Законът зa защита на личните данни от 2019 като допълнение на ОРЗД

Време за прочитане : 3 минути
 

Законът за защита на личните данни (ЗЗЛД) съществува още отпреди да влезе в сила през май 2018 Общият регламент за защита на личните данни на физическите лица (ОРЗД или GDPR). Оттогава всички заинтересовани лица тръпнеха в очакване как нашият законодател ще имплементира изискванията ...прочетете повече

Бланки на декларация за защита на личните данни и др. образци по ЗЗЛД и GDPR – политика за поверителност, декларация за съгласие, вътрешни регистри и др.

Време за прочитане : 4 минути
 

Безплатни образци и бланки на декларации, политики, регистри и всевъзможни други документи по новия GDPR Регламент и Закона за защита на личните данни (ЗЗЛД) са предмет на все по-голямо търсене от бизнес потребителите, имащи качеството на администратори на лични данни. Целта на настоящата статия е на първо място да обясни същността на тези документи, както и да предостави някои примерни образци за свободно ползване.

Мнозина може би вече са установили, че, въпреки голямото търсене, безплатни образци и бланки, свързани със защитата на личните данни, се намират трудно или въобще не се намират в интернет пространството. Това има своето напълно логично обяснение, което се корени в следните 2 основни причини:

  1. Стандартни пакети образци не се разпространяват безплатно, а се продават
  2. Стандартен

...прочетете повече

Длъжностно лице по защита на данните – функция, изисквания и кога е задължително назначаването на ДЛЗД (DPO)

Време за прочитане : 3 минути
 

Влизането в сила през май 2018 на новия Регламент за защита на личните данни (GDPR) ще изведе на хоризонта една нова фигура, която е натоварена с немалко задачи във връзка със спазване разпоредбите на европейското законодателство. Регламентът има пряко приложение в държавите-членки и не е задължително допълнително уреждане на неговата материя и на национално ниво. Въпреки това обаче, с все по-засиленото тълкуване на нормите на GDPR, става ясно, че ще има нужда от промяна и на редица национални закони и подзаконови актове. Всички те трябва да са в унисон с европейските мерки за защита на личните данни.

Длъжностното лицe по защита на данните (ДЛЗД), известно на английски език като Data Protection Officer (DPO), е ново както за българското, така и за по-голяма част от европейското общество и бизнес. Въпреки множеството спекулации, че именно това лице ще утежни бизнеса, това не е точно така. Основно поради факта, че не всяка фирма или организация трябва задължително да назначи свое ДЛЗД. Има три случая, в които обаче това е неизбежно и задължително. Те са:

  • Публичен административен орган – такива са например общините, НАП, НОИ, КАТ и др. като в това число влизат всички държавни и общински публични сектори.
  • При мащабно наблюдение на различни физически лица като основна дейност – под „мащабно“ се взема предвид:

...прочетете повече

Администратор на лични данни или обработващ лични данни – функции, задължения и цена за обучение

Време за прочитане : 5 минути
 

Администратор на лични данни и обработващ лични данни са две напълно самостоятелни фигури, предмет на уредба на българския Закон за защита на личните данни (ЗЗЛД) и на новия общ Регламент (ЕС) 2016/679 за защита на личните данни, известен с абревиатурата GDPR. Целта на настоящата статия е да разгледа същността на и разликата между тези две фигури, както и редица чисто практически аспекти – кой следва да бъде администратор и кой обработващ лични данни при едно търговско дружество, кога е задължително и важи ли за малки фирми, необходима ли е регистрация и т.н.

Администраторът на лични данни и обработващият лични данни са едни от най-важните фигури в регламента и Закона за защита на личните данни. На пръв прочит техните функции изглеждат почти еднакви и повечето хора ще се запитат: „Каква тогава е разликата между тези две понятия“? В чл. 4, ал. 7 от регламента е дадено конкретното описание на фигурата „администратор на лични данни“, а именно „физическо или юридическо лице, публичен орган или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни“. Или по-просто обяснено, администраторът е този, който определя какви лични данни ще се събират от субектите (физически лица) за осъществяване на неговите функции, колко време ще се съхраняват, дали ще се предоставят на трети страни и по какъв начин, как и кога ще се унищожават, информира субекта за неговите права и т.н. А възможно най-просто обяснено – администратор на лични данни е съответното търговско дружество. Така например при един онлайн магазин администратор на лични данни ще е напр. „Онлайн магазин“ ООД, а не управителят на фирмата, счетоводителят, компютърната поддръжка и т.н. Може би мнозина биха се зачудили как чисто технически дадена фирма ще обработва лични данни и не е ли необходимо някой служител на фирмата да изпълнява тази функция. И отговорът е, че фирмата носи отговорността за изпълнението на задълженията на администратора на лични данни, а чисто технически задълженията в тази насока се изпълняват или от физически лица – служители на фирмата, или от външен експерт по договор за услуга – но това по никакъв начин не прави последните администратори на лични данни. Администратор на лични данни винаги е съответното юридическо лице – търговско дружество, а всички, които на практика обработват лични данни, имат други качества, които ще бъдат разгледани по-долу.

Сред основните функции на администратора на лични данни е да осигурява защитата и сигурността на събраните и обработвани лични данни, в това число организационните и техническите средства за тази защита. А какво означава това на практика? Това означава администраторът на лични данни (чрез своите служители, разбира се, или чрез едноличния собственик на капитала в случая на ЕООД без служители, или чрез нает за целта външен експерт, напр. адвокат) да направи няколко неща:

  1. Да направи една първоначална цялостна и всеобхватна проверка (одит) на дейността на фирмата, за да установи абсолютно всички лични данни, които се обработват в дейността на дружеството, и всички специфики във връзка с това – чувствителни ли са личните данни или част от тях, широкомащабна ли е обработката им, препращат ли се събрани от администратора лични данни на трети лица или услуги (напр. Google Analytics, Facebook и т.н.), има ли препращане към лица или сървъри извън ЕС и т.н.
  2. След изясняването на въпросите по предходната точка да предприеме съответните мерки, които най-общо се изразяват в изготвяне или изменение на съществуваща фирмена документация (политики, процедури, правила, вътрешни регистри, бланки, формуляри и т.н.). Това е абсолютно задължително, защото спазването на изискванията за защита на личните данни се доказва не по друг начин, а именно чрез наличната фирмена документация. В тази връзка е важно да се отбележи, че при една внезапна проверка възможността за „спасяване на положението“ чрез прибягване до услугите на компетентен експерт, напр. адвокат, който да провери дали дейността на фирмата отговаря на изискванията на закона и регламента и евентуално да промени и приведе в съответствие документация преди предоставянето й на КЗЛД, е практически нулева. Адвокат може да се намеси, ако е даден срок, в който да бъдат предоставени документи на комисията, но в такъв случай следва да се има предвид, че не винаги всичко може да бъде направено експресно, напр. в рамките на няколко дни, защото трябва да се изследва цялата дейност на фирмата (дори КЗЛД да е поискала само 1 документ), да се направи връзка със счетоводство и други външни доставчици и т.н.
  3. Обучение на служители на администратора на лични данни е последната стъпка, която е препоръчителна, но не и задължителна. По закон има изискване съответните служители да са запознати с правилата за защита на личните данни и да ги спазват, но при проверка Комисията за защита на личните данни (КЗЛД) няма да провежда изпит на служителите доколко са компетентни, а ще проверява изготвената от тях документация. Обучението на служители може да се извършва основно по две направления – посещаване на специализирани курсове за обучение или обучение от нает от администратора външен експерт. Типичен пример за последното е адвокат, нает по договор за услуги от дадена фирма – администратор на лични данни като външен експерт – „Длъжностно лице по защита на занните“. В този случай срещу ГОДИШЕН хонорар, равняващ се на по-малко от МЕСЕЧНАТА заплата на даден служител във фирмата, съответното длъжностно лице по защита на данните, напр. нает за целта адвокат, не само следи текущо дейността на фирмата на отговаря на всички изисквания и промени в законодателството за защита на личните данни, но и извършва обучение на служителите във фирмата, които могат да се обръщат към експерта със съвсем конкретни въпроси и казуси.

Администраторът на лични данни може да бъде подпомаган в дейността си от „длъжностно лице по защита на данните“, което лице може да бъде служител на фирмата или външен експерт, напр. адвокат. При по-големи предприятия тази фигура е задължителна. Такъв ще е случаят напр. с една болница, тъй като тя ежедневно обработва и то основано „чувствителни“ данни, свързани със здравословното състояние на пациентите си.

В регламента е уредена и ролята на т.нар. „съвместни администратори“ на лични данни, които заедно определят целите и средствата. Тази фигура не е по-различна от „самостоятелния“ администратор. Но за удобство на субекта на лични данни (физическото лице, чиито данни се събират и обработват) е предвидена възможност да упражни правата си поотделно към всеки администратор. На практика такъв би бил случаят при фирма, която продава продуктите си чрез оторизиран дилър, в който случай търговецът (напр. производител) и оторизираният му дилър са съвместни администратори на лични данни.

Важно е да се спомене, че след 25 май 2018г. отпада задължението за регистрация на администратор на лични данни в Комисията за защита наличните данни. Самата комисия обаче остава водещият надзорен орган за България и тя ще продължи да съблюдава спазването на всички изисквания на българското и европейското законодателство. Изключително важно е обаче да се отбележи, че отпадането на задължението за регистрация на администратори на лични данни съвсем не означава, че отпадат дадени задължения на търговските дружества, свързани с обработката на лични данни. Дори напротив – още при първото извършено от името на дадена фирма действие, представляващо обработка на лични данни (напр. сключване на трудови договори, в които фигурират личните данни на съответните служители), се счита, че фирмата има качеството администратор на лични данни – без да е необходима изрична регистрация или подобно нарочно действие.

В следващата алинея на член 4 от регламента, е дефинирана същността и функцията на „обработващ личните данни“. Това може да бъде както физическо лице, така и юридическо лице (напр. външен доставчик на услуги), което обработва лични данни от името на администратора. Основната разлика с администратора се състои в това, че администраторът може да възложи обработването на данните на този орган и на практика обработващият лични данни се явява подчинен на администратора и подпомага неговата дейност по спазване разпоредбите на регламента. На практика администратор може да бъде напр. финансова институция, която събира данните на субектите на лични данни (клиентите си), а обработването и съхраняването (напр. сканиране и съхранение в цифров вид) е възложено на външна фирма, която по договор с администратора изпълнява функцията на обработващ лични данни. Друг типичен обработващ лични данни са доставчиците на облачни или хостинг услуги. Обработващият лични данни е длъжен при евентуално нарушение или пробив в сигурността на цялата база или отделни лични данни да докладва първо на администратора, а той, от своя страна, в рамките на 72 часа от установяване на нарушението, да съобщи на компетентния надзорен орган, който в случая е КЗЛД. Възлагане на обработването на обработващия може да стане по силата на сключен договор, като обаче администраторът е длъжен да се убеди, че обработващият прилага всички възможни и необходими гаранции за прилагане разпоредбите на приложимото законодателство и да е в състояние да ги докаже. В договора се определят всички въпроси, свързани с обработването – предмет, срок и действие, цел на обработването, категориите субекти, вид на обработването и други, изрично посочени в чл. 28 от регламента. При неспазване на договорните задължения или ако обработващият сам определи целите и средствата за обработването, той самият ще се счита за администратор. При по-големи предприятия е възможно обработващият лични данни да използва друг обработващ, който да подпомага неговата дейност. Но това трябва задължително преди това да е съгласувано с администратора на лични данни и е възможно само след неговото писмено разрешение. За него също важат всички изисквания, споменати за отношенията администратор – обработващ, т.е. осигуряване на адекватно ниво на защита и сигурност на личните данни, чрез прилагане на подходящи за целта и конкретния случай технически и организационни мерки. При неспазване на което и да е от тези задължения, отговорността е за основния обработващ личните данни. В случай на възникване на някакъв проблем или нарушение в сигурността на личните данни, субектът на лични данни (физическото лице, чиито лични данни се събират и обработват) може да упражни правата си и към двамата. Тяхната отговорност е солидарна и всеки от тях отговаря за размера на цялата вреда.

След като уточнихме кои са най-съществените разлики между администратор на лични данни и обработващ лични данни, следва да изложим и техните прилики, които също не са малко. И двамата:

  • Носят пълна отговорност за спазването на Закона за защита на личните данни и GDPR регламента и подлежат на санкциониране при евентуални пропуски в това отношение
  • Са отговорни за обработването на лични данни
  • Носят пълна отговорност пред субекта на личните

...прочетете повече

Правото „да бъдеш забравен“ при телефонен тормоз от банки и кредитори

Време за прочитане : 2 минути
 

Правото „да бъде забравен“ даден човек е един сравнително нов термин свързан с личните данни и в частност интернет активността на физическите лица. Приложението му е вече ефективно въведено от големите корпорации в IT бранша, а ще бъде и допълнително разширено с влизането в сила през 2018 на новия общоевропейски Регламент (ЕС) 2016/679 за защита на личните данни. Право „да бъде забравено“ има всяко физическо лице (това право е неприложимо за търговски дружества и юридически лица), чиито лични данни най-общо казано някога са попаднали в интернет пространството или у офлайн администратори на лични данни (напр. банки, кредитни институции, колекторски фирми и т.н.). По същество това е право на физическото лице да поиска негови лични данни да бъдат изтрити (т.е. администраторът на лични данни, който ги получил на законно или незаконно основание, да спре използването и предоставянето им на трети лица) или коригирани.

По закон това право може най-често да бъде упражнено в 2 хипотези:
1. Когато физическото лице е дало съгласие на администратор на лични данни (напр. при регистрация в онлайн директория, имейл услуга и т.н.) да обработва неговите лични данни или
2. Когато това право произтича от договор (напр. банка или фирма за бързи кредити е отпуснала заем на лицето, онлайн магазин, от който лицето е закупило стока и т.н.)

Именно в последния случай мнозина граждани се оплакват от „психически тормоз по телефона“ от банки, колекторски фирми и др. Въпросният тормоз по телефона се изразява в многократни покани, обикновено отправяни от кредитор към длъжник, срещу които длъжникът възразява. Всъщност адресатът на въпросния психически тормоз не възразява против това, че има задължения, но има против това служители на кредитодателя да го притесняват многократно по телефона, нерядко в неподходящо време. Имайки предвид, че няма закон за телефонния тормоз, нито за такъв психически тормоз се носи наказателна отговорност (освен ако не е напр. закана за убийство, което е престъпление), тогава на помощ идва правото „да бъде забравен“ адресата на споменатия психически телефонен тормоз.

Съгласно новия Регламент за защита на личните данни субект на лични данни (т.е. лицето чиито лични данни се събират и обработват) не може да поиска да бъде „напълно забравен“ при положение, че има непогасени задължения, а кредиторът има право да претендира вземанията си, но длъжникът има пълно право да поиска да бъдат изтрити някои негови конкретни лични данни, които нямат пряка връзка с изпълнението на задълженията му. Напр. длъжник по банков кредит или адресат на телефонен тормоз от колекторска фирма няма право да иска изтриването на неговите имена, ЕГН и пр. данни, които го индивидуализират като длъжник по договор и без които кредиторът няма да може ефективно да предяви вземанията си (напр. банката няма да може да подаде искова молба в съда без да разполага с имената на длъжника), но има други лични данни, които по никакъв начин не са в пряка връзка с изпълнението на задълженията на длъжника по даден договор – напр. телефонният му номер.

Предвид горното, всеки длъжник, който бива тормозен по телефона, независимо дали по един правомерен (напр. покана доброволно да погаси задълженията си) или незаконосъобразен начин (напр. заплахи за действия, които могат да бъдат предприети при неизпълнение на задълженията му) – може да изиска от съответното дружество – администратор на лични данни (банка, финансова институция, факторинг дружество, колекторска фирма и т.н.) да изтрие и спре използването на някои негови лични данни, вкл. телефонния му номер. Препоръчително е заявлението за това от страна на физическото лице да бъде направено в писмена форма, тъй като устните волеизявления на практика трудно могат да бъдат доказани, а е добре да има писмено доказателство за обстоятелствата, свързани с гореизяснения психически тормоз. Ако е налице изрично писмено волеизявление в тази насока и администраторът на лични данни продължи да използва тези лични данни, които субектът на лични данни (физическото лице) изрично е забранил да бъдат използвани и е поскал да бъдат „забравени“ – тогава това физическо лице има право на жалба до Комисията за защита на личните данни, която съгласно новия Регламент за защита на личните данни има компетентност да налага огромни по размер санкции (до 20 милиона евро). Следва да бъде изрично обърнато внимание, че това не трябва да бъде жалба срещу телефонен тормоз, а жалба за неспазване на закона от администратор на лични данни. Ако комисията за защита на личните данни бъде сезирана с жалба за телефонен, психически или какъвто и да е друг тормоз, то тя няма да се произнесе по нея предвид липсата на компетентност.

Внимание! Интернет измами!

Време за прочитане : < 1 минута
 

При бурното развитие на технологиите все по-голям относителен дял заемат електронните и интернет измами. На първо място следва да се отбележат все по-популярните и набиращи скорост т.нар. phishing измами. При тях се получава имейл, в който се изискват лични или други поверителни данни, напр. номера на банкови карти и пароли за достъп. Измамата се състои в това, че на пръв поглед електронното съобщение изхожда от напълно легитимен източник, напр. обслужващата банка на дадено физическо или юридическо лице, но всъщност то изхожда от индивидуални измамници или престъпни организации, които, след получаване на споменатите данни, просто източват банковите карти или сметки на подведените да предоставят лични данни лица. Основното правило тук е в никакъв случай, по никакъв повод, подобни данни да не се предоставят на който и да е, дори на служители на банка. В случай на съмнение всяко лице, получило подозрителен имейл, може да се обади по телефон на обслужващата го банка, за да се увери дали не става дума за измама.

Друг голям риск е този за кражба на електронна идентичност (кражба на имейл акаунти, електронни подписи и т.н.). Кражбата на имейл акаунти добива все по-широка популярност и въпреки че на пръв поглед не изглежда толкова страшна, зловредното й действие не следва да се подценява. Нерядко даден имейл акаунт е свързан с дадена услуга (напр. интернет банкиране) и ако се открадне имейл акаунта – може се добие контрол и върху банковите операции, което в крайна сметка да доведе до кражба на парични средства от банковите сметки. Като предпазна мярка в случая може да се препоръча използването на по-трудни за разгадаване пароли, както и на антивирусен софтуер. Защото колкото и сложна да е дадена парола, ако компютърът е заразен със зловреден софтуер (вирус, троянски кон и т.н.) – паролата напълно незабелязано се прихваща и се изпраща по интернет на недобросъвестните лица, които могат да осъществят неоторизиран достъп.

Кражба на самоличност и лични данни

Време за прочитане : 2 минути
 

Кражбата на лични данни стои в основата на много сериозни престъпления – „кражби“ на фирми, недвижими имоти и т.н. За съжаление мнозина подценяват опасностите, които крие едно невинно на пръв поглед предоставяне на личните данни на лице, което може да злоупотреби с тях.

Измами в тази насока са възможни чрез използването на фалшиви лични карти или дубликати на лични документи – при които всички данни съвпадат, но снимката е подменена и на нейно място е поставена снимка на измамника, който се представя за друго лице и например източва банковите сметки на това друго лице. За съжаление твърде разпространена е практиката всевъзможни институции и търговски дружества, вкл. големи такива като банки и телекоми, масово да изискват от клиентите си копия на личните им документи. А клиентите им в масовия случай се съгласяват и дори изрично се подписват, че са съгласни документите им да бъдат преснимани. Има и случаи, в които търговци напълно незаконосъобразно отказват обслужване, ако клиентът им не предостави копие от документите си. Проблемът е особено наболял и следва да се помисли за законодателни промени, които да забранят поголовното копиране на документи, дори ако дадено лице даде съгласието си за това, както и улеснен административно-наказателен ред за констатирането и санкционирането на такива нарушения, с оглед преустановяването на тази порочна практика.

Друг широко разпространен способ е използването на фалшиво пълномощно. Много голяма рядкост вече е нотариус да допусне да завери чужд подпис (т.е. на лице, което се представя за друго лице) и при това положение единствената опция за фалшификация в тази насока е изготвянето на фалшиво пълномощно от измамници, без съдействие на нотариуси. За съжаление с развитието на технологиите фалшивите документи стават все по лесни за изготвяне и съответно по-трудни за разпознаване. Но практическо решение на този проблем е при всяко възникнало съмнение да бъде правено телефонно или онлайн запитване до съответния нотариус за това дали пълномощното е истинско или не. Това е особено препоръчително, защото дори пълномощното да е напълно истинско – то може междувременно да е било оттеглено, което няма как да се установи, освен ако упълномощителят не направи изрично уведомление (което е на практика много трудно предвид многобройността на различните лица и институции) или ако нотариуса не предостави тази информация.

За предотвратяване кражбата на фирми, търговците могат на първо място да следят редовно фирменото си досие в ТР или да възложат тази задача на други лица, които се грижат за фирмените им дела. А всички лица – независимо дали са търговци или не – не трябва да предоставят, без да е налице такава необходимост, за прекопиране личните си документи, които на тази база може впоследствие да бъдат фалшифицирани и използвани на кражба на самоличност и собственост. За използващите електронен подпис е особено актуален въпросът за използването на антивирусни програми и други подобни продукти, които гарантират неприкосновеността на личните данни в интернет и препятстват кражбата на данни, които впоследствие могат да бъдат използвани за кражба на собственост.