cookie_icon
Използваме бисквитки за персонализиране и статистика. За повече информация посетете нашите условия за ползване.
Прочетох и се съгласявам
Начало Търсене
info@devetakiplateau.org /
Меню Търсене

Общи условия

Сподели в Facebook LinkedIn Twitter

ВЪТРЕШНИ ПРАВИЛА

на Сдружение „Деветашко плато”

за мерките за защита на личните данни съгласно Регламент 2016/679

 

I. Общи положения

Чл. 1. (1) Сдружение „Деветашко плато”, е юридическо лице,   с регистрация като Сдружение „Деветашко плато”, и

Данни за вписване в регистри:  Булстат 110574293

Седалище и адрес на управление: Област Ловеч; Община Летница, пощенски код 5570

Бул.“България“ № 19

Представител – Ива Йорданова Таралежкова – Председател на Управителния съвет

Лице за контакти: Ива Йорданова Таралежкова – Председател на Управителния съвет

Данни за кореспонденция:

област София, община Столична, пощенски код 1000,

Ул.“Христо Белчев“ № 3

Електронна поща (е-mail): taralezhkova@gmail.com

Уеб сайт: www.devetakiplateau.org

Телефон: 0888397432

Надзорен орган: Комисия за защита на личните данни, Адрес: гр. София 1592, бул. „Проф. Цветан Лазаров”№2, Уеб сайт: www.cpdp.bg

Нормативен акт, който урежда специфичната дейност на администратора: Закон за юридическите лица с нестопанска цел – дейност в обществена полза.

 (2) Сдружение „Деветашко плато” обработва лични данни във връзка със своята дейност и сама определя целите и средствата за обработването им. В този случай Сдружение „Деветашко плато” действа като администратор на лични данни.

   (3) В случаите, в които Сдружение „Деветашко плато” обработва лични данни за цели, определени самостоятелно от трето лице или целите са определени съвместно от Сдружение „Деветашко плато”и трето лице, Сдружение „Деветашко плато” има положението или на обработващ лични данни (ако целите са определени от лицето, което е възложило обработването) или на съадминистратор.

Чл. 2. Настоящите Вътрешни правила на Сдружение „Деветашко плато” уреждат организацията на обработване и защитата на лични данни на служителите, включително и на кандидатите за работа в Сдружение „Деветашко плато”, на контрагентите и партньорите на Сдружение „Деветашко плато”, както и на всички други групи физически лица, с които Сдружение „Деветашко плато” влиза в отношения при осъществяването на правомощията и дейността си.

Чл. 3. (1) „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни"); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

(2) „Обработване на лични данни“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

 (3) „Регистър с лични данни“ представлява всеки структуриран набор от лични данни, независимо от неговия вид и носител, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.

Чл. 4. (1) Сдружение „Деветашко плато” е администратор на лични данни по смисъла на чл. 4, т. 7 от Общия регламент относно защитата на данните (ЕС) 2016/679.

(2) Като администратор на лични данни, при обработването на лични данни Сдружение „Деветашко плато” спазва принципите за защита на личните данни, предвидени в Общия регламент относно защитата на данните (ЕС) 2016/679 и законодателството на Европейския съюз и Република България.

Чл. 5. (1) Принципите за защита на личните данни са:

  1. Законосъобразност, добросъвестност и прозрачност - обработване при наличие на законово основание, при полагане на дължимата грижа и при информиране на субекта на данни;
  2. Ограничение на целитесъбиране на данни за конкретни, изрично указани и легитимни цели и забрана за по-нататъшно обработване по начин, несъвместим с тези цели;
  3. Свеждане на данните до минимумданните да са подходящи, свързани със и ограничени до необходимото във връзка с целите на обработването;
  4. Точност – поддържане в актуален вид и предприемане на всички разумни мерки за гарантиране на своевременно изтриване или коригиране на неточни данни, при отчитане на целите на обработването;
  5. Ограничение  на съхранениетоданните да се обработват за период с минимална продължителност съгласно целите. Съхраняване за по-дълги срокове е допустимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или статистически цели, но при условие, че са приложени подходящи технически и организационни мерки;
  6. Цялостност и поверителностобработване по начин, който гарантира подходящо ниво на сигурност на личните данни, като се прилагат подходящи технически или организационни мерки;
  7. Отчетностадминистраторът носи отговорност и трябва да е в състояние да докаже спазването на всички принципи, свързани с обработването на лични данни.

(2) Ако конкретната цел или цели, за които се обработват лични данни от Сдружение „Деветашко плато”, не изискват или вече не изискват идентифициране на субекта на данните, Сдружение „Деветашко плато” не е задължено да поддържа, да се сдобие или да обработи допълнителна информация за да идентифицира субекта на данните, с единствена цел да докаже изпълнението на изискванията на Регламент 2016/679.

Чл. 6. Сдружение „Деветашко плато”  организира и предприема мерки за защита на личните данни от случайно или незаконно унищожаване, от неправомерен достъп, от изменение или разпространение както и от други незаконни форми на обработване на лични данни. Предприеманите мерки са съобразени със съвременните технологични достижения и рисковете, свързани с естеството на данните, които трябва да бъдат защитени.

Чл. 7. Сдружение „Деветашко плато”  прилага адекватна защита на личните данни, която включва:

  1. Физическа защита;
  2. Персонална защита;
  3. Документална защита;
  4. Защита на автоматизирани информационни системи и мрежи;
  5. Криптографска защита.

Чл. 8. (1) Личните данни се събират за конкретни, точно определени от закона цели, обработват се законосъобразно и добросъвестно и не могат да се обработват допълнително по начин, несъвместим с тези цели. По-нататъшното обработване на личните данни за целите на архивирането в обществен интерес, за научни, исторически изследвания или за статистически цели не се счита за несъвместимо с първоначалните цели.

(2) Личните данни се съхраняват на хартиен, технически и/или електронен носител, само за времето, необходимо за  изпълнение на правомощия, правни задължения на Сдружение „Деветашко плато” и/или нормалното му функциониране.

(3) Събирането, обработването и съхраняването на лични данни в регистрите на Сдружение „Деветашко плато” се извършва на хартиен, технически и/или електронен носител по централизиран и/или разпределен способ в помещения, съобразно с предвидените мерки за защита и оценката на подходящото ниво на сигурност на съответния регистър.

Чл. 9. Когато не са налице хипотезите на чл. 6, пар. 1, б. „б“ – „ е“ от Регламент 2016/679, физическите лица, чиито лични данни се обработват от Сдружение „Деветашко плато”, подписват декларация за съгласие по образец (Приложение № 1).

Чл. 10. (1) Право на достъп до регистрите с лични данни имат само органите на Сдружение „Деветашко плато”, съобразно възложените им от закона правомощия и оторизираните работници и служители на Сдружение „Деветашко плато”, както и обработващи лични данни, на които администраторът е възложил обработването на данни от съответния регистър при условията на чл. 28 от Общия регламент относно защитата на данните.

(2) Оторизирането на работници и служители се извършва на база длъжностна характеристика или чрез изричен акт на Председателя на Сдружение „Деветашко плато”.

 (3) Работниците и служители носят отговорност за осигуряване и гарантиране на регламентиран достъп до служебните помещения и опазване на регистрите, съдържащи лични данни. Всяко умишлено нарушение на правилата и ограниченията за достъп до личните данни от персонала може да бъде основание за налагане на дисциплинарни санкции по отношение на съответните работници и служители.

(4) Длъжностните лица нямат право да разпространяват информация за личните данни, станали им известни при и по повод изпълнение на служебните им задължения.

Чл. 11. (1) Документите и преписките, по които работата е приключила, се архивират.

(2) Трайното съхраняване за нуждите на архивирането на документи, съдържащи лични данни, се извършва на хартиен носител в помещения, определени за архив, за срокове, съобразени с действащото законодателство. Помещенията, определени за архив, са оборудвани с пожароизвестителни системи и пожарогасители, със системи за контрол на достъпа и задължително се заключват.

(3) Документите на електронен носител се съхраняват на специализирани сървъри, компютърни системи и/или външни носители на информация. Архивиране на личните данни на технически носител се извършва периодично от обработващия/оператора на лични данни с оглед запазване на информацията за съответните лица в актуален вид и с цел осигуряване на възможност за възстановяване, в случай на погиване на основния носител/система. Архивните копия се съхраняват на различно местоположение от мястото на компютърното оборудване, обработващо данните. Достъп до архивите имат само обработващият/операторът/ на лични данни и оторизираните длъжностни лица.

(4) Достъп до архивираните документи, съдържащи лични данни, имат единствено оторизираните лица и органите на Сдружение „Деветашко плато”съобразно възложените им  правомощия.

Чл. 12. (1) С оглед защита на хартиените, техническите и информационните ресурси всички служители са длъжни да спазват правилата за противопожарна безопасност.

Чл. 13. (1) При регистриране на неправомерен достъп до информационните масиви за лични данни, или при друг инцидент, нарушаващ сигурността на личните данни, служителят, констатирал това нарушение/инцидент, незабавно докладва за това на председателя на УС. Уведомяването за инцидент се извършва писмено, по електронен път или по друг начин, който позволява да се установи извършването му и да се спази изискването за уведомяване на Комисията за защита на личните данни в срок от 72 часа от узнаването за инцидента.

 (2) Процесът по докладване и управление на инциденти задължително включва регистрирането на инцидента, времето на установяването му, лицето, което го докладва, лицето, на което е бил докладван, последствията от него и мерките за отстраняването му.

Чл. 14. (1) След постигане целта на обработване на личните данни, съдържащи се в поддържаните от Сдружение „Деветашко плато” регистри, личните данни следва да бъдат унищожени при спазване на процедурите, предвидени в приложимите нормативни актове и в настоящите Вътрешни правила.

(2) В случаите, в които се налага унищожаване на носител на лични данни, се прилагат необходимите действия за заличаването на личните данни по начин, изключващ възстановяване данните и злоупотреба с тях, като:

               1. Личните данни, съхранявани на електронен носител и сървъри, се унищожават чрез трайно изтриване, вкл. презаписването на електронните средства или физическо унищожаване на носителите;

               2. Документите на хартиен носител, съдържащи данни, се унищожават чрез нарязване.

(3) Унищожаване се осъществява от служители, упълномощени с изричен писмен акт на Председателя на Сдружение „Деветашко плато”.

 (4) За извършеното унищожаване на лични данни и носители на лични данни се съставя Протокол, подписан от служителите.

Чл. 15. (1) Достъп на лица до лични данни се предоставя единствено, ако те имат право на такъв достъп, съгласно действащото законодателство, след подаване на заявление, респ. искане за достъп на информация, и след тяхното легитимиране.

(2) Решението си за предоставяне или отказване достъп до лични данни за съответното лице, Сдружение „Деветашко плато” съобщава в 1-месечен срок от подаване на заявлението, респ. искането.

(3) Информацията може да бъде предоставенa под формата на:

  1. устна справка;
  2. писмена справка;
  3. преглед на данните от самото лице;
  4. предоставяне на исканата информация на технически и/или електронен носител.

II. Мерки по осигуряване на защита на личните данни

Чл. 16. Физическата защита в Сдружение „Деветашко плато” се осигурява чрез набор от приложими технически и организационни мерки за предотвратяване на нерегламентиран достъп и защита на сградите и помещенията, в които се извършват дейности по обработване на  лични данни.

Чл. 17. (1). Основните технически мерки за физическа защита в Сдружение „Деветашко плато” включват:

  1. използване на сигнално-охранителна техника;
  2. Използване на ключалки и заключващи механизми;
  3. шкафове, метални каси,
  4. оборудване на помещенията с пожароизвестителни и пожарогасителни средства.

(2) Документите, съдържащи лични данни, се съхраняват в шкафове или картотеки, които могат да се заключват, като последните са разположени в зони с ограничен (контролиран) достъп. Ключ за шкафовете притежават единствено изрично натоварените лица (с изрична заповед или по силата на служебните им задължения и длъжностната характеристика).

(3) Оборудването на помещенията, където се събират, обработват и съхраняват лични данни, включва: сигнално-охранителна техника, ключалки (механични или електронни) за ограничаване на достъпа единствено до оторизираните лица; заключваеми шкафове и пожарогасителни средства.

(4) Пожароизвестителните средства и пожарогасителните средства се разполагат в съответствие с изискванията на приложната нормативна уредба.

Чл. 18. (1). Основните мерки за персонална защита на личните данни, приложими в Сдружение „Деветашко плато”, са:

  1. Задължение на служителите да преминат обучение и да се запознаят с нормативната уредба в областта на защитата на лични данни и настоящите Вътрешни правила, като преминатото обучение и инструктаж с правилата за защита на личните данни се удостоверява с подпис върху протокол за извършен инструктаж за защита на личните данни.
  2. Забрана за споделяне на критична информация (идентификатори, пароли за достъп и др.п..) между персонала и всякакви други лица, които са неоторизирани;
  3. Деклариране на съгласие за поемане на задължение за неразпространение на личните данни.

Чл. 19. (1). Основните мерки за документална защита на личните данни, са:

Определяне на регистрите, които ще се поддържат на хартиен носител - на хартиен носител се съхраняват всички лични данни, които изискват попълването им върху определени бланкови документи и/или формуляри, свързани с изпълнение на изисквания на действащото законодателство или пряко свързани с осъществяването на нормалната дейност на Сдружение „Деветашко плато”.

Определяне на условията за обработване на лични данни - личните данни се събират и обработват само с конкретна цел, пряко свързана с изпълнение на законовите задължения и/или нормалната дейност на Сдружение „Деветашко плато”

Регламентиране на достъпа до регистрите с лични данни – достъпът до регистрите с лични данни е ограничен и се предоставя само на упълномощените служители, в съответствие с принципа на „Необходимост да знае”;

Определяне на срокове за съхранение -  личните данни се съхраняват не по-дълго от колкото е необходимо, за да се осъществи целта, за която са били събрани или до изтичане на определения в действащото законодателство срок.

Процедури за унищожаване: Документите, съдържащи лични данни, сроковете за съхранение на които са изтекли и не са необходими за нормалното функциониране на Сдружение „Деветашко плато” или за установяването, упражняването или защитата на правни претенции, се унищожават по подходящ и сигурен начин (напр. изгаряне, нарязване, електронно изтриване и други подходящи за целта методи, съобразени с физическия носител на данните).

III. Базисни правила и мерки за осигуряване на защита на личните данни при компютърна обработка

Чл. 20. (1) Компютърен достъп към файлове, съдържащи лични данни, се осъществява само от длъжностни лица с регламентирани права, единствено от тяхното физическо работно място, от специално определения за целта компютър и след идентификация чрез име и парола към системата. При приключване на работното време служителите изключват локалния си компютър.   

(2) С цел повишаване сигурността на достъпа до информация служителите задължително променят използваните от тях пароли на определен от Сдружение „Деветашко плато” период, не по-дълъг от 12 месеца. В случай на отпадане на основанието за достъп до лични данни правата на съответните лица се преустановяват (вкл. и чрез изтриване на акаунта).

Чл. 21. (1) Използваният хардуер за съхранение и обработване на лични данни отговаря на съвременните изисквания и позволява гарантиране на разумна степен на отказоустойчивост, възможности за архивиране и възстановяване на данните и работното състояние на средата.

(2) При необходимост от ремонт на компютърната техника, предоставянето ѝ на сервизната организация се извършва без устройствата, на които се съхраняват лични данни.

Чл. 22. Служителите, на които е възложено да подписват служебна кореспонденция с квалифициран електронен подпис (КЕП), нямат право да предоставят издадения им КЕП на трети лица, респ. да споделят своя PIN с трети лица.

 

IV. Поддържани регистри с лични данни и тяхното управление

Чл. 23.Видове регистри:

  1. Регистър „Служители и Персонал“, в който се вписват следните видове лични данни:
    • Физическа идентичност – имена, паспортни данни (ЕГН, номер на лична карта, дата и място на издаване, адрес, телефон за връзка и други необходими за идентифициране на субекта на данни);
    • Социална идентичност – данни относно образование и допълнителна квалификация, трудова дейност и професионална биография;
    • Семейна идентичност – данни относно семейното положение на лицето;
    •  Икономическа идентичност – информация за номер на банкова сметка, данни относно имотното и финансово състояние на лицето, участието и/или притежаването на дялове или ценни книжа на дружества и други, изискуеми с оглед преценка на изискванията за съвместимост за съответната длъжност;
    • Лични данни относно съдебното минало на лицето (свидетелство за съдимост в зависимост от длъжността);
    • Данни за здравословно състояние – медицинско свидетeлство, данни, съдържащи се в болнични листове, представяни от самите служители като субекти на данните, решения на ТЕЛК/НЕЛК и др.п.
  2. Регистър “Проекти и партньори“, в който се вписват следните видове лични данни:
    • Физическа идентичност – имена, паспортни данни (ЕГН, номер на лична карта, дата и място на издаване, адрес, телефон за връзка и други необходими за идентифициране на субекта на данни);
    •  Икономическа идентичност – обща банкова информация, информация за номер на банкова сметка;
  3. Регистър „Членове на  Сдружение „Деветашко плато”“, в който се вписват следните видове лични данни:
    • Физическа идентичност – имена, паспортни данни (ЕГН, номер на лична карта, дата и място на издаване, адрес, телефон за връзка и други необходими за идентифициране на субекта на данни);
    • Икономическа идентичност – месторабота, длъжност, обща банкова информация, информация за номер на банкова сметка;
    • Лични данни относно съдебното минало на лицето (свидетелство за съдимост в зависимост от вида на преддоговорните отношения);
  4. Регистър „Жалби и сигнали“, в който се вписват следните видове лични данни:
    • Физическа идентичност – имена, паспортни данни (ЕГН, номер на лична карта, дата и място на издаване, адрес, телефон за връзка и други необходими за идентифициране на субекта на данни);
    • Социална идентичност – данни относно образование и допълнителна квалификация, трудова дейност и професионална биография;
    •  

V. Права и задължения на лицата, обработващи лични данни.

Чл. 24. (1) Длъжностно лице по защита на данните се определя от Председателя на УС.

(2) Длъжностно лице по защита на данните има следните правомощия и длъжностни задължения:

  1. следи за спазването на конкретните мерки за защита  и контрол на достъпа съобразно спецификата на водените регистри с лични данни;
  2. осъществява контрол по спазване на изискванията за защита на регистрите съобразно действащото законодателство и настоящите вътрешни правила;
  3. поддържа връзка с Комисията за защита на личните данни относно предприетите мерки и средства за защита на регистрите и подадените заявления за предоставяне на лични данни;
  4. контролира спазването на правата на потребителите във връзка с регистрите и програмно-техническите ресурси за тяхната обработка;
  5. следи за спазване на организационната процедура за обработване на личните данни, включваща време, място и ред при обработване, чрез регистрация на всички извършени действия с регистрите в компютърната среда;