ВЪТРЕШНИ ПРАВИЛА
ЗА МЕРКИТЕ И СРЕДСТВАТА ЗА ОБРАБОТВАНЕ И ЗАЩИТА НА ЛИЧНИ ДАННИ
НА ШУТИНГ СЪПОРТ ЕООД
ГЛАВА ПЪРВА
I. ОБЩИ ПОЛОЖЕНИЯ
Чл. 1. (1) С тези вътрешни правила се уреждат редът и условията за набиране, обработване, актуализация, съхраняване, предоставяне, трансфер и унищожаване на личните данни, както и мерките и средствата за тяхната защита.
(2) Настоящите правила се издават на основание Регламент (ЕС) 2016/679 и Закона за защита на личните данни (ЗЗЛД).
(3) Правилата се утвърждават, допълват, изменят и отменят от управителя на Шутинг съпорт ЕООД – администратор на лични данни (Администратор)
(4) Администраторът предоставя достъп до обработваните от него лични данни на физическите лица и на трети лица съобразно Регламент (ЕС) 2016/679 на ЕС и ЗЗЛд.
Чл.2. За целите на настоящите Правила понятията по-долу имат следното значение:
- „Лични данни” са всяка информация, отнасяща се до кандидати за работа, клиенти доставчици, изпълнители и служителите в Шутинг съпорт ЕООД, които са идентифицирани или чрез която същите могат да бъдат идентифицирани пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.
- „Обработване на лични данни” е всяко действие или съвкупност от действия, които Шутинг съпорт ЕООД извършва по отношение на личните данни с автоматични или неавтоматични средства (събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване и др.).
- „Администратор на лични данни” е Шутинг съпорт ЕООД, което самостоятелно или чрез възлагане на друго лице обработва лични данни.
- „Специфични признаци” са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.
- „Регистър на лични данни” е структурирана съвкупност от лични данни, достъпна по определени критерии съобразно вътрешните документи на Шутинг съпорт ЕООД, която може да бъде централизирана и децентрализирана и е разпределена на функционален принцип.
- „Съгласие на физическо лице” е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани.
ГЛАВА ВТОРА
II. ЦЕЛИ И ОБХВАТ НА ПРАВИЛАТА
Чл. 2. Настоящите Правила имат за цел да регламентират:
(1) механизмите за набиране, обработване, актуализация, съхраняване, предоставяне, трансфер и унищожаване на личните данни;
(2) задълженията на Администратора, лицата обработващи лични данни, длъжностното лице по защита на лични данни и тяхната отговорност при неизпълнение на тези задължения;
(3) правилата за разпределение на личните данни и групирането им в регистри и Правилата за работа с личните данни;
(4) необходимите технически и организационни мерки за защита личните данни от неправомерно обработване (случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни).
Чл. 3. Правилата са задължителни за всички лица имащи достъп до личните данни, обработвани за нуждите на администратора.
ГЛАВА ТРЕТА
III. ПРЕДНАЗНАЧЕНИЕ И ВИДОВЕ РЕГИСТРИ
Чл.4. (1) Шутинг съпорт ЕООД поддържа следните регистри:
- “Персонал”;
- “Клиенти”;
- 3. „Контрагенти“
(2) Създаването на нови регистри и извършването на промени се извършва със заповед на управителя на Администратора.
РЕГИСТЪР “ПЕРСОНАЛ”
Чл. 5. (1) Регистърът съдържа лични данни на:
- щатните служители в Шутинг съпорт ЕООД, назначени по трудово правоотношение;
- лицата, наети по граждански договори.
(2) Регистърът се води на основание КТ, КСО, ЗОДФЛ, ЗЗО и други нормативни актове.
Чл. 6. (1) Регистърът се води на хартиен и на електронен носител.
(2) Данните в регистъра, касаещи работници и служители по трудов договор, се съхраняват за срок от 50 (петдесет) години във връзка с нормативно установени срокове. Данните в регистъра, касаещи лица по граждански договори, се съхраняват за срок от 5 (пет) години във връзка с нормативно установени срокове. В случай, че друг нормативен акт изисква съхранението им за по-дълъг срок, то администраторът ще се съобрази с него.
(3) Обработващи лични данни за Регистър „Персонал” са: управителят и/или оправомощени лица, изпълняващи функции на счетоводство и ТРЗ и при спазване на принципа „Необходимост да се знае”.
(4) Право на достъп до регистъра имат само оправомощени по длъжност или с изрична заповед лица.
(5) Лица, обработващи лични данни, нямат право да разпространяват информация за личните данни, станали им известни при изпълнение на служебните им задължения.
Чл. 7. (1) Хартиените носители на лични данни се съхраняват в папки (лични досиета) за всеки служител или наето по граждански договор лице. Личните досиета се подреждат в специален картотечен шкаф, който се заключва.
(2) Картотечният шкаф се помещава в помещение, предназначено за самостоятелна работа на управителя на съответното стрелбище, на който с тези правила е възложено да бъде Обработващ на лични данни или на оправомощено за тази дейност лице, или в общо помещение за работа с изпълняващи други дейности при обективна невъзможност да се осигури самостоятелно помещение.
(3) Достъп до личните досиета имат само обработващите на лични данни, които заключват същите в картотечния шкаф след приключване на работа с тях, и/или напускане на помещението като в този случай заключват и самото помещение. Възможността за предоставяне на друго лице на достъп до личните данни при обработката им е ограничена и изрично регламентирана в тези правила.
Чл. 8. В регистъра се поддържат следните видове данни:
- Физическа идентичност – трите имена, ЕГН, данни от личната карта, постоянен адрес, месторождение, телефони за връзка
- Семейна идентичност – семейно положение, деца до 18 години.
- Образование – документ за придобито образование, квалификация правоспособност, и др.
- Трудова дейност – съгласно приложените документи за трудов стаж и професионална биография.
- Свидетелство за съдимост, когато се изисква за заемане на длъжността.
- 6. Медицински данни – карта за предварителен медицински преглед за постъпване на работа;
Чл. 9. Личните данни в регистър “Персонал” се набират при постъпване/възлагане на работа по трудово или гражданско правоотношение на дадено лице в изпълнение на нормативно задължение – разпоредбите на Кодекса на труда и подзаконовите нормативни актове за прилагането му, Кодекса за социално осигуряване, Закона за висшето образование и други по един от следните начини:
- Устно интервю с лицето (при постъпване или в процеса на работа).
- На хартиен носител – писмени документи – молби, заявления за постъпване/извършване на работа по трудово или гражданско правоотношение, за изменение или прекратяване на тези отношения, по текущи въпроси в процеса на работа, подадени от лицето.
- От външни източници (от съдебни, финансови, осигурителни, данъчни и други институции в изпълнение на нормативни изисквания).
Чл. 10. Във всички случаи, когато е необходимо на основание нормативно задължение, лицата, чиито данни задължително подлежат на обработка в регистъра, подават необходимите лични данни на администратора и на длъжностното лице, назначено за обработването им – обработващ на лични данни. За необходимостта от набиране на лични данни и целите, за които ще бъдат използвани, длъжностното лице/обработващ на личните данни информира лицето.
Чл. 11. Освен посочените лица и при посочените случаи, ограничен достъп до лични данни имат счетоводителите при обработване лични данни на лицата, относно изготвяне на разплащателни документи, свързани с преводи на възнагражденията на лицата, наети по трудови и граждански правоотношения по касов и банков път.
Чл. 12. При внедряване на нов програмен продукт за обработванена лични данни следва да се съставя нарочна комисия по тестване и проверка възможностите на продукта с оглед спазване изискванията на Закона за защита на личните данни и осигуряване максималната им защита от неправомерен достъп, загубване, повреждане или унищожаване.
РЕГИСТЪР “КЛИЕНТИ”
Чл. 13.(1) В регистър “Клиенти” се набират и съхраняват лични данни с цел индивидуализиране на физически лица, които ползват услугите предоставянеи от Шутинг съпорт ЕООД.
Чл. 14. (1) Регистърът се води на електронен и на хартиен носител.
(2) Срок за съхранение за регистър „Клиенти“ – данните се съхраняват за срок от 5 (пет) години, освен ако в нормативен акт, съдебен акт, договор или търговската практика не изискват друго
(3) Обработващи лични данни за регистър „Клиенти” са: изрично оправомощени служители на дружеството при спазване на принципа „Необходимост да се знае”.
(4) Право на достъп до регистъра имат само оправомощени по длъжност или с изрична заповед лица.
Чл. 15. (1) В регистър „Клиенти” се обработват лични данни относно:
- идентификационни данни (три имена, дата на раждане);
- данни за контакт (адрес, телефонен номер, електронна поща);
(2) Специални категории лични данни се събират и обработват, когато се окаже необходимо във връзка с предоставяните услуги. В такива случаи се иска изрично съгласие от субекта на данни. Единен граждански номер (ЕГН) се предоставя,когато е необходимо във връзка със сключването на договор за услуга между Шутинг съпорт ЕООД и клиента.
(3) Обработените на хартиен носител лични данни се съхраняват на хартия в шкафове със заключване в изолирано помещение. На сървър с парола за достъп се съхраняват личните данни на технически носител – твърд диск на един компютър.
(4) Достъп до личните досиета имат само обработващите на лични данни, които заключват същите в картотечния шкаф след приключване на работа с тях, и/или напускане на помещението като в този случай заключват и самото помещение. Възможността за предоставяне на друго лице на достъп до личните данни при обработката им е ограничена и изрично регламентирана в тези правила.
РЕГИСТЪР “КОНТРАГЕНТИ”
Чл. 16. В регистър “Контрагенти” се обработват лични данни на физически лица – контрагенти на дружеството и/или представители на контрагентите – юридически лица (доставчици, партньори, наемодатели и др.). Личните данни в Регистър „Контрагенти“ се обработват за целите на осъществяваната от администратора търговска дейност – за сключване и изпълнение на договори, директен маркетинг, финансова-счетоводна дейност и др. обусловени дейности.
Чл.17. В регистъра се обработват следните категории лични данни:
- За физическа идентичност: имена, ЕГН, адреси, телефон, ел. поща и др.
- За икономическа идентичност – обща банкова информация, информация за номер на банкова сметка.
- В случай, че страна по сключения с администратора облигационен или търговски договор е юридическо лице се обработват личните данни на представляващия дружеството, а именно имена, ЕГН, адреси, телефон, ел. поща и др.
Чл.18. (1) Данните в регистъра се обработват на хартиен и/или технически носител. На хартия в шкафове със заключване в изолирано помещение се съхраняват обработените на хартиен носител лични данни. На сървър с парола за достъп се съхраняват личните данни на технически носител – твърд диск на един компютър.
(2) Личните данни от регистъра се събират от физическите лица, за които се отнасят, и от публичните регистри.
(3) Данните в регистъра се съхраняват за срок от 5 (пет) години, освен ако в нормативен акт, съдебен акт, договор или търговската практика не изискват друго.
Чл.19. (1) Данните в регистъра се обработват от изрично оправомощени служители на дружеството при спазване на принципа „Необходимост да се знае”.
(2) Право на достъп до регистъра имат само оправомощени по длъжност или с изрична заповед лица.
(3) Лица, обработващи лични данни, нямат право да разпространяват информация за личните данни, станали им известни при изпълнение на служебните им задължения.
Водене на регистри на технически носител
Чл. 20. При водене на регистъра на технически носител се прилагат мерките за защита по чл. 37.
Задължения на лицето, отговарящо за водене и съхраняване на данните в регистрите
Чл. 21. Задълженията на лицето, отговарящо за водене и съхраняване на данните в регистъра (оправомощеното лице) включват набиране, обработване, актуализация и съхраняване на лични данни.
Периодично архивиране
Чл. 22. (1) Архивиране на личните данни на технически носител се извършва периодично от обработващия лични данни, с оглед запазване на информацията за съответните лица в актуален вид.
(2) Трайното съхраняване на документите, съсдържащи лични данни, се извършва на хартиен носител в помещения определени за архив, за срокове, съобразени с действащото законодателство. Помещенията, определени за архив, са оборудвани с пожарогасители и задължително се заключват. При актуализация на лични данни в досието на съответното лице се отразяват регистрационния номер на документа, източник на данните за актуализацията, дата на актуализацията. Актуализацията се извършва от администратора, лицето, отговорно за обработване на личните данни или от обработващия лични данни (външно счетоводство).
(3) След постигане на целите на съответното обработване, личните данни се унищожават физически чрез нарязване или изгаряне, за което се изготвят актови протоколи за унищожаване.
(4) Архивиране на личните данни на технически носител се извършва периодично на всеки месец от отговорника за обработване на лични данни с оглед запазване на информацията за съответните лица в актуален вид. Същото се извършва на USB, достъп до което има само отговорникът за обработване на лични данни. След изтичане на срока за съхранение всички носители на данни от регистрите се унищожават чрез подходящ метод, вкл. и изтриване на резервните електронни копия.
Контрол при обработване на личните данни
Чл. 23. Контролът върху дейностите по обработка на лични данни се осъществява от управителя.
Актуализация на лични данни
Чл. 24. (1) Актуализация на лични данни представлява допълнение или изменение на съществуваща информация в дружеството. Актуализация на лични данни се извършва:
- по искане на лицето, за което се отнасят личните данни, когато то е установило, че е налице грешка или непълнота в тях, и удостовери това с документ;
- по инициатива на обработващия лични данни – при наличие на документ, даващ основание за актуализация;
- при установена грешка при обработката на личните данни
(2) При актуализация на лични данни в досието на съответното лице се отразяват регистрационния номер на документа, източник на данните за актуализацията, дата на актуализацията. Актуализацията се извършва от лицето, обработващо личните данни.
ГЛАВА ЧЕТВЪРТА
IV. ОСИГУРЯВАНЕ НА ДОСТЪП НА ЛИЦАТА ДО ЛИЧНИТЕ ИМ ДАННИ
Чл. 25. (1) Всяко физическо лице, както и служителите в Шутинг съпорт ЕООД, има право на достъп до отнасящите се до него лични данни, обработвани от администратора.
(2) В случаите, когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, администраторът предоставя на съответното физическо лице достъп само за частта от данните, отнасяща се него.
(3) При упражняване на правото си на достъп физическото лице има право по всяко време да поиска от администратора на лични данни:
- потвърждение за това, дали отнасящи се до него данни се обработват, информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват;
- съобщение до него в разбираема форма, съдържащо личните му данни, които се обработват, както и всяка налична информация за техния източник.
(4) При смърт на физическото лице право на достъп до личните му данни имат неговите наследници.
Чл. 26. (1) Правото на достъп се осъществява с писмена молба до администратора на лични данни – Приложение 1.
(2) Молбата може да бъде отправена и по електронен път по реда на Закона за електронния документ и електронния подпис.
(3) Молбата по ал. 1 се отправя лично от физическото лице или от изрично упълномощено от него лице чрез нотариално заверено пълномощно.
Чл. 27. (1) Молбата по чл. 26 съдържа:
- трите имена, ЕГН/ЛНЧ/, адрес за контакт и телефон на заявителя;
- описание на искането;
- предпочитана форма за предоставяне на достъп до личните данни;
- подпис, дата на подаване на заявлението и адрес за кореспонденция.
(2) При подаване на молба от упълномощено лице, към същата се прилага и нотариално завереното пълномощно.
(3) При приемане на молбата, техническо лице извършва регистрация на същата в деловодната система на администратора.
Чл. 28. (1) Физическото лице може да поиска копие на обработваните лични данни на предпочитан носител или предоставянето им по електронен път, освен в случаите, когато това е забранено от закон.
(2) Администраторът на лични данни е длъжен да се съобрази с предпочитаната от молителя форма на предоставяне на информацията по чл.25, ал.3.
(3) Администраторът на лични данни предоставя исканата информация във форма, различна от заявената, когато:
- за исканата форма няма техническа възможност;
- исканата форма е свързана с необосновано увеличаване на разходите по предоставянето.
Чл. 29. (1) Администраторът на лични данни или изрично оправомощено от него лице разглежда молбата по чл. 26 и се произнася в 14-дневен срок от неговото постъпване.
(2) Срокът по ал. 1 може да бъде удължен от администратора до 30 дни в случаите, когато обективно се изисква по-дълъг срок за събирането на всички искани данни и това сериозно затруднява дейността на администратора.
(3) С решението си администраторът предоставя пълна или частична информация на заявителя или мотивирано отказва предоставянето й.
Чл. 30. Право на достъп до данните в поддържаните от администратора регистри на лични данни имат служителите в на Шутинг съпорт ЕООД – администратори на базите данни, служителите, на които е възложено приемането и обработването на лични данни върху хартиен и електронен носител (обработващите лични данни), както и служителите, за които служебните им функции налагат такъв достъп.
Чл. 31. Служителите в Шутинг съпорт ЕООД с оторизиран достъп до лични данни са длъжни да обработват същите законосъобразно и добросъвестно, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели, както и да ги поддържат във вид, който им позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които се обработват.
V. ДОСТЪП НА ТРЕТИ ЛИЦА ДО РЕГИСТРИТЕ СЪДЪРЖАЩИ ЛИЧНИ ДАННИ
Чл. 32. (1) Достъп до обработваните от администратора лични данни имат лицата, за които същия произтича от законово или договорно основание, както и органи по надзора или на съдебната власт (КЗЛД, съд, прокуратура, органи на МВР и др.). Достъпът на тези органи до личните данни на лицата е правомерен.
(2) Не се изисква съгласие на лицето, ако обработването на неговите лични данни се извършва само от или под контрола на компетентен държавен орган за лични данни, свързани с извършване на престъпления, на административни нарушения и на непозволени увреждания. На такива лица се осигурява достъп до личните данни, като при необходимост им се осигуряват съответни условия за работа в помещение на училището.
(3) Правомерен е и достъпът на ревизиращите държавни органи, надлежно легитимирали се със съответни документи – писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп до кадровите досиета на персонала или клиентите.
(4) Решението си за предоставяне или отказване достъп до лични данни за съответното лице администраторът съобщава на третите лица в 30-дневен срок от подаване на молбата, респ. искането.
ГЛАВА ПЕТА
ВИДОВЕ ЗАЩИТА НА ЛИЧНИ ДАННИ
VI. МЕРКИ ЗА ЗАЩИТА ПРИ ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ
Чл. 33. (1) С цел недопускането на неправомерен достъп, както и всички други незаконни форми на обработване на личните данни, администраторът организира и предприема мерки, съобразени със съвременните технологични постижения и рисковете, свързани с естеството на данните, които трябва да бъдат защитени.
(2) Видове защита:
- Физическа защита на личните данни представлява система от технически и организационни мерки за предотвратяване на нерегламентиран достъп до сгради, помещения и съоръжения, в които се обработват лични данни.
Като „помещения, в които се обработват лични данни“ се определят всички помещения, в които с оглед нормалното протичане на учебния и административния процес, се събират, обработват и съхраняват лични данни. Достъпът до тях е физически ограничен само за служители с оглед изпълнение на служебните им задължения, както и лицата натоварени със служебни ангажименти за поддръжката на нормалното функциониране на тези помещения. Последните нямат достъп до съхраняваните данни.
Основните приложими мерки за физическа защита – шкафове или картотеки, които могат да се заключват, ключалки (механични или електронни) за ограничаване на достъпа единствено до оторизираните лица; заключваеми шкафове и пожарогасителни средства.
- Персонална защита представлява система от организационни мерки спрямо физическите лица, които обработват лични данни по указание на администратора:
– Задължение на служителите да се запознаят с нормативната уредба в областта на защитата на личните данни и настоящата инструкция срещу подпис;
– Запознаване и осъзнаване на опасностите за личните данни;
– Забрана за споделяне на критична информация между персонала (напр. идентификатори, пароли за достъп и т.н.);
– Деклариране на съгласие за поемане на задължение за неразпространение на личните данни;
– Тренировка на персонала за реакция при събития, застращаващи сигурността на данните, в случай че спецификата на служебните задължения изисква подобно.
- Документална защита представлява система от организационни мерки при обработването на лични данни на хартиен носител:
– Определяне на регистрите, които ще се поддържат на хартиен носител;
– Определяне на условията за обработване на лични данни;
– Реграментиране на достъпа до регистрите;
– Определяне на сроковете за съхранение;
– Процедури за унищожаване.
- Защита на автоматизираните информационни системи представлява система от технически и организационни мерки за защита от незаконни форми на обработване на личните данни:
– Идентификацияи автентификация чрез използване на уникални потребителски акаунти и пароли за всяко лице, осъществяващо достъп до системата и ресурсите на Администратора;
– Управление на регистрите, съобразено с ограничаване на достъпа до съответния регистър единствено до лица, които са пряко натоварени и/или служебно ангажирани с неговото въвеждане, поддръжка и обработка;
– Управление на външни връзки и/или свързване;
– Забрана за пренос на данни от заразени компютри;
– Политика по създаване и поддържане на резервни копия за възстановяване;
– съхранение на личните данни съгласно нормативно определените срокове и съобразно спецификата и нуждите на Администратора.
- Псевдонимизация и криптиране.
Чл. 34. (1) При водене на регистри на технически носител се прилагат следните мерки за защита: личните данни се въвеждат на твърд диск, на изолиран компютър.
(2) Компютърът може да е свързан в локална мрежа, но със защитен достъп до личните данни, който е непосредствен само от страна на обработващите на лични данни. При работа с данните се използват софтуерни продукти по обработка на данните, адаптирани към специфичните нужди на администратора на лични данни.
(3) Компютрите се помещават в изолирано помещение за самостоятелна работа на обработващите на лични данни, а когато не е налице организационно-техническа възможност за това, компютрите могат да бъдат поставени в общо помещение за работа на обработващия лични данни с изпълняващи други дейности.
(4) Достъп до операционната система, съдържаща файлове за обработка на лични данни, имат само обработващите на лични данни чрез персонална парола за достъп до компютъра и чрез парола за отваряне на тези файлове, известна само на съответния служител, а в негово отсъствие – на прекия му ръководител или друг служител, изрично определен със заповед на директора.
(5) Предаването на лични данни по електронен път се извършва единствено чрез подписването им с универсален електронен подпис, положен от упълномощено за това лице или посредством криптиран канал. – Приложение 2.
(6) При възникнал инцидент (непредвидимо обстоятелство, което би могло да засегне сигурността на данните) системният администратор докладва на управителя за това и предлага нови мерки за защита на сигурността на информацията.
(7) Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поддържане на антивирусни програми, периодично архивиране на данните на външен носител, както и чрез поддържане на информацията на хартиен носител.
Чл. 35. (1) Администраторът създава механизми, позволяващи недвусмислено, персонализирано идентифициране на всеки служител, който се опитва да стартира и да получи достъп до информационната система и да установи дали всеки един служител е оторизиран.
(2) Администраторът задължително поставя ограничения на обхвата за повторни опити за получаване на неоторизиран достъп до информационната система. Администраторът създава система за регистриране на достъпа до регистрите, получавани и/или предавани на технически носител или по електронен път в локалната мрежа, която позволява прякото или косвеното идентифициране на вида данни, датата и времето, изпращащия, как са обработени получените/изпратените данни, както и получателя, който трябва да е надлежно оторизирано лице. Задължителната информация, която се регистрира е: идентичност на служителя; дата на достъп; регистърът, за който е получен достъп; вид на достъпа и кога достъпът е бил отказан.
(3) Извън информацията по ал. 1 администраторът регистрира и информация, която позволява да се идентифицира записът, до който е имал достъп служителят.
Чл. 36. (1) Всяко лице, желаещо да внесе документ съдържащ лични данни, предоставя същия в деловодството на Шутинг съпорт ЕООД.
Лицето приемащо документа е задължено да запознае вносителя на документите с правата му на субект на лични данни, както и с Вътрешните правила за тяхната обработка. Преди приемането му, вносителят попълва съответна Декларация по образец предоставена му от лицето приемащо документите за деклариране на предоставените лични данни и основанието, на което те се предоставят и ще се ползват. Лицето, приемащо документите има право да изиска от субекта на лични данни документа, доказващ истинността на предоставените лични данни, а при наличие на предвидена в закона възможност, да снима копие от този документ и да го приложи към декларацията.
(2) Внесените документи с лични данни се докладват на Управителя, който ги разпределя на лицата обработващи съответните лични данни.
(3) Лицата обработващи личните данни са задължени да предоставят личните данни в съответствие с разпореждането на управителя на Администратора.
(4) Лични данни се предоставят на трети лица само чрез управителя на Администратора.
(5) При предоставяне на личните данни за ползване от трети лица, те попълват декларация за задължението си да обработват личните данни съгласно Регламент 2016/679 и ЗЗЛД.
ГЛАВА ШЕСТА
VII. ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ОБРАБОТВАНИТЕ ЛИЧНИ ДАННИ
Чл.37. (1). Оценката на въздействието е процес за определяне нивата на въздействие върху конкретно физическо лице или група физически лица в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица при нарушаване на поверителността, цялостността или наличността на личните данни.
(2) Оценката на въздействието се извършва периодично на всеки две години или при промяна на характера на обработваните лични данни и броя на засегнатите физически лица.
Чл. 38. При оценката на въздействието администраторът отчита характера на обработваните лични данни, както следва:
- систематизиране и оценка на лични аспекти, свързани с дадено физическо лице (профилиране), за анализиране или прогнозиране, по-специално на неговото икономическо положение, местоположение, лични предпочитания, надеждност или поведение и др.
- данни, които разкриват расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели, или данни, които се отнасят до здравето, сексуалния живот или до човешкия геном;
- лични данни чрез създаване на видеозапис от видеонаблюдение на публично достъпни райони;
- лични данни в широкомащабни регистри на лични данни;
- данни, чието обработване съгласно решение на Комисията за защита на личните данни застрашава правата и законните интереси на физическите лица.
VIII. НИВА НА ВЪЗДЕЙСТВИЕ
Чл. 39. Определят се следните нива на въздействие:
- „Изключително високо” – в случаите, когато неправомерното обработване на лични данни би могло да доведе до възникване на значителни вреди или кражба на самоличност на особено голяма група физически лица или трайни здравословни увреждания или смърт на група физически лица;
- „Високо” – в случаите, когато неправомерното обработване на лични данни би могло да доведе до възникване на значителни вреди или кражба на самоличност на голяма група физически лица или лица, заемащи висши държавни длъжности, или трайни здравословни увреждания или смърт на отделно физическо лице;
- „Средно” – в случаите, когато неправомерното обработване на лични данни би могло да създаде опасност от засягане на интереси, разкриващи расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели, здравословното състояние, сексуалния живот или човешкия геном на отделно физическо лице или група физически лица;
- „Ниско” – в случаите, когато неправомерното обработване на лични данни би застрашило неприкосновеността на личността и личния живот на отделно физическо лице или група физически лица.
Чл. 40. (1) Администраторът извършва оценка на въздействие за всички поддържани регистри.
(2) Всеки отделен регистър се оценява по критериите поверителност, цялостност и наличност.
(3) Най-високото ниво на въздействие, определено по всеки от критериите по ал. 2, определя нивото на въздействие на съответния регистър.
Чл. 41. В зависимост от нивото на въздействие се определя и съответно ниво на защита.
Чл. 42. (1) Нивата на защита са ниско, средно, високо и изключително високо.
(2) Нивата на защита са, както следва:
- при ниско ниво на въздействие – ниско ниво на защита;
- при средно ниво на въздействие – средно ниво на защита;
- при високо ниво на въздействие – високо ниво на защита;
- при изключително високо ниво на въздействие – изключително високо ниво на защита.
Чл.43. Нива на защита за съответните регистри:
(1) За Регистър „Персонал” се определя степен на защита – „средно ниво”;
(2) За Регистър “Купувачи” се определя степен на защита – „ниско ниво”;
(3) За Регистър „Контрагенти” се определя степен на защита – „ниско ниво”;
ГЛАВА СЕДМА
IX. ПРОЦЕДУРИ ЗА ДОКЛАДВАНЕ И УПРАВЛЕНИЕ ПРИ ИНЦИДЕНТИ
Чл. 44. (1) При възникване и установяване на инцидент и/или нерегламентиран достъп, свързан с нарушаване защитата или загуба на лични данни, незабавно се докладва на управителя или лицето по защита на личните данни в Шутинг съпорт ЕООД, ако е назначено такова.
(2) За инцидентите се води регистър, в който задължително се вписват предполагаемото време или период на възникване, времето на установяване, времето на докладване и името на служителя, извършил доклада.
(3) След анализ, в регистъра се записват последствията от инцидента и мерките, които са предприети за отстраняването им.
(4) В случаите на необходимост от възстановяване на данни, процедурата се изпълнява след писменото разрешение на лицето по защита на личните данни, като това се отразява в регистър по архивиране и възстановяване на данни.
(5) В случаите на компрометиране на парола, тя се подменя с нова, като събитието се отразява в регистъра за инциденти.
X. ДЕЙСТВИЯ ЗА ЗАЩИТА ПРИ АВАРИИ, ПРОИЗШЕСТВИЯ И БЕДСТВИЯ
Чл. 45. Шутинг съпорт ЕООД предприема превантивни действия при защита на личните данни като съставя план за действие при различни случаи на форсмажорни събития, а именно:
- защита при аварии, независещи от училището – предприемат се конкретни действия в зависимост от конкретната ситуация;
- защита от пожари – незабавно гасене със собствени средства /пожарогасители/ и уведомяване на съответните органи;
- защита от наводенения – предприемат действия по ограничаване на разпространението,като се изпомпва вода или загребва със собствени подръчни средства.
XI. ОТГОВОРНОСТ
Чл. 46. За неизпълнение на задълженията, вменени на съответните оправомощени лица по тези Правила, по ЗЗЛД и по Регламент (ЕС) 2016/679, се налагат дисциплинарни наказания по Кодекса на труда, а когато неизпълнението на съответното задължение е констатирано и установено от надлежен орган – предвиденото в ЗЗЛД административно наказание, ако такава отговорност се предвижда по закон.
Чл. 47. (1) За вреди, причинени в резултат на незаконосъобразно обработване на лични данни от служители в Шутинг съпорт ЕООД, засегнатите лица могат да търсят отговорност от виновните лица по реда на общото гражданско законодателство или наказателна отговорност, ако извършеното представлява престъпление.
(2) Ако в резултат на незаконосъобразно обработване на лични данни, включително незаконното им разкриване или разпространение, са причинени щети на администратора на лични данни, на виновните лица се търси имуществена отговорност по Кодекса на труда .
Настоящите правила са утвърдени 2023 година.
За всички неуредени случаи се прилагат разпоредбите на Регламент 2016/679, ЗЗЛД и разпорежданията на управителя на Шутинг съпорт ЕООД – администратор на лични данни.
ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
За целите на настоящите правила:
- 1. “Администратор на лични данни” е Шутинг съпорт ЕООД представлявано от своя управител.
- 2. Контрола по изпълнението на настоящите вътрешни правила се възлага на управителя на Шутинг съпорт ЕООД.
- 4. Правилата са приети със Заповед на управителя на Шутинг съпорт ЕООД и влизат в сила от датата на приемането им.
- 6. Изменения и допълнения на тези правила се правят по реда на приемането им.
- 7. С настоящите Вътрешни правила да се запознаят срещу подпис всички служители на Шутинг съпорт ЕООД.
За всички неуредени случай се прилагат разпоредбите на Регламент 2016/678, ЗЗЛД и разпорежданията на управителя на Шутинг съпорт ЕООД.