Защо почти всеки гражданин може да бъде глобен във връзка със ЗЗЛД

Проблемът със Закона за защита на личните данни е, че дефинира що е то лични данни твърде широко и въвежда задължението всеки, който "обработва" лични данни да подаде заявление за регистрация като администратор на лични данни в някакъв срок преди да започне да ги "обработва".

И сега - изненада. Това е поредния закон, в който думите имат предефинирани значения.

Да "обработваш" лични данни всъщност означава да ги съхраняваш - т.е. ако у вас имаш бумаги, на които са написани някакви лични данни това значи, че ти ги "обработваш".

Невнимателния читател сега ще каже - ама аз никакви данни не съхранявам, нито "обработвам" по смисъла на закона.

Грешка.

Почти всеки гражданин е подписвал поне един договор в живота си и го съхранява някъде (ако не го е затрил). Например договор с банка. Договор за наем. Договор с инвестиционен посредник. Договор за застраховка. Договор за Интернет. Договор за телевизия. Договор за мобилен телефон.

В тези договори много често има лични данни. Забелязал съм, че някои банки избягват да пишат лични данни (на техните служители) - в тях няма ЕГН, изписват се само двете имена на служителя, изписва се само първата буква от името и фамилията, не се изписва името изобщо (само подпис).

При договор между две физически лица няма начин всичките им лични данни да не се напишат (например договор за наем).

И така, ако имате някакъв договор от гореизброените (няма значение, че сте го хвърлили веднага след напускане на банката - щом е бил в ръката ви без преди това да сте подали заявление за регистрация като администратор на лични данни - значи сте закононарушители).

Това, че същите тези лични данни ги има в Търговския регистър не ви оправдава - вие сте си все същите абсолютни престъпници, независимо дали личните данни, които "обработвате" ги има публикувани или не.

Внимателно прочетох изключенията в Закона за защитата на личните данни - няма изключение, което да ви дава право да не подадете заявление преди да започнете да "обработвате" лични данни.

Ще се радвам, ако някой успее да ме опровергае. Обаче едва ли това ще стане.

И най-забавното - когато се регистрирате (или не се регистрирате!) Комисията за защита на личните данни така хубаво ще ви защити личните данни - ще бъдат публикувани в публичен регистър за да може всеки, който пожелае да ви ги види. (Ако вече личните ви данни ги има публикувани в Търговския регистър или в друг публичен регистър - това не е проблем. Например всички регистрирани по ДДС ги има достъпни онлайн - само трябва да им се налучка ЕГН-то и трите им имена и адрес излизат.)

ЗАКОН ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

Чл. 17. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) (1) Администраторът на лични данни е длъжен да подаде заявление за регистрация преди започване обработването на лични данни.
(2) В 14-дневен срок от подаване на заявлението комисията вписва администратора на лични данни в регистъра по чл. 10, ал. 1, т. 2.
(3) Администраторът може да започне обработване на данните след подаване на заявлението за регистрация.
(4) (Нова - ДВ, бр. 81 от 2011 г.) Преди преустановяване на обработването на лични данни администраторът подава заявление за заличаването му от регистъра по чл. 10, ал. 1, т. 2.
(5) (Нова - ДВ, бр. 81 от 2011 г.) Със заявлението по ал. 4 администраторът е длъжен да предостави на комисията доказателства за изпълнение на задълженията си по чл. 25, ал. 1.
(6) (Нова - ДВ, бр. 81 от 2011 г.) Условията и редът за заличаването на администратора от регистъра по чл. 10, ал. 1, т. 2 се уреждат с правилника по чл. 9, ал. 2.

Увеличете...

Чл. 42. (Изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 81 от 2011 г.) За нарушения по чл. 2, ал. 2 и ал. 3 и чл. 4 администраторът на лични данни се наказва с глоба или с имуществена санкция от 10 000 до 100 000 лв.
(2) За нарушения по чл. 5 администраторът се наказва с глоба или с имуществена санкция от 10 000 до 100 000 лв.
(3) (Изм. - ДВ, бр. 91 от 2006 г.) За нарушения по чл. 19, ал. 1 и чл. 20, ал. 1 администраторът се наказва с глоба или с имуществена санкция от 2000 до 20 000 лв.
(4) Администратор, който не изпълни задължението си за регистрация по чл. 17, ал. 1, се наказва с глоба или с имуществена санкция от 1000 до 10 000 лв.
(5) (Нова - ДВ, бр. 91 от 2006 г.) Администратор, който започне обработване на лични данни в нарушение на чл. 17б, ал. 4, се наказва с глоба или с имуществена санкция в размер от 2000 до 20 000 лв.
(6) (Нова - ДВ, бр. 91 от 2006 г.) Администратор, който не изпълни задълженията си по чл. 22, ал. 1 и 2, се наказва с глоба или с имуществена санкция в размер от 2000 до 20 000 лв.
(7) (Предишна ал. 5 - ДВ, бр. 91 от 2006 г.) Администратор, който не се произнесе в срок по заявление по чл. 29, се наказва с глоба или с имуществена санкция от 1000 до 20 000 лв., ако не подлежи на по-тежко наказание.
(8) (Предишна ал. 6 - ДВ, бр. 91 от 2006 г.) За отказ от съдействие на комисията във връзка с контролните й правомощия лицата се наказват с глоба или с имуществена санкция от 1000 до 10 000 лв.
(9) (Предишна ал. 7 - ДВ, бр. 91 от 2006 г.) За други нарушения по този закон виновните лица се наказват с глоба или с имуществена санкция от 500 до 5000 лв.

Увеличете...

Честито на печелившите!

Който казва нещо, което не се харесва на хората с власт - да очаква да му дойдат на проверка дали "обработва" лични данни и да го глобят (в допълнение към проверка от НАП). А който има и българска фирма...

От: Защо почти всеки гражданин може да бъде глобен във връзка със ЗЗЛД

Такава тъпотия не бях чел скоро...

Администратор на лични данни се става само по задание. Т.е., ако си фирма или изпълняваш някаква дейност (като СОЛ например) трябва да си регистриран, но ако си клиент физическо лице и някой си напише данните в някаква банка, то ти не ги "обработваш".

Не го мисли това, дерзай и не публикувай лични данни на клиентите ти и така...

От: Защо почти всеки гражданин може да бъде глобен във връзка със ЗЗЛД

Хайде сега го докажи като ми цитираш съответните членове на закона. То е много лесно така да се говори.

И аз мога да кажа - законът не важи за обикновените граждани, само за фирмите и СОЛ. Ама закона не прави разлика между физическо и юридическо лице, между клиент и доставчик на стока или услуга.

Четох закона внимателно и не видях да има изключения, които да оневиняват клиентите на инвестиционни посредници и наематели/наемодатели, които имат личните данни на другата страна по договора, написани в договора.

Думата „задание“ я няма в закона.

Има един бъг в мисленето (cognitive bias) - подсъзнанието „запълва празнините“ (подобно на оптичните илюзии) и човек е свръхуверен за грешната информация, с която са „запълнени белите петна“.

Надявам се да греша, обаче четох закона внимателно и не видях изключение. Ако наистина има такова - посочи го.

Чл. 3. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Администратор на лични данни, наричан по-нататък "администратор", е физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на личните данни.
(2) (Нова - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Администратор е и физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон. В тези случаи администраторът или специфичните критерии за неговото определяне са нормативно уредени.
(3) (Предишна ал. 2 - ДВ, бр. 103 от 2005 г.) Администраторът на лични данни обработва личните данни самостоятелно или чрез възлагане на обработващ данните.
(4) (Нова - ДВ, бр. 103 от 2005 г.) Администраторът осигурява спазването на изискванията на чл. 2, ал. 2.

Увеличете...

Физическото лице, което е клиент на ИП, банка, застрахователно дружество, или което е наемател/наемодател, определя ли целите и средствата за обработване на личните данни само или съвместно с друго лице?

Ако се отговори убедително и аргументирано на въпроса с „не“ може и да се спасите от глоба. Обаче трябва да го обосновете правилно. В закона не пише какво значи „сам или съвместно с друго лице определя целите и средствата за обработване на личните данни“, така че е въпрос на тълкуване.

Ако си избрал сам в кой шкаф да навреш бумагата, съдържаща лични данни - значи сам определяш средствата за обработването. Обаче в закона пише "целите и средствата". Сам ли определяш целите? Или съвместно с друго лице? Ако доброволно си решил да сключиш договора - значи целта е ясна - сам си я определил.

От: Защо почти всеки гражданин може да бъде глобен във връзка със ЗЗЛД

happyslacker каза:

Внимателно прочетох изключенията в Закона за защитата на личните данни - няма изключение, което да ви дава право да не подадете заявление преди да започнете да "обработвате" лични данни.

Увеличете...

Къде изобщо пише в закона, че трябва да се регистрирам като такъв?

От: Защо почти всеки гражданин може да бъде глобен във връзка със ЗЗЛД

Тук пише, че ако обработваш лични данни ("обработване" включва и просто съхраняването на данните на хартия) си администратор:

Чл. 3. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Администратор на лични данни, наричан по-нататък "администратор", е физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на личните данни.
(2) (Нова - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Администратор е и физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон. В тези случаи администраторът или специфичните критерии за неговото определяне са нормативно уредени.
(3) (Предишна ал. 2 - ДВ, бр. 103 от 2005 г.) Администраторът на лични данни обработва личните данни самостоятелно или чрез възлагане на обработващ данните.
(4) (Нова - ДВ, бр. 103 от 2005 г.) Администраторът осигурява спазването на изискванията на чл. 2, ал. 2.

Увеличете...

Тук пише, че трябва да се регистрираш:

Чл. 17. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) (1) Администраторът на лични данни е длъжен да подаде заявление за регистрация преди започване обработването на лични данни.

Увеличете...

От: Защо почти всеки гражданин може да бъде глобен във връзка със ЗЗЛД

Не съм сигурен в определенията от този член. Първата точка не касае описания случай от теб горе, втората точка ми се струва, че е за по-специфични случаи.
Предавам се.

От: Защо почти всеки гражданин може да бъде глобен във връзка със ЗЗЛД

Ти като си физическо лице не обработваш данни. Обработването на данни е съхраняването им с определена цел, определена от предмета ти на дейност. Ти като физическо лице дейност нямаш. Ако си сол, ет и нагоре вече имаш и припкаш при тези да се регистрираш. Те ще ти откажат регистрация, ако кажеш "абе тука трябва да подпиша един договор за изработка на кухня и тоя ще си напише името във фактурата и ме е страх"...

От: Защо почти всеки гражданин може да бъде глобен във връзка със ЗЗЛД

Всеки договор се сключва между поне две страни. - сделки с движими и недвижими имоти включително. В тях се вписват задължително страните на договора и личните им данни. Тоест според първия пост всеки, който има някакво имущество може да бъде глобен по ЗЗЛД

Чл. 1. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Този закон урежда защитата на правата на физическите лица при обработването на личните им данни.
(2) Целта на закона е гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.
(3) (Нова - ДВ, бр. 91 от 2006 г.) Този закон се прилага за обработването на лични данни със:
1. автоматични средства;
2. неавтоматични средства, когато тези данни съставляват или са предназначени да съставляват част от регистър.

Увеличете...

От: Защо почти всеки гражданин може да бъде глобен във връзка със ЗЗЛД

the.rampage.rado каза:

Ти като си физическо лице не обработваш данни. Обработването на данни е съхраняването им с определена цел, определена от предмета ти на дейност.

Увеличете...

Това не е вярно, защото не го пише в закона. В закона пише:

Чл. 3. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Администратор на лични данни, наричан по-нататък "администратор", е физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на личните данни.
(2) (Нова - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Администратор е и физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон. В тези случаи администраторът или специфичните критерии за неговото определяне са нормативно уредени.

Увеличете...

§ 1. По смисъла на този закон:
1. (изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) "Обработване на лични данни" е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.

Увеличете...

Къде видя да пише, че целта, трябва да е определена от предмета ти на дейност? Целта може да е всякаква - например ти съхраняваш копие от договора с цел да може да докажеш, че имаш договор с банката (или с когото там си го сключил), ако нещо стане. Щото си параноичен и се страхуваш, че Слънцето ще изригне и ще унищожи всичката електроника (и заедно с нея - записите, че имаш договор с лицето). Целта ти си я избрал, средствата (да съхраняваш бумагите в огнеупорен сейф) - също.

Дейността ти може да е да си губиш времето в писане по форуми. Може да пишеш книга за абсурдите на българската бюрокрация. Може да броиш мухите, прелитащи около полилея. Тя няма значение. Няма законови изисквания (според този закон) каква дейност може и не може да извършваш.

the.rampage.rado каза:

Ти като физическо лице дейност нямаш.Ако си сол, ет и нагоре вече имаш и припкаш при тези да се регистрираш.

Увеличете...

Къде в закона пише, че трябва да си СОЛ или ЕТ (ако си физическо лице)? Никъде. Ти си представяш логиката (или духа) на закона, а законът няма логика или тя няма значение - важно е какво пише черно на бяло.

the.rampage.rado каза:

Те ще ти откажат регистрация, ако кажеш "абе тука трябва да подпиша един договор за изработка на кухня и тоя ще си напише името във фактурата и ме е страх"...

Увеличете...

И ще те впишат в публичния регистър на тези, на които им е отказана регистрация. Личните ти данни ще бъдат така защитени, че ще бъдат публикувани в още един регистър.