ПРАВИЛНИК
ЗА ОПРЕДЕЛЯНЕ НА ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ И ВИДОВЕТЕ
ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
ОБЩИ ПОЛОЖЕНИЯ
Чл. 1 ал. 1 С този правилник се определят принципите, основанията, техническите и организационни мерки при обработване на лични данни и допустимия вид защита в съответствие със законодателството на ЕС (Общия регламент за защита на данните (Регламент (ЕС) 2016/679)) и на Република България (Закона за защита на личните данни, на подзаконовите нормативните актове по прилагането му) по отношение на обработването на личните данни и защитата на правата и свободите на лицата, чиито лични данни ”КОНСЕНДО” ООД с ЕИК: 205293751 събира и обработва.
Ал. 2 Този правилник се отнася до всички функции по обработването на лични данни, включително лични данни на клиенти, служители, доставчици и партньори и всякакви други лични данни, които организацията обработва от различни източници.
Ал. 3 Този правилник се прилага и е задължителен за всички служители/работници и други заинтересовани страни на “КОНСЕНДО” ООД, като външни доставчици и клиенти. Всяко нарушение на Общия регламент за защита на данните (Регламент (ЕС) 2016/679), на Закона за защита на личните данни, на подзаконовите нормативни актове по прилагането му, както и на настоящия правилник от страна на работниците и служителите ще бъде разглеждано като нарушение на трудовата дисциплина.
Ал. 4 Партньори и трети лица, които работят с или за “КОНСЕНДО” ООД, както и които имат или могат да имат достъп до лични данни, предоставени им или известни им от “КОНСЕНДО” ООД следва да се запознаят, разберат и да се съобразят с настоящите правила. Никоя трета страна не може да има достъп до лични данни, съхранявани от “КОНСЕНДО” ООД, без предварително да е сключила споразумение за поверителност на данните и което дава право на “КОНСЕНДО” ООД да проверява спазването на приетите със споразумението задължения.
Ал.5 Този правилник е разширяващо допълнение към Правилник за Вътрешен Трудов Ред на “КОНСЕНДО” ООД и трябва да бъде спазван като част от ПВТР.
Ал.6 В случай на взаимно изключващи се членове от този правилник и ПВТР с приоритет се обръща внимание на текущите членове и алинеи свързани със защитата на личните данни.
ПРИНЦИПИ НА ОБРАБОТВАНЕТО
Чл. 2 ал. 1 .“КОНСЕНДО” ООД обработва лични данни при спазване на следните принципи:
a) законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните (принцип на законосъобразност, добросъвестност и прозрачност);
б) лични данни в “КОНСЕНДО” ООД се събират само за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели (принцип на ограничение на целите);
в) личните данни в “КОНСЕНДО” ООД са подходящи, свързани с и ограничени до необходимото във връзка с целите, за които се обработват (принцип на свеждане на данните до минимум);
г) личните данни в “КОНСЕНДО” ООД следва да бъдат винаги точни и да се поддържат в актуален вид. Неточни лични данни се изтриват или коригират в най-кратки срокове (принцип на точност);
д) личните данни в “КОНСЕНДО” ООД се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни (принцип на ограничение на съхранението);
е) личните данни в “КОНСЕНДО” ООД се обработват по начин, който гарантира подходящо ниво на сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки (принцип на цялостност и поверителност);
Ал. 2. “КОНСЕНДО” ООД следи за стриктното спазване на тези принципи и предприема описаните по-долу мерки, за да може във всеки един момент да удостовери спазването им.
ОСНОВАНИЯ ЗА ОБРАБОТВАНЕТО
Чл. 3 ал. 1 “КОНСЕНДО” ООД обработва лични данни, само ако е налице поне едно от следните условия (основания):
a) субектът на данните е дал съгласие за обработване на личните му данни, при спазване на условията за даване на съгласие, посочени по-долу в чл. 4;
б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните, преди сключването на договор;
в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо “КОНСЕНДО” ООД;
г) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
д) обработването е необходимо за изпълнението на задача от обществен интерес;
е) обработването е необходимо за целите на легитимните интереси на “КОНСЕНДО” ООД или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните. Първоначалната преценка относно кои интереси имат преимущество е на “КОНСЕНДО” ООД, като в случай на колебание, Управителят на “КОНСЕНДО” ООД може да се обърне към Комисията за защита на личните данни (КЗЛД).
Ал. 2 За всяка дейност по обработване на лични данни е необходимо да е налице едно от горепосочените основания. Забранява се обработване на лични данни за други цели, различни от тези, за които първоначално са били събрани, освен ако на отделно основание не е налице някое от посочените по-горе условия в ал. 1.
Чл. 4 ал. 1 Когато обработването се извършва въз основа на съгласие, “КОНСЕНДО” ООД отправя искането към субекта на лични данни за съгласието му в разбираема и лесно достъпна форма и използва ясен и прост език.
Ал. 2 Като „съгласие“ “КОНСЕНДО” ООД ще приема всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му, свързаните с него лични данни да бъдат обработени.
Ал. 3. “КОНСЕНДО” ООД приема за “съгласие” само случаите, в които субектът на данните е бил напълно информиран за планираното обработване и е изразил своето съгласие и без да му бъде упражняван натиск. Съгласието, получено при натиск или въз основа на подвеждаща информация, няма да бъде валидно основание за обработване на лични данни.
Ал. 4. Съгласието не може да бъде изведено от липсата на отговор на съобщение до субекта на данни.
Ал. 5. За специални категории данни по чл. 5 ал. 1 т. 3 трябва да се получи изрично писмено или електронно съгласие, освен ако не съществува алтернативно законно основание за обработване.
Ал. 6. В повечето случаи съгласието за обработка на лични и специални категории данни се получава рутинно от “КОНСЕНДО” ООД, като се използват стандартни документи за съгласие (декларации) например, когато Администраторът събира информация за здравословно състояние от новопостъпващите служители.
Ал.7 “КОНСЕНДО” ООД информира субекта на данни, че може да оттегли съгласието си по всяко време и без да е необходимо да обосновава причина за оттеглянето. “КОНСЕНДО” ООД информира субекта на данните, че оттеглянето на съгласието не засяга законосъобразността на обработването, основано на съгласието му, дадено преди неговото оттегляне “КОНСЕНДО” ООД предоставя и-мейл или пощенски адрес, както и данни за контакт с длъжностно лице за защита на личните данни, ако има назначено такова, на които субектите на данните могат да отправят своите запитвания и да оттеглят съгласието си.
КАТЕГОРИИ ЛИЧНИ ДАННИ И ЦЕЛИ НА ОБРАБОТВАНЕТО
Чл. 5 ал. 1 “КОНСЕНДО” ООД определя следните категории лични данни, които ще обработва:
1. Лични данни на клиенти и служители – име, ЕГН, адрес, телефон, мейл;
2. Специални категории лични данни-данни за здравословното състояние на служители, обучаващи се стажанти и клиенти на “КОНСЕНДО” ООД;
Чл. 6 Обработването на посочените в чл. 5 категории лични данни се осъществява с оглед следните цели:
ВИДОВЕ ЗАЩИТА
Чл. 8. “КОНСЕНДО” ООД определя следните видовете защита на личните данни в рамките на организацията: физическа, персонална, документална, защита на автоматизирани информационни системи и/или мрежи..
Чл. 9. Ал. (1) Физическата защита на личните данни представлява система от технически и организационни мерки за предотвратяване на нерегламентиран достъп до сградата, помещенията и съоръженията, в които се съхраняват и обработват личните данни.
Ал. (2) В помещенията на “КОНСЕНДО” ООД се използва система за контрол на достъпа – обектът е под охрана със сигнално-охранителна техника.
“КОНСЕНДО” ООД прилага и следи за изпълнението на следните организационни мерки на физическата защита:
1. Зоните с контролиран достъп в “КОНСЕНДО” ООД са:
– на адреса на управление на предприятието в офис 16А и 16Б
2. Помещенията, в които се обработват лични данни в “КОНСЕНДО” ООД са:
– на адреса на управление на предприятието в офис 16Б
3. Помещенията, в които ще се разполагат елементите на комуникационно-информационните системи за обработване на лични данни в “КОНСЕНДО” ООД са:
– на адреса на управление на предприятието в Офис 16Б
4. Организацията на физическия достъп в “КОНСЕНДО” ООД е:
– на адреса на управление на предприятието в офис 16Б;
5. Техническите средства за физическа защита в “КОНСЕНДО” ООД са:
– сигнално охранителна техника, заключване на определени помещения, в които се съдържат лични данни, както и
– шкафове и
– каси;
6. Екип за реагиране при нарушения в “КОНСЕНДО” ООД се състой от :
– Михаил Господинов – mihail.gospodinov@consendo.bg
– Валентин Бахтев – valentin.bahtev@consendo.bg
Ал. (3) Основните технически мерки на физическата защита са:
1. ключалки;
2. непрозрачни шкафове;
3. сигнално охранителна техника в зоните с контролиран достъп
4. оборудване на помещенията и зоните с контролиран достъп със система за контрол на достъпа.;
Чл. 10 Ал. (1) Персоналната защита представлява система от организационни мерки спрямо физическите лица, които обработват лични данни по указание на “КОНСЕНДО” ООД.
Ал. (2) “КОНСЕНДО” ООД прилага и следи за изпълнението на следните мерки на персоналната защита:
1. Познаване на нормативната уредба в областта на защитата на личните данни – запознаване с разпоредбите на РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата на физическите лица (Общ регламент относно защитата на данните), на Закона за защита на личните данни(ЗЗЛД) и неговите най–актуални изменения и допълнения, на приетите във връзка с ЗЗЛД Наредби, правилници на Комисията за защита на личните данни и нейните актуални становища;
2. Познаване на политиката и ръководствата за защита на личните данни – запознаване с настоящите правила и политиката на “КОНСЕНДО” ООД, с принципите и основанията за законосъобразно обработване на данните, задължението на физическите лица, които обработват лични данни по указание на “КОНСЕНДО” ООД, да докладват относно изпълнението на мерките по защита на личните данни на Управителя и в случай на нарушение на сигурността на лични данни;
3. Знания за опасностите за личните данни – разясняване на случаите, при които е налице опасност от нарушение на сигурността на лични данни, минимализиране на рисковите дейности, предварително съгласуване с Управителя при необходимост от предприемането на такива действия;
4. Споделяне на секретна информация между персонала (например пароли за достъп и др.) – забрана за споделяне на индивидуални пароли за достъп до база с лични данни, смяна на пароли за достъп до такива данни на всеки 3 (три) или 6 (шест) месеца или съгласно инструкция за управление на паролите, при напускане на служител/работник, който е притежавал такава парола, същата се заменя с нова веднага.
5. Съгласие за поемане на задължение за неразпространение на личните данни – всички служители/работници и въобще лица, които обработват лични данни по указание на “КОНСЕНДО” ООД, декларират писмено, че са съгласни и поемат задължението да не разпространяват личните данни, станали им известни при и/или по повод на тяхната работа, при нарушение на това задължение подлежат на дисциплинарна отговорност в рамките на организацията; публичен достъп до ЕГН/ЛНЧ се предоставя, само ако закон изисква това. В тези случаи законът определя реда и условията за достъп с цел недопускане неговата общодостъпност.
6. Обучение – еднократно, при постъпване на работа/предаване на достъп до лични данни и периодично на всеки 6 (шест) месеца;
7. Тренировка/инструктаж на персонала за реакция при събития, застрашаващи сигурността на данните.
Ал. (3) Мерките за персонална защита целят предоставяне на достъп до лични данни само на лица, чиито служебни задължения или конкретно възложена задача изискват такъв достъп, при спазване на принципа свеждане на данните до минимум и принципа „необходимо да знае“.
Ал. (4) Лицата могат да започнат да обработват лични данни след запознаване с:
1. Нормативната уредба в областта на защитата на личните данни;
2. Политиката и ръководствата за защита на личните данни;
3. Опасностите за личните данни.
Ал. (5) Обработването на лични данни “извън офиса” представлява потенциално по-голям риск от загуба, кражба или нарушение на лични данни. Персоналът следва да бъде специално упълномощен да обработва данните извън обектите на “КОНСЕНДО” ООД.
Ал. (6) Лицата може да бъдат задължени да подписват декларация за неразгласяване на лични данни, до които са получили достъп при и по повод изпълнение на задълженията си.
Ал. (7) “КОНСЕНДО” ООД поддържа и събира информация за изпълнение на задълженията си по настоящия член.
Чл. 11 Ал. (1) Документалната защита представлява система от организационни мерки при обработването на лични данни на хартиен носител.
Ал. (2) “КОНСЕНДО” ООД прилага и следи за изпълнението на следните мерки на документалната защита:
1. Записите с лични данни върху хартиен носител не трябва да се оставят там, където могат да бъдат достъпни от неоторизирани лица и не могат да бъдат изваждани от определените офисни помещения без изрично разрешение, като е строго забранено оставяне на документи с лични данни без надзор в представителен офис (16А)
2. Записите с лични данни върху хартиен носител се обработват само при наличие на основанията, посочени в чл. 3 и с оглед конкретните цели посочени в чл. 6 от настоящите правила;
3. Регламентиране на достъпа до записите с лични данни върху хартиен носител – достъп до регистрите ще имат само служители обслужващи досиета на служителите, обслужване на клиентски заявки и Управителя.
4. Контрол на достъпа до записите с лични данни върху хартиен носител – осъществява се от Управителя;
5. Срок за съхранение на записите с лични данни върху хартиен носител – максимално 5 години, освен ако не е налице друго законово основание за по-дълго съхранение;
За следните категории записи се съблюдават нормативно предвидените срокове за съхранение:
– ведомости за заплати и документи, удостоверяващи трудов стаж – 50 години;
– счетоводни и финансови отчети – 10 години;
– фактури, договори и всички документи, касаещи данъчно-осигурителен контрол – 5 години след изтичането на давностния срок за погасяване на публичното задължение, с което са свързани;
– всички останали носители – 5 години.
След изтичането на срока за съхранението, носителите на информация, които не подлежат на предаване в Националния архивен фонд, могат да се унищожат.
6. Правила за размножаване и разпространение на записите с лични данни върху хартиен носител – забранява се размножаването и разпространението на записите, освен по изрично нареждане на Управителя;
7. Процедура за унищожаване – след изтичането на срока за съхранение и ако не е налице друго законово основание за съхранение, информацията се унищожава под ръководството на Управителя или длъжностното лице за защита на лични данни, ако има такова назначено, за което се съставя протокол;
8. Проверка и контрол на обработването на записите с лични данни – осъществяват се от Управителя или длъжностното лице за защита на лични данни, ако има назначено такова;
Ал. (3) При сключване на трудов договор са необходими:
1. Документ за самоличност, който се връща веднага;
2. Документ за придобито образование, специалност, квалификация, правоспособност, научно звание или научна степен, когато такива се изискват за длъжността или работата, за която лицето кандидатства;
3. Документ за стаж по специалността, когато за длъжността или работата, за която лицето кандидатства, се изисква притежаването на такъв трудов стаж;
4. Документ за медицински преглед при първоначално постъпване на работа и след преустановяване на трудовата дейност по трудово правоотношение за срок над 3 месеца;
5. Свидетелство за съдимост, когато със закон или нормативен акт се изисква удостоверяването на съдебно минало;
6. Разрешение от инспекцията по труда, ако лицето не е навършило 16 години или е на възраст от 16 до 18 години.
7. Работодателят може да изисква представянето и на други документи, извън посочените, ако това е предвидено или произтича от закон или друг нормативен акт.
8. Документ за самоличност, свидетелство за управление на моторно превозно средство, документ за пребиваване на работник, могат да се копират от работодателя, само ако това е предвидено или произтича от закон или друг нормативен акт.
9. Работодателят съхранява горецитираните документи в лично трудово досие на всеки работник, заедно с:
– трудов договор и допълнителни споразумения;
– молба за назначаване и декларация-съгласие за обработване на лични данни;
– заверено уведомление по чл. 62, ал. 5 от КТ;
– длъжностна характеристика;
– декларация по Наредба № 5 от 20.02.1987г. за болестите, при които работниците, боледуващи от тях, имат особена закрила, съгласно чл. 333, ал.1 от Кодекса на труда;
– декларации по чл. 348, ал. 3 от КТ за трудовата книжка и съхраняване на копие от нея;
– служебна бележка за проведен инструктаж по ЗЗБУТ;
– молби и заповеди за отпуски;
– декларация за получени идентификационни карти и сертификати за достъпи идентифициращи служителя.
– други – според индивидуалния характер на трудовото правоотношение.
(възможна бланка със списък)
Ал. (4) В процедури по подбор на персонал, срокът за съхранение на лични данни на участници в процедурата, не може да бъде по-дълъг от три години. Когато в процедура по подбор са изискани да се представят оригинали или нотариално заверени копия на документи, удостоверяващи физическа и психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност, субектът на данните, който не е одобрен за назначаване, може да поиска в 30-дневен срок от окончателното приключване на процедурата по подбор да получи обратно представените документи. В тези случаи документите се връщат, по начина, по който са подадени.
Ал. (5) След прекратяване на трудовото правоотношение, работодателят съхранява екземпляр от трудов договор, допълнителни споразумения, ведомости за заплати, копие от трудовата книжка, молби и заповеди за отпуск и всички други документи, удостоверяващи трудов стаж за срок от 50 години.
Чл. 12. Ал. (1) Защита на автоматизираните информационни системи и/или мрежи представлява система от технически и организационни мерки за защита от незаконни форми на обработване на личните данни. По отношение на автоматизираното обработване на лични данни, след оценка на рисковете се прилагат такива мерки, които имат за цел:
1. контрол върху достъпа до оборудване – да се откаже достъп на неоправомощени лица до оборудването, използвано за обработване;
2. контрол върху носителите на данни – да се предотврати четенето, копирането, изменянето или отстраняването на носители на данни от неоправомощени лица;
3. контрол върху съхраняването – да се предотврати въвеждането на лични данни от неоправомощени лица, както и извършването на проверки, изменянето или заличаването на съхранявани лични данни от неоправомощени лица;
4. контрол върху потребителите – да се предотврати използването на автоматизирани системи за обработване от неоправомощени лица чрез използване на оборудване за предаване на данни;
5. контрол върху достъпа до данни – да се гарантира, че лицата, на които е разрешено да използват автоматизирана система за обработване, имат достъп само до личните данни, които са обхванати от тяхното разрешение за достъп;
6. контрол върху комуникацията – да се гарантира възможността за проверка и установяване на кои органи са били или могат да бъдат предадени или имат достъп до лични данни чрез оборудване за предаване на данни;
7. контрол върху въвеждането на данни – да се гарантира възможността за последваща проверка и установяване на това какви лични данни са били въведени в автоматизираните системи за обработване, както и кога и от кого са били въведени или редактирани тези лични данни;
8. контрол върху пренасянето – да се предотврати четенето, копирането, изменянето или заличаването на лични данни от неоправомощени лица при предаването на лични данни или при пренасянето на носители на данни;
9. възстановяване – да се гарантира възможността за възстановяване на инсталираните системи в случай на отказ на функциите на системите;
10. надеждност – да се гарантира изпълнението на функциите на системата и докладването за появили се във функциите дефекти;
11. цялостност – да се гарантира недопускане на увреждане на съхраняваните лични данни вследствие на неправилно функциониране на системата.
Ал. (2) “КОНСЕНДО” ООД прилага и следи за изпълнението на следните мерки за защита на автоматизираните информационни системи и/или мрежи, когато е възможно и приложимо, като това са:
1. Политика за защита на личните данни, ръководства по защита и стандартни операционни процедури; в системите за автоматизирано обработване следва да се водят записи (логове) най-малко за следните операции по обработване: събиране, промяна, справки, разкриване, включително предаване, комбиниране и изтриване; записите за извършена справка или разкриване трябва да дават възможност за установяване на основанието, датата на такива операции и доколкото е възможно — идентификацията на лицето, което е направило справка или е разкрило лични данни, както и данни, идентифициращи получателите на тези лични данни; записите се използват единствено за проверяване на законосъобразността на обработването, за самоконтрол, за гарантиране на цялостността и сигурността на личните данни и при наказателни производства; Администраторът определя подходящи срокове за съхранение, вкл. архивиране на записите.
2. Определяне на роли и отговорности;
3. Идентификация и автентификация, псевдоминимизация, ако е приложимо; публичен достъп до ЕГН/ЛНЧ се предоставя, само ако закон изисква това; в случай на предоставяне на услуги по електронен път, да се предприемат подходящи технически и организационни мерки, които не позволяват единният граждански номер да е единственият идентификатор за предоставяне на съответната услуга;
4. Управление на регистрите;
5. Контроли на сесията;
6. Външни връзки/свързване;
7. Телекомуникации и отдалечен достъп;
8. Наблюдение;
9. Защита от вируси;
10. Планиране на случайността/непредвидените случаи;
11. Поддържане/експлоатация;
12. Управление на конфигурацията;
13. Копия/резервни копия за възстановяване;
14. Носители на информация;
15. Физическа среда/обкръжение – компютърните екрани и терминалите не могат да бъдат гледани от друг, освен от оторизираните служители/работници на компанията;
16. Персонална защита;
17. Тренировка на персонала за реакция при събития, застрашаващи сигурността на данните;
18. Определяне на срокове за съхранение на личните данни;
19. Процедури за унищожаване/заличаване/изтриване на носители;
20. Управление на пароли;
Чл. 13. Ал. (1) Криптографската защита представлява система от технически и организационни мерки, които се прилагат с цел защита на личните данни от нерегламентиран достъп при предаване, разпространяване или предоставяне.
Ал. (2) “КОНСЕНДО” ООД прилага и следи за изпълнението на следните мерки на криптографската защита:
1. стандартните криптографски възможности на операционните системи;
2. стандартните криптографски възможности на комуникационното оборудване;
3. нормативно определените системи за електронен подпис.
РЕГИСТЪР НА ДЕЙНОСТИТЕ ПО ОБРАБОТВАНЕ
Чл. 14 ал. 1 За дейностите по обработване на личните данни, посочени в чл. 5 за целите, посочени в чл. 6, “КОНСЕНДО” ООД води регистри с всички категории дейности по обработване.
Ал. 2 “КОНСЕНДО” ООД води следните регистри:
1. Регистър „Персонал” – води се електронно във вътрешна система – програма за ТРЗ.
2. Регистър „Клиенти” – води се електронно във вътрешна клиентска система.
Ал. 3 Регистрите могат да съдържат следната информация:
1. наименованието и координатите за връзка на администратора, и когато е приложимо, на съвместните администратори и на длъжностното лице по защитата на данните;
2. целите на обработването;
3. категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;
4. описание на категориите субекти на данни и на категориите лични данни;
5. когато е приложимо, използването на профилиране;
6. когато е приложимо, категориите предаване на лични данни на трета държава или международна организация;
7. посочване на правното основание за операцията по обработване, включително предаването на данни, за която са предназначени личните данни;
8. когато е възможно, предвидените срокове за изтриване на различните категории лични данни;
9. когато е възможно, общо описание на техническите и организационните мерки за сигурност (разписани в чл. 12 по-горе).
Ал.4 Регистрите, посочени в ал. 1, се поддържат в електронен формат, като е възможно да се прави копие на хартия при нужда.
Ал. 5 Водят се допълнителни регистри с цел гарантиране качествено обслужване и проследимост, както следва:
1. Регистър на инцидентите с лични данни – завежда се при настъпил инцидент във вътрешна система.
2. Регистър на заявките за ползване на права на субектите на данни в дневник за входяща кореспонденция.
ОЦЕНКА НА ВЪЗДЕЙСТВИЕ
Чл. 15. Ал. 1 Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, “КОНСЕНДО” ООД извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни, по приложените към настоящия правилник критерии.
Ал. 2 Оценката по ал. 1 съдържа най-малко общо описание на предвидените операции по обработване, оценка на рисковете за правата и свободите на субектите на данните, мерките, предвидени за справяне с тези рискове, гаранции, мерки за сигурност и механизми за гарантиране на защитата на личните данни и за доказване на съответствие с правилата на защита на личните данни съгласно РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата на физическите лица (Общ регламент относно защитата на данните), на Закона за защита на личните данни (ЗЗЛД) и подзаконовите нормативни актове, приети за неговото изпълнение, като се вземат предвид правата и легитимните интереси на субектите на данните и другите засегнати лица.
Ал. 3 Когато оценката на въздействието покаже, че обработването ще породи висок риск по смисъла на Общия регламент относно защитата на данните, на Закона за защита на личните данни (ЗЗЛД) и подзаконовите нормативни актове, приети за неговото изпълнение, длъжностното лица за защита на лични данни на “КОНСЕНДО” ООД се консултира с Комисията за защита на личните данни преди извършване на обработването.
ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА НА ЛИЧНИ ДАННИ
Чл. 16. Ал. 1 Прилагането на предвидените в настоящите правила технически и организационни мерки за защита на личните данни се осъществява от длъжностното лице по защита на лични данни на “КОНСЕНДО” ООД или Управителя.
Ал. 2 Управителят може да определи едно или повече лица по защита на личните данни, които отговарят за координиране и прилагане на мерките по защита на личните данни.
Чл. 17. Управителят или определеното от него лице имат следните задължения:
1. приемат, изменят и допълват настоящия Правилник за определяне на технически и организационни мерки и видовете защита на личните данни в организацията и осъществява контрол за спазването и изпълнението му;
2. инструктира лицата, които обработват лични данни по указание на “КОНСЕНДО” ООД;
3. осигурява организацията по водене на регистрите, прилагане на мерки за защитата им и актуализацията им;
4. извършва оценка на въздействието по чл.15;
5. уведомява КЗЛД за нарушение на сигурността на личните данни без ненужно забавяне по възможност не по-късно от 72 часа след узнаването и при спазване на изискванията на чл. 33 от Общия регламент относно защитата на данните и Закона за защита на личните данни;
6. съобщава на субекта на данните за нарушението на сигурността на личните му данни, когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на субекта;
7. определя длъжностното лице по защита на данните, в случай, че такова следва да бъде назначено в организацията съгласно изискванията на чл 37 от Общия регламент относно защитата на данните и Закона за защита на личните данни;
8. изисква и следи за спазванете на политиката на поверителност от обработващи лични данни;
9. изисква и следи за спазванете на правата на субектите на лични данни.
ПРАВА НА СУБЕКТИТЕ НА ДАННИ
Чл. 18 ал. 1 Субектът на данни има следните права по отношение на обработването на данни, както и на данните, които се записват за него:
1. Да отправя искания за потвърждаване дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните, както и информация кои са получателите на тези данни.
2. Да поиска копие от своите лични данни;
3. Да иска коригиране на лични данни когато те са неточни, както и когато не са вече актуални;
4. Да изиска изтриване на лични данни (право „да бъдеш забравен”);
5. Да иска ограничаване на обработването на лични данни доколкото е възможно, като в този случай данните ще бъдат само съхранявани, но не и обработвани;
6. Да направи възражение срещу обработване на негови лични данни;
7. Да направи възражение срещу обработване на лични данни, отнасящо се до него за целите на директния маркетинг, когато не е дал съгласие за това.
8. Да се обърне с жалба до надзорен орган ако смята, че някоя от разпоредбите на Общия регламент относно защитата на данните и Закона за защита на личните данни е нарушена;
9. Да поиска и да му бъдат предоставени личните данни в структуриран, широко използван и пригоден за машинно четене формат до колкото е технически приложимо и възможно;
10 Да оттегли съгласието си за обработката на личните данни по всяко време с отделно искане, отправено до длъжностното лице по защита на лични данни на “КОНСЕНДО” ООД;
Ал. 2. “КОНСЕНДО” ООД осигурява условия, които да гарантират упражняването на тези права от субекта на данни:
Ал. 3 “КОНСЕНДО” ООД предоставя на субектите на данни най-малко следната информация:
1. данните, които идентифицират администратора и координатите за връзка с него;
2. координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;
3. целите на обработването, за които са предназначени личните данни;
4. правото да бъде подадена жалба до комисията и нейните координати за връзка;
5. съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни и ограничаване на обработването на лични данни, свързано със субекта на данните.
Ал. 4 Освен информацията, посочена в ал. 3, “КОНСЕНДО” ООД предоставя на субекта на данните, в конкретни случаи и с цел да му се даде възможност да упражни правата си, следната допълнителна информация:
1. правното основание за обработването;
2. срока, за който ще се съхраняват личните данни, а ако това е невъзможно – критериите, използвани за определяне на този срок;
3. когато е приложимо, категориите получатели на личните данни, включително в трети държави или международни организации;
4. ако е необходимо, и друга допълнителна информация, по-специално в случаите, когато личните данни са събрани без знанието на субекта на данните.
Ал. 5 “КОНСЕНДО” ООД може да забави, да ограничи или да не предостави информация на субекта на данните, като се отчитат основните права и легитимните интереси на засегнатото физическо лице, за да:
1. не се допусне възпрепятстването на служебни или законово регламентирани проверки, разследвания или процедури;
2. не се допусне неблагоприятно засягане на предотвратяването, разкриването, разследването или наказателното преследване на престъпления или изпълнението на наказания;
3. се защити общественият ред и сигурност;
4. се защити националната сигурност;
5. се защитят правата и свободите на други лица.
След отпадане на съответното обстоятелство по ал. 5 исканата информация се предоставя без забавяне.
ВЪЗЛАГАНЕ ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ НА ОБРАБОТВАЩ
Чл. 19 ал. 1 “КОНСЕНДО” ООД може да възложи обработване на лични данни от негово име само на обработващи лични данни, които предоставят достатъчни гаранции, че ще прилагат подходящи технически и организационни мерки, по такъв начин че обработването да отговаря на изискванията на Общия регламент за защита на данните (Регламент (ЕС) 2016/679), на Закона за защита на личните данни, на подзаконовите нормативни актове по прилагането му, както и на настоящия правилник и да се гарантира защитата на правата на субекта на данни.
Ал. 2 Обработващият лични данни не може да добавя друг обработващ лични данни без предварителното конкретно или общо писмено разрешение на Управителя на “КОНСЕНДО” ООД.
Ал. 3 Обработването от страна на обработващия лични данни се урежда с договор, който обвързва обработващия лични данни и регламентира предмета и срока на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни, задълженията и правата на “КОНСЕНДО” ООД като администратор. Посоченият договор или друг правен акт предвижда по-специално, че обработващият лични данни:
1. действа единствено по указания на “КОНСЕНДО” ООД;
2. гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност;
3. подпомага “КОНСЕНДО” ООД с всички подходящи средства, за да се гарантира спазването на разпоредбите относно правата на субекта на данни;
4. по избор на “КОНСЕНДО” ООД заличава или връща всички лични данни след приключване на предоставянето на услуги по обработване на данни и заличава съществуващите копия, освен ако правото на Европейския съюз или законодателството на Република България не изисква съхранение на личните данни или се прецени че данните ще пазят с определена давност за юридически доказателства и цели предварително съгласувано със “КОНСЕНДО” ООД;
5. предоставя на “КОНСЕНДО” ООД цялата информация, необходима за доказване на спазването на настоящия член;
6. спазва условията по алинея 2 за включване на друг обработващ лични данни.
Ал. 4 Договорът се изготвя в писмена или електронна форма.
Ал. 5 Ако обработващ лични данни определи в нарушение на правилата на настоящата глава, целите и средствата на обработването, обработващият личните данни се счита за администратор по отношение на това обработване.
Ал. 6 Обработващият лични данни и всяко лице, действащо под ръководството на “КОНСЕНДО” ООД или на обработващия лични данни, което има достъп до личните данни, обработва тези данни само по указание на “КОНСЕНДО” ООД, освен ако обработването се изисква от правото на Европейския съюз или законодателството на Република България.
РАЗКРИВАНЕ НА ДАННИ
Чл. 20 ал. 1 “КОНСЕНДО” ООД не разкрива и предприема мерки, за да не бъдат разкривани от негови служители лични данни на неупълномощени трети страни, което включва членове на семейството, приятели, държавни органи, дори разследващи такива, ако има основателно съмнение, че не се изискват по установения ред. Всички служители, занимаващи се с обработка на лични данни се инструктират да бъдат предпазливи, когато им поискат да разкрият съхранявани лични данни за друго лице на трета страна. В случаи на съмнения и неяснота, следва да се обръщат към длъжностното лице за защита на лични данни на “КОНСЕНДО” ООД или Управителя.
Ал. 2. Всички искания от трети страни за предоставяне на данни трябва да бъдат подкрепени с подходяща документация и всички такива разкривания на данни трябва да бъдат специално разрешени от Управителя на “КОНСЕНДО” ООД или от Длъжностното лице за защита на данните, ако има назначено такова.
СЪХРАНЯВАНЕ И УНИЩОЖАВАНЕ НА ДАННИТЕ
Чл. 21 ал. 1 “КОНСЕНДО” ООД не съхранява лични данни във вид, който позволява идентифицирането на субектите за по-дълъг период отколкото е необходимо, по отношение на целите, за които са били събрани данните.
Ал. 2 Личните данни трябва да бъдат унищожени сигурно, съгласно принципа за гарантиране подходящо ниво на сигурност – включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки (принцип на цялостност и поверителност).
Ал 3 При получаване на лични данни по нерегламентиран и незащитен канал за комуникация, служителите на “КОНСЕНДО” ООД са задължени да унищожат получената информация и да уведомят (бланка с текст) за това лицето изпращащо данните, че личните данни са унищожени и не са приети от съображения за сигурност на информацията.
ТРАНСФЕР НА ДАННИ
Чл. 21 ал.1 Всеки износ на данни извън ЕС са незаконни, освен ако няма подходящо ниво на защита на основните права на субектите на данни, което се проверява и удостоверява от длъжностното лице за защита на личните данни.
Ал. 2 Прехвърлянето на лични данни извън ЕС е забранено, освен ако не се прилагат една или повече от гаранциите или изключенията, посочени в чл. 44-50 от Общия регламент.
Ал. 3 “КОНСЕНДО” ООД може да включи утвърдени стандартни договорни клаузи за защита на данните при прехвърляне на данни извън Европейското икономическо пространство, одобрени от КЗЛД с оглед автоматичното признаване на адекватността им.
Ал. 4 При липса на гаранциите, посочени в чл .44-48 от Общия регламент, прехвърляне на лични данни в трета страна или международна организация се извършва само при едно от следните условия:
• субектът на данните изрично се е съгласил с предложеното прехвърляне, след като е бил информиран за възможните рискове от такива прехвърляния;
• предаването е необходимо за изпълнението на договор между субекта на данните и администратора или за изпълнението на преддоговорни мерки, взети по искане на субекта на данните;
• предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта на данните между администратора и друго физическо или юридическо лице;
• предаването е необходимо поради важни причини от обществен интерес;
• предаването е необходимо за установяването, упражняването или защитата на правни претенции;
• предаването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на други лица, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;
• предаването се извършва от регистър, който съгласно правото на ЕС или правото на държавите членки е предназначен да предоставя информация на обществеността и е достъпен за справка от обществеността по принцип или от всяко лице, което може да докаже, че има законен интерес за това, но само доколкото условията за справка, установени в правото на Съюза или правото на държавите членки, са изпълнени в конкретния случай.
ДОПЪЛНИТЕЛНИ РАЗПОРЕДБИ
§ 1. По смисъла на този правилник:
„Личниданни“ – всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
„Специалникатегорииличниданни“ – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации и обработката на генетични данни, биометричните данни за уникално идентифициране на физическо лице, данни отнасящи се до здравето или данни относно сексуалния живот на физическо лице или сексуална ориентация.
„Обработване“ – означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
„Администратор“ – всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
„Субектнаданните“ – всяко живо физическо лице, което е предмет на личните данни съхранявани от Администратора;
„Съгласие“ – всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
„Нарушение на сигурността на лични данни“ – нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
„Получател“ – физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
„Третастрана“ – всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
„Регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;
„Надзорен орган“ означава независим публичен орган от държава членка наЕвропейския съюз, отговорен за наблюдението на прилагането на правилата за защита на личните данни, с които са въведени разпоредбите на Директива 2016/680 в съответното национално законодателство, с цел да се защитят основните права и свободи на физическите лица във връзка с обработването на лични данни и да се улесни свободното им движение в рамките на ЕС. За Република България надзорен орган е Комисията за защита на личните данни от този закон.
§ 2. Специализирани контакти във връзка със текущия правилник ЗзЛД и ОРЗД.
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Адрес: София 1592, бул. „Проф. Цветан Лазаров” № 2
Център за информация и контакти – тел. 02/91-53-518
Приемна – работно време 9:00 – 17:30 ч.
Електронна поща: kzld@cpdp.bg
Интернет страница: www.cpdp.bg
ЛИЦЕ ОТГОВАРЯЩО ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Адрес: гр. София, ул. Йордан Йосифов 8б, Офис 16А,
Телефон: 0885-809-760
Email: dpo@consendo.eu
§ 3. Допълнителни детайлни инструкции и разпоредби свързани с техническите и административно-организационните мерки, които трябва да бъдат спазвани и са допълнение към този правилник са: