Често задавани въпроси
Мога ли да инсталирам вътрешни камери за видеонаблюдение в служебните си помещения, за да предпазя имота си?
Първата стъпка към инсталирането на видеонаблюдение е да се определи целта или целите за това. Целите за инсталиране на видеонаблюдение могат да бъдат различни, като например гарантиране на сигурността на помещенията, подпомагане на предотвратяването и разкриването на кражби и други престъпления или защита на живота и здравето на служителите поради естеството на работата.
Както при всяко обработване на лични данни, записването на физическите лица трябва да има правно основание съгласно ОРЗД. Съгласието може да се използва като правно основание за такава обработка на данни. Това обаче е малко вероятно да се прилага за използването на видеонаблюдение в повечето случаи, тъй като ще бъде трудно да се получи свободно дадено съгласие на всички, които е вероятно да бъдат записани. Най-често срещаното правно основание за този вид обработване на лични данни е легитимният интерес. Когато обработването се основава на легитимен интерес, ще трябва да извършите балансиращ тест, за да определите дали Вашите легитимни интереси надвишават правата на физическите лица.
Ще трябва да информирате хората, че те се записват. Това може да стане чрез поставяне на лесни за четене табели на видно място. Освен това на всички входове следва да се постави табела, указваща целта на системата за видеонаблюдение и самоличността и данните за контакт на администратора на данни.
Лицата, чиито изображения се записват чрез система за видеонаблюдение, следва да бъдат снабдени със следната информация:
- самоличността и данните за контакт на администратора на данни;
- целите на обработването;
- правното основание за обработването (ако има легитимен интерес, конкретна информация за това кои легитимни
интереси са свързани с конкретното обработване и за това кой субект преследва всеки легитимен интерес;
- данните за контакт на длъжностното лице по защита на данните, ДЛЗД (ако има ДЛЗД);
- получателите или категориите получатели на данните;
- мерките за сигурност на записите от камерите за видеонаблюдение;
- периодът на съхранение на записите от видеонаблюдението;
- съществуването на права на физическите лица съгласно ОРЗД и правото да се подаде жалба до националния орган за защита на данните.
Повече информация:
Мога ли да прехвърлям лични данни извън Европейското икономическо пространство (ЕИП)?
Съгласно ОРЗД, по принцип, съществуват два основни начина за предаване на лични данни на държава извън ЕИП или международна организация. Предаването на данни може да се извършва въз основа на решение относно адекватното ниво на защита или, при липса на такова решение, въз основа на подходящи гаранции, включително приложими права и правни средства за защита за физическите лица.
Повече информация:
Отговаря ли длъжностното лице по защита на данните (ДЛЗД) за спазването на ОРЗД?
От ДЛЗД не може да се търси отговорност за неспазване на ОРЗД. Спазването на ОРЗД е отговорност на организацията, която е назначила ДЛЗД.
Повече информация:
Трябва ли и обработващите лични данни да спазват ОРЗД?
Да, обработващите данни (т.е. физически лица или органи, които обработват данни от името на администратор на данни) имат задължения съгласно ОРЗД. Съществуват обаче някои различия между отговорностите на администраторите на данни и обработващите лични данни.
Обработващите лични данни трябва да се придържат към отговорностите, определени в договора между администратора и обработващия лични данни, в който се описват подробно операциите по обработване и средствата за обработване на лични данни. Например, обработващият лични данни ще трябва да извършва операциите по обработване с подходящи технически и организационни мерки съгласно указанията на администратора. По този начин обработващият лични данни подпомага администратора при спазването на ОРЗД.
Повече информация:
Can I only process personal data when I have the individual’s consent?
Processing personal data is allowed if there is a legal basis for it. In addition to free, specific , informed and unambiguous consent, other legal bases for processing can be used.
In other words, consent is necessary when none of the other legal bases applies.
More information:
Какви са правните основания за обработване съгласно ОРЗД?
Администраторите на лични данни могат да обработват лични данни само при едно от следните обстоятелства:
- със съгласието на засегнатите лица;
- когато обработването е необходимо за изпълнението на договор (договор между Вашата организация и физическо лице);
- за спазване на законово задължение съгласно законодателството на ЕС или националното законодателство;
- когато обработването е необходимо за изпълнението на задача от обществен интерес съгласно законодателството на ЕС или националното законодателство;
- за защита на жизненоважните интереси на физическото лице;
- за целите на легитимните интереси на Вашата организация — освен в случаите, когато правата и свободите на физическите лица имат преимущество.
Освен това ОРЗД установява допълнителни условия за обработването на чувствителни данни.
Повече информация:
Какво представлява оценката на въздействието върху защитата на данните и кога тя е задължителна?
Оценката на въздействието върху защитата на данните или ОВЗД е писмена оценка, която Вашата организация трябва да направи, за да оцени въздействието на планирана операция по обработване. Тя ви помага да определите подходящите мерки за справяне с рисковете и да демонстрирате съответствие.
Въпреки че винаги е за предпочитане да се предвиди въздействието на планираните операции по обработване на Вашата организация чрез извършване на ОВЗД, такава проверка е задължително да се извърши, когато има вероятност обработването да доведе до висок риск за правата и свободите на физическите лица.
По-конкретно, такъв е случаят, когато предвиденото обработване включва:
- мащабно обработване на чувствителни лични данни или данни, свързани с присъди;
- систематична и подробна оценка на личните аспекти на дадено лице, която се базира на автоматично обработване, включително профилиране, и служи за основа на решения, които имат правни последици за въпросното лице или по подобен начин сериозно засягат физическите лица;
- систематично мащабно наблюдение на публично достъпна зона.
ЕКЗД е разработил насоки, в които са изброени критериите, които трябва да вземете предвид, когато преценявате дали ОВЗД е задължителна или не. Органите за защита на данните (ОЗД) също така публикуваха списъци на операциите по обработване, които подлежат на ОВЗД. Освен това няколко ОЗД са разработили ръководства, софтуер или инструменти за самооценка, които да ви помогнат с Вашата оценка.
Повече информация:
Трябва ли да бъда сертифициран, за да стана длъжностно лице по защита на данните (ДЛЗД)?
Не, не е необходимо да се сертифицирате, за да станете ДЛЗД.
ДЛЗД обаче трябва да могат да докажат, че притежават необходимата квалификация, изисквана от ОРЗД, като например експертни познания по законодателството и практиките в областта на защитата на данните.
Повече информация:
Ако искам да съхранявам автобиографии на кандидати за бъдещи процедури за набиране на персонал, трябва ли да поискам съгласието на кандидатите?
Съгласието наистина би могло да бъде валидно правно основание за съхраняване на автобиографиите на кандидатите за работа. Друго възможно правно основание може да бъде легитимен интерес. В този случай ще трябва да извършите тест за балансиране, за да докажете, че законните интереси на Вашата организация надвишават правата на кандидатите.
Във всеки случай ще трябва да информирате кандидатите, че планирате да съхранявате техните данни и за какви цели.
Повече информация:
Важи ли ОРЗД и за регистрите на хартиен носител?
Да, ОРЗД се прилага, ако личните данни се съдържат или са предназначени да се съдържат в система за картотекиране. Това означава, че ОРЗД се прилага и за регистрите на хартиен носител, а не само за автоматизираното обработване на лични данни.
Повече информация: