Политика за защита на личните данни
Асоциация за развитие на София е ресурсен център за изследвания, анализи, иновации и експеримент, който създава условия и насърчава постоянен диалог между гражданското общество, бизнеса, Столична община и академичните институции. Асоциацията е създадена с решение № 348 на Столичния общински съвет от 08.07.2010 година. Тя е независима организация, регистрирана от СГС на 16.08.2010, ф.д. 495/2010 в обществена полза по закона за юридическите лица с нестопанска цел.
Асоциация за развитие на София, с ЕИК: 175941584 и адрес за кореспонденция: София 1000, ул. Сердика №1, ет.3, ел. поща: Този имейл адрес е защитен от спам ботове. Трябва да имате пусната JavaScript поддръжка, за да го видите., наречено по-нататък Администраторът или АРС, прилага в изпълнение на обществено полезната си дейност, партньори и служители настоящите Общи условия.
На посочения адрес могат да бъдат изпращани лично или чрез изрично писмено упълномощено лице заявления, възражения, искания, жалби и други във връзка с обработване на лични данни от страна на АРС, както и по електронен път при спазване изискванията на ЗЕДЕП за използване на електронен подпис на електронен адрес Този имейл адрес е защитен от спам ботове. Трябва да имате пусната JavaScript поддръжка, за да го видите. на вниманието на Деница Лозанова, Директор на програми в АРС.
ПРЕАМБЮЛ
По смисъла на чл. 4, параграф 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните; Регламент; GDPR) АРС е администратор на лични данни. Като такъв събира и обработва информация за физически лица, която може да бъде квалифицирана като лични данни .
Тази информация може да се отнася до служители, управители, учредители, членове, , клиенти, доставчици, контрагенти, партньори с техните представители, бизнес контакти, посетители на интернет страницата на АРС и други физически лица, с които Администраторът осъществява връзка или иска да установи контакт.
Настоящата политика за защита на личните данни урежда начините за събиране, обработване и съхраняване на личните данни, за да отговарят на стандартите на Администратора и да са в съответствие с правните изисквания.
I. ПРАВНО ОСНОВАНИЕ:
Настоящата политика за защита на личните данни (ПЗЛД) се издава на основание и в съответствие с императивните изисквания на Закона за защита на личните данни и Общия регламент относно защитата на данните ЕС 2016/679 (GDPR).
Българското законодателство и GDPR предвиждат правила как организациите следва да събират, обработват и съхраняват лични данни (ЛД). Тези правила се прилагат от Администратора, независимо дали се отнася за данни, които се обработват електронно или на хартия.
За да бъде обработването на ЛД в съответствие с правните изисквания, ЛД се събират и използват основателно, съхраняват се сигурно и ограничено във времето, съобразно с целта на събиране и обработване, като АРС предприема необходимите мерки, за да не бъдат обработваните ЛД обект на незаконно разкриване.
II. ПРИНЦИПИ ПРИ ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ:
Администраторътна ЛД следва принципите, предвидени в GDPR, а именно:
1. Законосъобразност – обработване на лични данни изцяло в съответствие със закона и за цели, които не противоречат на действащи правни норми;
2. Добросъвестност – обработване на лични данни, доколкото същите са необходими единствено за осигуряване на по-високо качество на услугите и дейностите, предоставяни от АРС и осигуряване на ефективно партньорство;
3. Прозрачност – не се обработват лични данни по начини, за който субектите на данни не са били информирани с настоящите правила и/или изрично при друга комуникация, като повече информация може да бъде получена от желаещите в обичайното ни работно време на АРС чрез посочените лица за контакт в разумен срок;
4. Ограничение на целите – обработване на лични данни единствено за посочените по-долу основания.
5. Свеждане на данните до минимум – обработване единствено на тези лични данни, без които целите на обработването им не могат да бъдат постигнати;
6. Точност –поддържане и актуализиране обработваните от АРС лични данни, каквито са предоставени, отговарящи на обективната действителност;
7. Ограничение на съхранението – съхраняване на лични данни единствено доколкото и докогато са изпълнени целите на обработването им.
8. Цялостност и поверителност – обработване на лични данни по начина и при условията, съгласно които са получени, при съблюдаване на строга конфиденциалност. Не се предоставят лични данни на други лица и същите не се правят публично достояние, освен в изрично предвидените от закона случаи или с изричното съгласие на субекта на данните;
9. Отчетност - създават се и се поддържат доказателства, вкл. и в ел. формат за всички действия, свързани с обработката на ЛД.
10. Сигурност - Личните данни се обработват с подходящи технически и организационни мерки, за да се гарантира тяхната сигурност, включително срещу нежелана или незаконосъобразна обработка, загуба, унищожаване или повреждане;
За спазването на тези принципи, Ръководството на АРС прилага добри управленски практики и стриктно следи критериите и контрола:
а) пълно спазване на условията за събиране и използване на информацията;
б) прецизиране на целите, за които се използва информацията;
в) събиране и обработване на подходяща информация и само дотолкова, доколкото тя е необходима за изпълнение на целите и при спазване на законовите изисквания;
г) прилагане на стриктни проверки за определяне на продължителността на съхраняваната информация;
д) гарантиране на правата на субектите, чиито лични данни се събират;
е) предприемане на подходящи технически и организационни мерки за сигурност при защита на личната информация.
ІІI. ЦЕЛИ НА ПОЛИТИКАТА
Настоящата политика има основна цел да информира заинтересованите лица за принципите, правилата и мерките, които АРС е предприела в изпълнение на задълженията си като Администратор на лични данни.
Чрез нея ръководството гарантира, че дейностите в Асоциацията са насочени към спазване на изискванията на Регламента и на Закона за защита на личните данни. Политиката на ръководството по отношение на защитата на личните данни обединява съществуващите и актуализираните политики, процедури и процеси в АРС с оглед осигуряване на всеобхватен корпоративен подход към защитата на данните.
По-конкретно настоящата политика цели създаване и поддържане на среда, в която АРС да:
- бъде в съответствие с приложимото законодателство по отношение на личните данни и да установи добри практики;
- въведе механизми за администриране процесите по обработване на ЛД, както и тяхната защита;
- определи задълженията на служителите и лицата, обработващи ЛД от нейново име, вкл. и външно счетоводство, и тяхната отговорност при неизпълнение на тези задължения;
- осигури прозрачност на процесите по обработка на ЛД и да даде възможност за пряк контакт с Администратора, за право на достъп до събираната лична информация и всички асоциирани права на субектите, съгласно GDPR;
- установи необходимите технически и организационни мерки за защита на ЛД от неправомерно обработване;
- въведе процедура за действие при откриване на нарушение сигурността на ЛД;
- защити правата на персонал, клиенти, партньори и други субекти, носители на ЛД;
- минимизира риска от нарушения в сигурността на ЛД.
ІV. ОБХВАТ
Настоящата политика се прилага по отношение обработване лични данни на служители, наети лица по граждански договори, командировани лица, управители, учредители, членове,, самоосигуряващи се лица, доставчици, клиенти и партньори, така както са описани в съответните регистри, съгласно чл. 30 от GDPR (Регистри на дейностите по обработване), други бизнес контакти, както и за посетители на интернет страницата на АРС.
Категории лични данни, които АРС може да обработва:
А/ Идентификационни лични данни::
- Имена, дата и място на раждане, ЕГН или друг личен идентификационен номер, данни от документ за самоличност;
- Адрес, телефонни номера; електронна поща;
- Възраст, пол, снимки (които не представляват биометрични данни - не се обработват чрез специални технически средства, позволяващи уникална идентификация или удостоверяване на автентичността на дадено физическо лице);
- Семейно положение, деца;
- Финансова информация (банкови данни, ведомости и др.);
- Онлайн идентификатор – IP идентификатор (взима се автоматично), MAC адрес, cookies, др.);
- Уеб сайт, от който посетителят е дошъл на сайта на АРС;
- Дата и продължителност на достъпа на сайта на АРС;
- Количество прехвърлени данни на сайта на АРС от субекта;
- Браузър и информационна система, ползвани от субекта, посещаващ сайта на Администратора;
- Образование, обучение и квалификация;
- Информация за трудовата заетост, включително данни от трудовата му книжка;
- Членства в търговски или други сдружения, общества и др.;
- Членство в професионални организации.
Б/ Чувствителни лични данни
- Здравословно и психическо състояние - данни за здравословното състояние на служителите (според медицински удостоверения и оценки от Службата по трудова медицина, решения от ТЕЛК и др.), както и на граждани, подписали доброволно декларация/договор за информирано съгласие при участие в тестови/пилотен проект;
- Данни, свързани със свидетелства за съдимост.
В/ Лични данни, вкл. чувствителни такива, които се обработват в АРС по изключение, в случаите, когато изпълнението на проект, финансиран от европейска програма налага това:
- Електронни данни за локализиране (GSM location, GPS, др.);
- Расова и етническа информация
- Политически убеждения;
- Религиозни или сходни вярвания;
- Сексуален живот;
- Биометрични и генетични данни.
V. СУБЕКТИ НА ЛИЧНИ ДАННИ
АРС събира лични данни по отношение на следните категории лица – субекти на данни:
- субекти, представляващи Администратора - управители и директори, както и негови членове в предвидените от закона случаи;
- субекти, представляващи дружества, организации, с които Администраторът има договорни или други бизнес и партньорски взаимоотношения;
- субекти, посочени за контакт от дружества, организации и съдружия, с които Администраторът има договорни или други бизнес и партньорски взаимоотношения;
- служители на Администратора;
- деца на служители на Администратора;
- кандидати за работа;
- учстници в хакатони, дейтатони и различен тип събития със състезателен характер, които организира Асоциацията;
- заявили интерес за получаването на информационни услуги – информационен бюлетин и др.;
- посетители на интернет страницата на АРС и абонати на информационни материали. За целта е създадена е Политика за бисквитките, която е публикувана на сайта на Администратора.
VI ЦЕЛИ НА ОБРАБОТВАНЕ НА ДАННИТЕ
АРС обработва ЛД, във връзка с изпълнение на една или повече от следните цели:
1. За изпълнение на дейности – предмет на договорни, изпълнение на проекти и партньорски правоотношения (клиенти, доставчици на стоки и услуги, партньори, изпълнители по договори, съгласно Закона за задълженията и договорите):
- за изготвяне на документи, администриращи взаимоотношенията между администратора и дружествата, и организациите – страни по договорни и партньорски взаимоотношения или на групово ниво;
- за установяване на контакт с лицето или лицата, посочени от страните по договорни и партньорски правоотношения или на групово ниво;
- за доставка и/или приемане на стоки/услуги по договорни и партньорски правоотношения;
- за водене на счетоводна отчетност във връзка с изпълнение на договорни отношения, по които администраторът е страна;
- за обработка на плащания, във връзка с изпълнение на договорни отношения, по които администраторът е страна;
- за изпращане на важна информация до субекти, във връзка с промени в някоя от политиките на администратора;
2. За изпълнение на законовите изисквания на Администратора при наемане на персонал и отношенията с него:
- при подбор на кандидати за работа;
- при назначаване на нови служители;
- при регистриране на трудови и др. договори и допълнителни споразумения с физически лица;
- при изпълнение на ЗЗБУТ и всички свързани нормативни документи за здравословни условия на труд;
- при командироване на служители и изпълнители на граждански договори;
- при изплащане на възнаграждения на служители и лица, наети по граждански договори;
- при изплащане на дължимите задължения към държавния бюджет;
- при обработка болнични листове и медицински свидетелства на служители;
- при издаване на служебни бележки, удостоверения, УП, препоръки, референции и др. документи на служители и наети по граждански договори лица;
- при изплащане на дивиденти;
- при периодични, заложени от ръководството на Администратора оценки на представянето на служителите;
3. За маркетингови цели – след получаване на изрично съгласие от субектите на лични данни.
Разкриване на лични данни на трети лица може да бъде извършено при спазване на настоящата Политика и предоставяне от тези трети лица на гаранции за спазване на минималните стандарти за защита, заложени в нея, като такива лица могат да бъдат
1. държавни органи, институции и лица, на които АРС е длъжна да предостави лични данни по силата на закон;
2. лица, които по възлагане поддържат оборудване, софтуер и хардуер, използвани за обработка на лични данни, служители на АРС, адвокати, счетоводители или други лица, които по възлагане или по силата на закон имат достъп до лични данни, обработвани от АРС. Всички тези лица имат сключени с АРС споразумения за конфиденциалност и са приели вътрешните правила за сигурност по обработка на лични данни;
3. партньори, които работят по възлагане на АРС на основата на договорни отношения и извършват дейности по предоставяне на услугите на АРС и с които АРС има споразумения за запазване на конфиденциалността на информацията и защита на лични данни.
4. доставчици на услуги при обработването на лични данни за някои цели, като например измерване и проследяване на потребителското поведение в сайтовете на АРС, изпращане на имейл съобщения, споделяне на съдържание от потребителите, вход с профил от социални мрежи и др.
VII. ОСНОВАНИЯ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
Съгласно разпоредбите в GDPR, основанията за събиране и обработване на ЛД от Администратора са:
При спазване на принципите в раздел II, АРС обработва лични данни, които са получени от субекта на данни, на поне едно от следните основания:
7.1. получено изрично, предварително съгласие от субекта на данни за обработването им, за цели, за които субектът е информиран предварително или които той сам е дефинирал. Например, когато АРС желае да държи в течение своите партньори с новини, продукти и кампании, е необходимо съгласие за получаване на личен имейл адрес, на който да се изпраща тази информация. В други случаи, се счита, че е получено съгласие за обработване на личните данни, като например, когато е изпратено писмо на адреса за кореспонденция или имейл на АРС, в които субектът сам е посочил лични данни, защото е счел това за необходимо. (Правно основание: чл. 6, пар. 1, буква „а“ от ОРЗД).
Във всеки случай на получено съгласие от страна на субекта за обработване на негови лични данни на това основание, той може напълно безплатно и във всеки един момент да оттегли това съгласие като използва формата за контакт или изпрати писмо или съобщение, от което недвусмислено става ясно, че е оттеглил даденото съгласие. Образец за оттегляне на съгласие може да бъде изтеглен от тук.
7.2. личните данни са необходими, за сключване на договор и за обезпечаването на неговото изпълнение. Например, за да бъде сключен договор за изработка, ще е необходимо най-малко трите имена ЕГН или друг идентификатор, ако е приложим, адрес по лична карта, информация за контакт (Правно основание: чл. 6, пар. 1, буква „б“ от ОРЗД);
7.3. законодателството задължава АРС да събира някои лични данни за в изпълнение на нормативни задължения. Например, ако за служители на АРС, в изпълнение на задълженията си като работодател, следва да се обработи допълнителна информация за осигуряване подходящи условия съгласно изискванията на трудовата медицина (Правно основание: чл. 6, пар. 1, буква „в“ от ОРЗД);
7.4. личните данни са ни необходими, за да бъдат защитени жизнено важни интереси на субекта на данни или тези на друго физическо лице. Например в случай на обявено за издирване лице или защита права на трети лица по повод изложени от субекта коментари в рамките на някои от публикуваните от АРС материали, отворени за коментиране (Правно основание: чл. 6, пар. 1, буква „г“ от ОРЗД);
7.5. обработването на лични данни е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са ни предоставени от публичен орган (Правно основание: чл. 6, пар. 1, буква „д“ от ОРЗД);
7.6. обработването на лични данни има за цел да защити легитимен интерес на АРС или на други лица, доколкото тези интереси нямат преимущество над основни права и свободи на субекта на данни. Пример за такова обработване са предявени срещу АРС претенции от трети лица във връзка с коментари под публикации на АРС в интернет сайта или защита на правата на АРС пред държавни и съдебни органи във връзка с договорно или извъндоговорно поведение, което е довело до увреждане на права и интереси на Администратора (Правно основание: чл. 6, пар. 1, буква „е“ от ОРЗД).
Лицата се запознават/уведомяват предварително или в момента на получаване на данните им за разпоредбите на тази Политика, както и за основанието, въз основа на което се събират и обработват данните им.
VIII. ПРАВА НА ЛИЦАТА, ЧИИТО ЛИЧНИ ДАННИ СЕ ОБРАБОТВАТ ОТ АДМИНИСТРАТОРА
8.1. Във всеки момент субектът на данни може да поиска информация и съдействие, касаеща негови лични данни, обработвани от АРС чрез посочената по-горе информация за контакт и да заявите предпочитан начин за получаването й. АРС ще отговори не по-късно от един месец от получаване на съответното искане по заявения начин, доколкото това е възможно. В зависимост от конкретния вид искане, може да е необходима допълнителна информация, за потвърждаване самоличността на заявител, за което той ще бъде уведомен своевременно.
8.2. Във всеки момент субектът на данни има право да поиска от АРС потвърждение дали Администраторът обработва негови лични данни и ако това е така да му ги предостави наред с информация относно:
a) целите на обработване;
б)съответните категории лични данни;
в) получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;
г) когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
д) съществуването на правото да се иска коригиране или изтриване на лични данни или ограничаване на обработването им, или да се възрази срещу такова обработване;
е) правото на жалба до надзорен орган, който за България е Комисията за защита на личните данни като данните за контакт с нея са посочени в раздел X;
ж) когато личните данни не са предоставени от самия субект на данни, всякаква налична информация за техния източник;
з) дали съществува автоматизирано вземане на решения, включително профилиране, ведно със съществена информация относно използваната логика, както и значението и предвидените за субекта на данни последствия от това обработване.
8.3. Във всеки момент субектът на данни може да поиска от Администратора да коригира без ненужно забавяне негови лични данни, които са неточни и/или непълни.
8.4. АРС гарантира правото на субекта на данни да поиска изтриване на негови лични данни без ненужно забавяне, доколкото:
a) личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
б) субектът на данни е оттеглил своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
в) субектът на данни възрази срещу обработването по всяко време и на основания, свързани с неговата конкретна ситуация доколкото то е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на АРС или обработването е необходимо за целите на легитимни интереси на Администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите на субекта на данни или основни права и свободи, които изискват защита на личните данни, по-специално когато касаят дете.
Необходимо условие за уважаване на искането в този случай е да няма законни основания за обработването на данните, които да имат преимущество, или да е постъпило възражение срещу обработването на данните за целите на директния маркетинг;
г) личните данни са били обработвани незаконосъобразно;
д) личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Европейския съюз или правото на държава членка, което се прилага спрямо АРС;
е) личните данни са били събрани във връзка с предлагането на услуги на информационното общество на лица под 16 години.
8.5. Субектът на данни има право да поиска от Администратора да ограничи обработването на негови лични данни, доколкото:
a) се оспорва точността на личните данни, за разумен срок, който позволява да се провери точността на личните данни;
б) обработването е неправомерно, но субектът не желае личните му данни да бъдат изтрити, а иска вместо това ограничаване на използването им;
в) АРС не се нуждае повече от личните данни за целите на обработването, но те са необходими на субекта за установяването, упражняването или защитата на правни претенции;
г) субектът на данни е възразил срещу обработването съгласно член 5.4., буква в) в очакване на проверка дали законните интереси на АРС имат преимущество пред тези на субекта на данни.
8.6. АРС има законово задължение да уведоми субекта на данни във всеки случай на извършено коригиране или изтриване или ограничаване на обработването на негови лични данни.
8.7. Субектът на данни има право да получи личните си данни в структуриран, широко използван и пригоден за машинно четене формат и да поиска да бъдат прехвърлени тези данни на друг администратор доколкото това не възпрепятства Администратора, при условие, че Администраторът е получили личните данни на основание дадено от субекта на данни съгласие за обработване или при за изпълнение на договорни задължения и АРС обработва тези данни по автоматизиран начин.
8.8. Субектът на данни може да възрази по всяко време и на основания, свързани с неговата конкретна ситуация срещу обработване на личните му данни, доколкото обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на АРС или обработването е необходимо за целите на легитимни интереси на АРС или на трета страна, освен когато пред такива интереси преимущество имат интересите или основни права и свободи на субекта на данни, които изискват защита на личните данни, по-специално когато те касаят дете, включително при профилиране. В този случай АРС ще прекрати обработването на личните данни, освен ако не съществуват убедителни законови основания за обработването, които имат предимство пред интересите на субекта на данни, негови права и свободи, или са свързани с за установяването, упражняването или защитата на правни претенции.
8.9. Субектът на данни има право по всяко време да възрази срещу обработване на личните му данни за целите на директния маркетинг като обработването се прекратява от момента на получаването на неговото възражение.
Следва да се има предвид, че упражняването на правата по настоящия раздел не е абсолютно и може да бъде отказано, ако съгласно предвидени в законодателството условия упражняването им би създало риск за:
1. националната сигурност;
2. отбраната;
3. обществения ред и сигурност;
4. предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществения ред и сигурност;
5. други важни цели от широк обществен интерес и по-специално важен икономически или финансов интерес, включително паричните, бюджетните и данъчните въпроси, общественото здраве и социалната сигурност;
6. защитата на независимостта на съдебната власт и съдебните производства;
7. предотвратяването, разследването, разкриването и наказателното преследване на нарушения на етичните кодекси при регулираните професии;
8. Защитата на субекта на данни или на правата и свободите на други лица;
9. изпълнението по гражданскоправни искове.
За да упражните бъдат упражнени правата по настоящия раздел, следва да се изпрати писмено заявление по образец, който може да изтеглите от тук.
IX. ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА ЗАЩИТА НА ДАННИТЕ
Обработката на всички видове данни, независимо от тяхната категория, се извършва при възможно най-висока степен на защита, с отчитане правата, свободите и законовите интереси на физическите лица.
Данните се съхраняват на хартиен и електронен носител, които при необходимост за изпълнение на възложена на Администратора работа и/или в изпълнение на законова разпоредба, могат да бъдат предадени на трети лица, както чрез копие на хартиен носител, така и/или по електронен път, при спазване на условията за този вид обработка, включително и при съблюдаване на приложимите технически мерки за сигурност.
Защитата на данните на хартиено копие, както и на електронен носител от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поредица от вътрешно регулирани технически и организационни мерки:
- физически: ограничения на физически достъп на неоторизирани лица до места, където се обработват и съхраняват ЛД;
- персонални: задължение за неразпространение на ЛД, надлежно разписани в длъжностните характеристики на персонала, обработващ ЛД от името на Администратора;
- организационни: определяне на условия за обработване; нива на достъп; процедури и вътрешни правила; срокове и отговорности;
- технически: въвеждане на кодове за достъп; инсталиране на антивирусни програми; редовно и периодично създаване на бекъп и копиране на информацията на сървър на администратора.
С цел предотвратяване на случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни АРС е предприела мерки като например криптиране, псевдонимизация, утвърдени процедури за редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки. АРС прилага механизми за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент и др.
X. ПРЕДАВАНЕ НА ЛИЧНИ ДАННИ (ТРАНСФЕР)
АРС не осъществява трансфер на лични данни в страни, извън Европейския съюз.
Ако това се наложи, АРС ще гарантира сигурността на личните данни като:
- спазва и прилага Общия Регламент за защитата на данните ЕС 2016/679 (GDPR);
- следва и прилага решенията на ЕК относно адекватното ниво на защита на данните;
- следва и прилага решенията на ЕК относно стандартните договорни клаузи за трансфер на лични данни към трети страни;
- се уверява, че третата държава – получател на ЛД поддържа адекватно ниво на защита на ЛД;
- спазва установените задължителни фирмени правила.
ХI. НАРУШЕНИЯ. УВЕДОМЯВАНЕ ПРИ НАРУШЕНИЯ
Нарушение на сигурността на данни възниква, когато личните данни, за които АРС отговаря, са засегнати от инцидент със сигурността, в резултат на който се нарушава поверителността, наличието или целостта на личните данни. В този смисъл, нарушение на данните възниква, когато има нарушение на сигурността, водещо до инцидентно или незаконно унищожаване, загуба, изменение, нерегламентирано разкриване на данни, които се предават, съхраняват или се обработват по друг нерегламентиран начин.
В случай на нарушение на сигурността на личните данни незабавно следва да се уведомят служителите Деница Лозанова и Румяна Грозева, в качеството им на обработващи лични данни от името на Администратора.
След като съответният служител на АРС получи информация за извършено нарушение, той трябва да определи дали конкретното събитие представлява нарушение на лични данни и да уведоми управителите на Администратора за събитието.
В случай на нарушение сигурността на личните данни, когато съществува вероятност да породи риск за правата и свободите на физическите лица, АРС (чрез съответния служител), без ненужно забавяне, и когато това е осъществимо — не по-късно от 72 часа, след като е разбрал за него, уведомява за нарушението Комисията за защита на личните данни.
Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.
Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, АРС, без ненужно забавяне, съобщава на субекта за нарушението.
АРС документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него.
ХII. СЪХРАНЯВАНЕ, СРОК НА ОБРАБОТВАНЕ И УНИЩОЖАВАНЕ НА ЛИЧНИ ДАННИ
АРС съхранява лични данни за посочените в раздел III основания за максимално допустимите от законодателството периоди в зависимост от конкретния случай и вид данни, за които се отнасят. Доколкото в нормативен акт не е предвиден по-дълъг или по-кратък срок за съхранение, то АРС съхранява лични данни за период не по-дълъг от 5 години съгласно общата погасителна давност по Закона за задълженията и договорите.
В някои случаи, законодателството изисква по-дълги срокове за съхранение, като например норми в областта на счетоводството. В други случаи, например при представяне на документи за кандидатстване за работа в АРС, законодателството, предвижда максимален срок за съхранение и обработване на получените лични данни по подадените кандидатури от 6 месеца.
В случаи на съдебни спорове, АРС съхранява лични данни до 5 години след тяхното приключване.
След изтичането на срока за съхранението им, носителите на информация (хартиени или технически), които не подлежат на предаване в Националния архивен фонд, могат да се унищожават.
Унищожаването на ЛД е вид обработка, съгласно разпоредбите на GDPR. Унищожаването на данни се документира, съгласно вътрешни правила и разпоредби на АРС.
След приключване на срока за съхранение на данните, те се унищожават възможно най-бързо посредством унищожаването на хартиените носители чрез шредиране, а на техническия носител-чрез заличаване и изтриване на съответните файлове от компютрите и сървърите на Администратора. За унищожаването на ЛД се изготвя протокол.
Субектът на ЛД се уведомява за извършените действия по унищожаване на данните му.
XIII ОТГОВОРНОСТИ
АРС предприема действия в посока гарантиране на компетентността и отговорността на служителите, които имат достъп до лични данни. Служители, обработващи лични данни, подписват договори с клаузи, които ясно дефинират отговорностите на служителя при достъп и обработка на лични данни.
Отговорност на АРС като администратор на лични данни
1. Осигуряване на подготвени служители, които да са наясно със своите отговорности по Регламента и националното законодателство. АРС е отговорно за запознаването на обработващите лични данни с политиките и насоките в организацията с цел осигуряване на дейностите в синхрон с принципите, изброени в настоящата Политика.
2. Осигуряване на обучение, инструктиране и информиране на персонала, за да се гарантира, че служителите разбират своите отговорности.
3. Осигуряване на сигурни информационни системи за ръчна обработка и компютъризирана такава, така че всички служители, обработващи данни, да са наясно кога, как и какви подходящи мерки за сигурност се предприемат.
4. Поддържане на актуална информация, на актуални регистри по отношение на обработката на лични данни на граждани.
5. Осигуряване на гаранции, че всички партньори на АРС разбират своите отговорности, запознати са с настоящата политика и използват практиките в АРС като еталон за установяване на договорни отношения в частта, регулираща обработката на личните данни в рамките на партньорството.
АРС в качеството си на Администратор на лични данни гарантира, че:
а) има лица в организацията, които имат конкретна отговорност за защитата на данните;
б) всички искания от страна на физически лица за достъп до техни лични данни на първо място ще бъдат отнесени към отговорен служител, който ще предприеме разумни стъпки, за да гарантира, че искането е обработено в установен срок и чрез разумни стъпки, за да се гарантира, че данните се обработват по подходящ начин;
в) всеки служител, който управлява и обработва лична информация, е запознат, че е отговорен за прилагането на всички познати му добри практики за защита на данните;
г) всеки, който управлява и обработва лична информация, е подходящо обучен да го прави;
д) всеки, който управлява и обработва лична информация, е подходящо контролиран;
е) всеки, който управлява и обработва лична информация, е запознат и се позовава на инструкции за гарантиране на сигурността при обмена на данни;
ж) методите за обработване на лична информация са ясно описани;
з) ще се извършва редовен преглед и одит на начина, по който се управлява личната информация.
XIV. КОМПЕТЕНТНИ ОРГАНИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ:
За жалба имате право да сезирате Комисия за защита на личните данни, която се намира в София, 1592, бул. Проф. Цветан Лазаров № 2, тел: +3592/91-53-518, е-mail: Този имейл адрес е защитен от спам ботове. Трябва да имате пусната JavaScript поддръжка, за да го видите.,
Срокът за подаване на жалба до Комисията е 6 месеца от узнаване на нарушението, но не по-късно от две години от извършването му.
ДОПЪЛНИТЕЛНИ РАЗПОРЕДБИ
По смисъла на настоящите вътрешни правила:
§ 1. „Лични данни“ са всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“). В последния случай се има предвид лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
§ 2. „Администратор на лични данни“ е Асоциация за развитие на София, регистрирана по ЗЮЛНЦ в обществена полза, с ЕИК 175941584..
§ 3. „Обработване" означава всяка операция или съвкупност от операции, извършвани с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни; подреждане или комбиниране, ограничаване, изтриване или унищожаване.
§ 4. „Обработващ лични данни“ е физическо или юридическо лице, което обработва лични данни от името на Администратора.
§ 5. „Субект на данни“ е физическо лице, което е идентифицирано или което може да бъде идентифицирано въз основа на определена информация.
Настоящата Политика се довежда до знанието на лицата, които имат отношение по изпълнението й, със заповед на управителя директорана Администратора.