Когато има двама или повече администратори на данни, които съвместно определят целта и средствата на обработването, те се считат за съвместни администратори. Те решават заедно да обработват лични данни за съвместна цел. Съвместното администриране може да бъде под много форми, а участието на различните администратори може да бъде неравномерно. Следователно, съвместните администратори трябва да определят своите  отговорности за спазване на ОРЗД.

Важно е да се отбележи, че съвместното администриране води до съвместна отговорност за дадена дейност по обработване.

• Пример за съвместно администриране: Компании А и Б са стартирали продукт с обща марка и желаят да организират събитие за популяризиране му. За тази цел те решават да споделят данни от своите бази данни с настоящи и потенциални клиенти и възоснова на тях да вземат решение относно включването в списъка на поканените на събитието. Те също така се споразумяват относно реда и условията за изпращане на поканите за събитието, как да се събират отзиви по време на мероприятието и последващи маркетингови действия. Дружества А и Б могат да се считат за съвместни администратори за обработването на лични данни, свързани с организирането на промоционалната проява, тъй като те вземат съвместно решение за съвместно определената цел и основните средства за обработка на данните.

Повече информация:

• Администратор на данни или обработващ лични данни

Да, но за да направите това, първо трябва да определите правното основание за обработването на този вид лични данни. Например, обработването може да се счита за легитимен интерес за Вашата организация. Когато обработвате лични данни въз основа на легитимен интерес, винаги е необходимо да проведете балансиращ тест, за да определите дали Вашите законни интереси имат преимущество над правата на физическите лица, особено ако участват деца.

Друго възможно правно основание за такова обработване може да бъде съгласието. Във всеки случай лицата трябва винаги да бъдат информирани предварително, че събитието се снима или заснема.
 

Повече информация:

• Законосъобразно обработване на лични данни

ОРЗД предвижда специфични права за физическите лица, които трябва да бъдат спазвани. Можете да направите това чрез:

• информиране на лицата, чиито данни обработвате, за Вашите операции по обработване и за целите на обработването, когато събирате техните данни, например, чрез декларация за поверителност на Вашия уебсайт;
• чрез отговаряне на исканията на физическите лица да упражнят правата си, като например искания за достъп, коригиране, възражение, изтриване или преносимост.

Организациите, които са прозрачни по отношение на използването на лични данни от тяхна страна и които зачитат правата на физическите лица, е по-малко вероятно да станат обект на жалби.

Повече информация:

• Зачитане на правата на физическите лица

ДЛЗД могат да изпълняват други задачи в рамките на организацията, но това не може да доведе до конфликт на интереси. Това означава, че ДЛЗД не може да има позиция, в която да определя целите и средствата на дейностите по обработване. Конфликтните функции включват главно ръководни длъжности (главен изпълнителен директор, главен оперативен директор, главен финансов директор, ръководител на човешките ресурси, ръководител на ИТ, управляващ директор), но могат да включват и други функции, ако те водят до определяне на целите и средствата за обработка.

ДЛЗД трябва да е в състояние да изпълнява своите задължения и задачи по независим начин. Това означава, че Вашата организация:

• не може да дава указания на ДЛЗД във връзка с изпълнението на задълженията му;
• не може да санкционира или освобождава ДЛЗД за изпълнението на неговите задачи.

Повече информация:

• Длъжностно лице по защита на данните

Нарушение на сигурността на личните данни е нарушение на сигурността, водещо до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни.

• Ако нарушението на сигурността на данните представлява риск за засегнатите лица, трябва да съобщите за това на съответния орган за защита на данните в срок от 72 часа.
• Ако има вероятност нарушението да доведе до висок риск за физическите лица, ще трябва също така да съобщите това нарушение на засегнатите лица без ненужно забавяне.

Във всеки случай, за всички нарушения — дори и тези, които не са съобщени на ОЗД — трябва да запишете най-малко основните данни  за нарушението, оценката му, последиците от него и предприетите последващи стъпки.

Повече информация:

• Нарушения на сигурността на данните

Не можете да съхранявате лични данни завинаги.
По правило личните данни могат да се съхраняват само толкова дълго, колкото е необходимо за целите, за които се обработват.

В някои случаи периодът на съхранение може да бъде определен от специални закони, например трудовите разпоредби определят период за съхранение на списъците за заплати.

Организациите следва да въведат политики за запазване на данните, за да се уверят, че личните данни не се съхраняват по-дълго от необходимото. Личните данни на физическите лица трябва да бъдат изтрити или анонимизирани, след като вече не са необходими за целта, за която се обработват.

Повече информация:

• Основи на защитата на данните

За да може съгласието да се счита за валидно, то трябва да бъде:

• свободно изразеноо;
• специфично;
• информирано; и
• недвусмислено.

Това означава, че физическите лица трябва да имат истински свободен избор дали са съгласни или не с обработването на личните им данни; те се нуждаят от достатъчно информация, за да могат да разберат кои данни се обработват, с каква цел и как се прави това; те също така се нуждаят от достатъчно добре обяснени исканията за съгласие.

Освен това трябва да има ясно утвърдително действие от страна на лицето (без предварително отметнати полета и без да е отделено от приложимите общи условия).

Освен това лицата трябва да могат свободно да оттеглят съгласието си (без никакви отрицателни последици), ако по-късно променят мнението си.

Повече информация:

• Законосъобразно обработване на лични данни

Ако Вашата организация събира личните данни директно от физически лица, тя трябва да предостави необходимата информация в момента на събирането.
В случай на непряко събиране на лични данни, Вашата организация трябва да предостави информацията най-късно в рамките на един месец след първоначалното получаване на личните данни. Този максимален срок от един месец може да бъде намален:

• ако личните данни се използват за целите на комуникацията със субекта на данните. В този случай трябва да уведомите субекта на данните най-късно при първото съобщение до лицето;
• ако данните се предават на друг получател, организацията информира субектите на данни за това най-късно при предаването на личните данни.

Повече информация:

• Зачитане на правата на физическите лица

The necessary security measures can differ based on the nature of the personal data you process and the associated risks to individuals. In any case, there are some minimum measures you should put into place:

• secure access to the premises;
• use regularly updated antivirus software;
• carefully choose your passwords;
• make users authenticate themselves before using the computer facilities;
• have a data back-up and retrieval policy in place in case of an incident.

In addition, some basic measures such as locking your screen while you are away and locking up the office at the end of the day are never out of place...

More information:

• Secure personal data

1. Уверете се, че данните, които сте получили, са били събрани законно и че съответните лица са били информирани за обработването на личните им данни.
2. В случай, че трета страна обработва лични данни от Ваше име, се уверете, че имате сключен договор от вида администратор- обработващ, в който подробно се описват операциите по обработване и средствата за обработка на лични данни.

И, разбира се, спазвайте всички задължения на администраторите.

Повече информация:

• Администратор на данни или обработващ лични данни