Съгласно ОРЗД е задължително да има валиден договор между администратора и обработващия лични данни. За нарушение може да бъде наложена административна глоба в размер до 10 млн. EUR или до 2 % от общия годишен оборот на дадено дружество, в зависимост от това коя от двете стойности е по-висока.

За да Ви помогнат при сключването на този вид договор между администратор и обработващ лични данни, Датския и Словенския орган за защита на данните, както и Европейската комисия, са разработили образци на договор.

Повече информация:

• Администратор на данни или обработващ лични данни

Бисквитките са малки файлове, съхранявани на устройство, като компютър, мобилно устройство или всяко друго устройство, което може да съхранява информация. Бисквитките обслужват редица важни функции, включително запомняне на потребителите и техните предишни взаимодействия с даден уебсайт. Те могат да се използват за проследяване на продукти в онлайн пазарска количка или на информацията, когато данните са въведени в онлайн формуляр за кандидатстване.

Бисквитките за удостоверяване на самоличността също са важни за идентифициране на потребителите, когато те използватв банкови  и други онлайн услуги. Информацията, съхранявана в бисквитките, може да включва лични данни, като например IP адрес, потребителско име, уникален идентификатор или  адрес на електронна поща.

1. Уверете се, че данните, които сте получили, са били събрани законно и че съответните лица са били информирани за обработването на личните им данни.
2. В случай, че трета страна обработва лични данни от Ваше име, се уверете, че имате сключен договор от вида администратор- обработващ, в който подробно се описват операциите по обработване и средствата за обработка на лични данни.

И, разбира се, спазвайте всички задължения на администраторите.

Повече информация:

• Администратор на данни или обработващ лични данни
   

Ако Вашата организация събира личните данни директно от физически лица, тя трябва да предостави необходимата информация в момента на събирането.
В случай на непряко събиране на лични данни, Вашата организация трябва да предостави информацията най-късно в рамките на един месец след първоначалното получаване на личните данни. Този максимален срок от един месец може да бъде намален:

• ако личните данни се използват за целите на комуникацията със субекта на данните. В този случай трябва да уведомите субекта на данните най-късно при първото съобщение до лицето;
• ако данните се предават на друг получател, организацията информира субектите на данни за това най-късно при предаването на личните данни.

Повече информация:

• Зачитане на правата на физическите лица

Публикуването на имената на победителите в конкурса на Вашия уебсайт може да се счита за легитимен интерес, ако можете да докажете това, като извършите балансиращ тест, за да определите дали Вашите законни интереси надвишават правата на физическите лица.

Добра практика би било да се създаде вътрешна процедура, в която да се обясняват правилата за публикуване на лични данни на победителите.

Освен това обработването на лични данни за тези цели следва да бъде част от политиката за поверителност на конкурса, така че участниците да бъдат информирани предварително за това как ще бъдат обработвани техните данни.

Повече информация:

• Законосъобразно обработване на лични данни

Не, не е необходимо да се сертифицирате, за да станете ДЛЗД.

ДЛЗД обаче трябва да могат да докажат, че притежават необходимата квалификация, изисквана от ОРЗД, като например експертни познания по законодателството и практиките в областта на защитата на данните.

Повече информация:

• Длъжностно лице по защита на данните

Processing personal data is allowed if there is a legal basis for it. In addition to free, specific , informed and unambiguous consent, other legal bases for processing can be used.
In other words, consent is necessary when none of the other legal bases applies.

More information:

• Process personal data lawfully

Съгласието наистина би могло да бъде валидно правно основание за съхраняване на автобиографиите на кандидатите за работа. Друго възможно правно основание може да бъде легитимен интерес. В този случай ще трябва да извършите тест за балансиране, за да докажете, че законните интереси на Вашата организация надвишават правата на кандидатите.

Във всеки случай ще трябва да информирате кандидатите, че планирате да съхранявате техните данни и за какви цели.

Повече информация:

• Законосъобразно обработване на лични данни

Не, обработването на чувствителни данни по принцип е забранено, освен при много специфични обстоятелства:

• Лицето е дало изричното си съгласие за обработване на чувствителните му данни.
• Обработването на чувствителни данни е необходимо, за да може администраторът на данни да изпълнява своите задължения, по-специално в сферата  на заетостта, социалната сигурност и социалната закрила. Например, администраторът на данни може да се наложи да обработва чувствителните данни на дадено лице, за да може да определи дали има право на определени социалноосигурителни обезщетения или стипендии за заетост.
• Обработването на чувствителни данни е необходимо, за да се защитят жизненоважните интереси на дадено лице, когато лицето е физически или юридически неспособно да даде съгласие. Например, ако дадено лице е оставено в безсъзнание в резултат на злополука и изисква незабавна медицинска помощ, може да се наложи да бъдат обработени неговите здравни данни, за да се предоставят подходящи медицински грижи.
• Обработването на чувствителни данни се извършва в рамките  на законните дейности на фондация, сдружение или друга организация с нестопанска цел с политическа, философска, религиозна или синдикална цел и само за обработването на личните данни на техните членове, бивши членове или лица, които имат редовни контакти с тях.
• Чувствителните данни са били явно публично оповестени от физическо лице.
• Обработването на чувствителни данни е необходимо в рамките на съдебни производства.
• Обработването на чувствителни данни е необходимо по причини от важен обществен интерес.
• Обработването на чувствителни данни е необходимо за целите на превантивната или трудовата медицина. Например, оценката на чувствителните данни на дадено лице, като например медицинските му данни, може да е необходима, за да се определи неговата работоспособност като служител.
• Обработването на чувствителни данни е необходимо по въпроси, свързани с общественото здраве, въз основа на правото на ЕС или националното право. Например, обработването на чувствителни данни на физическите лица може да е необходимо, за да се гарантира високо качество на здравеопазването и високо качество на медицинските продукти или за борба със сериозни заплахи за здравето, като например вируси.
• Обработването на чувствителни данни е необходимо за целите на архивирането в обществен интерес или за научни или исторически изследвания, или за статистически цели. Например обработването на чувствителни данни може да е необходимо, за да се предоставят точни статистически данни за положението на дадена държава в определена област. 
   

Повече информация:

• Законосъобразно обработване на лични данни
   

Физическите лица имат право да поискат изтриване на свързаните с тях лични данни и в този случай администраторът има задължението да изтрие личните данни. Трябва да отговорите без ненужно забавяне и не по-късно от един месец след получаване на искането. Този срок може да бъде удължен с още два месеца, ако искането е твърде сложно и е необходимо повече време за неговото изпълнение, при условие че лицето бъде уведомено за това в срок от един месец след получаване на искането.
 

Важно е да се отбележи, че правото на изтриване не е абсолютно. То не се прилага, когато въпросните данни са необходими за:

• упражняване на правото на свобода на изразяване на мнение и на информация (напр. за журналистически цели);
• спазване на правно задължение, което изисква обработването на лични данни (напр. обработка на записи за работното време на служителите);
• съображения от обществен интерес в областта на общественото здраве
• целите на архивирането в обществен интерес или за научни или исторически изследвания или за статистически цели; и
• установяването, упражняването или защитата на правни претенции.

Когато личните данни, които трябва да бъдат изтрити, са били прехвърлени преди това на други организации, трябва да уведомите тези получатели, че лицето е поискало изтриване, освен ако това се окаже невъзможно или би изисквало непропорционални усилия.

Повече информация:

• Зачитане на правата на физическите лица