Счетоводна фирма съхранява и обработва документи с лични данни, / съдържащи ЕГН (като лични карти), както и ЛНЧ на чужди граждани.
След влизане в сила на новия Регламент за защита на личните данни на 25.05.2018 г. как може да се съхраняват тези документи? Ако след тази дата не е възможно да се съхраняват, по какъв начин трябва да е организирано боравенето с информацията от тях и съхранението им?

 

Новият Регламент за защита на данните (Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО), който започна да се прилага от 25 май 2018 г., не променя основните принципи при обработването на личните данни, от които изхождаше и досега действалото законодателство. Водещата идея е обработваните данни да се минимизират и да се ограничат само до необходимото за постигането на целите, с които тези данни са събрани. Запазват се и условията за законосъобразност на обработването (съгласие на титуляря на данните; обработване за изпълнението на правата и задълженията по договор; обработване за изпълнение на норма- тивноустановено задължение на администратора и т.н.). Разликата е в това, че режимът става по-строг, в смисъл, че се въвеждат допълнителни правни гаранции за повишаване на техническите и организационни мерки за защитата на данните. Принципът на отчетност изисква във всеки един момент администраторът или обработващият да са в състояние да докажат съответствието си с правилата на Регламента – наличие на условие за законосъобразност на обработването, подходящи мерки за защита на данните и т.н.
С оглед изложеното, няма основание след 25 май 2018 г. една счетоводна, юридическа кантора или всяка друга организация, обработваща лични данни на физически лица, да преустанови дейностите по обработване, стига да са налице предпоставките за това и достатъчно гаранции за сигурността на данните. Очевидно, за да изпълнява договорните си задължения, счетоводната къща следва да разполага с информация за физическите лица, на които се изплащат възнаграждения, удържат се данъци и осигурителни вноски и т.н. Следва да се прецени обаче дали наличната информация не надхвърля целите на обработването и дали те могат да се постигнат с по-малко данни. Без съмнение ЕГН на физическото лице (ЛНЧ като идентификатор на чужденеца) ще са необходими за целите на счетоводното обслужване, но само по себе си това не оправдава копирането (сканирането) на издадените на лицето документи за самоличност. При липса на нормативно основание за съхраняване на копия от такива документи обработването на данните в тях следва да се ограничи до записване на необходимата информация, без да се задържа копие от самия документ.
Към базите данни с информация за физически лица следва да се приложат адекватни технически и организационни мерки за защита, които да намалят риска от пробив в сигурността и нерегламентиран достъп до информацията (ИТ мерки за сигурност, ограничаване на достъпа до помещения, в които се събират и обработват данните, провеждане на обучения на лицата, които обработват данните и т.н.).