Какви права имат физическите лица съгласно ОРЗД?
ОРЗД предоставя следните права на субектите на данни, т.е. лицата, чиито данни се обработват:
- Право на информиране
- Право на достъп
- Право на коригиране
- Право на изтриване (право да бъдеш забравен)
- Право на ограничаване на обработването
- Право на преносимост на данните
- Право на възражение
- Правото да не бъде обект на решение, основаващо се единствено на автоматизирано обработване
Моля, имайте предвид, че някои от тези права не се прилагат във всички ситуации, за повече информация, можете да направите справка в таблицата относно правата на субекта на данни, които се упражняват при всяко правното основание.
Администраторът на данни е длъжен да отговаря на исканията на субектите на данни, които упражняват правата си, и трябва да улеснява упражняването на тези права. Обработващият лични данни трябва да подпомага администратора на данни в тази задача.
Списък на действията, които следва да бъдат предприети по отношение на правата на субектите на данни:
- Бъдете подготвени: Разработване на системи и процедури за отговор на искания на субектите на данни за упражняване на права и обучение на служителите Ви да интегрират исканията във Вашите вътрешни работни процеси.
- Улеснявайте упражняването на правата: Улесняване на информирането на субектите на данни относно техните права и начините за свързване с Вас, когато желаят да ги упражнят.
- Запознайте се с потоците от данни: Поддържайте регистъра си в актуален вид, за да идентифицирате бързо данните, които обработвате, и да откривате и извличате ефективно информация.
- Бъдете прозрачни: Винаги информирайте субектите на данни по ясен и разбираем начин за личните данни, които обработвате, преди обработването (например, във Вашата политика за поверителност) и по време на обработването (например, при съобразяванес искане за достъп на субекта на данни).
- Отговаряйте в рамките на 1 месец: Винаги отговаряйте на искането на субекта на данни в рамките на един месец. Ако имате нужда от допълнително време за отговор или ако не можете да изпълните искането: информирайте субекта на данните за това в едномесечен срок.
- Предайте го на: Когато получите искане за лични данни, което сте прехвърлили на други получатели, не забравяйте, ако е необходимо, да информирате получателите за резултата от искането.
- Документирайте: Проследявайте исканията на субектите на данни и записвайте отговорите си, също така проследявайте мотивите си, когато не отговаряте на искане.
Как да разгледаме искането на субекта на данни за упражняване на права
Прозрачността е от ключово значение за защитата на данните като цяло и, разбира се, по отношение на правата на субекта на данни.
Администраторът на данни трябва:
- комуникира със субектите на данни на ясен и разбираем език (това е особено важно в случаите, когато дадена организация се обръща към деца); и
- улеснява упражняването на тези права, по-специално чрез електронни средства. Например, можете да предоставите онлайн формуляр на уебсайта си, който субектите на данни могат да използват, за да упражняват лесно правата си за защита на данните.
Отговорете писмено
Общото правило е, че организацията следва да отговаря на искането за достъп на дадено физическо лице по същия начин, по който е отправено искането, или по начина, по който субектът на данни изрично е поискал отговор. За предпочитане е да отговорите писмено, включително, когато е целесъобразно, по електронен път. Отговор на искане на субекта на данни за упражняване на права може да бъде даден устно, но това не се препоръчва, тъй като трябва да можете да докажете, че сте отговорили на искането.
Отговорете в рамките на един месец
ОРЗД определя за колко време администраторът на данни трябва да отговори на дадено искане и в какви случаи може да начислява такси.
Когато субектите на данни упражняват някое от своите права, администраторът трябва да отговори в срок от един месец. Ако искането е твърде сложно и е необходимо повече време за отговор, Вашата организация може да удължи срока с още два месеца, при условие че физическото лице бъде информирано в срок от един месец след получаване на искането. Ако Вашата организация може да докаже, че искането е явно неоснователно или прекомерно, по-специално поради повтарящия се характер, можете да начислите разумна такса или да откажете да го уважите.
Ако Вашата организация има основателни съмнения относно самоличността на лицето, отправило искането (например искането е направено с друг имейл адрес, различен от този, който обикновено се използва от клиента, или е направено извън автентичен клиентски профил), преди да отговорите, можете да поискате допълнителна информация, за да потвърдите самоличността на субекта на данните.
Ако не възнамерявате да изпълните конкретното искане на субекта на данните, трябва да уведомите лицето в срок от един месец от получаването на искането за причините, поради които няма да уважите искането (например защо не изтривате исканите данни). Освен това трябва да информирате физическото лице за възможността да подаде жалба до неговия национален орган за защита на данните и да потърси съдебна защита.
Не начислявайте такса
YВашата организация не може да претендира за плащане от субект на данни, който иска да упражни някое от правата си. Можете обаче да начислите такса, ако искането на физическото лице е явно неоснователно или прекомерно, по-специално поради повторяемостта му. При изчисляването на таксата трябва да се вземат предвид административните разходи на Вашата организация за отговор на искането. Както бе обяснено по-горе, също така е възможно да се откаже предприемането на действия по искане, което е явно неоснователно или прекомерно. В такава ситуация трябва да сте в състояние да докажете, че това е така.
На практика
- Субектът на данни подава искания за достъп на всеки два месеца до дърводелеца, който е произвел неговата маса. Дърводелецът отговаря напълно на първото искане. Тъй като дърводелецът не обработва лични данни като част от основната си дейност и не е предоставил повече от една услуга на субекта на данните, малко вероятно е да са настъпили промени в набора от данни, отнасящи се до физическото лице. Лицето пояснява, че новото искане се отнася до същата информация като последното такова. Следователно, това искане може да се счита за прекомерно поради повтарящия си характер.
- Ако дърводелецът реши да предостави личните данни на субекта на данните, но срещу заплащане, е препоръчително да го информира предварително за това, като по този начин му се даде възможност да оттегли искането, за да не бъде таксувано. Като алтернатива дърводелецът може да информира физическото лице за причините, поради които няма да отговори на това искане, както и за възможността да подаде жалба до орган за защита на данните и да потърси правна защита.
Право на информиране
Правото да бъдат информирани позволява на хората да разберат какво ще се направи с техните данни и следователно да вземат информирани решения, и да имат по-голям контрол върху личните си данни. Всички субекти на данни имат право да получават информация, когато обработват данните им.
Като организация, действаща като администратор, Вие имате задължението да информирате физическите лица.
Каква информация?
Информацията, която трябва да бъде предоставена, се различава в зависимост от това дали сте събрали личните данни директно от субекта на данните (пряко събиране, разписано в член 13 от ОРЗД) или дали сте ги получили от друг източник (непряко събиране, заложено в член 14 от ОРЗД). В таблиците по-долу е представен преглед на информацията, която трябва да предоставите на лицето:
Освен това, ОРЗД изисква от Вашата организация да предостави следната информация, за да се гарантира справедливо и прозрачно обработване:
Вашата организация трябва отново да предостави информацията във втората таблица в случай на по-нататъшна обработка за нова съвместима цел, която се различава от първоначалната. Тази информация трябва да бъде предоставена преди по-нататъшната обработка. В този случай трябва също така да представите на субекта на данните обяснение как новите и предишните цели са съвместими помежду си.
Кога трябва да бъде предоставена информацията?
Ако Вашата организация събира личните данни директно от субекта на данните, тя трябва да предостави необходимата информация в момента на събирането.
В случай на непряко събиране на лични данни, Вашата организация трябва да предостави информацията най-късно в рамките на един месец след първоначалното получаване на личните данни. Този максимален срок от един месец се намалява:
- ако личните данни се използват за целите на комуникацията със субекта на данните. В този случай трябва да уведомите лицето най-късно при първото съобщение, изпратено до него;
- ако данните се предават на друг получател, организацията информира субектите на данни за това най-късно при предаването на личните данни.
При никакви обстоятелства максималният срок от един месец не може да бъде удължаван.
В случай на последващи промени в обработването (напр. нови получатели, съвместима цел, прехвърляне извън ЕИП и т.н.), Вашата организация трябва предварително да информира субекта на данните във всички случаи преди промяната да влезе в сила. Колкото по-съществена е промяната, толкова по-рано Вашата организация следва да информира субекта на данните, така че последният да има разумен срок да оцени въздействието и да упражни правата си.
Кога Вашата организация не е задължена да съобщава информация?
Вашата организация не е длъжна да информира субекта на данните, ако това лице вече е получило необходимата информация.
В случай на непряко събиране на лични данни се прилагат допълнителни изключения. В този случай предоставянето на информация не е необходимо, ако:
- предоставянето на такава информация се оказва невъзможно или би изисквало несъразмерно големи усилия. Летвата за това изключение обаче е много висока, което означава, че администраторът може само по изключение да се позове на този критерий;
- получаването или разкриването на данни е изрично предвидено в закона;
- личните данни трябва да бъдат поверителни въз основа на правно задължение за опазване на професионална тайна.
На практика
- В някои държави от ЕС националното законодателство може да задължи данъчните органи да изискват определена информация за служителите от работодателите. В този случай данъчните органи не трябва да информират служителя. Въпреки това, като част от задължението си за информиране, работодателят ще информира служителя, че данъчните органи са един от получателите на личните данни.
Как следва да се предоставя информацията на субекта на данните?
Добър начин за предоставяне на информация е да се работи с различни нива на информация. Така се избягва едновременното предоставяне на прекомерно количество информация, което може да навреди на прозрачността и да удави субекта на данните с информация. Използването на многослоен подход е в съответствие, както с изискването за краткост, така и с това за предоставяне на цялата необходима информация. По този начин не само се опростява задачата на администратора, но също така се позволява на субекта на данните бързо и ефективно да разбере съществената информация. Информацията може да бъде представена, както следва:
- Първо ниво, свързано с основна информация
- КАКВО? Организацията предоставя резюме на основната информация, от която субектът на данни се нуждае, за да оцени въздействието и обхвата на обработването (т.е. самоличността на администратора, целите на обработването, категориите получатели, източника на данни, правата на субекта на данни,...).
- КАК? Например в табличен формат, на ясно видимо място със заглавие „Основна информация за защита на данните“ или чрез изскачащи прозорци, които дават обяснения при събирането на лични данни. Ако обработването се основава на съгласие, за предпочитане е тази информация да се посочи на мястото, където субектът на данните трябва да даде съгласие (близо до бутона „съгласие“).
- Второ ниво, свързано с допълнителна и по-подробна информация
- КАКВО? Тази част представя по разбираем и изчерпателен начин останалата информация, която организацията е длъжна да предостави съгласно членове 13 и 14 от ОРЗД.
- КАК? Допълнителна информация може да бъде предоставена по няколко начина, например чрез хипервръзки, включени в основната информация, или чрез изтегляне на документ. Представянето на тази допълнителна информация следва да осигури баланса между краткостта, от една страна, и пълнотата и точността, от друга страна. Информацията следва да бъде структурирана по такъв начин, че да е лесно четима. Не забравяйте да адаптирате информацията към целевата група (например: ако Вашата услуга е насочена към деца, напишете информацията по начин, който те могат да разберат).
Право на достъп
Като упражняват правото си на достъп, субектите на данни могат да проверяват законосъобразността на всяка дейност по обработване, която ги засяга.
Когато упражняват правото си на достъп, физическите лица следва да получат потвърждение от администратора дали личните им данни се обработват или не. Ако случаят е такъв, субектите на данни имат право на достъп до своите лични данни и следната информация:
- целите на обработването;
- съответните категории лични данни;
- получателите (или категориите получатели) на личните данни;
- срока на съхранение на личните данни или критериите, използвани за определяне на този срок;
- съществуването на право да поискате от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, отнасящи се до субекта на данните, или да възразите срещу такова обработване;
- наличието на право на подаване на жалба до орган за защита на данните;
- източника на данните (когато личните данни не се събират пряко от физическите лица);
- наличието на автоматизирано вземане на решения, включително профилиране, съдържателна информация за използваната логика, както и значението и предвидените последици от това обработване за субекта на данните;
- когато личните данни се предават извън Европейския съюз, всички подходящи гаранции, въведени (съгласно член 46 от ОРЗД, свързани с предаването на данни).
Освен това лицето има право да получи (безвъзмездно) копие от свързаните с него лични данни, които Вашата организация обработва. Ако лицето поиска допълнителни копия, вашата организация може да реши да начисли разумна такса, която се изчислява въз основа на административните разходи за изготвяне на копия. Имайте предвид, че в повечето случаи от физическите лица не може да се изисква да плащат такса за достъп до личната си информация.
Когато искането се подава по електронен път, Вашата организация следва да предостави изискваната информация в широко използван електронен формат, освен ако отделните лица не поискат друго.
Важно е да се отбележи
Преди да предоставите копие от личните данни, трябва да проверите дали това няма да засегне правата и свободите на други лица (например ако в едно и също досие се обработва информация, свързана с повече от едно лице, или информация, свързана с търговски тайни и интелектуална собственост).
Право на коригиране
Субектът на данните има право да поиска и да получи от администратора коригиране на неточни данни и попълване на непълни данни. Ако Вашата организация е предала личните данни на трети страни, трябва да ги информирате за коригирането, освен ако това не се окаже невъзможно или изисква непропорционални усилия.
На практика
- Клиентът информира Вашата организация, че се е преместил в друг град. От вас се изисква да промените адреса им във Вашата клиентска база данни.
Право на изтриване (право да бъдеш забравен)
Субектът на данни може да поиска от дадена организация да изтрие лични данни, свързани с него, в следните ситуации:
- личните данни вече не са необходими за целта, за която са събрани.
- организацията обработва личните данни незаконосъобразно
- организацията трябва да изтрие личните данни поради правно задължение
- субектът на данните оттегля съгласието си и обработването няма друго правно основание
- субектът на данните успешно е упражнил правото си на възражение
- ненавършилите пълнолетие лица, които са дали съгласието си за използване на онлайн услуга, винаги могат да поискат изтриването на такива лични данни (независимо от настоящата им възраст).
Когато личните данни, които трябва да бъдат изтрити, са били прехвърлени преди това на други организации, трябва да информирате тези получатели, че субектът на данните е поискал изтриване, освен ако това се окаже невъзможно или би изисквало непропорционални усилия.
Когато от Вашата организация се изисква да изтрие лични данни, които е направила публично достояние, тя трябва да предприеме всички разумни стъпки, за да информира други администратори, които обработват тези данни, че субектът на данни е поискал изтриване на всички връзки, копия или реплики на неговите лични данни.
Вашата организация може да откаже да изтрие лични данни само в ограничен брой случаи, като например:
- упражняването на правото на свобода на изразяване на мнение и на информация;
- установяването, упражняването или защитата на правни претенции;
- спазване на правно задължение, на което е подчинена организацията, или изпълнение на задача от обществен интерес или при упражняването на официални правомощия, поверени на организацията;
- наличието на съображения от обществен интерес в областта на общественото здраве;
- обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели (при специфични условия).
На практика
- Служител от Вашата организация е уволнен. Служителят иска личните му данни да бъдат изтрити от досието му. Трудовото законодателство обаче изисква да съхранявате няколко документа в областта на човешките ресурси (регистър на служителите, копия на фишовете за заплата и т.н.) за определен период от време. За тези документи трябва да откажете искането за изтриване на данните.
- Бивш клиент вече не желае да получава маркетингови съобщения от Вашата организация и иска да изтриете неговите данни за контакт. Тъй като няма убедителни причини да продължите да обработвате данните за контакт, трябва да ги изтриете.
Право на ограничаване на обработването
При определени обстоятелства субектите на данни могат да поискат ограничаване на обработването на техните данни. В резултат на това Вашата организация може да запази личните данни, но трябва да прекрати всички други дейности по обработване.
Физическото лице има право да получи ограничаване на обработването на данните, когато:
- оспорва точността на личните данни;
- обработването е неправомерно: вместо изтриване на данните, субектът на данните може да поиска ограничаване на използването им;
- организацията вече не се нуждае от личните данни, но данните все още са необходими, за да може субектът на данните да упражни правни претенции;
- субектът на данните е упражнил правото си на възражение. Ограничението се прилага за времето, необходимо, за да се провери дали законните основания на организацията, имат преимущество пред интересите на субекта на данните.
Ако субектът на данните успешно упражни правото си на ограничаване на обработването, Вашата организация може да използва данните само при определени конкретни обстоятелства, например със съгласието на субекта на данните или за защита на правни претенции. Предавали ли сте преди това „ограничените“ данни на други получатели? След това трябва да информирате тези получатели за ограничаването на обработването, освен ако това не се окаже невъзможно или изисква несъразмерно големи усилия.
Преди да премахнете ограничението, не забравяйте да информирате субекта на данните за намерението си да го направите.
Право на преносимост на данните
Правото на преносимост на данните позволява на субектите на данни да получават личните си данни в структуриран, широко използван и пригоден за машинно четене формат. По този начин те могат лесно да използват повторно данните и, ако желаят, да предават данните си на друг администратор на данни. Правото на преносимост на данните може да бъде упражнено само ако едновременно са изпълнени следните три условия:
- обработването се основава на съгласие или договор;
- обработването е автоматизирано (т.е. без документи на хартиен носител);
- и субектите на данни сами са предоставили данните. Това включва и всички данни, които Вашата организация е наблюдавала въз основа на поведението на субекта на данните (напр. със свързани аксесоари).
Следователно това право не се отнася до данни, които самата организация създава въз основа на горепосочените данни.
По-конкретно субектите на данни имат право:
- да получават личните си данни в структуриран, широко използван и машинно четим формат. Форматът трябва да позволява на субекта на данните да използва повторно личните данни за друга услуга.
Пример: XML, JSON и CSV са общи формати, които отговарят на този критерий. Трябва да се предоставят и метаданни, така че данните да могат да се използват на друга платформа. PDF форматът не е достатъчен. - личните им данни да бъдат прехвърлени директно на друг администратор на данни. Вашата организация следва да направи това само ако такова пряко прехвърляне е технически възможно.
На практика
- Вашата организация предоставя онлайн услуги за стрийминг на музика. Вашите клиенти могат да поискат прехвърлянето на техните списъци с песни на друга услуга за стрийминг на музика.
- Вие сте МСП, което предлага уеб-мейл услуга. Ако клиентът ви, който има имейл акаунт за чисто лични или домашни нужди, го поиска, трябва да прехвърлите списъка му с адреси и съобщенията му на друга услуга за електронна поща, при условие че това е технически осъществимо. Ако това не е възможно, трябва да предоставите списъка с адреси и имейли на клиента в цифров формат за многократна употреба.
Право на възражение
Субектите на данни могат да възразят срещу обработването на лични данни, отнасящи се до тях, „на основания, свързани с конкретната им ситуация“. Правото на възражение може да бъде упражнено само ако обработването се основава на едно от следните правни основания:
- законния интерес на организацията или на трета страна; или
- изпълнението на задача от обществен интерес или при упражняване на публична власт.
В други ситуации субектът на данни не може да използва правото на възражение, тъй като за другите правни основания съществуват алтернативи за постигане на същата цел: в случай на съгласие субектът на данните може просто да оттегли съгласието си. Физическото лице не може да възрази срещу наложено от закона обработване.
Когато субектите на данни упражняват правото си на възражение, Вашата организация трябва да балансира интересите на двете страни. Трябва да прекратите всяко обработване на тези лични данни, освен ако не докажете, че съществуват убедителни законови основания, които имат предимство пред правата и свободите на субекта на данните (напр. когато предприемате правни действия). Вашата организация трябва да документира и съобщи тези причини на субекта на данните.
Важно е да се отбележи
Когато данните се обработват за маркетингови цели, субектът на данните има право да възрази срещу това обработване, без да посочва причини. В този случай причините, поради които Вашата организация обработва тези данни, не са от значение, вместо това възражението трябва да доведе до незабавно прекратяване на обработването за тази цел.
На практика
- Вие сте малка компания за рекламиране на събития. Когато човек купува билет за концерт на група онлайн, той получава реклами за други подобни концерти. Ако лицето желае да спре да получава тези реклами и обекти, организацията трябва да спре директния маркетинг.
- Вие сте МСП, което работи в застрахователния сектор. В тази индустрия личните данни са необходими в определени ситуации за борба с практиките за изпиране на пари. Можете, като застрахователен брокер, да откажете да предприемете действия във връзка с правото на възражение, тъй като Вашите национални закони за борба с изпирането на пари ви задължават да обработвате данните.
Прочетете повече
Правото да не бъде обект на решение, основаващо се единствено на автоматизирано обработване
Дадено лице има право да не бъде обект на напълно автоматично решение (т.е. без човешка намеса в процеса на вземане на решения), което има правни последици или значително засяга въпросното лице.
Автоматизираното вземане на решения често върви ръка за ръка с профилирането, което е определено в ОРЗД като „всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение“ (член 4, параграф 4 от ОРЗД).
За да може това право да се прилага, автоматизираното обработване трябва да включва:
- решение, което се основава изключително на автоматизирана обработка, без човешка намеса. Това означава, че никое физическо лице няма значителен контрол върху решението и не може, например, да променя или отменя решението;
- решение, което има правни последствия за субектите на данни или което ги засяга в значителна степен.
На практика
- Пример за правни последици може да бъде автоматичното прекратяване на договор за телефония, тъй като клиентът не е платил месечната сметка.
- Решение, което оказва значително въздействие върху лицето, може да бъде намерено в следните примери (въпреки че, разбира се, винаги трябва да се взема предвид конкретната ситуация, когато се преценява дали въздействието върху субекта на данните е значително):
- решения, които засягат финансовото положение на хората, като например правото им да оттеглят кредит;
- автоматичен отказ на кандидати, които кандидатстват чрез онлайн платформа;
- ценова диференциация въз основа на историята на сърфирането на потребителя и навиците, свързани със закупуването на стоки;
- решения, които засягат достъпа на някого до образование, например прием в университет.
Има три ситуации, в които все още може да се вземе автоматизирано индивидуално решение:
- ако това е позволено от закона (напр. предотвратяване на измами или укриване на данъци);
- ако решението се основава на изричното съгласие на субекта на данните; или
- ако това е необходимо за сключването или изпълнението на договор. Имайте предвид обаче, че тази последна ситуация винаги зависи от оценка на всеки отделен случай. Ако съществуват методи за сключване или изпълнение на договора, които водят до по-малко навлизане в неприкосновеността на личния живот, автоматизираното решение вече не се счита за „необходимо“.
Ако става въпрос за чувствителни данни, автоматизираното вземане на решения е възможно само въз основа на изрично съгласие или съществен обществен интерес съгласно правото на Съюза или националното право.
Права на субекта на данните за всяко правно основание
