Месец: февруари 2019

# 15 ЗЗЛД – Кратки стъпки по спазването му

Дългоочакваните промени в Закона за защита на личните данни (“Законa/ЗЗЛД”), с които се цели хармонизиране на българското законодателство с Общия регламент за защита на личните данни (GDPR), от днес, 26.02.2019 г., вече са факт. Заедно с тях Законът въвежда и някои специфични национални правила.

По-долу предлагаме кратък списък на някои от най-важните изисквания по новия Закон:

Как да изпълним изискванията на ЗЗЛД

  • Приемете изрични вътрешни правила, ако извършвате някоя от следните дейности или ако сте внедрили някой от следните процеси в организацията си:
    – Извършвате видеонаблюдение;
    – Ограничили сте използването на фирмените устройства, системи или ресурси (например, ограничили сте достъпа на служителите си до някои сайтове);
    – Въвели сте система за докладване на нарушения (т.нар. “whistleblowing” системи);
    – Внедрили сте системи за контрол на достъпа, работното време или трудовата дисциплина (системи за чекиране с карти, GPS системи за следене на служебни автомобили и други служебни технически устройства);
  • Информирайте работниците и служителите си за приетите вътрешни правила и им осигурете достъп до тези документи;
  • Пазете данните, събирани в рамките на подбор на персонал, за не повече от 6 месеца. Искайте съгласието на кандидата за съхранение на данните му/ѝ за по-дълъг срок;
  • Назначете Длъжностно лице по защита на личните данни (“ДЛЗД”), ако попадате в дефиницията на „публичен орган“ по смисъла на Закона – държавен или местен орган, както и структура, чиято основна дейност е свързана с разходване на публични средства;
  • Съобщете имената, ЕГН/ЛНЧ и данните за контакт на вашето ДЛЗД (ако сте назначили такова) на КЗЛД;
  • Винаги когато обработвате данни на малолетни лица (лица под 14-годишна възраст) на основание съгласие, изисквайте съгласие от родителя, упражняващ родителски права/ настойника. Това изискване важи не само при предоставяне на услуги на информационното общество, а за всяко обработване въз основа на съгласие;
  • Ако обработвате данни за починали лица, това трябва да става само при наличие на правно основание за това и при предприемане на подходящи мерки за недопускане на неблагоприятно засягане на правата и свободите на други лица или на обществен интерес;
  • При обработване на данни за журналистически цели, академичното, художественото или литературно изразяване винаги съобразявайте баланса между свободата на изразяване и правото на информация, и неприкосновеността на личния живот, съобразно критериите, заложени в ЗЗЛД.

Забранено по ЗЗЛД

  • Не копирайте документи за самоличност (лична карта, паспорт, шофьорска книжка) или разрешение за пребиваване (освен ако не разполагате с правно основание предвидено в закона за това);
  • Не допускайте свободен публичен достъп до информация, съдържаща ЕГН/ЛНЧ, освен ако закон предвижда друго;
  • Не ползвайте ЕГН като парола, тъй като Законът изисква предприемането на подходящи технически и организационни мерки, които да не позволяват ЕГН/ЛНЧ да е единственото средство за идентификация на потребителя при предоставяне на отдалечен достъп до услуги, предоставяни по електронен път (напр. като парола за достъп до медицински изследвания).

Сверете практиките си с новите правила, но не забравяйте, че списъкът ни не е изчерпателен и цели единствено да Ви въведе в общата рамка на приетите промени.

Очаквайте следващите ни публикации, в които ще анализираме в повече детайли най-важните промени и ще продължим да Ви информираме за най-актуалното от областта на защитата на личните данни!

# 14 Българската Комисия за защита на личните данни прие списък с операциите по обработване, когато задължително се изисква оценка на въздействието съгласно GDPR

В продължение на публикация #12 Оценка на въздействието за защита на данните от нашия Блог Ви информираме, че Комисията за защита на личните данни публикува списък на видовете операции по обработване на данни, за които задължително се изисква Оценка на въздействието за защита на данните (ОВЗД). Списъкът бе публикува на 13.02.2019 г. на сайта на Комисията.

Съгласно този списък администраторите, чието основно или единствено място на установяване е на територията на Република България, следва задължително да извършват ОВЗД във всеки от следните случаи:
• Мащабно обработване на биометрични данни за целите на уникалната идентификация на физическо лице, което не е спорадично;
• Обработване на генетични данни с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен;
• Обработване на данни за местоположение с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен;
• При невъзможност за предоставяне на информация на субекта на данни по чл. 14 от GDPR или ако предоставянето на тази информация изисква несъразмерно големи усилия, или има вероятност да направи невъзможно, или сериозно да затрудни постигането на целите на обработване, когато това е свързано с мащабно обработване на данни;
• Обработване на лични данни, осъществявано от администратор с основно място на установяване извън ЕС, когато определеният за негов представител в ЕС е разположен на територията на Република България;
• Редовно и систематично обработване, при което предоставянето на информацията по чл. 19 от GDPR от администратора на субекта на данни е невъзможно или изисква несъразмерно големи усилия;
• Обработване на лични данни на деца при пряко предлагане на услуги на информационното общество;
• Осъществяване на миграция на данни от съществуващи към нови технологии, когато това е свързано с мащабно обработване на данни.

Настоящият списък е приет на основание чл. 35 пар. 4 от GDPR, като същият е неизчерпателен и може да бъде актуализиран при необходимост. Ще Ви информираме своевременно при такива актуализации.