Кой трябва да се регистрира като администратор на лични данни

Кой трябва да се регистрира като администратор на лични данни

Comments Off on Кой трябва да се регистрира като администратор на лични данни

15_0

 

Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. По-конкретно, такива са: имена, ЕГН, адрес, телефон, месторождение, паспортни данни на лицето (физическа идентичност); семейно положение и родствени връзки (семейна идентичност); професионална биография (трудова дейност); здравен статус, психологическо и/или умствено състояние, сексуална ориентация (медицински данни); расов или етнически произход, политически, религиозни или философски убеждения (обществена идентичност); имотно състояние, финансово състояние, участие и/или притежаване на дялове или ценни книжа на дружества (икономическа идентичност) и др.

Администратор на лични данни е физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на личните данни.

В Закона за защита на лични данни /ЗЗЛД/ са опредени задълженията на администраторите на лични данни при обработване на данните. Параграф 1, т. 1 от Допълнителните разпоредби на ЗЗЛД определя какво по смисъла на закона представлява “Обработване на лични данни”. Това е “е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване”.

Когато дадено лице е решило да осъществява търговска дейност под някаква форма, то неминуемо следва да се регистрира като администратор на лични данни съгласно закона или поне да бъде освободен от това задължение чрез подаване на изрична молба до Комисията.

В кои случаи администраторът/работодателят/търговецът може да бъде освободен от задължение за регистрация като администратор на лични данни?

Комисията за защита на личните данни може да освободи от задължение за регистрация администратори на лични данни, които отговарят най-малко на един от следните критерии:

  1. Когато администраторът обработва лични данни със съгласието на физическото лице за срок не по-дълъг от шест месеца;
  2. Когато данните се обработват в публични регистри на основата на закони, които осигуряват реда за достъп и мерките за защита;
  3. Когато администраторът обработва данни, свързани с трудови или членствени правоотношения, и броят на лицата, за които се обработват данните, са не повече от 15.

Освобождаването от задължение за регистрация се извършва по молба от администратора на лични данни, подадена по образец, утвърден от КЗЛД. Такава молба може да бъде подадена само от администратор, който към момента на подаването й не е регистриран в “Регистъра на администраторите на лични данни и водените от тях регистри на лични данни”.

Следва да се има предвид, че критериите за освобождаване от регистрация трябва да са налични по отношение на всички регистри с лични данни на физически лица, които администратора на лични данни обработва.

Има ли задължение за регистрация като администратор на лични данни в случаите, когато обработването на лични данни е единствено във връзка с издаването и съхраняването на фактури?

Всеки един търговец е задължен да спазва Закона за счетоводството, като в чл. 7, ал. 1, изрично са посочени минимума реквизити, които трябва да съдържа всеки първичен счетоводен документ (фактура). Той трябва да съдържа наименованието, адреса и номера за идентификация по чл. 84 от Данъчно-осигурителния процесуален кодекс (ДОПК) на издателя и получателя. Съгласно чл. 84, ал. 2 от ДОПК идентификацията на физическите лица, които не са вписани в търговския регистър, съответно в регистър БУЛСТАТ, се извършва чрез единния граждански номер или личния номер на чужденец. Единният граждански номер на български гражданин и личният номер на чужденец са лични данни по смисъла на  чл.2, ал.1 от ЗЗЛД. Съгласно ЗЗЛД всеки, който обработва лични данни под каквато и да било форма и поддържа регистри с информация, съставляваща лични данни, подлежи на регистрация като администратор на лични данни.

Какво да правя, ако фирмата ми не работи – не извършва никаква търговска дейност? Необходима ли е нова регистрация или актуализация на съществуващ администратор на лични данни?

Прекратяването на търговската дейност на конкретен администратор не го освобождава от задължение за регистрация, в случай, че продължи да съхранява или да извършва други действия по обработване на лични данни под която и да било форма по смисъла на § 1, т. 1 от Допълнителните разпоредби на Закона за защита на личните данни (ЗЗЛД), съгласно която  обработване на лични данни е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване. Така или иначе има законоустановено изискване за всеки работодател, съгласно което счетоводната информация се съхранява в предприятието по реда, предвиден в Закона за Националния архивен фонд, в следните срокове:

  1. ведомости за заплати – 50 г.;
  2. счетоводни регистри и финансови отчети – 10 г.;
  3. документи за данъчен контрол – до 5 г. след изтичане на давностния срок за погасяване на публичното задължение, което удостоверяват тези документи;
  4. документи за финансов одит – до извършване на следващ вътрешен одит и одит на Сметната палата;
  5. всички останали носители – 3 г.

В случай, че към настоящия момент се съхранява горепосочените данни, независимо дали дейността е прекратена или не, то работодателят следва да поддържа регистри с лични данни и подлежи на регистрация и актуализация в КЗЛД.

В случай, че дейността на администратора бъде прекратена, но той продължи да извършва дейност по обработване на лични данни /например съхранение на лични данни/ следва да уведоми КЗЛД. Това може да се извърши чрез електронната система еРАЛД или да се подаде Уведомление за промяна или заличаване на данни в регистър “Администратори на лични данни и водените от тях регистри на лични данни”.

Въпрос: Какво е правното основание за актуализация?

Отговор: Администраторът на лични данни е длъжен да подаде заявление за регистрация в Регистъра на администраторите на лични данни и поддържаните от тях регистри при КЗЛД преди започване обработването на лични данни (чл.17, ал.1 от ЗЗЛД). Същият е задължен да поддържа информацията в актуално състояние като уведомява Комисията за всяка промяна на данните преди нейното извършване (чл.18, ал.3 от ЗЗЛД). В случаите, в които такава промяна е предвидена в закон, уведомяването се извършва в 7-дневен срок от влизането в сила на съответния закон.

Станете наш приятел и ни харесайте
Потърсете информация за вашия казус или консултация

Back to Top