Обработка на лични данни от осигурителната институция

Обслужване

От май 2019 г. всички субекти, обработващи лични данни на физически лица, са предмет на разпоредбите на GDPR относно принципите на обработка на данни и тяхната сигурност. Социалноосигурителната институция не прави изключение – ZUS е администратор на лични данни и има същите задължения като всички останали администратори на данни. Как изглежда обработката на лични данни от ZUS?

ZUS обработва лични данни по същия начин като всеки предприемач

Съгласно разпоредбата на чл. 34 от Закона за социалното осигуряване ЗУС е длъжен да осигури достоверността и пълнотата на събраната информация по сметките на осигурените и по сметките на вноските. ZUS, като администратор на лични данни, се задължава да гарантира сигурността на информацията, която обработва срещу неоторизиран достъп и използване. Тези задължения са изключително важни, тъй като ZUS разполага с много богат каталог от данни за платците на вноски и осигурените лица. Лични данни по смисъла на разпоредбите на GDPR са всички данни, които позволяват пряка или дори непряка идентификация на физическо лице.
ZUS разполага с богат каталог от лични данни на физически лица, както за осигурени лица, така и за членове на техните семейства. Сред обработваните от ZUS данни има не само информация, позволяваща идентифицирането им (напр. име и фамилия, адрес, номер на PESEL, номер на лична карта, номер на паспорт, данни за банкова сметка и др.), но и много чувствителни данни - включително информация за заболявания на осигурените лица, начини на лечение, хоспитализация, престой в санаториуми и др.

ZUS трябва да обработва лични данни във връзка, наред с другото:

  • предоставяне на права на социалноосигурителни обезщетения (например надбавки, пенсии, пенсии);

  • изплащане на обезщетения на осигурени лица и членове на техните семейства;

  • процедури, провеждани от сертифициращи лекари на ZUS и медицински комисии на ZUS;

  • разглеждане на заявления за социално осигуряване;

  • извършване на превантивни задачи (например в областта на превенцията на уврежданията).

Физическо лице може да провери какви данни се обработват от ZUS

Едно от основните права на всяко физическо лице, чиито данни се обработват, е правото на достъп до данните (за правата в контекста на обработката на данни, вижте по-долу).

Всяко лице, чиито данни се обработват от ZUS, може да се обърне към ZUS, като администратор на данни, с искане да посочи с какви точно данни разполага този субект.

Това може да се направи:

  • под формата на писмо, до адреса на осигурителната институция;

  • под формата на електронна поща ([email protected]);

  • чрез Платформата за електронни услуги ZUS.

За да получите достъп до данните чрез PUE, е необходимо да регистрирате акаунт на уебсайта на ZUS и след това да потвърдите самоличността по един от трите налични начина: като използвате доверен ePUAP профил, като използвате електронен подпис или като посетите ZUS офис лично.

Какви права имате във връзка с GDPR?

В контекста на GDPR, социалноосигурителната институция подлежи на същите правила като предприемачите, обработващи лични данни на своите клиенти. Това означава, че всички лица, чиито данни се обработват от ZUS, имат определени права. Те включват главно:

  • правото на достъп до лични данни, обработвани от ZUS;

  • право на получаване на копие от обработваните данни;

  • правото да поискате коригиране, ако данните, с които разполага ZUS, са неверни;

  • правото да поискате изтриване на данни;

  • правото да поискате ограничаване на обхвата на обработка;

  • в случай на данни, предоставени доброволно (например имейл адрес) - правото на оттегляне на съгласието;

  • правото на възражение.

Физическо лице има право да поиска изтриване на данни, обработвани от ZUS, но в някои ситуации администраторът на лични данни може да откаже да изпълни това искане. Като общо правило администраторът трябва незабавно да изтрие обработваните данни, ако това бъде поискано от субекта на данните. По изключение администраторът има право да откаже изтриване на данните, ако обработването на данни е необходимо за изпълнение на задължение, произтичащо от законови разпоредби или като част от упражняването на поверени му публични правомощия. Следователно може да се приеме, че ZUS ще изтрие данни, които не са необходими за изпълнение на задълженията му (напр. имейл адрес или телефонен номер), но ще откаже данните, необходими за изпълнение на задачи към платци и осигурени лица (напр. данни, необходими за плати обезщетението).

Обработка на лични данни от осигурителната институция и длъжностното лице по защита на данните

ZUS се задължава да назначи инспектор по лични данни. Задачата на инспектора е, inter alia, да следи за спазването на разпоредбите на GDPR от администратора на данни, да си сътрудничи с председателя на Службата за защита на личните данни и - най-важното от гледна точка на субектите на данни - да действа като точка за контакт по всички въпроси, свързани с обработката на данни. Всяко лице с въпроси или съмнения, свързани с обработката на данни от ZUS, може да се свърже директно с длъжностното лице по защита на данните.

Трябва да се помни, че въпреки че длъжностното лице по защита на данните е отговорно за контактите между администратора на данни и субекта на данните, решенията относно обработката на лични данни (например коригиране на данни) принадлежат само на администратора - ZUS.

Можете да подадете жалба срещу дейността на ZUS

Ако лице, чиито лични данни се обработват от ZUS, не е доволен от метода на тази обработка и смята, че ZUS нарушава неговите/нейните права, то може да подаде жалба до председателя на Службата за лични данни. Преди да подадете жалба, жалбата трябва да бъде подадена директно в ZUS. ZUS, както всеки друг администратор на лични данни, е длъжен да изпрати отговор възможно най-скоро, не по-късно от един месец. Този срок може да бъде удължен с максимум два месеца. В случай, че ZUS не отговори на искането или отговорът не удовлетвори иска, физическо лице има право да подаде жалба до Службата за защита на личните данни.

Ако жалбата се отнася до данните на друго лице (например съпруга на служителя), тогава е необходимо да получите пълномощно от субекта на данните. Жалба до Службата за защита на личните данни може да бъде подадена:
- в електронен вид, чрез портала ePUAP2;
- устно за протокола в седалището на Службата за защита на личните данни;
- на хартиен носител, в офиса на Службата или с писмо. В жалбата трябва да се посочи:

  • данни за лицето, подало жалбата;

  • ZUS данни като администратор на данни;

  • подробно описание на нарушението, което според декларатора е извършено от ЗУС като администратор;

  • искане, т.е. какво действие кандидатът очаква от Службата за защита на личните данни.

Жалбата трябва да съдържа саморъчен подпис на заявителя. Жалбата следва да бъде разгледана от председателя на Службата за защита на личните данни в рамките на един месец. Службата за защита на личните данни може да разпореди на ZUS, например информиране на физическо лице за данните, които обработва, коригиране на данните или изтриване на данни от базата данни, съхранявана от ZUS.

Започнете безплатен 30-дневен пробен период без прикачени условия!

Работодателят и задълженията на ZUS в контекста на GDPR

ZUS изпълнява задълженията си в областта на обработката на данни въз основа на разрешение, произтичащо от разпоредбите на Закона за социалноосигурителната система. Следователно работодател, който прехвърля данните на своите служители към ZUS, не трябва да получава отделно съгласие от тях за обработка на данни от ZUS.