Публикувано на: 2018-06-03

1. Основни моменти в регламента

Какво е GDPR**?**

От 25 май влезе в сила Общ регламент за защита на личните данни (GDPR) приложим във всички държави-членки на ЕС. Основната цел на регламента е изграждане на единна законова рамка по отношение на правилата за защита на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано.

Какво са данни според GDPR?

Личните данни са данни от всякакво естество, които сами или в съвкупност с други данни могат да доведат до еднозначна идентификация на конкретно физическо лице. Това могат да бъдат:

  • обикновени лични данни – имена, адрес, електронна поща, IP адрес и т.н.;
  • единен граждански номер;
  • специални (чувствителни) лични данни – данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни, биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация.

Категории физически лица, за които се обработват данни

Всяка организация обработва лични данни за различни категории физически лица. Най-често се обработват данни за:

  • Персонал - наетите във фирмата лица, кандидати за работа.
  • Контрагентите – доставчици, клиенти, наемодатели, наематели и др.

Правни основания

В регламента са посочени следните правни основания за обработване на лични данни:

  • съгласие – съгласието и отеглянето от съгласие трябва да бъдат изразени сбободно, конкретно, информирано и недвусмислено чрез писмена декларация, включително по електронен път, или устна декларация;
  • сключване или изпълнение на договор – точно и ясно дефинирани целите, за които се използват данните;
  • законово задължение за администратора – съхняването и използването на информация е регламентирано в закон;
  • защита на жизненоважни интереси на субекта на данните или на друго физическо лице;
  • изпълнение на задача от обществен интерес или упражняването на официални правомощия, предоставени на администратора;
  • легитимни интереси на администратора или на трета страна, когато същите имат преимущество над интересите или основните права и свободи на субекта на данните (неприложимо за публични органи).

Администратор и обработващ личните данни

Администратор на лични данни съгласно Регламент (ЕС) 2016/679 е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.

Обработващ личните данни е физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора

Едно лице може да съвместява и извършва едновременно дейности и като администратор, и като обработващ лични данни.

Сигурност на данните

Администраторът и обработващият лични данни следва да прилагат подходящи технически и организационни мерки за осигуряване на съобразено с нивото на риск ниво на сигурност. Някои от методите посочени в GDPR са псевдонимизация и криптиране на личните данни.

2. Плюс Минус като администратор и обработващ лични данни

Плюс Минус като администратор на лични данни прилага следните изисквания за спазване на принципите на регламента:

  • Публично представяне на това какви данни се използват и каква е целта на тяхното използване;
  • Ясно и точно изявление къде и колко време се съхранява информацията;
  • Изискване на съгласие от страна на субектите притежатели на лични данни за използване на личните данни от Плюс Минус, включително и от трети страни;
  • Публично представяне на всички регионални представители на програмата и други компании, с които биват обменяни личните данни;
  • Предоставяне на възможност за проверка, промяна и изтриване на данните по желание на физическото лице; възможност за възползване от правото да бъде забравено.

Плюс Минус обработва личните данни на своите клиенти с цел да предостави софтуерните си продукти, както и да извърши услуги във връзка с използването им.

Какви данни използваме ние?

При събиране на личните данни на физическите лица Плюс Минус се води от основните принципи, въведени като задължителни при обработването на лични данни: законосъобразност, добросъвестност и прозрачност, целесъобразност и точност, пропорционалност, отчетност, цялостност и поверителност.

За предоставяне на софтуерните си продукти и услуги заявени от клиентите си Плюс Минус събира следните данни:

  • Трите имена, ЕГН / ЛНЧ и адрес за кореспонденция - правното основание за събиране на тези данни е законово задължение на администратора при издаване на фактури;
  • Телефон и имейл – след писменно съгласие на физическото лице носител на данните. Целта на използваната е информация е предоставяне на качествено обслужване на клиентите по въпроси, отнасящи се до закупените програмни продукти.
  • IBAN – при извършване на плащания към Плюс Минус за предоставени продукти и услуги;
  • данни представяни чрез интернет страницата на Плюс Минус - за регистрация на сайта plusminus.com се изискват потребителско име и имейл. Регистрация на сайта е необходима единствено за ползване на рубрика Въпроси и отговори в качеството на задаващ или отговарящ на въпрос.

Къде съхраняваме информацията

Защитата на личните данни на всяко физическо лице е от изключителна важност за Плюс Минус затова личните данни се съхраняват при нас съобразно целта, за която са събрани. Информацията се съхранява на собствен сървър като данните са криптирани и достъп до тях имат само обработващият личните данни и лицата, действащи под ръководството на администратора на лични данни.

Колко време съхраняваме информацията

Информацията се съхранява добросъвестно и съобразно законовите изисквания за съхраняване на счетоводна информация.

Счетоводните регистри и финансови отчети, включително документи за данъчен контрол, одит и последващи финансови инспекции се съхраняват 10 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят.

На кого се разкриват личните данни извън организацията

Събраните лични данни Плюс Минус предоставя на трети лица с цел качествено и бързо обслужване при извършване на търговската си дейност. Всички организации, на които се предоставят данните са предварително проверени от Плюс Минус. Отговорността за защитата на предоставените данни се носи от фирма Плюс Минус.

Обработващи лични данни от името на Плюс Минус са:

  • Държавни институции и органи, на които фирма Плюс Минус е длъжна да предостави лични данни по силата на действащото законодателство;
  • Регионални дилъри на Плюс Минус, които действат като представители на дружеството, при предлагането и продажбата на продукти и услуги; за инсталация или поддръжка за предоставяне на услугата;
  • пощенски и куриерски оператори, с оглед изпращане на пратки, съдържащи договори и други документи за които е необходимо удостоверяване на самоличността при връчването им.

Личните данни могат да бъдат предоствени и на трети страни в случай, че:

  • Физическото лице е дало изрично съгласие за това;
  • При наличие на разрешение от Комисията за защита на личните данни;
  • При обстоятелства предвидени в закон, както и по искане на съда или на разследващи органи (органите на полицията, следствието, прокуратурата), а също и когато бъдат поискани от други държавни органи, когато е разрешено от закона.
  • При възникване на проблеми от обществена значимост и за целите на националната сигурност.

Какви права имат субектите на данни

Съгласно GDPR субектите, чиито данни биват използвани от Плюс Минус имат следните права:

Право на достъп до личните данни: контрагентите имат право да получат потвърждение от нас дали се обработват лични данни и, ако случаят е такъв, имат право на достъп до личните данни и информация.

Право на поправка на лични данни: ако контрагентите открият, че личните данни, които обработваме, са неточни, те имат право да ни накарат да коригираме тези лични данни.

Правото да бъдат забравени: при наличие на конкретно основание като например, ако личните данни са обработени незаконно, личните данни могат да бъдат изтрити.

Право на ограничаване на обработването: при определени обстоятелства, като например при  съмнение в точността на личните данни контрагента има право да поиска да ограничим обработката на лични данни, докато не бъде намерено решение.

Право на възражение срещу обработването: при определени обстоятелства, като например  при съмнение в легитимния ни интерес на обработване на лични данни, контрагента има право да възрази по съображения, свързани с конкретната ситуация, срещу подобно обработване.

Право на подаване на жалба в контролен орган: контрагентите имат право да подадат жалба по отношение на обработката на личните данни от нас в съответния контролен орган.

3. Плюс Минус като разработчик на ERP система и CRM система

Плюс Минус предлага софтуерни продукти, в които се въвеждат и обработват лични данни за следните физически лица - наети лица във фирмата и контрагенти.

Как защитаваме базата на клиентите

Базата данни, с която оперира програмния продукт Плюс Минус е криптирана. Достъп до въведената информация може да бъде осигурен в офис на Плюс Минус или при въвеждане на точно име и парола на потребител на програмата. В тази връзка е необходимо ползвателите на счетовния софтуер да задават силни пароли на служителите използващи програмата както и при необходимост да задават права на достъп до данните в програмата.      Отговорност на фирмите е да съхраняват и да не допускат свободно изнасяне на архивите на програмата.

За допълнителна сигурност могат да се задават права на достъп над инсталационни папката на програмата на потребителите под Windows.

Данни съхранявани в модул ТРЗ и Личен състав

В модул ТРЗ и ЛС на програмен продукт Плюс Минус се съхняват данни за идентификация на физическите лица, документи във връзка с правоотношението, в което се намират лицата с фирмата, данни за начисления и удръжки.

Данните за идентификация на физическите лица се въвеждат в личния картон на служителя. Личните данни събирани в картона са следните:

Име, ЕГН, адрес, основна заплата – попълването на данните е задължително. Основанието за съхраняване на информацията е законосъобразно във връзка с подаване на данни към съответните инсттуции (Национална агенция за приходите, Национален осигурителен институт и др.);

Номер на лична карта, издадена на, издадена от, образование, имейл – полета не са задължителни за попълване. Данните следва да се попълват при наличие на правно основание за тяхното събиране.

Инвалид – отметката следва да се отбелязва във връзка с чл. 18 от ЗДДФЛ като писмено се декларира от физическото лице за наличие на обстоятелството.

Пенсионер – отметката следва да се отбелязва във възка с изпълнението на чл. 4, ал. 6 от КСО след писмено деклариране на обстоятелството.

Пол – това поле се използва за целите на попълването на отчетите изисквани от Националния статистически институт. Законовите рамки на регламента не се прилагат по отношение на анонимна информация включително за статистически или изследователски цели. В този смисъл данните, които се събират за отчетите на НСИ не са обект на защита.

IBAN – полето не е задължително и се попълва след попълнена декларация за съгласие за предоставяне на банковата сметка.

В софтуер за заплати Плюс Минус във връзка с възникването, съществуването и прекратяването на трудовото правоотношение на лицата се създават и съхраняват следните документи:

  • Трудов договор; Допълнително споразумение; Заповед за прекратяване на трудовото правоотношение, Граждански договор, Договор за управление;
  • заповеди за разрешаване или не на ползването на различни видове отпуски; заявления на работника или служителя за ползване на различни видове отпуски;
  • документи за парични обезщетения и помощи от ДОО и др.

Личните данни съдържащи се в документите, които не се изискват по силата на закон следва да бъдат използвани след съгласие на физическото лице за обработване на данните.

В Кодекс на труда не са уредени сроковете за съхранение на различните видове документи, част от личното трудово досие на работника или служителя.

Данните за начисленията и удръжките във Ведомости за заплати следва да съхраняват 50 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят.

По отношение изпълнението на правата на физическите лица въведените данни могат да бъдат променяни, допълвани и изтривани.

След изтичане на законоустановения срок данните следва да бъдат унищожени.

Лични данни събирани в счетоводен софтуер и складов софтуер Плюс Минус

Основните данни събирани в тези модули са:

  • имена, ЕГН / ЛНЧ , адрес за кореспонденция – данни събирани във връзка с издаването на данъчни документи (например: фактури), използването на които е регламентирано от закон;
  • Телефон, Факс, имейл, IBAN и др.– това са данни събирани след съгласие за обработка от страна на лицето или възникващи за изпълнение на договорното правоотношение.

В Плюс Минус тези данни се въвеждат в екран Аналитични признаци като значения на основните параметри към наименованията на контрагентите. Данните за въведените в програмата документи се съхраняват в програмата в екран Осчетоводени документи.

С оглед спазване на изискванията на регламента събираната инфомация може да бъдат променяна, допълвана и изтривана.

Всеки потребител на програмния продукт следва сам да определи необходимостта и целите за събиране и съхраняване на информацията.

Съгласно изискванията на Закона за счетоводството информацията следва да съхранява в следните срокове:

Счетоводни регистри и финансови отчети, включително документи за данъчен контрол, одит и последващи финансови инспекции – 10 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят.

Всички останали носители на счетоводна информация – 3 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят.

След изтичане на законоустановените срокове информацията следва да бъде унищожена.