Frequently Asked Questions

В ОРЗД се прави разграничение между две основни роли: тези на администратора на данни и обработващия лични данни. Това разграничение е от решаващо значение, тъй като администраторът на данни носи по-голяма отговорност и трябва да изпълнява повече задължения от обработващия лични данни.

Администраторите и обработващите лични данни могат да бъдат физически или юридически лица, например: МСП, публичен орган, дружество, организация, държавен орган, сдружение и т.н.

Администраторът на данни определя целите и средствата на операцията по обработване. С други думи, администраторът решава как и защо се извършва операция по обработване. Докато обработващите лични данни обработват лични данни от името на администратора. Обработването, извършвано от обработващите, трябва да бъде уредено в договор с администратора на данни или в друг правен акт.

Примери за администратори на данни:

• дружества, които обработват личните данни на своите клиенти, за да извършат продажба;
• финансови институции, които обработват лични данни на своите клиенти;
• асоциации, които обработват данните на своите членове;
• училища или университети, които обработват лични данни на студенти и учители;
• болници, които обработват лични данни на своите пациенти;
• правителствени агенции, които обработват лични данни на граждани.

Примери за обработващи данни:

• МСП наема счетоводна служба, която да съхранява неговите счетоводни книги и регистри, МСП е администратор на данни, а счетоводната служба — обработващ данни;
• дружество за заплати обработва лични данни за МСП. Дружеството ще действа като обработващ лични данни, ако обработва единствено личните данни от името на МСП. МСП определя целите и средствата за обработването на данните и следователно е администратор на данни.
• МСП възлага на маркетингова компания да събира имейл адреси чрез уебсайтове на трети страни. Маркетинговото дружество прави това в съответствие с изричните указания на МСП и за изключителни цели на МСП. Маркетинговата компания действа като обработващ за това обработване на данни.

Повече информация:

• Администратор на данни или обработващ лични данни

Някои видове лични данни принадлежат към специални категории лични данни, което означава, че заслужават по-голяма защита, т.нар. чувствителни данни. Чувствителните данни включват данни, които разкриват информация за:

• здравето на индивида;
• сексуалната ориентация на индивида;
• расов или етнически произход на дадено лице;
• политически възгледи, религиозни или философски убеждения на дадено лице; членство в синдикални организации на дадено лице;
• биометрични и генетични данни на физическото лице.

Обработването на чувствителни данни на дадено физическо лице по принцип е забранено, освен при специфични обстоятелства, които оправдават обработването им.
 

Повече информация:

• Основи на защитата на данните

ДЛЗД може да бъде настоящ служител с достатъчно познания по ОРЗД (ако професионалните задачи на служителя са съвместими с тези на ДЛЗД и това не води до конфликт на интереси) или външно лице. ДЛЗД следва да може да изпълнява задачи независимо и да може да докладва пряко на най-висшето ръководство.

Повече информация:

• Длъжностно лице по защита на данните

The archived documents adopted by the Article 29 Working Party (1997-2016) are available on the website of the European Commission here: WP29 archive.

Should you experience any difficulty accessing WP29 documents, we recommend contacting the European Commission's DG Justice. The European Commission provided the Secretariat for the Article 29 Working Party and was responsible for all its publications. 

You can contact them by filling out the following form

Every organisation, regardless of the their size or sector, established in the European Economic Area (EEA) or offering products or services to individuals in the EEA, processing personal data whether or not by automated means needs to comply with the GDPR. The GDPR applies to the automated processing of personal data and to processing operations carried out manually from the moment the paper files are organised in a systematic manner, e.g. ordered alphabetically in a filing cabinet.

Examples of processing operations include collecting, recording, organising, using, modifying, storing, disclosing, altering and erasing individuals’ personal data.

Nevertheless, the application of the GDPR is modulated according to the nature, context, purposes and risks of the processing operations carried out. For SMEs whose core business is not the processing of personal data, the obligations can be less strict than for a large company.

Once a public consultation is closed, all contributions to the public consultation are reviewed and, where necessary, the guidelines may be adapted. Once this process has been completed, the guidelines will be up for final adoption at a subsequent EDPB plenary.

„Лични данни“ означава всяка информация, свързана с идентифицирано или идентифицируемо физическо лице. Идентифицируемо лице е всяко лице, което може да бъде идентифицирано, пряко или косвено. Различните елементи от информацията, които събрани заедно, биха могли да доведат до идентифицирането на конкретно лице, също представляват лични данни.
Примери за лични данни включват:

• име и фамилия;
• домашен адрес;
• електронен адрес;
• номер на лична карта;
• данни за местоположението;
• адрес на интернет протокол (IP);
• идентификационен номер на „бисквитката“;
• банкови сметки;
• данъчни отчети;
• биометрични данни (като пръстови отпечатъци);
• номер на социална осигуровка;
• номер на паспорта;
• резултати от изпитването;
• оценки в училище;
• история на сърфирането;
• снимка на физическо лице;
• регистрационен номер на превозното средство и т.н.
   

Повече информация:

• Основи на защитата на данните
   

All comments submitted are screened and reviewed manually before being displayed on our website. There should have been a visual confirmation after submitting your comments on our website.

In any case, please allow for some time before your comments are published.

The GDPR puts in place clear procedures in case of a data breach. If a data breach poses a risk, companies and organisations holding your data have to inform the relevant data protection authority within 72 hours or without undue further delay. If the leak poses a high risk to you, then you must also be informed personally.

For more information on data breaches, please consult the EDPB Data Protection Guide for small business.

We are constantly working on the translation of our documents into the official EU languages.
All static content, as well as press releases and documents officially adopted by the Board, such as Guidelines, will be made available in these languages.

This process takes time and various steps need to be completed in order to provide translations of the best quality.

Please note that documents undergoing public consultation are usually not translated. It is only after the public consultation has been concluded and a final version of the document has been adopted by the Board that these documents will be translated.

Certification bodies are accredited by the national data protection authorities (DPA) or by the national accreditation body (named in accordance with Regulation 17065/2012). For further information regarding certification bodies, we recommend contacting the national DPA in your country. You can find an overview of all EEA DPAs here.

You can find further information regarding accreditation of certification bodies here: Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)

1. Уверете се, че данните, които сте получили, са били събрани законно и че съответните лица са били информирани за обработването на личните им данни.
2. В случай, че трета страна обработва лични данни от Ваше име, се уверете, че имате сключен договор от вида администратор- обработващ, в който подробно се описват операциите по обработване и средствата за обработка на лични данни.

И, разбира се, спазвайте всички задължения на администраторите.

Повече информация:

• Администратор на данни или обработващ лични данни
   

The necessary security measures can differ based on the nature of the personal data you process and the associated risks to individuals. In any case, there are some minimum measures you should put into place:

• secure access to the premises;
• use regularly updated antivirus software;
• carefully choose your passwords;
• make users authenticate themselves before using the computer facilities;
• have a data back-up and retrieval policy in place in case of an incident.

In addition, some basic measures such as locking your screen while you are away and locking up the office at the end of the day are never out of place...

More information:

• Secure personal data

Публикуването на имената на победителите в конкурса на Вашия уебсайт може да се счита за легитимен интерес, ако можете да докажете това, като извършите балансиращ тест, за да определите дали Вашите законни интереси надвишават правата на физическите лица.

Добра практика би било да се създаде вътрешна процедура, в която да се обясняват правилата за публикуване на лични данни на победителите.

Освен това обработването на лични данни за тези цели следва да бъде част от политиката за поверителност на конкурса, така че участниците да бъдат информирани предварително за това как ще бъдат обработвани техните данни.

Повече информация:

• Законосъобразно обработване на лични данни

All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

Once published, recently adopted documents will be listed under “latest publications” on the main page of this website.

You can also find overviews of the documents adopted per plenary on the EDPB news page.

ЕКЗД не предоставя съобразени с конкретните нужди правни съвети на граждани или частни/публични организации относно начина на прилагане на законодателството за защита на данните в конкретни случаи. 

Основната роля на ЕКЗД е да издава общи насоки и становища. Всички приети насоки и становища могат да бъдат намерени тук: Насоки, препоръки, най-добри практики и становища. Препоръчваме също така да прочетете Ръководството за защита на данните за малкия бизнес. Това ръководство ще ви помогне да разберете основните понятия за защита на данните, правата на физическите лица съгласно GDPR, изискванията за съответствие, мерките за сигурност и как да се справите с нарушенията на данните.

Допълнителна информация относно ролята на ЕКЗД и прилагането на ОРЗД може да бъде намерена и на следния адрес: Frequently Asked Questions

Приканваме Ви също така да се запознаете с уебсайтовете на органа за защита на данните във Вашата страна. Връзките към уебсайтовете на нашите членове могат да бъдат намерени тук: Our members.

Once the Lead Supervisory Authority (LSA) or, in some cases the Concerned Supervisory Authority (CSA), with which the complaint was lodged has notified the EDPB of the date its final decision was communicated to the controller or processor and, where relevant, to the complainant, the EDPB will publish its own decision on its website.

The European Data Protection Board (EDPB) is an independent European body, which contributes to the consistent application of data protection rules throughout the European Union, and promotes cooperation between the EU’s data protection authorities (DPAs), as well as the DPAs of Iceland, Liechtenstein and Norway (the European Economic Area or EEA).

The EDPB aims to ensure the consistent application of the General Data Protection Regulation and of the Law Enforcement Directive in the European Economic Area (EEA). The EDPB also looks into the application of certain aspects of the ePrivacy Directive.

Our main tasks and duties are:

• providing general guidance (including guidelines, recommendations and best practices) to clarify the law and to promote a common understanding of EU data protection laws;
• adopting opinions addressed to the European Commission or to the national Data Protection Authorities (DPAs):
  • to advise the European Commission on any issue related to the protection of personal data and newly proposed legislation in the European Union (Art. 70 GDPR). In some instances, we issue Joint Opinions together with the EDPS (Art.42 of Regulation 2018/1725);
  • to ensure consistency of the activities of national data protection authorities (DPAs) on cross-border matters (Art. 64 GDPR). If authorities fail to respect an opinion issued by the EDPB, we may adopt a binding decision;
• adopting binding decisions addressed to the national DPAs and aiming to settle disputes between them when they cooperate in cross-border cases, with the purpose of ensuring the correct and consistent application of the GDPR in individual cases;
• promoting and supporting the cooperation among national DPAs.

Да, можете, но ОРЗД поставя определени задължения на предприятията, които споделят лични данни. Вашата организация трябва да информира физическите лица, че ще споделите техните данни с трета страна. Трябва също така да ги информирате за Вашите цели, сигурност, достъп и мерки за съхранение, които ще се прилагат.