• Насоки 3/2021 относно прилагането на член 65, параграф 1, буква а) от ОРЗД

    24 May 2023
    Publication Type:

  • Насоки 9/2022 относно уведомяването за нарушение на сигурността на личните данни съгласно ОРЗД

    4 April 2023
    Publication Type:

  • Становище 04/2024 относно понятието „основно място на установяване“ на администратор в Съюза съгласно член 4, параграф 16, буква а) от ОРЗД

    13 February 2024
    Publication Type:

    • В ОРЗД се прави разграничение между две основни роли: тези на администратора на данни и обработващия лични данни. Това разграничение е от решаващо значение, тъй като администраторът на данни носи по-голяма отговорност и трябва да изпълнява повече задължения от обработващия лични данни.

    Администраторите и обработващите лични данни могат да бъдат физически или юридически лица, например: МСП, публичен орган, дружество, организация, държавен орган, сдружение и т.н.

    Администраторът на данни определя целите и средствата на операцията по обработване. С други думи, администраторът решава как и защо се извършва операция по обработване. Докато обработващите лични данни обработват лични данни от името на администратора. Обработването, извършвано от обработващите, трябва да бъде уредено в договор с администратора на данни или в друг правен акт.

    Примери за администратори на данни:

    • дружества, които обработват личните данни на своите клиенти, за да извършат продажба;
    • финансови институции, които обработват лични данни на своите клиенти;
    • асоциации, които обработват данните на своите членове;
    • училища или университети, които обработват лични данни на студенти и учители;
    • болници, които обработват лични данни на своите пациенти;
    • правителствени агенции, които обработват лични данни на граждани.

    Примери за обработващи данни:

    • МСП наема счетоводна служба, която да съхранява неговите счетоводни книги и регистри, МСП е администратор на данни, а счетоводната служба — обработващ данни;
    • дружество за заплати обработва лични данни за МСП. Дружеството ще действа като обработващ лични данни, ако обработва единствено личните данни от името на МСП. МСП определя целите и средствата за обработването на данните и следователно е администратор на данни.
    • МСП възлага на маркетингова компания да събира имейл адреси чрез уебсайтове на трети страни. Маркетинговото дружество прави това в съответствие с изричните указания на МСП и за изключителни цели на МСП. Маркетинговата компания действа като обработващ за това обработване на данни.

     

    Повече информация:

     

    Намери ли отговора си?

    ДЛЗД може да бъде настоящ служител с достатъчно познания по ОРЗД (ако професионалните задачи на служителя са съвместими с тези на ДЛЗД и това не води до конфликт на интереси) или външно лице. ДЛЗД следва да може да изпълнява задачи независимо и да може да докладва пряко на най-висшето ръководство.

     

    Повече информация:

     

     

    On the same topic:
    Намери ли отговора си?

    Ако Вашата организация събира личните данни директно от физически лица, тя трябва да предостави необходимата информация в момента на събирането.
    В случай на непряко събиране на лични данни, Вашата организация трябва да предостави информацията най-късно в рамките на един месец след първоначалното получаване на личните данни. Този максимален срок от един месец може да бъде намален:

    • ако личните данни се използват за целите на комуникацията със субекта на данните. В този случай трябва да уведомите субекта на данните най-късно при първото съобщение до лицето;
    • ако данните се предават на друг получател, организацията информира субектите на данни за това най-късно при предаването на личните данни.

     

    Повече информация:

    On the same topic:
    Намери ли отговора си?

    Физическите лица могат да Ви попитат дали обработвате техните данни и когато това е така, те имат право на достъп до тези данни. Така че, когато това се случи и ако обработвате техните данни, трябва например да предоставите безплатно копие от личните им данни, заедно с всяка необходима допълнителна информация. Когато искането се подава по електронен път, Вашата организация следва да предостави изискваната информация в широко използван електронен формат, освен ако лицата не поискат друго.

     

    Повече информация:

     

     

    On the same topic:
    Намери ли отговора си?

    Нарушение на сигурността на личните данни е нарушение на сигурността, водещо до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни.

    • Ако нарушението на сигурността на данните представлява риск за засегнатите лица, трябва да съобщите за това на съответния орган за защита на данните в срок от 72 часа.
    • Ако има вероятност нарушението да доведе до висок риск за физическите лица, ще трябва също така да съобщите това нарушение на засегнатите лица без ненужно забавяне.

    Във всеки случай, за всички нарушения — дори и тези, които не са съобщени на ОЗД — трябва да запишете най-малко основните данни  за нарушението, оценката му, последиците от него и предприетите последващи стъпки.

     

    Повече информация:

    Намери ли отговора си?

    Договорът между администратора и обработващия лични данни трябва да предвижда, че обработващият лични данни:

    • обработва личните данни само по указания на администратора на данни, включително по отношение на предаването на лични данни на държава извън ЕИП;
    • гарантира, че лицата, упълномощени да обработват данните, са поели ангажимент за поверителност или са обект на подходящо законово задължение за поверителност;
    • гарантира сигурността на обработката;
    • не ангажира друг обработващ лични данни без предварително конкретно или общо писмено разрешение на администратора на данни;
    • подпомага администратора на данни за изпълнението на задълженията на администратора да отговаря на исканията на физическите лица за упражняване на правата им;
    • подпомага администратора на данни при обезпечаването на обработването, уведомяването за нарушения на сигурността на данните и извършването на ОВЗД;
    • по избор на администратора на данни изтрива или връща всички лични данни на администратора след края на предоставянето на услугите;
    • предоставя на администратора на данни цялата необходима информация, за да докаже спазването на задълженията по ОРЗД;
    • дава възможност за одити и допринася за тях, включително инспекции, извършвани от администратора на данни или от друг одитор, упълномощен от администратора.

    Освен това обработващият лични данни незабавно информира администратора на данни, ако по негово мнение инструкции нарушават ОРЗД или други разпоредби на ЕС или национални разпоредби за защита на данните.

     

    Повече информация:

     

    On the same topic:
    Намери ли отговора си?
    Subscribe to