Правно становище относно регистрацията по закона за защита на личните данни
Законът за защита на личните данни беше приет в България като изискване на Европейския съюз, свързано със защитата на човешките права и създаването на обществени механизми, които да не допуснат възникването на дискриминация или фашизоидни тенденции. Това се постига чрез установяване на специални защитни режими по отношение на всяко едно събиране, съхраняване или използване на лични данни, което се осъществява под каквато и да било форма и което би могло да послужи за нежелателни форми на насилие, дискриминация, фашизъм.
„Лични данни“ са всякакви сведения за лице или група от лица, които могат да посочат самоличност, местоживеене, раса, произход, имотно състояние, здравен статус, религия, политически убеждения, профсъюзно членство, сексуална ориентация и други. Лични данни са името, адресът, телефонът, професията, здравното състояние, членството в различни видове организации, биометричните данни, генетичният материал, възгледите, вярата, убежденията, националността и други.
Съгласно чл.17, ал.1 от ЗЗЛД Администраторът на лични данни е длъжен да подаде заявление за регистрация преди започване обработването на лични данни.
Администраторът на лични данни е задължен да поддържа информацията от заявлението за първоначална регистрация в актуално състояние и да уведомява Комисията за всяка промяна на първоначално подадените данни.
В срок до 15.02.2010г. всеки администратор на лични данни, подал заявление на хартиен носител, трябва да провери състоянието на заявлението и при необходимост да актуализира данните в него. Проверката за необходимост от актуализация се извършва по Булстат на администратора на лични данни в сайта на КЗЛД: www.cpdp.bg, в „Списък на Администраторите на лични данни, подлежащи на актуализиция”.
Администраторът на лични данни или негов представител е длъжен да подаде заявление за регистрация и документи по образец, утвърден от Комисията.
ЗАЯВЛЕНИЕТО за регистрация на администратор на лични данни се състои от две части:
ЧАСТ І: ДАННИ ЗА АДМИНИСТРАТОРА
В ЧАСТ І се попълват данни, които идентифицират администратора на лични данни, както и координати за контакт с КЗЛД. Администраторът на лични данни, в зависимост от правноорганизационната си форма, избира една от четирите форми на ЧАСТ І ДАННИ ЗА АДМИНИСТРАТОРА:
-Заявление за регистрация на физическо лице;
-Заявление за регистрация на физическо лице-представител;
-Заявление за регистрация на юридическо лице;
-Заявление за регистрация на държавен орган или орган на местното самоуправление.
ЧАСТ ІI ОПИСАНИЕ НА РЕГИСТЪРА:
В ЧАСТ ІІ се описва съдържанието на всеки един от водените регистри. Всеки администратор на лични данни, в зависимост от организацията на дейността си, декларира толкова регистри с лични данни, колкото обработва. Наименованията, съдържанието и начина на обработване на данните във всеки регистър се определят от администратора на лични данни.
- ИМП следва да заявят в КЗЛД „Регистър пациенти”, който обединява всички данни за всички пациенти, обслужвани от тях. Не е необходимо да се заявяват няколко регистъра за пациентите, изхождайки от изискваните от НЗОК регистри. Те са различни от този, подаван в КЗЛД, който е един за всички пациенти.
Следва да се заяви и „Регистър на персонала”, ако имате наети лица по граждански или трудов договор.
Заявяването на друг тип регистри е в пряка зависимост от пряката организация на дейността.
Със ЗЗЛД се предвиждат санкции в сериозни размери: от 10'000 до 100'000 лева – при неправилен подбор, съхраняване или използване на личните данни; от 2'000 до 20'000 лева – при неправилно информиране на лицата, за които данните се отнасят; от 1'000 до 20'000 лева – при неправилно извършване на регистрация пред КЗЛД; от 1'000 до 10'000 лева – при събиране на лични данни (трудови досиета, клиентски досиета, досиета на пациенти и други) преди да е извършена регистрация пред КЗЛД (след крайния срок от 20.02.2010 г.); от 500 до 5'000 лева за всяко друго нарушение по ЗЗЛД.
В зависимост от определеното от дейността на администратора на лични данни ниво на сигурност, той е длъжен да изготви Вътрешни инструкции за сигурност на информацията в Регистрите за лични данни и други
Високото ниво на сигурност за Регистри с лични данни се свързва с няколко групи от мерки – юридически, организационни и технически, на които ще се спрем накратко.
1.Юридически мерки
Като цяло тази група мерки се обхваща от следните нормативни документи: Закон за защита на личните данни, Наредба №1 от 07.02.2007 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, Вътрешни инструкции за сигурност на информацията в Регистрите за лични данни и други, които Администраторът на лични данни следва да съобрази или да изготви сам за своята дейност.
2.Организационни мерки
На първо място, Администраторът на лични данни трябва да осигури изготвянето на Вътрешна инструкция за сигурността на информацията в Регистрите за лични данни, които се събират и съхраняват при него. Това е документ, в който се разписват стриктните регламенти, по които Администраторът и неговите служители ще работят при обичайни и извънредни ситуации. На второ място, Администраторът следва да назначи Лице по защитата на личните данни, което ще бъде отговорно за спазване на Вътрешната инструкция и ще поддържа пряко системата от мерки за сигурност. И на трето място, трябва да бъде изградена самата система за сигурност на Регистрите с лични данни, което включва реорганизиране на документооборота и начина на работа в предприятието в посока на посочените по-долу особености (приведени в съответствие с Високо ниво на сигурност).
3.Технически мерки
Техническите мерки за осигуряване необходимото ниво на защита на Регистрите с лични данни се групират в две области: хардуерна (в широкия смисъл на думата) и софтуерна.