Личните данни на кандидати за работа ще се пазят най-много 6 месеца. Промените в ЗЗЛД са факт
Медицинските свидетелства, оригиналите на дипломи и удостоверения за стаж ще се връщат на неназначените
Личните данни, събрани в процедура по подбор на персонал, може да се пазят най-много 6 месеца. Като всеки работодател определя срок за съхранението им, след изтичането на който ги изтрива или унищожава. Това е само едно от новите правила, с които трябва да се съобразява бизнесът след влизането в сила на мащабните промени в Закона за защита на личните данни (ЗЗЛД). Днес те бяха обнародвани в Държавен вестник и ще станат задължителни след 3 дни – 9 месеца след влизането в сила на Общия регламент за защита на данните, с чието приложение са свързани.
ЗЗЛД (чл. 25к) вече предвижда, че ако работодател, който е търсил служители, е изискал от кандидатите оригинали или нотариално заверени копия на „документи, които удостоверяват физическа и психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност“, трябва да ги върне на гражданина до 6 месе;6ца след приключването на процедурата по подбор на персонала.
Фирмите, които са администратори на лични данни, вече са задължени да „прилагат подходящи технически и организационни мерки, за да гарантират и да са в състояние да докажат, че обработването се извършва в съответствие със ЗЗЛД“, предвижда чл. 59 от закона. Тези мерки трябва да отчитат „естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица“. Те може да включват псевдонимизация, свеждане на данните до минимум и въвеждане на необходими гаранции в процеса на обработване на лични данни.
Като според ЗЗЛД с тези мерки администраторът гарантира, че по подразбиране се обработват само лични данни, които са необходими за конкретна цел. „Това задължение се отнася до обема на събраните лични данни, степента на обработването, срока на съхраняването им и тяхната достъпност. Чрез тези мерки се гарантира, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица“, предвижда още законът.
Ако пък гражданин поиска информация за данните му, които се обработват, тя трябва да му бъде предоставена в „сбита, разбираема и леснодостъпна форма, като използва ясен и прост език“ (чл. 53). Администраторът има два месеца да отговори на субекта на данните или да го информира писмено за действията, предприети във връзка с неговото искане. Срокът може да се удължи с още един месец, когато това се налага заради сложността или броя на исканията.
Правилото е, че цялата кореспонденция във връзка с личните данни и действията, които са предприети по искане на гражданина за защита на информацията за него, са безплатни. И все пак ЗЗЛД предвижда, че когато „исканията от даден субект на данни са очевидно неоснователни или прекомерни, по-специално поради своята повторяемост“, администраторът може да начисли такса или да откаже да предприеме действия по искането. Размерът на таксата трябва да е съобразен с административните разходи за предоставяне на информация, кореспонденция или за предприемане на действия по искането. Тук обаче администраторът носи тежестта на доказване на очевидно неоснователния или прекомерен характер на искането.
Фирмите, които искат, може да си назначат длъжностно лице по защита на данните (data protection officer – DPO). Като трябва да заявяват това в Комисията за защита на личните данни (КЗЛД), която ще води регистър на администраторите и обработващите лични данни, които са определили DPO.
Комисията ще провежда обучения и ще издава сертификати за длъжностни лица по защита на данните, те обаче не са задължителни, за да бъде назначен някой за DPO. Законовите критерии за назначаване на DPO са „неговите професионални качества“ и по-специално „експертните му познания по законодателството и практиките в областта на защитата на личните данни и способността му да изпълнява задачите си“. Обученията на КЗЛД ще са платени, а сертификатът за тях ще се получава след изпит и ще важи 3 години. След изтичането му отново ще се държи изпит.
Законът оставя два много важни въпроса, свързани с пълноценното приложение на Общия регламент за защита на данните, да бъдат уредени с наредби на Комисията за защита на личните данни.
Първият е свързан с т. нар. сертифициране по GDPR, т.е. че даден;а фирма отговаря на изискванията и спазва регламента (GDPR compliance). ЗЗЛД посочва, че критериите, механизмите и процедурите за сертифициране, печати и маркировки се определят с наредба, а тя трябва да бъде приета до една година. На какви условия трябва да отговарят организациите, които искат да издават такива сертификати, също ще бъде определено с наредба от КЗЛД. Те се наричат сертифициращи органи и ще бъдат акредитирани от комисията.
Другият въпрос, който трябва да бъде уреден с подзаконов нормативен акт, е свързан с т. нар. кодекси за поведение. Това са общи правила за защита на данните, които ще важат за цели сектори или области на бизнеса. Как обаче ще бъдат одобрявани те, ще стане ясно след като КЗЛД приеме новия си правилник. Законът предвижда, че ще има „органи за наблюдение на одобрени кодекси за поведение“, как ще се акредитират те ще бъде определено в друга наредба, която трябва да бъде написана до една година.
След влизането в сила на промените в ЗЗЛД всички жалби, искания и сигнали, свързани с личните данни и съдебната власт, вече няма да се изпращат до комисията, а до Инспектората към Висшия съдебен съвет (повече за новите правила виж тук). Той, както и КЗЛД, ще имат право да налагат санкциите за нарушения на GDPR, които достигат до 20 млн. евро. Нещо повече – законът предвижда, че сумите от глобите ще постъпват в бюджета на комисията, ако ги е наложила тя и в този на съдебната власт, ако са постановени от ИВСС.
6
Коментирайте
Дори и този срок е дълъг. Излишна бумащина.
А само тя да беше. Сега ще се навъдят граждани, които ще искат информация за данните, които се обработват.
Тази статия трябва да я прочетат всички лелки от „Личен състав“, които си я карат по соцманиер и събират данни и документи за тяхна собствена сигурност, защото не знаят друго. Ама времената са други.
Кучето този път е заровено в сертифициращите огранизации и т.нар. марки за compliance. Това е лобистка борба в целия ЕС, защото е бъдещето на бизнеса с GDPR. Който сертифицира, той ще обере парите.
У нас ще стане като с обществените поръчки – критериите за сертифициращите ще се пишат като за наши хора срещу съответния процент. Дано да не съм прав, ама надали.
С тия яки глоби комисията ще си напълни касичката. Да му мислят малките фирми.