Време за прочитане : 3 мин.

Законът за защита на личните данни (ЗЗЛД) съществува още отпреди да влезе в сила през май 2018 Общият регламент за защита на личните данни на физическите лица (ОРЗД или GDPR). Оттогава всички заинтересовани лица тръпнеха в очакване как нашият законодател ще имплементира изискванията на Регламента в националното ни законодателство. За целта трябваше да бъдат направени сериозни промени и допълнения в Закона за защита на личните данни. Обновеният закон вече е факт след цели 10 месеца чакане. Промените са в голяма си част преписани от разпорежданията от Регламента, но разбира се и нашият законодател е добавил нещичко от себе си.

Няма да се спираме отделно на всяка изменена или допълнена разпоредба на закона, тъй като няма смисъл при все, че основно се преповтаря Регламента, а неговото разглеждане може да видите в други обширни статии. Ще се спрем само на основните и по-значителни неща, които са допълнени или по някакъв начин се различават от тези в Регламента.

Едни от най-съществените допълнения са свързани с уреждане на въпросите относно събирането и обработването на лични данни от работодател, в качеството му на администратор. По отношение на случаите на подбор на персонал, работодателят има право да съхранява личните данни на кандидатите, които не са били одобрени за съответната позиция за срок, не по-дълъг от 6 месеца. Този срок може да бъде удължен само ако кандидатът е дал изричното си съгласие за по-дълго съхранение и евентуално последваща свободна позиция за работа. Има случаи, в които работодателят изисква някои документи от кандидатите в оригинал (диплома, трудова книжка, медицинско свидетелство и др.). Той обаче е длъжен след приключване на подбора на персонал да върне изисканите документи на кандидатите, които не са били одобрени в срок до 6 месеца от приключване на процедурата. Същото важи и за нотариално заверени копия от посочените документи.

Във връзка с горното е важно да се спомене фактът, че копирането на документи за самоличност, вкл. шофьорска книжка, може да стане само ако има изрично посочена в закона причина за това. Подборът на персонал не би следвало да се счита за такава, още повече, че често кандидатът представя достатъчно документи, които включват лични данни. Това ограничение обаче, в доста случаи ще отпада, тъй като с въвеждането на Закона за мерките срещу изпирането на пари (ЗМИП) голяма част от администраторите са задължени да снемат самоличността на своите клиенти, за да докажат в последствие пред ДАНС, че са извършили необходимите вътрешни проверки. А задължените по този закон лица са много, сред които: адвокати, нотариуси, ЧСИ, застрахователи, брокери на недвижими имоти, държавни органи и куп други.

Друга съществена разлика на Закона от Регламента е по-ниската възрастова граница при обработването на лични данни на деца. Според Регламента тя е 16 години, а според нашия закон – едва 14 години. Това не е някакво своеволие, а резултат от възможността, предвидена в Общия регламент националните законодателства на отделните страни членки да сложат по-ниска граница. Това означава, че за лица под тази възраст, трябва изрично съгласие от страна на упражняващия родителските права (родител, попечител или настойник) за всяко действие, което е свързано със събирането, обработването и съхраняването на лични данни на деца.

Както повечето закони у нас, така и ЗЗЛД трябва да има свой Правилник за прилагане. Той обаче не е готов все още и не е ясно кога можем да го очакваме. В него трябва да бъдат уредени някои допълнителни въпроси, а именно: редът, условията и критериите за одобрение на проекти на кодекси за поведение на администраторите и обработващите лични данни; редът за обучение на Длъжностни лица по защита на данните (тук можем да кажем, че сертифицирането на тези лица не е задължително условие при назначаването на ДЛЗД. Сертификатът се издава след успешно положен изпит и е със срок на валидност 3 години);  формата и редът за уведомяване на КЗЛД за назначаване на ДЛЗД (в момента на сайта на Комисията е публикувана информация как се подава такова уведомление, заедно с бланката, която се попълва от администратора).

Ще се спрем накратко и на правата на субектите на данни. В случай на нарушение, субектът има право да сезира Комисията в срок до 6 месеца от узнаване на нарушението, но не по-късно от 2 години от извършването му. Законодателят е предвидил обаче, че за нарушение на закона и на Регламента, които са извършени преди влизането в сила на новия ЗЗЛД, сроковете за сезиране на Комисията са различни – 1 година от узнаването и до 5 години от извършването на нарушението. Освен сезирането на Комисията, субектът на данни може да иска обезщетение за претърпени вреди от неправомерно обработване на личните му данни по пътя на съдебното производство.

Другата разлика с Регламента е предвидената глоба или имуществена санкция за „други нарушения на този закон“ в размер на 5 000 лв., а при повторно нарушение – в двоен размер. Най-съществената разлика с Регламента обаче е различният срок за отговор от страна на администратора до субекта на данни при отправено искане и упражняване на правата си. Според Регламента този срок е 1 месец, а нашият законодател, незнайно защо, удължава двойно този срок – до 2 месеца.

В заключение е важно да се знае, че при несъответствие на национален закон (напр. ЗЗЛД) с регламент на Европейския съюз (напр. GDPR), прилага се регламентът.

Време за прочитане : 4 мин.

Безплатни образци и бланки на декларации, политики, регистри и всевъзможни други документи по новия GDPR Регламент и Закона за защита на личните данни (ЗЗЛД) са предмет на все по-голямо търсене от бизнес потребителите, имащи качеството на администратори на лични данни. Целта на настоящата статия е на първо място да обясни същността на тези документи, както и да предостави някои примерни образци за свободно ползване.

Мнозина може би вече са установили, че, въпреки голямото търсене, безплатни образци и бланки, свързани със защитата на личните данни, се намират трудно или въобще не се намират в интернет пространството. Това има своето напълно логично обяснение, което се корени в следните 2 основни причини:

1. Стандартни пакети образци не се разпространяват безплатно, а се продават
2. Стандартен пакет документи не вършат почти никаква работа

На пръв поглед купуващите подобни документи съвестни бизнесмени, които искат да спазват закона, остават с впечатлението, че с придобиването на подобен „ПЪЛЕН“ комплект документи, те вече ще са напълно изрядни и отговарящи на изискванията за обработка на лични данни, което обаче е огромна заблуда поради следните очевидни причини:

1. Нито в ЗЗЛД, нито в GDPR има посочен „пълен“ и изчерпателен списък от необходими документи, т.е. документите са неограничен брой и всеки път варират според особеностите на съответния бизнес
2. Всеки стандартен на пръв поглед документ, напр. политика за поверителност / защита на личните данни, следва да бъде изготвен съобразно индивидуалните особености на конкретния бизнес
3. Дори една стандартна бланка на декларация за защита на личните данни да отразява съвършено точно 90% от изискуемата информация – останалите 10% биха съставлявали невярна или непълна информация, което вероятно би съставлявало нарушение

Като илюстрация на горното идва един напълно реален пример от практиката. Продавачите на стандартни бланки на документация за защита на личните данни няма как да знаят къде точно и на каква платформа напр. се хоства даден онлайн магазин, какви протоколи за сигурност използва, дали съхранението на лични данни е локално или облачно, има ли локално или отдалечено видеонаблюдение и по какъв стандарт функционира и т.н. и т.н. Това са само няколко мънички детайла от ужасно многото такива, които следва да се преценят при изготвянето на пълната документация за съответствие с изискванията за защита на личните данни. Ако дори само едно мъничко детайлче се окаже невярно, то несъответствието в документацията на съответния бизнес ще е налице,. Така напр. е възможно в дадени стандартни образци да е записано, че администраторът ползва един вид хостинг или търговска платформа, но да се окаже, че в даден случай се касае за напълно различен вид – в резултат на което да се окаже, че се предават лични данни на трета страна – за което се изисква допълнителен слой защита, изразяващ се в задължението за инкорпориране на съответните допълнителни мерки и гаранции във фирмената документация за защита на лични данни. На практика е напълно немислимо съответните допълнителни мерки да бъдат предварително инкорпорирани в стандартен пакет образци на документи защото възможните различни комбинации от конкретни детайли, са хиляди, а продаваните пакети стандартни образци са един вид.

По-долу ще бъде направен кратък преглед на основните видове документи, които следва да се изготвят от администратор на лични данни (или респ. нает от него експерт, напр. адвокат или длъжностно лице по защита на данните), за да бъдат спазени изискванията на GDPR и ЗЗЛД при обработката на лични данни (т.нар. GDPR compliance). Отново следва да се има предвид, че наборът от документи варира при различните администратори в зависимост от естеството на конкретния бизнес.

Политика за защита на личните данни, позната още като политика за поверителност. Това един от основополагащите документи при доказване спазването на изискванията за защитата на личните данни. Това е вероятно най-всеобхватния документ в тази връзка, който съдържа препратки към останалата документация и различните конкретни аспекти на защитата на личните данни при съответния администратор. Предвид горното, изготвянето на стандартен образец – бланка на политика поверителност и защита на личните данни би било напълно неиздържано от правна гледна точка и може би несериозно от гледна точка на репутацията на даден бизнес. Защото изискванията на Регламента са за конкретни мерки, а не абстрактни декларации

Има редица други политики при обработката на лични данни, необходимостта от които обаче следва да се преценява с оглед конкретните параметри на съответния бизнес. Политика за обучение и инструктаж на персонала напр. няма да е необходима при ЕООД без нает персонал. Политика за възлагане на работа на подизпълнители също може да не е необходима, особено ако администраторът не планира наемането на подизпълнители в скорошен план и ако не обработва чувствителни данни. Политика за обработка на лични данни при видеонаблюдение, разбира се, би била напълно излишна, ако локално или онлайн видеонаблюдение не е инсталирано от администратора.

Оценка на въздействието върху защитата на личните данни е другият най-мащабен и сложен документ, наред с политиката за защита на личните данни, който следва да бъде изготвен, за да е налице съответствие с изискванията за защита на личните данни. Добрата новина е, че той не е задължителен за по-малките като обем и специфичност на бизнес дейност администратори. Оценка обаче е изискуема при използването на нови технологии в бизнес модела на администратора, напр. онлайн транзакции, които крият съществен риск от засягане на правата на субектите на лични данни (напр. източване на банкови карти, кражба на пароли и самоличност и т.н.). Същото важи и за обработката на лични данни. Като цяло оценката на въздействието върху защитата на личните данни представлява цялостен и напълно конкретен анализ на бизнес модела на администратора на лични данни, при който се систематизират и индивидуализират операциите, свързани с обработката на лични данни, тяхното въздействие върху правата на субектите и рисковете, които крият и най-сетне – мерките и гаранциите от страна на администратора за защитата на правата на субектите.

Декларация за защита на личните данни. Всъщност декларациите в тази връзка може да са неограничен брой – от интернет потребители, от работодатели, от служители на даден администратор и т.н. Най-съществените от тях са декларация за поверителност и декларация за съгласие.

Декларацията за поверителност е едно от различните наименования в практиката на документ, който се изготвя от администратора на лични данни или натоварено от него за целта лице и съдържа задължителна според Регламента информация, която следва да се предостави в определени в Регламента случаи на субектите на лични данни. Регламентът дава общи насоки за съдържанието на този документ – какви точно лични данни се обработват, какви са целите и основанието на обработката, кои са получателите на лични данни, предават ли се такива на трети страни и т.н. Конкретни отговори на всички тези въпроси по отношение на бизнеса на конкретен администратор няма как да бъдат дадени предварително и затова използването на бланка на декларация за поверителност по GDPR е практически неприложимо.

Декларацията за съгласие е документ, по силата на който субект на лични данни дава съгласието си конкретен администратор да обработва личните му данни на конкретно основание и за конкретни цели при спазването на конкретни изисквания. Следва да се има предвид, че съгласието е едно от няколкото основания, на които законосъобразно според GDPR могат да бъдат обработвани лични данни и съгласие не е необходимо, ако са налице други валидни основания, напр. договор. След влизането в сила на GDPR през май 2018 настана истинска истерия и всевъзможни администратори започнаха да изискват съгласие за обработка на лични данни, като се стигна дори до абсурдни ситуации болници да не приемат пациенти докато последните не дадат изрично писмено съгласие. Предвид което Комисията за защита на личните данни (КЗЛД) беше принудена да излезе с официално становище на интернет страницата си, че съгласие не се изисква при обичайната дейност на редица професии като лекари, адвокати и т.н. Но никъде в становището не се споменава, че за обработка на специални категории лични данни (т.нар. чувствителни данни) съгласие се изисква въпреки това. Дори напр. основанието за обработка да е договор (в който случай съгласие не се изисква), ако се обработват чувствителни данни, изрично съгласие се изисква паралелно с договора.

Вътрешни регистри за обработка на лични данни. Вътрешните регистри са различни видове в зависимост от дейността на администратора, но основен документ в тази насока е вътрешният регистър по обработката на лични данни. Последният представлява аналитична таблица, в която се систематизират абсолютно всички дейности, които извършва администраторът и които имат връзка с обработката на лични данни. За всяка отделна дейност следва да се посочат различни изискуеми от Регламента реквизити. Други основни регистри са тези за искания от страна на субекти до администратора, за пробиви в сигурността (security breaches), за планирано изтриване на лични данни и др.

Образци на документи в PDF формат:

• Искане от субект до администратор на лични данни
• Вътрешен регистър на исканията на субекти на лични данни
• Оценка на въздействието върху защитата на личните данни

Време за прочитане : 5 мин.

Администратор на лични данни и обработващ лични данни са две напълно самостоятелни фигури, предмет на уредба на българския Закон за защита на личните данни (ЗЗЛД) и на новия общ Регламент (ЕС) 2016/679 за защита на личните данни, известен с абревиатурата GDPR. Целта на настоящата статия е да разгледа същността на и разликата между тези две фигури, както и редица чисто практически аспекти – кой следва да бъде администратор и кой обработващ лични данни при едно търговско дружество, кога е задължително и важи ли за малки фирми, необходима ли е регистрация и т.н.

Администраторът на лични данни и обработващият лични данни са едни от най-важните фигури в регламента и Закона за защита на личните данни. На пръв прочит техните функции изглеждат почти еднакви и повечето хора ще се запитат: „Каква тогава е разликата между тези две понятия“? В чл. 4, ал. 7 от регламента е дадено конкретното описание на фигурата „администратор на лични данни“, а именно „физическо или юридическо лице, публичен орган или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни“. Или по-просто обяснено, администраторът е този, който определя какви лични данни ще се събират от субектите (физически лица) за осъществяване на неговите функции, колко време ще се съхраняват, дали ще се предоставят на трети страни и по какъв начин, как и кога ще се унищожават, информира субекта за неговите права и т.н. А възможно най-просто обяснено – администратор на лични данни е съответното търговско дружество. Така например при един онлайн магазин администратор на лични данни ще е напр. „Онлайн магазин“ ООД, а не управителят на фирмата, счетоводителят, компютърната поддръжка и т.н. Може би мнозина биха се зачудили как чисто технически дадена фирма ще обработва лични данни и не е ли необходимо някой служител на фирмата да изпълнява тази функция. И отговорът е, че фирмата носи отговорността за изпълнението на задълженията на администратора на лични данни, а чисто технически задълженията в тази насока се изпълняват или от физически лица – служители на фирмата, или от външен експерт по договор за услуга – но това по никакъв начин не прави последните администратори на лични данни. Администратор на лични данни винаги е съответното юридическо лице – търговско дружество, а всички, които на практика обработват лични данни, имат други качества, които ще бъдат разгледани по-долу.

Сред основните функции на администратора на лични данни е да осигурява защитата и сигурността на събраните и обработвани лични данни, в това число организационните и техническите средства за тази защита. А какво означава това на практика? Това означава администраторът на лични данни (чрез своите служители, разбира се, или чрез едноличния собственик на капитала в случая на ЕООД без служители, или чрез нает за целта външен експерт, напр. адвокат) да направи няколко неща:

1. Да направи една първоначална цялостна и всеобхватна проверка (одит) на дейността на фирмата, за да установи абсолютно всички лични данни, които се обработват в дейността на дружеството, и всички специфики във връзка с това – чувствителни ли са личните данни или част от тях, широкомащабна ли е обработката им, препращат ли се събрани от администратора лични данни на трети лица или услуги (напр. Google Analytics, Facebook и т.н.), има ли препращане към лица или сървъри извън ЕС и т.н.
2. След изясняването на въпросите по предходната точка да предприеме съответните мерки, които най-общо се изразяват в изготвяне или изменение на съществуваща фирмена документация (политики, процедури, правила, вътрешни регистри, бланки, формуляри и т.н.). Това е абсолютно задължително, защото спазването на изискванията за защита на личните данни се доказва не по друг начин, а именно чрез наличната фирмена документация. В тази връзка е важно да се отбележи, че при една внезапна проверка възможността за „спасяване на положението“ чрез прибягване до услугите на компетентен експерт, напр. адвокат, който да провери дали дейността на фирмата отговаря на изискванията на закона и регламента и евентуално да промени и приведе в съответствие документация преди предоставянето й на КЗЛД, е практически нулева. Адвокат може да се намеси, ако е даден срок, в който да бъдат предоставени документи на комисията, но в такъв случай следва да се има предвид, че не винаги всичко може да бъде направено експресно, напр. в рамките на няколко дни, защото трябва да се изследва цялата дейност на фирмата (дори КЗЛД да е поискала само 1 документ), да се направи връзка със счетоводство и други външни доставчици и т.н.
3. Обучение на служители на администратора на лични данни е последната стъпка, която е препоръчителна, но не и задължителна. По закон има изискване съответните служители да са запознати с правилата за защита на личните данни и да ги спазват, но при проверка Комисията за защита на личните данни (КЗЛД) няма да провежда изпит на служителите доколко са компетентни, а ще проверява изготвената от тях документация. Обучението на служители може да се извършва основно по две направления – посещаване на специализирани курсове за обучение или обучение от нает от администратора външен експерт. Типичен пример за последното е адвокат, нает по договор за услуги от дадена фирма – администратор на лични данни като външен експерт – „Длъжностно лице по защита на занните“. В този случай срещу ГОДИШЕН хонорар, равняващ се на по-малко от МЕСЕЧНАТА заплата на даден служител във фирмата, съответното длъжностно лице по защита на данните, напр. нает за целта адвокат, не само следи текущо дейността на фирмата на отговаря на всички изисквания и промени в законодателството за защита на личните данни, но и извършва обучение на служителите във фирмата, които могат да се обръщат към експерта със съвсем конкретни въпроси и казуси.

Администраторът на лични данни може да бъде подпомаган в дейността си от „длъжностно лице по защита на данните“, което лице може да бъде служител на фирмата или външен експерт, напр. адвокат. При по-големи предприятия тази фигура е задължителна. Такъв ще е случаят напр. с една болница, тъй като тя ежедневно обработва и то основано „чувствителни“ данни, свързани със здравословното състояние на пациентите си.

В регламента е уредена и ролята на т.нар. „съвместни администратори“ на лични данни, които заедно определят целите и средствата. Тази фигура не е по-различна от „самостоятелния“ администратор. Но за удобство на субекта на лични данни (физическото лице, чиито данни се събират и обработват) е предвидена възможност да упражни правата си поотделно към всеки администратор. На практика такъв би бил случаят при фирма, която продава продуктите си чрез оторизиран дилър, в който случай търговецът (напр. производител) и оторизираният му дилър са съвместни администратори на лични данни.

Важно е да се спомене, че след 25 май 2018г. отпада задължението за регистрация на администратор на лични данни в Комисията за защита наличните данни. Самата комисия обаче остава водещият надзорен орган за България и тя ще продължи да съблюдава спазването на всички изисквания на българското и европейското законодателство. Изключително важно е обаче да се отбележи, че отпадането на задължението за регистрация на администратори на лични данни съвсем не означава, че отпадат дадени задължения на търговските дружества, свързани с обработката на лични данни. Дори напротив – още при първото извършено от името на дадена фирма действие, представляващо обработка на лични данни (напр. сключване на трудови договори, в които фигурират личните данни на съответните служители), се счита, че фирмата има качеството администратор на лични данни – без да е необходима изрична регистрация или подобно нарочно действие.

В следващата алинея на член 4 от регламента, е дефинирана същността и функцията на „обработващ личните данни“. Това може да бъде както физическо лице, така и юридическо лице (напр. външен доставчик на услуги), което обработва лични данни от името на администратора. Основната разлика с администратора се състои в това, че администраторът може да възложи обработването на данните на този орган и на практика обработващият лични данни се явява подчинен на администратора и подпомага неговата дейност по спазване разпоредбите на регламента. На практика администратор може да бъде напр. финансова институция, която събира данните на субектите на лични данни (клиентите си), а обработването и съхраняването (напр. сканиране и съхранение в цифров вид) е възложено на външна фирма, която по договор с администратора изпълнява функцията на обработващ лични данни. Друг типичен обработващ лични данни са доставчиците на облачни или хостинг услуги. Обработващият лични данни е длъжен при евентуално нарушение или пробив в сигурността на цялата база или отделни лични данни да докладва първо на администратора, а той, от своя страна, в рамките на 72 часа от установяване на нарушението, да съобщи на компетентния надзорен орган, който в случая е КЗЛД. Възлагане на обработването на обработващия може да стане по силата на сключен договор, като обаче администраторът е длъжен да се убеди, че обработващият прилага всички възможни и необходими гаранции за прилагане разпоредбите на приложимото законодателство и да е в състояние да ги докаже. В договора се определят всички въпроси, свързани с обработването – предмет, срок и действие, цел на обработването, категориите субекти, вид на обработването и други, изрично посочени в чл. 28 от регламента. При неспазване на договорните задължения или ако обработващият сам определи целите и средствата за обработването, той самият ще се счита за администратор. При по-големи предприятия е възможно обработващият лични данни да използва друг обработващ, който да подпомага неговата дейност. Но това трябва задължително преди това да е съгласувано с администратора на лични данни и е възможно само след неговото писмено разрешение. За него също важат всички изисквания, споменати за отношенията администратор – обработващ, т.е. осигуряване на адекватно ниво на защита и сигурност на личните данни, чрез прилагане на подходящи за целта и конкретния случай технически и организационни мерки. При неспазване на което и да е от тези задължения, отговорността е за основния обработващ личните данни. В случай на възникване на някакъв проблем или нарушение в сигурността на личните данни, субектът на лични данни (физическото лице, чиито лични данни се събират и обработват) може да упражни правата си и към двамата. Тяхната отговорност е солидарна и всеки от тях отговаря за размера на цялата вреда.

След като уточнихме кои са най-съществените разлики между администратор на лични данни и обработващ лични данни, следва да изложим и техните прилики, които също не са малко. И двамата:

• Носят пълна отговорност за спазването на Закона за защита на личните данни и GDPR регламента и подлежат на санкциониране при евентуални пропуски в това отношение
• Са отговорни за обработването на лични данни
• Носят пълна отговорност пред субекта на личните данни, който може да упражни правата си към всеки от тях
• Са длъжни да спомагат за упражняване правата на субектите на лични данни

Като цяло, нито фигурата на администратора на лични данни, нито тази на обработващия лични данни са нещо ново и непознато. Новостите в регламента целят основно да се осигури по-висока степен за защита на личните данни, във връзка с вече значително напредналото дигитализиране на света около нас.

Време за прочитане : < 1 минута

Време за прочитане : 2 мин.

Кражбата на лични данни стои в основата на много сериозни престъпления – „кражби“ на фирми, недвижими имоти и т.н. За съжаление мнозина подценяват опасностите, които крие едно невинно на пръв поглед предоставяне на личните данни на лице, което може да злоупотреби с тях.

Измами в тази насока са възможни чрез използването на фалшиви лични карти или дубликати на лични документи – при които всички данни съвпадат, но снимката е подменена и на нейно място е поставена снимка на измамника, който се представя за друго лице и например източва банковите сметки на това друго лице. За съжаление твърде разпространена е практиката всевъзможни институции и търговски дружества, вкл. големи такива като банки и телекоми, масово да изискват от клиентите си копия на личните им документи. А клиентите им в масовия случай се съгласяват и дори изрично се подписват, че са съгласни документите им да бъдат преснимани. Има и случаи, в които търговци напълно незаконосъобразно отказват обслужване, ако клиентът им не предостави копие от документите си. Проблемът е особено наболял и следва да се помисли за законодателни промени, които да забранят поголовното копиране на документи, дори ако дадено лице даде съгласието си за това, както и улеснен административно-наказателен ред за констатирането и санкционирането на такива нарушения, с оглед преустановяването на тази порочна практика.

Друг широко разпространен способ е използването на фалшиво пълномощно. Много голяма рядкост вече е нотариус да допусне да завери чужд подпис (т.е. на лице, което се представя за друго лице) и при това положение единствената опция за фалшификация в тази насока е изготвянето на фалшиво пълномощно от измамници, без съдействие на нотариуси. За съжаление с развитието на технологиите фалшивите документи стават все по лесни за изготвяне и съответно по-трудни за разпознаване. Но практическо решение на този проблем е при всяко възникнало съмнение да бъде правено телефонно или онлайн запитване до съответния нотариус за това дали пълномощното е истинско или не. Това е особено препоръчително, защото дори пълномощното да е напълно истинско – то може междувременно да е било оттеглено, което няма как да се установи, освен ако упълномощителят не направи изрично уведомление (което е на практика много трудно предвид многобройността на различните лица и институции) или ако нотариуса не предостави тази информация.

За предотвратяване кражбата на фирми, търговците могат на първо място да следят редовно фирменото си досие в ТР или да възложат тази задача на други лица, които се грижат за фирмените им дела. А всички лица – независимо дали са търговци или не – не трябва да предоставят, без да е налице такава необходимост, за прекопиране личните си документи, които на тази база може впоследствие да бъдат фалшифицирани и използвани на кражба на самоличност и собственост. За използващите електронен подпис е особено актуален въпросът за използването на антивирусни програми и други подобни продукти, които гарантират неприкосновеността на личните данни в интернет и препятстват кражбата на данни, които впоследствие могат да бъдат използвани за кражба на собственост.