Спазването на ОРЗД се наблюдава от националните органи за защита на данните (ОЗД). ОЗД могат да провеждат разследвания и да налагат санкции, когато е необходимо. ОЗД разполагат с редица инструменти, включително глоби до 20 млн. евро или 4 % от световния годишен оборот, в зависимост от това коя от двете стойности е по-висока, официални предупреждения и временни или постоянни забрани за обработка.

Можете да намерите координатите за връзка с всички ОЗД на ЕИП на уебсайта на ЕКЗД: Членовете

Повече информация:

• Орган за защита на данните и Вие

Администраторите на лични данни могат да обработват лични данни само при едно от следните обстоятелства:

• със съгласието на засегнатите лица;
• когато обработването е необходимо за изпълнението на договор (договор между Вашата организация и физическо лице);
• за спазване на законово  задължение съгласно законодателството на ЕС или националното законодателство;
• когато обработването е необходимо за изпълнението на задача от обществен интерес съгласно законодателството на ЕС или националното законодателство;
• за защита на жизненоважните интереси на физическото лице;
• за целите на легитимните  интереси на Вашата организация — освен в случаите, когато правата и свободите на физическите лица имат преимущество.

Освен това ОРЗД установява допълнителни условия за обработването на чувствителни данни.

Повече информация:

• Законосъобразно обработване на лични данни 

• Всяко обработване на лични данни трябва да бъде законосъобразно, добросъвестно и прозрачно.
• Да се събират лични данни само за конкретни, изрично указани и легитимни цели. Обработването на данните на дадено физическо лице трябва да бъде строго ограничено до първоначално установената(ите) цел(и) и следователно да не се обработва за последващи или други цели, които са несъвместими с първоначалните.
• Да се обработват само лични данни, които са необходими и пропорционални с оглед на предвидената цел.
• Всички лични данни, които обработвате, трябва да бъдат точни и актуализирани. Неточните лични данни трябва да бъдат коригирани или изтрити.
• Личните данни на физическите лица трябва да се съхраняват ограничено във времето с оглед на целта, за която тези данни са били събрани и обработени. Личните данни трябва да бъдат изтрити или анонимизирани, след като вече не са необходими.
• Данните на физическите лица трябва да се обработват по сигурен начин. В този смисъл трябва да се въведат строги мерки за контрол на киберсигурността, за да се гарантира, че данните  са адекватно защитени.

И накрая, администраторът носи отговорност. Това означава, че той има задължения и трябва да е в състояние да докаже спазването на горепосочените принципи.
 

Повече информация:

• Основи на защита на данните

ОРЗД налага задължения на всички организации, които обработват лични данни, независимо дали са администратори на данни или обработващи данни.
По-специално, Вие трябва:

• Да се запитате дали целта, за която могат да бъдат събирани лични данни, е оправдана, и да събирате само лични данни, които са необходими за конкретната(ите) цел(и);
• Да поддържате личните данни на физическите лица точни и актуални и да ги изтриваме, когато вече не са необходими;
• Да зачитате правата на физическите лица, като ги информирате за това как и защо се обработват техните данни и им позволявате да упражняват правата си;
• Да проверите дали имате подходящо правно основание за обработването на лични данни. В случай, че възнамерявате да разчитате на съгласието на физическите лица, да поискате съгласието им, преди да обработите личните им данни;
• Да гарантирате, че личните данни на физическите лица се обработват по сигурен начин;
• Да поддържате регистър на операциите по обработка.

Обработващите данни ще трябва да се придържат към отговорностите, определени в договора между  администратора и обработващия лични данни, и те не трябва да обработват данните по друг начин, освен в съответствие с инструкциите на администратора.

Повече информация:

• Да бъдат в съответствие
• Администратор на данни или обработващ лични данни
• Основи на защитата на данните

Бисквитките са малки файлове, съхранявани на устройство, като компютър, мобилно устройство или всяко друго устройство, което може да съхранява информация. Бисквитките обслужват редица важни функции, включително запомняне на потребителите и техните предишни взаимодействия с даден уебсайт. Те могат да се използват за проследяване на продукти в онлайн пазарска количка или на информацията, когато данните са въведени в онлайн формуляр за кандидатстване.

Бисквитките за удостоверяване на самоличността също са важни за идентифициране на потребителите, когато те използватв банкови  и други онлайн услуги. Информацията, съхранявана в бисквитките, може да включва лични данни, като например IP адрес, потребителско име, уникален идентификатор или  адрес на електронна поща.

Назначаването на ДЛЗД е задължително в следните три случая:

• организацията е публичен орган;
• основните дейности на организацията се състоят в редовно и систематично наблюдение на лица в голям мащаб, например геолокация чрез мобилно приложение или наблюдение на търговски центрове и обществени пространства чрез видеонаблюдение;
• основните дейности на организацията се състоят в широкомащабна обработка на чувствителни данни или лични данни, свързани с присъди и престъпления.

Винаги можете да назначите ДЛЗД на доброволен принцип, дори ако това не се изисква по закон. Моля, имайте предвид, че в този случай трябва да спазвате всички разпоредби на ОРЗД относно задачите и длъжността на длъжностното лице по защита на данните.

Повече информация:

• Длъжностно лице по защита на данните

От ДЛЗД не може да се търси отговорност за неспазване на ОРЗД. Спазването на ОРЗД е отговорност на организацията, която е назначила ДЛЗД.

Повече информация:

• Длъжностно лице по защита на данните

Не, обработването на чувствителни данни по принцип е забранено, освен при много специфични обстоятелства:

• Лицето е дало изричното си съгласие за обработване на чувствителните му данни.
• Обработването на чувствителни данни е необходимо, за да може администраторът на данни да изпълнява своите задължения, по-специално в сферата  на заетостта, социалната сигурност и социалната закрила. Например, администраторът на данни може да се наложи да обработва чувствителните данни на дадено лице, за да може да определи дали има право на определени социалноосигурителни обезщетения или стипендии за заетост.
• Обработването на чувствителни данни е необходимо, за да се защитят жизненоважните интереси на дадено лице, когато лицето е физически или юридически неспособно да даде съгласие. Например, ако дадено лице е оставено в безсъзнание в резултат на злополука и изисква незабавна медицинска помощ, може да се наложи да бъдат обработени неговите здравни данни, за да се предоставят подходящи медицински грижи.
• Обработването на чувствителни данни се извършва в рамките  на законните дейности на фондация, сдружение или друга организация с нестопанска цел с политическа, философска, религиозна или синдикална цел и само за обработването на личните данни на техните членове, бивши членове или лица, които имат редовни контакти с тях.
• Чувствителните данни са били явно публично оповестени от физическо лице.
• Обработването на чувствителни данни е необходимо в рамките на съдебни производства.
• Обработването на чувствителни данни е необходимо по причини от важен обществен интерес.
• Обработването на чувствителни данни е необходимо за целите на превантивната или трудовата медицина. Например, оценката на чувствителните данни на дадено лице, като например медицинските му данни, може да е необходима, за да се определи неговата работоспособност като служител.
• Обработването на чувствителни данни е необходимо по въпроси, свързани с общественото здраве, въз основа на правото на ЕС или националното право. Например, обработването на чувствителни данни на физическите лица може да е необходимо, за да се гарантира високо качество на здравеопазването и високо качество на медицинските продукти или за борба със сериозни заплахи за здравето, като например вируси.
• Обработването на чувствителни данни е необходимо за целите на архивирането в обществен интерес или за научни или исторически изследвания, или за статистически цели. Например обработването на чувствителни данни може да е необходимо, за да се предоставят точни статистически данни за положението на дадена държава в определена област. 
   

Повече информация:

• Законосъобразно обработване на лични данни
   

Съгласието наистина би могло да бъде валидно правно основание за съхраняване на автобиографиите на кандидатите за работа. Друго възможно правно основание може да бъде легитимен интерес. В този случай ще трябва да извършите тест за балансиране, за да докажете, че законните интереси на Вашата организация надвишават правата на кандидатите.

Във всеки случай ще трябва да информирате кандидатите, че планирате да съхранявате техните данни и за какви цели.

Повече информация:

• Законосъобразно обработване на лични данни

Да, но за да направите това, първо трябва да определите правното основание за обработването на този вид лични данни. Например, обработването може да се счита за легитимен интерес за Вашата организация. Когато обработвате лични данни въз основа на легитимен интерес, винаги е необходимо да проведете балансиращ тест, за да определите дали Вашите законни интереси имат преимущество над правата на физическите лица, особено ако участват деца.

Друго възможно правно основание за такова обработване може да бъде съгласието. Във всеки случай лицата трябва винаги да бъдат информирани предварително, че събитието се снима или заснема.
 

Повече информация:

• Законосъобразно обработване на лични данни