Архив на ‘GDPR Инфо’

Личните данни на кандидати за работа се унищожават след 6 месеца. От кога тече срокът?

Личните данни, събрани в процедура по подбор на персонал, може да се пазят най-много 6 месеца, а след това работодателят е длъжен да ги изтрие. Това регламентира от месец Законът за защита на личните данни (ЗЗЛД), когато бяха обнародвани мащабните изменения в него заради Общия регламент за защита на данните (GDPR). От кога обаче започва да тече срокът, за който всяка фирма трябва да следи?

Този въпрос е поставило длъжностното лице по защита на данните на Българска народна банка (БНБ) на Комисията за защита на личните данни (КЗЛД) и е поискало становището ѝ за това как трябва да се прилага чл. 25к от ЗЗДЛ, в който е регламентиран срокът за съхранение на лични данни на участници в процедури по набиране и подбор на персонал.

Освен него чл. 25к предвижда и че ако работодател, който е търсил служители, е изискал от кандидатите оригинали или нотариално заверени копия на „документи, които удостоверяват физическа и психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност“, трябва да ги върне на гражданина до 6 месеца след приключването на процедурата по подбор на персонала.

Повече подробности по темата четете тук.

Тройно са се увеличили жалбите за лични данни след GDPR

Поне три пъти са се увеличили жалбите в Комисията за защита на личните данни (КЗЛД) след 25 май, когато влезе в сила Европейският регламент за защита на личните данни GDPR – каза в интервю пред БНР председателят на КЗЛД Венцислав Караджов.

„До 25 май жалбите бяха в порядъка до 200, а в момента имаме 800 жалби, подадени в КЗЛД“, каза Караджов и обясни, че това е нормално заради разяснителната кампания, в която на физическите лица и администратори на лични данни са били обяснени правата и задълженията им и те са проявили по-голяма активност.

Той посочи, че обработката на всяка една жалба отнема между един и три месеца, за да се произнесе КЗЛД по нея и че напролет очаква първите съдебни решения по резолюциите на комисията според новия регламент.

Според председателя на комисията, около 80% от жалбите са основателни, но има и такива, които показват неразбиране – например, при документни измами, хора са се обръщали към КЗЛД, а не до прокуратурата. Сред неоснователните жалби са и такива, в които има неразбиране на правото на защита на личните данни от физически лица.

Повече подробности по темата четете тук.

Регламентът за личните данни – как клиентът стана цар

Прилагането на Регламент (ЕС) 2016/679 за защита на личните данни (известен като GDPR) започна да напомня на голяма част от бизнеса за правилото „Клиентът винаги е прав“.

По време на обучения за Регламента лекторите често дават на служителите на различни компании такъв казус: „Получавате искане от субект да му предоставите данните, които пазите за него или искане за изтриването им – какво ще предприемете?“. Почти винаги получават отговор „Предоставям данните, изобщо не ме интересува каква информация имам за този гражданин, не искам излишни разправии“ или „Изтривам ги веднага“.

Безграничната и безкритична грижа за клиента е първият видим постGDPR ефект. Част от компаниите щедро разпращат писма, имейли, по елегантен начин изискват съгласие и са много учтиви: „Само кажете „не“ и ние няма да Ви безпокоим повече“.

Други добавят и искане за писмено съгласие за всяко събиране на данни и влизат в обяснителен режим: „Съжаляваме, трябва да го подпишете, така са ни казали…“. Дори учителките в детските градини се молят на родителите с мотива „моля ви, знаем, че е ненужно, но не ни създавайте проблеми“.

До тук нищо неочаквано – GDPR е сложна европейска регулация и всеки се опитва да се справи с изискванията, както може и по собствен начин. Само че тази криворазбрана регулация започва лека-полека да се превръща в нещо много по-различно от реалното спазване на правата и прилагането на „европейския закон“.

Субектите на данни пък се възползват от ситуацията и от новите си права, за да отмъщават на компаниите, на консуматорското общество и на когото се сетят, изпращайки дори нецензурни отговори на исканията за обработване на техни данни. А администраторите на лични данни реагират, сякаш са виновни по презумпция и удовлетворяват всички искания на будните граждани – клиентът най-после е цар!

Каква е причината за тази свръхкоректност?

Повече информация по темата четете в Lex.bg.

Посочването на диагноза в болничния лист не противоречи на разпоредбите на GDPR

Допустимо ли е след влизането в сила на Общия регламент за защита на данните (GDPR) в болничния лист, който се предоставя на работодателя и в Националния осигурителен институт, да се посочва диагнозата на служителя?

Този въпрос е поставил гражданин на омбудсмана Мая Манолова. Като твърди, че посочването на конкретното заболяване в болничния противоречи на защитата на информацията за здравословното състояние на гражданите по Закона за здравето, както и на Регламент (ЕС) 2016/679, т.е. Общият регламент за защита на данните, който е в сила от 25 май 2018 г. Затова Манолова е сезирала Комисията за защита на личните данни (КЗЛД) и е поискала компетентно становище по случая.

За да отговори, комисията е изследвала цялата нормативна база, свързана с издаването на болничен лист – от Закона за здравето, през Наредбата за медицинската експертиза до Наредбата за реда за представяне в НОИ на данните от издадените болнични листове и решенията по обжалването им от 2014 г. А след това е направила анализ на изискванията на GDPR, като припомня, че той само надгражда  предишния режим за защита на данните, въведен от Директива 95/46/ЕО, който е транспонирана в българския закон още през 2002 г.

И тримата ѝ членове, натоварени да се произнесат по казуса – Цанко Цолов, Цветелин Софрониев и Веселин Целков, излизат със следното становище: „Посочването на конкретното заболяване в болничния лист при удостоверяването на временна неработоспособност пред работодателя не противоречи на нормите на Регламент (ЕС) 2016/679. Налице е нормативно основание за обработване на данните съгласно чл. 6, параграф 1, буква „в“ от Общия регламент, респективно условие по чл. 9, параграф 2, буква „б“ от Регламента, във връзка с чл. 13 от Наредбата за реда за представяне в НОИ на данните от издадените болнични листове и решенията по обжалването им“.

Повече подробности по темата четете тук.

Новости в „GDPR Инфо“ през месец май 2018 г.

  1. Въведена е новата разработка:
  • Определяне на водещ надзорен орган

    2. Към разработката „Администратор и обработващ лични данни – понятие, задължения, отговорност. Защита на личните данни при съвместни администратори“ е въведен нов образец:

  • Анекс относно защитата на личните данни между администратор и обработващ

3. Към разработката „Длъжностно лице по защита на данните – изисквания, задачи и отговорности“ е въведен нов образец:

    . Уведомление за определено длъжностно лице по защита на данните (DOC-формат) – утвърден образец от КЗЛД

   4. Към експертната разработка „Средства за правна защита срещу нарушения на Общия регламент относно защитата на данните“ е добавен раздел „Защита на субектите на лични данни при директен маркетинг“

   5. Към експертната разработка „Уведомяване на надзорния орган при нарушения

на сигурността на данните“ е въведен нов образец: 

  • Правила за използване на система за докладване на нарушения“

   6. Към разработката „Организационни и технически мерки за защита на сигурността на личните данни“ са въведени следните нови образци:

. Анекс относно защитата на личните данни към трудов договор

. Анекс относно защитата на личните данни към граждански договор

. Политика за определяне на правилата за достъп до лични данни

. Правила за предаване на лични данни в организацията

. Правила за обработване на лични данни от автобиографии

    7. Към разработката „Даване на съгласие от субекта за обработване на личните му данни съгласно Общия регламент относно защитата на данните. Оттегляне на съгласието“ са въведени нови образци:

. Декларация – съгласие за обработване на лични данни за статистически цели

. Декларация – съгласие от субект на лични данни за обработване на лични данни при директен маркетинг

 

Архив