Често задавани въпроси
Какво представляват бисквитките?
Бисквитките са малки файлове, съхранявани на устройство, като компютър, мобилно устройство или всяко друго устройство, което може да съхранява информация. Бисквитките обслужват редица важни функции, включително запомняне на потребителите и техните предишни взаимодействия с даден уебсайт. Те могат да се използват за проследяване на продукти в онлайн пазарска количка или на информацията, когато данните са въведени в онлайн формуляр за кандидатстване.
Бисквитките за удостоверяване на самоличността също са важни за идентифициране на потребителите, когато те използватв банкови и други онлайн услуги. Информацията, съхранявана в бисквитките, може да включва лични данни, като например IP адрес, потребителско име, уникален идентификатор или адрес на електронна поща.
Какво следва да бъде включено в договора междуадминистратор и обработващ лични данни?
Договорът между администратора и обработващия лични данни трябва да предвижда, че обработващият лични данни:
- обработва личните данни само по указания на администратора на данни, включително по отношение на предаването на лични данни на държава извън ЕИП;
- гарантира, че лицата, упълномощени да обработват данните, са поели ангажимент за поверителност или са обект на подходящо законово задължение за поверителност;
- гарантира сигурността на обработката;
- не ангажира друг обработващ лични данни без предварително конкретно или общо писмено разрешение на администратора на данни;
- подпомага администратора на данни за изпълнението на задълженията на администратора да отговаря на исканията на физическите лица за упражняване на правата им;
- подпомага администратора на данни при обезпечаването на обработването, уведомяването за нарушения на сигурността на данните и извършването на ОВЗД;
- по избор на администратора на данни изтрива или връща всички лични данни на администратора след края на предоставянето на услугите;
- предоставя на администратора на данни цялата необходима информация, за да докаже спазването на задълженията по ОРЗД;
- дава възможност за одити и допринася за тях, включително инспекции, извършвани от администратора на данни или от друг одитор, упълномощен от администратора.
Освен това обработващият лични данни незабавно информира администратора на данни, ако по негово мнение инструкции нарушават ОРЗД или други разпоредби на ЕС или национални разпоредби за защита на данните.
Повече информация:
Мога ли да прехвърлям лични данни извън Европейското икономическо пространство (ЕИП)?
Съгласно ОРЗД, по принцип, съществуват два основни начина за предаване на лични данни на държава извън ЕИП или международна организация. Предаването на данни може да се извършва въз основа на решение относно адекватното ниво на защита или, при липса на такова решение, въз основа на подходящи гаранции, включително приложими права и правни средства за защита за физическите лица.
Повече информация:
Can I only process personal data when I have the individual’s consent?
Processing personal data is allowed if there is a legal basis for it. In addition to free, specific , informed and unambiguous consent, other legal bases for processing can be used.
In other words, consent is necessary when none of the other legal bases applies.
More information:
Какви са санкциите, ако моята организация не спазва ОРЗД или ако моето обработване нарушава ОРЗД?
Спазването на ОРЗД се наблюдава от националните органи за защита на данните (ОЗД). ОЗД могат да провеждат разследвания и да налагат санкции, когато е необходимо. ОЗД разполагат с редица инструменти, включително глоби до 20 млн. евро или 4 % от световния годишен оборот, в зависимост от това коя от двете стойности е по-висока, официални предупреждения и временни или постоянни забрани за обработка.
Можете да намерите координатите за връзка с всички ОЗД на ЕИП на уебсайта на ЕКЗД: Членовете
Повече информация:
Какво представлява оценката на въздействието върху защитата на данните и кога тя е задължителна?
Оценката на въздействието върху защитата на данните или ОВЗД е писмена оценка, която Вашата организация трябва да направи, за да оцени въздействието на планирана операция по обработване. Тя ви помага да определите подходящите мерки за справяне с рисковете и да демонстрирате съответствие.
Въпреки че винаги е за предпочитане да се предвиди въздействието на планираните операции по обработване на Вашата организация чрез извършване на ОВЗД, такава проверка е задължително да се извърши, когато има вероятност обработването да доведе до висок риск за правата и свободите на физическите лица.
По-конкретно, такъв е случаят, когато предвиденото обработване включва:
- мащабно обработване на чувствителни лични данни или данни, свързани с присъди;
- систематична и подробна оценка на личните аспекти на дадено лице, която се базира на автоматично обработване, включително профилиране, и служи за основа на решения, които имат правни последици за въпросното лице или по подобен начин сериозно засягат физическите лица;
- систематично мащабно наблюдение на публично достъпна зона.
ЕКЗД е разработил насоки, в които са изброени критериите, които трябва да вземете предвид, когато преценявате дали ОВЗД е задължителна или не. Органите за защита на данните (ОЗД) също така публикуваха списъци на операциите по обработване, които подлежат на ОВЗД. Освен това няколко ОЗД са разработили ръководства, софтуер или инструменти за самооценка, които да ви помогнат с Вашата оценка.
Повече информация:
Трябва ли да бъда сертифициран, за да стана длъжностно лице по защита на данните (ДЛЗД)?
Не, не е необходимо да се сертифицирате, за да станете ДЛЗД.
ДЛЗД обаче трябва да могат да докажат, че притежават необходимата квалификация, изисквана от ОРЗД, като например експертни познания по законодателството и практиките в областта на защитата на данните.
Повече информация:
Ако искам да съхранявам автобиографии на кандидати за бъдещи процедури за набиране на персонал, трябва ли да поискам съгласието на кандидатите?
Съгласието наистина би могло да бъде валидно правно основание за съхраняване на автобиографиите на кандидатите за работа. Друго възможно правно основание може да бъде легитимен интерес. В този случай ще трябва да извършите тест за балансиране, за да докажете, че законните интереси на Вашата организация надвишават правата на кандидатите.
Във всеки случай ще трябва да информирате кандидатите, че планирате да съхранявате техните данни и за какви цели.
Повече информация:
Важи ли ОРЗД и за регистрите на хартиен носител?
Да, ОРЗД се прилага, ако личните данни се съдържат или са предназначени да се съдържат в система за картотекиране. Това означава, че ОРЗД се прилага и за регистрите на хартиен носител, а не само за автоматизираното обработване на лични данни.
Повече информация:
Какво е съвместен администратор?
Когато има двама или повече администратори на данни, които съвместно определят целта и средствата на обработването, те се считат за съвместни администратори. Те решават заедно да обработват лични данни за съвместна цел. Съвместното администриране може да бъде под много форми, а участието на различните администратори може да бъде неравномерно. Следователно, съвместните администратори трябва да определят своите отговорности за спазване на ОРЗД.
Важно е да се отбележи, че съвместното администриране води до съвместна отговорност за дадена дейност по обработване.
- Пример за съвместно администриране: Компании А и Б са стартирали продукт с обща марка и желаят да организират събитие за популяризиране му. За тази цел те решават да споделят данни от своите бази данни с настоящи и потенциални клиенти и възоснова на тях да вземат решение относно включването в списъка на поканените на събитието. Те също така се споразумяват относно реда и условията за изпращане на поканите за събитието, как да се събират отзиви по време на мероприятието и последващи маркетингови действия. Дружества А и Б могат да се считат за съвместни администратори за обработването на лични данни, свързани с организирането на промоционалната проява, тъй като те вземат съвместно решение за съвместно определената цел и основните средства за обработка на данните.
Повече информация: