Администраторите често се сблъскват с предизвикателства при получаването на искания от субекти на данни за информация относно обработката на техни лични данни или за упражняване на други права по GDPR. Проверка на бази данни и архиви, подготовка на отговор и предоставяне на информация изискват сериозен времеви и човешки ресурс. Освен това, кратките срокове за отговор и възможността за санкции при непълно или некоректно изпълнение добавят допълнително напрежение.

Какво представлява искането за упражняване на права по GDPR?

Субектът на данни може да отправи своето искане по различни начини: по имейл, телефон, интернет сайт или чрез профилите на администратора в социалните мрежи. Искането може да бъде в свободен текст и не е необходимо да следва определен шаблон или да съдържа термини като „лични данни“ или „GDPR“. Примери за такива искания включват:

• „Моля, да ми предоставите цялата информация, отнасяща се до мен, с която разполагате.“
• „Искам да знам каква информация имате за мен.“
• „Искам да знам от къде имате тази информация за мен.“

За да разпознават такива искания, служителите трябва да преминат обучение и да следват вътрешна процедура за работа с тях.

Изисквания за валидност на искането

Искането за упражняване на права по GDPR трябва да е в писмена форма за да е валидно. Ако е изпратено по електронен път, то трябва да бъде подписано с електронен подпис. Въпреки това, според практиката на Комисията за защита на личните дани, ако администраторът отговори на невалидно искане по имейл, то се счита за признато като валидно.

Изискванията за съдържание на искането включват:

• Име, ЕГН и адрес на субекта на данни;
• Описание на искането;
• Предпочитаната форма за получаване на информация;
• Подпис и дата на подаване;
• Адрес за кореспонденция.

Ако искането е подадено от пълномощник, се изисква пълномощно (без нотариална заверка). Ако родител подава заявление за данни на дете, може да се изиска акт за раждане на детето. При непълно заявление, администраторът трябва да уведоми лицето за необходимите корекции и може да предложи образец.

Срок за отговор на искането

Администраторът е длъжен да отговори на искането или да информира субекта за предприетите действия в срок от един месец от получаване на искането. Този срок може да бъде удължен еднократно с два месеца при голяма сложност или брой на исканията.

Ако първоначалното искане е непълно и подлежи на корекция, срокът за отговор започва да тече от датата на отстраняване на нередностите. Добра практика е отбелязването на началната и крайната дата на срока върху искането.

Такси при искане от субект на данни

Отговарянето на такива искания е безплатно, независимо от разходите и времето, които изисква. Изключение правят случаи на очевидно необосновани или прекомерни искания, напр. често повтарящи се, при които администраторът може да наложи такса, съобразена с административните разходи.

Ако данните на субекта се променят често, чести искания може да са оправдани. Преценката за необоснованост или прекомерност се извършва индивидуално.

Ако се нуждаете от консултация, изготвяне на документи или обучение във връзка със защитата на личните данни, свържете се с нас на тел.: 0887550706 или по e-mail: philipiliev@mail.bg