Новите драми със защита на личните данни

чл.4
1) „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

това означава, че всичко, което съм изброил е лични данни, вкл. делова кореспонденция, където има имена, подписи и прочие. Проблема е че друго тълкуване стигна до мен, че отношенията между фирми и служители представляващи ги не са лични данни въпреки, че в доста ситуации има достаточно информация да идентифицираш физическо лице (служител).
Данните на управителите на фирми, барабар с ЕГН-та са публични, благодарение на търговският регистър. Но реално са си лични данни, с които мога да идентифицирам физическо лице...

Колеги относно Декларацията , к оято е за Доброволно и информирано съгласие зя обработка на Личните данни, според Вас каква дата , трябва да се впише , може ли примерно да е 17 05 2018 .........при положение ,че става въпрос за вече попълнени трудови договори ..............години назад, както и граждански  и не само ?

За тях не трябва съгласие. Освен ако не сте ги ползвали за някаква различна цел

Теоретично трябва, но няма смисъл.

Безкрайно Ви благодаря за компетентните отговори , както винаги сте Компетентни и много Информирани , Благодаря Ви!

https://www.dropbox.com/sh/fxusyxwwtw5t91h/AADq-hAdMRwV5xekOqc5vJcsa?dl=0

материали с цел взаимопомощ

Разгледах този линк, любезно предоставен ни от Калина Янкова . Авторът на материалите е предложил различни идеи за документи / благодаря му за което / - декларации, съгласия и др. , свързани с личните данни , които следва да бъдат преработени само с конкретизиране на дейността на всеки АдминистраторЛД или ОбработващЛД. В комбинация с табличката на bobo имаме една чудесна възможност да стартираме изготвянето на набора от документи във връзка с новия Регламент. Никой не коментира точно тези материали, но хвърлете едно критично око и нека разгледаме и доизгладим текстове или кой каквото забележи да коригира или да вмъкне . Иначе откъслечни моменти за коментар ще има винаги, но сглобяването на цялото се губи при коментарите " на парче " .

Тъй като малцина са готови, кратък списък с най-спешните мерки:
http://economix.bg/gdpr-urgent
Но прочитайки горните мнения, №1 по спешност е да убедите възложителите и ръководителите на организацията, че всичко това НЕ Е работа на счетоводителя. Изисква се преценка от юрист и ИТ специалист, много от мерките са организационни...

Здравейте, колеги,
Благодаря на всички, които споделяте информация, линкове, статии, особено на b0b0 за табличката!
Също и аз смятам, че нормативните, законови основания са най-важната ни и основна защита, за това защо обработваме лични данни.
Мисля си за следното - например, обработването на лични данни на служители, за целите на трудовото, осигурително, пенсионно законодателство и за да спазим задълженията ни като осигурител (работодател) към контролните органи, както и за да спазим правата на осигурените лица (служителите си). Не правим профилиране, не си обработваме данни за други различни нужди. За клиенти и контрагенти - също. Идва обаче някой бивш служител и иска да му документираме какви лични данни обработване, за какви цели, иска да му ги предоставим или да бъде забравен.
Като бивш служител, ние вече само  съхраняваме личните данни (не ги обработваме, в смисъл активно да работим с тях), като пазим в досието му всичко, задължително което е нужно да има в Трудовото му досие по повод възникване, съществуване, прекратяване на ТПО (чл.128б КТ, чл.66, ал.1 КТ, чл.62, ал.3 КТ и т.н.). Реално ако гледаме от табличката на b0b0 имаме за всеки документ нормативно основание, за да ги има тези документи. Съответно сега ще преценим кое колко може да съхраняваме, но питам - ако сме определили срок например 5+1 години след датата на прекратяване, този срок не е изтекъл, а ние сме събрали и обработвали на времето данни по законово основание, реално няма да стане да му изтрием данните, както би поискал т.нар. "да бъде забравен", нали? И друго, в декларация ще опишем какво и на какво основание СЪХРАНЯВАМЕ, но как да му предоставим данните - копия на документите от досието ли? В електронен формат са само нещата свързани с програмата на НАП, НОИ, Ведомостите (но те са с обща информация за всички служители), останалото са оригинали на хартия, както и много от нещата за целите на електронното досие са на .pdf сканирани?

И друго, реално дискутираме и търсим на какво законово основание обработване дадени лични данни, но по-скоро трябва да мислим за това колко време съхраняваме даден документ, който съдържа тези данни. А в законите, с малки изключения не пише колко време се съхраняват тези документи, само има поставено изискване да ги имаме, да ни бъдат предоставени от лицата, да декларираме, да ги съхраняваме и предоставяне за целите на контрола. Как законотворците в тези месеци поне от 2018г. не създадоха по едно изменение ясно и категорично колко години да се съхраняват документите, които "трябва да съхраняваме и да пазим".
Но както и да е, пак ние ще си блъскаме главите явно.
Например аз смятам, че в изискването да се пазят 50г. се свързват документите ведомостите, декларации 1 и 6, Уведомленията чл.62 КТ, ТД, заповедта за прекратяване, УП2, УП3, Дневници за ТК, самите ТК непотърсени, Молби (заповеди за отсъствията, т.к. те се описват без да се прави рекапитулация в УП2, което може да ми го поискат да го издам сега и за 1990 г.)
Болничните и приложение 1-8, заедно с доказателствата към тях се пазят 5+1 години.
Документи като служебни бележки, декларация по ЗДДФЛ  т.к. са информация за данъчен контрол, поне 5+1 години.
А документите, които събираме на служителите при назначаването, както и по време на съществуването на ТПО по принцип ни ги искат при проверка от ИТ, искали са ни включително досиета на освободени служители "за да видят дали имаме необходимите документи за трудовото им досие".
Та по принцип мен ме притеснява това, че за да смя изрядни през регламента и инструкции за ЗЛД да обработване само минималното необходими, но всъщност за контролните български органи и за  изпълним задълженията си по други закони ние не можем да изхвърляме ей така след 3г. или 5г. документи от досието, като може след този срок да дойде някой или НОИ след 10г. и да ги изискат или да издадем документ, или да имаме проверка, за която наличието на даден документ е било основание нещо да се обработва. Сменят се служители, идва един счетоводител. после друг, реално наличен документ е основание, за да се обработи или изчисли нещо точно по конкретен начин. Никой не е длъжен да помни 10г. какво е ставало, още повече когато не си го правил ти, но затова са документите, за да можем да защитим ние нашите действия..как ще унищожа такива неща?? Как да имаме отговорност, ако не можем да докажем, че т.к. сме отговорни дадена информация сме я обработили и я съхраняваме, за да може това да е доказуемо..

"право на преносимост на данните – клиентите имат право да получат лични данни, които ги засягат и които са предоставили на X в структуриран, широко използван и пригоден за машинно четете формат и прехвълянето им на друг администратор на лични данни. Правото на преносимост касае лични данни, за които са налице следните условия: обработването им се основава на изрично съгласие на субекта на лични данни или договорно задължение и обрабоването се извършва по автоматизиран начин" - това е част от политиката на национална компания и те са ограничили правото на достъп до информацията на клиента, респ и за служителя. Дали е законно, обаче?