Задължението за водене на регистри по чл. 30 GDPR - някои практически съвети

Задължението за водене на регистри по чл. 30 GDPR - някои практически съвети

 

 

Д-р Мартин Захариев,

адвокат в Адвокатско дружество „Димитров, Петров и Ко.“ и експерт във Фондация „Право и интернет“

 

Актуално към 07. 05. 2018 г.

 

С наближаването на 25 май 2018 г. вниманието на все повече организации се насочва към новия регламент за защита на личните данни (GDPR), който започва да се прилага от тази дата. Това разбира се е обяснимо, предвид високите санкции, които регламентът въвежда, най-тежките от които могат да достигнат до по-високата сума измежду 20 000 000 EUR или (за предприятия) — до 4 % от общия годишен световен оборот за предходната финансова година.

 

В същото време, независимо от наближаващия срок, все още е налице сериозно непознаване или неразбиране на правилата за защита на личните данни.

 

В този ред на мисли, един от най-интересните и будещи сериозна неяснота въпроси е задължението за водене на регистри на дейностите по обработване по чл. 30 от GDPR.

 

Независимо от изготвения по-рано материал по темата относно „Основни задължения на администраторите на лични данни – ключови промени по GDPR“  и разсъжденията, направени на тема задължение за водене на регистри, моментът е подходящ за едно по-детайлно изследване на това задължение, особено в контекста на дейността на микро-, малки и средни предприятия.

 

 

Какво гласи чл. 30 от GDPR?

 

Чл. 30, § 1 от GDPR гласи, че всеки администратор трябва да поддържа регистър на дейностите по обработване, за които отговоря. Съдържанието на регистъра като минимум реквизити е разписано в чл. 30, § 1, б. „а“ – „ж“ от GDPR.

 

Чл. 30, § 2 от GDPR гласи, че всеки обработващ лични данни трябва поддържа регистър на всички категории дейности по обработването, извършени от името на администратор. Минималното съдържанието на регистъра е разписано в чл. 30, § 2, б. „а“ – г“.

 

Регистрите следва да се поддържат в писмена форма, като е допустимо това да бъде и в електронна форма.

 

Логично GDPR предвижда при поискване (т.е. при проверка) посочените регистри да бъдат предоставяни на надзорния орган (т.е. на Комисията за защита на личните данни – КЗЛД).

 

Според чл. 30, § 5 задълженията за водене на регистри на:

 

не се прилагат по отношение на предприятие или дружество с по-малко от 250 служители, освен ако:

 

 

Какво значи това?

 

Цитираното по-горе правило означава, че от датата, от която започва да се прилага GDPR (25 май 2018 г.) задължителната регистрация в КЗЛД отпада.

 

По сега действащия Закон за защита на личните данни (ЗЗЛД) администраторът на лични данни е длъжен да подаде заявление за регистрация преди започване обработването на лични данни (чл. 17, ал. 1 ЗЗЛД), като след подаване на заявлението за регистрация същият може да започне обработване на данните.

 

Ако обработването включваше специална категория данни или данни, чието обработване съгласно решение на КЗЛД застрашаваше правата и законните интереси на физическите лица, КЗЛД задължително извършваше предварителна проверка преди вписване в регистъра на администраторите (чл. 17б, ал. 1 ЗЗЛД).

 

След 25 май 2018 г. този регистрационен режим повече няма да се прилага. От публично достъпната информация по темата, поместена на уебсайта на КЗЛД е видно следното:

 

„ВАЖНО! От 25 май 2018 г. отпада задължението за регистрация на АЛД в КЗЛД. Считано от тази дата, отпада необходимостта от подаване на заявления за регистрация, молби за освобождаване от регистрация и заявления за заличаване от регистъра на КЗЛД.

 

От 25 май 2018 г. КЗЛД преустановява поддържането на публични регистри за вписване/ освобождаване/ отказване на регистрация на АЛД.

 

От 25 май 2018 г. отпада необходимостта от издаването на удостоверения и служебни бележки относно обстоятелствата по регистрация на АЛД.“

 

В унисон с тази промяна са и предложените текстове в дългоочаквания Закон за изменение и допълнение на Закона за защита на личните данни (ЗИДЗЗЛД), публикуван за обществено обсъждане на 30. 04. 2018 г., в който изрично е предвидена отмяна на текстовете в сега действащия закон относно задължителната регистрация в КЗЛД

 

Освен отпадането на въпросната регистрация, интерес в обявлението на КЗЛД прави и текстът, според който поддържането на публичните регистри ще бъде преустановено.

 

Това практически означава, че организациите повече няма да имат достъп до данните за своята регистрация.

 

В същото време, регистрацията ще има своето правно значение за всякакви спорове, възникнали до датата, от която започва да се прилага GDPR.

 

Ето защо, практически съвет за компаниите би бил да изтеглят на някакъв носител посочената информация, за да могат да разполагат с нея при евентуални спорове и след 25 май 2018 г. (включително да обмислят и нотариално удостоверяване на разпечатки от публичния регистър на КЗЛД).

 

Отделно, тази информация ще бъде в основата за изграждането на бъдещите регистри по чл. 30 от GDPR.

 

 

Аз съм малка фирма. Как ме засяга това задължение?

 

Чл. 30, § 5 от GDPR предвижда определени изключения от задължението воденето на регистър.

Според цитираното по-горе правило, организации с до 250 служители са освободени от задължението за водене на регистър.

 

Това освобождаване обаче не се прилага, ако е налице някоя от изчерпателно изброените в GDPR хипотези на обработване:

 

Работната група по чл. 29 от старата директива за защита на личните данни (РГ29) (1) през на месец април даде тълкувания относно задължението за водене на регистър (2). РГ29 посочва, че хипотезите, при които компаниите са длъжни да водят регистри независимо от броя си служители, са алтернативни и наличието на кое да е от тях е основание за водене на регистър.

 

Разбира се, организациите следва да водят регистър само за посочените дейности, които попадат в някоя от изброените хипотези.

 

РГ29 изрично посочва, че малките предприятия обработват данни за своите служители, поради което подобен вид обработване не може да се приеме за спорадично (т.е. за него следва да се води регистър).

 

За сметка на това, други дейности, които на практика са спорадични, не следва да се включват в такъв регистър, освен ако:

 

РГ29 допълва, че за много микро-, малки и средни организации, воденето на регистри е малко вероятно да доведе до особено големи затруднения.

 

Въпреки това, РГ29 признава, че това е ново административно задължение за администраторите и обработващите, поради което РГ29 насърчава националните надзорни органи да подпомогнат посочените организации – напр. чрез публикуването на уебстраниците на тези органи на опростени модели на регистри, които да се ползват от малките организации (3).

 

Към момента такъв образец все още не е достъпен на сайта на българската КЗЛД, което обуславя и интереса на малките организации към темата за регистрите.

 

Затова и в следващите редове ще дадем някои разяснения и примери какво точно следва да се включва в един регистър по чл. 30 от GDPR.

 

 

Регистри на дейностите по обработване по чл. 30, § 1 от GDPR

(регистри на администратори)

 

Регистърът на администратора по чл. 30, § 1 от GDPR следва да съдържа най-малко следната информация:

 

-   фирма (за търговци)/наименование (за други организации като юридически лица с нестопанска цел, кооперации и други подобни);

-   ЕИК/БУЛСТАТ,

-   седалище и адрес на управление, респ. адрес за кореспонденция – ако е различен от адреса на управление;

-   телефон/ факс / електронен пощенски адрес.

 

Възможно е да се добавят данни и за законния представител (напр. управител).

 

Ако са налице „съвместни администратори“ по чл. 26 от GDPR – двама или повече администратори съвместно определят целите и средствата на обработването, трябва да се посочат изброените данни за всеки един от тях.

 

Такава хипотеза може да възникне например при няколко дружества от една корпоративна група, които поддържат общи бази данни и преследват общи цели (напр. обща HR база данни).

 

В някои случаи GDPR се прилага и спрямо организации, установени извън ЕС, ако се обработват лични данни на субекти на данни, които се намират в ЕС, когато дейностите по обработване на данни са свързани с:

 

-   предлагането на стоки или услуги на такива субекти на данни в ЕС, независимо дали от субекта на данни се изисква плащане; или

 

-   наблюдението на тяхното поведение, доколкото то се проявява в рамките на ЕС.

 

Тогава тези организации трябва да назначат писмено представител.

 

Представителят трябва да е установен в една от държавите членки, в която се намират субектите на данни, чиито лични данни се обработват във връзка с предлагането на стоки/ услуги или чието поведение се наблюдава. Представителят разполага с мандат, съгласно който надзорните органи и субектите на данни могат освен или вместо към администратора или обработващия лични данни да се обръщат към представителя по всички въпроси, свързани с обработването.

 

Ето защо, ако такъв представител е назначен, неговите данни също трябва да фигурират в регистъра по чл. 30, § 1.

 

Това е особено важно, доколкото ДЛЗД е точката за контакт както за надзорните органи (КЗЛД), така и за субектите на данни във връзка с обработването на лични данни.

 

Ето защо, при проверка КЗЛД следва да установи, че името и данните за контакт на ДЛЗД в регистъра по чл. 30, § 1 отговарят на тези, които са комуникирани към субектите на данни във връзка с правото им на информираност относно обработването по чл. 13 и чл. 14 от GDPR (например, чрез политика за защита на личните данни или друг подобен документ).

 

Удачно би било да се посочи и длъжността на лицето (ако е служител), или ако е външна организация – конкретното лице в нея, което отговаря за съответния администратор (4);

 

Иначе казано, целите отговарят на въпроса „защо“ се извършва обработването (5).

 

Според бланките за регистрация на КЗЛД по сегашния режим, типични цели при обработването на лични данни са:

 

-   управление на човешките ресурси;

-   директен маркетинг;

-   финансово-счетоводна дейност;

-   банково и застрахователно дело;

-   пенсионна, здравна и социално-осигурителна дейност;

-   обществен ред и частна охранителна дейност;

-   частно разследване;

-   правораздаване;

-   правни услуги;

-   управление на собственост;

-   информационни, компютърни и комуникационни технологии;

-   образование;

-   здравеопазване;

-   местно самоуправление;

-   профилиране (по чл. 12, т. 1 от Наредба № 1 от 30 януари 2013 г.).

 

Разбира се, няма пречка да се предвидят и други, неупоменати по-горе цели, или посочените цели да се конкретизират и детайлизират – например.

 

-   привличане на клиенти;

-   повишаване на удовлетвореността на клиентите;

-   администриране на обезщетения и плащания,

-   организационно планиране и други подобни.

 

Както посочихме и в материала „Основания за обработването на лични данни и права на гражданите – ключови промени по GDPR“, препоръчваме целите да се привържат с конкретното правно основание за обработването в регистъра.

 

Това изискване произтича от чл. 13 и чл. 14 от GDPR, според които субектите трябва да получат информация за целите заедно с правното основание за обработването. препоръчваме тази информация също да фигурира в регистъра.

 

Както бе посочено, по този начин администраторите ще имат ясна картина обработването за коя цел на кое конкретно основание почива, което ще ги улесни какви документи трябва да представят при евентуална проверка от надзорните органи (напр. декларация съгласие, конкретен договор или законов текст, уреждащ задължение за обработване – в зависимост от приложимото основание);

 

-   кандидати за работа, служители, бивши служители, роднини на служители с оглед различните видове отпуски – съпрузи, деца, родители и т.н. (за регистър „Персонал“);

 

-   клиенти, потенциални клиенти и бивши клиенти, както и представители (законни и договорни, т.е. упълномощени с пълномощно) на клиенти юридически лица (за регистър „Клиенти“);

 

-   посетители на даден обект/ имот (за регистър „Видеонаблюдение“) и други подобни.

 

Категориите данни могат да включват:

 

-   идентификационни данни (имена, ЕГН, данни по документ за самоличност);

-   информация за трудово възнаграждение или за дължими суми по договори с клиенти;

-   информация за размер на осигуровките и данъците;

-   трудов опит и история на представянето;

-   информация за представителство и други подобни.

 

Обръщаме внимание, че трябва да се посочат категориите (т.е. типовете) данни, т.е. данни за конкретни лица (например, Иван Иванов – главен счетоводител) не следва да намират място в регистъра.

Разбира се, изложените по-горе изброявания са само примерни, като е препоръчително администраторите детайлно да изследват съответната дейност по обработване, за да могат да включат най-точна и актуална информация в регистрите.

 

-   самите субекти на данните;

-   различни държавни органи, към които администраторите имат задължение да подават лични данни – НАП, НОИ, Инспекция по труда и т.н.;

-   обработващи лични данни – ако администраторът планира да ползва такива и други подобни.

 

Ако предаването е на основание подходящи гаранции (чл. 49, § 1, ал. 2 от GDPR (6)) следва да се посочи и документация за тези подходящи гаранции;

 

Това е част и от информацията, която следва да се даде на субектите на данни (7) във връзка с обработването, затова препоръчваме винаги да бъде фиксиран срок/ критерии за определянето му в посочените регистри.

 

В някои случаи сроковете следват от законово задължение за съхраняване на даден носител определен период (например, ведомости за заплати – 50 г., считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят; болнични листове – 3 г., считано от 1 януари на годината, следваща годината, в която са издадени; със ЗИДЗЗЛД се предлага информация за участници в подбори на персонал да се съхранява до 3 г. и други подобни).

 

В други обаче такъв срок не е определен, поради което администраторите следва да установят разумен такъв според естеството и целите на обработването;

 

Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни на КЗЛД съдържа подробни указания в тази насока, като по публично достъпна информация същата ще бъде трансформирана в Методическо ръководство след 25 май 2018 г. (8)

 

Ето защо, удачно е администраторите да съобразят новите промени и да отразят именно тях в регистрите си.

 

 

Регистри накатегориите дейности по обработване по чл. 30, § 2 от GDPR

(регистри на обработващите)

 

Регистърът на обработващите (лица, които действат по възлагане и извършват обработване от името на администратора) по чл. 30, § 2 от GDPR следва да съдържа най-малко следната информация:

 

Според РГ29 тези дейности могат да бъдат ограничени до много конкретни задачи или контекст, но също така и да бъдат по-общи и разширени (9) – например, в зависимост от контекста това може да бъде:

 

-   предоставяне на хостинг услуги;

-   съхранение на конкретна информация;

-   приемане и обслужване на обаждания от името на администратора в кол центрове;

-   извършване на конкретна проверка под инструкциите на администратора за определен период – финансова, счетоводна и други подобни (10).

Воденето на регистри по чл. 30 от администратори и обработващи е един от най-силните инструменти в ръцете на администраторите за спазване на принципа за „отчетност“, поради което препоръчваме, всяка организацията да води такъв регистър за всеки основен бизнес процес, например:

 

-   „Персонал“,

-   „Отношения с клиенти“,

-   „Отношения с доставчици“,

-   „Видеонаблюдение“,

-   „Отношения с бизнес партньори“ и т.н.

 

За по-инцидентни и спорадични дейности малките организации не следва да водят регистри.

 

Обръщаме внимание, че в проекта на ЗИДЗЗЛД се предвижда минимална санкция от 5 000 лв. при неизпълнение на задължението за водене на регистър (виж чл. 85 от проекта за ЗИДЗЗЛД) (11), което е сериозна сума за всяка по-малка организация, поради което препоръчваме организациите да се отнесат сериозно към съставянето на регистри поне за основните им дейности по обработване на лични данни.