Политика за обработка на лични данни.
ПРАВИЛНИК
ЗА ОПРЕДЕЛЯНЕ НА ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ И
ВИДОВЕТЕ ЗАЩИТА НА ЛИЧНИТЕ ДАННИ В СДРУЖЕНИЕ „СТУДЕНТИ В
ДЕЙСТВИЕ“
ОБЩИ ПОЛОЖЕНИЯ
Чл. 1 ал. 1 С този правилник се определят принципите, основанията,
техническите и организационни мерки при обработване на лични данни и допустимия вид
защита в съответствие със законодателството на ЕС (Общия регламент за защита на
данните (Регламент (ЕС) 2016/679)) и на Република България (Закона за защита на
личните данни, на подзаконовите нормативните актове по прилагането му) по отношение
на обработването на личните данни и защитата на правата и свободите на лицата, чиито
лични данни Сдружение „Студенти в действие“ с ЕИК: 205436217 събира и обработва.
Ал. 2 Този правилник се отнася до всички функции по обработването на лични
данни, включително лични данни на клиенти, служители, доставчици и партньори и
всякакви други лични данни, които организацията обработва от различни източници.
Ал. 3 Този правилник се прилага и е задължителен за всички служители/работници
и други заинтересовани страни на Сдружение „Студенти в действие“, като външни
доставчици и клиенти. Всяко нарушение на Общия регламент за защита на данните
(Регламент (ЕС) 2016/679), на Закона за защита на личните данни, на подзаконовите
нормативни актове по прилагането му, както и на настоящия правилник от страна на
работниците и служителите ще бъде разглеждано като нарушение на трудовата
дисциплина.
Ал. 4 Партньори и трети лица, които работят с или за Сдружение „Студенти в
действие“, както и които имат или могат да имат достъп до лични данни ,предоставени им
или известни им от Сдружение „Студенти в действие“ следва да се запознаят, разберат и да
се съобразят с настоящите правила. Никоя трета страна не може да има достъп до лични
данни, съхранявани от Сдружение „Студенти в действие“, без предварително да е сключила
споразумение за поверителност на данните и което дава право на Сдружение „Студенти в
действие“ да проверява спазването на приетите със споразумението задължения.
ПРИНЦИПИ НА ОБРАБОТВАНЕТО
Чл. 2 ал. 1 . Сдружение „Студенти в действие“ обработва лични данни при
спазване на следните принципи:
a) законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта
на данните (принцип на законосъобразност, добросъвестност и прозрачност);
б) лични данни в Сдружение „Студенти в действие“ се събират само за конкретни,
изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим
с тези цели (принцип на ограничение на целите);
в) личните данни в Сдружение „Студенти в действие“ са подходящи, свързани с и
ограничени до необходимото във връзка с целите, за които се обработват (принцип на
свеждане на данните до минимум);
г) личните данни в Сдружение „Студенти в действие“ следва да бъдат винаги
точни и да се поддържат в актуален вид. Неточни лични данни се изтриват или коригират
в най-кратки срокове (принцип на точност);
д) личните данни в Сдружение „Студенти в действие“ се съхраняват във форма,
която да позволява идентифицирането на субекта на данните за период, не по-дълъг от
1
необходимото за целите, за които се обработват личните данни (принцип на ограничение
на съхранението);
е) личните данни в Сдружение „Студенти в действие“ се обработват по начин,
който гарантира подходящо ниво на сигурност, включително защита срещу неразрешено
или незаконосъобразно обработване и срещу случайна загуба, унищожаване или
повреждане, като се прилагат подходящи технически или организационни мерки
(принцип на цялостност и поверителност);
Ал. 2. Сдружение „Студенти в действие“ следи за стриктното спазване на тези
принципи и предприема описаните по-долу мерки, за да може във всеки един момент да
удостовери спазването им.
ОСНОВАНИЯ ЗА ОБРАБОТВАНЕТО
Чл. 3 ал. 1 Сдружение „Студенти в действие“ обработва лични данни, само ако е
налице поне едно от следните условия (основания):
a) субектът на данните е дал
съгласие за обработване на личните му данни, при
спазване на условията за даване на съгласие, посочени по-долу в чл. 4;
б) обработването е
необходимо за изпълнението на договор, по който субектът
на данните е страна, или за предприемане на стъпки по искане на субекта на данните,
преди сключването на договор;
в) обработването е необходимо за спазването на
законово задължение, което се
прилага спрямо Сдружение „Студенти в действие“;
г) обработването е необходимо, за да бъдат защитени
жизненоважните интереси
на субекта на данните или на друго физическо лице;
д) обработването е необходимо за изпълнението на
задача от обществен интерес;
е) обработването е необходимо за целите на
легитимните интереси на Сдружение
„Студенти в действие“ или на трета страна, освен когато пред такива интереси
преимущество
имат интересите или основните права и свободи на субекта на данните.
Първоначалната преценка относно кои интереси имат преимущество е на Сдружение
„Студенти в действие“, като в случай на колебание, Управителят на Сдружение
„Студенти в действие“ може да се обърне към Комисията за защита на личните данни.
Ал. 2 За всяка дейност по обработване на лични данни е необходимо да е налице
едно от горепосочените основания. Забранява се обработване на лични данни за други
цели, различни от тези, за които първоначално са били събрани, освен ако на отделно
основание не е налице някое от посочените по-горе условия в ал. 1.
Чл. 4 ал. 1 Когато обработването се извършва въз основа на съгласие, Сдружение
„Студенти в действие“ отправя искането към субекта на лични данни за съгласието му в
разбираема и лесно достъпна форма и използва ясен и прост език.
Ал. 2 Като „съгласие“ Сдружение „Студенти в действие“ ще приема всяко
свободно изразено, конкретно, информирано и недвусмислено указание за волята на
субекта на данните, посредством изявление или ясно потвърждаващо действие, което
изразява съгласието му, свързаните с него лични данни да бъдат обработени.
Ал. 3. Сдружение „Студенти в действие“ приема за "съгласие" само случаите, в
които субектът на данните е бил напълно информиран за планираното обработване и е
изразил своето съгласие и без да му бъде упражняван натиск. Съгласието, получено при
натиск или въз основа на подвеждаща информация, няма да бъде валидно основание за
обработване на лични данни.
Ал. 4. Съгласието не може да бъде изведено от липсата на отговор на съобщение
до субекта на данни.
Ал. 5. За специални категории данни по чл. 5 ал. 1 т. 3 трябва да се получи изрично
писмено или електронно съгласие, освен ако не съществува алтернативно законно
2
основание за обработване.
Ал. 6. В повечето случаи съгласието за обработка на лични и специални категории
данни се получава рутинно от Сдружение „Студенти в действие“, като се използват
стандартни документи за съгласие (декларации) например, когато Администраторът
събира информация за здравословно състояние от новопостъпващите служители.
Ал.7 Сдружение „Студенти в действие“ информира субекта на данни, че може да
оттегли съгласието си по всяко време и без да е необходимо да обосновава причина за
оттеглянето. Сдружение „Студенти в действие“ информира субекта на данните, че
оттеглянето на съгласието не засяга законосъобразността на обработването, основано на
съгласието му, дадено преди неговото оттегляне. Сдружение „Студенти в действие“
предоставя и-мейл или пощенски адрес, както и данни за контакт с длъжностно лице за
защита на личните данни, ако има назначено такова, на които субектите на данните могат
да отправят своите запитвания и да оттеглят съгласието си.
КАТЕГОРИИ ЛИЧНИ ДАННИ И ЦЕЛИ НА ОБРАБОТВАНЕТО
Чл. 5 ал. 1 Сдружение „Студенти в действие“ определя следните категории лични
данни, които ще обработва:
1. Лични данни на клиенти – име, телефон, университет и електронен адрес;
2. Сдружение „Студенти в действие“ не обработва и забранява обработката и няма
да обработва лични данни, свързани с присъди и нарушения.
Чл. 6 Обработването на посочените в чл. 5 категории лични данни се осъществява
с оглед следните цели:
1.
Лични данни - с оглед осъществяване на комуникация с клиенти и с оглед
сключване на договор със Сдружение „Студенти в действие“ е необходимо
клиентът да предостави свои лични данни. Предоставянето на тези данни
позволява да идентифицираме съответното лице като страна по договора и
като титуляр на правата/задълженията по него. Трите имена, телефонният
номер, университета и електронният адрес са част от минималното
съдържание на всеки договор, сключен със Сдружение „Студенти в
действие“. В случай, че дадено лице откаже да ги предостави, Сдружение
„Студенти в действие“ няма да може да сключи договор. За да може
Сдружение „Студенти в действие“ да изпълнява сключените договори е
необходимо да обработва личните данни на лицата, с които са сключени. В
противен случай ще е невъзможно да спази договорните си ангажименти.
Сдружение „Студенти в действие“ обработва лични данни, когато е
необходимо, за да упражнява правата си по сключени договори, както и
когато това е необходимо за уреждането на правни спорове. Сдружение
„Студенти в действие“ обработва лични данни, когато съгласно
приложимото законодателство е длъжно да предоставя информация на
компетентни органи. Сдружение „Студенти в действие“ обработва лични
данни, за да изпълнява задължения, произтичащи от счетоводното и
данъчното законодателство - данъчното и счетоводното законодателство в
Република България изискват да се съставя определена счетоводна и
търговска информация, включително да съхранява за определен срок тази
информация, както и всякакви други сведения и документи от значение за
данъчното облагане. При изпълнение на това задължение съответната
информация и документи, които съдържат и лични данни, се съхраняват за
срокове, предвидени в съответните закони.
3
ВИДОВЕ ЗАЩИТА
Чл. 8. Сдружение „Студенти в действие“ определя следните видовете защита на
личните данни в рамките на организацията: физическа, персонална, документална, защита
на автоматизирани информационни системи и/или мрежи..
Чл. 9. Ал. (1) Физическата защита на личните данни представлява система от
технически и организационни мерки за предотвратяване на нерегламентиран достъп до
сградата, помещенията и съоръженията, в които се съхраняват и обработват личните данни.
Ал. (2) В помещенията на Сдружение „Студенти в действие“ се използва система за
контрол на достъпа – напр. обектът е под охрана със сигнално-охранителна техника.
Сдружение „Студенти в действие“ прилага и следи за изпълнението на следните
организационни мерки на физическата защита:
1. Зоните с контролиран достъп в Сдружение „Студенти в действие“ са затворени
помещения, които имат възможност да се заключват с ключ, с който разполагат само
оторизираните лица;
2. Помещенията, в които ще се разполагат елементите на комуникационно-
информационните системи за обработване на лични данни в Сдружение „Студенти в
действие“ са с ограничен достъп, само до лица, които имат нужда от достъп до тях;
3. Организацията на физическия достъп в Сдружение „Студенти в действие“ е
уредена, като се предоставя достъп на служителите само до места, до които имат нужда,
когато имат нужда от достъп.;
4. Техническите средства за физическа защита в Сдружение „Студенти в действие“
са: сигнално охранителна техника и заключване на определение помещния, в които се
съдържат лични данни с ключ;
5. Екип за реагиране при нарушения в Сдружение „Студенти в действие“ се състой от
Управител и/или специално назначено от него лице.
Ал. (3) Основните технически мерки на физическата защита са:
1. ключалки;
2. шкафове;
3. оборудване на зоните с контролиран достъп;
4. оборудване на помещенията;
5. система за сигурност;
6. средства за защита на периметъра, като видео наблюдение;
7. пожарогасителни средства;
8. пожарогасителни системи;
9. видеонаблюдение;
Чл. 10 Ал. (1) Персоналната защита представлява система от организационни мерки
спрямо физическите лица, които обработват лични данни по указание на Сдружение
„Студенти в действие“.
Ал. (2) Сдружение „Студенти в действие“прилага и следи за изпълнението на
следните мерки на персоналната защита:
1. Познаване на нормативната уредба в областта на защитата на личните данни -
запознаване с разпоредбите на РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ
ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата на физическите
лица (Общ регламент относно защитата на данните), на Закона за защита на личните
данни(ЗЗЛД) и неговите най–актуални изменения и допълнения, на приетите във връзка с
ЗЗЛД Наредби, правилници на Комисията за защита на личните данни и нейните актуални
становища;
2. Познаване на политиката и ръководствата за защита на личните данни -
запознаване с настоящите правила и политиката на Сдружение „Студенти в действие“, с
4
принципите и основанията за законосъобразно обработване на данните, задължението на
физическите лица, които обработват лични данни по указание на Сдружение „Студенти в
действие“, да докладват относно изпълнението на мерките по защита на личните данни на
Управителя и в случай на нарушение на сигурността на лични данни;
3. Знания за опасностите за личните данни - разясняване на случаите, при които е
налице опасност от нарушение на сигурността на лични данни, минимализиране на
рисковите дейности, предварително съгласуване с Управителя при необходимост от
предприемането на такива действия;
4. Споделяне на секретна информация между персонала (например пароли за достъп
и др.) - забрана за споделяне на индивидуални пароли за достъп до база с лични данни,
смяна на пароли за достъп до такива данни на всеки 3 месеца, при напускане на
служител/работник, който е притежавал такава парола, същата се заменя с нова веднага.
5. Съгласие за поемане на задължение за неразпространение на личните данни -
всички служители/работници и въобще лица, които обработват лични данни по указание на
Сдружение „Студенти в действие“, декларират писмено, че са съгласни и поемат
задължението да не разпространяват личните данни, станали им известни при и/или по
повод на тяхната работа, при нарушение на това задължение подлежат на дисциплинарна
отговорност в рамките на организацията; публичен достъп до ЕГН/ЛНЧ се предоставя, само
ако закон изисква това. В тези случаи законът определя реда и условията за достъп с цел
недопускане неговата общодостъпност.
6. Обучение – еднократно, при постъпване на работа/предаване на достъп до лични
данни и периодично на всеки 6 месеца;
7. Тренировка/инструктаж на персонала за реакция при събития, застрашаващи
сигурността на данните.
Ал. (3) Мерките за персонална защита целят предоставяне на достъп до лични данни
само на лица, чиито служебни задължения или конкретно възложена задача изискват такъв
достъп, при спазване на принципа свеждане на данните до минимум и принципа
„необходимо да знае“.
Ал. (4) Лицата могат да започнат да обработват лични данни след запознаване с:
1. Нормативната уредба в областта на защитата на личните данни;
2. Политиката и ръководствата за защита на личните данни;
3. Опасностите за личните данни.
Ал. (5) Обработването на лични данни "извън офиса" представлява потенциално по-
голям риск от загуба, кражба или нарушение на лични данни. Персоналът следва да бъде
специално упълномощен да обработва данните извън обектите на Сдружение „Студенти в
действие“.
Ал. (6) Лицата може да бъдат задължени да подписват декларация за неразгласяване
на лични данни, до които са получили достъп при и по повод изпълнение на задълженията
си.
Ал. (7) Сдружение „Студенти в действие“ поддържа и събира информация за
изпълнение на задълженията си по настоящия член.
Чл. 11 Ал. (1) Документалната защита представлява система от организационни
мерки при обработването на лични данни на хартиен носител.
Ал. (2) Сдружение „Студенти в действие“ прилага и следи за изпълнението на
следните мерки на документалната защита:
1. Записите с лични данни върху хартиен носител не трябва да се оставят там, където
могат да бъдат достъпни от неоторизирани лица и не могат да бъдат изваждани от
определените офисни помещения без изрично разрешение.
2. Записите с лични данни върху хартиен носител се обработват само при наличие на
основанията, посочени в чл. 3 и с оглед конкретните цели посочени в чл. 6 от настоящите
правила;
5
3. Регламентиране на достъпа до записите с лични данни върху хартиен носител -
достъп до регистрите ще имат само служители обслужващи досиета на служителите,
обслужване на клиентски заявки и Управителя.
4. Контрол на достъпа до записите с лични данни върху хартиен носител -
осъществява се от Управителя;
5. Срок за съхранение на записите с лични данни върху хартиен носител -
максимално 5 години, освен ако не е налице друго законово основание за по-дълго
съхранение;
За следните категории записи се съблюдават нормативно предвидените срокове за
съхранение:
- ведомости за заплати и документи, удостоверяващи трудов стаж – 50 години;
- счетоводни и финансови отчети – 10 години;
- фактури, договори и всички документи, касаещи данъчно-осигурителен контрол – 5
години след изтичането на давностния срок за погасяване на публичното задължение, с
което са свързани;
- всички останали носители – 5 години.
След изтичането на срока за съхранението, носителите на информация, които не
подлежат на предаване в Националния архивен фонд, могат да се унищожат.
6. Правила за размножаване и разпространение на записите с лични данни върху
хартиен носител - забранява се размножаването и разпространението на записите, освен по
изрично нареждане на Управителя;
7. Процедура за унищожаване - след изтичането на срока за съхранение и ако не е
налице друго законово основание за съхранение, информацията се унищожава под
ръководството на Управителя или длъжностното лице за защита на лични данни, ако има
такова назначено, за което се съставя протокол;
8. Проверка и контрол на обработването на записите с лични данни - осъществяват се
от Управителя или длъжностното лице за защита на лични данни, ако има назначено такова;
Ал. (3) При сключване на трудов договор са необходими:
1. Документ за самоличност, който се връща веднага;
2. Документ за придобито образование, специалност, квалификация, правоспособност,
научно звание или научна степен, когато такива се изискват за длъжността или работата, за
която лицето кандидатства;
3. Документ за стаж по специалността, когато за длъжността или работата, за която
лицето кандидатства, се изисква притежаването на такъв трудов стаж;
4. Документ за медицински преглед при първоначално постъпване на работа и след
преустановяване на трудовата дейност по трудово правоотношение за срок над 3 месеца;
5. Свидетелство за съдимост, когато със закон или нормативен акт се изисква
удостоверяването на съдебно минало, съответно само за специфични длъжности при които
се изисква задължително;
6. Разрешение от инспекцията по труда, ако лицето не е навършило 16 години или е на
възраст от 16 до 18 години.
7. Работодателят може да изисква представянето и на други документи, извън
посочените, ако това е предвидено или произтича от закон или друг нормативен акт.
8. Документ за самоличност, свидетелство за управление на моторно превозно средство,
документ за пребиваване на работник, могат да се копират от работодателя, само ако това е
предвидено или произтича от закон или друг нормативен акт.
9. Работодателят съхранява горецитираните документи в лично трудово досие на всеки
работник, заедно с:
- трудов договор и допълнителни споразумения;
- молба за назначаване и декларация-съгласие за обработване на лични данни;
- заверено уведомление по чл. 62, ал. 5 от КТ;
- длъжностна характеристика;
6
- декларация по Наредба № 5 от 20.02.1987г. за болестите, при които работниците,
боледуващи от тях, имат особена закрила, съгласно чл. 333, ал.1 от Кодекса на труда;
- декларации по чл. 348, ал. 3 от КТ за трудовата книжка и съхраняване на копие от
нея;
- служебна бележка за проведен инструктаж по ЗЗБУТ;
- молби и заповеди за отпуски;
- други – според индивидуалния характер на трудовото правоотношение.
Ал. (4) В процедури по подбор на персонал, срокът за съхранение на лични данни на
участници в процедурата, не може да бъде по-дълъг от
три години. Когато в процедура по
подбор са изискани да се представят оригинали или нотариално заверени копия на
документи, удостоверяващи физическа и психическа годност на кандидата, необходимата
квалификационна степен и стаж за заеманата длъжност, субектът на данните, който не е
одобрен за назначаване, може да поиска в 30-дневен срок от окончателното приключване на
процедурата по подбор да получи обратно представените документи. В тези случаи
документите се връщат, по начина, по който са подадени.
Ал. (5) След прекратяване на трудовото правоотношение, работодателят съхранява
екземпляр от трудов договор, допълнителни споразумения, ведомости за заплати, копие от
трудовата книжка, молби и заповеди за отпуск и всички други документи, удостоверяващи
трудов стаж за срок от 50 години.
Чл. 12. Ал. (1) Защита на автоматизираните информационни системи и/или мрежи
представлява система от технически и организационни мерки за защита от незаконни форми
на обработване на личните данни. По отношение на автоматизираното обработване на лични
данни, след оценка на рисковете се прилагат такива мерки, които имат за цел:
1.
контрол върху достъпа до оборудване - да се откаже достъп на
неоправомощени лица до оборудването, използвано за обработване;
2.
контрол върху носителите на данни - да се предотврати четенето, копирането,
изменянето или отстраняването на носители на данни от неоправомощени лица;
3.
контрол върху съхраняването - да се предотврати въвеждането на лични данни
от неоправомощени лица, както и извършването на проверки, изменянето или заличаването
на съхранявани лични данни от неоправомощени лица;
4.
контрол върху потребителите - да се предотврати използването на
автоматизирани системи за обработване от неоправомощени лица чрез използване на
оборудване за предаване на данни;
5.
контрол върху достъпа до данни - да се гарантира, че лицата, на които е
разрешено да използват автоматизирана система за обработване, имат достъп само до
личните данни, които са обхванати от тяхното разрешение за достъп;
6.
контрол върху комуникацията - да се гарантира възможността за проверка и
установяване на кои органи са били или могат да бъдат предадени или имат достъп до лични
данни чрез оборудване за предаване на данни;
7.
контрол върху въвеждането на данни - да се гарантира възможността за
последваща проверка и установяване на това какви лични данни са били въведени в
автоматизираните системи за обработване, както и кога и от кого са били въведени или
редактирани тези лични данни;
8.
контрол върху пренасянето - да се предотврати четенето, копирането,
изменянето или заличаването на лични данни от неоправомощени лица при предаването на
лични данни или при пренасянето на носители на данни;
9.
възстановяване - да се гарантира възможността за възстановяване на
инсталираните системи в случай на отказ на функциите на системите;
10.
надеждност - да се гарантира изпълнението на функциите на системата и
докладването за появили се във функциите дефекти;
11.
цялостност - да се гарантира недопускане на увреждане на съхраняваните
лични данни вследствие на неправилно функциониране на системата.
7
Ал. (2) Сдружение „Студенти в действие“ прилага и следи за изпълнението на
следните мерки за защита на автоматизираните информационни системи и/или мрежи са:
1.
Политика за защита на личните данни, ръководства по защита и стандартни
операционни процедури; в системите за автоматизирано обработване следва да се водят
записи (логове) най-малко за следните операции по обработване: събиране, промяна,
справки, разкриване, включително предаване, комбиниране и изтриване; записите за
извършена справка или разкриване трябва да дават възможност за установяване на
основанието, датата на такива операции и доколкото е възможно — идентификацията на
лицето, което е направило справка или е разкрило лични данни, както и данни,
идентифициращи получателите на тези лични данни; записите се използват единствено за
проверяване на законосъобразността на обработването, за самоконтрол, за гарантиране на
цялостността и сигурността на личните данни и при наказателни производства;
Администраторът определя подходящи срокове за съхранение, вкл. архивиране на записите.
2. Определяне на роли и отговорности;
3. Управление на регистрите;
4.Контроли на сесията;
5. Външни връзки/свързване;
6.. Телекомуникации и отдалечен достъп;
7. Наблюдение;
8..Защита от вируси;
9. Планиране на случайността/непредвидените случаи;
10. Поддържане/експлоатация;
11. Управление на конфигурацията;
12. Копия/резервни копия за възстановяване;
13. Носители на информация;
14. Физическа среда/обкръжение - компютърните екрани и терминалите не могат да
бъдат гледани от друг, освен от оторизираните служители/работници на компанията;
15. Персонална защита;
16. Тренировка на персонала за реакция при събития, застрашаващи сигурността на
данните;
17. Определяне на срокове за съхранение на личните данни;
18. Процедури за унищожаване/заличаване/изтриване на носители;
19. Управление на пароли;
20. Екипиране на автопарка с устройства за проследяване.
Чл. 13. Сдружение „Студенти в действие“ прилага и следи за изпълнението на
следните мерки на криптографската защита са:
1. стандартните криптографски възможности на операционните системи;
2. стандартните криптографски възможности на комуникационното оборудване;
3. нормативно определените системи за електронен подпис.
РЕГИСТЪР НА ДЕЙНОСТИТЕ ПО ОБРАБОТВАНЕ
Чл. 14 ал. 1 За дейностите по обработване на личните данни, посочени в чл. 5 за
целите, посочени в чл. 6, Сдружение „Студенти в действие“ води регистри с всички
категории дейности по обработване.
Ал. 2 Сдружение „Студенти в действие“ води следните регистри:
1. Регистър „Персонал” – води се електронно в програма за ТРЗ.
2. Регистър „Клиенти” – води се електронно в система за контрол на достъпа.
3. Регистър „Видеонаблюдение” – води се само при настъпили моменти на
обработка различна от запис.
Ал. 3 Регистрите могат да съдържат следната информация:
1.
наименованието и координатите за връзка на администратора, и когато е
8
приложимо, на съвместните администратори и на длъжностното лице по защитата на
данните;
2.
целите на обработването;
3.
категориите получатели, пред които са или ще бъдат разкрити личните
данни, включително получателите в трети държави или международни организации;
4.
описание на категориите субекти на данни и на категориите лични данни;
5.
когато е приложимо, използването на профилиране;
6.
когато е приложимо, категориите предаване на лични данни на трета държава
или международна организация;
7.
посочване на правното основание за операцията по обработване,
включително предаването на данни, за която са предназначени личните данни;
8.
когато е възможно, предвидените срокове за изтриване на различните
категории лични данни;
9.
когато е възможно, общо описание на техническите и организационните мерки
за сигурност (разписани в чл. 12 по-горе).
Ал.4 Регистрите, посочени в ал. 1, се поддържат в електронен формат, като е
възможно да се прави копие на хартия при нужда.
Ал.5 По отношение на извършваното видеонаблюдение Сдружение „Студенти в
действие“ приема отделен правилник, уреждащ и съдържащ правила и мерки за защита,
съгласно нормативните изисквания, но достъпът до видео материали се предоставя само с
основание и в случай, че присъстват и други лица на записа (с тяхно съгласие), в случаите
когато основанието е по желание на субект на данни.
Ал. 6 Водят се допълнителни регистри с цел гарантиране качествено обслужване и
проследимост, както следва:
1. Регистър на инцидентите с лични данни – завежда се при настъпил инцидент.
2. Регистър на заявките за ползване на права на субектите на данни.
ОЦЕНКА НА ВЪЗДЕЙСТВИЕ
Чл. 15. Ал. 1 Когато съществува вероятност определен вид обработване, по-
специално при което се използват нови технологии, и предвид естеството, обхвата,
контекста и целите на обработването, да породи висок риск за правата и свободите на
физическите лица, преди да бъде извършено обработването, Сдружение „Студенти в
действие“ извършва оценка на въздействието на предвидените операции по
обработването върху защитата на личните данни, по приложените към настоящия
правилник критерии.
Ал. 2 Оценката по ал. 1 съдържа най-малко общо описание на предвидените
операции по обработване, оценка на рисковете за правата и свободите на субектите на
данните, мерките, предвидени за справяне с тези рискове, гаранции, мерки за сигурност и
механизми за гарантиране на защитата на личните данни и за доказване на съответствие с
правилата на защита на личните данни съгласно РЕГЛАМЕНТ (ЕС) 2016/679 НА
ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата
на физическите лица (Общ регламент относно защитата на данните), на Закона за защита на
личните данни (ЗЗЛД) и подзаконовите нормативни актове, приети за неговото изпълнение,
като се вземат предвид правата и легитимните интереси на субектите на данните и другите
засегнати лица.
Ал. 3 Когато оценката на въздействието покаже, че обработването ще породи висок
риск по смисъла на Общия регламент относно защитата на данните, на Закона за защита на
личните данни (ЗЗЛД) и подзаконовите нормативни актове, приети за неговото изпълнение,
длъжностното лица за защита на лични данни на Сдружение „Студенти в действие“ се
консултира с Комисията за защита на личните данни преди извършване на обработването.
9
ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА НА ЛИЧНИ ДАННИ Чл. 16. Ал. 1 Прилагането на предвидените в настоящите правила технически и
организационни мерки за защита на личните данни се осъществява от длъжностното лице по
защита на лични данни на Сдружение „Студенти в действие“.
Ал. 2 Управителят може да определи едно или повече лица по защита на личните
данни, които отговарят за координиране и прилагане на мерките по защита на личните
данни.
Чл. 17. Управителят или определеното от него лице имат следните задължения:
1. приемат, изменят и допълват настоящия Правилник за определяне на технически и
организационни мерки и видовете защита на личните данни в организацията и осъществява
контрол за спазването и изпълнението му;
2. инструктира лицата, които обработват лични данни по указание на Сдружение
„Студенти в действие“;
3. осигурява организацията по водене на регистрите, прилагане на мерки за защитата
им и актуализацията им;
4. извършва оценка на въздействието по чл.15;
5. уведомява КЗЛД за нарушение на сигурността на личните данни без ненужно
забавяне по възможност не по-късно от 72 часа след узнаването и при спазване на
изискванията на чл. 33 от Общия регламент относно защитата на данните и Закона за защита
на личните данни;
6. съобщава на субекта на данните за нарушението на сигурността на личните му
данни, когато има вероятност нарушението на сигурността на личните данни да породи
висок риск за правата и свободите на субекта;
7. определя длъжностното лице по защита на данните, в случай, че такова следва да
бъде назначено в организацията съгласно изискванията на чл 37 от Общия регламент
относно защитата на данните и Закона за защита на личните данни;
8. изисква и следи за спазванете на политиката на поверителност от обработващи
лични данни;
9. изисква и следи за спазванете на правата на субектите на лични данни.
ПРАВА НА СУБЕКТИТЕ НА ДАННИ
Чл. 18 ал. 1 Субектът на данни има следните права по отношение на обработването
на данни, както и на данните, които се записват за него:
•
Да отправя искания за потвърждаване дали се обработват лични данни,
свързани с него, и ако това е така, да получи достъп до данните, както и информация кои
са получателите на тези данни.
•
Да поиска копие от своите лични данни;
•
Да иска коригиране на лични данни когато те са неточни, както и когато не
са вече актуални;
•
Да изиска изтриване на лични данни (право „да бъдеш забравен");
•
Да иска ограничаване на обработването на лични данни доколкото е
възможно, като в този случай данните ще бъдат само съхранявани, но не и обработвани;
•
Да направи възражение срещу обработване на негови лични данни;
•
Да направи възражение срещу обработване на лични данни, отнасящо се до
него за целите на директния маркетинг, когато не е дал съгласие за това.
•
Да се обърне с жалба до надзорен орган ако смята, че някоя от разпоредбите
на Общия регламент относно защитата на данните и Закона за защита на личните данни е
нарушена;
•
Да поиска и да му бъдат предоставени личните данни в структуриран,
широко използван и пригоден за машинно четене формат до колкото е технически
приложимо и възможно;
10
•
Да оттегли съгласието си за обработката на личните данни по всяко време с
отделно искане, отправено до длъжностното лице по защита на лични данни на
Сдружение „Студенти в действие“;
Ал. 2. Сдружение „Студенти в действие“ осигурява условия, които да гарантират
упражняването на тези права от субекта на данни:
1) Информацията относно обработването се предоставя на субекта на данни в
сбита, разбираема и леснодостъпна форма, като се използва ясен и прост
език. Информацията се предоставя по всякакъв подходящ начин,
включително по електронен път. По възможност информацията се
предоставя в същата форма като тази на искането.
2) Субектът на данните се информира писмено и без излишно забавяне за
действията, предприети във връзка с неговото искане.
3) Информацията се предоставя безплатно. Когато исканията от даден субект
на данни са очевидно неоснователни или прекомерни, по-специално поради
своята повторяемост, информацията може да бъде предоставена срещу
такса в разумен размер, като се вземат предвид административните разходи
за предоставянето ѝ или да се откаже предоставянето ѝ.
4) Когато са налице основателни опасения във връзка със самоличността на
физическото лице, което подава искане, може да се изиска допълнителна
информация от лицето, необходима за потвърждаване на самоличността му.
Ал. 3 Сдружение „Студенти в действие“ предоставя на субектите на данни най-
малко следната информация:
1. данните, които идентифицират администратора и координатите за връзка с
него;
2. координатите за връзка с длъжностното лице по защита на данните, когато е
приложимо;
3. целите на обработването, за които са предназначени личните данни;
4. правото да бъде подадена жалба до комисията и нейните координати за връзка;
5. съществуването на право да се изиска от администратора достъп до, коригиране
или изтриване на лични данни и ограничаване на обработването на лични данни, свързано
със субекта на данните.
Ал. 4 Освен информацията, посочена в ал. 3, Сдружение „Студенти в действие“
предоставя на субекта на данните, в конкретни случаи и с цел да му се даде възможност
да упражни правата си, следната допълнителна информация:
1. правното основание за обработването;
2. срока, за който ще се съхраняват личните данни, а ако това е невъзможно -
критериите, използвани за определяне на този срок;
3. когато е приложимо, категориите получатели на личните данни, включително в
трети държави или международни организации;
4. ако е необходимо, и друга допълнителна информация, по-специално в случаите,
когато личните данни са събрани без знанието на субекта на данните.
Ал. 5 Сдружение „Студенти в действие“ може да забави, да ограничи или да не
предостави информация на субекта на данните, като се отчитат основните права и
легитимните интереси на засегнатото физическо лице, за да:
1. не се допусне възпрепятстването на служебни или законово регламентирани
проверки, разследвания или процедури;
2. не се допусне неблагоприятно засягане на предотвратяването, разкриването,
разследването или наказателното преследване на престъпления или изпълнението на
наказания;
3. се защити общественият ред и сигурност;
4. се защити националната сигурност;
5. се защитят правата и свободите на други лица.
11
След отпадане на съответното обстоятелство по ал. 5 исканата информация се
предоставя без забавяне.
ВЪЗЛАГАНЕ ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ НА ОБРАБОТВАЩ
Чл. 19 ал. 1 Сдружение „Студенти в действие“ може да възложи обработване на
лични данни от негово име само на обработващи лични данни, които предоставят
достатъчни гаранции, че ще прилагат подходящи технически и организационни мерки, по
такъв начин че обработването да отговаря на изискванията на Общия регламент за защита
на данните (Регламент (ЕС) 2016/679), на Закона за защита на личните данни, на
подзаконовите нормативни актове по прилагането му, както и на настоящия правилник и
да се гарантира защитата на правата на субекта на данни.
Ал. 2 Обработващият лични данни не може да добавя друг обработващ лични
данни без предварителното конкретно или общо писмено разрешение на Управителя на
Сдружение „Студенти в действие“.
Ал. 3 Обработването от страна на обработващия лични данни се урежда с договор,
който обвързва обработващия лични данни и регламентира предмета и срока на
обработването, естеството и целта на обработването, вида лични данни и категориите
субекти на данни, задълженията и правата на Сдружение „Студенти в действие“ като
администратор. Посоченият договор или друг правен акт предвижда по-специално, че
обработващият лични данни:
1.
действа единствено по указания на Сдружение „Студенти в действие“;
2.
гарантира, че лицата, оправомощени да обработват личните данни, са поели
ангажимент за поверителност или са задължени по закон да спазват поверителност;
3.
подпомага Сдружение „Студенти в действие“ с всички подходящи средства,
за да се гарантира спазването на разпоредбите относно правата на субекта на данни;
4.
по избор на Сдружение „Студенти в действие“ заличава или връща всички
лични данни след приключване на предоставянето на услуги по обработване на данни и
заличава съществуващите копия, освен ако правото на Европейския съюз или
законодателството на Република България не изисква съхранение на личните данни или
се прецени че данните ще пазят с определена давност за юридически доказателства и цели
предварително съгласувано със Сдружение „Студенти в действие“;
5.
предоставя на Сдружение „Студенти в действие“ цялата информация,
необходима за доказване на спазването на настоящия член;
6.
спазва условията по алинеи 2 за включване на друг обработващ лични данни.
Ал. 4 Договорът се изготвя в писмена или електронна форма.
Ал. 5 Ако обработващ лични данни определи в нарушение на правилата на
настоящата глава, целите и средствата на обработването, обработващият личните данни
се счита за администратор по отношение на това обработване.
Ал. 6 Обработващият лични данни и всяко лице, действащо под ръководството на
Сдружение „Студенти в действие“ или на обработващия лични данни, което има достъп
до личните данни, обработва тези данни само по указание на Сдружение „Студенти в
действие“, освен ако обработването се изисква от правото на Европейския съюз или
законодателството на Република България.
РАЗКРИВАНЕ НА ДАННИ
Чл. 20 ал. 1 Сдружение „Студенти в действие“ не разкрива и предприема мерки, за
да не бъдат разкривани от негови служители лични данни на неупълномощени трети
страни, което включва членове на семейството, приятели, държавни органи, дори
разследващи такива, ако има основателно съмнение, че не се изискват по установения
ред. Всички служители, занимаващи се с обработка на лични данни се инструктират да
бъдат предпазливи, когато им поискат да разкрият съхранявани лични данни за друго
лице на трета страна. В случаи на съмнения и неяснота, следва да се обръщат към
длъжностното лице за защита на лични данни на Сдружение „Студенти в действие“.
12
Ал. 2. Всички искания от трети страни за предоставяне на данни трябва да бъдат
подкрепени с подходяща документация и всички такива разкривания на данни трябва да
бъдат специално разрешени от Управителя на Сдружение „Студенти в действие“ или от
Длъжностното лице за защита на данните, ако има назначено такова.
СЪХРАНЯВАНЕ И УНИЩОЖАВАНЕ НА ДАННИТЕ
Чл. 21 ал. 1 Сдружение „Студенти в действие“ не съхранява лични данни във вид,
който позволява идентифицирането на субектите за по-дълъг период отколкото е
необходимо, по отношение на целите, за които са били събрани данните.
Ал. 2 Личните данни трябва да бъдат унищожени сигурно, съгласно принципа за
гарантиране подходящо ниво на сигурност – включително защита срещу неразрешено
или незаконосъобразно обработване и срещу случайна загуба, унищожаване или
повреждане, като се прилагат подходящи технически или организационни мерки
(принцип на цялостност и поверителност).
ТРАНСФЕР НА ДАННИ
Чл. 21 ал.1 Всеки износ на данни извън ЕС са незаконни, освен ако няма
подходящо ниво на защита на основните права на субектите на данни, което се проверява
и удостоверява от длъжностното лице за защита на личните данни.
Ал. 2 Прехвърлянето на лични данни извън ЕС е забранено, освен ако не се
прилагат една или повече от гаранциите или изключенията, посочени в чл. 44-50 от
Общия регламент.
Ал. 3 Сдружение „Студенти в действие“ може да включи утвърдени стандартни
договорни клаузи за защита на данните при прехвърляне на данни извън Европейското
икономическо пространство, одобрени от КЗЛД с оглед автоматичното признаване на
адекватността им.
Ал. 4 При липса на гаранциите, посочени в чл .44-48 от Общия регламент,
прехвърляне на лични данни в трета страна или международна организация се извършва
само при едно от следните условия:
•
субектът на данните изрично се е съгласил с предложеното прехвърляне,
след като е бил информиран за възможните рискове от такива прехвърляния;
•
предаването е необходимо за изпълнението на договор между субекта на
данните и администратора или за изпълнението на преддоговорни мерки, взети по искане
на субекта на данните;
•
предаването е необходимо за сключването или изпълнението на договор,
сключен в интерес на субекта на данните между администратора и друго физическо или
юридическо лице;
•
предаването е необходимо поради важни причини от обществен интерес;
•
предаването е необходимо за установяването, упражняването или защитата
на правни претенции;
•
предаването е необходимо, за да бъдат защитени жизненоважните интереси
на субекта на данните или на други лица, когато субектът на данните е физически или
юридически неспособен да даде своето съгласие;
•
предаването се извършва от регистър, който съгласно правото на ЕС или
правото на държавите членки е предназначен да предоставя информация на
обществеността и е достъпен за справка от обществеността по принцип или от всяко лице,
което може да докаже, че има законен интерес за това, но само доколкото условията за
справка, установени в правото на Съюза или правото на държавите членки, са изпълнени
в конкретния случай.
Допълнителни разпоредби
§ 1. По смисъла на този правилник:
13
„Лични данни“ - всяка информация, свързана с идентифицирано физическо лице
или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо
лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано,
пряко или непряко, по-специално чрез идентификатор като име, идентификационен
номер, данни за местонахождение, онлайн идентификатор или по един или повече
признаци, специфични за физическата, физиологичната, генетичната, психическата,
умствената, икономическата, културната или социална идентичност на това физическо
лице;
„Специални категории лични данни“ – лични данни, разкриващи расов или
етнически произход, политически възгледи, религиозни или философски убеждения, или
членство в синдикални организации и обработката на генетични данни, биометричните
данни за уникално идентифициране на физическо лице, данни отнасящи се до здравето
или данни относно сексуалния живот на физическо лице или сексуална ориентация.
„Обработване“ - означава всяка операция или съвкупност от операции, извършвана
с лични данни или набор от лични данни чрез автоматични или други средства като
събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна,
извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или
друг начин, по който данните стават достъпни, подреждане или комбиниране,
ограничаване, изтриване или унищожаване;
„Администратор“ - всяко физическо или юридическо лице, публичен орган,
агенция или друга структура, която сама или съвместно с други определя целите и
средствата за обработването на лични данни; когато целите и средствата за това
обработване се определят от правото на ЕС или правото на държава членка,
администраторът или специалните критерии за неговото определяне могат да бъдат
установени в правото на Съюза или в правото на държава членка;
„Субект на данните“ – всяко живо физическо лице, което е предмет на личните
данни съхранявани от Администратора;
„Съгласие“ - всяко свободно изразено, конкретно, информирано и недвусмислено
указание за волята на субекта на данните, посредством изявление или ясно
потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да
бъдат обработени;
„Нарушение на сигурността на лични данни“ - нарушение на сигурността, което
води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено
разкриване или достъп до лични данни, които се предават, съхраняват или обработват по
друг начин;
„Получател“ - физическо или юридическо лице, публичен орган, агенция или
друга структура, пред която се разкриват личните данни, независимо дали е трета страна
или не. Същевременно публичните органи, които могат да получават лични данни в
рамките на конкретно разследване в съответствие с правото на Съюза или правото на
държава членка, не се считат за „получатели“; обработването на тези данни от посочените
публични органи отговаря на приложимите правила за защита на данните съобразно
целите на обработването;
„Трета страна“ – всяко физическо или юридическо лице, публичен орган, агенция
или друг орган, различен от субекта на данните, администратора, обработващия лични
данни и лицата, които под прякото ръководство на администратора или на обработващия
лични данни имат право да обработват личните данни;
„Регистър с лични данни“ означава всеки структуриран набор от лични данни,
достъпът до които се осъществява съгласно определени критерии, независимо дали е
централизиран, децентрализиран или разпределен съгласно функционален или географски
принцип;
„Надзорен орган“ означава независим публичен орган от държава членка
наЕвропейския съюз, отговорен за наблюдението на прилагането на правилата за защита на
личните данни, с които са въведени разпоредбите на Директива 2016/680 в съответното
14
национално законодателство, с цел да се защитят основните права и свободи на физическите
лица във връзка с обработването на лични данни и да се улесни свободното им движение в
рамките на ЕС. За Република България надзорен орган е Комисията за защита на личните
данни от този закон.
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Адрес: София 1592, бул. „Проф. Цветан Лазаров” № 2
Център за информация и контакти - тел. 02/91-53-518
Приемна - работно време 9:00 - 17:30 ч.
Електронна поща:
kzld@cpdp.bg
Интернет страница:
www.cpdp.bg
§ 2. Свързани и прилежащи документи към този правилник:
Политика за Чисто бюро - чист монитор;
Политика за Управление на паролите;
Политика за Допустимо ползване на фирмени активи;
Политика за Комуникация с надзорни органи;
Политика за Сигурно използване на мейлите;
Политика за Класифициране на информацията;
Политика за Физическа сигурност в офис и други помещения;
Политика за Използване на софтуер;
Списък с разрешен софтуер;
Общи условия за споделено пространство за учене StudyHub на
Сдружение „Студенти в действие“
;
Примерни Регистри;
Примерни бланки и декларации;
Закон за Защита на Личните Данни;
Общ Регламент за Защита на Личните данни на ЕС 679/2016.
Дата:01.11.2019 Утвърдил:.......................................
/Управител/
15