Да, обработващите данни (т.е. физически лица или органи, които обработват данни от името на администратор на данни) имат задължения съгласно ОРЗД. Съществуват обаче някои различия между отговорностите на администраторите на данни и обработващите лични данни.

Обработващите лични данни трябва да се придържат към отговорностите, определени в договора между  администратора и обработващия лични данни, в който се описват подробно операциите по обработване и средствата за обработване на лични данни. Например,  обработващият лични данни ще трябва да извършва операциите по обработване с подходящи технически и организационни мерки съгласно указанията на администратора. По този начин обработващият лични данни подпомага администратора при спазването на ОРЗД.

Повече информация:

• Администратор на данни или обработващ лични данни

Всяка организация, независимо от нейния размер или сектор, установена в Европейското икономическо пространство (ЕИП) или предлагаща продукти или услуги на физически лица в ЕИП, която обработва лични данни,  със или без използване на автоматизирани средства трябва да спазва ОРЗД. Дори ако ОРЗД се отнася главно до автоматизираното обработване на лични данни, операциите по обработване, извършвани ръчно, също ще бъдат предмет на Регламента от момента, в който досиетата на хартиен носител са организирани по систематичен начин, например по азбучен ред в шкаф за документи. 
Примери за операции по обработване включват събиране, записване, организиране, използване, модифициране, съхраняване, разкриване, промяна и изтриване на лични данни на физически лица.

Независимо от това, прилагането на ОРЗД се променя в зависимост от естеството, вида, целите и рисковете на извършваните операции по обработване. За МСП, чиято основна дейност не е обработването на лични данни, задълженията могат да бъдат по-малко строги, отколкото за голямо дружество.

Повече информация:

• Основи на защитата на данните

Когато има двама или повече администратори на данни, които съвместно определят целта и средствата на обработването, те се считат за съвместни администратори. Те решават заедно да обработват лични данни за съвместна цел. Съвместното администриране може да бъде под много форми, а участието на различните администратори може да бъде неравномерно. Следователно, съвместните администратори трябва да определят своите  отговорности за спазване на ОРЗД.

Важно е да се отбележи, че съвместното администриране води до съвместна отговорност за дадена дейност по обработване.

• Пример за съвместно администриране: Компании А и Б са стартирали продукт с обща марка и желаят да организират събитие за популяризиране му. За тази цел те решават да споделят данни от своите бази данни с настоящи и потенциални клиенти и възоснова на тях да вземат решение относно включването в списъка на поканените на събитието. Те също така се споразумяват относно реда и условията за изпращане на поканите за събитието, как да се събират отзиви по време на мероприятието и последващи маркетингови действия. Дружества А и Б могат да се считат за съвместни администратори за обработването на лични данни, свързани с организирането на промоционалната проява, тъй като те вземат съвместно решение за съвместно определената цел и основните средства за обработка на данните.

Повече информация:

• Администратор на данни или обработващ лични данни

Оценката на въздействието върху защитата на данните или ОВЗД е писмена оценка, която Вашата организация трябва да направи, за да оцени въздействието на планирана операция по обработване. Тя ви помага да определите подходящите мерки за справяне с рисковете и да демонстрирате съответствие.

Въпреки че винаги е за предпочитане да се предвиди въздействието на планираните операции по обработване на Вашата организация чрез извършване на ОВЗД, такава проверка е задължително да се извърши, когато има вероятност обработването да доведе до висок риск за правата и свободите на физическите лица.

По-конкретно, такъв е случаят, когато предвиденото обработване включва:

• мащабно обработване на чувствителни лични данни или данни, свързани с  присъди;  
• систематична и подробна оценка на личните аспекти на дадено лице, която се базира на автоматично  обработване, включително профилиране, и служи за основа на  решения, които имат  правни последици за въпросното лице или по подобен начин сериозно засягат физическите лица;
• систематично мащабно наблюдение на публично достъпна зона.

ЕКЗД е разработил насоки, в които са изброени критериите, които трябва да вземете предвид, когато преценявате дали ОВЗД е задължителна или не. Органите за защита на данните (ОЗД) също така публикуваха списъци на операциите по обработване, които подлежат на ОВЗД. Освен това няколко ОЗД са разработили ръководства, софтуер или инструменти за самооценка, които да ви помогнат с Вашата оценка.
 

Повече информация:

• Да бъдат в съответствие

Някои видове лични данни принадлежат към специални категории лични данни, което означава, че заслужават по-голяма защита, т.нар. чувствителни данни. Чувствителните данни включват данни, които разкриват информация за:

• здравето на индивида;
• сексуалната ориентация на индивида;
• расов или етнически произход на дадено лице;
• политически възгледи, религиозни или философски убеждения на дадено лице; членство в синдикални организации на дадено лице;
• биометрични и генетични данни на физическото лице.

Обработването на чувствителни данни на дадено физическо лице по принцип е забранено, освен при специфични обстоятелства, които оправдават обработването им.
 

Повече информация:

• Основи на защитата на данните

Първата стъпка към инсталирането на видеонаблюдение е да се определи целта или целите за това. Целите за инсталиране на видеонаблюдение могат да бъдат различни, като например гарантиране на сигурността на помещенията, подпомагане на предотвратяването и разкриването на кражби и други престъпления или защита на живота и здравето на служителите поради естеството на работата.
Както при всяко обработване на лични данни, записването на физическите лица трябва да има правно основание съгласно ОРЗД. Съгласието може да се използва като правно основание за такава обработка на данни. Това обаче е малко вероятно да се прилага за използването на видеонаблюдение в повечето случаи, тъй като ще бъде трудно да се получи свободно дадено съгласие на всички, които е вероятно да бъдат записани. Най-често срещаното правно основание за този вид обработване на лични данни е легитимният интерес. Когато обработването се основава на легитимен интерес, ще трябва да извършите балансиращ тест, за да определите дали Вашите легитимни интереси надвишават правата на физическите лица.
Ще трябва да информирате хората, че те се записват. Това може да стане чрез поставяне на лесни за четене табели на видно място. Освен това на всички входове следва да се постави табела, указваща целта на системата за видеонаблюдение и самоличността и данните за контакт на администратора на данни.
Лицата, чиито изображения се записват чрез система за видеонаблюдение, следва да бъдат снабдени със следната информация:

• самоличността и данните за контакт на администратора на данни;
• целите на обработването;
• правното основание за обработването (ако има легитимен интерес, конкретна информация за това кои легитимни

интереси са свързани с конкретното обработване и за това кой субект преследва всеки легитимен интерес;

• данните за контакт на длъжностното лице по защита на данните, ДЛЗД (ако има ДЛЗД);
• получателите или категориите получатели на данните;
• мерките за сигурност на записите от камерите за видеонаблюдение;
• периодът на съхранение на записите от видеонаблюдението;
• съществуването на права на физическите лица съгласно ОРЗД и правото да се подаде жалба до националния орган за защита на данните.

Повече информация:

• Законосъобразно обработване на лични данни
• Зачитане на правата на физическите лица

ОРЗД предвижда специфични права за физическите лица, които трябва да бъдат спазвани. Можете да направите това чрез:

• информиране на лицата, чиито данни обработвате, за Вашите операции по обработване и за целите на обработването, когато събирате техните данни, например, чрез декларация за поверителност на Вашия уебсайт;
• чрез отговаряне на исканията на физическите лица да упражнят правата си, като например искания за достъп, коригиране, възражение, изтриване или преносимост.

Организациите, които са прозрачни по отношение на използването на лични данни от тяхна страна и които зачитат правата на физическите лица, е по-малко вероятно да станат обект на жалби.

Повече информация:

• Зачитане на правата на физическите лица

ОРЗД дава на физическите лица контрол върху обработването на личните им данни. Прозрачността е от ключово значение, за да се постигне това. Това означава, че трябва да информирате лицата, чиито данни обработвате, за Вашите операции по обработване и за целите. С други думи, трябва да обясните кой обработва данните им, но и как, и защо. Само, ако използването на лични данни е „прозрачно“ за участниците, те могат да оценят възможните рискове и да вземат решения относно личните си данни.

Съгласно ОРЗД Вие сте длъжни да споделяте следната информация с физически лица:

• данните, които идентифицират администратора и координатите за връзка с него;
• целите на обработването;
• правното основание за обработването (ако има легитимен  интерес, конкретна информация за това кои законни интереси са свързани с конкретното обработване и  кой субект преследва всеки легитимен интерес).
• данните за връзка с администратора;
• коордиантите за връзка с  ДЛЗД (ако има ДЛЗД);
• получателите или категориите получатели на данните;
• информация за това дали данните ще бъдат предадени извън Европейското икономическо пространство (ЕИП) (когато е приложимо: наличието или липсата на решение относно адекватното ниво на защита или позоваване на подходящи гаранции и как тази информация може да бъде предоставена на субектите на данни);
• категориите обработвани лични данни, когато данните не са получени от физическото лице.

Освен това ОРЗД изисква от Вашата организация да предостави следната информация, за да се гарантира справедливо и прозрачно обработване:

• периодът на запазване или, когато това не е възможно, критериите, използвани за определяне на този период;
• правото да поискате достъп, изтриване, коригиране, ограничаване, възражение и преносимост на личните данни;
• правото на подаване на жалба до орган за защита на данните;
• ако правното основание за обработването е съгласие: правото да оттеглите съгласието си по всяко време;
• в случай на автоматизирано вземане на решения — съответната информация относно основната логика и очакваните последици от обработването за субекта на данните;
• източник на личните данни (ако не сте ги получили директно от засегнатото лице);
• дали физическото лице е длъжно да предостави личните данни (по закон или по договор, или да сключи договор) и какви са последиците от отказа за предоставяне на данните.

Повече информация:

• Зачитане на правата на физическите лица
   

ОРЗД налага задължения на всички организации, които обработват лични данни, независимо дали са администратори на данни или обработващи данни.
По-специално, Вие трябва:

• Да се запитате дали целта, за която могат да бъдат събирани лични данни, е оправдана, и да събирате само лични данни, които са необходими за конкретната(ите) цел(и);
• Да поддържате личните данни на физическите лица точни и актуални и да ги изтриваме, когато вече не са необходими;
• Да зачитате правата на физическите лица, като ги информирате за това как и защо се обработват техните данни и им позволявате да упражняват правата си;
• Да проверите дали имате подходящо правно основание за обработването на лични данни. В случай, че възнамерявате да разчитате на съгласието на физическите лица, да поискате съгласието им, преди да обработите личните им данни;
• Да гарантирате, че личните данни на физическите лица се обработват по сигурен начин;
• Да поддържате регистър на операциите по обработка.

Обработващите данни ще трябва да се придържат към отговорностите, определени в договора между  администратора и обработващия лични данни, и те не трябва да обработват данните по друг начин, освен в съответствие с инструкциите на администратора.

Повече информация:

• Да бъдат в съответствие
• Администратор на данни или обработващ лични данни
• Основи на защитата на данните

Съгласно ОРЗД е задължително да има валиден договор между администратора и обработващия лични данни. За нарушение може да бъде наложена административна глоба в размер до 10 млн. EUR или до 2 % от общия годишен оборот на дадено дружество, в зависимост от това коя от двете стойности е по-висока.

За да Ви помогнат при сключването на този вид договор между администратор и обработващ лични данни, Датския и Словенския орган за защита на данните, както и Европейската комисия, са разработили образци на договор.

Повече информация:

• Администратор на данни или обработващ лични данни