European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

Какво представлява декларацията за поверителност?

Организациите трябва, в случай на пряко събиране на лични данни от засегнатите лица, да предоставят информация за операциите по обработване по кратък и прозрачен начин, като използват разбираем, лесно достъпен, ясен и прост език. Това може да бъде направено в писмена форма (напр. на обратната страна на офертата) или по електронен път (напр. на уебсайт). Ако заинтересованото лице поиска, можете също да предоставите тази информация устно, но трябва да сте в състояние впоследствие да докажете това.

Дори когато данните са били събрани непряко, т.е. ако не събирате директно личните данни от физическо лице, а например чрез трета страна, трябва да предоставите същата подробна информация на субектите на данни.

Как да отговоря на искане за изтриване?

Физическите лица имат право да поискат изтриване на свързаните с тях лични данни и в този случай администраторът има задължението да изтрие личните данни. Трябва да отговорите без ненужно забавяне и не по-късно от един месец след получаване на искането. Този срок може да бъде удължен с още два месеца, ако искането е твърде сложно и е необходимо повече време за неговото изпълнение, при условие че лицето бъде уведомено за това в срок от един месец след получаване на искането.
 

Важно е да се отбележи, че правото на изтриване не е абсолютно. То не се прилага, когато въпросните данни са необходими за:

  • упражняване на правото на свобода на изразяване на мнение и на информация (напр. за журналистически цели);
  • спазване на правно задължение, което изисква обработването на лични данни (напр. обработка на записи за работното време на служителите);
  • съображения от обществен интерес в областта на общественото здраве
  • целите на архивирането в обществен интерес или за научни или исторически изследвания или за статистически цели; и
  • установяването, упражняването или защитата на правни претенции.

Когато личните данни, които трябва да бъдат изтрити, са били прехвърлени преди това на други организации, трябва да уведомите тези получатели, че лицето е поискало изтриване, освен ако това се окаже невъзможно или би изисквало непропорционални усилия.

Повече информация:

Can a Data Protection Authority (DPA) challenge an Art. 65 GDPR decision by the EDPB?

As addressees of the EDPB decisions, the relevant Data Protection Authorities (DPAs) that wish to challenge these decisions can bring an action for annulment before the European Court of Justice (CJEU) within two months of being notified.

Мога ли да записвам телефонни разговори с клиенти, с цел подобряване на качеството на услугата и имам ли нужда от съгласие за това?

Да, Вашите клиенти трябва да бъдат информирани, когато извършват телефонно обаждане, за целите на записа, получателите на записите, за правото им на възражение и на достъп до записите.

Повече информация:

I wish to lodge a complaint with a data protection authority (DPA), which authority should I contact?

Under the GDPR, you have the right to lodge a complaint with the Data Protection Authority (DPA) in the country of:

  • your habitual residence;
  • your place of work; or
  • the place where the alleged infringement took place.

Find the contact details for all EEA DPAs

Related questions
Who is data controller and who is data processor?

Can I lodge a complaint with the EDPB?

No. The EDPB does not handle complaints or conduct investigations. If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. Find the contact details for all EEA DPAs 

In which cases is the dispute resolution mechanism of Art. 65.1 (c) GDPR triggered?

While Art. 65 (a) and (b) relate to the one-stop-mechanism, Art.65.1 (c) GDPR concerns obligations of Data Protection Authorities (DPAs) stemming from the consistency mechanism.

More specifically, every competent DPA has the duty to request an opinion from the EDPB before adopting national measures pursuant to article 64.1 GDPR. Such measures include lists of processing operations for which a Data Protection Impact Assessment (DPIA) is required, or the approval of a new set of standard clauses. In addition, under Art. 64.2 GDPR, any SA may also request an EDPB consistency opinion on any matter of general application or producing effects in more than one Member State.

If an DPA does not request the opinion of the EDPB for the cases listed under Art. 64.1 GDPR or does not follow the EDPB opinion issued under Art. 64 GDPR, any DPA and the European Commission can launch the dispute resolution procedure of Art. 65.1 (c) GDPR about the matter.

How does cross-border cooperation work under the GDPR?

The General Data Protection Regulation (GDPR) requires the Data Protection Authority (DPA) of the European Economic Area (EEA) to cooperate closely - under the umbrella of the European Data Protection Board (EDPB) - to ensure the consistent application of the GDPR and the protection of individuals’ data protection rights across the EEA. One of their tasks is to coordinate decision-making in cross-border data processing cases.
A processing is cross-border when:

  • data processing takes place in more than one country;
  • or it substantially affects or it is likely to substantially affect individuals in more than one country.

Under the so-called one-stop-shop mechanism Art. 60 GDPR, the Lead Supervisory Authority (LSA) acts as the main point of contact for the controller or processor for a given processing, while the Concerned Supervisory Authorities (CSAs) act as the main point of contact for individuals in the territory of their Member State. The LSA is the authority in charge of leading the cooperation process. It will share relevant information with the CSAs, carry out the investigations, prepare the draft decision relating to the case, and cooperate with the other CSAs in an endeavour to reach consensus on this draft decision.

What is the EDPS?

The European Data Protection Supervisor (EDPS) is the European Union’s (EU) independent data protection authority.

The EDPS is responsible for monitoring the processing of personal data by the EU institutions, bodies, offices and agencies (EUIs) as well as providing advice on policies and legislation that affect privacy and cooperating with similar authorities to ensure consistent data protection.

For more information visit the EDPS website.

What does processing personal data mean?

Processing personal data means any type of activity (processing operation) performed on or with individuals’ personal data. This includes the collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, inquiry, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction of personal data.

Възможно ли е да се обработват чувствителни данни?

Не, обработването на чувствителни данни по принцип е забранено, освен при много специфични обстоятелства:

  • Лицето е дало изричното си съгласие за обработване на чувствителните му данни.
  • Обработването на чувствителни данни е необходимо, за да може администраторът на данни да изпълнява своите задължения, по-специално в сферата  на заетостта, социалната сигурност и социалната закрила. Например, администраторът на данни може да се наложи да обработва чувствителните данни на дадено лице, за да може да определи дали има право на определени социалноосигурителни обезщетения или стипендии за заетост.
  • Обработването на чувствителни данни е необходимо, за да се защитят жизненоважните интереси на дадено лице, когато лицето е физически или юридически неспособно да даде съгласие. Например, ако дадено лице е оставено в безсъзнание в резултат на злополука и изисква незабавна медицинска помощ, може да се наложи да бъдат обработени неговите здравни данни, за да се предоставят подходящи медицински грижи.
  • Обработването на чувствителни данни се извършва в рамките  на законните дейности на фондация, сдружение или друга организация с нестопанска цел с политическа, философска, религиозна или синдикална цел и само за обработването на личните данни на техните членове, бивши членове или лица, които имат редовни контакти с тях.
  • Чувствителните данни са били явно публично оповестени от физическо лице.
  • Обработването на чувствителни данни е необходимо в рамките на съдебни производства.
  • Обработването на чувствителни данни е необходимо по причини от важен обществен интерес.
  • Обработването на чувствителни данни е необходимо за целите на превантивната или трудовата медицина. Например, оценката на чувствителните данни на дадено лице, като например медицинските му данни, може да е необходима, за да се определи неговата работоспособност като служител.
  • Обработването на чувствителни данни е необходимо по въпроси, свързани с общественото здраве, въз основа на правото на ЕС или националното право. Например, обработването на чувствителни данни на физическите лица може да е необходимо, за да се гарантира високо качество на здравеопазването и високо качество на медицинските продукти или за борба със сериозни заплахи за здравето, като например вируси.
  • Обработването на чувствителни данни е необходимо за целите на архивирането в обществен интерес или за научни или исторически изследвания, или за статистически цели. Например обработването на чувствителни данни може да е необходимо, за да се предоставят точни статистически данни за положението на дадена държава в определена област. 
     

Повече информация:

Какво мога да направя, ако обработващият лични данни не желае да подпише договор от вида администратор- обработващ лични данни?

Съгласно ОРЗД е задължително да има валиден договор между администратора и обработващия лични данни. За нарушение може да бъде наложена административна глоба в размер до 10 млн. EUR или до 2 % от общия годишен оборот на дадено дружество, в зависимост от това коя от двете стойности е по-висока.

За да Ви помогнат при сключването на този вид договор между администратор и обработващ лични данни, Датския и Словенския орган за защита на данните, както и Европейската комисия, са разработили образци на договор.


Повече информация:

Какво трябва да направя, когато някой ме попита как обработвам данните му?

Физическите лица могат да Ви попитат дали обработвате техните данни и когато това е така, те имат право на достъп до тези данни. Така че, когато това се случи и ако обработвате техните данни, трябва например да предоставите безплатно копие от личните им данни, заедно с всяка необходима допълнителна информация. Когато искането се подава по електронен път, Вашата организация следва да предостави изискваната информация в широко използван електронен формат, освен ако лицата не поискат друго.

Повече информация:

Колко време трябва да отговарям на искане за достъп?

Трябва да отговорите без ненужно забавяне и не по-късно от един месец след получаване на искането. Този срок може да бъде удължен с още два месеца, ако искането е твърде сложно и е необходимо повече време за отговор, при условие че лицето е уведомено за това в срок от един месец след получаване на искането.

Трябва да го направите безплатно.

Повече информация:

Молите ли ЕКЗД да издаде насоки по конкретна тема?

Вземаме под внимание Вашето предложение към ЕКЗД този въпрос да бъде разгледан за бъдещи насоки. Можете да разгледате темите, които понастоящем са включени в работната програма на ЕКЗД, на нашия уебсайт: https://www.edpb.europa.eu/about-edpb/what-we-do/strategy-work-programme_bg.

I have received a communication from someone claiming to be working for the EDPB informing me that I am not in compliance with the GDPR, is this something the EDPB does?

Please note that the EDPB does not contact individuals, via phone or other means of communication, to inform them of such matters.

Therefore, it could be that the call you received represents a phishing attack targeting you abusing our name.

Отидете на контактната форма

The EDPB has adopted its binding decision: when is it notified to the relevant national Data Protection Authorities (DPAs), in which language and what happens next?

Once the EDPB has adopted a binding decision, the EDPB Chair notifies the binding decision to the relevant national Data Protection Authorities (DPAs) without undue delay.

Prior to the notification, the binding decision is translated into the languages of the relevant national DPAs that have to adopt a final decision or take measures at national level on the basis of the binding decision1. Translation and proofreading can take a few weeks. In any case, the English version of the decision is the only authentic language version.

Next step for the relevant  Data Protection Authorities (DPAs)

Once the relevant SAs have been notified of the binding decision, a decision has to be adopted at national level to implement the content of the binding decision. This decision will be adopted without undue delay and at the latest one month after the EDPB has notified its decision.
For cross-border cases where no consensus was found (Art. 65.1 (a) GDPR), the final decision will be addressed to the controller or processor and, where relevant, to the complainant.

  1. Please see paragraphs 6 and 7 of Art. 11 of the EDPB Rules of Procedure. In exceptional cases, other Concerned Supervisory Authority (CSAs) can request, providing the reasons, an urgent translation in their official EU language(s) no later than at the moment of adoption of the binding decision.

The dispute resolution mechanism of Art. 65 GDPR has been triggered - what happens next?

Within one month from the referral of the subject matter, the EDPB must adopt a decision by a two-thirds majority. 

The one-month deadline to adopt this binding decision can be extended by another month, if the case is complex. When the EDPB is not able to reach a decision within the abovementioned period, the decision must be adopted by a simple majority within two additional weeks. Should the members of the EDPB be split, the decision will be adopted by the vote of the EDPB Chair.

Имам ли нужда от съгласие, за да използвам бисквитки на уебсайта на моята организация?

ОРЗД се прилага за използването на бисквитки, когато те се използват за обработка на лични данни, но има и по-конкретни правила за бисквитките, включително в Директивата за правото на неприкосновеност на личния живот и електронни комуникации.

Съхраняването на „бисквитка„или получаването на достъп до вече съхранена „бисквитка“ в крайното оборудване на потребителя е разрешено само при условие, че съответният абонат или потребител е бил адекватно информиран (по-специално за целите на обработката) и е дал съгласието си.
Единственото изключение са технически необходимите бисквитки. Не е необходимо организациите да искат съгласие, когато използват технически необходими бисквитки на своите уебсайтове.

Повече информация:

Каква е разликата между псевдонимизирани и анонимизирани данни?

Псевдонимизацията се състои в преобразуване на лични данни, така че те вече да не могат да бъдат приписани на конкретно лице, без да се използва допълнителна информация, при условие че тази допълнителна информация се съхранява отделно и подлежи на технически и организационни мерки, за да се гарантира, че личните данни не се свързват с физическо лице. На практика това може да означава замяна на лични данни (име, собствено име, личен номер, телефонен номер и т.н.) в набор от данни с непряко идентифициращи данни (известен още като, пореден номер и т.н.). Псевдонимизираните данни все още са лични данни и са предмет на ОРЗД.

Анонимизирани данни са данни, които са направени анонимни по такъв начин, че физическото лице не може да бъде идентифицирано или вече не може да бъде идентифицирано чрез средства, за които може да се предположи, че ще бъдат използвани. Когато анонимизацията се прилага правилно, ОРЗД вече не се прилага за анонимизираните данни.


Повече информация: