Често задавани въпроси
Какво представлява конфликт на интереси за длъжностно лице по защита на данните (ДЛЗД)?
ДЛЗД могат да изпълняват други задачи в рамките на организацията, но това не може да доведе до конфликт на интереси. Това означава, че ДЛЗД не може да има позиция, в която да определя целите и средствата на дейностите по обработване. Конфликтните функции включват главно ръководни длъжности (главен изпълнителен директор, главен оперативен директор, главен финансов директор, ръководител на човешките ресурси, ръководител на ИТ, управляващ директор), но могат да включват и други функции, ако те водят до определяне на целите и средствата за обработка.
ДЛЗД трябва да е в състояние да изпълнява своите задължения и задачи по независим начин. Това означава, че Вашата организация:
- не може да дава указания на ДЛЗД във връзка с изпълнението на задълженията му;
- не може да санкционира или освобождава ДЛЗД за изпълнението на неговите задачи.
Повече информация:
Какво представлява оценката на въздействието върху защитата на данните и кога тя е задължителна?
Оценката на въздействието върху защитата на данните или ОВЗД е писмена оценка, която Вашата организация трябва да направи, за да оцени въздействието на планирана операция по обработване. Тя ви помага да определите подходящите мерки за справяне с рисковете и да демонстрирате съответствие.
Въпреки че винаги е за предпочитане да се предвиди въздействието на планираните операции по обработване на Вашата организация чрез извършване на ОВЗД, такава проверка е задължително да се извърши, когато има вероятност обработването да доведе до висок риск за правата и свободите на физическите лица.
По-конкретно, такъв е случаят, когато предвиденото обработване включва:
- мащабно обработване на чувствителни лични данни или данни, свързани с присъди;
- систематична и подробна оценка на личните аспекти на дадено лице, която се базира на автоматично обработване, включително профилиране, и служи за основа на решения, които имат правни последици за въпросното лице или по подобен начин сериозно засягат физическите лица;
- систематично мащабно наблюдение на публично достъпна зона.
ЕКЗД е разработил насоки, в които са изброени критериите, които трябва да вземете предвид, когато преценявате дали ОВЗД е задължителна или не. Органите за защита на данните (ОЗД) също така публикуваха списъци на операциите по обработване, които подлежат на ОВЗД. Освен това няколко ОЗД са разработили ръководства, софтуер или инструменти за самооценка, които да ви помогнат с Вашата оценка.
Повече информация:
Какво трябва да направя в случай на нарушение на сигурността на данните?
Нарушение на сигурността на личните данни е нарушение на сигурността, водещо до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни.
- Ако нарушението на сигурността на данните представлява риск за засегнатите лица, трябва да съобщите за това на съответния орган за защита на данните в срок от 72 часа.
- Ако има вероятност нарушението да доведе до висок риск за физическите лица, ще трябва също така да съобщите това нарушение на засегнатите лица без ненужно забавяне.
Във всеки случай, за всички нарушения — дори и тези, които не са съобщени на ОЗД — трябва да запишете най-малко основните данни за нарушението, оценката му, последиците от него и предприетите последващи стъпки.
Повече информация:
Какво трябва да направя, когато някой ме попита как обработвам данните му?
Физическите лица могат да Ви попитат дали обработвате техните данни и когато това е така, те имат право на достъп до тези данни. Така че, когато това се случи и ако обработвате техните данни, трябва например да предоставите безплатно копие от личните им данни, заедно с всяка необходима допълнителна информация. Когато искането се подава по електронен път, Вашата организация следва да предостави изискваната информация в широко използван електронен формат, освен ако лицата не поискат друго.
Повече информация:
Като администратор на данни съм събрал лични данни на физически лица от трета страна, какво трябва да направя, за да спазя изискванията?
- Уверете се, че данните, които сте получили, са били събрани законно и че съответните лица са били информирани за обработването на личните им данни.
- В случай, че трета страна обработва лични данни от Ваше име, се уверете, че имате сключен договор от вида администратор- обработващ, в който подробно се описват операциите по обработване и средствата за обработка на лични данни.
И, разбира се, спазвайте всички задължения на администраторите.
Повече информация:
Кога трябва да споделите тази информация?
Ако Вашата организация събира личните данни директно от физически лица, тя трябва да предостави необходимата информация в момента на събирането.
В случай на непряко събиране на лични данни, Вашата организация трябва да предостави информацията най-късно в рамките на един месец след първоначалното получаване на личните данни. Този максимален срок от един месец може да бъде намален:
- ако личните данни се използват за целите на комуникацията със субекта на данните. В този случай трябва да уведомите субекта на данните най-късно при първото съобщение до лицето;
- ако данните се предават на друг получател, организацията информира субектите на данни за това най-късно при предаването на личните данни.
Повече информация:
Колко дълго мога да съхранявам лични данни?
Не можете да съхранявате лични данни завинаги.
По правило личните данни могат да се съхраняват само толкова дълго, колкото е необходимо за целите, за които се обработват.
В някои случаи периодът на съхранение може да бъде определен от специални закони, например трудовите разпоредби определят период за съхранение на списъците за заплати.
Организациите следва да въведат политики за запазване на данните, за да се уверят, че личните данни не се съхраняват по-дълго от необходимото. Личните данни на физическите лица трябва да бъдат изтрити или анонимизирани, след като вече не са необходими за целта, за която се обработват.
Повече информация:
Мога ли да записвам телефонни разговори с клиенти, с цел подобряване на качеството на услугата и имам ли нужда от съгласие за това?
Да, Вашите клиенти трябва да бъдат информирани, когато извършват телефонно обаждане, за целите на записа, получателите на записите, за правото им на възражение и на достъп до записите.
Повече информация:
Мога ли да публикувам имената на победителите в конкурса на уебсайта на моята организация?
Публикуването на имената на победителите в конкурса на Вашия уебсайт може да се счита за легитимен интерес, ако можете да докажете това, като извършите балансиращ тест, за да определите дали Вашите законни интереси надвишават правата на физическите лица.
Добра практика би било да се създаде вътрешна процедура, в която да се обясняват правилата за публикуване на лични данни на победителите.
Освен това обработването на лични данни за тези цели следва да бъде част от политиката за поверителност на конкурса, така че участниците да бъдат информирани предварително за това как ще бъдат обработвани техните данни.
Повече информация: