Какви данни можем да обработваме и при какви условия?

Отговор

Видът и количеството лични данни, които дадена организация/дружество може да обработва, зависят от причината за обработването им (използвана правна причина), и от целената употреба. Организацията/дружеството трябва да спазва няколко основни правила, включително:

• личните данни трябва да се обработват законосъобразно и по прозрачен начин, като се гарантира добросъвестност по отношение на физическите лица, чиито лични данни се обработват („законосъобразност, добросъвестност и прозрачност“);
• трябва да бъдат налице конкретни цели за обработването на данните и организацията/дружеството трябва да посочи тези цели на физическите лица, когато събирате техните лични данни. Организация/дружество не можете просто да събира лични данни за неопределени цели („ограничение на целите“);
• организацията/дружеството трябва да събира и обработва само личните данни, които са необходими за постигането на тази цел („свеждане на данните до минимум“);
• организацията/дружеството трябва да бъде сигурна/-о, че личните данни са точни и актуални, като се имат предвид целите, за които те се обработват, а в случай че не е, да ги коригира („точност“);
• организацията/дружеството не може да използва по-нататък личните данни за други цели, които не са съвместими с първоначалната цел на събирането;
• организацията/дружеството трябва да бъде сигурна/-о, че личните данни се съхраняват не повече от необходимото за целите, за които са били събрани („ограничение на съхранението“);
• организацията/дружеството трябва да въведе подходящи технически и организационни предпазни мерки, които гарантират сигурността на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилага подходяща технология („цялостност и поверителност“).

Пример

Вашето дружество/организация управлява туристическа агенция. Когато получавате личните данни на клиентите си, трябва да обясните с ясни и недвусмислени формулировки защо имате нужда от данните, как ще ги използвате и колко дълго искате да ги запазите. Обработването трябва да бъде съобразено с основните принципи за защита на данните.

Позовавания

• член 5, параграф 1; съображение 39 от GDPR;
• Становище 03/2013 на работната група по член 29 относно ограничението на целите (WP 203).

Your company/organisation  runs a travel agency. When you obtain your clients’ personal data, you should explain in clear and plain language why you need the data, how you’ll be using it, and how long you intend to keep it. The processing should be tailored in a way that respects the key data protection principles.

• Article 5(1) and Recital (39) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)