НАЦИОНАЛЕН ДАРИТЕЛСКИ ФОНД
„13 ВЕКА БЪЛГАРИЯ“
===========================================
УТВЪРДИЛ:
ПРЕДСЕДАТЕЛ НА УПРАВИТЕЛНИЯ СЪВЕТ:
……………………………..
Боил Банов
Министър на културата
ВЪТРЕШНИ ПРАВИЛА
НА НАЦИОНАЛЕН ДАРИТЕЛСКИ ФОНД
„13 ВЕКА БЪЛГАРИЯ“
ЗА МЕРКИТЕ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
СЪДЪРЖАНИЕ
I. OБЩИ ПОЛОЖЕНИЯ
II. OБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ
III. МЕРКИ НА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
IV. СЪХРАНЕНИЕ НА ЛИЧНИТЕ ДАННИ
V. ПРЕДАВАНЕ НА ЛИЧНИТЕ ДАННИ НА ТРЕТИ ЛИЦА
VI. ДЕЙСТВИЯ ПРИ ЗАПЛАХА ЗА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ
VII. УНИЩОЖАВАНЕ НА ЛИЧНИТЕ ДАННИ
VIII. ПРАВА НА СУБЕКТИТЕ НА ДАННИТЕ
IX. ОСОБЕНИ ПРАВИЛА ЗА СУБЕКТИТЕ НА ДАННИ, НЕНАВЪРШИЛИ ШЕСТНАДЕСЕТ ГОДИНИ И ЗА ЗАПРЕТЕНИТЕ ЛИЦА
X. БАЗИСНИ ПРАВИЛА И МЕРКИ ЗА ОСИГУРЯВАНЕ НА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ ПРИ КОМПЮТЪРНА ОБРАБОТКА
XI. ПОДДЪРЖАНИ РЕГИСТРИ С ЛИЧНИ ДАННИ И ТЯХНОТО УПРАВЛЕНИЕ
XII. ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ. ПРАВА И ЗАДЪЛЖЕНИЯ НА ОБРАБОТВАЩИЯ ЛИЧНИ ДАННИ И НА СЛУЖИТЕЛИТЕ, КОИТО ОБРАБОТВАТ ЛИЧНИ ДАННИ
XIII. ДОПЪЛНИТЕЛНИ РАЗПОРЕДБИ
I. ОБЩИ ПОЛОЖЕНИЯ
1. ДАННИ ЗА АДМИНИСТРАТОРА
Чл.1.(1) Национален дарителски фонд „13 века България“ е юридическо лице, регламентирано със Закон за Националния дарителски фонд „13 века България“ (обн. ДВ бр.12 от 9 Февруари 2001г.), със седалище в град София, СО, р-н „Лозенец“, пл. „Проф. Васил Геров“, №1, с Код по Булстат 000675001, представляван от изпълнителен директор, който е избран от Министерски съвет за срок от 4 години, наричан по долу „Администраторът“, „Фондът“ или „НДФ „13 века България““.
Чл.2.(1) Фондът обработва лични данни във връзка със своята дейност и сам определя целите и средствата за обработването им. В този случай НДФ „13 века България“ действа като Aдминистратор на лични данни по смисъла на чл. 4, т. 7 от Общия регламент относно защитата на данните (ЕС) 2016/679.
Чл.3.(1) Като администратор на лични данни, при обработването на лични данни Фондът спазва принципите за защита на личните данни, предвидени в Общия регламент относно защитата на данните (ЕС) 2016/679 и законодателството на Европейския съюз и Република България.
2. ОБХВАТ И ДЕЙСТВИЕ НА ВЪТРЕШНИТЕ ПРАВИЛА
Чл.4.(1) Настоящите Вътрешни правила на Фонда уреждат организацията по обработване и защитата на лични данни на клиентите на Фонда, включително и на кандидатите за работа в НДФ „13 века България“, на контрагентите и партньорите на Фонда, както и на всички други групи физически лица, с които Администраторът влиза в отношения при осъществяването на дейността си.
Чл.5.(1) Настоящите правила са задължителни за всички служители на Фонда. Обработващите лични данни от името на НДФ „13 века България“ задължително се запознават с настоящите правила и се задължават да ги спазват. Същото задължение съществува и по отношение на лицата, сключили граждански договори с Администратора (договори за изработка, услуга и др.), които, без да са обработващи, имат или би било възможно да имат досег с лични данни, обработвани от Фонда. Настоящите правила, както и всички изменения по тях се регламентират с решение на УС на Фонда и се свеждат незабавно до знанието на всички служители в НДФ „13 века България“.
3. ДЕФИНИЦИИ
Чл.6.(1) „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни”); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
Чл.7.(1) „Специални категории лични данни“ са лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице. Към специалните категории лични данни се включват и тези, свързани с присъди и нарушения и свързаните с тях мерки за сигурност.
Чл.8.(1) „Обработване на лични данни“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
Чл.9.(1) „Регистър с лични данни“ представлява всеки структуриран набор от лични данни, независимо от неговия вид и носител, достъпът до който се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.
4. ПРИНЦИПИ НА ЗАЩИТА НА ЛИЧНИТЕ ДАНИИ
Чл.10.(1) Принципите за защита на личните данни са:
– Законосъобразност, добросъвестност и прозрачност – обработване при наличие на законово основание, при полагане на дължимата грижа и при информиране на субекта на данни;
– Ограничение на целите – събиране на данни за конкретни, изрично указани и легитимни цели и забрана за по-нататъшно обработване по начин, несъвместим с тези цели;
– Свеждане на данните до минимум – данните да са подходящи, свързани със и ограничени до необходимото във връзка с целите на обработването;
– Точност – поддържане в актуален вид и предприемане на всички разумни мерки за гарантиране на своевременно изтриване или коригиране на неточни данни, при отчитане на целите на обработването;
– Ограничение на съхранението – данните да се обработват за период с минимална продължителност съгласно целите. Когато нормативен акт предвижда определен период на съхранение, следва срокът да се прилага.
– Цялостност и поверителност – обработване по начин, който гарантира подходящо ниво на сигурност на личните данни, като се прилагат подходящи технически или организационни мерки;
– Отчетност – Администраторът носи отговорност и трябва да е в състояние да докаже спазването на всички принципи, свързани с обработването на лични данни.
Чл.11.(1) Ако конкретната цел или цели, за които се обработват лични данни от Фонда, не изискват или вече не изискват идентифициране на субекта на данните, НДФ „13 века България“ не е задължено да поддържа, да се сдобие или да обработи допълнителна информация, за да идентифицира субекта на данните, с единствена цел да докаже изпълнението на изискванията на Регламент 2016/679.
II. ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ
1. КАТЕГОРИИ ЛИЧНИ ДАННИ, КОИТО СЕ ОБРАБОТВАТ
Чл.12.(1) Във връзка със своята дейност, НДФ „13 века България“ регулярно обработва лични данни на своите служители, бенефициенти, контрагенти, изпълнители по определени облигационни правоотношения, както и на всички други групи физически лица, с които Администраторът влиза в отношения при осъществяването на дейността си.
(2) По отношение на бенефициенти, контрагенти, изпълнители по определени облигационни правоотношения, както и на всички други групи физически лица се обработват следните лични данни: три имена, адрес – за кореспонденция, телефон, електронна поща, ЕГН.
(3) По отношение на служителите се обработват следните лични данни: три имена, адрес – за кореспонденция, телефон, електронна поща, ЕГН.
(4) Специални категории лични данни не се обработват регулярно. По отношение на служителите е допустимо обработването на лични данни, свързани с присъди и нарушения (данни от свидетелство за съдимост), но само когато законово изискване налага това, както и данни, свързани със здравословното състояние, единствено с цел упражняване на трудовите и социални права (данни от болничен лист или удостоверение от ТЕЛК). Също така, по отношение на служителите, е допустимо воденето на регистър на присъствията, от който да са видни часът на пристигане и часът на напускане на служителя, с оглед съблюдаване на трудовата дисциплина.
2. ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ НА БЕНЕФИЦИЕНТИ, КОНТРАГЕНТИ, ИЗПЪЛНИТЕЛИ ПО ОПРЕДЕЛЕНИ ОБЛИГАЦИОННИ ПРАВООТНОШЕНИЯ, КАКТО И НА ВСИЧКИ ДРУГИ ГРУПИ ФИЗИЧЕСКИ ЛИЦА СВЪРЗАНИ С ДЕЙНОСТТА НА ФОНДА
Чл.13.(1) Личните данни на лицата, подробно изброени в чл. 12, ал.1 от настоящите правила, се обработват с цел изпълнение на всякакви сключени договори, включително допълнителните задължения, които възникват при доставки (например, фактури).
(2) Поради горното, правното основание, на което се обработват личните данни, са договорите и преддоговорните отношения (чл. 6, пар. 1, б. „б“ от Регламента).
(3) Обработването на лични данни започва от момента, в който възникне основание за сключване на договор независимо от желанието за сключване на определения договор.
(4) От първия момент, в който това е възможно, на конкретното физическо лице се предоставя писмен документ – декларация за информираност, в който се предоставят данните на Фонда като Администратор на лични данни, основните права на клиента като Субект на данни и др., съгласно чл. 13 от Регламента. Отделно, същата информация е достъпна на интернет страницата на НДФ „13 века България“.
(5) Поначало Фондът не обработва лични данни, които не са получени от самия субект. Ако все пак е налице такъв случай, то, при условията на чл. 14 от Регламента, се предоставя информацията съгласно същия член.
(6) Вън от горното и ако обстоятелствата налагат личните данни да бъдат използвани за други цели, това може да бъде направено само след изричното писмено съгласие на конкретното физическо лице във формата на декларация, отговаряща на изискванията на чл. 7 от Регламента. Същото може да бъде оттеглено по всяко време също толкова лесно, колкото може да бъде дадено. Това право изрично се посочва на клиента. Съгласието следва да бъде свободно дадено, конкретно, информирано и недвусмислено заявено. Ако данните се обработват за няколко отделни цели, съгласието се дава за всяка отделна цел, като на субекта се предоставя възможност да даде съгласие само за някои от тях.
(7) Не могат да бъдат обработвани специални категории лични данни единствено на основание изрично писмено съгласие.
3. ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ НА СЛУЖИТЕЛИ
Чл.14.(1) Личните данни на служители се обработват с цел правомерно спазване на правата и задълженията по трудовото правоотношение.
(2) Специални категории лични данни – такива, свързани с присъди и нарушения (данни от свидетелство за съдимост), както и данни, свързани със здравословното състояние (данни от болничен лист или удостоверение от ТЕЛК) се обработват единствено с цел упражняване на трудовите и социални права и спазване на трудовото законодателство. Данните, свързани с присъди и нарушения, се събират само когато нормативен акт го изисква. Данни, свързани със здравословното състояние, се събират само когато това е необходимо за упражняване на правата на служителя (отпуск поради временна неработоспособност, бременност и майчинство, трудоустрояване, закрила при уволнение).
(3) Обработването на лични данни на служител започва от момента, в който същият е предоставил съответните документи за сключване на трудов договор. Когато се провежда кампания за набиране на служители и съответно се провеждат интервюта е допустимо обработването на лични данни на по-ранен етап – при получаването на автобиографии и мотивационни писма.
(4) Поради горното, правното основание, на което се обработват личните данни на служители, са договорът и преддоговорните отношения (чл. 6, пар. 1, б. „б“ от Регламента). Специалните категории лични данни, посочени по-горе, се обработват на основание чл. 9, пар. 2, б. „б“ от Регламента). Когато се провежда кампания по набиране на служители и се събират автобиографии и мотивационни писма, правното основание е изричното писмено съгласие на кандидата (чл. 6, пар. 1, б. „а“ от Регламента). Това може да бъде оттеглено по всяко време също толкова лесно, колкото може да бъде дадено. Това право изрично се посочва на кандидата. Не могат да бъдат обработвани специални категории лични данни дори и на основание изрично писмено съгласие на кандидата.
(5) От първия момент, в който това е възможно, на новоназначения служител или кандидата за служител се предоставя писмен документ – декларация за информираност, в който се предоставят данните на Фонда като Администратор на лични данни, основните права на клиента като Субект на данни и др., съгласно чл. 13 от Регламента. Отделно, същата информация е достъпна на интернет страницата на НДФ „13 века България“.
III. МЕРКИ НА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
1. ОБЩИ ПОЛОЖЕНИЯ ПРИ МЕРКИТЕ НА ЗАЩИТА
Чл.15.(1) Фондът организира и предприема мерки за защита на личните данни от случайно или незаконно унищожаване, от неправомерен достъп, от изменение или разпространение, както и от други незаконни форми на обработване на лични данни. Предприеманите мерки са съобразени със съвременните технологични достижения и рисковете, свързани с естеството на данните, които трябва да бъдат защитени.
2. ВИДОВЕ МЕРКИ НА ЗАЩИТА
Чл.16.(1) Администраторът прилага адекватна защита на личните данни, която включва:
1. Физическа защита;
2. Персонална защита;
3. Документална защита;
4. Защита на автоматизирани информационни системи и мрежи;
5. Криптографска защита;
6. Други мерки
3. ФИЗИЧЕСКА ЗАЩИТА
Чл.17.(1) Физическата защита се осигурява чрез набор от приложими организационни и технически мерки за предотвратяване на нерегламентиран достъп и защита на сградите и помещенията, в които се извършват дейности по обработване на лични данни.
4. ОРГАНИЗАЦИОННИ МЕРКИ ЗА ФИЗИЧЕСКА ЗАЩИТА
Чл.18.(1) Основните организационни мерки за физическа защита включват:
1. Определяне на помещенията, в които ще се обработват лични данни;
2. Определяне на помещенията, в които ще се разполагат елементите на комуникационно-информационните системи за обработване на лични данни;
3. Определяне на организацията на физическия достъп.
(2) Като помещения, в които ще се обработват лични данни, се определят всички помещения, в които, с оглед нормалното протичане на работния процес, се събират, обработват и съхраняват лични данни. Достъпът до тях е физически ограничен и контролиран – само за служители с оглед изпълнение на служебните им задължения и ако мястото им на работа или длъжностната им характеристика позволява достъп до съответното помещение и съответния регистър с лични данни. Когато в тези помещения имат достъп и външни лица, в помещенията се обособява „непублична“ част, в която се извършват дейностите по обработване на лични данни, която е физически ограничена и достъпна само за служители, на които е необходимо да имат достъп с оглед изпълнението на служебните им задължения, и „публична част“ – до която имат достъп външни лица и в която не се извършват дейности по обработване, включително не се съхраняват данни, независимо от техния носител.
(3) Комуникационно-информационните системи, използвани за обработка на лични данни, се разполагат в специални физически защитени помещения или защитени шкафове, достъпът до които е ограничен само до тези служители, които за изпълнение на служебните си задължения се нуждаят от такъв достъп до данните, както и лицата, натоварени със служебни ангажименти за поддръжката на нормалното функциониране на тези системи. Последните нямат достъп до съхраняваните в електронен вид данни.
(4) Организацията на физическия достъп до помещения, в които се извършват дейности по обработка на лични данни, е базирана на ограничен физически достъп (на база заключващи системи и механизми) до зоните в обекта с ограничен достъп, включително и тези, в които са намират информационните системи. Достъп се предоставя само на служителите, на които той е необходим, за изпълнение на служебните им задължения.
(5) Зони с контролиран достъп са всички помещения на територията на Фонда, в които се събират, обработват и съхраняват лични данни.
(6) Използваните технически средства за физическа защита на личните данни в НДФ „13 века България“ са съобразени с действащото законодателство и нивото на въздействие на тези данни. Всички физически зони с хартиени и електронни записи са ограничени само за служители, които трябва да имат достъп чрез принципа „Необходимост да знае“ с оглед изпълнението на работните им задължения.
(7) Всички записи и документи на хартиен носител, съдържащи лични данни, се съхраняват в заключени шкафове, които са заключени в кабинети с ограничен достъп само за упълномощен персонал.
(8) Достъпът до системите, обработващи по електронен способ лични данни, е ограничен чрез уникални потребителски идентификатори и пароли, а електронните носители, включително сървъри, са защитени по адекватен начин, в зони с контрол на достъпа.
5. ТЕХНИЧЕСКИ МЕРКИ ЗА ФИЗИЧЕСКА ЗАЩИТА
Чл.19.(1) Основните технически мерки за физическа защита във Фонда включват:
1. Използването на сигнално-охранителна техника;
2. Използването на ключалки и заключващи механизми;
3. Шкафове, метални каси.
(2) Документите, съдържащи лични данни, се съхраняват в шкафове или картотеки, които могат да се заключват, като последните са разположени в зони с ограничен (контролиран) достъп. Ключ за шкафовете притежават единствено изрично натоварените лица (с изрична заповед или по силата на служебните им задължения и длъжностната характеристика).
(3) Оборудването на помещенията, където се събират, обработват и съхраняват лични данни, включва: сигнално-охранителна техника, ключалки (механични или електронни) за ограничаване на достъпа единствено до оторизираните лица; заключваеми шкафове и пожарогасителни средства.
6. ПЕРСОНАЛНА ЗАЩИТА
Чл.20.(1) Персоналната защита се състои в:
1. Обучение на служителите в нормативната регулация по защита на лични данни;
2. Провеждане на първоначален и ежегодни инструктажи на служителите по защита на личните данни;
3. Провеждане на първоначален и ежегодни инструктажи за запознаване с правилата за Противопожарна безопасност най-малко веднъж годишно;
4. Провеждане на тренировки за действие при събитие, застрашаващо сигурността на данните;
5. Забрана за споделяне на критична информация (идентификатори, пароли за достъп и др.под.) между персонала и всякакви други лица, които са неоторизирани;
6. Правила за размножаване и разпространение, които разрешават копиране и разпространяване на лични данни единствено в случаите, когато това е необходимо за юридически нужди, възниква по изискване на закон и/или държавен орган, както и да бъдат предоставяни само на лица, на които са необходими във връзка с извършване на възложена работа. Неразрешеното копиране и разпространение е обект на дисциплинарни санкции и други мерки, ако представлява и друг вид нарушение, освен нарушение на трудовата дисциплина;
7. Подходяща проверка на знанията и опита на обработващите лични данни (когато има такива) по отношение на нормативната уредба и правилата, които те спазват за защита на личните данни;
8. Постоянен контрол от страна на администратора върху качеството на работа и спазването на нормативните изисквания в областта на защита на личните данни;
9. С оглед защита на хартиените, техническите и информационните ресурси всички служители са длъжни да спазват правилата за противопожарна безопасност.
7. ДОКУМЕНТАЛНА ЗАЩИТА
Чл.21.(1) Документалната защита се състои в:
1. Включване на клаузи в трудовите и гражданските договори (или допълнителни споразумения към тях), които да гарантират отговорността на наетите лица по отношение защитата на личните данни;
2. Включване на клаузи в договорите с обработващите лични данни (IT обслужване и други), които да гарантират отговорността им по отношение защитата на личните данни;
3. Изискване от обработващите лични данни да включват на свой ред в трудовите и гражданските договори, които сключват, подходящи клаузи като гореописаните;
4. Съставяне на съответните писмени актове (заповеди, протоколи и други) по отношение действията по защита на личните данни;
5. Водене на регистри, когато това е приложимо;
6. Контрол на достъпа до личните данни, регистрите и останалата документация;
7. Готовност във всеки един момент за отчет и представяне на необходимата документация пред Комисията за защита на личните данни.
8. ЗАЩИТА НА АВТОМАТИЗИРАНИ
ИНФОРМАЦИОННИ СИСТЕМИ И МРЕЖИ
Чл.22. (1) Защитата на автоматизираните информационни системи и/или мрежи включва набор от приложими технически и организационни мерки за предотвратяване на нерегламентиран достъп до системите и/или мрежите, в които се създават, обработват и съхраняват лични данни.
(2) Основните мерки за защита на автоматизираните информационни системи и/или мрежи, обработващи лични данни, включват:
1. Идентификация и автентификация: чрез използване на уникални потребителски акаунти и пароли за всяко лице, осъществяващо достъп до мрежата и ресурсите на Фонда. Прилагането на тази мярка е с цел да се регламентират нива на достъп и да се въведе достъп, съобразен с принципа „Необходимост да знае”;
2. На всеки служител или лице на граждански договор се създава специална електронна поща с подходяща степен на защита. На служителите се забранява да предоставят паролите си за достъп до трети лица. След приключване на взаимоотношенията с НДФ „13 века България“ служителят или наетото на граждански договор лице се задължава да предаде кореспонденцията си на Фонда. Кореспонденцията се премества по подходящ начин и ненужната се изтрива. В последния случай се съставя надлежен протокол и задължително се променя паролата за достъп.
3. Управление на регистрите, съобразено с ограничаване на достъпа до съответния регистър единствено до лица, които са пряко натоварени и/или служебно ангажирани с неговото водене, поддръжка и обработка;
4. Не се предоставя достъп на неоторизирани лица до компютрите на Фонда, електронните пощи на служителите и администраторските права по поддържане на интернет страницата на НДФ „13 века България“.
5. Управление на външни връзки и/или свързване, включващо от своя страна:
• Дефиниране на обхвата на вътрешните мрежи: Като вътрешни мрежи се разглеждат всички локални жични мрежи и/или телекомуникационни връзки тип „точка – точка“, които се намират под контрола и администрацията на НДФ „13 века България“ . Като външни мрежи се разглеждат всички мрежи, включително и безжични мрежи, интернет, интернет връзки, мрежови връзки с трети страни, мрежови сегменти на хостинг системи на трети страни, които не са под административния контрол на Фонда.
• Регламентиране на достъпа до вътрешната мрежа: Достъп до вътрешната мрежа имат единствено служителите на Фонда. Достъпът до мрежата и обработваните лични данни се предоставя с оглед изпълнение на техните преки служебни задължения и е съобразен с принципа „Необходимо да знае“. Минимално изискваното ниво на сигурност за достъп до вътрешните мрежи изисква идентифициране с уникално потребителско име и парола.
• Администриране на достъпа до вътрешната мрежа: Отговорностите, свързани с осъществяване на администрация на достъпа, са възложени на лица с необходимата квалификация. В отговорностите са включени и дейности, свързани с одобряване на инсталирането на всички устройства, технологии и софтуер за достъп до мрежата, включително суичове, рутери, безжични точки за достъп, точки за достъп до мрежата, интернет връзки, връзки към външни мрежи и други устройства, технологии и софтуер, които могат да позволят достъп до вътрешните мрежи на Администратора.
• Контрол на достъпа до вътрешната мрежа: Отговорностите, свързани с осъществяване на контрола на достъпа са възложени на лица с необходимата квалификация. Те са задължени да предприемат адекватни мерки за минимализиране на риска от неоторизиран (физически и/или отдалечен) достъп до мрежите на Фонда, включително и чрез използване на защитни стени и други адекватни мерки и инструменти.
6. Защитата от зловреден софтуер включва:
• Използването на стандартни конфигурации за всяка компютърна и/или мрежова платформа, като системният, а при възможност и приложният, софтуер се контролира, инсталира и поддържа от оторизирани от Ръководството на Фонда лица. Забранено е инсталирането на софтуерни продукти без изричното одобрение на ИТ специалиста на НДФ „13 века България“.
• Използване на вградената функционалност на операционната система и/или хардуера, които се настройват единствено от оторизирани от Ръководството на Фонда лица. Всяка промяна и/или деактивация на системите за защита от неоторизирани лица е забранена.
• Активиране на автоматична защита и сканиране за зловреден софтуер и обновяване на антивирусни дефиниции. Забранено е потребителите да отказват автоматични софтуерни процеси, които актуализират вирусните дефиниции.
• Забрана за пренос на данни от заразени компютри. При съмнение или установяване на заразяване на компютърна система работещият с нея е задължен да уведоми оторизираните от Ръководството на Фонда лица и да преустанови всякакви действия за работа и/или изпращане на информация от заразения компютър (чрез външни носители, електронна поща и/или други способи за електронна обмяна на информация). До премахване на зловредния софтуер заразеният компютър следва да бъде незабавно изолиран от вътрешните мрежи.
Чл.23. (1) Политика по създаване и поддържане на резервни копия за възстановяване, която регламентира:
• Основната цел на архивирането е свързана с предотвратяване на загуба на информация, свързана с лични данни, която би затруднила нормалното функциониране на Администратора.
• Начина на архивиране: информацията следва да бъде архивирана по подходящ способ и на носител, извън конкретния физически компютър, и да позволява пълното възстановяване на данните, в случай на погиване на техния основен носител.
• Отговорност за архивиране има лицето, обработващо личните данни.
• Срокът на архивиране следва да е съобразен с действащото законодателство.
• Съхраняването на архива следва да бъде в друго физическо помещение. Всички архиви, съдържащи поверителна и/или служебна информация, трябва да се съхраняват с физически контрол на достъпа.
Чл.24. (1) Основни електронни носители на информация са: вътрешни твърди дискове (част от компютърна и/или сторидж система), еднократно и/или многократно презаписваеми външни носители (външни твърди дискове, многократно презаписваеми карти, памети ленти и други носители на информация, еднократно записваеми носители и др.)
Чл.25. (1) Персоналната защита на данните е част от цялостната охрана на НДФ „13 века България“.
Чл.26. (1) Личните данни в електронен вид се съхраняват съгласно нормативно определените срокове и съобразно спецификата и нуждите на Администратора.
Чл.27. (1) Отдалечен достъп до вътрешни мрежи на Фонда е предвиден. Достъпът се извършва след съгласуване с IT поддържаща фирма и чрез използването на персонални имена и пароли за достъп до вътрешната мрежа на Фонда.
Чл.28. (1) На служителите на Фонда може да бъде предоставен Интернет достъп (отдалечен достъп) за изпълнение на служебните им задължения до елекронните регистри с лични данни. Обхватът на достъпа и типът достъпни ресурси (включително сайтове, файлове, услуги и др.) се определят съобразно с изпълняваните задължения и свързаните с достъпа рискове. Отдалечен достъп чрез Интернет до определени ресурси, включително и вътрешните такива, може да бъде прекратен по всяко време по преценка на Фонда, както и в случаите на заплаха за сигурността на данните.
(2) Публикуването на служебна информация в Интернет, независимо под каква форма и на каква платформа, се извършва единствено след писмена оторизация от Изпълнителния директор на Фонда.
(3) Мерките, свързани с текущото поддържане и експлоатация на информационните системи и ресурси на Фонда, включват:
1. Оценка на сигурността, включваща периодични тестове и оценки на уязвимостта на мрежите и системите на Фонда от външни и вътрешни атаки (Vulnerability test), включително оценка на въздействието, адекватността на използваните мерки и способи за защита, както и препоръки за нейното техническо и организационно подобряване. Оценката включва посочените аспекти и по отношение сигурността на събираните, обработвани и съхранявани лични данни.
2. Забрана за притежание и ползване на хардуерни или софтуерни инструменти от персонала на Администратора, които биха могли да бъдат използвани, за да се компрометира сигурността на информационните системи. Към тази група се отнасят и инструменти, способстващи за нарушаване на авторските права, разкриване на тайни пароли, идентифициране на уязвимост в сигурността или дешифриране на криптирани файлове. Забранено е използването и на хардуер или софтуер, който отдалечено наблюдава трафика в мрежа или опериращ компютър. За неоторизирано използване на подобни инструменти служителят се наказва дисциплинарно, а ако нарушението е не само дисциплинарно или представлява престъпление – и по предвидения за санкциониране на това нарушение/престъпление ред.
3. Мерките, свързани със създаване на физическа среда (обкръжение), включват физически контрол на достъпа (сигнално-охранителна техника, ключалки, метални решетки и други приложими способи), създаване на подходяща работна среда, включително чрез поддържане на подходяща температура и нива на влажност, както и пожароизвестителна система. Те са насочени към осигуряване на среда за нормално функциониране, за защита на ИТ оборудването от неоторизиран достъп и контрол на риска от повреда и унищожаване.
9. КРИПТОГРАФСКА ЗАЩИТА И ПСЕВДОМИНИЗАЦИЯ
Чл.29. (1) Мерките на криптографска защита включват стандартните криптографски възможности на ползваната електронна система и на системите на управление на бази данни, ползване на електронен подпис и криптиране на данните, които се съхраняват на външни електронни носители (флаш памет, външен хард диск). Криптирането се използва и за защита на личните данни, които се предават от Фонда по електронен път или на преносими носители.
(2) Винаги когато е възможно и приложимо се използва псевдоминизация на данните. Това се постига посредством обработване на данни, които могат да бъдат свързани със субекта на данните посредством допълнителна информация, която се съхранява отделно и е обект на допълнителна защита.
10. ВЪЗМОЖНОСТ ЗА ВЪВЕЖДАНЕ НА
ДОПЪЛНИТЕЛНИ МЕРКИ НА ЗАЩИТА
Чл.30. (1) Винаги когато прецени, както и когато от обстоятелствата може да се заключи, че е налице повишена опасност за личните данни (например, бедствие, авария, хакерски атаки и други), Фондът е длъжен незабавно да оцени възникналата ситуация и при необходимост да назначи допълнителни мерки със заповед, която незабавно се свежда до знанието на всички наети лица, както и до обработващите лични данни. Това право се включва като клауза в трудовите договори, гражданските договори и договорите с обработващите лични данни.
(2) При повишаване на нивото на чувствителност на информацията, произтичащо от изменение в нейния вид или в рисковете при обработването й, НДФ „13 века България“ може да определи допълнителни мерки за защита.
(3) Доклади за състоянието, рисковете и нивото на чувствителност на информацията се изготвят веднъж на 1 година или при промяна на характера на обработваните лични данни.
IV. СЪХРАНЕНИЕ НА ЛИЧНИТЕ ДАННИ
1. НАЧИН НА СЪХРАНЕНИЕ
Чл.31. (1) Личните данни се съхраняват на хартиен, технически и/или електронен носител, само за времето, необходимо за изпълнение на права, правни задължения на Фонда и/или нормалното му функциониране.
(2) Събирането, обработването и съхраняването на лични данни в регистрите на НДФ „13 века България“ се извършва на хартиен, технически и/или електронен носител по централизиран и/или разпределен способ в помещения, съобразно с предвидените мерки за защита и оценката на подходящото ниво на сигурност на съответния регистър.
2. ПРАВО НА ДОСТЪП
Чл.32. (1) Право на достъп до регистрите с лични данни имат само изрично оторизирани служители на Фонда, съобразно възложените им от закона права и оторизираните работници и служители, както и обработващи лични данни, на които администраторът е възложил обработването на данни от съответния регистър при условията на чл. 28 от Общия регламент относно защитата на данните.
(2) Оторизирането на работници и служители се извършва на база длъжностна характеристика или чрез изричен акт на Изпълнителния директор на НДФ „13 века България“.
(3) Работниците и служителите носят отговорност за осигуряване и гарантиране на регламентиран достъп до служебните помещения и опазване на регистрите, съдържащи лични данни. Всяко умишлено нарушение на правилата и ограниченията за достъп до личните данни от персонала може да бъде основание за налагане на дисциплинарни санкции по отношение на съответните работници и служители.
(4) Длъжностните лица нямат право да разпространяват информация за личните данни, станали им известни при и по повод изпълнение на служебните им задължения.
(5) При оторизацията на достъпа се спазват правилата на документална защита, посочени по-горе.
3. АРХИВИРАНЕ
Чл.33. (1) Документите и преписките, по които работата е приключила, се архивират.
(2) Трайното съхраняване за нуждите на архивирането на документи, съдържащи лични данни, се извършва на хартиен носител в помещения, определени за архив, за срокове, съобразени с действащото законодателство, както и съобразно „Номенклатурата на делата със срокове за съхранение“. Помещенията, определени за архив, са оборудвани с пожароизвестителни системи и пожарогасители, със системи за контрол на достъпа и задължително се заключват.
(3) Документите на електронен носител се съхраняват на специализирани сървъри, компютърни системи и/или външни носители на информация. Архивиране на личните данни на технически носител се извършва периодично от обработващия/оператора на лични данни с оглед запазване на информацията за съответните лица в актуален вид и с цел осигуряване на възможност за възстановяване, в случай на погиване на основния носител/система. Архивните копия се съхраняват на различно местоположение от мястото на компютърното оборудване, обработващо данните. Достъп до архивите имат само обработващият/операторът/ на лични данни и оторизираните длъжностни лица. При архивирането се използват мерки на криптографска защита.
(4) Достъп до архивираните документи, съдържащи лични данни, имат единствено оторизираните лица съобразно възложените им от закона правомощия.
4. ПЕРИОДИЧНИ ПРОВЕРКИ
Чл.34. (1) Най-малко веднъж годишно се извършват периодични проверки за състоянието и целостта на личните данни. Проверките се извършват от комисия, назначена от Изпълнителния директор на Фонда, включваща служители на Администратора, които изготвят Протокол за резултата от проверката.
(2) Протоколът по ал. 1 трябва да включва преценка на необходимостта за обработка на личните данни или заличаването/унищожаването им.
V. ПРЕДАВАНЕ НА ЛИЧНИТЕ ДАННИ НА ТРЕТИ ЛИЦА
1. РЕГУЛЯРНО ПРЕДАВАНЕ НА ЛИЧНИ ДАННИ
Чл.35. (1) Регулярно предаване на лични данни на трети страни не се извършва.
(2) Фондът не ползва сървъри, които се намират в страни извън ЕС.
(3) НДФ „13 века България“ не ползва софтуер, който предава информация, включително лични данни, в страни извън ЕС.
(4) Възлагането на дейност на обработващ лични данни (например, счетоводител, IT специалист) не е предаване на трети страни по смисъла на този раздел. За тях се прилагат специалните правила, посочени тук и в съответните нормативни актове. Въпреки това изрично се забранява възлагането на дейност по обработване на лични данни на лице извън ЕС.
2. НЕРЕГУЛЯРНО ПРЕДАВАНЕ НА ЛИЧНИ ДАННИ
Чл.36. (1) В съответствие с действащото законодателство, когато това се изисква, могат да бъдат предавани на компетентните държавни органи данни от фактури, данни от болнични листа за отпуск поради временна неработоспособност, майчинство и други.
(2) Предаването на гореописаните данни се извършва в хода на административно производство (например, при данъчна ревизия, осигурително производство и др.), както и при проверки от страна на компетентните органи, съобразно компетентността на съответния орган и обхвата на проверката.
(3) При проверка на държавен орган могат да бъдат предоставени и други данни, извън посочените в ал. 1, съобразно компетентността на съответния орган и обхвата на проверката.
VI. ДЕЙСТВИЯ ПРИ ЗАПЛАХА ЗА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ
1. ОБЩИ ЗАДЪЛЖЕНИЯ
Чл.37. (1) При регистриране на неправомерен достъп до информационните масиви за лични данни, или при друг инцидент, нарушаващ сигурността на личните данни, служителят, констатирал това нарушение/инцидент, незабавно докладва за това на Изпълнителния директор на Фонда. Уведомяването за събитието се извършва писмено, по електронен път или по друг начин, който позволява да се установи извършването му и да се спази изискването за уведомяване на Комисията за защита на личните данни в срок от 72 часа от узнаването, когато това е приложимо.
(2) Процесът по докладване и управление на инциденти задължително включва регистрирането на инцидента, времето на установяването му, лицето, което го докладва, лицето, на което е бил докладван, последствията от него и мерките за отстраняването му.
2. ВЪВЕЖДАНЕ НА ДОПЪЛНИТЕЛНИ МЕРКИ
Чл.38. (1) При възникнал риск за сигурността на личните данни Изпълнителният директор на Фонда незабавно разпорежда конкретни действия и разпределя задачите по защита на личните данни на съответни служители. Това не отменя задължението на служителите да бъдат запознати с всички вътрешни нормативни актове, касаещи подобни събития, и по-специално процедурата, посочена по-долу.
3. ПРОЦЕДУРА/ПЛАН ЗА ДЕЙСТВИЕ ПРИ НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ
Чл.39. (1) Приема се специално процедура/план за действие при нарушение на сигурността на личните данни и уведомяване на КЗЛД, когато това е приложимо. Запознаването с посочената процедура е задължително за всички служители в Администратора, както и за обработващите лични данни.
VII. УНИЩОЖАВАНЕ НА ЛИЧНИТЕ ДАННИ
1. ОБЩИ ПОЛОЖЕНИЯ
Чл.40. (1) Личните данни се унищожават при постигане на целите на обработването или отпадане на основанието за тяхното обработване.
(2) Когато е налице нормативно изискване за съхранение в определен период, този период се спазва.
(3) Когато е приложимо упражняването на „Правото да бъдеш забравен“, унищожаването на данните се извършва в съответствие с упражняването на това право.
(4) Когато от основанието за унищожаване не следва друг срок, унищожаването се извършва регулярно в началото на всяка календарна година, за което се съставя Протокол.
(5) При провеждане на кампания на набиране на служители, при която се предават автобиографии и мотивационни писма, същите се унищожават веднага след приключване на кампанията, с изключение на документите на избрания кандидат. По изключение, ако се очаква назначаването на допълнителни служители, представените в кампанията документи могат да бъдат запазени, но за срок, не по-дълъг от шест месеца.
2. НАЧИН НА УНИЩОЖАВАНЕ
Чл.41. (1) Личните данни следва да бъдат унищожени при спазване на процедурите, предвидени в приложимите нормативни актове и в настоящите Вътрешни правила. Изпълнителният директор на Фонда издава Заповед, с която назначава комисия, която да извърши заличаване/унищожаване на конкретните лични данни, като състави Протокол за това.
(2) В случаите, в които се налага унищожаване на носител на лични данни, Фондът прилага необходимите действия за заличаването на личните данни по начин, изключващ възстановяване данните и злоупотреба с тях, като:
1. Личните данни, съхранявани на електронен носител и сървъри, се унищожават чрез трайно изтриване, включително презаписването на електронните средства или физическо унищожаване на носителите;
2. Документите на хартиен носител, съдържащи данни, се унищожават чрез нарязване.
(3) Унищожаване се осъществява от служители, упълномощени с изричен писмен акт на Изпълнителния директор.
(4) За извършеното унищожаване/заличаване на лични данни и носители на лични данни се съставя Протокол, подписан от служителите по ал. 3.
VIII. ПРАВА НА СУБЕКТИТЕ НА ДАННИТЕ
1. ОБЩИ ПОЛОЖЕНИЯ
Чл.42. (1) Субектите на данните имат следните права:
– Право на информация;
– Право на достъп;
– Право на коригиране;
– Право на изтриване („Да бъдеш забравен“);
– Право на ограничаване на обработването;
– Право на преносимост на данните;
– Право на възраждане;
– Право да не бъде обект на решение, основаващо се единствено на автоматизираното обработване;
– Право на жалба до надзорен орган и на ефективна съдебна защита срещу надзорен орган;
– Право на ефективна съдебна защита срещу администратор или обработващ лични данни;
– Право на обезщетение и отговорност за причинени вреди.
(2) Нищо в настоящите Вътрешни правила или останалата документация на НДФ „13 века България“ не може да се счита за ограничаващо правата на субекта на лични данни, които са му предоставени от Регламента или друг нормативен акт.
2. ПРАВО НА ИНФОРМАЦИЯ
Чл.43. (1) Правото на информация включва както правото на обща информация, посочена в чл. 13 и чл. 14 от Регламента, така и информация в специални случаи, например, при случаи на заплаха за сигурността на личните данни (чл. 34 от Регламента), уведомяване при упражнено право на коригиране и изтриване, както и във всички други случаи, предвидени в нормативен акт или вътрешните актове на Фонда.
(2) Когато данните се предоставят от субекта на данните, той подписва Декларация за информираност, в която му се предоставя информацията по чл. 13 от Регламента. Декларацията се съставя в два екземпляра, единият от които – за Администратора, а другият- за субекта на данните.
(3) НДФ „13 века България“ не обработва регулярно данни, които не се предоставят от субекта на данните. Ако все пак е налице такъв случай, то правото на информираност на субекта на данните се осъществява по реда на чл. 14 от Регламента.
(4) Информацията съгласно чл. 13 и чл. 14 от Регламента се поставя на подходящо място в интернет страницата на Фонда. В случай, че се ползват „бисквитки“, това се указва по подходящ начин и се дава възможност на потребителя на сайта да откаже да го ползва, ако не е съгласен с употребата на „бисквитките“
3. ПРАВО НА ДОСТЪП
Чл.44. (1) Достъп на субекта до личните му данни се предоставя след подаване на заявление.
(2) Решението си за предоставяне или отказване достъп до лични данни за съответното лице, Фондът съобщава в 1-месечен срок от подаване на заявлението, респ. искането.
(3) Информацията може да бъде предоставенa под формата на:
1. устна справка;
2. писмена справка;
3. преглед на данните от самото лице;
4. предоставяне на исканата информация на технически и/или електронен носител.
4. ПРАВО НА КОРИГИРАНЕ
Чл.45. (1) Субектът на данни има право да поиска от администратора да коригира без ненужно забавяне неточните лични данни, свързани с него. Като се имат предвид целите на обработването субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация.
5. ПРАВО НА ИЗТРИВАНЕ („ДА БЪДЕШ ЗАБРАВЕН“)
Чл.46. (1) Субектът на данни има право да иска от НДФ „13 века България“ изтриване на неговите лични данни без излишно забавяне. Посоченото право не е абсолютно, а се упражнява само доколкото са налице условията на чл. 17 от Регламента.
6. ПРАВО НА ОГРАНИЧАВАНЕ НА ОБРАБОТВАНЕТО
Чл.47. (1) Субектът на данни има право, при условията на чл. 18 от Регламента, да изиска ограничаване обработването на личните си данни.
7. ПРАВО НА ПРЕНОСИМОСТ НА ДАННИТЕ
Чл.48. (1) Фондът не обработва данните по автоматизиран начин, при техническа осъществимост за пряко прехвърляне към друг администратор. Ако все пак е налице такава възможност, субектът на данните може да изиска тяхното прехвърляне.
8. ПРАВО НА ВЪЗРАЖЕНИЕ
Чл.49. (1) Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на член 6, параграф 1, буква д) или буква е) от Регламента, включително профилиране, основаващо се на посочените разпоредби. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
9. ПРАВО ДА НЕ БЪДЕ ОБЕКТ НА РЕШЕНИЕ, ОСНОВАВАЩО СЕ ЕДИНСТВЕНО НА АВТОМАТИЗИРАНО ОБРАБОТВАНЕ
Чл.50.(1) Администраторът не взима решения, основаващи се единствено на автоматизирано обработване. Независимо от това, Фондът подчертава ангажимента си да съблюдава правото на субекта да не бъде обект на такова решение, освен в хипотезите на чл. 22 от Регламента.
10. ПРАВО НА ЖАЛБА ДО НАДЗОРЕН ОРГАН И НА ЕФЕКТИВНА СЪДЕБНА ЗАЩИТА СРЕЩУ НАДЗОРЕН ОРГАН
Чл.51. (1) Без да се засягат които и да било други административни или съдебни средства за правна защита, всеки субект на данни има право да подаде жалба до надзорен орган, по-специално в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение, ако субектът на данни счита, че обработването на лични данни, отнасящи се до него, нарушава разпоредбите на Регламента.
(2) Без да се засягат които и да било други административни или несъдебни средства за защита, всеки субект на данни има право на ефективна съдебна защита, когато надзорният орган, който е компетентен не е разгледал жалбата или не е информирал субекта на данните в срок от три месеца за напредъка в разглеждането на жалбата, или за резултата от нея.
(3) Надзорният орган в Република България е Комисията за защита на личните данни (КЗЛД), с адрес: гр. София, бул. „Цветан Лазаров“ № 2, електронна поща: kzld@cpdp.bg, интернет страница: https://www.cpdp.bg/.
11. ПРАВО НА ЕФЕКТИВНА СЪДЕБНА ЗАЩИТА СРЕЩУ АДМИНИСТРАТОР ИЛИ ОБРАБОТВАЩ ЛИЧНИ ДАННИ
Чл.52.(1) Без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящите правила са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с Регламента.
12. ПРАВО НА ОБЕЗЩЕТЕНИЕ И
ОТГОВОРНОСТ ЗА ПРИЧИНЕНИ ВРЕДИ
Чл.53.(1) Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящите правила, има право да получи обезщетение от Администратора или обработващия лични данни за нанесените вреди, при условията на чл. 82 от Регламента.
13. ПРАВИЛА И ПРОЦЕДУРИ ЗА УПРАЖНЯВАНЕ НА ПРАВАТА
Чл.54.(1) Фондът приема правила и процедури за упражняване на правата на субекта на данните.
IХ. OСОБЕНИ ПРАВИЛА ЗА СУБЕКТИТЕ НА ДАННИ, НЕНАВЪРШИЛИ ШЕСТНАДЕСЕТ ГОДИНИ, И ЗА ЗАПРЕТЕНИТЕ ЛИЦА
1. ДАВАНЕ НА СЪГЛАСИЕ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
Чл.55. (1) Когато е приложимо, съгласието за обработване на лични данни от лице, навършило четиринадесет, но ненавършило шестнадесет години, следва да бъде придружено от самостоятелното съгласие (разрешение) на лицето, което носи родителска отговорност: родител (всеки от родителите), осиновител, попечител/настойник, управител на специализирана институция, в която е настанено детето, както и на лица, на които е възложена заместваща грижа, но само доколкото законът го позволява (чл. 137 СК).
(2) Когато лицето не е навършило четиринадесет години се изисква единствено съгласието на лицето, което носи родителската отговорност.
(3) Когато лицето е ограничено запретено, се прилагат съответно правилата на ал. 1, а когато е пълно запретено – на ал. 2. Съгласието се дава от попечителя, съответно настойника. Независимо от горното, дори и при пълно запрещение, Фондът полага всички усилия да разясни на пълно запретения лично правата му и последствията от даването на съгласие.
2. УПРАЖНЯВАНЕ НА ПРАВОТО НА ИНФОРМИРАНОСТ
ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
Чл.56. (1) Информацията, която се предоставя от НДФ „13 века България“ съгласно Регламента и на настоящите Вътрешни правила, се предоставя както на детето, респективно запретеното лице, така и на лицето, упражняващо родителската отговорност. Допустимо е тази информация да не се предоставя изрично на детето, ако то не е навършило четиринадесет години, или се касае за пълно запретен.
(2) Декларацията за информираност, която се подписва съгласно настоящите правила, се подписва от лицето, упражняващо родителска отговорност, и от детето, ако е навършило четиринадесет години или е ограничено запретено. Ако лицето не е навършило четиринадесет години или е пълно запретено, декларацията се подписва само от лицето, упражняващо родителска отговорност, респ. настойника на запретения.
X. БАЗИСНИ ПРАВИЛА И МЕРКИ ЗА ОСИГУРЯВАНЕ НА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ ПРИ КОМПЮТЪРНА ОБРАБОТКА
1. ОБЩИ ПРАВИЛА
Чл.57. (1) Компютърен достъп през локалната мрежа към файлове, съдържащи лични данни, се осъществява само от длъжностни лица с регламентирани права, единствено от тяхното физическо работно място от специално определения за целта компютър, или чрез дистанционен достъп до локалната мрежа, и след идентификация чрез име и парола към системата. При приключване на работното време служителите изключват локалния си компютър.
(2) НДФ „13 века България“ прилага адекватни мерки за технически и административен контрол (ограничаване на IP, MAC адрес, физическа локация, уникално потребителско име и парола, настройка на всички работни станции в режим „автоматично заключване на екрана“ при липса на активност повече от 30 секудни), като по този начин гарантира, че само упълномощени служители получават достъп до данните за изпълнение на възложените им функции.
(3) Идентификацията на оторизираните лица за работа с лични данни задължително включва и идентификация чрез уникален потребителски акаунт, който съдържа име и парола на потребителя, права за достъп до системата и ползване на нейните ресурси.
(4) Потребителският акаунт се заключва след три неуспешни опита за регистрация в системата, а неговото отключване може да бъде извършено само от системния администратор.
(5) С цел повишаване сигурността на достъпа до информация служителите задължително променят използваните от тях пароли на определен от Фонда период, не по-дълъг от 3 месеца. В случай на отпадане на основанието за достъп до лични данни правата на съответните лица се преустановяват (включително и чрез изтриване на акаунта).
(6) Системите, обработващи и/или съхраняващи лични данни, включват система за контрол, регистрираща следните действия в журнал (log) за одит: опити за влизане и ефективно влизане и излизане от системата, действията на потребителите в процеса на всяка работна сесия, смяна на пароли. Когато бъде установена нетипична активност (например, влизане в нетипично време, неизключане на работна станция след изтичане на работното време и др.под.), системният администратор незабавно уведомява Ръководството за извършване на проверка по случая.
2. ХАРДУЕР
Чл.58. (1) Използваният хардуер за съхранение и обработване на лични данни отговаря на съвременните изисквания и позволява гарантиране на разумна степен на отказоустойчивост, възможности за архивиране и възстановяване на данните и работното състояние на средата.
(2) При необходимост от ремонт на компютърната техника, предоставянето ѝ на сервизната организация се извършва без устройствата, на които се съхраняват лични данни.
3. СОФТУЕР
Чл.59. (1) В НДФ „13 века България“ се използва единствено софтуер с уредени авторски права. Инсталирането и/или използването на всякакъв друг тип софтуер с неуредени авторски права е забранено.
(2) На служебните компютри се използва само софтуер, който е инсталиран от оторизирано от Ръководството на Фонда лице. Забранено е самоволното инсталиране на всякакъв друг вид софтуер.
(3) При внедряване на нов програмен продукт за обработване на лични данни се тестват и проверяват възможностите на продукта с оглед спазване изискванията на Регламент 2016/679, Закона за защита на личните данни и осигуряване максималната защита на данните от неправомерен достъп, загубване, повреждане или унищожаване.
4. ПРАВИЛА ПРИ ПОЛЗВАНЕ НА ЕЛЕКТРОНЕН ПОДПИС
Чл.60. (1) Служителите, на които е възложено да подписват служебна кореспонденция с електронен подпис, нямат право да предоставят издадения им носител на трети лица, респ. да споделят своя PIN с трети лица.
XI. ПОДДЪРЖАНИ РЕГИСТРИ С ЛИЧНИ ДАННИ И ТЯХНОТО УПРАВЛЕНИЕ
Чл.61. (1) НДФ „13 века България“, не подържа регистри с лични данни.
1. ВИДОВЕ РЕГИСТРИ
Чл.62. (1) Съхраняваните от Фонда лични данни се класират във вътрешни регистри, както следва:
1. Регистър „Служители“, в който се вписват следните видове лични данни: Лично, бащино и фамилно име, ЕГН, постоянен адрес.
2. Регистър „Контрагенти, доставчици, клиенти, наематели“, в който се вписват следните видове лични данни: Данните за идентификация на юридическото лице (Код по Булстат, ЕИК, адрес за коренспонденция), когато е физическо лице само Лично бащино и фамилно име, ЕГН, адрес за кореспонденция
3. Регистър „Клиенти/служители, с които Фонда е в преддоговорни отношения“, в който се вписват следните видове лични данни: Данните за идентификация на юридическото лице (Код по Булстат, ЕИК, адрес за кореспонденция), когато е физическо лице само Лично бащино и фамилно име, ЕГН, адрес за кореспонденция.
4. Регистър „Видеонаблюдение“, в който се съхраняват и обработват лични данни чрез създаване на видеозапис от средства за наблюдение в сградите и помещенията на Фонда, не се поддържа такъв регистър (към IT-та).
(2) За обработване на данните от вътрешните регистри по чл. 29, Фондът не е длъжен да води официален „Регистър на дейностите по обработване“ по смисъла на чл. 30 от Регламент № 2016/679, доколкото Фондът има по-малко от 250 служители и задълженията по параграф 1 и 2 на чл. 30 от Регламента не намират приложение в случая. Такова задължение ще възникне, в случай че възникне вероятност извършваното от Администратора обработване да породи риск за правата и свободите на субектите на данни или обработването включва специални категории данни по член 9, параграф 1 от Регламента или лични данни, свързани с присъди и нарушения, по член 10 от Регламента.
XII. ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ. ПРАВА И ЗАДЪЛЖЕНИЯ НА ОБРАБОТВАЩИЯ ЛИЧНИ ДАННИ И НА СЛУЖИТЕЛИТЕ, КОИТО ОБРАБОТВАТ ЛИЧНИ ДАННИ
1. ОСНОВНИ ИЗИСКВАНИЯ
Чл.63. (1) Длъжностно лице по защита на данни е главният юрисконсулт на Фонда, или външен адвокат и/или адвокатска кантора, обслужваща юридически НДФ „13 века България“.
(2) Длъжностното лице по защита на данните може да бъде назначено на трудов договор, на граждански договор или да съвместява трудова функция.
(3) Длъжностното лице по защита на данните се ползва с независимост и сигурност в изпълнение на функциите си: то не може да получава указания във връзка с изпълнението на функциите си или да бъде санкционирано поради изпълнението на своите задачи. То се отчита пряко пред Изпълнителния директор и/или пред Управителния съвет на НДФ „13 века България“.
2. ПРАВА И ЗАДЪЛЖЕНИЯ НА
ДЛЪЖНОСТНОТО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ
Чл.64. (1) Длъжностно лице по защита на данните има следните права и задължения:
1. Осигурява организацията по водене на регистрите, съгласно предвидените мерки за гарантиране на адекватна защита;
2. Следи за спазването на конкретните мерки за защита и контрол на достъпа съобразно спецификата на водените регистри с лични данни;
3. Осъществява контрол по спазване на изискванията за защита на регистрите съобразно действащото законодателство и настоящите вътрешни правила;
4. Поддържа връзка с Комисията за защита на личните данни относно предприетите мерки и средства за защита на регистрите и подадените заявления за предоставяне на лични данни;
5. Контролира спазването на правата на потребителите във връзка с регистрите и програмно-техническите ресурси за тяхната обработка;
6. Специфицира техническите ресурси, прилагани за обработка на личните данни;
7. Следи за спазване на организационната процедура за обработване на личните данни, включваща време, място и ред при обработване, чрез регистрация на всички извършени действия с регистрите в компютърната среда;
8. Определя ред за съхраняване и унищожаване на информационни носители;
9. Определя ред при задаване, използване и промяна на пароли, както и действията в случай на узнаване на парола и/или криптографски ключ;
10. Определя правила за провеждане на редовна профилактика на компютърните и комуникационните средства, включваща и проверка за вируси, за нелегално инсталиран софтуер, на целостта на базата данни, както и архивиране на данни, актуализиране на системната информация и др.;
11. Провежда периодичен контрол за спазване на изискванията по защита на данните и при открити нередности взема мерки за тяхното отстраняване;
12. Осъществява всички други задачи, които са му вменени от Регламента или вътрешното законодателство.
3. ПРАВА И ЗАДЪЛЖЕНИЯ НА ОБРАБОТВАЩИЯ ЛИЧНИ ДАННИ
Чл.65. (1) Всеки обработващ лични данни следва да гарантира прилагането на подходящи технически и организационни мерки за обработване на личните данни в съответствие с Регламента, националните нормативни актове и настоящите вътрешни правила. Той гарантира, че наетите от него лица, които имат достъп и/или осъществяват други функции по обработване на лични данни, са подписали равностойни клаузи и декларации за поверителност и отговорност по отношение защитата на личните данни.
(2) Обработващият лични данни няма право да включва друг обработващ без изричното писмено съгласие на Фонда. В тези случаи обработващият лични данни се задължава да включи клаузи на отговорност с привлечения подизпълнител, които са поне равностойни на правилата и клаузите, които се прилагат в отношенията му с Администратора.
(3) Обработващият лични данни е длъжен стриктно да спазва Регламента, националните нормативни актове, настоящите Вътрешни правила и другите нормативи в НДФ „13 века България“, като обработва данните само и единствено за целите, съобразно сключения между него и Фонда договор.
(4) Обработващият лични данни носи отговорност за вреди, произтичащи от извършеното обработване, когато не е изпълнил задълженията си по Регламента, или когато е действал извън или в противоречие със законосъобразните указания на Фонда. В случай, че НДФ „13 века България“ е заплатило обезщетение на трето лице поради такива неправомерни действия на обработващия, последният дължи незабавното му възстановяване заедно със законната лихва от датата на плащането.
(5) Вън от горното, обработващият носи административно наказателна отговорност в предвидените в Регламента или в националното законодателство случаи, както и договорна отговорност към НДФ „13 века България“.
4. ПРАВА И ЗАДЪЛЖЕНИЯ НА СЛУЖИТЕЛИТЕ, КОИТО ОБРАБОТВАТ ЛИЧНИ ДАННИ
Чл.66. (1) Служителите на НДФ „13 века България“ са длъжни:
1. Да обработват лични данни законосъобразно и добросъвестно;
2. Да използват личните данни, до които имат достъп, съобразно целите, за които се събират, и да не ги обработват допълнително по начин, несъвместим с тези цели;
3. Да актуализират при необходимост регистрите на личните данни;
4. Да заличават или коригират личните данни, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
5. Да поддържат личните данни във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват;
6. Да уведомяват Ръководството/Длъжностното лице по защита на данните за всички обстоятелства, за които считат, че имат отношение към законосъобразното обработване и сигурност;
7. Да поддържат нивото си на информираност по отношение на действащите нормативни разпоредби, за което Фондът им съдейства чрез инструктажи, обучения и други.
(2) За неспазването на разпоредбите на настоящите Вътрешни правила служителите носят дисциплинарна отговорност.
(3) Ако в резултат на действията на съответен служител по обработване на лични данни са произтекли вреди за НДФ „13 века България“ или за трето лице, същите могат да потърсят отговорност по реда на общото гражданско законодателство.
XIII. ДОПЪЛНИТЕЛНИ РАЗПОРЕДБИ
§1. Всички служители на НДФ „13 века България“ са длъжни да се запознаят с настоящите Вътрешни правила и да ги спазват ежедневно при изпълняване на заемната от тях длъжност и възложената им работа. Това правило се прилага и за наетите на граждански договор лица, ако възложената им работа включва форма на обработване, включително само достъп до лични данни.
§2. За всички неуредени в настоящите Вътрешни правила въпроси, са приложими разпоредбите на Общия регламент относно защитата на данните (ЕС) 2016/679, приложимото право на Европейския съюз и законодателството на Република България относно защитата на личните данни.
§3. Нищо от настоящите Вътрешни правила не може да се схваща в смисъл, че предоставя по-малко права на субектите на данни или по какъвто и да е начин дерогира установените правила в Регламента или вътрешното законодателство. В случай на противоречие между техни императивни норми и тези Вътрешни правила, прилагат се императивните норми. Това не препятства възможността на субекта на личните данни да се позове на настоящите правила, ако те му предоставят по-добра защита.
§4. Настоящите Вътрешни правила са приети с решение на Управителния съвет на НДФ „13 века България“ на 3-ото заседание, проведено на 16.01.2019 г.
§5. Приложение към настоящите Вътрешни правила са образци на следните документи, съставяни при и по повод обработката на лични данни:
Приложение № 1 – Декларация-съгласие за обработване на лични данни;
Приложение № 1 А – Декларация-съгласие за обработване на лични данни на непълнолетно лице, ненавършило 16 години, или на ограничено запретено лице;
Приложение № 1 Б – Декларация-съгласие за обработване на лични данни на малолетно лице или на пълно запретено лице;
Приложение № 2 – Декларация за информираност при обработване на лични данни по чл. 13 от Регламента;
Приложение № 2 А – Декларация за информираност при обработване на лични данни на лице, ненавършило 16 години, или на запретено лице по чл. 13 от Регламента;
Приложение № 2 Б – Декларация за информираност при обработване на лични данни на малолетно лице или на пълно запретено лице по чл. 13 от Регламента;
Приложение № 3 – Необходима информация, която се предоставя при условията на чл. 14 от Регламента;
Приложение № 4 – образец на Споразумение относно условията за обработване на лични данни;
Приложение № 5 – образец на Допълнително споразумение към трудов договор във връзка със защитата на лични данни;
Приложение № 6 – Допълнително споразумение към граждански договор във връзка със защитата на лични данни;
Приложение № 7 – образец на Декларация за поверителност на личните данни;
Приложение № 8 – образец на Протокол за извършване на периодична проверка на личните данни от регистрите на администратора без констатирана необходимост от заличаване/унищожаване на лични данни и носители на лични данни;
Приложение № 9 – образец на Протокол за извършване на периодична проверка на личните данни от регистрите на администратора и констатирана необходимост от заличаване/унищожаване на лични данни и носители на лични данни;
Приложение № 10 – образец на Заповед за назначаване на комисия и указания за заличаване на лични данни;
Приложение № 11 – образец на Протокол за заличаване/унищожаване на лични данни от регистрите на Фонда;
Приложение № 12 – образец на Протокол за преминато обучение по защита на личните данни и инструктаж за приложимите в НДФ „13 века България“ правила и мерки за защита на личните данни;
Приложение № 13 – образец Протокол за проведен инструктаж по противопожарна охрана и безопасност на служителите на НДФ „13 века България“ с цел защита на хартиените, техническите и информационните ресурси;
Приложение № 14 – Правила за размножаване и разпространение на документи;
Приложение № 15 – Правила и процедури за упражняване на правата на субектите на данни;
Приложение № 16 – Процедура за действие в случай на нарушение на сигурността на личните данни.