ОРЗД дава на физическите лица контрол върху обработването на личните им данни. Прозрачността е от ключово значение, за да се постигне това. Това означава, че трябва да информирате лицата, чиито данни обработвате, за Вашите операции по обработване и за целите. С други думи, трябва да обясните кой обработва данните им, но и как, и защо. Само, ако използването на лични данни е „прозрачно“ за участниците, те могат да оценят възможните рискове и да вземат решения относно личните си данни.

Съгласно ОРЗД Вие сте длъжни да споделяте следната информация с физически лица:

• данните, които идентифицират администратора и координатите за връзка с него;
• целите на обработването;
• правното основание за обработването (ако има легитимен  интерес, конкретна информация за това кои законни интереси са свързани с конкретното обработване и  кой субект преследва всеки легитимен интерес).
• данните за връзка с администратора;
• коордиантите за връзка с  ДЛЗД (ако има ДЛЗД);
• получателите или категориите получатели на данните;
• информация за това дали данните ще бъдат предадени извън Европейското икономическо пространство (ЕИП) (когато е приложимо: наличието или липсата на решение относно адекватното ниво на защита или позоваване на подходящи гаранции и как тази информация може да бъде предоставена на субектите на данни);
• категориите обработвани лични данни, когато данните не са получени от физическото лице.

Освен това ОРЗД изисква от Вашата организация да предостави следната информация, за да се гарантира справедливо и прозрачно обработване:

• периодът на запазване или, когато това не е възможно, критериите, използвани за определяне на този период;
• правото да поискате достъп, изтриване, коригиране, ограничаване, възражение и преносимост на личните данни;
• правото на подаване на жалба до орган за защита на данните;
• ако правното основание за обработването е съгласие: правото да оттеглите съгласието си по всяко време;
• в случай на автоматизирано вземане на решения — съответната информация относно основната логика и очакваните последици от обработването за субекта на данните;
• източник на личните данни (ако не сте ги получили директно от засегнатото лице);
• дали физическото лице е длъжно да предостави личните данни (по закон или по договор, или да сключи договор) и какви са последиците от отказа за предоставяне на данните.

Повече информация:

• Зачитане на правата на физическите лица
   

ДЛЗД могат да изпълняват други задачи в рамките на организацията, но това не може да доведе до конфликт на интереси. Това означава, че ДЛЗД не може да има позиция, в която да определя целите и средствата на дейностите по обработване. Конфликтните функции включват главно ръководни длъжности (главен изпълнителен директор, главен оперативен директор, главен финансов директор, ръководител на човешките ресурси, ръководител на ИТ, управляващ директор), но могат да включват и други функции, ако те водят до определяне на целите и средствата за обработка.

ДЛЗД трябва да е в състояние да изпълнява своите задължения и задачи по независим начин. Това означава, че Вашата организация:

• не може да дава указания на ДЛЗД във връзка с изпълнението на задълженията му;
• не може да санкционира или освобождава ДЛЗД за изпълнението на неговите задачи.

Повече информация:

• Длъжностно лице по защита на данните

Съгласно ОРЗД е задължително да има валиден договор между администратора и обработващия лични данни. За нарушение може да бъде наложена административна глоба в размер до 10 млн. EUR или до 2 % от общия годишен оборот на дадено дружество, в зависимост от това коя от двете стойности е по-висока.

За да Ви помогнат при сключването на този вид договор между администратор и обработващ лични данни, Датския и Словенския орган за защита на данните, както и Европейската комисия, са разработили образци на договор.

Повече информация:

• Администратор на данни или обработващ лични данни

Задачата на ДЛЗД включва, наред с другото:

• да информира и съветва организацията и нейните служители относно спазването на изискванията за защита на данните;
• да наблюдава спазването на изискванията за защита на данните;
• да предоставя съвети по искания във връзка с оценката на въздействието върху защитата на данните (ОВЗД);
• да действа като точка за контакт с органа за защита на данните (ОЗД) и да си сътрудничи с този ОЗД;
• да действа като точка  за контакт по отношение на физическите лица.

Освен това присъствието на ДЛЗД обикновено се препоръчва, когато се вземат решения с последици за защитата на данните. Длъжностното лице следва също така незабавно да бъде консултирано след настъпване на нарушение на сигурността на данните или друг инцидент.
 

Повече информация:

• Длъжностно лице по защита на данните

Спазването на ОРЗД се наблюдава от националните органи за защита на данните (ОЗД). ОЗД могат да провеждат разследвания и да налагат санкции, когато е необходимо. ОЗД разполагат с редица инструменти, включително глоби до 20 млн. евро или 4 % от световния годишен оборот, в зависимост от това коя от двете стойности е по-висока, официални предупреждения и временни или постоянни забрани за обработка.

Можете да намерите координатите за връзка с всички ОЗД на ЕИП на уебсайта на ЕКЗД: Членовете

Повече информация:

• Орган за защита на данните и Вие

Администраторите на лични данни могат да обработват лични данни само при едно от следните обстоятелства:

• със съгласието на засегнатите лица;
• когато обработването е необходимо за изпълнението на договор (договор между Вашата организация и физическо лице);
• за спазване на законово  задължение съгласно законодателството на ЕС или националното законодателство;
• когато обработването е необходимо за изпълнението на задача от обществен интерес съгласно законодателството на ЕС или националното законодателство;
• за защита на жизненоважните интереси на физическото лице;
• за целите на легитимните  интереси на Вашата организация — освен в случаите, когато правата и свободите на физическите лица имат преимущество.

Освен това ОРЗД установява допълнителни условия за обработването на чувствителни данни.

Повече информация:

• Законосъобразно обработване на лични данни 

• Всяко обработване на лични данни трябва да бъде законосъобразно, добросъвестно и прозрачно.
• Да се събират лични данни само за конкретни, изрично указани и легитимни цели. Обработването на данните на дадено физическо лице трябва да бъде строго ограничено до първоначално установената(ите) цел(и) и следователно да не се обработва за последващи или други цели, които са несъвместими с първоначалните.
• Да се обработват само лични данни, които са необходими и пропорционални с оглед на предвидената цел.
• Всички лични данни, които обработвате, трябва да бъдат точни и актуализирани. Неточните лични данни трябва да бъдат коригирани или изтрити.
• Личните данни на физическите лица трябва да се съхраняват ограничено във времето с оглед на целта, за която тези данни са били събрани и обработени. Личните данни трябва да бъдат изтрити или анонимизирани, след като вече не са необходими.
• Данните на физическите лица трябва да се обработват по сигурен начин. В този смисъл трябва да се въведат строги мерки за контрол на киберсигурността, за да се гарантира, че данните  са адекватно защитени.

И накрая, администраторът носи отговорност. Това означава, че той има задължения и трябва да е в състояние да докаже спазването на горепосочените принципи.
 

Повече информация:

• Основи на защита на данните

ОРЗД налага задължения на всички организации, които обработват лични данни, независимо дали са администратори на данни или обработващи данни.
По-специално, Вие трябва:

• Да се запитате дали целта, за която могат да бъдат събирани лични данни, е оправдана, и да събирате само лични данни, които са необходими за конкретната(ите) цел(и);
• Да поддържате личните данни на физическите лица точни и актуални и да ги изтриваме, когато вече не са необходими;
• Да зачитате правата на физическите лица, като ги информирате за това как и защо се обработват техните данни и им позволявате да упражняват правата си;
• Да проверите дали имате подходящо правно основание за обработването на лични данни. В случай, че възнамерявате да разчитате на съгласието на физическите лица, да поискате съгласието им, преди да обработите личните им данни;
• Да гарантирате, че личните данни на физическите лица се обработват по сигурен начин;
• Да поддържате регистър на операциите по обработка.

Обработващите данни ще трябва да се придържат към отговорностите, определени в договора между  администратора и обработващия лични данни, и те не трябва да обработват данните по друг начин, освен в съответствие с инструкциите на администратора.

Повече информация:

• Да бъдат в съответствие
• Администратор на данни или обработващ лични данни
• Основи на защитата на данните

Бисквитките са малки файлове, съхранявани на устройство, като компютър, мобилно устройство или всяко друго устройство, което може да съхранява информация. Бисквитките обслужват редица важни функции, включително запомняне на потребителите и техните предишни взаимодействия с даден уебсайт. Те могат да се използват за проследяване на продукти в онлайн пазарска количка или на информацията, когато данните са въведени в онлайн формуляр за кандидатстване.

Бисквитките за удостоверяване на самоличността също са важни за идентифициране на потребителите, когато те използватв банкови  и други онлайн услуги. Информацията, съхранявана в бисквитките, може да включва лични данни, като например IP адрес, потребителско име, уникален идентификатор или  адрес на електронна поща.

Назначаването на ДЛЗД е задължително в следните три случая:

• организацията е публичен орган;
• основните дейности на организацията се състоят в редовно и систематично наблюдение на лица в голям мащаб, например геолокация чрез мобилно приложение или наблюдение на търговски центрове и обществени пространства чрез видеонаблюдение;
• основните дейности на организацията се състоят в широкомащабна обработка на чувствителни данни или лични данни, свързани с присъди и престъпления.

Винаги можете да назначите ДЛЗД на доброволен принцип, дори ако това не се изисква по закон. Моля, имайте предвид, че в този случай трябва да спазвате всички разпоредби на ОРЗД относно задачите и длъжността на длъжностното лице по защита на данните.

Повече информация:

• Длъжностно лице по защита на данните