Често Задавани Въпроси

Организациите трябва, в случай на пряко събиране на лични данни от засегнатите лица, да предоставят информация за операциите по обработване по кратък и прозрачен начин, като използват разбираем, лесно достъпен, ясен и прост език. Това може да бъде направено в писмена форма (напр. на обратната страна на офертата) или по електронен път (напр. на уебсайт). Ако заинтересованото лице поиска, можете също да предоставите тази информация устно, но трябва да сте в състояние впоследствие да докажете това.

Дори когато данните са били събрани непряко, т.е. ако не събирате директно личните данни от физическо лице, а например чрез трета страна, трябва да предоставите същата подробна информация на субектите на данни.

Физическите лица имат право да поискат изтриване на свързаните с тях лични данни и в този случай администраторът има задължението да изтрие личните данни. Трябва да отговорите без ненужно забавяне и не по-късно от един месец след получаване на искането. Този срок може да бъде удължен с още два месеца, ако искането е твърде сложно и е необходимо повече време за неговото изпълнение, при условие че лицето бъде уведомено за това в срок от един месец след получаване на искането.
 

Важно е да се отбележи, че правото на изтриване не е абсолютно. То не се прилага, когато въпросните данни са необходими за:

• упражняване на правото на свобода на изразяване на мнение и на информация (напр. за журналистически цели);
• спазване на правно задължение, което изисква обработването на лични данни (напр. обработка на записи за работното време на служителите);
• съображения от обществен интерес в областта на общественото здраве
• целите на архивирането в обществен интерес или за научни или исторически изследвания или за статистически цели; и
• установяването, упражняването или защитата на правни претенции.

Когато личните данни, които трябва да бъдат изтрити, са били прехвърлени преди това на други организации, трябва да уведомите тези получатели, че лицето е поискало изтриване, освен ако това се окаже невъзможно или би изисквало непропорционални усилия.

Повече информация:

• Зачитане на правата на физическите лица

Да, Вашите клиенти трябва да бъдат информирани, когато извършват телефонно обаждане, за целите на записа, получателите на записите, за правото им на възражение и на достъп до записите.

Повече информация:

• Законосъобразно обработване на лични данни

Processing personal data means any type of activity (processing operation) performed on or with individuals’ personal data. This includes the collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, inquiry, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction of personal data.

Не, обработването на чувствителни данни по принцип е забранено, освен при много специфични обстоятелства:

• Лицето е дало изричното си съгласие за обработване на чувствителните му данни.
• Обработването на чувствителни данни е необходимо, за да може администраторът на данни да изпълнява своите задължения, по-специално в сферата  на заетостта, социалната сигурност и социалната закрила. Например, администраторът на данни може да се наложи да обработва чувствителните данни на дадено лице, за да може да определи дали има право на определени социалноосигурителни обезщетения или стипендии за заетост.
• Обработването на чувствителни данни е необходимо, за да се защитят жизненоважните интереси на дадено лице, когато лицето е физически или юридически неспособно да даде съгласие. Например, ако дадено лице е оставено в безсъзнание в резултат на злополука и изисква незабавна медицинска помощ, може да се наложи да бъдат обработени неговите здравни данни, за да се предоставят подходящи медицински грижи.
• Обработването на чувствителни данни се извършва в рамките  на законните дейности на фондация, сдружение или друга организация с нестопанска цел с политическа, философска, религиозна или синдикална цел и само за обработването на личните данни на техните членове, бивши членове или лица, които имат редовни контакти с тях.
• Чувствителните данни са били явно публично оповестени от физическо лице.
• Обработването на чувствителни данни е необходимо в рамките на съдебни производства.
• Обработването на чувствителни данни е необходимо по причини от важен обществен интерес.
• Обработването на чувствителни данни е необходимо за целите на превантивната или трудовата медицина. Например, оценката на чувствителните данни на дадено лице, като например медицинските му данни, може да е необходима, за да се определи неговата работоспособност като служител.
• Обработването на чувствителни данни е необходимо по въпроси, свързани с общественото здраве, въз основа на правото на ЕС или националното право. Например, обработването на чувствителни данни на физическите лица може да е необходимо, за да се гарантира високо качество на здравеопазването и високо качество на медицинските продукти или за борба със сериозни заплахи за здравето, като например вируси.
• Обработването на чувствителни данни е необходимо за целите на архивирането в обществен интерес или за научни или исторически изследвания, или за статистически цели. Например обработването на чувствителни данни може да е необходимо, за да се предоставят точни статистически данни за положението на дадена държава в определена област. 
   

Повече информация:

• Законосъобразно обработване на лични данни
   

Съгласно ОРЗД е задължително да има валиден договор между администратора и обработващия лични данни. За нарушение може да бъде наложена административна глоба в размер до 10 млн. EUR или до 2 % от общия годишен оборот на дадено дружество, в зависимост от това коя от двете стойности е по-висока.

За да Ви помогнат при сключването на този вид договор между администратор и обработващ лични данни, Датския и Словенския орган за защита на данните, както и Европейската комисия, са разработили образци на договор.

Повече информация:

• Администратор на данни или обработващ лични данни

Физическите лица могат да Ви попитат дали обработвате техните данни и когато това е така, те имат право на достъп до тези данни. Така че, когато това се случи и ако обработвате техните данни, трябва например да предоставите безплатно копие от личните им данни, заедно с всяка необходима допълнителна информация. Когато искането се подава по електронен път, Вашата организация следва да предостави изискваната информация в широко използван електронен формат, освен ако лицата не поискат друго.

Повече информация:

• Зачитане на правата на физическите лица

Трябва да отговорите без ненужно забавяне и не по-късно от един месец след получаване на искането. Този срок може да бъде удължен с още два месеца, ако искането е твърде сложно и е необходимо повече време за отговор, при условие че лицето е уведомено за това в срок от един месец след получаване на искането.

Трябва да го направите безплатно.

Повече информация:

• Зачитане на правата на физическите лица

ОРЗД се прилага за използването на бисквитки, когато те се използват за обработка на лични данни, но има и по-конкретни правила за бисквитките, включително в Директивата за правото на неприкосновеност на личния живот и електронни комуникации.

Съхраняването на „бисквитка„или получаването на достъп до вече съхранена „бисквитка“ в крайното оборудване на потребителя е разрешено само при условие, че съответният абонат или потребител е бил адекватно информиран (по-специално за целите на обработката) и е дал съгласието си.
Единственото изключение са технически необходимите бисквитки. Не е необходимо организациите да искат съгласие, когато използват технически необходими бисквитки на своите уебсайтове.

Повече информация:

• Законосъобразно обработване на лични данни

Псевдонимизацията се състои в преобразуване на лични данни, така че те вече да не могат да бъдат приписани на конкретно лице, без да се използва допълнителна информация, при условие че тази допълнителна информация се съхранява отделно и подлежи на технически и организационни мерки, за да се гарантира, че личните данни не се свързват с физическо лице. На практика това може да означава замяна на лични данни (име, собствено име, личен номер, телефонен номер и т.н.) в набор от данни с непряко идентифициращи данни (известен още като, пореден номер и т.н.). Псевдонимизираните данни все още са лични данни и са предмет на ОРЗД.

Анонимизирани данни са данни, които са направени анонимни по такъв начин, че физическото лице не може да бъде идентифицирано или вече не може да бъде идентифицирано чрез средства, за които може да се предположи, че ще бъдат използвани. Когато анонимизацията се прилага правилно, ОРЗД вече не се прилага за анонимизираните данни.

Повече информация:

• Сигурни лични данни

В ОРЗД се прави разграничение между две основни роли: тези на администратора на данни и обработващия лични данни. Това разграничение е от решаващо значение, тъй като администраторът на данни носи по-голяма отговорност и трябва да изпълнява повече задължения от обработващия лични данни.

Администраторите и обработващите лични данни могат да бъдат физически или юридически лица, например: МСП, публичен орган, дружество, организация, държавен орган, сдружение и т.н.

Администраторът на данни определя целите и средствата на операцията по обработване. С други думи, администраторът решава как и защо се извършва операция по обработване. Докато обработващите лични данни обработват лични данни от името на администратора. Обработването, извършвано от обработващите, трябва да бъде уредено в договор с администратора на данни или в друг правен акт.

Примери за администратори на данни:

• дружества, които обработват личните данни на своите клиенти, за да извършат продажба;
• финансови институции, които обработват лични данни на своите клиенти;
• асоциации, които обработват данните на своите членове;
• училища или университети, които обработват лични данни на студенти и учители;
• болници, които обработват лични данни на своите пациенти;
• правителствени агенции, които обработват лични данни на граждани.

Примери за обработващи данни:

• МСП наема счетоводна служба, която да съхранява неговите счетоводни книги и регистри, МСП е администратор на данни, а счетоводната служба — обработващ данни;
• дружество за заплати обработва лични данни за МСП. Дружеството ще действа като обработващ лични данни, ако обработва единствено личните данни от името на МСП. МСП определя целите и средствата за обработването на данните и следователно е администратор на данни.
• МСП възлага на маркетингова компания да събира имейл адреси чрез уебсайтове на трети страни. Маркетинговото дружество прави това в съответствие с изричните указания на МСП и за изключителни цели на МСП. Маркетинговата компания действа като обработващ за това обработване на данни.

Повече информация:

• Администратор на данни или обработващ лични данни

Някои видове лични данни принадлежат към специални категории лични данни, което означава, че заслужават по-голяма защита, т.нар. чувствителни данни. Чувствителните данни включват данни, които разкриват информация за:

• здравето на индивида;
• сексуалната ориентация на индивида;
• расов или етнически произход на дадено лице;
• политически възгледи, религиозни или философски убеждения на дадено лице; членство в синдикални организации на дадено лице;
• биометрични и генетични данни на физическото лице.

Обработването на чувствителни данни на дадено физическо лице по принцип е забранено, освен при специфични обстоятелства, които оправдават обработването им.
 

Повече информация:

• Основи на защитата на данните

ДЛЗД може да бъде настоящ служител с достатъчно познания по ОРЗД (ако професионалните задачи на служителя са съвместими с тези на ДЛЗД и това не води до конфликт на интереси) или външно лице. ДЛЗД следва да може да изпълнява задачи независимо и да може да докладва пряко на най-висшето ръководство.

Повече информация:

• Длъжностно лице по защита на данните

„Лични данни“ означава всяка информация, свързана с идентифицирано или идентифицируемо физическо лице. Идентифицируемо лице е всяко лице, което може да бъде идентифицирано, пряко или косвено. Различните елементи от информацията, които събрани заедно, биха могли да доведат до идентифицирането на конкретно лице, също представляват лични данни.
Примери за лични данни включват:

• име и фамилия;
• домашен адрес;
• електронен адрес;
• номер на лична карта;
• данни за местоположението;
• адрес на интернет протокол (IP);
• идентификационен номер на „бисквитката“;
• банкови сметки;
• данъчни отчети;
• биометрични данни (като пръстови отпечатъци);
• номер на социална осигуровка;
• номер на паспорта;
• резултати от изпитването;
• оценки в училище;
• история на сърфирането;
• снимка на физическо лице;
• регистрационен номер на превозното средство и т.н.
   

Повече информация:

• Основи на защитата на данните
   

1. Уверете се, че данните, които сте получили, са били събрани законно и че съответните лица са били информирани за обработването на личните им данни.
2. В случай, че трета страна обработва лични данни от Ваше име, се уверете, че имате сключен договор от вида администратор- обработващ, в който подробно се описват операциите по обработване и средствата за обработка на лични данни.

И, разбира се, спазвайте всички задължения на администраторите.

Повече информация:

• Администратор на данни или обработващ лични данни
   

The necessary security measures can differ based on the nature of the personal data you process and the associated risks to individuals. In any case, there are some minimum measures you should put into place:

• secure access to the premises;
• use regularly updated antivirus software;
• carefully choose your passwords;
• make users authenticate themselves before using the computer facilities;
• have a data back-up and retrieval policy in place in case of an incident.

In addition, some basic measures such as locking your screen while you are away and locking up the office at the end of the day are never out of place...

More information:

• Secure personal data

Публикуването на имената на победителите в конкурса на Вашия уебсайт може да се счита за легитимен интерес, ако можете да докажете това, като извършите балансиращ тест, за да определите дали Вашите законни интереси надвишават правата на физическите лица.

Добра практика би било да се създаде вътрешна процедура, в която да се обясняват правилата за публикуване на лични данни на победителите.

Освен това обработването на лични данни за тези цели следва да бъде част от политиката за поверителност на конкурса, така че участниците да бъдат информирани предварително за това как ще бъдат обработвани техните данни.

Повече информация:

• Законосъобразно обработване на лични данни

Да, можете, но ОРЗД поставя определени задължения на предприятията, които споделят лични данни. Вашата организация трябва да информира физическите лица, че ще споделите техните данни с трета страна. Трябва също така да ги информирате за Вашите цели, сигурност, достъп и мерки за съхранение, които ще се прилагат.

Назначаването на ДЛЗД е задължително в следните три случая:

• организацията е публичен орган;
• основните дейности на организацията се състоят в редовно и систематично наблюдение на лица в голям мащаб, например геолокация чрез мобилно приложение или наблюдение на търговски центрове и обществени пространства чрез видеонаблюдение;
• основните дейности на организацията се състоят в широкомащабна обработка на чувствителни данни или лични данни, свързани с присъди и престъпления.

Винаги можете да назначите ДЛЗД на доброволен принцип, дори ако това не се изисква по закон. Моля, имайте предвид, че в този случай трябва да спазвате всички разпоредби на ОРЗД относно задачите и длъжността на длъжностното лице по защита на данните.

Повече информация:

• Длъжностно лице по защита на данните

Не, не е необходимо да публикувате Вашият регистър на дейностите по обработване. При поискване, обаче, трябва да можете да го предоставите на органа за защита на данните.

Повече информация:

• Да бъдат в съответствие