GDPR и обработка на ЕГН на клиенти-физически лица в адвокатска кантора
Кога имате право да съхранявате ЕГН, какво се изисква от Закона за защита на личните данни и как да избегнете типичните грешки, които виждат проверките на КЗЛД.
Защо ЕГН-то е специален случай
ЕГН-то не е „обикновено" лично данно — то е единен граждански номер с уникална идентифицираща функция. Член 87 от ЗЗЛД и тълкуванията на КЗЛД са категорични: ЕГН се обработва само когато има изрично законово основание или при наличие на свободно дадено, информирано и недвусмислено съгласие за конкретна, легитимна цел. За адвокатската кантора това означава, че не можете да въвеждате ЕГН на всеки контакт „за всеки случай".
Кога имате право да съхранявате ЕГН
- Когато ЕГН е необходимо за изпълнение на договор за процесуално представителство (договорно основание, чл. 6, ал. 1, б. „б" GDPR).
- Когато ЕГН се изисква от закон за конкретно действие — напр. подаване на искова молба, нотариална заверка, представителство пред държавен орган.
- Когато клиентът е дал изрично писмено съгласие за конкретна цел, която не попада в горните две.
Какво не е основание: „за по-лесна идентификация", „за фактуриране" (за това стига име и адрес), „защото секретарят винаги пита за ЕГН".
Технически и организационни мерки
Член 32 GDPR изисква „подходящи технически и организационни мерки" според риска. За адвокатска кантора, която съхранява ЕГН в централна система, минималният стандарт включва:
- Криптиране при пренос (HTTPS/TLS) — не пращайте ЕГН по обикновен имейл без криптиране.
- Криптиране при съхранение — базата данни трябва да е криптирана; ако ползвате доставчик, проверете че пише AES-256 at rest.
- Ролеви достъп — стажантът не трябва да вижда ЕГН на клиенти, по чиито дела не работи.
- Одитен лог — система, която записва кой кога е видял/променил данните.
- Многофакторна автентикация — задължително за всички служители с достъп до системата.
- Регулярни резервни копия — съхранявани в ЕС, криптирани.
Срокове за съхранение
Принципът на ограничение на съхранението (чл. 5, ал. 1, б. „д" GDPR) изисква да определите максимален срок и да изтриете данните след това. За адвокатската практика типичните срокове са:
- Документи по приключило дело — обикновено 5 години след приключване, освен ако закон не изисква по-дълъг срок.
- Счетоводни документи (фактури) — 10 години (Закон за счетоводството).
- Лични данни на потенциални клиенти, които не са станали клиенти — до 6 месеца.
- Архивиране в анонимизиран вид — възможно за статистически или научни цели без срок.
Типични грешки от практиката
- ЕГН в имената на файловете („Иванов_8401011234.pdf") — не правете това; рискувате при споделяне.
- Excel списък с ЕГН на всички клиенти, който се пази на работния плот.
- Сканирани лични карти, изпратени по WhatsApp или Viber — тези канали не отговарят на изискванията за криптиране на лични данни от висок риск.
- Липса на споразумение за обработка на лични данни (DPA) с доставчика на софтуера.
Какво да направите днес
- Прегледайте списъка с клиенти и изтрийте ЕГН на тези, чиито дела са приключили преди над 5 години.
- Уверете се, че имате подписан DPA със софтуерния доставчик, ако ползвате SaaS.
- Проверете дали имейл комуникацията със скенирани лични документи е достатъчно сигурна.
- Напишете кратка политика за обработка на лични данни — дори едностранична — и я споделете с целия екип.
Заключение
Спазването на GDPR за ЕГН не изисква непосилни инвестиции — изисква дисциплина и правилен избор на инструменти. SaaS платформа с EU хостинг, криптиране при пренос и съхранение, ролеви достъп и одитен лог покрива минималните технически изисквания. Останалото — политики, обучение, документация — е въпрос на 1–2 дни работа.
Готови ли сте да опитате?
Imopols е създадена специално за български адвокати — на български, с EU хостинг и автоматични напомняния за срокове. Регистрирайте се за 2 минути.
Започни безплатно →