Адвокатска кантора Стойчевска и Партньори. Обади се: 0888011848

Онлайн правна консултация

ОНЛАЙН ПРАВНИ КОНСУЛТАЦИИ

Искате бързо, лесно и без да се налага да обикаляте адвокатските кантори и без да се налага да напускате домa или офиса си, да получите правно съдействие и консултация по вашия казус?

Възползвайте се от услугата, която предлагаме за нашите клиенти, изразяваща се в запознаване с конкретния проблем, кратка правна консултация по казуса и предложение за начините за решаване на казуса ви.

Единственото, което трябва да направите е:

1 Опишете правния си проблем, като ако е необходимо и приложите документи, които да бъдат прегледани от нас при даването на правната консултация. Това може да стане, като изпратите своето запитване на e-mail: Този имейл адрес е защитен от спам ботове. Трябва да имате пусната JavaScript поддръжка, за да го видите.  или, ако искате може да се присъедините към общността ни във Вайбър, като последвате линка: https://lnkd.in/dHPG249, където също можете на лично съобщение да ни изпратите вашия казус, както и снимки на документи от телефона ви.

2 Заплатете чрез бутона 

адвокатско възнаграждение в размер на 50 лв. за правна консултация;

3 След като получим вашето плащане и се запознаем с казуса и приложените документи, в рамките на 48 часа ще ви изпратим на посочения от вас e-mail писмена правна консултация и предложение за начините за решаване на казуса ви.

4 Допълнителен бонус, който ви предлагаме към тази услуга е да ви отговорим безплатно на всякакви уточняващи или неясни за вас въпроси, които са възникнали след получаване на писмената консултация, като това може да стане на мобилен телефон 0888011848, Вайбър или на посочения от вас e-mail. Допълнителни въпроси можете да задавате до 15 дни от извършването на услугата.

Правни възможности за определяне на ДЛЗЛД

РЕДОВНО, СИСТЕМАТИЧНО, МАЩАБНО НАБЛЮДЕНИЕ НА СУБЕКТИ КАТО ОСНОВНА ДЕЙНОСТ

 • Основни дейности - ключови операции за постигане на целите на администратора или обработващия
 • Наблюдение на субекти -  следене в интернет, включително с последващо използване на техники за профилиране, по-специално с цел да се вземат отнасящи се до тях решения или да се анализират или предвиждат техните лични предпочитания, поведение и начин на мислене, както и наблюдение в по-широк контекст, който не се ограничава само в онлайн среда
 • Редовно - текущо или случващо се на определени интервали за определено време; случващо се или повтарящо се в определени срокове; постоянно или периодично провеждано
 • Систематично - възникващо в съответствие със система; предварително подредено, организирано или методично; състоящо се като част от общ план за събиране на данни; предприето като част от стратегия
 • Мащабно  - обработване на значителен обем лични данни на регионално, национално и наднационално равнище (обработване на лични данни на значителен или неограничен брой субекти на данни или обем лични данни, когато основните дейности на администратора или обработващия лични данни, включително средствата за тяхното изпълнение, се състоят в такива операции)

ПРАВНИ ВЪЗМОЖНОСТИ ЗА ОПРЕДЕЛЯНЕ НА ДЗЛД

 • ДЗЛД като член на персонала на администратора/обработващия – самостоятелна длъжност или възлагане на допълнителни функции на служител на друга длъжност
 • ДЗЛД въз основа на договор за услуги с администратора/обработващия
 • Съвместно определяне на ДЗЛД от група предприятия (контролиращо предприятие и контролираните от него предприятия) – при условие, че всяко предприятие има „лесен достъп“ до ДЗЛД
 • Определяне на едно ДЗЛД от администратори и обработващи, които са обществени органи или структури

ИЗИСКВАНИЯ КЪМ ДЗЛД

 • Професионални качества - познания в областта на законодателството и практиките за защитата на личните данни; познаване на сектора и организацията на администратора; разбиране на операциите по обработка, информационните системи, сигурността на данните и необходимостта от тяхната защита; добро познаване на административните правила и процедури, които се прилагат от администратора, когато той е публичен орган
 • Способност за изпълнение на задачите - отнася се до личните качества и знания на лицето, като се изисква почтеност и висока професионална етика, както и заемане на позиция в структурата на администратора или обработващия, даваща възможност за изпълнение на задачите
 • Публикуване на данните за контакт - администраторът или обработващият лични данни публикуват данните за контакт с ДЗЛД и ги съобщават на надзорния орган

ТРАНСФЕР НА ЛИЧНИ ДАННИ

 1. Предоставянето (трансферът) на лични данни като действие по обработване на лични данни
 • Осъществяване при наличие на правно основание за предоставяне и получаване и при спазване на принципите за обработване на данните
 • Предоставянето е свързано с правото на субектите на данни да бъдат информирани относно получателите/категориите получатели, на които могат да бъдат разкривани данните
 • Предоставянето е свързано с правото на субектите на данни да бъдат информирани и за намерението му да предаде личните данни на трета държава или международна организация, включително относно наличието или отсъствието на решение на Европейската комисия относно адекватното ниво на защита или позоваване на подходящите или приложимите гаранции и средства за получаване на копие от тях или на информация къде са налични
 • Предоставянето на лични данни от един администратор на друг администратор на територията на Европейския съюз е свободно
 1. Спазване на другите изисквания на ОРЗД и
 2. Прилагане на условията по чл. 44 и сл. за гарантиране на нивото на защита, осигурено с ОРЗД, а именно:
  • Трансфер на данни въз основа на решение на Европейската комисия за наличие на адекватно ниво на защита на данните (чл. 45 ОРЗД) – принципното правило за допустимост на трансфера на данни;
  • Трансфер на данни въз основа на подходящи гаранции (чл. 46 ОРЗД) - приложимо правно основание при липса на решение за адекватност на Европейската комисия;
  • Трансфер на данни чрез прилагане на дерогации в особени случаи (чл. 49, пар. 1, б. „а“-„ж“ ОРЗД) – приложимо правно основание само при липса на решение за адекватност или на подходящи гаранции;
  • Трансфер на данни при уведомителен режим (чл. 49, пар.1, втора алинея ОРЗД) – приложимо основание при липса на посочените по-горе условия;
  • Трансфер на данни въз основа на международно споразумение (чл. 48 ОРЗД) – приложимо в случаите на предаване или разкриване на данни, което не е разрешено от правото на ЕС (случаите, в които трансферът произтича от задължение на администратора или обработващия да изпълни решение на съд, трибунал или на административен орган на трета държава).

Задължения на администратор, обработващ лични данни и ДЛЗЛД

ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА

 • Обработване на личните данни в съответствие с принципите за защита на личните данни (чл. 5-11) - администраторът носи отговорността и трябва да е в състояние да докаже спазването на произтичащите от тях изисквания
 •  Съдействие за упражняване на правата на субектите на данни съгласно ОРЗД (чл. 12-22)
 • администраторът предприема необходимите действия за предоставяне на информация и комуникация, която се отнася до обработването
 • запознаване на администратора и неговите служители с правата на физическите лица и тяхното съдържание
 • предвиждане на вътрешни процедури за приемане, разглеждане и отговаряне в едномесечен срок на искания от физически лица за упражняване на правата им
 • Определяне на представител в ЕС, ако не е установен в ЕС, но ОРДЗ се прилага за него (чл. 27)
 • представителят трябва да е установен в една от държавите членки, в която се намират субектите, чиито данни се обработват
 • овластяване на представителя с мандат, който позволява надзорните органи и субектите на данни да се обръщат към него по всички въпроси, свързани с обработването
 • Управление на риска за сигурността на данните:
 • анализ на риска (чл. 24)
 • осигуряване на защита на етапа на проектирането и по подразбиране (чл. 25)
 • извършване на оценка на въздействието върху защитата на данните (чл. 35)
 • провеждане на предварителна консултация с надзорния орган, когато от оценката на въздействието следва висок риск, ако администраторът не предприеме мерки за ограничаване на риска (чл. 36)
 • прилагане на подходящи технически и организационни мерки за защита на данните (чл. 32), например криптиране, псевдонимизация, гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване, своевременно възстановяване на наличността и достъпа до личните данни в случай на инцидент, редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки
 • Отношения администратор-обработващ (чл. 28)
 • Отношения между съвместни администратори (чл. 26)
 • Сътрудничество с надзорния орган

- с Регламента отпадна задължението за регистрация пред КЗЛД, считано от 25 май 2018 г.

- определяне на длъжностно лице по защита на данните, когато такова се изисква (чл. 37-39)

- провеждане на предварителна консултация с надзорния орган, когато от оценката на въздействието следва висок риск, ако администраторът не предприеме мерки за ограничаване на риска (чл. 36), както и в случаите по чл. 12, ал. 2 от ЗЗЛД

- сътрудничество с надзорния орган при изпълнение на неговите задължения от страна на администратора и обработващия (чл. 31)

- уведомяване на надзорния орган за нарушение на сигурността на личните данни (чл. 33)

 •  Съобщаване на субекта на данните за нарушение на сигурността на личните данни (чл. 34);
 • Прилагане на изискванията при предаване на лични данни (трансфер на данни) на трети държави или международни организации (чл. 44-48);
 •  Осигуряване на отчетност:
 • поддържане на регистър на дейностите по обработване на лични данни (чл. 30)
 • по желание присъединяване към одобрени кодекси за поведение (чл. 40) и сертифициране (чл. 42)
 • извършване на оценка на въздействието върху защитата на данните в изискуемите случаи (чл. 35)
 • документиране на съгласието, ако на това основание се обработват личните данни (чл. 7)
 • други способи за отчетност

ЗАДЪЛЖЕНИЯ НА ОБРАБОТВАЩИЯ ЛИЧНИ ДАННИ

 • Определяне на представител, когато не е установен в ЕС (чл. 27)
 •  Спазване на изискванията по чл. 28 от Регламента в отношенията с администратора
 •  Поддържане на регистър на всички дейности по обработването (чл. 30, пар. 2)
 •  Сътрудничество с надзорния орган (чл. 31)
 •  Прилагане на подходящи технически и организационни мерки (чл. 32)
 •  Уведомяване на администратора при нарушение на сигурността на личните данни (чл. 33, пар. 2)
 •  Определяне на длъжностно лице по защита на данните (чл. 37)
 •  Прилагане на изискванията при предаване на лични данни на трета държава или международна организация (чл. 44 и сл.)

ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ

 • Случаи на задължително определяне на ДЗЛД:
  • при обработване, извършвано от публичен орган или структура (държавни органи, с изключение на съдилищата при изпълнение на съдебните им функции; органи на местното самоуправление; структура, чиято основна дейност е свързана с разходване на публични средства)
  • когато основните дейности на администратора/обработващия се състоят в операции по обработване, които изискват редовно и систематично мащабно наблюдение на субектите на данни
  • когато основните дейности на администратора/обработващия се състоят в мащабно обработване на специални категории данни или на лични данни, свързани с присъди и нарушения
  • когато това се изисква от правото на Европейския съюз или на държава членка

Обработване на лични данни за целите на директния маркетинг

ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ ЗА ЦЕЛИТЕ НА ДИРЕКТНИЯ МАРКЕТИНГ

 • Директен маркетинг – предлагане на стоки и услуги на физически лица по телефон, по поща или по друг директен начин, както и допитване с цел проучване относно предлаганите стоки и услуги.
 • Съображение 47 in fine „Обработването на лични данни за целите на директния маркетинг може да се разглежда като осъществявано поради законен интерес.”
 • Съображение 38 „На децата се полага специална защита на личните данни, тъй като те не познават достатъчно добре съответните рискове, последици и гаранции, както и своите права, свързани с обработването на лични данни. Тази специална защита следва да се прилага по-специално за използването на лични данни на деца за целите на маркетинга или за създаване на личностни или потребителски профили и събирането на лични данни по отношение на деца при ползване на услуги, предоставяни пряко на деца.“
 • Когато личните данни се обработват за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработването, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг. При възражение обработването на лични данни за тези цели се прекратява. /Чл. 21, пар. 2 и 3 от Общия регламент/
 • Ако обработването на лични данни за целите на директния маркетинг включва профилиране, субектът на данни трябва да бъде информиран за профилирането и използваната логика, значението и предвидените последствия от това обработване за субекта на данни. /Чл. 13, пар. 2, б. „е“ и чл. 14, пар. 2, б. „ж“ от Общия регламент/

ПРАВА НА СУБЕКТА НА ДАННИ

 • Информираност;

1) Информация, предоставяна при събиране на лични данни от субекта на данните

 • идентифициране на администратора – наименование и начин за контакт, включително с длъжностното лице по защита на данните, ако има такова (адрес, електронна поща, телефон и т.н.);
 • какви категории лични данни се събират, за какви цели и на какви правни основания;
 • категориите получатели на лични данни извън администратора, както и дали ще се предават (трансферират) данни в трети страни извън ЕС;
 • срока за съхранение на данните;
 • съществуването на конкретни права на субектите на данните (право на достъп, коригиране или изтриване на лични данни, ограничаване на обработването, възражение срещу обработването, преносимост на данните) и реда за упражняването им;
 • правото на субектите на данни да подадат жалба до КЗЛД или до съда;
 • дали предоставянето на лични данни е задължително по закон или договорно изискване, както и евентуалните последствия, ако тези данни не бъдат предоставени;
 • (ако е приложимо) дали има автоматизирано вземане на решения, включително профилиране.

Информацията се предоставя в момента на получаване на данните, освен ако субектът вече разполага с нея.

2) Информация, предоставяна при събиране на лични данни от друг източник

 • идентифициране на администратора – наименование и начин за контакт, включително с длъжностното лице по защита на данните, ако има такова (адрес, електронна поща, телефон и т.н.);
 • какви категории лични данни се събират и за какви цели се обработват;
 • категориите получатели на лични данни извън администратора, както и дали ще се предават (трансферират) данни в трети страни извън ЕС;
 • срока за съхранение на данните;
 • съществуването на конкретни права на субектите на данните (право на достъп, коригиране или изтриване на лични данни, ограничаване на обработването, възражение срещу обработването, преносимост на данните) и реда за упражняването им;
 • правото на субектите на данни да подадат жалба до КЗЛД или до съда;
 • източника на данните, включително дали данните са от публично достъпен източник;
 • (ако е приложимо) дали има автоматизирано вземане на решения, включително профилиране.

Администраторът информира субекта, когато личните данни са получени от друг източник, в разумен срок след получаването им, но най-късно в срок до един месец, като се отчитат конкретните обстоятелства, при които личните данни се обработват.

Ако данните се използват за връзка със субекта на данните, информацията се предоставя най-късно при осъществяване на първия контакт с този субект на данните.

Ако е предвидено разкриване пред друг получател, информацията се предоставя най-късно при разкриването на личните данни за първи път.

Задължението за информиране не се прилага, когато:

 • субектът на данните вече разполага с информацията;
 • предоставянето на такава информация се окаже невъзможно или изисква несъразмерно големи усилия;
 • получаването или разкриването е изрично разрешено от правото на ЕС или правото на държавата членка;
 • личните данни трябва да останат поверителни при спазване на законово задължение за опазване на професионална тайна или за поверителност.
 • Достъп до собствени лични данни;
 • Коригиране (ако данните са неточни или непълни);
 • Изтриване на личните данни (правото „да бъдеш забравен“);
 • Ограничаване на обработването от страна на администратора или обработващия лични данни;
 • Преносимост на личните данни;
 • Право на възражение;
 • Право лицето да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен;
 • Право на защита по съдебен или административен ред.

АВТОМАТИЗИРАНО ВЗЕМАНЕ НА ИНДИВИДУАЛНИ РЕШЕНИЯ

 • Решение, основаващо се единствено на автоматизирано обработване, е решение, взето по технологичен начин без човешко участие. Дори в част от тези технологични дейности да участва човешкият фактор, без да има реално влияние върху вземането на решението, то следва да се счита за основаващо се единствено на автоматизирано обработване.
 • Съществени правни и други последици – когато решението се отразява на правата и законните интереси на субекта на данни или има потенциал за повлияе значително на обстоятелствата, поведението или избора на засегнатите лица.
 • Профилирането е „всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическото лице , и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение“. За неговото съществуване не е достатъчно само да има автоматизирано обработване на лични данни. Целта е оценяване на определени лични аспекти, свързани с физическото лице.
 • Информиране на субекта на данни за автоматизирано вземане на решения, включително профилиране – чл. 13, пар. 2, б. „е“ и чл. 14, пар. 2, б. „ж“ от Регламент (ЕС) 2016/679;
 • Гарантиране на правото по чл. 22 от Регламент (ЕС) 2016/679;
 • Извършване на оценка на въздействието върху защитата на данните по чл. 35, пар. 3, б. „а“ от Регламент (ЕС 2016/679;
 • Извършване на оценка на въздействието върху защитата на данните по чл. 35, пар. 4 от Регламент (ЕС) 2016/679 в следните случаи:
  • обработване на генетични данни с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен;
  • обработване на данни за местоположение с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен.
  • обработване на лични данни на деца при пряко предлагане на услуги на информационното общество.

GDPR - принципи на прилагане

ПРИЛОЖНО ПОЛЕ НА РЕГЛАМЕНТ (ЕС) 2016/679

Прилага се за обработване с автоматични или други средства на лични данни, които са част или са предназначени да бъдат част от регистър с лични данни.

Не се прилага за обработване на лични данни, което:

 • е извън приложното поле на правото на ЕС (националната сигурност);
 • е свързано с дейности на държавите членки в общата външна политика или политика за сигурност на ЕС;
 • се извършва от физическо лице в хода на чисто лични или домашни занимания;
 • се извършва от компетентните органи в полицейската и наказателната дейност (урежда се от Директива (ЕС) 2016/680, транспонирана в ЗЗЛД);
 • се извършва от институциите на ЕС (прилага се Регламент (ЕС) 2018/1725).

Признаци в легалната дефиниция на чл. 4, т. 1 ОРЗД:

 • „всяка информация“
 • „свързана с“
 • „физическо лице“
 • „идентифицирано или може да бъде идентифицирано“

Примери: име, адрес, имейл адрес (име.фамилия@дружество.com),

номер на документ за самоличност, данни за местоположение, адрес на интернет протокол,

идентификационен номер на “бисквитка”, рекламен идентификатор на телефон, етикети за радиочестотна идентификация (Съображение 30 от ОРЗД, https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_bg)

ДАННИ, КОИТО НЕ СА В ПРИЛОЖНОТО ПОЛЕ НА РЕГЛАМЕНТ (ЕС) 2016/679

 • „Настоящият регламент не обхваща обработването на лични данни, които засягат юридически лица, и по-специално предприятията, установени като юридически лица, включително наименованието и правната форма на юридическото лице и данните за връзка на юридическото лице“ (Съображение 14 от ОРЗД) (данните не се отнасят до физически лица)
 • „Настоящият регламент не се отнася за обработването на анонимна информация, включително за статистически или изследователски цели“ (Съображение 26 от ОРЗД) (данните не се отнасят до идентифицирани или подлежащи на идентифициране физически лица)

„Настоящият регламент не следва да се прилага за личните данни на починали лица. Държавите членки могат да предвидят правила във връзка с обработването на данни на починали лица“ (Съображение 27 от ОРЗД) (чл. 25е от ЗЗЛД урежда обработването на лични данни на починали лица само при наличие на правно основание за това, при предприемане на подходящи мерки за недопускане на неблагоприятно засягане на правата и свободите на други лица или на обществения интерес и при поискване осигурява достъп на наследниците или на други лица с правен интерес)

СПЕЦИАЛНИ КАТЕГОРИИ ЛИЧНИ ДАННИ

Забранява се обработването на лични данни, разкриващи:

 • расов или етнически произход;
 • политически възгледи, религиозни или философски убеждения;
 • членство в синдикални организации;
 • генетични данни;
 • биометрични данни за целите единствено на идентифицирането на физическо лице;
 • данни за здравословното състояние;
 • данни за сексуалния живот или сексуалната ориентация на физическото лице.

„Контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи“ (съображение 51).

Обработването им е възможно при наличие на някое от основанията по чл. 9, пар. 2-4 от Регламент (ЕС) 2016/679.

ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

 • Обработване означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства.
 • Обработване на лични данни са операции като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
 • Съхраняването е дейност по обработване с най-дълъг период от време.

РЕГИСТЪР С ЛИЧНИ ДАННИ

 • Понятието „регистър с лични данни“ е определящо за материалния обхват на Регламент (ЕС) 2016/679.
 • Администраторът определя какви регистри с лични данни ще обработва и на какъв принцип ще са разпределени (централизиран, децентрализиран, функционален или географски).
 • Разграничение на понятието „регистър с лични данни“ от регистъра на дейностите по обработване на лични данни, предвиден като способ за отчетност в чл. 30 от Регламента.

Примери: регистър „Персонал“, регистър „Жалби и молби“, регистър „Инициативи“, регистър „Контрагенти“ и други

АДМИНИСТРАТОР НА ЛИЧНИ ДАННИ

 • Администраторът е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни (администратор, чийто статут произтича от извършваната от него дейност)
 • Когато целите и средствата за обработване са нормативно определени, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на ЕС или на държавата-членка (администратор, чийто статут произтича от закона)
 • Съвместно администриране – когато двама или повече администратори съвместно определят целите и средствата на обработването, те са съвместни администратори.

ОБРАБОТВАЩ ЛИЧНИ ДАННИ

Обработващ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.

Признаци за определяне на обработващия:

 • отделно, външно за структурата на администратора лице (служителите на администратора не са негови обработващи, а лица по чл. 29 от ОРЗД)
 • обработва личните данни от името на администратора (обработващият не определя целите на обработването, а действа само по документираните нареждания на администратора)

Примери за обработващи: IT компания поддържаща информационната система, служба по трудова медицина

ТРЕТА СТРАНА

 • Трета страна означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни.
 • Не са трета страна: субектът на данни, администраторът и неговият/ите обработващи, служителите на администратора и обработващия.
 • Третата страна може да бъде друг администратор, публичен орган, физическо лице, което има основание да получи достъп до определени лични данни.

ПОЛУЧАТЕЛ

 • Получател на лични данни означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не.
 • Публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Европейския съюз или правото на държава членка, не се считат за „получатели“.
 • Администраторът е длъжен да информира субекта на данни за получателите или категориите получатели на личните данни, ако има такива.

СЪДЪРЖАНИЕ НА ПРИНЦИПИТЕ НА РЕГЛАМЕНТ (ЕС) 2016/679

 • Законосъобразност, добросъвестност и прозрачност - обработване при наличие на законово основание, при полагане на дължимата грижа и при информиране на субекта на данни;
 • Ограничение на целите – събиране на данни за конкретни, изрично указани и легитимни цели и забрана за по-нататъшно обработване по начин, несъвместим с тези цели (обработване за целите на архивирането в обществен интерес, за научни и исторически изследвания или за статистически цели не се счита за несъвместимо с първоначалните цели);
 • Свеждане на данните до минимум – данните да са подходящи, свързани със и ограничени до необходимото във връзка с целите на обработването;
 • Точност – поддържане в актуален вид и предприемане на всички разумни мерки за гарантиране на своевременно изтриване или коригиране на неточни данни, при отчитане на целите на обработването; Ограничение  на съхранението – данните да се обработват за период с минимална продължителност съгласно целите. Съхраняване за по-дълги срокове е допустимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или статистически цели, но при условие, че са приложени подходящи технически и организационни мерки;
 • Цялостност и поверителност – обработване по начин, който гарантира подходящо ниво на сигурност на личните данни, като се прилагат подходящи технически или организационни мерки;
 • Отчетност – администраторът носи отговорност и трябва да е в състояние да докаже спазването на всички принципи, свързани с обработването на лични данни (поддържане на регистър на дейностите по обработване на лични данни, приемане на вътрешни правила/процедури/политика за защита на личните данни, актуализиране на формите за документиране на съгласие, актуализиране на договореностите с обработващите лични данни и други, приложими към дейността)

ПРАВНИ ОСНОВАНИЯ (УСЛОВИЯ) ЗА ОБРАБОТВАНЕ НА „ОБИКНОВЕНИ“ ЛИЧНИ ДАННИ

Алтернативно посочени в чл. 6 от Регламент (ЕС) 2016/679:

 • Съгласие на субекта на данни
 • Изпълнение на договор, по който субектът на данни е страна, или в преддоговорните отношения по искане на субекта на данни
 • Спазване на законово задължение, което се прилага спрямо администратора
 • Защита на жизненоважни интереси на субекта на данните или друго физическо лице
 • Изпълнение на задача от обществен интерес или упражняване на официални правомощия, които са предоставени на администратора
 • Легитимни интереси на администратора или трета страна, които имат преимущество пред интересите или основните права и свободи на субекта на данни.

СЪГЛАСИЕ НА СУБЕКТА НА ДАННИ

Недопустимо е съгласието да бъде обвързано с предварителни условия от страна на администратора или да води до неблагоприятни последици за лицето при отказ да го предостави или ако впоследствие го оттегли.

Съгласието може да не бъде счетено за валидно, ако съществува зависимост или неравнопоставеност между субекта на данни и администратора, напр. в отношенията между гражданин и публичен орган или между работник и ра­ботодател.

В съответствие с принципа за отчетност съгласието следва да бъде документирано с цел доказване на неговото нали­чие.

Лицето има право да оттегли своето съгласие по всяко време, също толкова лесно, колкото е дадено.

В случай на пряко предлагане на услуги на информационното общество на дете под 14 години администраторът следва да изисква съгласие от носещия родителска отговорност за детето.

ДОГОВОР И ПРЕДДОГОВОРНИ ОТНОШЕНИЯ

Обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор

а) обработване, необходимо за изпълнение на договор, по който физическото лице е страна

б) обработване преди сключване на договор, предприето по инициатива на самото физическо лице

СПАЗВАНЕ НА ЗАКОНОВО ЗАДЪЛЖЕНИЕ

 • Обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора.
 • Задължение трябва да има основание в правото на ЕС или на държавата членка.
 • Държавите членки могат да установят специални изисквания за обработването и други мерки, за да се гарантира законосъобразно и добросъвестно обработване.

ЖИЗНЕНОВАЖЕН ИНТЕРЕС

Обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице.

Без значение е дали заплахата е непосредствена, тя трябва да се отнася към живота и здравето на субекта на данните или на друго физическо лице.

Съображение 46. ... Обработването на лични данни единствено въз основа на жизненоважен интерес на друго физическо лице следва да се състои по принцип, само когато обработването не може явно да се базира на друго правно основание. Някои видове обработване могат да обслужват както важни области от обществен интерес, така и жизненоважните интереси на субекта на данните, например когато обработването е необходимо за хуманитарни цели, включително за наблюдение на епидемии и тяхното разпространение или при спешни хуманитарни ситуации, по-специално в случай на природни или причинени от човека бедствия.

ЗАДАЧА ОТ ОБЩЕСТВЕН ИНТЕРЕС ИЛИ УПРАЖНЯВАНЕ НА ОФИЦИАЛНИ ПРАВОМОЩИЯ НА АДМИНИСТРАТОРА

Обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора

а) обработване, необходимо за задача от обществен интерес - няма легална дефиниция на понятието “обществен интерес”, но интересът трябва да бъде:  законен, ясно формулиран,  реален и да се направи преценка във всеки конкретен случай относно очакванията/ползите за обществото от обработването на данните на дадено физическо лице.

б) упражняване на официални правомощия, предоставени на администратора - основанието им трябва да произтича от правото на ЕС или на държавата членка.

ЛЕГИТИМЕН (ЗАКОНЕН) ИНТЕРЕС

Обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

Това основание не се прилага за обработване, което се извършва от публични органи при изпълнение на техните задачи.

Позоваването на него предполага баланс между законния интерес на администратора или на третата страна и интереса на физическото лице, за което се отнасят данните. За всеки конкретен случай трябва да се отчетат:

 • характерът и източникът на законния интерес;
 • въздействието върху физическото лице, за което се отнасят данните (характера на данните, начина на обработването на данните, връзката между администратора/третото лице и физическото лице);
 • мерките за предотвратяване на неблагоприятното въздействие върху физическото лице.

УСЛОВИЯ ЗА ОБРАБОТВАНЕ НА СПЕЦИАЛНИ КАТЕГОРИИ ЛИЧНИ ДАННИ

 • Изрично съгласие на субекта на данни
 • Изпълнение на права и задължения по силата на трудовото право и правото в областта на социалната сигурност
 • Жизненоважни интереси на субекта на данни или друго физическо лице, когато субектът е неспособен да даде съгласие
 • Законосъобразна дейност на юридическо лице с нестопанска цел
 • Лични данни, явно направени обществено достояние от субекта
 • Установяване, упражняване или защита на правни претенции
 • Важен обществен интерес на нормативно основание
 • Превантивна или трудова медицина, оценка на трудоспособността, медицинска диагноза, осигуряване на здравни или социални грижи
 • Обществен интерес в областта на общественото здраве
 • Архивиране в обществен интерес, научни, исторически и статистически цели

ОСОБЕНИ СЛУЧАИ НА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

 • Обработване на лични данни в контекста на трудово и служебно правоотношение
 • Обработване на националния идентификационен номер
 • Обработване и свобода на изразяване и информация
 • Обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели
 • Обработване на лични данни, свързани с присъди и нарушения
 • Обработване, за което не се изисква идентифициране
 • Други случаи

ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ В КОНТЕКСТА НА ТРУДОВО ИЛИ СЛУЖЕБНО ПРАВООТНОШЕНИЕ

 • Качество на страните по трудовото или служебното правоотношение
 • Обработвани лични данни от работодателя/органа по назначаването
 • Приложими условия за законосъобразност на обработването на лични данни в трудовото или служебното правоотношение
 • Задължения, произтичащи от ЗЗЛД във връзка с чл. 88 от Регламент (ЕС) 2016/679:
  • връщане или унищожаване/изтриване (ако връщането е невъзможно или изисква несъразмерни усилия) на лични данни, предоставени от субекта на данни на администратор или обработващ без правно основание или в противоречие с принципите на Регламент (ЕС) 2016/679 (чл. 25а от ЗЗЛД);
  • копиране на документ за самоличност, свидетелство за управление на МПС или документ за пребиваване само ако това е предвидено със закон (чл. 25г от ЗЗЛД);
  • при мащабно обработване на лични данни или при систематично мащабно наблюдение на публично достъпни зони, включително чрез видеонаблюдение, администраторът или обработващият приема и прилага правила, с които въвежда подходящи технически и организационни мерки за правата и свободите на субекта на данни. Комисията за защита на личните данни дава насоки при изпълнение на това задължение (чл. 25д от ЗЗЛД);
  • администраторът – работодател или орган по назначаването, приема правила и процедури при: 1. използване на система за докладване на нарушения; 2. ограничения при използване на вътрешнофирмени ресурси; 3. въвеждане на системи за контрол на достъпа, работното време и трудовата дисциплина. Правилата и процедурите съдържат информация относно обхвата, задълженията и методите за прилагането им на практика. Работниците и служителите се уведомяват за тях (чл. 25и от ЗЗЛД).
  • администраторът – работодател или орган по назначаването, определя срок за съхранение на лични данни на участници в процедури по набиране на персонала, който не може да бъде по-дълъг от 6 месеца, освен ако кандидатът е дал своето съгласие за съхранение в по-дълъг срок (чл. 25к, ал. 1 от ЗЗЛД).
  • когато в процедурата по набиране на персонал работодателят/органът по назначаването е изискал да се представят оригинали или нотариално заверени копия на документи, които удостоверяват физическа или психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност, той връща тези документи на субекта на данни, който не е одобрен за назначаване, в 6-месечен срок от окончателното приключване на процедурата, освен ако специален закон предвижда друго (чл. 25к, ал. 2 от ЗЗЛД).

ОБРАБОТВАНЕ НА ЕДИНЕН ГРАЖДАНСКИ НОМЕР

 • Държавите членки могат да определят и специалните условия за обработване на национален идентификационен номер или на всякакъв друг идентификатор с общо приложение.
 • Свободен публичен достъп до информация, съдържаща ЕГН или личен номер на чужденец, не се допуска, освен ако закон предвижда друго. /Чл. 25ж, ал. 1 от ЗЗЛД/
 • Администраторите, предоставящи услуги по електронен път, предприемат подходящи технически и организационни мерки, които не позволяват ЕГН или ЛНЧ да е единственото средство за идентификация на потребителя при предоставяне на отдалечен достъп до съответната услуга. /Чл. 25ж, ал. 2 от ЗЗЛД/
 • За целите на предоставяне на административни услуги по електронен път при условията на Закона за електронното управление администраторът осигурява възможност на субекта на данни да се идентифицира по ред, предвиден със закон. /Чл. 25ж, ал. 3 от ЗЗЛД/

ОБРАБОТВАНЕ, ЗА КОЕТО НЕ СЕ ИЗИСКВА ИДЕНТИФИЦИРАНЕ

 • Ако целите, за които администратор обработва лични данни, не изискват или вече не изискват идентифициране на субекта на данните от администратора, администраторът не е задължен да поддържа, да се сдобие или да обработи допълнителна информация, за да идентифицира субекта на данни с единствената цел да бъде спазен Регламентът.
 • Когато администраторът може да докаже, че не е в състояние да идентифицира субекта на данни, той го уведомява при възможност. В тези случаи не се прилагат правилата относно правата на субектите на данни, освен когато с цел да ги упражни, субектът на данни представи допълнителна информация, позволяваща неговото идентифициране.

Още статии ...