Задачата на ДЛЗД включва, наред с другото:

• да информира и съветва организацията и нейните служители относно спазването на изискванията за защита на данните;
• да наблюдава спазването на изискванията за защита на данните;
• да предоставя съвети по искания във връзка с оценката на въздействието върху защитата на данните (ОВЗД);
• да действа като точка за контакт с органа за защита на данните (ОЗД) и да си сътрудничи с този ОЗД;
• да действа като точка  за контакт по отношение на физическите лица.

Освен това присъствието на ДЛЗД обикновено се препоръчва, когато се вземат решения с последици за защитата на данните. Длъжностното лице следва също така незабавно да бъде консултирано след настъпване на нарушение на сигурността на данните или друг инцидент.
 

Повече информация:

• Длъжностно лице по защита на данните

Всяка организация, независимо от нейния размер или сектор, установена в Европейското икономическо пространство (ЕИП) или предлагаща продукти или услуги на физически лица в ЕИП, която обработва лични данни,  със или без използване на автоматизирани средства трябва да спазва ОРЗД. Дори ако ОРЗД се отнася главно до автоматизираното обработване на лични данни, операциите по обработване, извършвани ръчно, също ще бъдат предмет на Регламента от момента, в който досиетата на хартиен носител са организирани по систематичен начин, например по азбучен ред в шкаф за документи. 
Примери за операции по обработване включват събиране, записване, организиране, използване, модифициране, съхраняване, разкриване, промяна и изтриване на лични данни на физически лица.

Независимо от това, прилагането на ОРЗД се променя в зависимост от естеството, вида, целите и рисковете на извършваните операции по обработване. За МСП, чиято основна дейност не е обработването на лични данни, задълженията могат да бъдат по-малко строги, отколкото за голямо дружество.

Повече информация:

• Основи на защитата на данните

Не, не е необходимо да публикувате Вашият регистър на дейностите по обработване. При поискване, обаче, трябва да можете да го предоставите на органа за защита на данните.

Повече информация:

• Да бъдат в съответствие

Да, можете, но ОРЗД поставя определени задължения на предприятията, които споделят лични данни. Вашата организация трябва да информира физическите лица, че ще споделите техните данни с трета страна. Трябва също така да ги информирате за Вашите цели, сигурност, достъп и мерки за съхранение, които ще се прилагат.

ОРЗД се прилага за използването на бисквитки, когато те се използват за обработка на лични данни, но има и по-конкретни правила за бисквитките, включително в Директивата за правото на неприкосновеност на личния живот и електронни комуникации.

Съхраняването на „бисквитка„или получаването на достъп до вече съхранена „бисквитка“ в крайното оборудване на потребителя е разрешено само при условие, че съответният абонат или потребител е бил адекватно информиран (по-специално за целите на обработката) и е дал съгласието си.
Единственото изключение са технически необходимите бисквитки. Не е необходимо организациите да искат съгласие, когато използват технически необходими бисквитки на своите уебсайтове.

Повече информация:

• Законосъобразно обработване на лични данни

Договорът между администратора и обработващия лични данни трябва да предвижда, че обработващият лични данни:

• обработва личните данни само по указания на администратора на данни, включително по отношение на предаването на лични данни на държава извън ЕИП;
• гарантира, че лицата, упълномощени да обработват данните, са поели ангажимент за поверителност или са обект на подходящо законово задължение за поверителност;
• гарантира сигурността на обработката;
• не ангажира друг обработващ лични данни без предварително конкретно или общо писмено разрешение на администратора на данни;
• подпомага администратора на данни за изпълнението на задълженията на администратора да отговаря на исканията на физическите лица за упражняване на правата им;
• подпомага администратора на данни при обезпечаването на обработването, уведомяването за нарушения на сигурността на данните и извършването на ОВЗД;
• по избор на администратора на данни изтрива или връща всички лични данни на администратора след края на предоставянето на услугите;
• предоставя на администратора на данни цялата необходима информация, за да докаже спазването на задълженията по ОРЗД;
• дава възможност за одити и допринася за тях, включително инспекции, извършвани от администратора на данни или от друг одитор, упълномощен от администратора.

Освен това обработващият лични данни незабавно информира администратора на данни, ако по негово мнение инструкции нарушават ОРЗД или други разпоредби на ЕС или национални разпоредби за защита на данните.

Повече информация:

• Администратор на данни или обработващ лични данни

ОРЗД дава на физическите лица контрол върху обработването на личните им данни. Прозрачността е от ключово значение, за да се постигне това. Това означава, че трябва да информирате лицата, чиито данни обработвате, за Вашите операции по обработване и за целите. С други думи, трябва да обясните кой обработва данните им, но и как, и защо. Само, ако използването на лични данни е „прозрачно“ за участниците, те могат да оценят възможните рискове и да вземат решения относно личните си данни.

Съгласно ОРЗД Вие сте длъжни да споделяте следната информация с физически лица:

• данните, които идентифицират администратора и координатите за връзка с него;
• целите на обработването;
• правното основание за обработването (ако има легитимен  интерес, конкретна информация за това кои законни интереси са свързани с конкретното обработване и  кой субект преследва всеки легитимен интерес).
• данните за връзка с администратора;
• коордиантите за връзка с  ДЛЗД (ако има ДЛЗД);
• получателите или категориите получатели на данните;
• информация за това дали данните ще бъдат предадени извън Европейското икономическо пространство (ЕИП) (когато е приложимо: наличието или липсата на решение относно адекватното ниво на защита или позоваване на подходящи гаранции и как тази информация може да бъде предоставена на субектите на данни);
• категориите обработвани лични данни, когато данните не са получени от физическото лице.

Освен това ОРЗД изисква от Вашата организация да предостави следната информация, за да се гарантира справедливо и прозрачно обработване:

• периодът на запазване или, когато това не е възможно, критериите, използвани за определяне на този период;
• правото да поискате достъп, изтриване, коригиране, ограничаване, възражение и преносимост на личните данни;
• правото на подаване на жалба до орган за защита на данните;
• ако правното основание за обработването е съгласие: правото да оттеглите съгласието си по всяко време;
• в случай на автоматизирано вземане на решения — съответната информация относно основната логика и очакваните последици от обработването за субекта на данните;
• източник на личните данни (ако не сте ги получили директно от засегнатото лице);
• дали физическото лице е длъжно да предостави личните данни (по закон или по договор, или да сключи договор) и какви са последиците от отказа за предоставяне на данните.

Повече информация:

• Зачитане на правата на физическите лица
   

Първата стъпка към инсталирането на видеонаблюдение е да се определи целта или целите за това. Целите за инсталиране на видеонаблюдение могат да бъдат различни, като например гарантиране на сигурността на помещенията, подпомагане на предотвратяването и разкриването на кражби и други престъпления или защита на живота и здравето на служителите поради естеството на работата.
Както при всяко обработване на лични данни, записването на физическите лица трябва да има правно основание съгласно ОРЗД. Съгласието може да се използва като правно основание за такава обработка на данни. Това обаче е малко вероятно да се прилага за използването на видеонаблюдение в повечето случаи, тъй като ще бъде трудно да се получи свободно дадено съгласие на всички, които е вероятно да бъдат записани. Най-често срещаното правно основание за този вид обработване на лични данни е легитимният интерес. Когато обработването се основава на легитимен интерес, ще трябва да извършите балансиращ тест, за да определите дали Вашите легитимни интереси надвишават правата на физическите лица.
Ще трябва да информирате хората, че те се записват. Това може да стане чрез поставяне на лесни за четене табели на видно място. Освен това на всички входове следва да се постави табела, указваща целта на системата за видеонаблюдение и самоличността и данните за контакт на администратора на данни.
Лицата, чиито изображения се записват чрез система за видеонаблюдение, следва да бъдат снабдени със следната информация:

• самоличността и данните за контакт на администратора на данни;
• целите на обработването;
• правното основание за обработването (ако има легитимен интерес, конкретна информация за това кои легитимни

интереси са свързани с конкретното обработване и за това кой субект преследва всеки легитимен интерес;

• данните за контакт на длъжностното лице по защита на данните, ДЛЗД (ако има ДЛЗД);
• получателите или категориите получатели на данните;
• мерките за сигурност на записите от камерите за видеонаблюдение;
• периодът на съхранение на записите от видеонаблюдението;
• съществуването на права на физическите лица съгласно ОРЗД и правото да се подаде жалба до националния орган за защита на данните.

Повече информация:

• Законосъобразно обработване на лични данни
• Зачитане на правата на физическите лица

От ДЛЗД не може да се търси отговорност за неспазване на ОРЗД. Спазването на ОРЗД е отговорност на организацията, която е назначила ДЛЗД.

Повече информация:

• Длъжностно лице по защита на данните

Администраторите на лични данни могат да обработват лични данни само при едно от следните обстоятелства:

• със съгласието на засегнатите лица;
• когато обработването е необходимо за изпълнението на договор (договор между Вашата организация и физическо лице);
• за спазване на законово  задължение съгласно законодателството на ЕС или националното законодателство;
• когато обработването е необходимо за изпълнението на задача от обществен интерес съгласно законодателството на ЕС или националното законодателство;
• за защита на жизненоважните интереси на физическото лице;
• за целите на легитимните  интереси на Вашата организация — освен в случаите, когато правата и свободите на физическите лица имат преимущество.

Освен това ОРЗД установява допълнителни условия за обработването на чувствителни данни.

Повече информация:

• Законосъобразно обработване на лични данни