Да, но за да направите това, първо трябва да определите правното основание за обработването на този вид лични данни. Например, обработването може да се счита за легитимен интерес за Вашата организация. Когато обработвате лични данни въз основа на легитимен интерес, винаги е необходимо да проведете балансиращ тест, за да определите дали Вашите законни интереси имат преимущество над правата на физическите лица, особено ако участват деца.

Друго възможно правно основание за такова обработване може да бъде съгласието. Във всеки случай лицата трябва винаги да бъдат информирани предварително, че събитието се снима или заснема.
 

Повече информация:

• Законосъобразно обработване на лични данни

Трябва да отговорите без ненужно забавяне и не по-късно от един месец след получаване на искането. Този срок може да бъде удължен с още два месеца, ако искането е твърде сложно и е необходимо повече време за отговор, при условие че лицето е уведомено за това в срок от един месец след получаване на искането.

Трябва да го направите безплатно.

Повече информация:

• Зачитане на правата на физическите лица

Не можете да съхранявате лични данни завинаги.
По правило личните данни могат да се съхраняват само толкова дълго, колкото е необходимо за целите, за които се обработват.

В някои случаи периодът на съхранение може да бъде определен от специални закони, например трудовите разпоредби определят период за съхранение на списъците за заплати.

Организациите следва да въведат политики за запазване на данните, за да се уверят, че личните данни не се съхраняват по-дълго от необходимото. Личните данни на физическите лица трябва да бъдат изтрити или анонимизирани, след като вече не са необходими за целта, за която се обработват.

Повече информация:

• Основи на защитата на данните

Физическите лица имат право да поискат изтриване на свързаните с тях лични данни и в този случай администраторът има задължението да изтрие личните данни. Трябва да отговорите без ненужно забавяне и не по-късно от един месец след получаване на искането. Този срок може да бъде удължен с още два месеца, ако искането е твърде сложно и е необходимо повече време за неговото изпълнение, при условие че лицето бъде уведомено за това в срок от един месец след получаване на искането.
 

Важно е да се отбележи, че правото на изтриване не е абсолютно. То не се прилага, когато въпросните данни са необходими за:

• упражняване на правото на свобода на изразяване на мнение и на информация (напр. за журналистически цели);
• спазване на правно задължение, което изисква обработването на лични данни (напр. обработка на записи за работното време на служителите);
• съображения от обществен интерес в областта на общественото здраве
• целите на архивирането в обществен интерес или за научни или исторически изследвания или за статистически цели; и
• установяването, упражняването или защитата на правни претенции.

Когато личните данни, които трябва да бъдат изтрити, са били прехвърлени преди това на други организации, трябва да уведомите тези получатели, че лицето е поискало изтриване, освен ако това се окаже невъзможно или би изисквало непропорционални усилия.

Повече информация:

• Зачитане на правата на физическите лица

ОРЗД предвижда специфични права за физическите лица, които трябва да бъдат спазвани. Можете да направите това чрез:

• информиране на лицата, чиито данни обработвате, за Вашите операции по обработване и за целите на обработването, когато събирате техните данни, например, чрез декларация за поверителност на Вашия уебсайт;
• чрез отговаряне на исканията на физическите лица да упражнят правата си, като например искания за достъп, коригиране, възражение, изтриване или преносимост.

Организациите, които са прозрачни по отношение на използването на лични данни от тяхна страна и които зачитат правата на физическите лица, е по-малко вероятно да станат обект на жалби.

Повече информация:

• Зачитане на правата на физическите лица

За да може съгласието да се счита за валидно, то трябва да бъде:

• свободно изразеноо;
• специфично;
• информирано; и
• недвусмислено.

Това означава, че физическите лица трябва да имат истински свободен избор дали са съгласни или не с обработването на личните им данни; те се нуждаят от достатъчно информация, за да могат да разберат кои данни се обработват, с каква цел и как се прави това; те също така се нуждаят от достатъчно добре обяснени исканията за съгласие.

Освен това трябва да има ясно утвърдително действие от страна на лицето (без предварително отметнати полета и без да е отделено от приложимите общи условия).

Освен това лицата трябва да могат свободно да оттеглят съгласието си (без никакви отрицателни последици), ако по-късно променят мнението си.

Повече информация:

• Законосъобразно обработване на лични данни

ЕКЗД редовно публикува съобщения за медиите, новини, блогове и друго съдържание на уебсайта на ЕКЗД и неговите канали в социалните медии (Туитър: @EU_EDPB; LinkedIn: Европейският комитет по защита на данните), за да информира редовнообщността за защита на данните и широката общественост.

На уебсайта на ЕКЗД има и два RSS канали, за които можете да се абонирате за да получавате автоматични актуализации на новините на ЕКЗД и неговите последните публикации.

Да, ОРЗД се прилага, ако личните данни се съдържат или са предназначени да се съдържат в система за картотекиране. Това означава, че ОРЗД се прилага и за регистрите на хартиен носител, а не само за автоматизираното обработване на лични данни.

Повече информация:

• Основи на защитата на данните

ОРЗД се прилага за използването на бисквитки, когато те се използват за обработка на лични данни, но има и по-конкретни правила за бисквитките, включително в Директивата за правото на неприкосновеност на личния живот и електронни комуникации.

Съхраняването на „бисквитка„или получаването на достъп до вече съхранена „бисквитка“ в крайното оборудване на потребителя е разрешено само при условие, че съответният абонат или потребител е бил адекватно информиран (по-специално за целите на обработката) и е дал съгласието си.
Единственото изключение са технически необходимите бисквитки. Не е необходимо организациите да искат съгласие, когато използват технически необходими бисквитки на своите уебсайтове.

Повече информация:

• Законосъобразно обработване на лични данни

Най-общо казано, всяка организация трябва да води регистър на своите дейности по обработване. Това е списък на всички операции по обработване и може да ви помогне да направите правилни предположения за вашите отговорности съгласно ОРЗД и възможните рискове.
Всяка от тези операции по обработване трябва да бъде описана в регистъра със следната информация:

• целта на обработката (напр. лоялност на клиентите);
• категориите обработвани данни (напр. за заплати: име, собствено име, дата на раждане, заплата и т.н.);
• кой има достъп до данните (получателите — напр.: отделът, отговарящ за набирането на персонал, служителите, предоставящи  ИТ услуги, ръководството, доставчиците на услуги, партньорите и т.н.);
• когато е приложимо, информация, свързана с предаване на лични данни извън Европейското икономическо пространство (ЕИП),
• когато е възможно, периодът на съхранение (периодът, за който данните са полезни от оперативна гледна точка и от гледна точка на архивирането).
• когато е възможно, общо описание на мерките за сигурност.

Регистърът на дейностите по обработване е отговорност на ръководителя на Вашата организация.
Този запис трябва да бъде на разположение на органа за защита на данните на държавата от ЕИП, в която работите, ако това бъде поискано.

Не се изисква организациите, в които работят по-малко от 250 души, да споменават в своите регистри чисто случайни дейности (напр. данни, обработвани за еднократни събития, като например откриване на магазин).
 

Повече информация:

• Да бъдат в съответствие