В ОРЗД се прави разграничение между две основни роли: тези на администратора на данни и обработващия лични данни. Това разграничение е от решаващо значение, тъй като администраторът на данни носи по-голяма отговорност и трябва да изпълнява повече задължения от обработващия лични данни.

Администраторите и обработващите лични данни могат да бъдат физически или юридически лица, например: МСП, публичен орган, дружество, организация, държавен орган, сдружение и т.н.

Администраторът на данни определя целите и средствата на операцията по обработване. С други думи, администраторът решава как и защо се извършва операция по обработване. Докато обработващите лични данни обработват лични данни от името на администратора. Обработването, извършвано от обработващите, трябва да бъде уредено в договор с администратора на данни или в друг правен акт.

Примери за администратори на данни:

• дружества, които обработват личните данни на своите клиенти, за да извършат продажба;
• финансови институции, които обработват лични данни на своите клиенти;
• асоциации, които обработват данните на своите членове;
• училища или университети, които обработват лични данни на студенти и учители;
• болници, които обработват лични данни на своите пациенти;
• правителствени агенции, които обработват лични данни на граждани.

Примери за обработващи данни:

• МСП наема счетоводна служба, която да съхранява неговите счетоводни книги и регистри, МСП е администратор на данни, а счетоводната служба — обработващ данни;
• дружество за заплати обработва лични данни за МСП. Дружеството ще действа като обработващ лични данни, ако обработва единствено личните данни от името на МСП. МСП определя целите и средствата за обработването на данните и следователно е администратор на данни.
• МСП възлага на маркетингова компания да събира имейл адреси чрез уебсайтове на трети страни. Маркетинговото дружество прави това в съответствие с изричните указания на МСП и за изключителни цели на МСП. Маркетинговата компания действа като обработващ за това обработване на данни.

Повече информация:

• Администратор на данни или обработващ лични данни

ДЛЗД може да бъде настоящ служител с достатъчно познания по ОРЗД (ако професионалните задачи на служителя са съвместими с тези на ДЛЗД и това не води до конфликт на интереси) или външно лице. ДЛЗД следва да може да изпълнява задачи независимо и да може да докладва пряко на най-висшето ръководство.

Повече информация:

• Длъжностно лице по защита на данните

Ако Вашата организация събира личните данни директно от физически лица, тя трябва да предостави необходимата информация в момента на събирането.
В случай на непряко събиране на лични данни, Вашата организация трябва да предостави информацията най-късно в рамките на един месец след първоначалното получаване на личните данни. Този максимален срок от един месец може да бъде намален:

• ако личните данни се използват за целите на комуникацията със субекта на данните. В този случай трябва да уведомите субекта на данните най-късно при първото съобщение до лицето;
• ако данните се предават на друг получател, организацията информира субектите на данни за това най-късно при предаването на личните данни.

Повече информация:

• Зачитане на правата на физическите лица

Физическите лица могат да Ви попитат дали обработвате техните данни и когато това е така, те имат право на достъп до тези данни. Така че, когато това се случи и ако обработвате техните данни, трябва например да предоставите безплатно копие от личните им данни, заедно с всяка необходима допълнителна информация. Когато искането се подава по електронен път, Вашата организация следва да предостави изискваната информация в широко използван електронен формат, освен ако лицата не поискат друго.

Повече информация:

• Зачитане на правата на физическите лица

Нарушение на сигурността на личните данни е нарушение на сигурността, водещо до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни.

• Ако нарушението на сигурността на данните представлява риск за засегнатите лица, трябва да съобщите за това на съответния орган за защита на данните в срок от 72 часа.
• Ако има вероятност нарушението да доведе до висок риск за физическите лица, ще трябва също така да съобщите това нарушение на засегнатите лица без ненужно забавяне.

Във всеки случай, за всички нарушения — дори и тези, които не са съобщени на ОЗД — трябва да запишете най-малко основните данни  за нарушението, оценката му, последиците от него и предприетите последващи стъпки.

Повече информация:

• Нарушения на сигурността на данните

Договорът между администратора и обработващия лични данни трябва да предвижда, че обработващият лични данни:

• обработва личните данни само по указания на администратора на данни, включително по отношение на предаването на лични данни на държава извън ЕИП;
• гарантира, че лицата, упълномощени да обработват данните, са поели ангажимент за поверителност или са обект на подходящо законово задължение за поверителност;
• гарантира сигурността на обработката;
• не ангажира друг обработващ лични данни без предварително конкретно или общо писмено разрешение на администратора на данни;
• подпомага администратора на данни за изпълнението на задълженията на администратора да отговаря на исканията на физическите лица за упражняване на правата им;
• подпомага администратора на данни при обезпечаването на обработването, уведомяването за нарушения на сигурността на данните и извършването на ОВЗД;
• по избор на администратора на данни изтрива или връща всички лични данни на администратора след края на предоставянето на услугите;
• предоставя на администратора на данни цялата необходима информация, за да докаже спазването на задълженията по ОРЗД;
• дава възможност за одити и допринася за тях, включително инспекции, извършвани от администратора на данни или от друг одитор, упълномощен от администратора.

Освен това обработващият лични данни незабавно информира администратора на данни, ако по негово мнение инструкции нарушават ОРЗД или други разпоредби на ЕС или национални разпоредби за защита на данните.

Повече информация:

• Администратор на данни или обработващ лични данни

С ОРЗД или Общия регламент относно защитата на данните се създава хармонизиран набор от правила, приложими за всяко обработване на лични данни от организации (публични или частни, независимо от техния размер), установени в Европейското икономическо пространство (ЕИП) или насочени към физически лица в ЕС. Основната цел на ОРЗД е да гарантира, че личните данни се ползват с един и същ висок стандарт на защита навсякъде в ЕИП, като повишава правната сигурност както за физическите лица, така и за организациите, които обработват данни, и предлага висока степен на защита на субектите на данни.

Регламентът влезе в сила на 24 май 2016 г. и се прилага от 25 май 2018 г.

„Лични данни“ означава всяка информация, свързана с идентифицирано или идентифицируемо физическо лице. Идентифицируемо лице е всяко лице, което може да бъде идентифицирано, пряко или косвено. Различните елементи от информацията, които събрани заедно, биха могли да доведат до идентифицирането на конкретно лице, също представляват лични данни.
Примери за лични данни включват:

• име и фамилия;
• домашен адрес;
• електронен адрес;
• номер на лична карта;
• данни за местоположението;
• адрес на интернет протокол (IP);
• идентификационен номер на „бисквитката“;
• банкови сметки;
• данъчни отчети;
• биометрични данни (като пръстови отпечатъци);
• номер на социална осигуровка;
• номер на паспорта;
• резултати от изпитването;
• оценки в училище;
• история на сърфирането;
• снимка на физическо лице;
• регистрационен номер на превозното средство и т.н.
   

Повече информация:

• Основи на защитата на данните
   

Някои видове лични данни принадлежат към специални категории лични данни, което означава, че заслужават по-голяма защита, т.нар. чувствителни данни. Чувствителните данни включват данни, които разкриват информация за:

• здравето на индивида;
• сексуалната ориентация на индивида;
• расов или етнически произход на дадено лице;
• политически възгледи, религиозни или философски убеждения на дадено лице; членство в синдикални организации на дадено лице;
• биометрични и генетични данни на физическото лице.

Обработването на чувствителни данни на дадено физическо лице по принцип е забранено, освен при специфични обстоятелства, които оправдават обработването им.
 

Повече информация:

• Основи на защитата на данните