ОРЗД се прилага за използването на бисквитки, когато те се използват за обработка на лични данни, но има и по-конкретни правила за бисквитките, включително в Директивата за правото на неприкосновеност на личния живот и електронни комуникации.

Съхраняването на „бисквитка„или получаването на достъп до вече съхранена „бисквитка“ в крайното оборудване на потребителя е разрешено само при условие, че съответният абонат или потребител е бил адекватно информиран (по-специално за целите на обработката) и е дал съгласието си.
Единственото изключение са технически необходимите бисквитки. Не е необходимо организациите да искат съгласие, когато използват технически необходими бисквитки на своите уебсайтове.

Повече информация:

• Законосъобразно обработване на лични данни

Спазването на ОРЗД се наблюдава от националните органи за защита на данните (ОЗД). ОЗД могат да провеждат разследвания и да налагат санкции, когато е необходимо. ОЗД разполагат с редица инструменти, включително глоби до 20 млн. евро или 4 % от световния годишен оборот, в зависимост от това коя от двете стойности е по-висока, официални предупреждения и временни или постоянни забрани за обработка.

Можете да намерите координатите за връзка с всички ОЗД на ЕИП на уебсайта на ЕКЗД: Членовете

Повече информация:

• Орган за защита на данните и Вие

Договорът между администратора и обработващия лични данни трябва да предвижда, че обработващият лични данни:

• обработва личните данни само по указания на администратора на данни, включително по отношение на предаването на лични данни на държава извън ЕИП;
• гарантира, че лицата, упълномощени да обработват данните, са поели ангажимент за поверителност или са обект на подходящо законово задължение за поверителност;
• гарантира сигурността на обработката;
• не ангажира друг обработващ лични данни без предварително конкретно или общо писмено разрешение на администратора на данни;
• подпомага администратора на данни за изпълнението на задълженията на администратора да отговаря на исканията на физическите лица за упражняване на правата им;
• подпомага администратора на данни при обезпечаването на обработването, уведомяването за нарушения на сигурността на данните и извършването на ОВЗД;
• по избор на администратора на данни изтрива или връща всички лични данни на администратора след края на предоставянето на услугите;
• предоставя на администратора на данни цялата необходима информация, за да докаже спазването на задълженията по ОРЗД;
• дава възможност за одити и допринася за тях, включително инспекции, извършвани от администратора на данни или от друг одитор, упълномощен от администратора.

Освен това обработващият лични данни незабавно информира администратора на данни, ако по негово мнение инструкции нарушават ОРЗД или други разпоредби на ЕС или национални разпоредби за защита на данните.

Повече информация:

• Администратор на данни или обработващ лични данни

Съгласно ОРЗД, по принцип,  съществуват два основни начина за предаване на лични данни на държава извън ЕИП или международна организация. Предаването на данни може да се извършва въз основа на решение относно адекватното ниво на защита или, при липса на такова решение, въз основа на подходящи гаранции, включително приложими права и правни средства за защита за физическите лица.

Повече информация:

• Международни трансфери
   

Първата стъпка към инсталирането на видеонаблюдение е да се определи целта или целите за това. Целите за инсталиране на видеонаблюдение могат да бъдат различни, като например гарантиране на сигурността на помещенията, подпомагане на предотвратяването и разкриването на кражби и други престъпления или защита на живота и здравето на служителите поради естеството на работата.
Както при всяко обработване на лични данни, записването на физическите лица трябва да има правно основание съгласно ОРЗД. Съгласието може да се използва като правно основание за такава обработка на данни. Това обаче е малко вероятно да се прилага за използването на видеонаблюдение в повечето случаи, тъй като ще бъде трудно да се получи свободно дадено съгласие на всички, които е вероятно да бъдат записани. Най-често срещаното правно основание за този вид обработване на лични данни е легитимният интерес. Когато обработването се основава на легитимен интерес, ще трябва да извършите балансиращ тест, за да определите дали Вашите легитимни интереси надвишават правата на физическите лица.
Ще трябва да информирате хората, че те се записват. Това може да стане чрез поставяне на лесни за четене табели на видно място. Освен това на всички входове следва да се постави табела, указваща целта на системата за видеонаблюдение и самоличността и данните за контакт на администратора на данни.
Лицата, чиито изображения се записват чрез система за видеонаблюдение, следва да бъдат снабдени със следната информация:

• самоличността и данните за контакт на администратора на данни;
• целите на обработването;
• правното основание за обработването (ако има легитимен интерес, конкретна информация за това кои легитимни

интереси са свързани с конкретното обработване и за това кой субект преследва всеки легитимен интерес;

• данните за контакт на длъжностното лице по защита на данните, ДЛЗД (ако има ДЛЗД);
• получателите или категориите получатели на данните;
• мерките за сигурност на записите от камерите за видеонаблюдение;
• периодът на съхранение на записите от видеонаблюдението;
• съществуването на права на физическите лица съгласно ОРЗД и правото да се подаде жалба до националния орган за защита на данните.

Повече информация:

• Законосъобразно обработване на лични данни
• Зачитане на правата на физическите лица

Съгласието наистина би могло да бъде валидно правно основание за съхраняване на автобиографиите на кандидатите за работа. Друго възможно правно основание може да бъде легитимен интерес. В този случай ще трябва да извършите тест за балансиране, за да докажете, че законните интереси на Вашата организация надвишават правата на кандидатите.

Във всеки случай ще трябва да информирате кандидатите, че планирате да съхранявате техните данни и за какви цели.

Повече информация:

• Законосъобразно обработване на лични данни

ОРЗД дава на физическите лица контрол върху обработването на личните им данни. Прозрачността е от ключово значение, за да се постигне това. Това означава, че трябва да информирате лицата, чиито данни обработвате, за Вашите операции по обработване и за целите. С други думи, трябва да обясните кой обработва данните им, но и как, и защо. Само, ако използването на лични данни е „прозрачно“ за участниците, те могат да оценят възможните рискове и да вземат решения относно личните си данни.

Съгласно ОРЗД Вие сте длъжни да споделяте следната информация с физически лица:

• данните, които идентифицират администратора и координатите за връзка с него;
• целите на обработването;
• правното основание за обработването (ако има легитимен  интерес, конкретна информация за това кои законни интереси са свързани с конкретното обработване и  кой субект преследва всеки легитимен интерес).
• данните за връзка с администратора;
• коордиантите за връзка с  ДЛЗД (ако има ДЛЗД);
• получателите или категориите получатели на данните;
• информация за това дали данните ще бъдат предадени извън Европейското икономическо пространство (ЕИП) (когато е приложимо: наличието или липсата на решение относно адекватното ниво на защита или позоваване на подходящи гаранции и как тази информация може да бъде предоставена на субектите на данни);
• категориите обработвани лични данни, когато данните не са получени от физическото лице.

Освен това ОРЗД изисква от Вашата организация да предостави следната информация, за да се гарантира справедливо и прозрачно обработване:

• периодът на запазване или, когато това не е възможно, критериите, използвани за определяне на този период;
• правото да поискате достъп, изтриване, коригиране, ограничаване, възражение и преносимост на личните данни;
• правото на подаване на жалба до орган за защита на данните;
• ако правното основание за обработването е съгласие: правото да оттеглите съгласието си по всяко време;
• в случай на автоматизирано вземане на решения — съответната информация относно основната логика и очакваните последици от обработването за субекта на данните;
• източник на личните данни (ако не сте ги получили директно от засегнатото лице);
• дали физическото лице е длъжно да предостави личните данни (по закон или по договор, или да сключи договор) и какви са последиците от отказа за предоставяне на данните.

Повече информация:

• Зачитане на правата на физическите лица
   

Администраторите на лични данни могат да обработват лични данни само при едно от следните обстоятелства:

• със съгласието на засегнатите лица;
• когато обработването е необходимо за изпълнението на договор (договор между Вашата организация и физическо лице);
• за спазване на законово  задължение съгласно законодателството на ЕС или националното законодателство;
• когато обработването е необходимо за изпълнението на задача от обществен интерес съгласно законодателството на ЕС или националното законодателство;
• за защита на жизненоважните интереси на физическото лице;
• за целите на легитимните  интереси на Вашата организация — освен в случаите, когато правата и свободите на физическите лица имат преимущество.

Освен това ОРЗД установява допълнителни условия за обработването на чувствителни данни.

Повече информация:

• Законосъобразно обработване на лични данни 

Оценката на въздействието върху защитата на данните или ОВЗД е писмена оценка, която Вашата организация трябва да направи, за да оцени въздействието на планирана операция по обработване. Тя ви помага да определите подходящите мерки за справяне с рисковете и да демонстрирате съответствие.

Въпреки че винаги е за предпочитане да се предвиди въздействието на планираните операции по обработване на Вашата организация чрез извършване на ОВЗД, такава проверка е задължително да се извърши, когато има вероятност обработването да доведе до висок риск за правата и свободите на физическите лица.

По-конкретно, такъв е случаят, когато предвиденото обработване включва:

• мащабно обработване на чувствителни лични данни или данни, свързани с  присъди;  
• систематична и подробна оценка на личните аспекти на дадено лице, която се базира на автоматично  обработване, включително профилиране, и служи за основа на  решения, които имат  правни последици за въпросното лице или по подобен начин сериозно засягат физическите лица;
• систематично мащабно наблюдение на публично достъпна зона.

ЕКЗД е разработил насоки, в които са изброени критериите, които трябва да вземете предвид, когато преценявате дали ОВЗД е задължителна или не. Органите за защита на данните (ОЗД) също така публикуваха списъци на операциите по обработване, които подлежат на ОВЗД. Освен това няколко ОЗД са разработили ръководства, софтуер или инструменти за самооценка, които да ви помогнат с Вашата оценка.
 

Повече информация:

• Да бъдат в съответствие

Да, но за да направите това, първо трябва да определите правното основание за обработването на този вид лични данни. Например, обработването може да се счита за легитимен интерес за Вашата организация. Когато обработвате лични данни въз основа на легитимен интерес, винаги е необходимо да проведете балансиращ тест, за да определите дали Вашите законни интереси имат преимущество над правата на физическите лица, особено ако участват деца.

Друго възможно правно основание за такова обработване може да бъде съгласието. Във всеки случай лицата трябва винаги да бъдат информирани предварително, че събитието се снима или заснема.
 

Повече информация:

• Законосъобразно обработване на лични данни