Всяка организация, независимо от нейния размер или сектор, установена в Европейското икономическо пространство (ЕИП) или предлагаща продукти или услуги на физически лица в ЕИП, която обработва лични данни,  със или без използване на автоматизирани средства трябва да спазва ОРЗД. Дори ако ОРЗД се отнася главно до автоматизираното обработване на лични данни, операциите по обработване, извършвани ръчно, също ще бъдат предмет на Регламента от момента, в който досиетата на хартиен носител са организирани по систематичен начин, например по азбучен ред в шкаф за документи. 
Примери за операции по обработване включват събиране, записване, организиране, използване, модифициране, съхраняване, разкриване, промяна и изтриване на лични данни на физически лица.

Независимо от това, прилагането на ОРЗД се променя в зависимост от естеството, вида, целите и рисковете на извършваните операции по обработване. За МСП, чиято основна дейност не е обработването на лични данни, задълженията могат да бъдат по-малко строги, отколкото за голямо дружество.

Повече информация:

• Основи на защитата на данните

Не, не е необходимо да се сертифицирате, за да станете ДЛЗД.

ДЛЗД обаче трябва да могат да докажат, че притежават необходимата квалификация, изисквана от ОРЗД, като например експертни познания по законодателството и практиките в областта на защитата на данните.

Повече информация:

• Длъжностно лице по защита на данните

Да, обработващите данни (т.е. физически лица или органи, които обработват данни от името на администратор на данни) имат задължения съгласно ОРЗД. Съществуват обаче някои различия между отговорностите на администраторите на данни и обработващите лични данни.

Обработващите лични данни трябва да се придържат към отговорностите, определени в договора между  администратора и обработващия лични данни, в който се описват подробно операциите по обработване и средствата за обработване на лични данни. Например,  обработващият лични данни ще трябва да извършва операциите по обработване с подходящи технически и организационни мерки съгласно указанията на администратора. По този начин обработващият лични данни подпомага администратора при спазването на ОРЗД.

Повече информация:

• Администратор на данни или обработващ лични данни

Съгласно ОРЗД, по принцип,  съществуват два основни начина за предаване на лични данни на държава извън ЕИП или международна организация. Предаването на данни може да се извършва въз основа на решение относно адекватното ниво на защита или, при липса на такова решение, въз основа на подходящи гаранции, включително приложими права и правни средства за защита за физическите лица.

Повече информация:

• Международни трансфери
   

Да, можете, но ОРЗД поставя определени задължения на предприятията, които споделят лични данни. Вашата организация трябва да информира физическите лица, че ще споделите техните данни с трета страна. Трябва също така да ги информирате за Вашите цели, сигурност, достъп и мерки за съхранение, които ще се прилагат.

Публикуването на имената на победителите в конкурса на Вашия уебсайт може да се счита за легитимен интерес, ако можете да докажете това, като извършите балансиращ тест, за да определите дали Вашите законни интереси надвишават правата на физическите лица.

Добра практика би било да се създаде вътрешна процедура, в която да се обясняват правилата за публикуване на лични данни на победителите.

Освен това обработването на лични данни за тези цели следва да бъде част от политиката за поверителност на конкурса, така че участниците да бъдат информирани предварително за това как ще бъдат обработвани техните данни.

Повече информация:

• Законосъобразно обработване на лични данни

Да, Вашите клиенти трябва да бъдат информирани, когато извършват телефонно обаждане, за целите на записа, получателите на записите, за правото им на възражение и на достъп до записите.

Повече информация:

• Законосъобразно обработване на лични данни

Първата стъпка към инсталирането на видеонаблюдение е да се определи целта или целите за това. Целите за инсталиране на видеонаблюдение могат да бъдат различни, като например гарантиране на сигурността на помещенията, подпомагане на предотвратяването и разкриването на кражби и други престъпления или защита на живота и здравето на служителите поради естеството на работата.
Както при всяко обработване на лични данни, записването на физическите лица трябва да има правно основание съгласно ОРЗД. Съгласието може да се използва като правно основание за такава обработка на данни. Това обаче е малко вероятно да се прилага за използването на видеонаблюдение в повечето случаи, тъй като ще бъде трудно да се получи свободно дадено съгласие на всички, които е вероятно да бъдат записани. Най-често срещаното правно основание за този вид обработване на лични данни е легитимният интерес. Когато обработването се основава на легитимен интерес, ще трябва да извършите балансиращ тест, за да определите дали Вашите легитимни интереси надвишават правата на физическите лица.
Ще трябва да информирате хората, че те се записват. Това може да стане чрез поставяне на лесни за четене табели на видно място. Освен това на всички входове следва да се постави табела, указваща целта на системата за видеонаблюдение и самоличността и данните за контакт на администратора на данни.
Лицата, чиито изображения се записват чрез система за видеонаблюдение, следва да бъдат снабдени със следната информация:

• самоличността и данните за контакт на администратора на данни;
• целите на обработването;
• правното основание за обработването (ако има легитимен интерес, конкретна информация за това кои легитимни

интереси са свързани с конкретното обработване и за това кой субект преследва всеки легитимен интерес;

• данните за контакт на длъжностното лице по защита на данните, ДЛЗД (ако има ДЛЗД);
• получателите или категориите получатели на данните;
• мерките за сигурност на записите от камерите за видеонаблюдение;
• периодът на съхранение на записите от видеонаблюдението;
• съществуването на права на физическите лица съгласно ОРЗД и правото да се подаде жалба до националния орган за защита на данните.

Повече информация:

• Законосъобразно обработване на лични данни
• Зачитане на правата на физическите лица

1. Уверете се, че данните, които сте получили, са били събрани законно и че съответните лица са били информирани за обработването на личните им данни.
2. В случай, че трета страна обработва лични данни от Ваше име, се уверете, че имате сключен договор от вида администратор- обработващ, в който подробно се описват операциите по обработване и средствата за обработка на лични данни.

И, разбира се, спазвайте всички задължения на администраторите.

Повече информация:

• Администратор на данни или обработващ лични данни
   

Не, не е необходимо да публикувате Вашият регистър на дейностите по обработване. При поискване, обаче, трябва да можете да го предоставите на органа за защита на данните.

Повече информация:

• Да бъдат в съответствие