Кога могат да бъдат обработвани лични данни?

Отговор

Вашето дружество/организация може да обработва лични данни само при следните обстоятелства:

• със съгласието на засегнатите физически лица;
• когато е налице договорно задължение (договор между Вашето дружество/организация и клиент);
• за да се изпълни правно задължение (съгласно законодателството на ЕС или националното законодателство);
• когато обработването е необходимо за изпълнение на задача, изпълнявана от обществен интерес (съгласно законодателството на ЕС или  националното законодателство);
• за да се защитят жизненоважни интереси на дадено физическо лице;
• за законни интереси на вашата организация, но само след като сте проверили, че основните права и свободи на лицето, чиито данни обработвате, не са сериозно засегнати. Ако правата на лицето имат преимущество пред Вашите интереси, тогава не можете да обработвате въз основа на законен интерес. Преценката дали законните интереси на Вашето дружество/организация за обработване на данните имат преимущество пред тези на засегнатите лица зависи от индивидуалните обстоятелства в дадения случай.

Примери

Съгласие
Вашето дружество/организация предлага музикално приложение и иска съгласието на гражданите, за да обработва музикалните им предпочитания, с цел да им предлага песни и възможни концерти съгласно техните интереси.

Договорно задължение
Вашето дружество/организация продава стоки онлайн. То може да обработва данните, които са необходими за предприемане на стъпки по искане на физическото лице преди сключването на договора и за изпълнението на договора. Така че можете да обработвате името, адреса за доставка, номера на кредитната карта (ако плащането е с карта) и т.н

Правно задължение
Вие притежавате дружество със служители. За да получите социално осигуряване, законът ви задължава да предоставите на съответния орган лични данни (например седмичния доход на вашите служители).

Обществен интерес
Пример: професионална асоциация, като например адвокатска асоциация или камара на медицинските специалисти, може да извършва дисциплинарни процедури срещу някои от своите членове, ако има официално правомощие за това.

Жизненоважни интереси на дадено лице
Болница лекува пациент след тежка пътна катастрофа; болницата не се нуждае от съгласието му, за да потърси идентификационния му номер и да провери дали това лице съществува в базата данни на болницата, за да намери предишна медицинска история или да се свърже с близък роднина.

Законните интереси на вашата организация
Вашето дружество/организация гарантира своята мрежова сигурност, като следи за използването на ИТ устройствата на своите служители. Вашето дружество/организация може законно да обработва лични данни за тази цел само ако избере метод с най-малка степен на вмешателство по отношение на правото на личен живот и защита на личните данни на вашите служители, например като ограничи достъпността на определени уебсайтове. (Обърнете внимание, че това не може да се направи в държави членки на ЕС, в които националното законодателство определя по-строги правила за обработка в контекста на трудовата заетост).

Позовавания

• член 6; съображения 40 – 49 от GDPR;
• Становище 06/2014 на работната група по член 29 относно понятието за законни интереси на администратора на лични данни съгласно член 7 от Директива 95/46/ЕО.

Consent

Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them. 

Contractual obligation
Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc.

Legal obligation
You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority.

Public interest
Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members.

Vital interests of a person
A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin.

Your organisation’s legitimate interests
Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context).

• Article 6 and Recitals (40) to (49) of the GDPR
• Article 29 Working Party Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/E