ОРЗД се прилага за използването на бисквитки, когато те се използват за обработка на лични данни, но има и по-конкретни правила за бисквитките, включително в Директивата за правото на неприкосновеност на личния живот и електронни комуникации.

Съхраняването на „бисквитка„или получаването на достъп до вече съхранена „бисквитка“ в крайното оборудване на потребителя е разрешено само при условие, че съответният абонат или потребител е бил адекватно информиран (по-специално за целите на обработката) и е дал съгласието си.
Единственото изключение са технически необходимите бисквитки. Не е необходимо организациите да искат съгласие, когато използват технически необходими бисквитки на своите уебсайтове.

Повече информация:

• Законосъобразно обработване на лични данни

Спазването на ОРЗД се наблюдава от националните органи за защита на данните (ОЗД). ОЗД могат да провеждат разследвания и да налагат санкции, когато е необходимо. ОЗД разполагат с редица инструменти, включително глоби до 20 млн. евро или 4 % от световния годишен оборот, в зависимост от това коя от двете стойности е по-висока, официални предупреждения и временни или постоянни забрани за обработка.

Можете да намерите координатите за връзка с всички ОЗД на ЕИП на уебсайта на ЕКЗД: Членовете

Повече информация:

• Орган за защита на данните и Вие

Оценката на въздействието върху защитата на данните или ОВЗД е писмена оценка, която Вашата организация трябва да направи, за да оцени въздействието на планирана операция по обработване. Тя ви помага да определите подходящите мерки за справяне с рисковете и да демонстрирате съответствие.

Въпреки че винаги е за предпочитане да се предвиди въздействието на планираните операции по обработване на Вашата организация чрез извършване на ОВЗД, такава проверка е задължително да се извърши, когато има вероятност обработването да доведе до висок риск за правата и свободите на физическите лица.

По-конкретно, такъв е случаят, когато предвиденото обработване включва:

• мащабно обработване на чувствителни лични данни или данни, свързани с  присъди;  
• систематична и подробна оценка на личните аспекти на дадено лице, която се базира на автоматично  обработване, включително профилиране, и служи за основа на  решения, които имат  правни последици за въпросното лице или по подобен начин сериозно засягат физическите лица;
• систематично мащабно наблюдение на публично достъпна зона.

ЕКЗД е разработил насоки, в които са изброени критериите, които трябва да вземете предвид, когато преценявате дали ОВЗД е задължителна или не. Органите за защита на данните (ОЗД) също така публикуваха списъци на операциите по обработване, които подлежат на ОВЗД. Освен това няколко ОЗД са разработили ръководства, софтуер или инструменти за самооценка, които да ви помогнат с Вашата оценка.
 

Повече информация:

• Да бъдат в съответствие

Договорът между администратора и обработващия лични данни трябва да предвижда, че обработващият лични данни:

• обработва личните данни само по указания на администратора на данни, включително по отношение на предаването на лични данни на държава извън ЕИП;
• гарантира, че лицата, упълномощени да обработват данните, са поели ангажимент за поверителност или са обект на подходящо законово задължение за поверителност;
• гарантира сигурността на обработката;
• не ангажира друг обработващ лични данни без предварително конкретно или общо писмено разрешение на администратора на данни;
• подпомага администратора на данни за изпълнението на задълженията на администратора да отговаря на исканията на физическите лица за упражняване на правата им;
• подпомага администратора на данни при обезпечаването на обработването, уведомяването за нарушения на сигурността на данните и извършването на ОВЗД;
• по избор на администратора на данни изтрива или връща всички лични данни на администратора след края на предоставянето на услугите;
• предоставя на администратора на данни цялата необходима информация, за да докаже спазването на задълженията по ОРЗД;
• дава възможност за одити и допринася за тях, включително инспекции, извършвани от администратора на данни или от друг одитор, упълномощен от администратора.

Освен това обработващият лични данни незабавно информира администратора на данни, ако по негово мнение инструкции нарушават ОРЗД или други разпоредби на ЕС или национални разпоредби за защита на данните.

Повече информация:

• Администратор на данни или обработващ лични данни

Първата стъпка към инсталирането на видеонаблюдение е да се определи целта или целите за това. Целите за инсталиране на видеонаблюдение могат да бъдат различни, като например гарантиране на сигурността на помещенията, подпомагане на предотвратяването и разкриването на кражби и други престъпления или защита на живота и здравето на служителите поради естеството на работата.
Както при всяко обработване на лични данни, записването на физическите лица трябва да има правно основание съгласно ОРЗД. Съгласието може да се използва като правно основание за такава обработка на данни. Това обаче е малко вероятно да се прилага за използването на видеонаблюдение в повечето случаи, тъй като ще бъде трудно да се получи свободно дадено съгласие на всички, които е вероятно да бъдат записани. Най-често срещаното правно основание за този вид обработване на лични данни е легитимният интерес. Когато обработването се основава на легитимен интерес, ще трябва да извършите балансиращ тест, за да определите дали Вашите легитимни интереси надвишават правата на физическите лица.
Ще трябва да информирате хората, че те се записват. Това може да стане чрез поставяне на лесни за четене табели на видно място. Освен това на всички входове следва да се постави табела, указваща целта на системата за видеонаблюдение и самоличността и данните за контакт на администратора на данни.
Лицата, чиито изображения се записват чрез система за видеонаблюдение, следва да бъдат снабдени със следната информация:

• самоличността и данните за контакт на администратора на данни;
• целите на обработването;
• правното основание за обработването (ако има легитимен интерес, конкретна информация за това кои легитимни

интереси са свързани с конкретното обработване и за това кой субект преследва всеки легитимен интерес;

• данните за контакт на длъжностното лице по защита на данните, ДЛЗД (ако има ДЛЗД);
• получателите или категориите получатели на данните;
• мерките за сигурност на записите от камерите за видеонаблюдение;
• периодът на съхранение на записите от видеонаблюдението;
• съществуването на права на физическите лица съгласно ОРЗД и правото да се подаде жалба до националния орган за защита на данните.

Повече информация:

• Законосъобразно обработване на лични данни
• Зачитане на правата на физическите лица

Съгласно ОРЗД, по принцип,  съществуват два основни начина за предаване на лични данни на държава извън ЕИП или международна организация. Предаването на данни може да се извършва въз основа на решение относно адекватното ниво на защита или, при липса на такова решение, въз основа на подходящи гаранции, включително приложими права и правни средства за защита за физическите лица.

Повече информация:

• Международни трансфери
   

The necessary security measures can differ based on the nature of the personal data you process and the associated risks to individuals. In any case, there are some minimum measures you should put into place:

• secure access to the premises;
• use regularly updated antivirus software;
• carefully choose your passwords;
• make users authenticate themselves before using the computer facilities;
• have a data back-up and retrieval policy in place in case of an incident.

In addition, some basic measures such as locking your screen while you are away and locking up the office at the end of the day are never out of place...

More information:

• Secure personal data

Задачата на ДЛЗД включва, наред с другото:

• да информира и съветва организацията и нейните служители относно спазването на изискванията за защита на данните;
• да наблюдава спазването на изискванията за защита на данните;
• да предоставя съвети по искания във връзка с оценката на въздействието върху защитата на данните (ОВЗД);
• да действа като точка за контакт с органа за защита на данните (ОЗД) и да си сътрудничи с този ОЗД;
• да действа като точка  за контакт по отношение на физическите лица.

Освен това присъствието на ДЛЗД обикновено се препоръчва, когато се вземат решения с последици за защитата на данните. Длъжностното лице следва също така незабавно да бъде консултирано след настъпване на нарушение на сигурността на данните или друг инцидент.
 

Повече информация:

• Длъжностно лице по защита на данните

Администраторите на лични данни могат да обработват лични данни само при едно от следните обстоятелства:

• със съгласието на засегнатите лица;
• когато обработването е необходимо за изпълнението на договор (договор между Вашата организация и физическо лице);
• за спазване на законово  задължение съгласно законодателството на ЕС или националното законодателство;
• когато обработването е необходимо за изпълнението на задача от обществен интерес съгласно законодателството на ЕС или националното законодателство;
• за защита на жизненоважните интереси на физическото лице;
• за целите на легитимните  интереси на Вашата организация — освен в случаите, когато правата и свободите на физическите лица имат преимущество.

Освен това ОРЗД установява допълнителни условия за обработването на чувствителни данни.

Повече информация:

• Законосъобразно обработване на лични данни 

1. Уверете се, че данните, които сте получили, са били събрани законно и че съответните лица са били информирани за обработването на личните им данни.
2. В случай, че трета страна обработва лични данни от Ваше име, се уверете, че имате сключен договор от вида администратор- обработващ, в който подробно се описват операциите по обработване и средствата за обработка на лични данни.

И, разбира се, спазвайте всички задължения на администраторите.

Повече информация:

• Администратор на данни или обработващ лични данни