GDPR Член 15 – Как да реагираме според регламента?

Какво да правим в случай, че постъпи искане за упражняване на право на достъп до лични данни от физическо лице (субект на лични данни)?

План за действие:

  1. В случай, че субекта на данните подаващ искането не може да бъде идентифициран, е задължително организацията да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните съгласно член 12, параграф 6.
  2. Да му предоставите “Потвърждение за обработване на лични данни” и информацията изисквана съгласно член 15. (безплатен образец отдолу)
  3. Копие на лични данни в процес на обработка (безплатен образец отдолу)
  4. В случай, че не можете да го идентифицирате сте задължени да му изпратите “Уведомление за отказ за упражняване на права” (образец тук)
  5. Организацията е задължена да помогнете на субекта да упражни правата си, съгласно член 12, параграф 2.

За да спазите регламента и да се защитите напълно от евентуални санкции и жалби е важно да спазите и следните процедури:

  • Процедура при искане на достъп до лични данни.
  • Процедура за прозрачност при обработка на лични данни
  • Процедура за идентификация на субекта на лични данни
  • Процедура при отказ на субекта на лични данни да упражни правата си

При регистрация в нашия сайт можете да свалите безплатни образци на документите от точки 2 и 3 описани по-горе. 

За да достъпите това съдържание трябва да сте регистриран потребител в сайта на GDPRТест.
Регистрацията е безплатна и можете да я направите от тук: Регистрация. Можете да влезете в системата от тук: Вход.
След като влезете в системата обновете тази страница.

Опасно ли е?

Съгласно член 83 – “Общи условия за налагане на административни наказания „глоба“ или „имуществена санкция“, нарушенията на буква  параграф 5, буква б) – нарушение на “правата на субектите на данни съгласно членове 12—22” “……….. подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока”.

Т.е. в случай, че организацията реши да пренебрегне искането и да не отговори или да пренебрегне (да се направи, че не е получила) искането, рискува да бъде глобена от КЗЛД “Комисия за Защита на Личните Данни” в размер до 20 милиона евро или до 4% от оборота (която от двете суми е по-голяма), ако субекта на данните (индивида, физическото лице) подаде оплакване/жалба.

Съществува и възможност организацията да реши, че не може да идентифицира лицето подало искането, при която за съжаление, в случай че организацията не е предприел реални адекватни действия с които да може да докажете, че се е опитала и е положила усилия да идентифицира субекта на данните, (напр. върнат е отговор, с който да се прикани субекта да се идентифицира и му се посочи начин да го стори), отново подлежи на санкция поради нарушаване на изискванията и съответно нарушаване на правата на субектите посочени в член 12, което носи същата тежест при налагането на санкция, като тази определена в член 83, параграф 5. (20 милиона или 4% от оборота).

Какво да трябва да знаем?

Най-важно е да сме запознати и да знаем правата на гражданите (в качеството им на субекти на лични данни).  

Съгласно член 15 – Право на достъп на субекта на данните, параграф 1 от „Общ регламент относно защитата на данните (ЕС 2016/679) на Европейския парламент и на Съвета на Европейския съюз“, субектът на данните има право да получи от Организацията:

  1. На първо място “потвърждение дали се обработват лични данни, свързани с него
  2. В случай че Организацията обработва лични данни на субекта поддал искането, субекта трабва да получи достъп до данните и следната информация цитирана в член 15, параграф 1, букви а) до з)
    • a) целите на обработването;
    • б) съответните категории лични данни;
    • в) получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;
    • г) когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
    • д) съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;
    • е) правото на жалба до надзорен орган;
    • ж) когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;
    • з) съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.
  3. В случай на приложимост – когато личните данни се предават на трета държава или на международна организация, субектът на данните има право да бъде информиран относно подходящите гаранции по член 46 от регламента във връзка с предаването.
  4. Организацията е задължена да предостави копие от личните данни, които са в процес на обработване.

Важно: Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма, освен ако субектът на данни не е поискал друго.

Важно: следните процедури гарантират правилното прилагане на регламента и трябва да присъстват във Вашето дружество, за да спазите регламента и да се защитите напълно от евентуални санкции и жалби:

  • Процедура при искане на достъп до лични данни.
    • В обхвата на тази процедура попадат дейностите на “Организацията” при получаването на искане за достъп до лични данни от субекти на данни.
    • Предоставяне от “Организацията” на потвърждение на субектите на данни за обработката на личните данни.
    • Предоставяне от “Организацията” на информацията съгласно изискванията на Регламент (ЕС) 2016/679, Глава III – Права на субектите на данни, и по-специално информацията, предоставяна на субектите на данни при искане на достъп съгласно член 15.
    • Предоставяне от “Организацията” на субектите на данни на копие на личните им данни в процес на обработка.
  • Процедура за прозрачност при обработка на лични данни – В обхвата на тази процедура попадат дейностите на Организацията, свързани с предоставянето на  информацията съгласно изискванията на Регламент (ЕС) 2016/679, Глава III – Права на субектите на данни, и по-специално информацията, предоставяна на субектите на данни при събирането или получаването на личните им данни съгласно член 13 и член 14, както и всякаква комуникация, свързана с техните права на достъп, коригиране, изтриване, ограничаване на обработването, възражение, отказ от автоматизирана обработка, преносимост и уведомления съгласно членове 15 -22.
  • Процедура за идентификация на субекта на лични данни – В обхвата на тази процедура попадат дейностите на Организацията, свързани с идентификацията на субектите на данни при предоставяне на информация на субектите на данни при събирането или получаването на личните им данни съгласно член 13 и член 14, както и при всякаква комуникация, свързана с техните права на достъп, коригиране, изтриване, ограничаване на обработването, възражение, отказ от автоматизирана обработка, преносимост и уведомления съгласно членове 15 -22.
  • Процедура при отказ на субекта на лични данни да упражни правата си и съответно
  • „Уведомление за отказ за упражняване на права”.