Този сайт използва т.нар. бисквитки (Cookies), съгласно разпоредбите на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета, за да Ви осигури най-функционалното посещение на нашия сайт. "Бисквитките" ни помагат да подобряваме съдържанието на сайта, като Ви даваме персонализирано и много по-бързо онлайн изживяване. Те се използват само от нашия сайт и нашите доверени партньори. Кликнете ТУК за подробности относно правилата за "бисквитките".
Този сайт използва т.нар. бисквитки (Cookies), съгласно разпоредбите на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета, за да Ви осигури най-функционалното посещение на нашия сайт. "Бисквитките" ни помагат да подобряваме съдържанието на сайта, като Ви даваме персонализирано и много по-бързо онлайн изживяване. Те се използват само от нашия сайт и нашите доверени партньори. Кликнете ТУК за подробности относно правилата за "бисквитките". Съгласен съм
X

Влизане в акаунта

Запомни ме

Забравена парола? Кликнете тук, за да възстановите потребител / парола

Нямате профил?
X

Възстановяване на потребилетско име/ парола

Моля, въведете имейл адреса, който сте използвали, за да регистрирате профила си.

Влезте в системата Регистрирай се

Кога не е нужно съгласие за обработване на лични данни

PortalTRZnormativi.bg Отговор, предоставен от
PortalTRZnormativi.bg

Обработването на лични данни от страна на администратори в публичната и частната сфера е законосъобразно, в случай че е налице някое от правните основания, посочени в чл. 6, пар. 1 от Регламент (ЕС) 2016/679:
a) субектът на данните е дал своето съгласие за обработване на неговите лични данни за 1 или повече от 1 конкретни цели;
б) обработването е нужно с оглед да се изпълни даден договор, по който субектът на данните се явява страна, или за предприемане на стъпки по искане на субекта на данните преди да се сключи договор;
в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;
г) обработването се налага с оглед защита на жизненоважни интереси на субекта на данните или друго физическо лице (ФЛ);
д) обработването се налага с оглед да се изпълни задача от обществен интерес или за упражняване на официални правомощия, предоставени на администратора;
е) обработването се налага за целите на легитимните интереси на администратора или трета страна, освен в случаите, когато пред подобни интереси преимуществото е на интересите или основните права и свободи на субекта на данните, изискващи защита на личните данни и по-специално когато този субект на данните е дете.

Съгласието се явява едно от основанията за събиране и обработване на лични данни. Без значение от това, че съгласието е посочено на първо място, всички правни основания са алтернативни и равнопоставени. Което и от тях да е налично, обработването е законосъобразно, стира, разбира се, да са спазени и другите изисквания на GDPR.

Когато даден администратор на лични данни преценява дали да обработва личните данни, базирайки се на предоставено съгласие, е необходимо той да изследва дали има друго правно основание за обработването (като законово задължение или пък договор), а също и какви биха били последиците за дадената дейност, ако субектът на данните оттегли своето съгласие.

Едни от най-честите ситуации, когато не се налага администратор да иска съгласие за обработка на данните са, са:
 
1. Кодато администраторът събира даден обем данни, за да изпълни свое законово задължение (като напр. задължения по осигурителното или трудовото законодателство).

При подобни ситуации законодателят не е предоставил свобода на преценка на администратора или субекта на данните, ето заото едно евентуално съгласие на субекта на данни няма да е дадено свободно, а така и да е валидно. Това важи най-вече за публичните администратори, а също и за секторите, лудето има детайлна законова регламентация, като здравеопазване, образование, банкова дейност и пр.
 
2. Събирането на личните данни става във връзка с предоставяне на различни административни услуги от страна на държавни органи или органи на местното самоуправление.

При тези случаи правното основание е изпълнението на задача от обществен интерес или упражняването на официални правомощия. При подобни положение не е необходимо да се изисква съгласие от страна на лицето, чиито данни се обработват.
 
3. Събирането и обработването на личните данни се правят за целите на трудово правоотношение.

Тогава работникът или служителят не разполага със свободен избор и не може да откаже или да оттегли съгласието си, без това да доведе до неблагоприятни последици за него, заради очевидната неравнопоставеност между двете страни. В тези случаи взаимоотношенията между субекта на данни и работодателя или органа по назначаване, вкл. и по отношение на обработването на лични данни, изчерпателно са уредени от трудовото законодателство, индивидуалните и/или колективните трудови договори. Тогава основанието за обработването е законово задължение и/или изпълнението на договор (според хипотезата).
 
4. Личните данни са нужни за да се сключи и изпълни договор, по който субектът на данните се явява страна.

Доколкото основният предмет и цел на договора обективно не могат да се постигнат без предоставяне на даден обем лични данни, в тези случаи е достатъчна волята на страните да встъпят в договорни или преддоговорни отношения и не е необходимо да се дава отделно съгласие за обработване на данните.
 
Това не изключва възможността съгласието да бъде ползвано като правно основание за обработка на лични данни (контакти и др.) за допълнителни цели, като маркетинг и реклама, освен ако в нормативен акт не е предвидено основание за това. В подобни изискването да се получи съгласие може да отпадне, ако са изпълнени изискванията, които са предвидени в съответния нормативен акт. Важно е да се знае, че администраторът не разполага с правото да обвърже изпълнението на конкретен договор, вкл. предоставянето на дадена услуга, с получаване на съгласие за обработка на лични данни, когато това не е нужно за изпълнението на договора, като напр. получаване на рекламни съобщения. В такива случаи съгласието няма да е дадено свободно, защото лицето няма истински свободен избор и не може да откаже или оттегли съгласието си, без това да доведе до неблагоприятни последици за него.
 
5. Личните данни са нужни за защита на легитимни интереси на администратора или трета страна, в случай че тези интереси са с преимущество над интересите и/или основните права и свободи на субекта на данните.

Подобни хипотези в практиката са предприемането на мерки за сигурност и охрана, вкл. посредством видеонаблюдение, проверка на лица и регистрация на достъпа до сгради, действия за гарантиране на информационната и мрежовата сигурност и др.
 
Имаме легитимен интерес и при обработване на данни за защита правата на администратора по съдебен или несъдебен ред, напр. за подаване на иск за неизпълнение на договор или при търсене на отговорност за причинени вреди.
 
6. Личните данни се предават от един на друг администратор в резултат прехвърляне на вземания (цесия).

При подобни положения правното основание за обработка личните данни е изпълнение на законовото задължение по чл. 99, ал. 3 от ЗЗД. ЗЗД задължава предишният кредитор да предаде на новия намиращите се у него документи, установяваши вземането. Това обстоятелство обуславя ще предаването на личните данни, доколкото същите са включени в съответните документи. След получаване на вземането новият кредитор има възможност да обработва данните на основание своя легитимен интерес за събиране на дължимата сума, вкл. по реда на принудителното изпълнение. Когато е налице цесията не следва да се забравя задължението на предходния кредитор да съобщи на длъжника за прехвърлянето, кореспондиращо и на задължението за прозрачност и предоставяне на информация по смисъла на Общия регламент.
 
7. Личните данни се предават от администратора на лице, обработващо лични данни.

GDPR позволява на администраторите да привличат лица, обработващи лични данни - ФЛ или ЮЛ, публичен орган, агенция или друга структура, кои то обработват личните данни от името на администратора. Едни от най-честите случаи, в които се разчита на лица, обработващи лични данни, са свързани със счетоводни къщи, служби по трудова медицина, колекторски фирми за събиране на вземания, IT компании, които поддържат информационните системи на фирми и ведомства и пр.
 
В тези случаи Общият регламент не изисква съгласие от страна на субектите на данни, като преценката дали да ползва услугите на обработващ данни е изцяло в ръцете на администратора.
 
8. Специфична хипотеза на обработка на лични данни без изискване на съгласие от страна на субекта на данните е фотографирането и видеозаснемането на лица на публично място.

В случай че то се извършва от ФЛ в хода на чисто лични занимания, тогава GDRP изобщо не се прилага. Ако пък заснемането е част от професионална дейност, тогава може да се приложат изключенията и облекченията за академично, художествено или литературно изразяване по чл. 85 от ОРЗД. Тук трябва да се отчита и разпоредбата на чл. 13 от Закона за авторското право и сродните нему права, според която фотографът (видеооператорът) не изисква съгласие от изобразеното лице, в скучай че изображението е било направено в хода на обществената дейност на изобразеното лице или на публично или обществено място, изображението на лицето представлява само детайл в произведение, което показва събрание, шествие или пейзаж или изобразеното лице е получило възнаграждение за позирането.
 
9. Когато се обработват специални (или още чувствителни) категории лични данни (напр. етнически произход, политически възгледи, религиозни убеждения, синдикално членство, биометрични данни, данни за здравословното състояние, сексуална ориентация и пр), основанията за законосъобразност се съдържат в чл. 9, пар. 2 от ОРЗД.

В тази връзка обработката на лични данни за здравословното състояние е законосъобразна, при положение че се прави за целите на превантивната или трудовата медицина, за оценяване на трудоспособността на служителя, медицинска диагноза, осигуряване на здравни и социални грижи, лечение, зуправление на системите за здравеопазване или социални грижи, в сферата на общественото здраве, с цел защита срещу сериозни трансгранични заплахи за здравето и пр. Така че ако обработването е нужно за някоя от тези горепосочени цели, съответното болнично заведение, лаборатория или аптека не са задължени, нито имат право да иска допълнително изрично съгласие на субекта на данни (пациента). Обратното би значело, че болницата ще откаже лечение или пък аптеката - лекарство, ако субектът не даде съгласието си, а такова поведение би се явило пряко нарушение на GDPR, което може да се санкционира с глоба или имуществена санкция.
 
Примерен неизчерпателен списък на случаите, когато съгласие за обработката на личните данни не се изисква:

Съобразно посочените критерии, по правило не е нужно отделно съгласие от лицата, вкл. подписването на всякакви форми на декларации, за обработване на техните лични данни от изброените по-долу администратори при р
тяхната обичайна професионална дейност. Това не включва обработката на данни за целите на директния маркетинг, където съгласието трябва да се явява водещо основание.
- публични органи;
- лекари, зъболекари, фармацевти;
- религиозни, политически, обществени, синдикални организации;
- застрахователи;
- адвокати;
- работодатели;
- фирми, които предоставят обществени електронни съобщителни мрежи и/или услуги;
- учебни заведения;
- банки и др. кредитни институции;
- куриерски фирми и др. пощенски оператори;
- копирни услуги;
- фирми, които предоставят комунални услуги (електроразпределителни дружества, ВиК, топлофикации);
- обработващи лични данни (счетоводители, служби по трудова медицина и др.);
- хотелиери и туристически агенции;
- домоуправители;
- преводачи;
- журналисти, фотографи, видеооператори;
- др.

източник: cpdp.bg

БЕЗПЛАТНО приложение portaltrznormativi.bg

ТРЗ експертите съветват: 12 най-четени казуса и техните решения

Бъдете в крак с всички решения, предложени от специалистите.
Абонирайте се сега в бюлетина на PortalTRZnormativi.bg и получете специален PDF "ТРЗ експертите съветват: 12 най-четени казуса и техните решения"!

Да, искам информация за продуктите на РС Издателство и Бизнес консултации. Приемам личните ми данни да бъдат обработвани съгласно Регламент ЕС 2016/679

x