Frequently Asked Questions

Нарушение на сигурността на личните данни е нарушение на сигурността, водещо до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни.

• Ако нарушението на сигурността на данните представлява риск за засегнатите лица, трябва да съобщите за това на съответния орган за защита на данните в срок от 72 часа.
• Ако има вероятност нарушението да доведе до висок риск за физическите лица, ще трябва също така да съобщите това нарушение на засегнатите лица без ненужно забавяне.

Във всеки случай, за всички нарушения — дори и тези, които не са съобщени на ОЗД — трябва да запишете най-малко основните данни  за нарушението, оценката му, последиците от него и предприетите последващи стъпки.

Повече информация:

• Нарушения на сигурността на данните

ОРЗД предвижда специфични права за физическите лица, които трябва да бъдат спазвани. Можете да направите това чрез:

• информиране на лицата, чиито данни обработвате, за Вашите операции по обработване и за целите на обработването, когато събирате техните данни, например, чрез декларация за поверителност на Вашия уебсайт;
• чрез отговаряне на исканията на физическите лица да упражнят правата си, като например искания за достъп, коригиране, възражение, изтриване или преносимост.

Организациите, които са прозрачни по отношение на използването на лични данни от тяхна страна и които зачитат правата на физическите лица, е по-малко вероятно да станат обект на жалби.

Повече информация:

• Зачитане на правата на физическите лица

Координационният надзорен комитет (ККН), който съществува в рамките на ЕКЗД, координира надзора върху обработването на лични данни в Шенгенската информационна система (ШИС). Съответните законодателни актове на ЕС са Регламент (ЕС) 2018/1862 (по-специално член 71) и Регламент (ЕС) 2018/1861 (по-специално член 57).

За личните данни, включени в ШИС, имате право на достъп, коригиране и заличаване. Тези права включват:

• правото да знаете дали свързаната с Вас информация се обработва в ШИС;
• правото на достъп до тези данни;
• правото на коригиране на неточни данни или заличаване, свързани с неправомерно съхранение на тези данни; и
• Правото да предприемете действия пред съдилищата, вашия орган за защита на данните и/или компетентните органи, според случая, за да коригирате или изтриете данни, свързани с вас, или да получите обезщетение.

За да упражните правата си, моля, свържете се с вашия национален компетентен орган в избраната от вас държава от Шенген. За повече информация относно националните компетентни органи и относно органа за защита на данните във всяка държава от Шенген, моля, вижте „Ръководствоза упражняване на правата на субектите на данни“,достъпно на нашия уебсайт. Там можете да намерите и образци на писма, които да Ви помогнат да упражните правата си. 

Моля, имайте предвид, че ЕКЗД не е компетентен да разглежда индивидуални жалби или искания. Освен това ЕКЗД няма достъп до съдържанието на тези информационни системи и бази данни.

Повече подробности за това как да упражните правата си можете да намерите на нашия уебсайт https://www.edpb.europa.eu/our-work-tools/our-documents/csc-data-subject-rights/schengen-information-system-guide-exercising_bg.

ЕКЗД редовно публикува съобщения за медиите, новини, блогове и друго съдържание на уебсайта на ЕКЗД и неговите канали в социалните медии (Туитър: @EU_EDPB; LinkedIn: Европейският комитет по защита на данните), за да информира редовнообщността за защита на данните и широката общественост.

На уебсайта на ЕКЗД има и два RSS канали, за които можете да се абонирате за да получавате автоматични актуализации на новините на ЕКЗД и неговите последните публикации.

С ОРЗД или Общия регламент относно защитата на данните се създава хармонизиран набор от правила, приложими за всяко обработване на лични данни от организации (публични или частни, независимо от техния размер), установени в Европейското икономическо пространство (ЕИП) или насочени към физически лица в ЕС. Основната цел на ОРЗД е да гарантира, че личните данни се ползват с един и същ висок стандарт на защита навсякъде в ЕИП, като повишава правната сигурност както за физическите лица, така и за организациите, които обработват данни, и предлага висока степен на защита на субектите на данни.

Регламентът влезе в сила на 24 май 2016 г. и се прилага от 25 май 2018 г.

All individuals residing in the European Economic Area (EEA) have the right to the protection of their personal data.

More specifically, under the GDPR, you have several rights

• Right to be informed
• Right of access
• Right to rectification
• Right to restriction of processing
• Right to data portability
• Right to object
• Right not be subject to a decision based solely on automated processing.

For more information on your rights, please consult our leaflet The GDPR and your rights or the EDPB Data Protection Guide for small business.

Да, ОРЗД се прилага, ако личните данни се съдържат или са предназначени да се съдържат в система за картотекиране. Това означава, че ОРЗД се прилага и за регистрите на хартиен носител, а не само за автоматизираното обработване на лични данни.

Повече информация:

• Основи на защитата на данните

Когато има двама или повече администратори на данни, които съвместно определят целта и средствата на обработването, те се считат за съвместни администратори. Те решават заедно да обработват лични данни за съвместна цел. Съвместното администриране може да бъде под много форми, а участието на различните администратори може да бъде неравномерно. Следователно, съвместните администратори трябва да определят своите  отговорности за спазване на ОРЗД.

Важно е да се отбележи, че съвместното администриране води до съвместна отговорност за дадена дейност по обработване.

• Пример за съвместно администриране: Компании А и Б са стартирали продукт с обща марка и желаят да организират събитие за популяризиране му. За тази цел те решават да споделят данни от своите бази данни с настоящи и потенциални клиенти и възоснова на тях да вземат решение относно включването в списъка на поканените на събитието. Те също така се споразумяват относно реда и условията за изпращане на поканите за събитието, как да се събират отзиви по време на мероприятието и последващи маркетингови действия. Дружества А и Б могат да се считат за съвместни администратори за обработването на лични данни, свързани с организирането на промоционалната проява, тъй като те вземат съвместно решение за съвместно определената цел и основните средства за обработка на данните.

Повече информация:

• Администратор на данни или обработващ лични данни

Да, но за да направите това, първо трябва да определите правното основание за обработването на този вид лични данни. Например, обработването може да се счита за легитимен интерес за Вашата организация. Когато обработвате лични данни въз основа на легитимен интерес, винаги е необходимо да проведете балансиращ тест, за да определите дали Вашите законни интереси имат преимущество над правата на физическите лица, особено ако участват деца.

Друго възможно правно основание за такова обработване може да бъде съгласието. Във всеки случай лицата трябва винаги да бъдат информирани предварително, че събитието се снима или заснема.
 

Повече информация:

• Законосъобразно обработване на лични данни

Съгласието наистина би могло да бъде валидно правно основание за съхраняване на автобиографиите на кандидатите за работа. Друго възможно правно основание може да бъде легитимен интерес. В този случай ще трябва да извършите тест за балансиране, за да докажете, че законните интереси на Вашата организация надвишават правата на кандидатите.

Във всеки случай ще трябва да информирате кандидатите, че планирате да съхранявате техните данни и за какви цели.

Повече информация:

• Законосъобразно обработване на лични данни

Европейската комисия може да реши дали дадена държава извън Европа (или международна организация) предлага „адекватно“ ниво на защита на данните, което улеснява потоците от данни между Европа и тази държава. 

ЕКЗД отговаря за издаването на становища по проектите на решения относно адекватното ниво на защита преди решението на Европейската комисия. Становищата не са обвързващи за Европейската комисия, но обикновено са полезни за другите организации, с които се провеждат консултации в тази рамка, като например държавите — членки на ЕС.

Освен това Европейската комисия е тази, която е компетентна да наблюдава развитията в неевропейските държави, които биха могли да засегнат решенията относно адекватното ниво на защита. В някои решения относно адекватното ниво на защита се предвижда специфична редовност на преразглеждането на решението и може да се посочва възможността представители на ЕКЗД да участват в процеса на преразглеждане, организиран от Европейската комисия.

Моля, имайте предвид също така, че европейските органи за защита на данните могат да защитават физическите лица по отношение на предаването на данни, извършвано в контекста на решението относно адекватното ниво на защита (моля, намерете списък с тях на нашия уебсайт: https://edpb.europa.eu/about-edpb/our-members).

Ако смятате, че съществуващо решение относно адекватното ниво на защита не е в съответствие с основните ви права на неприкосновеност на личния живот и защита на данните, можете да подадете жалба до вашия ОЗД, който може да отнесе тези възражения до национален съд, от който може да се изисква да отправи преюдициално запитване до Съда (вж. член 58, параграф 5 от ОРЗД и решението на Съда на ЕС по делото Schrems (дело C-362/14).

За допълнителна информация, моля, вижте: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_bg

Unfortunately, the EDPB cannot consider late contributions as part of the public consultation.

Processing personal data is allowed if there is a legal basis for it. In addition to free, specific , informed and unambiguous consent, other legal bases for processing can be used.
In other words, consent is necessary when none of the other legal bases applies.

More information:

• Process personal data lawfully

Не, не е необходимо да се сертифицирате, за да станете ДЛЗД.

ДЛЗД обаче трябва да могат да докажат, че притежават необходимата квалификация, изисквана от ОРЗД, като например експертни познания по законодателството и практиките в областта на защитата на данните.

Повече информация:

• Длъжностно лице по защита на данните

Оценката на въздействието върху защитата на данните или ОВЗД е писмена оценка, която Вашата организация трябва да направи, за да оцени въздействието на планирана операция по обработване. Тя ви помага да определите подходящите мерки за справяне с рисковете и да демонстрирате съответствие.

Въпреки че винаги е за предпочитане да се предвиди въздействието на планираните операции по обработване на Вашата организация чрез извършване на ОВЗД, такава проверка е задължително да се извърши, когато има вероятност обработването да доведе до висок риск за правата и свободите на физическите лица.

По-конкретно, такъв е случаят, когато предвиденото обработване включва:

• мащабно обработване на чувствителни лични данни или данни, свързани с  присъди;  
• систематична и подробна оценка на личните аспекти на дадено лице, която се базира на автоматично  обработване, включително профилиране, и служи за основа на  решения, които имат  правни последици за въпросното лице или по подобен начин сериозно засягат физическите лица;
• систематично мащабно наблюдение на публично достъпна зона.

ЕКЗД е разработил насоки, в които са изброени критериите, които трябва да вземете предвид, когато преценявате дали ОВЗД е задължителна или не. Органите за защита на данните (ОЗД) също така публикуваха списъци на операциите по обработване, които подлежат на ОВЗД. Освен това няколко ОЗД са разработили ръководства, софтуер или инструменти за самооценка, които да ви помогнат с Вашата оценка.
 

Повече информация:

• Да бъдат в съответствие

Администраторите на лични данни могат да обработват лични данни само при едно от следните обстоятелства:

• със съгласието на засегнатите лица;
• когато обработването е необходимо за изпълнението на договор (договор между Вашата организация и физическо лице);
• за спазване на законово  задължение съгласно законодателството на ЕС или националното законодателство;
• когато обработването е необходимо за изпълнението на задача от обществен интерес съгласно законодателството на ЕС или националното законодателство;
• за защита на жизненоважните интереси на физическото лице;
• за целите на легитимните  интереси на Вашата организация — освен в случаите, когато правата и свободите на физическите лица имат преимущество.

Освен това ОРЗД установява допълнителни условия за обработването на чувствителни данни.

Повече информация:

• Законосъобразно обработване на лични данни 

Да, обработващите данни (т.е. физически лица или органи, които обработват данни от името на администратор на данни) имат задължения съгласно ОРЗД. Съществуват обаче някои различия между отговорностите на администраторите на данни и обработващите лични данни.

Обработващите лични данни трябва да се придържат към отговорностите, определени в договора между  администратора и обработващия лични данни, в който се описват подробно операциите по обработване и средствата за обработване на лични данни. Например,  обработващият лични данни ще трябва да извършва операциите по обработване с подходящи технически и организационни мерки съгласно указанията на администратора. По този начин обработващият лични данни подпомага администратора при спазването на ОРЗД.

Повече информация:

• Администратор на данни или обработващ лични данни

Договорът между администратора и обработващия лични данни трябва да предвижда, че обработващият лични данни:

• обработва личните данни само по указания на администратора на данни, включително по отношение на предаването на лични данни на държава извън ЕИП;
• гарантира, че лицата, упълномощени да обработват данните, са поели ангажимент за поверителност или са обект на подходящо законово задължение за поверителност;
• гарантира сигурността на обработката;
• не ангажира друг обработващ лични данни без предварително конкретно или общо писмено разрешение на администратора на данни;
• подпомага администратора на данни за изпълнението на задълженията на администратора да отговаря на исканията на физическите лица за упражняване на правата им;
• подпомага администратора на данни при обезпечаването на обработването, уведомяването за нарушения на сигурността на данните и извършването на ОВЗД;
• по избор на администратора на данни изтрива или връща всички лични данни на администратора след края на предоставянето на услугите;
• предоставя на администратора на данни цялата необходима информация, за да докаже спазването на задълженията по ОРЗД;
• дава възможност за одити и допринася за тях, включително инспекции, извършвани от администратора на данни или от друг одитор, упълномощен от администратора.

Освен това обработващият лични данни незабавно информира администратора на данни, ако по негово мнение инструкции нарушават ОРЗД или други разпоредби на ЕС или национални разпоредби за защита на данните.

Повече информация:

• Администратор на данни или обработващ лични данни

Съгласно ОРЗД, по принцип,  съществуват два основни начина за предаване на лични данни на държава извън ЕИП или международна организация. Предаването на данни може да се извършва въз основа на решение относно адекватното ниво на защита или, при липса на такова решение, въз основа на подходящи гаранции, включително приложими права и правни средства за защита за физическите лица.

Повече информация:

• Международни трансфери
   

От ДЛЗД не може да се търси отговорност за неспазване на ОРЗД. Спазването на ОРЗД е отговорност на организацията, която е назначила ДЛЗД.

Повече информация:

• Длъжностно лице по защита на данните