Data protection guide for small business logo
Close menu
Back to EDPB

Често Задавани Въпроси

Filter on
Filter on topic

Как мога да получа валидно съгласие?

За да може съгласието да се счита за валидно, то трябва да бъде:

  • свободно изразеноо;
  • специфично;
  • информирано; и
  • недвусмислено.

Това означава, че физическите лица трябва да имат истински свободен избор дали са съгласни или не с обработването на личните им данни; те се нуждаят от достатъчно информация, за да могат да разберат кои данни се обработват, с каква цел и как се прави това; те също така се нуждаят от достатъчно добре обяснени исканията за съгласие.

Освен това трябва да има ясно утвърдително действие от страна на лицето (без предварително отметнати полета и без да е отделено от приложимите общи условия).

Освен това лицата трябва да могат свободно да оттеглят съгласието си (без никакви отрицателни последици), ако по-късно променят мнението си.

Повече информация:

Кога трябва да споделите тази информация?

Ако Вашата организация събира личните данни директно от физически лица, тя трябва да предостави необходимата информация в момента на събирането.
В случай на непряко събиране на лични данни, Вашата организация трябва да предостави информацията най-късно в рамките на един месец след първоначалното получаване на личните данни. Този максимален срок от един месец може да бъде намален:

  • ако личните данни се използват за целите на комуникацията със субекта на данните. В този случай трябва да уведомите субекта на данните най-късно при първото съобщение до лицето;
  • ако данните се предават на друг получател, организацията информира субектите на данни за това най-късно при предаването на личните данни.

Повече информация:

Трябва ли моята организация да спазва ОРЗД?

Всяка организация, независимо от нейния размер или сектор, установена в Европейското икономическо пространство (ЕИП) или предлагаща продукти или услуги на физически лица в ЕИП, която обработва лични данни,  със или без използване на автоматизирани средства трябва да спазва ОРЗД. Дори ако ОРЗД се отнася главно до автоматизираното обработване на лични данни, операциите по обработване, извършвани ръчно, също ще бъдат предмет на Регламента от момента, в който досиетата на хартиен носител са организирани по систематичен начин, например по азбучен ред в шкаф за документи. 
Примери за операции по обработване включват събиране, записване, организиране, използване, модифициране, съхраняване, разкриване, промяна и изтриване на лични данни на физически лица.

Независимо от това, прилагането на ОРЗД се променя в зависимост от естеството, вида, целите и рисковете на извършваните операции по обработване. За МСП, чиято основна дейност не е обработването на лични данни, задълженията могат да бъдат по-малко строги, отколкото за голямо дружество.


Повече информация:

Какви са задачите на длъжностното лице по защита на данните (ДЛЗД)?

Задачата на ДЛЗД включва, наред с другото:

  • да информира и съветва организацията и нейните служители относно спазването на изискванията за защита на данните;
  • да наблюдава спазването на изискванията за защита на данните;
  • да предоставя съвети по искания във връзка с оценката на въздействието върху защитата на данните (ОВЗД);
  • да действа като точка за контакт с органа за защита на данните (ОЗД) и да си сътрудничи с този ОЗД;
  • да действа като точка  за контакт по отношение на физическите лица.

Освен това присъствието на ДЛЗД обикновено се препоръчва, когато се вземат решения с последици за защитата на данните. Длъжностното лице следва също така незабавно да бъде консултирано след настъпване на нарушение на сигурността на данните или друг инцидент.
 

Повече информация:

Какви са отговорностите ми съгласно ОРЗД?

ОРЗД налага задължения на всички организации, които обработват лични данни, независимо дали са администратори на данни или обработващи данни.
По-специално, Вие трябва:

  • Да се запитате дали целта, за която могат да бъдат събирани лични данни, е оправдана, и да събирате само лични данни, които са необходими за конкретната(ите) цел(и);
  • Да поддържате личните данни на физическите лица точни и актуални и да ги изтриваме, когато вече не са необходими;
  • Да зачитате правата на физическите лица, като ги информирате за това как и защо се обработват техните данни и им позволявате да упражняват правата си;
  • Да проверите дали имате подходящо правно основание за обработването на лични данни. В случай, че възнамерявате да разчитате на съгласието на физическите лица, да поискате съгласието им, преди да обработите личните им данни;
  • Да гарантирате, че личните данни на физическите лица се обработват по сигурен начин;
  • Да поддържате регистър на операциите по обработка.

Обработващите данни ще трябва да се придържат към отговорностите, определени в договора между  администратора и обработващия лични данни, и те не трябва да обработват данните по друг начин, освен в съответствие с инструкциите на администратора.

Повече информация:

Какви са основните принципи на обработка съгласно ОРЗД?

  • Всяко обработване на лични данни трябва да бъде законосъобразно, добросъвестно и прозрачно.
  • Да се събират лични данни само за конкретни, изрично указани и легитимни цели. Обработването на данните на дадено физическо лице трябва да бъде строго ограничено до първоначално установената(ите) цел(и) и следователно да не се обработва за последващи или други цели, които са несъвместими с първоначалните.
  • Да се обработват само лични данни, които са необходими и пропорционални с оглед на предвидената цел.
  • Всички лични данни, които обработвате, трябва да бъдат точни и актуализирани. Неточните лични данни трябва да бъдат коригирани или изтрити.
  • Личните данни на физическите лица трябва да се съхраняват ограничено във времето с оглед на целта, за която тези данни са били събрани и обработени. Личните данни трябва да бъдат изтрити или анонимизирани, след като вече не са необходими.
  • Данните на физическите лица трябва да се обработват по сигурен начин. В този смисъл трябва да се въведат строги мерки за контрол на киберсигурността, за да се гарантира, че данните  са адекватно защитени.

И накрая, администраторът носи отговорност. Това означава, че той има задължения и трябва да е в състояние да докаже спазването на горепосочените принципи.
 

Повече информация:

Колко дълго мога да съхранявам лични данни?

Не можете да съхранявате лични данни завинаги.
По правило личните данни могат да се съхраняват само толкова дълго, колкото е необходимо за целите, за които се обработват.

В някои случаи периодът на съхранение може да бъде определен от специални закони, например трудовите разпоредби определят период за съхранение на списъците за заплати.

Организациите следва да въведат политики за запазване на данните, за да се уверят, че личните данни не се съхраняват по-дълго от необходимото. Личните данни на физическите лица трябва да бъдат изтрити или анонимизирани, след като вече не са необходими за целта, за която се обработват.

Повече информация:

Имам ли нужда от регистър на дейностите по обработване?

Най-общо казано, всяка организация трябва да води регистър на своите дейности по обработване. Това е списък на всички операции по обработване и може да ви помогне да направите правилни предположения за вашите отговорности съгласно ОРЗД и възможните рискове.
Всяка от тези операции по обработване трябва да бъде описана в регистъра със следната информация:

  • целта на обработката (напр. лоялност на клиентите);
  • категориите обработвани данни (напр. за заплати: име, собствено име, дата на раждане, заплата и т.н.);
  • кой има достъп до данните (получателите — напр.: отделът, отговарящ за набирането на персонал, служителите, предоставящи  ИТ услуги, ръководството, доставчиците на услуги, партньорите и т.н.);
  • когато е приложимо, информация, свързана с предаване на лични данни извън Европейското икономическо пространство (ЕИП),
  • когато е възможно, периодът на съхранение (периодът, за който данните са полезни от оперативна гледна точка и от гледна точка на архивирането).
  • когато е възможно, общо описание на мерките за сигурност.

Регистърът на дейностите по обработване е отговорност на ръководителя на Вашата организация.
Този запис трябва да бъде на разположение на органа за защита на данните на държавата от ЕИП, в която работите, ако това бъде поискано.


Не се изисква организациите, в които работят по-малко от 250 души, да споменават в своите регистри чисто случайни дейности (напр. данни, обработвани за еднократни събития, като например откриване на магазин).
 

Повече информация:

Какво представлява конфликт на интереси за длъжностно лице по защита на данните (ДЛЗД)?

ДЛЗД могат да изпълняват други задачи в рамките на организацията, но това не може да доведе до конфликт на интереси. Това означава, че ДЛЗД не може да има позиция, в която да определя целите и средствата на дейностите по обработване. Конфликтните функции включват главно ръководни длъжности (главен изпълнителен директор, главен оперативен директор, главен финансов директор, ръководител на човешките ресурси, ръководител на ИТ, управляващ директор), но могат да включват и други функции, ако те водят до определяне на целите и средствата за обработка.

ДЛЗД трябва да е в състояние да изпълнява своите задължения и задачи по независим начин. Това означава, че Вашата организация:

  • не може да дава указания на ДЛЗД във връзка с изпълнението на задълженията му;
  • не може да санкционира или освобождава ДЛЗД за изпълнението на неговите задачи.

Повече информация:

Какво трябва да направя в случай на нарушение на сигурността на данните?

Нарушение на сигурността на личните данни е нарушение на сигурността, водещо до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни.

  • Ако нарушението на сигурността на данните представлява риск за засегнатите лица, трябва да съобщите за това на съответния орган за защита на данните в срок от 72 часа.
  • Ако има вероятност нарушението да доведе до висок риск за физическите лица, ще трябва също така да съобщите това нарушение на засегнатите лица без ненужно забавяне.

Във всеки случай, за всички нарушения — дори и тези, които не са съобщени на ОЗД — трябва да запишете най-малко основните данни  за нарушението, оценката му, последиците от него и предприетите последващи стъпки.

Повече информация:

Как мога да зачитам правата на физическите лица за защита на данните?

ОРЗД предвижда специфични права за физическите лица, които трябва да бъдат спазвани. Можете да направите това чрез:

  • информиране на лицата, чиито данни обработвате, за Вашите операции по обработване и за целите на обработването, когато събирате техните данни, например, чрез декларация за поверителност на Вашия уебсайт;
  • чрез отговаряне на исканията на физическите лица да упражнят правата си, като например искания за достъп, коригиране, възражение, изтриване или преносимост.

Организациите, които са прозрачни по отношение на използването на лични данни от тяхна страна и които зачитат правата на физическите лица, е по-малко вероятно да станат обект на жалби.

Повече информация:

Как мога да се информирам и следя работата на ЕКЗД?

ЕКЗД редовно публикува съобщения за медиите, новини, блогове и друго съдържание на уебсайта на ЕКЗД и неговите канали в социалните медии (Туитър: @EU_EDPB; LinkedIn: Европейският комитет по защита на данните), за да информира редовнообщността за защита на данните и широката общественост.

На уебсайта на ЕКЗД има и два RSS канали, за които можете да се абонирате за да получавате автоматични актуализации на новините на ЕКЗД и неговите последните публикации.

Какво представлява ОРЗД?

С ОРЗД или Общия регламент относно защитата на данните се създава хармонизиран набор от правила, приложими за всяко обработване на лични данни от организации (публични или частни, независимо от техния размер), установени в Европейското икономическо пространство (ЕИП) или насочени към физически лица в ЕС. Основната цел на ОРЗД е да гарантира, че личните данни се ползват с един и същ висок стандарт на защита навсякъде в ЕИП, като повишава правната сигурност както за физическите лица, така и за организациите, които обработват данни, и предлага висока степен на защита на субектите на данни.

Регламентът влезе в сила на 24 май 2016 г. и се прилага от 25 май 2018 г.

Важи ли ОРЗД и за регистрите на хартиен носител?

Да, ОРЗД се прилага, ако личните данни се съдържат или са предназначени да се съдържат в система за картотекиране. Това означава, че ОРЗД се прилага и за регистрите на хартиен носител, а не само за автоматизираното обработване на лични данни.

Повече информация:

Какво е съвместен администратор?

Когато има двама или повече администратори на данни, които съвместно определят целта и средствата на обработването, те се считат за съвместни администратори. Те решават заедно да обработват лични данни за съвместна цел. Съвместното администриране може да бъде под много форми, а участието на различните администратори може да бъде неравномерно. Следователно, съвместните администратори трябва да определят своите  отговорности за спазване на ОРЗД.

Важно е да се отбележи, че съвместното администриране води до съвместна отговорност за дадена дейност по обработване.

  • Пример за съвместно администриране: Компании А и Б са стартирали продукт с обща марка и желаят да организират събитие за популяризиране му. За тази цел те решават да споделят данни от своите бази данни с настоящи и потенциални клиенти и възоснова на тях да вземат решение относно включването в списъка на поканените на събитието. Те също така се споразумяват относно реда и условията за изпращане на поканите за събитието, как да се събират отзиви по време на мероприятието и последващи маркетингови действия. Дружества А и Б могат да се считат за съвместни администратори за обработването на лични данни, свързани с организирането на промоционалната проява, тъй като те вземат съвместно решение за съвместно определената цел и основните средства за обработка на данните.

Повече информация:

Организирам мероприятие като част от моята бизнес дейност, мога ли да направя снимки и видеоклипове на събитието и на присъстващите?

Да, но за да направите това, първо трябва да определите правното основание за обработването на този вид лични данни. Например, обработването може да се счита за легитимен интерес за Вашата организация. Когато обработвате лични данни въз основа на легитимен интерес, винаги е необходимо да проведете балансиращ тест, за да определите дали Вашите законни интереси имат преимущество над правата на физическите лица, особено ако участват деца.

Друго възможно правно основание за такова обработване може да бъде съгласието. Във всеки случай лицата трябва винаги да бъдат информирани предварително, че събитието се снима или заснема.
 

Повече информация:

Ако искам да съхранявам автобиографии на кандидати за бъдещи процедури за набиране на персонал, трябва ли да поискам съгласието на кандидатите?

Съгласието наистина би могло да бъде валидно правно основание за съхраняване на автобиографиите на кандидатите за работа. Друго възможно правно основание може да бъде легитимен интерес. В този случай ще трябва да извършите тест за балансиране, за да докажете, че законните интереси на Вашата организация надвишават правата на кандидатите.

Във всеки случай ще трябва да информирате кандидатите, че планирате да съхранявате техните данни и за какви цели.

Повече информация:

Can I only process personal data when I have the individual’s consent?

Processing personal data is allowed if there is a legal basis for it. In addition to free, specific , informed and unambiguous consent, other legal bases for processing can be used.
In other words, consent is necessary when none of the other legal bases applies.

More information:

Трябва ли да бъда сертифициран, за да стана длъжностно лице по защита на данните (ДЛЗД)?

Не, не е необходимо да се сертифицирате, за да станете ДЛЗД.

ДЛЗД обаче трябва да могат да докажат, че притежават необходимата квалификация, изисквана от ОРЗД, като например експертни познания по законодателството и практиките в областта на защитата на данните.

Повече информация:

Какво представлява оценката на въздействието върху защитата на данните и кога тя е задължителна?

Оценката на въздействието върху защитата на данните или ОВЗД е писмена оценка, която Вашата организация трябва да направи, за да оцени въздействието на планирана операция по обработване. Тя ви помага да определите подходящите мерки за справяне с рисковете и да демонстрирате съответствие.

Въпреки че винаги е за предпочитане да се предвиди въздействието на планираните операции по обработване на Вашата организация чрез извършване на ОВЗД, такава проверка е задължително да се извърши, когато има вероятност обработването да доведе до висок риск за правата и свободите на физическите лица.

По-конкретно, такъв е случаят, когато предвиденото обработване включва:

  • мащабно обработване на чувствителни лични данни или данни, свързани с  присъди;  
  • систематична и подробна оценка на личните аспекти на дадено лице, която се базира на автоматично  обработване, включително профилиране, и служи за основа на  решения, които имат  правни последици за въпросното лице или по подобен начин сериозно засягат физическите лица;
  • систематично мащабно наблюдение на публично достъпна зона.

ЕКЗД е разработил насоки, в които са изброени критериите, които трябва да вземете предвид, когато преценявате дали ОВЗД е задължителна или не. Органите за защита на данните (ОЗД) също така публикуваха списъци на операциите по обработване, които подлежат на ОВЗД. Освен това няколко ОЗД са разработили ръководства, софтуер или инструменти за самооценка, които да ви помогнат с Вашата оценка.
 

Повече информация: