на ограничение на съхранението- това означава, че данните трябва да се съхраняват за период, не по-дълъг от необходимото за целите, за които се обработват;

5.       Принцип на цялостност и поверителност– това означава, че данните се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки;

Звучи мъгляво, суховато и бюрократично, но ето какво всъщност означава това и какви практически стъпки трябва да предприемете.

Първото и най-важно нещо е да седнете със счетоводителката си или с адвоката си или с HR служителя си или с всеки друг, който ви сътрудничи в сферата на документацията в зависимост от спецификата и големината на вашия бизнес,  да проследите ежедневните си работни процеси и да си отговорите на следните въпроси:

1.       Каква точно информация обработвам за физически лица, която може да ги идентифицира еднозначно?

Отговорът на този въпрос ще Ви даде информация за вида данни – обикновени (име, ЕГН, адрес, електронна поща, IP адрес, местоположение и други) или специални (расова, етническа, политическа, синдикална, сексуална или друга принадлежност, биометрични данни, данни на човешкия геном).

Повече или по-чувствителни данни – по-сериозни задължения и отговорности за Вас.

2.       Кое ми дава право да събирам лична информация от физически лица – по закон ли ми я искат, предметът ми на дейност ли го изисква, договор ли ще изпълнявам, някаква обществена необходимост ли го налага?

Отговорът на този въпрос ще Ви даде представа за основанията за събиране на лични данни, посочени в Регламента – а) по силата на закон, б) по силата на договор, в) по силата на съгласие, г) по силата на легитимен (законен) интерес на администратора, д) за защита на жизнено важни интереси, е) в изпълнение на задача от обществен интерес.

Ако никое от гореизброените основания не налага събирането на определени лични данни, може би е време да спрете да го правите. Освен, че ще освободите пространство мегабайти и джобчета, ще спазите и принцип № 3.

Ако нищо, освен съгласието на човека, чиито данни ще събирате и ползвате, не пасва като отговор, трябва да обърнете внимание на следните много важни правила:

-          Когато няма друго основание (виж по-горе), винаги следва да е налице съгласие, когато събираме данни. По тази причина, ако отидете да си вадите Удостоверение за наследници, не очаквайте лелката на гишето да ви поиска съгласие;

-          Целта (виж по-долу), за която събираме данни, винаги трябва да е конкретна и точно упомената;

-          Трябва да докажем на бюрократите, че съгласието е дадено, така че най-добре си натракайте една отделна декларацийка (не ползвайте ситните букви в Общите условия) или програмистът, който ви направи сайта за продажба на слънчеви очила, да  го изведе в отделен прозорец с отделно „тикче“, и то най-добре още на етап регистриране в сайта;

-          Мълчанието НЕ Е знак за съгласие, затова предварително отметнатите полета (настройки по подразбиране – спомнете си примера с Вайбъра) или липсата на подпис няма да се броят за съгласие;

-          Човекът ще трябва да е наясно какво ще се случи, ако не даде съгласие. Най-вероятно няма да може да си купи очила он-лайн, ако не си даде името и адреса, но трябва да е информиран за това.

-          Човекът винаги трябва да може да оттегли съгласието си, толкова лесно, колкото го е дал, и освен това трябва да го информирате за това негово право – в същата декларацийка, която ще му напишете;

 

3.       Кое налага събирането на лични данни? Каква е причината да го правим?

Отговорът на тези въпроси ще ни даде представа за целите за събиране на лични данни. Не можем да събираме данни от хората просто ей така за всеки случай, а ако го правим – нарушаваме сериозно принцип № 2 (а също и № 1 и 3). Регламентът винаги изисква това да се прави с определена, конкретна и точно посочена цел.

Ако имаме последваща цел, несъвместима или различна от първоначалната – в повечето случаи, с няколко изключения, почваме всичко отначало. Ако банката например Ви е събрала данните, за да ви даде кредит, не може да ги предостави после на друга компания, но пък при определени условия може да ги използва, за да Ви предложи друг продукт или да подобри условията по кредита.

Целите могат да бъдат всякакви – данъчни цели, социално-осигурителни цели, трудово-правни цели, с цел да продадем някому нещо, журналистически цели, статистически цели, маркетингови цели, научно-изследователски и исторически цели, здравни цели – и т.н.

Целите (а също и средствата за обработване) ни дават отговор на въпроса – аз администратор ли съм или само обработващ, или и двете, или … нещо друго.

Ако вие като дружество определяте целите, контролирате ги и носите отговорността – най-вероятно сте администратор.

Ако не определяте целите, но обработвате от името на този, който ги определя – най-вероятно сте обработващ. Възложено Ви е по договор, Вие извършвате обработването, но решенията ги взима администраторът.

Ако определяте целите за едни вид обработване, а за друг вид обработване това ви е възложено, значи съвместявате и двете качества. Класически пример за това е фирмата на Вашата счетоводителка – тя е администратор по отношение на обработването на данни за собствените си служители, и обработващ по отношение на обработване на данните на вашите служители или клиенти, тъй като сте ѝ възложили да обработва данни вместо Вас по най-различни причини – нямате възможност или хора или време или желание сами да го правите.

Ако, като мен, само давате акъл – най-добре ще Ви пасне ролята на Длъжностно лице по личните данни.

4.       Какво по-точно правя с тези данни? На коя колежка ги давам или изпращам? Тя къде ги слага или записва? Показва ли ги на ITспециалиста или разказва на мъжа си?  Искам да си почистя шкафа/компютъра, колко време да ги пазя? В кашон ли да ги изхвърля пред офиса или да ги унищожа в шредер? Ами ако някой ги открадне? Ако от НАП ме глобят, че съм го направил/а преди срока?

Отговорите на тези въпроси Ви насочват към няколко важни неща.

Първо Ви дават представа кои са основните операции по обработване на лични данни - събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

Второ, Ви казват, че ако извършвате поне едно от тези действия, докато упражнявате бизнеса си или ако някой върши това спрямо Вас като служител или като клиент или потребител, то Вие сте обект на правилата на Регламента. Независимо дали управлявате павилион за семки, он-лайн магазин, счетоводна кантора или болница.

Трето, Ви насочват всъщност към това да изпълнявате и спазвате всички посочени по-горе принципи без изключение.

Четвърто, Ви подсещат, че за да  изпълнявате разпоредбите на Регламента и да може да сте изрядни пред КЗЛД, ако Ви проверят, е добре да си разработите едни правила или механизми, които да определят като съберете лични данни а) къде и на какъв носител да ги съхранявате, б) коя колежка или кой IT специалист ще е отговорен да не изтече информация, в) какви мерки за сигурност да предприемете, особено, ако данните са чувствителни, г) колко време трябва да ги пазите и как ще ги унищожите - ако някоя Наредба задължава счетоводителката да държи нещо в чекмеджето 10 г., трябва да се съобразите, но ако зависи само от Вас – трябва да има краен момент – защо това е важно, ще разберете във втората част на статията.

                Когато завършите съвестно и отговорно тази проверка, работата ще е наполовина свършена и ще сте наясно какви данни влизат при Вас, какъв е техният жизнен цикъл от постъпването до унищожаването и как да организирате на хартия и в електронен вид дейността си така, че да не попадате в полезрението на надзорните органи или на недоволни потребители.

Защото Вашите потребители и донори на лични данни имат права, които всъщност са Ваши задължения, а и надзорните органи дебнат. За тях ще говорим следващия път.

                Статията няма претенции за изчерпателност. Въпреки шеговития тон, чиято единствена цел е да приемем нещата по-ведро, авторът се отнася към темата напълно професионално и отговорно.

Важно!

Съвместно с адв. Светлозара Лазарова си поставихме за задача да кажем най-важното, което трябва да се знае на първо време, за да влезем в час с правилата на новия Регламент и създадохме онлайн курс:


GDPR за малкия бизнес

 •  Курсът е насочен е предимно към малки и средни фирми, счетоводители, адвокати, HR специалисти, Служби по трудова медицина, преводачески агенции и към всички, които искат да са наясно с правилата
 •  Имате на разположение отделни модули, където лекторът разказва и обяснява, а слайдовете с текст допълват неговата презентация
   
 •  Прибавихме няколко модули с практически стъпки, които да Ви ориентират какви действия трябва да предприеме всеки Администратор на лични данни
   
 •  Може да гледате по всяко време и на всякакво устройство - стига да имате интернет и слушалки
   
 • Семинарът може да се гледа от всички служители в офиса
  Повече информация прочетете ТУК

-----------

Светлозара Лазарова е адвокат ,практикува в сферата на търговското, трудовото и административното право - адрес: София, 1000 ул. Княз Борис I № 99, ет. 3 тел. 089 84 89 222  e-mail: svetlozara.lazarova@lk-lawpartners.com,  www.lk-lawpartners.com

Илюстрация:Designed by Freepik


Настоящото изложение има информативен и опознавателен характер. Изразява личното професионално мнение на авторите на сайта и не представлява конкретен съвет или консултация

4 Коментари

 1. Avatar
  Андреана 2018-03-27 18:10:48

  Чудесна статия поднесена с професионализъм примесен с приятно чувство за хумор.Достъпна и изчерпателна,обхващата сфери от живота с реални ситуации в които всички сме попадали или ще попаднем рано или късно.

 2. Avatar
  Андреана Георгиева 2018-03-27 18:08:47

  Чудесен материал.За мен информацията беше изключително полезна.

 3. Avatar
  Румен Павлинов 2018-03-27 18:05:06

  Добре поднесен материал,професионално изчерпателен.Благодаря на авторката.Очаквам продължението.

 4. Avatar
  Марто 2018-03-25 15:58:59

  Чудесна статия. Очевидно темата ще става все по-актуална, а доколкото разбирам след около два месеца всички ще се изправим пред реалността GDPR. Ето защо е важно да се информираме - аз самият съм просто потребител, но това означава потенциално недоволен потребител! Поздравления за хубавата статия и благодарности че ни отваряте очите. Очакваме продължението.

Напиши коментар