Назначаването на ДЛЗД е задължително в следните три случая:

• организацията е публичен орган;
• основните дейности на организацията се състоят в редовно и систематично наблюдение на лица в голям мащаб, например геолокация чрез мобилно приложение или наблюдение на търговски центрове и обществени пространства чрез видеонаблюдение;
• основните дейности на организацията се състоят в широкомащабна обработка на чувствителни данни или лични данни, свързани с присъди и престъпления.

Винаги можете да назначите ДЛЗД на доброволен принцип, дори ако това не се изисква по закон. Моля, имайте предвид, че в този случай трябва да спазвате всички разпоредби на ОРЗД относно задачите и длъжността на длъжностното лице по защита на данните.

Повече информация:

• Длъжностно лице по защита на данните

От ДЛЗД не може да се търси отговорност за неспазване на ОРЗД. Спазването на ОРЗД е отговорност на организацията, която е назначила ДЛЗД.

Повече информация:

• Длъжностно лице по защита на данните

Не, обработването на чувствителни данни по принцип е забранено, освен при много специфични обстоятелства:

• Лицето е дало изричното си съгласие за обработване на чувствителните му данни.
• Обработването на чувствителни данни е необходимо, за да може администраторът на данни да изпълнява своите задължения, по-специално в сферата  на заетостта, социалната сигурност и социалната закрила. Например, администраторът на данни може да се наложи да обработва чувствителните данни на дадено лице, за да може да определи дали има право на определени социалноосигурителни обезщетения или стипендии за заетост.
• Обработването на чувствителни данни е необходимо, за да се защитят жизненоважните интереси на дадено лице, когато лицето е физически или юридически неспособно да даде съгласие. Например, ако дадено лице е оставено в безсъзнание в резултат на злополука и изисква незабавна медицинска помощ, може да се наложи да бъдат обработени неговите здравни данни, за да се предоставят подходящи медицински грижи.
• Обработването на чувствителни данни се извършва в рамките  на законните дейности на фондация, сдружение или друга организация с нестопанска цел с политическа, философска, религиозна или синдикална цел и само за обработването на личните данни на техните членове, бивши членове или лица, които имат редовни контакти с тях.
• Чувствителните данни са били явно публично оповестени от физическо лице.
• Обработването на чувствителни данни е необходимо в рамките на съдебни производства.
• Обработването на чувствителни данни е необходимо по причини от важен обществен интерес.
• Обработването на чувствителни данни е необходимо за целите на превантивната или трудовата медицина. Например, оценката на чувствителните данни на дадено лице, като например медицинските му данни, може да е необходима, за да се определи неговата работоспособност като служител.
• Обработването на чувствителни данни е необходимо по въпроси, свързани с общественото здраве, въз основа на правото на ЕС или националното право. Например, обработването на чувствителни данни на физическите лица може да е необходимо, за да се гарантира високо качество на здравеопазването и високо качество на медицинските продукти или за борба със сериозни заплахи за здравето, като например вируси.
• Обработването на чувствителни данни е необходимо за целите на архивирането в обществен интерес или за научни или исторически изследвания, или за статистически цели. Например обработването на чувствителни данни може да е необходимо, за да се предоставят точни статистически данни за положението на дадена държава в определена област. 
   

Повече информация:

• Законосъобразно обработване на лични данни
   

Съгласието наистина би могло да бъде валидно правно основание за съхраняване на автобиографиите на кандидатите за работа. Друго възможно правно основание може да бъде легитимен интерес. В този случай ще трябва да извършите тест за балансиране, за да докажете, че законните интереси на Вашата организация надвишават правата на кандидатите.

Във всеки случай ще трябва да информирате кандидатите, че планирате да съхранявате техните данни и за какви цели.

Повече информация:

• Законосъобразно обработване на лични данни

Да, но за да направите това, първо трябва да определите правното основание за обработването на този вид лични данни. Например, обработването може да се счита за легитимен интерес за Вашата организация. Когато обработвате лични данни въз основа на легитимен интерес, винаги е необходимо да проведете балансиращ тест, за да определите дали Вашите законни интереси имат преимущество над правата на физическите лица, особено ако участват деца.

Друго възможно правно основание за такова обработване може да бъде съгласието. Във всеки случай лицата трябва винаги да бъдат информирани предварително, че събитието се снима или заснема.
 

Повече информация:

• Законосъобразно обработване на лични данни

Трябва да отговорите без ненужно забавяне и не по-късно от един месец след получаване на искането. Този срок може да бъде удължен с още два месеца, ако искането е твърде сложно и е необходимо повече време за отговор, при условие че лицето е уведомено за това в срок от един месец след получаване на искането.

Трябва да го направите безплатно.

Повече информация:

• Зачитане на правата на физическите лица

Не можете да съхранявате лични данни завинаги.
По правило личните данни могат да се съхраняват само толкова дълго, колкото е необходимо за целите, за които се обработват.

В някои случаи периодът на съхранение може да бъде определен от специални закони, например трудовите разпоредби определят период за съхранение на списъците за заплати.

Организациите следва да въведат политики за запазване на данните, за да се уверят, че личните данни не се съхраняват по-дълго от необходимото. Личните данни на физическите лица трябва да бъдат изтрити или анонимизирани, след като вече не са необходими за целта, за която се обработват.

Повече информация:

• Основи на защитата на данните

Физическите лица имат право да поискат изтриване на свързаните с тях лични данни и в този случай администраторът има задължението да изтрие личните данни. Трябва да отговорите без ненужно забавяне и не по-късно от един месец след получаване на искането. Този срок може да бъде удължен с още два месеца, ако искането е твърде сложно и е необходимо повече време за неговото изпълнение, при условие че лицето бъде уведомено за това в срок от един месец след получаване на искането.
 

Важно е да се отбележи, че правото на изтриване не е абсолютно. То не се прилага, когато въпросните данни са необходими за:

• упражняване на правото на свобода на изразяване на мнение и на информация (напр. за журналистически цели);
• спазване на правно задължение, което изисква обработването на лични данни (напр. обработка на записи за работното време на служителите);
• съображения от обществен интерес в областта на общественото здраве
• целите на архивирането в обществен интерес или за научни или исторически изследвания или за статистически цели; и
• установяването, упражняването или защитата на правни претенции.

Когато личните данни, които трябва да бъдат изтрити, са били прехвърлени преди това на други организации, трябва да уведомите тези получатели, че лицето е поискало изтриване, освен ако това се окаже невъзможно или би изисквало непропорционални усилия.

Повече информация:

• Зачитане на правата на физическите лица

ОРЗД предвижда специфични права за физическите лица, които трябва да бъдат спазвани. Можете да направите това чрез:

• информиране на лицата, чиито данни обработвате, за Вашите операции по обработване и за целите на обработването, когато събирате техните данни, например, чрез декларация за поверителност на Вашия уебсайт;
• чрез отговаряне на исканията на физическите лица да упражнят правата си, като например искания за достъп, коригиране, възражение, изтриване или преносимост.

Организациите, които са прозрачни по отношение на използването на лични данни от тяхна страна и които зачитат правата на физическите лица, е по-малко вероятно да станат обект на жалби.

Повече информация:

• Зачитане на правата на физическите лица

За да може съгласието да се счита за валидно, то трябва да бъде:

• свободно изразеноо;
• специфично;
• информирано; и
• недвусмислено.

Това означава, че физическите лица трябва да имат истински свободен избор дали са съгласни или не с обработването на личните им данни; те се нуждаят от достатъчно информация, за да могат да разберат кои данни се обработват, с каква цел и как се прави това; те също така се нуждаят от достатъчно добре обяснени исканията за съгласие.

Освен това трябва да има ясно утвърдително действие от страна на лицето (без предварително отметнати полета и без да е отделено от приложимите общи условия).

Освен това лицата трябва да могат свободно да оттеглят съгласието си (без никакви отрицателни последици), ако по-късно променят мнението си.

Повече информация:

• Законосъобразно обработване на лични данни