Защита на лични данни – защо да бъдеш администратор?

           
Все повече хора вършат работа на много и различни нива в електронна среда. Онлайн пазаруването, сърфирането в социални мрежи, търсенето на различни възможности за работа и дори развиването на собствен бизнес онлайн сега са неизменна част от живота ни.

Всеки път, когато някое лице си открие банкова сметка, присъедини се към някой сайт за социални контакти или резервира самолетен билет онлайн, той предоставя лични данни като имена, адреси, номер на кредитна карта и други за обработка. Обработването е необходимо за цялостното осъществяване на процеса по продажба онлайн, а според наредбите на закона при обработване на лични данни следва да се спазват няколко технически и организационни мерки.

Въпросът по отношение защита на лични данни вълнува много лица, във връзка с тяхната обработка и съхранение.

Какво се случва с предоставената от мен лична информация? Има ли опасност моите личните данни да попаднат в неподходящи ръце?

Тези въпроси във връзка с обработването на лични данни си задават клиентите на твоя онлайн бизнес. Според разпоредбите на закона физическите лица, които предоставят лични данни, било то онлайн или офлайн, са субекти на лични данни. Законовата уредба регламентира задълженията на администраторите – спазването на редица технически и организационни мерки  при обработване на лични данни, от една страна, а от друга – определя правата на субекта, чиито лични данни се обработват.

Основни понятия, свързани със защитата на личните данни

Лични данни представлява всяка информация за физическо лице, което е или предварително установено, или може да се идентифицира пряко или косвено посредством тази информация.

Според закона, администратор на лични данни може да бъде физическо лице или юридическо лице (или държавен орган), което самò или съвместно с друго лице определя средствата и целите за събирането на личните данни.

ЕС и Регламент (ЕС) 2016/679 във връзка с обработването и защита на личните данни

Наред с това, от Регламент (ЕС) 2016/679 на Европейския парламент става ясно още, че лица или организации, които събират и управляват лични данни – администратора на лични данни, трябва да го правят  при спазване на строги технически и организационни мерки.

България и Закон за защита на лични данни (ЗЗЛД)

Българската законова уредба обнародва промени в Закона за защита на личните данни (ЗЗЛД), които влязоха в сила от 25 май 2018 година. С направените промени се постигна съответствие с актуалната регламентация на Европейския съюз и влезлите в сила разпоредби на Регламент (ЕС) 2016/679.

Комисията за защита на личните данни (КЗЛД) е органът, определен от ЗЗЛД, който следи за спазването на правилата относно защитата на данните. Обработката и съхранението на лични данни следва да отговаря на всички разпоредби на закона и Регламент (ЕС) 2016/679.

За целта, Комисията за защита на личните данни (КЗЛД) води Регистър на администраторите на лични данни, както и на водените от тях регистри на лични данни. Администратор на лични данни (АЛД) е физическо или юридическо лице, което, само или съвместно с друго лице, определя целите и средствата за обработване на лични данни.

Заявление за регистрация за администратор на лични данни – реквизити и подаване

Администраторът на лични данни или негов представител е длъжен да подаде заявление за регистрация и документи по образец, утвърден от Комисията за защита на личните данни, преди започване процеса по обработване на лични данни. Заявлението се състои от две части:

• Част І – тук се попълват данни, които идентифицират администратора на лични данни, както и координати за контакт с Комисията за защита на личните данни
• Част II – тук се описва съдържанието на всеки един от водените регистри за лични данни на субекта.

Задължителни реквизити съгласно разпоредбите на закона в заявлението са:

• Данни, идентифициращи администратора на лични данни и неговия представител (ако има такъв).
• Конкретни цели за обработване на лични данни (съгласно разпоредбите на закона) – за какво точно обработването е необходимо.
• Категориите физически лица, чиито данни се обработват, и категориите лични данни на субекта.
• Получателите или категориите получатели, на които личните данни могат да бъдат разкрити.
• Предлаганото предоставяне на данни в други държави.
• Общото описание на мерките, предприети по чл. 23, позволяващо изготвянето на предварителна оценка на тяхната целесъобразност.

Освен заявлението за регистрация, към комплекта с подавани документи следва да бъдат приложени още:

• Описание по образец за всеки вид регистър
• Копие от БУЛСТАТ – за лицата с Булстат регистрация
• Копие от лична карта – за лицата без Булстат регистрация

Регистрацията на администратора на лични данни може да се извърши по един от следните три начина:

1. През сайта на КЗЛД, използвайки електронната система еРАЛД
2. В приемната на КЗЛД, използвайки електронната система еРАЛД
3. Чрез подаване на документи на хартиен носител, като образци на официалните документи можете да изтеглите от тук: „Образци на документи на хартиен носител, необходими за извършване на регистрация, актуализация или заличаване на АЛД”.

Още няколко важни неща, които трябва да знаеш относно защитата на данните

• Събирането и обработването лични данни на лица без наличието на извършена надлежна регистрация като администратор на лични данни се наказва с глоба от 10 000 до 100 000 лева
• Веднъж направена, регистрацията като администратор на лични данни може да се ползва за всички дейности на организацията – различни уеб сайтове, магазини, офиси и други подобни.
• След подаване на документите, Комисията за защита на лични данни издава Удостоверение за администратор на лични данни и вписва администратора в Регистър в 14-дневен срок.
• Самото удостоверение не е задължително да бъде налично в някой от твоите обекти (магазин, офис и т.н.). Комисията води публичен онлайн регистър, към който твоята фирма или организация се добавя автоматично след успешна регистрация.

Администраторът на лични данни следва да уведомява комисията за всяка промяна на горепосочените данни преди нейното извършване. В случаите, когато такава промяна е предвидена в закон, уведомяването се извършва в 7-дневен срок от влизането в сила.

Цялата процедура по регистрацията като администратор на лични данни ще ви отнеме около три седмици. Внасянето на потвърдителния лист може да бъде направено от всеки, тъй като няма изискване да се представи лично от управителя. Само трябва да разпишете на приносителя пълномощно, в което изрично да е указано, че лицето може да представлява администратора пред Комисията за защита на личните данни.

Когато са спазени всички изисквания в областта на защитата, и ти, и клиентите ти ще бъдете сигурни, че работите един с друг с усещането за едно стабилно партньорство. Спазването на Закона за защита на личните данни, актуализиран съгласно разпоредбите на Европейския съюз, гарантира и на двете страни нужната сигурност.