ОРЗД предвижда специфични права за физическите лица, които трябва да бъдат спазвани. Можете да направите това чрез:

• информиране на лицата, чиито данни обработвате, за Вашите операции по обработване и за целите на обработването, когато събирате техните данни, например, чрез декларация за поверителност на Вашия уебсайт;
• чрез отговаряне на исканията на физическите лица да упражнят правата си, като например искания за достъп, коригиране, възражение, изтриване или преносимост.

Организациите, които са прозрачни по отношение на използването на лични данни от тяхна страна и които зачитат правата на физическите лица, е по-малко вероятно да станат обект на жалби.

Повече информация:

• Зачитане на правата на физическите лица

За да може съгласието да се счита за валидно, то трябва да бъде:

• свободно изразеноо;
• специфично;
• информирано; и
• недвусмислено.

Това означава, че физическите лица трябва да имат истински свободен избор дали са съгласни или не с обработването на личните им данни; те се нуждаят от достатъчно информация, за да могат да разберат кои данни се обработват, с каква цел и как се прави това; те също така се нуждаят от достатъчно добре обяснени исканията за съгласие.

Освен това трябва да има ясно утвърдително действие от страна на лицето (без предварително отметнати полета и без да е отделено от приложимите общи условия).

Освен това лицата трябва да могат свободно да оттеглят съгласието си (без никакви отрицателни последици), ако по-късно променят мнението си.

Повече информация:

• Законосъобразно обработване на лични данни

ЕКЗД редовно публикува съобщения за медиите, новини, блогове и друго съдържание на уебсайта на ЕКЗД и неговите канали в социалните медии (Туитър: @EU_EDPB; LinkedIn: Европейският комитет по защита на данните), за да информира редовнообщността за защита на данните и широката общественост.

На уебсайта на ЕКЗД има и два RSS канали, за които можете да се абонирате за да получавате автоматични актуализации на новините на ЕКЗД и неговите последните публикации.

Да, ОРЗД се прилага, ако личните данни се съдържат или са предназначени да се съдържат в система за картотекиране. Това означава, че ОРЗД се прилага и за регистрите на хартиен носител, а не само за автоматизираното обработване на лични данни.

Повече информация:

• Основи на защитата на данните

ОРЗД се прилага за използването на бисквитки, когато те се използват за обработка на лични данни, но има и по-конкретни правила за бисквитките, включително в Директивата за правото на неприкосновеност на личния живот и електронни комуникации.

Съхраняването на „бисквитка„или получаването на достъп до вече съхранена „бисквитка“ в крайното оборудване на потребителя е разрешено само при условие, че съответният абонат или потребител е бил адекватно информиран (по-специално за целите на обработката) и е дал съгласието си.
Единственото изключение са технически необходимите бисквитки. Не е необходимо организациите да искат съгласие, когато използват технически необходими бисквитки на своите уебсайтове.

Повече информация:

• Законосъобразно обработване на лични данни

Най-общо казано, всяка организация трябва да води регистър на своите дейности по обработване. Това е списък на всички операции по обработване и може да ви помогне да направите правилни предположения за вашите отговорности съгласно ОРЗД и възможните рискове.
Всяка от тези операции по обработване трябва да бъде описана в регистъра със следната информация:

• целта на обработката (напр. лоялност на клиентите);
• категориите обработвани данни (напр. за заплати: име, собствено име, дата на раждане, заплата и т.н.);
• кой има достъп до данните (получателите — напр.: отделът, отговарящ за набирането на персонал, служителите, предоставящи  ИТ услуги, ръководството, доставчиците на услуги, партньорите и т.н.);
• когато е приложимо, информация, свързана с предаване на лични данни извън Европейското икономическо пространство (ЕИП),
• когато е възможно, периодът на съхранение (периодът, за който данните са полезни от оперативна гледна точка и от гледна точка на архивирането).
• когато е възможно, общо описание на мерките за сигурност.

Регистърът на дейностите по обработване е отговорност на ръководителя на Вашата организация.
Този запис трябва да бъде на разположение на органа за защита на данните на държавата от ЕИП, в която работите, ако това бъде поискано.

Не се изисква организациите, в които работят по-малко от 250 души, да споменават в своите регистри чисто случайни дейности (напр. данни, обработвани за еднократни събития, като например откриване на магазин).
 

Повече информация:

• Да бъдат в съответствие

Всяка организация, независимо от нейния размер или сектор, установена в Европейското икономическо пространство (ЕИП) или предлагаща продукти или услуги на физически лица в ЕИП, която обработва лични данни,  със или без използване на автоматизирани средства трябва да спазва ОРЗД. Дори ако ОРЗД се отнася главно до автоматизираното обработване на лични данни, операциите по обработване, извършвани ръчно, също ще бъдат предмет на Регламента от момента, в който досиетата на хартиен носител са организирани по систематичен начин, например по азбучен ред в шкаф за документи. 
Примери за операции по обработване включват събиране, записване, организиране, използване, модифициране, съхраняване, разкриване, промяна и изтриване на лични данни на физически лица.

Независимо от това, прилагането на ОРЗД се променя в зависимост от естеството, вида, целите и рисковете на извършваните операции по обработване. За МСП, чиято основна дейност не е обработването на лични данни, задълженията могат да бъдат по-малко строги, отколкото за голямо дружество.

Повече информация:

• Основи на защитата на данните

Не, не е необходимо да се сертифицирате, за да станете ДЛЗД.

ДЛЗД обаче трябва да могат да докажат, че притежават необходимата квалификация, изисквана от ОРЗД, като например експертни познания по законодателството и практиките в областта на защитата на данните.

Повече информация:

• Длъжностно лице по защита на данните

Да, обработващите данни (т.е. физически лица или органи, които обработват данни от името на администратор на данни) имат задължения съгласно ОРЗД. Съществуват обаче някои различия между отговорностите на администраторите на данни и обработващите лични данни.

Обработващите лични данни трябва да се придържат към отговорностите, определени в договора между  администратора и обработващия лични данни, в който се описват подробно операциите по обработване и средствата за обработване на лични данни. Например,  обработващият лични данни ще трябва да извършва операциите по обработване с подходящи технически и организационни мерки съгласно указанията на администратора. По този начин обработващият лични данни подпомага администратора при спазването на ОРЗД.

Повече информация:

• Администратор на данни или обработващ лични данни

Съгласно ОРЗД, по принцип,  съществуват два основни начина за предаване на лични данни на държава извън ЕИП или международна организация. Предаването на данни може да се извършва въз основа на решение относно адекватното ниво на защита или, при липса на такова решение, въз основа на подходящи гаранции, включително приложими права и правни средства за защита за физическите лица.

Повече информация:

• Международни трансфери