Често задавани въпроси
Какви са правните основания за обработване съгласно ОРЗД?
Администраторите на лични данни могат да обработват лични данни само при едно от следните обстоятелства:
- със съгласието на засегнатите лица;
- когато обработването е необходимо за изпълнението на договор (договор между Вашата организация и физическо лице);
- за спазване на законово задължение съгласно законодателството на ЕС или националното законодателство;
- когато обработването е необходимо за изпълнението на задача от обществен интерес съгласно законодателството на ЕС или националното законодателство;
- за защита на жизненоважните интереси на физическото лице;
- за целите на легитимните интереси на Вашата организация — освен в случаите, когато правата и свободите на физическите лица имат преимущество.
Освен това ОРЗД установява допълнителни условия за обработването на чувствителни данни.
Повече информация:
Какви са санкциите, ако моята организация не спазва ОРЗД или ако моето обработване нарушава ОРЗД?
Спазването на ОРЗД се наблюдава от националните органи за защита на данните (ОЗД). ОЗД могат да провеждат разследвания и да налагат санкции, когато е необходимо. ОЗД разполагат с редица инструменти, включително глоби до 20 млн. евро или 4 % от световния годишен оборот, в зависимост от това коя от двете стойности е по-висока, официални предупреждения и временни или постоянни забрани за обработка.
Можете да намерите координатите за връзка с всички ОЗД на ЕИП на уебсайта на ЕКЗД: Членовете
Повече информация:
Мога ли да инсталирам вътрешни камери за видеонаблюдение в служебните си помещения, за да предпазя имота си?
Първата стъпка към инсталирането на видеонаблюдение е да се определи целта или целите за това. Целите за инсталиране на видеонаблюдение могат да бъдат различни, като например гарантиране на сигурността на помещенията, подпомагане на предотвратяването и разкриването на кражби и други престъпления или защита на живота и здравето на служителите поради естеството на работата.
Както при всяко обработване на лични данни, записването на физическите лица трябва да има правно основание съгласно ОРЗД. Съгласието може да се използва като правно основание за такава обработка на данни. Това обаче е малко вероятно да се прилага за използването на видеонаблюдение в повечето случаи, тъй като ще бъде трудно да се получи свободно дадено съгласие на всички, които е вероятно да бъдат записани. Най-често срещаното правно основание за този вид обработване на лични данни е легитимният интерес. Когато обработването се основава на легитимен интерес, ще трябва да извършите балансиращ тест, за да определите дали Вашите легитимни интереси надвишават правата на физическите лица.
Ще трябва да информирате хората, че те се записват. Това може да стане чрез поставяне на лесни за четене табели на видно място. Освен това на всички входове следва да се постави табела, указваща целта на системата за видеонаблюдение и самоличността и данните за контакт на администратора на данни.
Лицата, чиито изображения се записват чрез система за видеонаблюдение, следва да бъдат снабдени със следната информация:
- самоличността и данните за контакт на администратора на данни;
- целите на обработването;
- правното основание за обработването (ако има легитимен интерес, конкретна информация за това кои легитимни
интереси са свързани с конкретното обработване и за това кой субект преследва всеки легитимен интерес;
- данните за контакт на длъжностното лице по защита на данните, ДЛЗД (ако има ДЛЗД);
- получателите или категориите получатели на данните;
- мерките за сигурност на записите от камерите за видеонаблюдение;
- периодът на съхранение на записите от видеонаблюдението;
- съществуването на права на физическите лица съгласно ОРЗД и правото да се подаде жалба до националния орган за защита на данните.
Повече информация:
Отговаря ли длъжностното лице по защита на данните (ДЛЗД) за спазването на ОРЗД?
От ДЛЗД не може да се търси отговорност за неспазване на ОРЗД. Спазването на ОРЗД е отговорност на организацията, която е назначила ДЛЗД.
Повече информация:
Ако искам да съхранявам автобиографии на кандидати за бъдещи процедури за набиране на персонал, трябва ли да поискам съгласието на кандидатите?
Съгласието наистина би могло да бъде валидно правно основание за съхраняване на автобиографиите на кандидатите за работа. Друго възможно правно основание може да бъде легитимен интерес. В този случай ще трябва да извършите тест за балансиране, за да докажете, че законните интереси на Вашата организация надвишават правата на кандидатите.
Във всеки случай ще трябва да информирате кандидатите, че планирате да съхранявате техните данни и за какви цели.
Повече информация:
Важи ли ОРЗД и за регистрите на хартиен носител?
Да, ОРЗД се прилага, ако личните данни се съдържат или са предназначени да се съдържат в система за картотекиране. Това означава, че ОРЗД се прилага и за регистрите на хартиен носител, а не само за автоматизираното обработване на лични данни.
Повече информация:
Организирам мероприятие като част от моята бизнес дейност, мога ли да направя снимки и видеоклипове на събитието и на присъстващите?
Да, но за да направите това, първо трябва да определите правното основание за обработването на този вид лични данни. Например, обработването може да се счита за легитимен интерес за Вашата организация. Когато обработвате лични данни въз основа на легитимен интерес, винаги е необходимо да проведете балансиращ тест, за да определите дали Вашите законни интереси имат преимущество над правата на физическите лица, особено ако участват деца.
Друго възможно правно основание за такова обработване може да бъде съгласието. Във всеки случай лицата трябва винаги да бъдат информирани предварително, че събитието се снима или заснема.
Повече информация:
Трябва ли и обработващите лични данни да спазват ОРЗД?
Да, обработващите данни (т.е. физически лица или органи, които обработват данни от името на администратор на данни) имат задължения съгласно ОРЗД. Съществуват обаче някои различия между отговорностите на администраторите на данни и обработващите лични данни.
Обработващите лични данни трябва да се придържат към отговорностите, определени в договора между администратора и обработващия лични данни, в който се описват подробно операциите по обработване и средствата за обработване на лични данни. Например, обработващият лични данни ще трябва да извършва операциите по обработване с подходящи технически и организационни мерки съгласно указанията на администратора. По този начин обработващият лични данни подпомага администратора при спазването на ОРЗД.
Повече информация:
Какво е съвместен администратор?
Когато има двама или повече администратори на данни, които съвместно определят целта и средствата на обработването, те се считат за съвместни администратори. Те решават заедно да обработват лични данни за съвместна цел. Съвместното администриране може да бъде под много форми, а участието на различните администратори може да бъде неравномерно. Следователно, съвместните администратори трябва да определят своите отговорности за спазване на ОРЗД.
Важно е да се отбележи, че съвместното администриране води до съвместна отговорност за дадена дейност по обработване.
- Пример за съвместно администриране: Компании А и Б са стартирали продукт с обща марка и желаят да организират събитие за популяризиране му. За тази цел те решават да споделят данни от своите бази данни с настоящи и потенциални клиенти и възоснова на тях да вземат решение относно включването в списъка на поканените на събитието. Те също така се споразумяват относно реда и условията за изпращане на поканите за събитието, как да се събират отзиви по време на мероприятието и последващи маркетингови действия. Дружества А и Б могат да се считат за съвместни администратори за обработването на лични данни, свързани с организирането на промоционалната проява, тъй като те вземат съвместно решение за съвместно определената цел и основните средства за обработка на данните.
Повече информация:
Какво представлява оценката на въздействието върху защитата на данните и кога тя е задължителна?
Оценката на въздействието върху защитата на данните или ОВЗД е писмена оценка, която Вашата организация трябва да направи, за да оцени въздействието на планирана операция по обработване. Тя ви помага да определите подходящите мерки за справяне с рисковете и да демонстрирате съответствие.
Въпреки че винаги е за предпочитане да се предвиди въздействието на планираните операции по обработване на Вашата организация чрез извършване на ОВЗД, такава проверка е задължително да се извърши, когато има вероятност обработването да доведе до висок риск за правата и свободите на физическите лица.
По-конкретно, такъв е случаят, когато предвиденото обработване включва:
- мащабно обработване на чувствителни лични данни или данни, свързани с присъди;
- систематична и подробна оценка на личните аспекти на дадено лице, която се базира на автоматично обработване, включително профилиране, и служи за основа на решения, които имат правни последици за въпросното лице или по подобен начин сериозно засягат физическите лица;
- систематично мащабно наблюдение на публично достъпна зона.
ЕКЗД е разработил насоки, в които са изброени критериите, които трябва да вземете предвид, когато преценявате дали ОВЗД е задължителна или не. Органите за защита на данните (ОЗД) също така публикуваха списъци на операциите по обработване, които подлежат на ОВЗД. Освен това няколко ОЗД са разработили ръководства, софтуер или инструменти за самооценка, които да ви помогнат с Вашата оценка.
Повече информация: