Въпроси, свързани със задължението по регистрация и актуализация на администраторите на лични данни

   Комисия за защита на личните данни

   Въпрос: Имат ли задължение по Закона за защита на личните данни ЕТ, земеделските производители и лицата, упражняващи свободни професии и др. за регистрация като администратор на лични данни? Какви са условията за освобождаване от регистрация?
Отговор: Ако посочените по-горе лица не обработват лични данни под каквато и да било форма по смисъла на § 1, т. 1 от допълнителните разпоредби на Закона за защита на личните данни (ЗЗЛД) и не поддържат регистри с информация, съставляваща лични данни, те не подлежат на регистрация като администратори на лични данни. Ако обаче обработват лични данни, съгласно законовата дефиниция по чл. 2, ал. 1 от ЗЗЛД и съответно поддържат такива регистри следва да се поддаде заявление за регистрация. В случай че дейността на тези лица бъде прекратена, но те продължават да извършват дейност по обработване на лични данни (например съхранение на лични данни), следва да уведомят КЗЛД. Това може да се извърши чрез електронната система еРАЛД или да се подаде Уведомление за промяна или заличаване на данни в регистър “Администратори на лични данни и водените от тях регистри на лични данни”.

   Въпрос: Кога не се подава заявление за регистрация?
Отговор: Не се подава заявление за регистрация, когато администраторът:
1. Поддържа регистър, който по силата на нормативен акт е предназначен да осигури обществена информация и достъпът до него е свободен или достъп до него има лице, което има правен интерес.
2. Обработва данни в случаите по чл. 5, ал. 2, т. 4. от ЗЗЛД, а именно: “Обработването се извършва от организация с нестопанска цел, включително с политическа, философска, религиозна или синдикална цел, в хода на законосъобразната й дейност и с подходяща защита, при условие че:
а) обработването е свързано единствено с членовете на тази организация или с лица, които поддържат редовни контакти с нея във връзка с нейните цели;
б) данните не се разкриват на трети лица без съгласието на физическото лице, за което те се отнасят.”

   Въпрос: В кои случаи мога да бъда освободен от задължение за регистрация като администратор на лични данни?
Отговор: Комисията може да освободи от задължение за регистрация администратори на лични данни, които отговарят най-малко на един от следните критерии:
1. Когато администраторът обработва лични данни със съгласието на физическото лице за срок не по-дълъг от шест месеца.
2. Когато данните се обработват в публични регистри на основата на закони, които осигуряват реда за достъп и мерките за защита.
3. Когато администраторът обработва данни, свързани с трудови или членствени правоотношения, и броят на лицата, за които се обработват данните, са не повече от 15.
Освобождаването от задължение за регистрация се извършва по молба от администратора на лични данни, подадена по образец, утвърден от КЗЛД. Такава молба може да бъде подадена само от администратор, който към момента на подаването й не е регистриран в “Регистъра на администраторите на лични данни и водените от тях регистри на лични данни”.
Следва да се има предвид, че критериите за освобождаване от регистрация трябва да са налични по отношение на всички регистри с лични данни на физически лица, които администратора на лични данни обработва.

   Въпрос: Имам ли задължение за регистрация като администратор на лични данни в случаите, когато обработването на лични данни е единствено във връзка с издаването и съхраняването на фактури?
Отговор: Всеки един търговец е задължен да спазва Закона за счетоводството, като в чл. 7, ал. 1 изрично са посочени минимума реквизити, които трябва да съдържа всеки първичен счетоводен документ (фактура). Той трябва да съдържа наименованието, адреса и номера за идентификация по чл. 84 от Данъчно-осигурителния процесуален кодекс (ДОПК) на издателя и получателя. Съгласно чл. 84, ал. 2 от ДОПК идентификацията на физическите лица, които не са вписани в търговския регистър, съответно в регистър БУЛСТАТ, се извършва чрез единния граждански номер или личния номер на чужденец. Единният граждански номер на български гражданин и личният номер на чужденец са лични данни по смисъла на чл. 2, ал. 1 от ЗЗЛД. Съгласно ЗЗЛД всеки, който обработва лични данни под каквато и да било форма по смисъла на § 1, т. 1 от допълнителните разпоредби на Закона за защита на личните данни (ЗЗЛД) и поддържа регистри с информация, съставляваща лични данни, подлежи на регистрация като администратор на лични данни.

   Въпрос: Моята фирма не работи (не извършва дейност). Имам ли задължение за регистрация/актуализация?
Отговор: Прекратяването на търговската дейност на конкретен администратор не го освобождава от задължение за регистрация, в случай че продължи да съхранява или да извършва други действия по обработване на лични данни под която и да било форма по смисъла на § 1, т. 1 от допълнителните разпоредби на Закона за защита на личните данни (ЗЗЛД). Следва да се има предвид нормативно установеното задължение на работодателя, визирано в чл. 42, ал. 1 от Закона за счетоводството, съгласно който счетоводната информация се съхранява в предприятието по реда, предвиден в Закона за Националния архивен фонд, в следните срокове:
1. ведомости за заплати - 50 г.;
2. счетоводни регистри и финансови отчети - 10 г.;
3. документи за данъчен контрол - до 5 г. след изтичане на давностния срок за погасяване на публичното задължение, което удостоверяват тези документи;
4. документи за финансов одит - до извършване на следващ вътрешен одит и одит на Сметната палата;
5. всички останали носители - 3 г.
В случай че към настоящия момент съхранявате информация по горепосочените нормативни изисквания, независимо дали дейността е прекратена или не, то вие поддържате регистри с лични данни и подлежите на регистрация и актуализация в КЗЛД.
В случай че дейността на администратора бъде прекратена, но той продължи да извършва дейност по обработване на лични данни (например съхранение на лични данни), следва да уведоми КЗЛД. Това може да се извърши чрез електронната система еРАЛД или да се подаде Уведомление за промяна или заличаване на данни в регистър “Администратори на лични данни и водените от тях регистри на лични данни”.

   Въпрос: Какво е правното основание за актуализация?
Отговор: Администраторът на лични данни е длъжен да подаде заявление за регистрация в Регистъра на администраторите на лични данни и поддържаните от тях регистри при КЗЛД преди започване обработването на лични данни (чл. 17, ал. 1 от ЗЗЛД). Същият е задължен да поддържа информацията в актуално състояние, като уведомява Комисията за всяка промяна на данните преди нейното извършване (чл. 18, ал. 3 от ЗЗЛД). В случаите, в които такава промяна е предвидена в закон, уведомяването се извършва в 7-дневен срок от влизането в сила на съответния закон.
Всички заявления за регистрация на администратори на лични данни, подадени на хартиен носител, са обработени и въведени в Системата за електронна регистрация на АЛД (еРАЛД). Всяко обработено и въведено в Системата за електронна регистрация заявление е получило входящ номер в “Регистъра на администраторите на лични данни и на водените от тях регистри на лични данни”. Поради направените изменения в Закона за защита на личните данни се наложи да бъдат извършени промени в образеца на заявлението за регистрация и част от данните са променени или липсват в старите образци. Това налага всеки администратор да провери състоянието на подадените от него документи за регистрация в публичната част на системата. В тази връзка следва да ви уведомим, че има взето решение на КЗЛД относно изискването за актуализация на данните в Регистъра на КЗЛД, като е определен срок за извършване на актуализацията - 31.12.2009 г., който впоследствие е удължен до 15.02.2010 г. Всички постъпили в КЗЛД заявления с коректни данни са обработени и вписани с уникален идентификационен номер в “Регистъра на администраторите на лични данни и на водените от тях регистри на лични данни”, а подлежащите на актуализация са вписани в “Списък на Администраторите на лични данни, подлежащи на актуализация”.

   Въпрос: Фирмите, регистрирани при влизане в сила на ЗЗЛД, трябва ли отново да се регистрират във връзка с промените в закона?
Отговор: Администратори на лични данни, които са подали Заявление за регистрация до 14.11.2006 г., подлежат на актуализация. Съгласно чл. 18 ал. 3 от Закона за защита на личните данни администраторите на лични данни уведомяват Комисията за защита на личните данни за всяка промяна на данните, описани в Заявлението за регистрация, преди нейното извършване.

   Въпрос: Задължително ли е определянето на обработващ лични данни и считат ли се за такива счетоводителите, които имат достъп и обработват данните на служителите?
Отговор: Администраторът може да обработва данните сам или чрез възлагане на обработващ данните. Обработващ лични данни е физическо или юридическо лице, държавен орган или орган на местно самоуправление, който обработва лични данни от името на администратора на лични данни. Отношенията между администратора и обработващия лични данни се уреждат с нормативен акт, писмен договор или с друг акт на администратора, в който се определя обемът на задълженията, възложени от администратора на обработващия данните. Относно статута на счетоводителя и по-точно дали той е обработващ лични данни, следва да се вземе под внимание, както правното основание, въз основа на което той обработва лични данни, а така също и отношенията, в които се намира с администратора (трудови, граждански и др.).

   Въпрос: Задължително ли е писменото съгласие на служителите на фирмата за обработване на личните им данни?
Отговор: За да бъде налице законосъобразно основание за обработване на лични данни, следва да е налице поне едно от дадените алтернативно в чл. 4, ал. 1 от ЗЗЛД основания за тяхното обработване, едно от които е изричното съгласие на физическото лице, за което се отнасят данните.