Често задавани въпроси
Организирам мероприятие като част от моята бизнес дейност, мога ли да направя снимки и видеоклипове на събитието и на присъстващите?
Да, но за да направите това, първо трябва да определите правното основание за обработването на този вид лични данни. Например, обработването може да се счита за легитимен интерес за Вашата организация. Когато обработвате лични данни въз основа на легитимен интерес, винаги е необходимо да проведете балансиращ тест, за да определите дали Вашите законни интереси имат преимущество над правата на физическите лица, особено ако участват деца.
Друго възможно правно основание за такова обработване може да бъде съгласието. Във всеки случай лицата трябва винаги да бъдат информирани предварително, че събитието се снима или заснема.
Повече информация:
Трябва ли и обработващите лични данни да спазват ОРЗД?
Да, обработващите данни (т.е. физически лица или органи, които обработват данни от името на администратор на данни) имат задължения съгласно ОРЗД. Съществуват обаче някои различия между отговорностите на администраторите на данни и обработващите лични данни.
Обработващите лични данни трябва да се придържат към отговорностите, определени в договора между администратора и обработващия лични данни, в който се описват подробно операциите по обработване и средствата за обработване на лични данни. Например, обработващият лични данни ще трябва да извършва операциите по обработване с подходящи технически и организационни мерки съгласно указанията на администратора. По този начин обработващият лични данни подпомага администратора при спазването на ОРЗД.
Повече информация:
Какво представлява конфликт на интереси за длъжностно лице по защита на данните (ДЛЗД)?
ДЛЗД могат да изпълняват други задачи в рамките на организацията, но това не може да доведе до конфликт на интереси. Това означава, че ДЛЗД не може да има позиция, в която да определя целите и средствата на дейностите по обработване. Конфликтните функции включват главно ръководни длъжности (главен изпълнителен директор, главен оперативен директор, главен финансов директор, ръководител на човешките ресурси, ръководител на ИТ, управляващ директор), но могат да включват и други функции, ако те водят до определяне на целите и средствата за обработка.
ДЛЗД трябва да е в състояние да изпълнява своите задължения и задачи по независим начин. Това означава, че Вашата организация:
- не може да дава указания на ДЛЗД във връзка с изпълнението на задълженията му;
- не може да санкционира или освобождава ДЛЗД за изпълнението на неговите задачи.
Повече информация:
Като администратор на данни съм събрал лични данни на физически лица от трета страна, какво трябва да направя, за да спазя изискванията?
- Уверете се, че данните, които сте получили, са били събрани законно и че съответните лица са били информирани за обработването на личните им данни.
- В случай, че трета страна обработва лични данни от Ваше име, се уверете, че имате сключен договор от вида администратор- обработващ, в който подробно се описват операциите по обработване и средствата за обработка на лични данни.
И, разбира се, спазвайте всички задължения на администраторите.
Повече информация:
What does processing personal data mean?
Processing personal data means any type of activity (processing operation) performed on or with individuals’ personal data. This includes the collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, inquiry, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction of personal data.
Как мога да зачитам правата на физическите лица за защита на данните?
ОРЗД предвижда специфични права за физическите лица, които трябва да бъдат спазвани. Можете да направите това чрез:
- информиране на лицата, чиито данни обработвате, за Вашите операции по обработване и за целите на обработването, когато събирате техните данни, например, чрез декларация за поверителност на Вашия уебсайт;
- чрез отговаряне на исканията на физическите лица да упражнят правата си, като например искания за достъп, коригиране, възражение, изтриване или преносимост.
Организациите, които са прозрачни по отношение на използването на лични данни от тяхна страна и които зачитат правата на физическите лица, е по-малко вероятно да станат обект на жалби.
Повече информация:
Как мога да получа валидно съгласие?
За да може съгласието да се счита за валидно, то трябва да бъде:
- свободно изразеноо;
- специфично;
- информирано; и
- недвусмислено.
Това означава, че физическите лица трябва да имат истински свободен избор дали са съгласни или не с обработването на личните им данни; те се нуждаят от достатъчно информация, за да могат да разберат кои данни се обработват, с каква цел и как се прави това; те също така се нуждаят от достатъчно добре обяснени исканията за съгласие.
Освен това трябва да има ясно утвърдително действие от страна на лицето (без предварително отметнати полета и без да е отделено от приложимите общи условия).
Освен това лицата трябва да могат свободно да оттеглят съгласието си (без никакви отрицателни последици), ако по-късно променят мнението си.
Повече информация:
Какво трябва да направя в случай на нарушение на сигурността на данните?
Нарушение на сигурността на личните данни е нарушение на сигурността, водещо до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни.
- Ако нарушението на сигурността на данните представлява риск за засегнатите лица, трябва да съобщите за това на съответния орган за защита на данните в срок от 72 часа.
- Ако има вероятност нарушението да доведе до висок риск за физическите лица, ще трябва също така да съобщите това нарушение на засегнатите лица без ненужно забавяне.
Във всеки случай, за всички нарушения — дори и тези, които не са съобщени на ОЗД — трябва да запишете най-малко основните данни за нарушението, оценката му, последиците от него и предприетите последващи стъпки.
Повече информация:
Кога трябва да споделите тази информация?
Ако Вашата организация събира личните данни директно от физически лица, тя трябва да предостави необходимата информация в момента на събирането.
В случай на непряко събиране на лични данни, Вашата организация трябва да предостави информацията най-късно в рамките на един месец след първоначалното получаване на личните данни. Този максимален срок от един месец може да бъде намален:
- ако личните данни се използват за целите на комуникацията със субекта на данните. В този случай трябва да уведомите субекта на данните най-късно при първото съобщение до лицето;
- ако данните се предават на друг получател, организацията информира субектите на данни за това най-късно при предаването на личните данни.
Повече информация:
Какво мога да направя, ако обработващият лични данни не желае да подпише договор от вида администратор- обработващ лични данни?
Съгласно ОРЗД е задължително да има валиден договор между администратора и обработващия лични данни. За нарушение може да бъде наложена административна глоба в размер до 10 млн. EUR или до 2 % от общия годишен оборот на дадено дружество, в зависимост от това коя от двете стойности е по-висока.
За да Ви помогнат при сключването на този вид договор между администратор и обработващ лични данни, Датския и Словенския орган за защита на данните, както и Европейската комисия, са разработили образци на договор.
Повече информация: