Да, обработващите данни (т.е. физически лица или органи, които обработват данни от името на администратор на данни) имат задължения съгласно ОРЗД. Съществуват обаче някои различия между отговорностите на администраторите на данни и обработващите лични данни.

Обработващите лични данни трябва да се придържат към отговорностите, определени в договора между  администратора и обработващия лични данни, в който се описват подробно операциите по обработване и средствата за обработване на лични данни. Например,  обработващият лични данни ще трябва да извършва операциите по обработване с подходящи технически и организационни мерки съгласно указанията на администратора. По този начин обработващият лични данни подпомага администратора при спазването на ОРЗД.

Повече информация:

• Администратор на данни или обработващ лични данни

The necessary security measures can differ based on the nature of the personal data you process and the associated risks to individuals. In any case, there are some minimum measures you should put into place:

• secure access to the premises;
• use regularly updated antivirus software;
• carefully choose your passwords;
• make users authenticate themselves before using the computer facilities;
• have a data back-up and retrieval policy in place in case of an incident.

In addition, some basic measures such as locking your screen while you are away and locking up the office at the end of the day are never out of place...

More information:

• Secure personal data

Processing personal data means any type of activity (processing operation) performed on or with individuals’ personal data. This includes the collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, inquiry, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction of personal data.

Задачата на ДЛЗД включва, наред с другото:

• да информира и съветва организацията и нейните служители относно спазването на изискванията за защита на данните;
• да наблюдава спазването на изискванията за защита на данните;
• да предоставя съвети по искания във връзка с оценката на въздействието върху защитата на данните (ОВЗД);
• да действа като точка за контакт с органа за защита на данните (ОЗД) и да си сътрудничи с този ОЗД;
• да действа като точка  за контакт по отношение на физическите лица.

Освен това присъствието на ДЛЗД обикновено се препоръчва, когато се вземат решения с последици за защитата на данните. Длъжностното лице следва също така незабавно да бъде консултирано след настъпване на нарушение на сигурността на данните или друг инцидент.
 

Повече информация:

• Длъжностно лице по защита на данните

1. Уверете се, че данните, които сте получили, са били събрани законно и че съответните лица са били информирани за обработването на личните им данни.
2. В случай, че трета страна обработва лични данни от Ваше име, се уверете, че имате сключен договор от вида администратор- обработващ, в който подробно се описват операциите по обработване и средствата за обработка на лични данни.

И, разбира се, спазвайте всички задължения на администраторите.

Повече информация:

• Администратор на данни или обработващ лични данни
   

Ако Вашата организация събира личните данни директно от физически лица, тя трябва да предостави необходимата информация в момента на събирането.
В случай на непряко събиране на лични данни, Вашата организация трябва да предостави информацията най-късно в рамките на един месец след първоначалното получаване на личните данни. Този максимален срок от един месец може да бъде намален:

• ако личните данни се използват за целите на комуникацията със субекта на данните. В този случай трябва да уведомите субекта на данните най-късно при първото съобщение до лицето;
• ако данните се предават на друг получател, организацията информира субектите на данни за това най-късно при предаването на личните данни.

Повече информация:

• Зачитане на правата на физическите лица

Трябва да отговорите без ненужно забавяне и не по-късно от един месец след получаване на искането. Този срок може да бъде удължен с още два месеца, ако искането е твърде сложно и е необходимо повече време за отговор, при условие че лицето е уведомено за това в срок от един месец след получаване на искането.

Трябва да го направите безплатно.

Повече информация:

• Зачитане на правата на физическите лица

Да, Вашите клиенти трябва да бъдат информирани, когато извършват телефонно обаждане, за целите на записа, получателите на записите, за правото им на възражение и на достъп до записите.

Повече информация:

• Законосъобразно обработване на лични данни

Публикуването на имената на победителите в конкурса на Вашия уебсайт може да се счита за легитимен интерес, ако можете да докажете това, като извършите балансиращ тест, за да определите дали Вашите законни интереси надвишават правата на физическите лица.

Добра практика би било да се създаде вътрешна процедура, в която да се обясняват правилата за публикуване на лични данни на победителите.

Освен това обработването на лични данни за тези цели следва да бъде част от политиката за поверителност на конкурса, така че участниците да бъдат информирани предварително за това как ще бъдат обработвани техните данни.

Повече информация:

• Законосъобразно обработване на лични данни

Назначаването на ДЛЗД е задължително в следните три случая:

• организацията е публичен орган;
• основните дейности на организацията се състоят в редовно и систематично наблюдение на лица в голям мащаб, например геолокация чрез мобилно приложение или наблюдение на търговски центрове и обществени пространства чрез видеонаблюдение;
• основните дейности на организацията се състоят в широкомащабна обработка на чувствителни данни или лични данни, свързани с присъди и престъпления.

Винаги можете да назначите ДЛЗД на доброволен принцип, дори ако това не се изисква по закон. Моля, имайте предвид, че в този случай трябва да спазвате всички разпоредби на ОРЗД относно задачите и длъжността на длъжностното лице по защита на данните.

Повече информация:

• Длъжностно лице по защита на данните