Благодаря за отговора! Продължавам да си мисля на глас, за уведомяването. Казват, че дори имената на човек били "лични данни" и се чудя - като си занеса обувките да ми сложат налчета обущарят драска името ми на една хартийка, с която после да си ги взема. Сега освен хартийката трябва да ми даде и три листа юридически текст, с който да се запозная и подпиша?
Сигурно примерът ми е екстремен, но мисля, че е напълно реален. Просто си мърморя, пак да кажа

моля :-) моя приятелка ми разказваше, че преди време нейният обущар й е искал ЕГН, за да си остави обувките :-) не е шега. Истината е, че времената се променят, да се надяваме за добро.

Извинявам се за правописните/пунктоационни грешки.

Бихте ли подсказали някои "техни права", в случая на събиране, обработване, предоставяне (на други АЛД) и съхраняване на ЛД по нормативни изисквания? Например при подписване на ТД или издаване на фактура на ФЛ?

Примерно:
"Вие можете по всяко време да упражните следните правата:
а. да получите информация за целите на обработка на Вашите лични данни, срока за тяхното съхранение, както и на кого могат да бъдат предоставяни.
б.да получите достъп до Вашите лични данни;
в. да получите корекцията или промяна на същите (когато е необходимо) или да ограничите обработката (когато това е приложимо);
г. да подадете жалба до надзорния орган (Комисията за защита на личните данни), ако считате, че Вашите права са нарушени.
Упражняването на Вашите права може да бъде направено чрез изпращане на заявка на  електронна поща : ……………………….."

Искам пак да уточня, че давам примерен вариант.

Tea S, може те ли да коментирате това, което ще напиша и евентуално да дадете насоки.

Правилно сте се ориентирала. Трябва да допълните срок за съхраняване и процедура за унищожаване. При сключване на трудов договор - имате нормативно основание да обработвате данните и не Ви е необходимо съгласие на субектите, но задължително трябва да ги уведомите писмено за всички техни права. Тези уведомления после ги съхранявате (т.е. може да искате да Ви ги подписват в два екземпляра и единия да остава за Вас). Ако предавате информацията в трети страни (командировки, офиси на фирмата извън ЕС), трябва да отбележите и това. За "Как се защитава" - посочете, че хартиените документи, примерно, се държат в шкафове, които се заключват, с контролиран достъп от страна на служители, ако има видеонаблюдение - отбелязвате, ако офиса е с охранителна система - също, за софтуера - влизане с парола, лог файлове и т.н..

Нещо, което чух на семинар и се счита за изтичане на лични данни - оставени на бюрото документи с лични данни, които клиент или външно лице спокойно може да прочете.

да, така е. Отнася се както за оставени документи на бюро, така и за папки, на които могат да се видят лични данни на физически лица (на отворени рафтове, примерно), документи/ данни, оставени на десктопа, пароли, записани на листчета и т.н.

Колеги, не влизайте излишно във филми и драми с този GDPR. Съвсем скоро ще има достъпни и най-различни решения. Просто в момента е ново, няма практика, всички се плашат, а цените за внедряване са брутални. Глоби от комисията до края на годината едва ли ще има, освен при много драстични нарушения и изтичане на лични данни. Ние използваме ситуацията:
1. за да си прегледаме и оптимизираме процесите на работа
2. предадем ненужни архиви
3. да спрем да съхраняваме някои документи, което значи и по-малко подреждане от наша страна
4. да си прегледаме договорите с клиенти във връзка с новото споразумение по чл. 28 от регламента

Но е важно да се започне от някъде, като не забравяте да документирате, че сте започнали.

Успех на всички!

Подкрепям изцяло. Комисията няма да инициира проверки, ако не са налице жалби или фрапиращи нарушения.

Благодаря Ви за добронамереността и желанието да помогнете. Надявам се да не приемате лично някои наши може би крайни преценки. Аз специално за себе си мога да кажа, че би ми било полезно да видя един готов модел , одобрен по някакъв начин официално като такъв, а не да интерпретирам Регламент от такъв ранг със скромните си познания по въпроса. Един вид да се каже "Имате ТРЗ - необходим Ви е еди кой регистър" и "Този регистър изглежда така..." . Да имаме един модел и да работим по него.
Както и да е...
Хубава вечер на всички !

Аз Ви благодаря за разбирането! Вече свиквам с нападките и не ги приемам лично:-). Наистина искам да помогна. Няма как да пусна тук публично документ нито от АПИС GDPR, нито от Лакорда, тези, които ние ползваме от софтуера ни, са на италиански език и вероятно няма да Ви бъдат от голяма полза, затова намерих този документ на английски, дано да Ви даде идея! Одобрен официално документ от Надзорен орган - намерих само регистър за обработка от сайта на френската Комисия и го бях публикувала тук.

Аз само бих искала да напиша отново, че ако мога да ви бъда полезна с отговор на някакъв конкретен въпрос в рамките на моята компетентност, с радост ще го направя.

Не се страхувам от задължения, нито от правила.
Когато има правила по-лесно се работи.
Страхувам се от "интерпретации".
От неясни текстове, които дават възможност за интепретация, която със сигурност те вкарва в "ситуация".
Единственото място, където интерпретациите обикновено дават красив ефект е изкуството.
...което е доста далече от нашата работа... 

Напълно съм съгласна с Вас, че когато има правила се работи по-лесно.
Но вижте на страницата на Комисията
https://www.cpdp.bg/?p=rubric&aid=3  решенията на КЗЛД по жалби и до момента. Аз не виждам този уклон, на който понякога сме свидетели при други институции. Промяната в подхода и отношението е голяма, но плюса е, че тази промяна обхваща целия ЕС. И точно както системите ISO се приемат за някаква гаранция за качество на продукт/ услуга, така и спазването на нормите на Регламента може да бъде разгледано точно в този аспект.

Както и представителите на Комисията за защита на личните данни обясняват непрекъснато- ако успеете да погледнете на това ново задължение не със страха от глоба и формално изпълнение на изискванията, а наистина през призмата на плюсовете (като проследяемост, регламентиран подход, конкурентноспособност и т.н.), които може да даде на фирмите спазването на Регламента, вероятно по-лесно ще намерите мотивация да се стремите да направите необходимата документация/ да предприемете необходимите мерки. Факт е, че много от разпоредбите и до сега ги имахме в закона и в наредбата. И пак стигаме до момента - колко от фирмите ги спазваха до сега.

Към TEA S - Бихте ли отделили време, накратко, с прости думи да поясните какво е новото, поне една разлика от стария подход

Разбира се. Новото е самия подход, при който АЛД трябва да докаже цялостно (документално и чрез реално предприети действия), че обработва личните данни на своите служители, клиенти, доставчици и т.н. съобразно принципите и нормите на Регламента.  Всички АЛД и до сега бяха длъжни да имат инструкция съгласно Наредба 1 за минималните мерки, но колко имаха реално такава? А колко я спазваха? Имам клиенти (като адвокат), които ми казват " Ама ние сме регистрирани като АЛД, имаме документа от Комисията, значи към момента всичко е наред." Т.е. самата регистрация и попълване на информацията към Комисията горе-долу се приемаше за "индулгенция" от фирмите, че те спазват нормите. Но в масовия случай с регистрацията в Комисията приключваше всичко, което фирмите се ангажираха да направят. Сега, с Регламента, остава изцяло избор и отговорност на АЛД да избере подходящите мерки (технически и организационни), с които да докаже, че е осигурил защита и е спазил разпоредбите. Трябва да следи при всяка промяна, която въвежда дали и как се отразява на защитата при обработването. В Италия до преди няколко години имаше подобен документ на инструкцията, която АЛД трябваше да имат при нас, но който документ всички АЛД бяха длъжни ежегодно (до 31.03) да актуализират. Сега Регламента въвежда дори още по-строги изисквания - не веднъж в годината актуализиране, а във всеки един момент когато се променят условията, средствата, целите и т.н. на обработването. Т.е. документацията да е актуална във всеки един момент. Разбира се, това е само един пример.

добре, изобщо кой събира лични данни, освен ако не са му необходими, за да си върши работата? имам предвид в нашия бранш - на счетоводителите

нали предметът на договорите ни с клиентите е точно това - да обработваме трудови правоотношения, заплати, да подаваме данни за осигуряването - това не би могло да се свърши, ако нямаме личните данни на персонала.... но не, трябва да пълним папки и класьори с Правила, Методики, Оценки, които трябва да са и написани на витиеват формален език, защото се съмнявам да свърши работа, ако на един лист А4 напиша в прав текст, че обработвам следните 5 вида данни /изброени/ и ги защитавам във файлове с пароли, и после още 1-2 пароли за достъп до компютъра - а на практика това е, което наистина правят повечето фирми, като сигурно половината са и без пароли....

Вижте, изобщо не твърдя, че всички имат излишни лични данни. Написах на какво да се обърне внимание (колкото и да е повърхностно, защото темата наистина е много обширна). Разбирам, че не е лесно именно заради всички изкарани от мен до момента курсове. Променя се цялостен подход, няма как да стане лесно. Опитах се да дам насоки. Успех на всички!

1. Проверете какви лични данни събирате и обработвате. Кои от тях са Ви необходими (по закон, по договор), оставете налични тези, които отговарят на тези условия.
2. Създайте си процедури и правила за работа с лични данни. Кой ги обработва, в кои отдели, как, с каква цел. Опишете всичко- достъп, права, правила.
3. Създайте си оценка на риска (за това много помага регистъра по чл. 30). Опишете техническите и организационни мерки, които сте предприели, за да намалите нивото на риска.
4. Проверете дали попадате в условията за определяне на DPO
Следвайте логиката на процесите на обработка на лични данни. Ако Вашата фирма разполага вече със сертификат ISO (9001, 27000, 31000) ще Ви бъде по-лесно и ще имате добра база. Имайте предвид обаче, че дори 27001 не покрива съответствие с GDPR.

Искам до разбера някакви документи ли трябва да има фирмата или софтуер - програми
Трябва ли да се назначи някой   
Днеска имаше едно предаване точно за това по твонаир -но нищо конкретно не казаха или поне аз не разбрах 

Дори и да имате подходящ софтуер (каквото и да означава "подходящ" към настоящия момент), без част от документите аз лично не виждам как може да докажете отчетност. Именно защото няма едно решение за всички, трудно на общи семинари/ в предавания може да се обясни повече. Най- полезно е когато се дават примери от практиката, защото по този начин човек може да се ориентира по-лесно, но дори и в този случай, при две фирми с еднакъв предмет на дейност, може да има много големи разлики в организацията, фирмената структура, начина на работа и т.н., като всичко това ще се отрази на вида и обема на необходимата документация. Бъдете внимателни когато се предлагат "готови решения" - без колегите да опознаят естеството на работа именно във вашата конкретна фирма, трудно, а и рисковано се дава "готово решение".

мисля, че това може бъде полезно по отношение на темата за DPO

Everything you've ever wanted to know about DPO but never dared to ask
http://privacylawblog.fieldfisher.com/2017/everything-youve-ever-wanted-to-know-about-dpo-but-never-dared-to-ask/

Вярно ли е ,че за фирми с под 250 човека персонал не важи ,всички тези документи и регистри

Съгласно чл. 30 от Регламента в този случай може да отпадне само задължението за водене на регистър (но с много условности, зависи от предмета на дейност, обхвата на обработвани лични данни и т.н.). Дори и в този случай, т.е. ако не ви е задължително, остава отворен въпроса как ще направите оценка на риска, ако не сте направили регистър, за да анализирате какви лични данни обработвате. Останалата документация (в един или друг обем) е необходима за всички (принципа на отчетност).

Здравейте,много интересна тема във форума,тема касаеща всички ни.Аз недоумявам за много неща,чета препрочитам,мигам и намигвам и не мога да го смеля в бялата си вече глава.Преди години ни накараха да внесем такса при нотариус и да дадем заявление за защита на личните дании.Сега какво пак трябва да правим???

Здравейте, след 25.05.2018 отпада регистрацията в Комисията за защита на личните данни. АЛД вече ще трябва да докаже във всеки един момент (т.нар."отчетност"), че спазва изискванията на Регламента. Отпадат и минималните мерки (предвидени в Наредба 1), трябва да се въведат подходящи такива спрямо конкретната дейност и специфика на работа на АЛД. И да, права сте, в някои отношения все още въпросите са повече от еднозначните отговори.

Благодаря за отговора, но не разбрах как точно физически трябва да изглежда един "регистър на обработваните данни"? В логическия смисъл на думата "регистър" е същото като "списък", но е ясно, че няма как да се пишат списъци на/за лични данни. Може би се има предвид списък на видовете лични данни, които се обработват? Или списък на категориите хора, чиито ЛД се обработват?

За съжаление, ще ми е трудно да прочета сайта на френската комисия, дори и да го намеря.

Здравейте, напълно прав сте. В регистъра се посочват отделните видове лични данни, които се обработват. Целта е проследяемост на обработката и доказване на спазването на правилата на Регламента (т.е. техническите и организационни мерки, правното основание и т.н.). Регистърът е таблица (прилагам френската, поне ще имате идея, а може да опитате и се онлайн преводач). Важно е обаче, не само да бъде съставена правилно, но и всяка настъпила промяна в обработката да бъде отразена. Надявам се, да съм била полезна!

Здравейте, през месец март организирахме 3 семинара в  в Търговско- индустриалната камара във Варна, 2 в София - в Българската търговско-промишлена палата и в Асоциацията на индустриалния капитал (последните два бяха на 16.03). Организираме ги по заявка , не пускаме обяви в интернет и затова не мога да Ви дам линк, стремим се да ги организираме към клиенти, обединени по някакъв принцип (членове на Асоциации, определени браншове и т.н.), защото иначе е прекалено общо и с малка полза за клиентите. Водим преговори и с други асоциации/ браншови организации, но за сега нямаме потвърждение за определени дати.

Блатдаря за предложението за помощ!
Например - в какво практически се изразяват тези "регистри"?

Моля, целият ни екип поддържа идеята, че знанието трябва да се споделя. Регистрите на обработваните данни са необходими, за да бъда извършена оценка на риска. На теория (според Регламента), такова задължение за поддържането им се поражда само при определени условия (чл.30 от Регламента), но практика се оказва, че един АЛД не може да извърши оценка на риска, без да направи анализ какви лични данни обработва, за какъв срок, с каква цел, какви технически и организационни мерки са взети и т.н., т.е. на практика да състави и попълни този регистър. Регистрите трябва да се водят отделно както от АЛД, така и от обработващият лични данни. Към момента френската комисия за защита на личните данни има публикуван примерен образец на сайта си. Оставам на разположение и хубава вечер!