ПРАВИЛА
ОТНОСНО МЕХАНИЗМА НА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ И ЗАЩИТАТА ИМ СРЕЩУ НЕЗАКОННИ ФОРМИ НА ОБРАБОТВАНЕ В
„…….” ООД (“Дружеството” и/или „Обработващия”)
Глава първа
ОБЩИ ПОЛОЖЕНИЯ
Чл. 1. Настоящите вътрешни правила за технически и организационни мерки и допустимия вид на защита на личните данни, наричани за краткост „Правилата“, уреждат организацията на обработване на лични данни на клиентите на „AI DESIGN CENTER“ ООД, ЕИК 201078000, както и тяхната защита.
Чл. 2. (1) Обработването на лични данни означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
Чл. 3. По отношение на личните данни на клиентите си Дружеството е обработващ на лични данни и като такова води Регистър „Клиенти“.
Чл. 4. (1) Лични данни са всяка информация, отнасяща се до физическо лице, което може да бъде идентифицирано, пряко или непряко чрез нея (например име, ЕГН, данни за местонахождение, онлайн идентификатор) или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице (пол, раса, етнически произход, политически убеждения, членство в синдикални организации, сексуална ориентация и др.).
(2) Личните данни се обработват на следните принципи:
(а) законосъобразност, добросъвестност и прозрачност;
(б) ограничение на целите – личните данни се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита за несъвместимо с първоначалните цели;
(в) свеждане на данните до минимум – събират се само лични данни ограничени до необходимото във връзка с целите, за които се обработват;
(г) ограничение на съхранението – личните данни са съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при условие че бъдат приложени подходящи технически и организационни мерки с цел да бъдат гарантирани правата и свободите на физическите лица, чиито данни се обработват;
(д) цялостност и поверителност – личните данни са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически и/или организационни мерки.
Чл. 5. Личните данни се събират за конкретни, точно определени цели, обработват се законосъобразно и добросъвестно и не могат да се обработват допълнително по начин, несъвместим с тези цели.
ВИДОВЕ РЕГИСТРИ.
Чл. 6. Видове регистри, водени от Дружеството. Цели, за които се използват съхраняваните в отделните регистри лични данни:
(1) В регистър „Клиенти“ се събират и съхраняват личните данни на клиентитена Дружеството с цел:
Чл. 7. Групи данни в регистрите:
(1) В регистър „Клиенти” се съхраняват следните видове лични данни:
1.1. Относно категория „Физическа идентичност“ на лицата: (три имена,), телефони за връзка, електронна поща, банкова сметка.
1.2. Относно категория „Социална идентичност“ на лицата, предоставяни на основание нормативно задължение и/или легитимен интерес.
1.4 Данни от здравословното състояние на служителите, когато се налага за сключване на договори за покупка или оказване на съдействие по изпълнението на договори за покупка
Чл. 8. Форми на водене на регистрите.
(1) Регистри, водени на технически носител:
1.1. Форма на организация и съхраняване на личните данни- Личните данни се съхраняват в специализиран софтуер.
1.2. Местонахождение на компютрите: намират се в офиса на фирмата
1..3. Достъп: сигурността на достъпа се осъществява чрез усилена метална врата и алармена инсталация, свързана със СОД.
2.4. Програмно-апаратни мерки за гарантиране нивото на сигурност. Специализирания софтуер осигурява индивидуален достъп с разпределение на ролите за ограничаването му до необходимото ниво за различните служители.
2.4.1. Мрежата, изградена в офисите на Дружеството се базира изключително на комуникационни устройства, които предоставят богат набор от възможности, свързани със сигурността на достъпа до информация;
2.4.2. Работните станции, свързани в тази вътрешна мрежа са преминали през допълнително обработване – заличаване на данните, които не са необходими на съответните обработващи лични данни, и ограничаване на възможността за поставяне на USB флаш, сваляне на информация на друг вид носители на данни, инсталиране на софтуер и т.н., посредством което е минимизиран рискът от изтичане на информация.
Глава трета
ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
Чл. 9. Събиране на лични данни:
(2) Личните данни в регистър „Клиенти” могат да се събират и чрез попълване на необходимите форми в портала за онлайн продажби на дружеството.
(3) Обработващият лични данни задължително информира лицето, чиито данни се събират за необходимостта от събиране на лични данни и целите, за които ще бъдат използвани, на кого ще се предоставят и срока за обработването им.
(4) На основание принципа за точност на обработваните лични данни, при необходимост от поправка на личните данни, лицата предоставят на Администратора и/или обработващия лични данни коригираните си лични данни по негово искане. Коригирането на личните данни на субекта на данните може да се извършва и по негово искане с подаването на декларация в свободен текст до Администратора/обработващия.
Чл. 10. (1) Дружеството не възлага обработването на личните данни на клиентите си на трети лица.
Чл. 11. Лицата, обработващи личните данни във водения от Обработващия регистър „Клиенти“ са служители на Дружеството, на които са възложени действия по обслужване на клиентите, изготвяне на договори, проверка на договори, писмена кореспонденция с клиентите;
Глава четвърта
ЗАЩИТА НА ЛИЧНИТЕ ДАННИ. ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА.
Чл. 12. Осигуряване на достъп на лицата до личните им данни:
(1) Всяко физическо лице има право на достъп до отнасящи се за него лични данни. В случаите, когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, Обработващият е длъжен да предостави на съответното физическо лице достъп до частта от тях, отнасяща се само за него.
(2) Клиентите, имат право на достъп до личните си данни, които се съхраняват в Дружеството. За целта лицата подават писмено заявление до Дружеството, в това число и по електронен път по реда на Закона за електронния документ и електронния подпис.
(3) Заявлението съдържа име на лицето, адрес и други данни, които го идентифицират – три имена и ЕГН, описание на искането, предпочитана форма за предоставяне достъпа до лични данни, подпис, дата и адрес за кореспонденция, а когато заявлението се подава от упълномощено лице и нотариално заверено пълномощно. Заявлението се завежда в общия входящ регистър на Дружеството.
(4) При получаване на заявление за достъп до собствени на заявителя лични данни, представляващият Дружеството или упълномощено от него лице разглежда заявлението за достъп. Срокът за разглеждане на заявлението и произнасяне по него е от 1 до 3 месеца от деня на подаване на искането. Обработващият предприема необходимите мерки за предоставяне на информация, която се отнася до обработването на лични данни на заявителя в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства.
(5) Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение, което отново се съобщава на заявителя по реда на предходното изречение.
(6) Администраторът предоставя на заявителя следната информация:
6.1. данните, които идентифицират Обработващия и координатите за връзка с него, и когато е приложимо, тези на представителя на Администратора
6.2. координатите за връзка с длъжностното лице по защита на личните данни, когато е приложимо;
6.3. целите на обработването, за което личните данни са предназначени, както и правното основание за тяхното обработване;
6.4. съответните категории лични данни на заявителя, които се обработват от Обработващия;
6.5. получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави по смисъла на Регламента или международни организации, както и техните гаранции за защита;
6.6. когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
6.7. съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със заявителя, както и правото да се направи възражение срещу такова обработване;
6.8. Правото на жалба до Комисията за защита на личните данни.
6.9. Съществуването на автоматизирано вземане на решения относно субекта на личните данни, включително профилиране, и съществената информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните;
6.10. Когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник.
(7) Обработващият се задължава да съобщава за всяко коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. Обработващият информира субекта на данните относно тези получатели, ако субектът на данните поиска това.
Чл. 13. Достъп на трети лица до лични данни на клиенти на Дружеството.
Чл. 14. (1) Предоставянето на лични данни в държава – членка на Европейския съюз, както и в друга държава – членка на Европейското икономическо пространство, се извършва при спазване на изискванията на действащото европейско и национално законодателство.
(2) Предоставяне на лични данни в трета държава извън тези по ал.1. се допуска само ако тя осигурява адекватно ниво на защита на личните данни на своя територия.
Чл. 15. Срок за съхраняване на личните данни:
(б) счетоводни регистри и финансови отчети, включително документи за данъчен контрол, одит и последващи финансови инспекции – 10 г., считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят (чл. 12, ал. 1, т. 2 от ЗСч.);
(в) всички останали носители на счетоводна информация – 3 г., считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят (чл. 12, ал. 1, т. 3 от ЗСч.);
Под отчетен период следва да се има предвид определението му, дадено в пар. 1, т. 14 от Допълнителните разпоредби на Закона за счетоводството, а именно: календарната година (1 януари – 31 декември).
Чл. 16. Периодично архивиране – архивиране на личните данни на технически носител се извършва периодично всяка седмица от обработващия лични данни с оглед запазване на информацията за съответните лица в актуален вид. Същото се извършва на надеждни оптични носители (CD-носители, USB-флашки и др.), достъп до които има само обработващият съответните лични данни
Чл. 17. (1) Дружеството се задължава, в случай на постъпила молба от физическо лице, чийто лични данни се обработват от Обработващия, да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:
(2) Обработващият има право да откаже извършването на действията по ал.1, ако обработването е необходимо:
Чл. 18. (1) Преносимост на данните: Субектът на данните има право да получи личните данни, които той е представил на Обработващия, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от Обработващия, на когото е предоставил личните данни, когато:
(a) Обработването е основано на съгласието на субекта на данни или на договорно задължение;
(б) Обработването се извършва по автоматизиран начин.
(2) Когато субектът упражнява правото си на преносимост на данните по ал.1, то той има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.
Чл. 19. (1) В случай на нарушение на сигурността на личните данни, Обработващият, без ненужно забавяне, но не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни Комисията за защита на личните данни („КЗЛД“), освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Ако уведомлението до КЗЛД не е подадено в срок от 72 часа от нарушението, Обработващият трябва да съобщи и причините за забавянето.
(2) Уведомлението съдържа най-малко следната информация:
(3) В случаите, когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Обработващият, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни. Съобщението следва да бъде дадено на ясен и прост език, да дава информация за естеството на нарушението на сигурността на личните данни и да съдържа най-малко информация относно:
(4) Задължението на Обработващия за уведомяване на субекта на личните данни по ал.3 не се прилага, в случай че е налице едно от следните условия:
Чл. 20. Обработващият има задължение да извърши оценка на въздействието съгласно изискванията на Регламент 679/2016 ЕС, в случай че обработваните от него лични данни биха могли да породят висок риск за правата и свободите на физическите лица. Оценка на въздействие е процес за определяне нивата на въздействие върху конкретно физическо лице или група физически лица, в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица при нарушаване на поверителността, целостта или наличността на личните данни. Оценката на въздействието се извършва периодично на всеки две години, а при промяна на характера на обработваните лични данни или броя на засегнатите физически лица, оценката на въздействието може да бъде извършвана и по-рано.
Чл. 21. (1) Обработващият въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването, като това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. Подобни мерки гарантират, че по подразбиране без намеса от страна на субекта неговите лични данни не са достъпни за неограничен брой физически лица.
(2) При внедряване на нов програмен продукт за обработване на лични данни ръководният орган на Дружеството назначава нарочна комисия по тестване и проверка възможностите на продукта с оглед спазване изискванията на европейското и национално законодателство в тази връзка и осигуряване максималната им защита от неправомерен достъп, загубване, повреждане или унищожаване на личните данни.
Чл. 22. Настоящата инструкция се свежда до знанието на всички служители на Дружеството, както и до назначените по граждански договор лица. За неизпълнение на задълженията по тази инструкция и действащото към съответния момент национално и европейско законодателство за защита на личните данни, съответните лица носят дисциплинарна и имуществена отговорност.
AIDesign Center © 2024 All rights reserved.