Здравейте, колежки и колеги!
Пускам тази тема за да споделя собствените си виждания, разбирания и неразбирания във връзка с наближаващите с неумолимостта на валяк промени в режима за администриране на лични данни, както и да си коментираме кой как тълкува нещата. Честно казано, на мен ми се струва безумно един счетоводител или ТРЗ специалист да се занимава и с тях и същите да му бъдат вменявани като допълнителни отговорности.
След като посетих три семинара, запознах се с нормативната уредба(трябва да уточним, че към момента липсва нов национален закон и правилник към него, съобразен с последните изменения - както каза представителя на КЗЛД "Независимо дали имаме или не нов Закон и Правилник, Регламентът влиза в сила на 25 .05.2018г....) останах с впечатление, че всеки ще се оправя както може...
Има няколко тревожни момента за мен, които въпреки, че на пръв поглед изглеждат като облекчения, по същество са предоставка за потенциални и перманентни проблеми.
Както става ясно, след влизането в сила на промените, КЗЛД ще изгуби своите регистрационни и прочие функции, като ще останат основно тези, свързани с упражняваният контрол върху администраторите на лични данни - АЛД(и естествено нормотворчеството в духа на Регламента). Всяко физическо лице може да се оплаче във всеки един момент и да разчита, че ще изкара една подобаваща глоба на АЛД, казано простичко. Ако до момента с регистрацията ние получавахме от Комисията своеобразно признание, че сме отговорили на нормативните изисквания в определен обем, под формата на вписване в регистъра, сега този момент отпада. По същество АЛД определят целите на обработка на ЛД(Защо ги обработваме?) и средствата за обработка(С какво и по какъв начин, респективно как ги пазим?). Подчинени на новия принцип и задължение за отчетност, те имат задължение и отговорност във всеки един момент да могат да удостоверят и докажат категорично на оправомощения държавен орган, че законосъобразно, конкретно, прозрачно и в определени минимален обем обработват личните даннни. И добросъвестно, разбира се. С отпадането на задължение за регистрация обаче не отпада задължението да се поддържат регистри - Регламентът изисква АЛД да ги изготвят и поддържат, като сами да определят алгоритъма и изобщо целия механизъм на събиране, съхраняване и обработка на данните.
Именно тук възниква и следващия конфликтен момент – какво точно означава „законосъобразно” и в „определен минимален обем”. С обработването на ЛД по силата на нормативен акт(без да коментираме честата хипотеза у нас за противоречие между законови такива и „уж” конкретизиращите ги подзаконови) е нужно с конкретен законов текст да бъде обосновано тяхното събиране. Това според мен е по-лесната част. Трудно в нашата реалност е да докажем на Комисията(при проверка), че събираме само минимално количество данни. Всеки знае колко разточителни са българските институции при идентификация на физически лица, стъпили на собствената си нормативна база. Като започнем от НАП и стигнем до ГИТ, където нещата стават буквално страшни. Всеки се е надхващал с последните, във връзка с непопълнена паспортна част от медицинско свидетелство, непълни реквизити в трудов договор – адреси, номера на лични карти, образования и квалификации. Или пък в НАП с непопълнен протокол. Практически, колкото и да е абсурдно, извън ЕГН, всичко останало вече е проблематично, а някои данни като медицинско свидетелство и решения на ТЕЛК, дори попадат в категорията на чувствителни данни с особено високи изисквания за събиране. Специално внимание бе отделено на автобиографията, която също включвала лични данни и била абсурдна предпоставка за проблеми, особено в процеса на предварително набиране на кандидати, още повече, ако не дай Боже запазим тези данни в последствие, за последващи връзки и ново набиране на персонал. Ако подобни документи бъдат открити при проверка, трябва да можем да докажем еднозначно на какво основание сме ги събирали и съхранявали, което според представителя на КЗЛД (същия и проверяващ), „Едно име и документ за компетенции е предостатъчно”. В тази ситуация всеки АЛД или просто обработващ ЛД е поставен „между чука и наковалнята” да угоди от една страна на КЗЛД, а от друга – на всички останали държавни институции, чиято нормативна уредба е издържана в съвсем друг дух.
Друг момент е начина, по които се получават данните – със съгласие или по силата на законово задължение(в този случай следва да посочим кокретния законов текст, на който почива това основание, а не просто да цитираме общо закона).
Не можем да ползваме и двете основание – по съгласие на лицето и на основание Еди кой си закон. Едното основание е нужно и достатъчно, като с много по-голяма тежест се ползва обработката по силата на нормативен акт. Съгласието(под форма на декларация), като нов момент, може да бъде оттеглено по всяко време, а АЛД е длъжен да се съобрази с волеизявлението на лицето(естествено, ако обработката не се основава на нормативно установено задължение – няма как да искаме да не ни подават декларация 1, защото ни включва ЕГН-то). Декларацията съгласие за обработка на лични данни, практически остава без особена стойност, защото според гледната точка на нормата(която се спорделя и от съдебни решения), примерно страните по трудово правоотношение не са равнопоставени(напук на написаното в КТ) и в тази връзка под заплахата от санкции работодателят може да изиска от работника да декларира разни обстоятелства. Или най-добрият и първи избор, на който трябва да се позоваваме е нормативното задължение. То не може да бъде оттеглено, отменено или да бъде тълкувано като поставящо някоя страна в неравноправно положение.
Като оставим настрани тези моменти, за мен остават практически неясноти, свързани със самта условност на Регламента, който в своята изчерпателност става мъгляв.
На първо място това е длъжностното лице по защита на данните ДЛЗД. Уж няма изискване всяка организация да има такова, но Регламента разглежда определен кръг от хипотези, в светлината на които такова лице става задължително и лесно можем да попаднем в тях, особено ако обработването на лични данни бъде категоризирано като „редовно” и „систематично”. Като оставим настрани финансовите аспекти от разполагането с подобен лукс, достатъчно комплицирано е положението на това лице във фирмата, кой точно може да заема тази длъжност и неговото йерархично положение. Накратко, ако е назначено по трудов договор, това лице трябва да бъде независимо и да се отчита примерно само пред управителя. Същевременно, както разбрах, то не носи пркатическа отговорност за действията си – тя е вменена на АЛД.
Друга неяснота е свързана със създаване и поддържането на регистрите, които до този момент и по силата на Закона създавахме в КЗЛД и си „измивахме ръцете”. Регламента казва, че не сме длъжни да водим регистър, ако имаме по-малко от 250 лица, но след това прави такива уточнения, че това „облекчение” практически става задължително. Особено в нашата действителност, в която обема данни, които събираме по силата на други актове ни поставя в ситуация да доказваме, че не поставяме в риск данните на лицата, а да не говорим за чувствителни данни, касаещи здравното им състояние, които обаче примерно ни изисква трудовото законодателство. Отделен въпрос е, че примерно един лекар на индивидуална практика директно покрива всички изисквания за водене на регистър и нзначаване на ДЛЗД, като се има предвид какви данни обработва и администрира и предава на други АЛД(като ги прати на преглед при специалист или ги изпрати на изследване).
Друг интересен аспект е АЛД да се „самоизкаже” при допускане на нарушение. Нарушение може да бъде всичко – отворено досие на бюро, забравен лист, съдържащ лични данни, в копирна машина... Нещо, което едва ли ще се случи, като се има предвид размера на санкциите...
Казано накратко, за мен всички тези обстоятелства ще доведат до появата на едни нови фирмички, които ще раздават въпросничета, на база на които ще раздават папчици с листчета включващи регистри, оценки на въздействието и прочие, а срещу някой лев горница – сертификати, марки и печати. Всъщност тези хора вече ги видях на входовете на залите, да раздават визитки. Накратко, коментирахме си с много колеги, общо взето май всеки си отиде с повече въпроси и притеснения, от тези, с които дойде на семинара...
Останалите абстрактни моменти за правото да бъдеш забравен, защита на личните данни на етапа на проектиране и подразбиране няма да ги коментираме, че работата отива съвсем в самодивско...