ИНСТРУКЦИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ В „ДОМОУПРАВА 01” ЕООД
- ОБЩИ ПОЛОЖЕНИЯ.
- Настоящата Инструкция се издава във връзка с приложението на Регламент (ЕС) 2016/679, Закона за защита на личните данни (ЗЗЛД) и националното законодателство на Република България в областта на защитата на личните данни. Същата влиза в сила на 01.01.2021 г. и е утвърдена е със заповед на Управителя. Инструкцията допълва приложимата от администратора Политиката за поверителност, която е публикувана на електронния сайт на дружеството.
- Инструкцията урежда организацията на обработване и защитата на лични данни, съобразно чл. 59 ЗЗЛД, във връзка с изпълнението на чл. 25 от същия закон, събирани от администратора, условията и реда за водене на регистри, съгласно чл. 62 и чл.63 ЗЗЛД, както и организацията и реда за упражняване на контрол при обработването на лични данни, по чл. 66 ал. 1 ЗЗЛД от „ДОМОУПРАВА 01“ ЕООД, вписано в Агенция по вписванията – Търговски регистър с ЕИК 205953467, със седалище и адрес на управление: гр. Пловдив, район „Западен“, ул. „Драма“№26, наричано за краткост „дружеството“ или „администратора“.
- Инструкцията регламентира:
- Процедури и механизми за гарантиране на неприкосновеността на личността и личния живот, чрез осигуряване на защита на физическите лица, при неправомерно обработване на свързаните с тях лични данни, в процеса на свободно движение на данните;
- Видовете регистри, които се водят в дружеството във връзка с изпълнението на разпоредбите в чл. 62 от ЗЗЛД;
- Оценката на въздействието и нивото на защита за всеки от водените регистри с лични данни по чл. 64 ЗЗЛД;
- Необходимите технически и организационни мерки за защита на личните данни от случайно и/или незаконно унищожаване, и/или от случайна загуба, неправомерен достъп, изменение и/или разпространение, както и от други незаконни форми на обработване по чл. 66, 67, 68, 71 ЗЗЛД. Мерките имат за цел да гарантират поверителност, цялостност и наличност на личните данни;
- Правата и задълженията на лицата, обработващи лични данни и лицата, които имат достъп до лични данни, както и тяхната отговорност при изпълнението на тези задължения, съгласноРегламент (ЕС) 2016/679 и ЗЗЛД;
- Процедурите по докладване, управление и реагиране при инциденти, уредени в Регламент (ЕС) 2016/679 и ЗЗЛД;
- Правила за предоставяне на лични данни на трети лица, посочени в Регламент (ЕС) 2016/679 и ЗЗЛД;
- Сроковете за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за заличаването им, съгласно Регламент (ЕС) 2016/679 и ЗЗЛД;
- Срокове за съхранение на личните данни и реда за тяхното унищожаване след изтичането им.
- Инструкцията се утвърждава, допълва, изменя и отменя от Управителя.
- Инструкцията се прилага за личните данни по смисъла на Регламент (ЕС) 2016/679 и Закона за личните данни. Лични данни означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице, по смисъла на чл. 4, параграф 1 от Регламент 2016/679;
- ПРИНЦИПИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ.
- Инструкцията е съставена при спазване на следните принципи за защитата на лични данни:
- Законосъобразност, добросъвестност и прозрачност – обработване при наличие на законово основание, при полагане на дължимата грижа и при информиране на субекта на данни;
- Ограничение на целите – събиране на данни за конкретни, изрично указани и легитимни цели и забрана за по-нататъшно обработване по начин, несъвместим с тези цели;
- Свеждане на данните до минимум – данните да са подходящи, свързани със и ограничени до необходимото във връзка с целите на обработването;
- Точност – поддържане в актуален вид и предприемане на всички разумни мерки за гарантиране на своевременно изтриване или коригиране на неточни данни, при отчитане на целите на обработването;
- Ограничение на съхранението – данните да се обработват за период с минимална продължителност съгласно целите. Съхраняване за по-дълги срокове е допустимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или статистически цели, но при условие, че са приложени подходящи технически и организационни мерки;
- Цялостност и поверителност – обработване по начин, който гарантира подходящо ниво на сигурност на личните данни, като се прилагат подходящи технически или организационни мерки;
- Отчетност – администраторът носи отговорност и трябва да е в състояние да докаже спазването на всички принципи, свързани с обработването на лични данни.
ІІІ. ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
- Инструкцията е изготвена в изпълнение на следната политика за защита на личните данни:
- Установяване на ясни правила при събиране, организиране, съхраняване и разгласяване на лични данни от водените от дружеството регистри, за да се гарантира неприкосновеността на личността и личния живот, като се защитят физическите лица при неправомерно обработване на свързаните с тях лични данни и се регламентира правото на достъп до събираните и обработвани такива данни.
- Създаване на процедури и механизми за гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни, по предвидения в Регламент (ЕС) 2016/679 и ЗЗЛД ред;
- Задълженията на лицата, обработващи лични данни и/или лицата, които имат достъп до лични данни и работят в структурата на администратора, както и тяхната отговорност, съобразно Регламент (ЕС) 2016/679 и ЗЗЛД;
- Предприемане на действия за защита на личните данни, предоставяни на Обработващи лични данни, съгласно Регламент (ЕС) 2016/679 и ЗЗЛД.
- Необходимите технически и организационни мерки за защита на личните данни.
- АДМИНИСТРАТОР, ОБРАБОТВАЩ ЛИЧНИ ДАННИ И РЕГИСТРИ С ЛИЧНИ ДАННИ.
- „ДОМОУПРАВА 01“ ЕООД, вписано в Агенция по вписванията – Търговски регистър с ЕИК 205953467, със седалище и адрес на управление: гр.Пловдив, район „Западен“, ул. „Драма“№26 , е администратор на лични данни по смисъла на чл. 4, ал. 7 от Регламент (ЕС) 2016/679.
- Обработващ личните данни е всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора. Определените от администратора лица, обработващи лични данни, имат оторизиран достъп само до регистрите, необходими за изпълняване на техните задължения.
- Отношенията между администратора и обработващия лични данни се уреждат с нормативен акт или писмен договор, който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора, съобразно чл. 61 ал. 3 ЗЗЛД.
- Администраторът може да определи едно или повече лица, които да отговарят за координиране и прилагане на мерките за защита, съгласно чл. 61 ал. 1 ЗЗЛД.
- Достъпът до лични данни се осъществява само от лица, чиито служебни задължения или конкретно възложена задача налагат такъв и след запознаване с нормативната уредба в областта на защитата на личните данни, политиката и ръководствата за защита на личните данни и опасностите за личните данни, обработвани от администратора. За целта лицата подписват декларация за неразгласяване на лични данни, до които са получили достъп при и по повод изпълнение на задълженията си.
- Всички лица отговарят за спазването на ограниченията за достъп до личните данни и са персонално отговорни пред Управителя за нарушаването на принципите за поверителност, цялостност и наличност на личните данни, освен в случаите на форсмажорни обстоятелства. Контрол върху обработването на личните данни осъществява Управителят.
- Всяко физическо лице, чийто лични данни ще се обработват от администратора, следва да бъде уведомено за:
- Данните, които идентифицират администратора – наименование и начин за контакт;
- Категориите лични данни, отнасящи се до съответното физическо лице;
- Основанието и целите на обработването на личните данни;
- Получателите или категориите получатели, на които могат да бъдат разкрити данните, както и дали данните се трансферират в трети страни извън ЕС;
- Срока на съхранение на данните;
- Информация за правата на субектите на данни (право на достъп, право на коригиране или изтриване на събраните данни, ограничаване на обработването, възражение срещу обработването, преносимост на данните) и реда за упражняването им;
- Правото на субектите на данни да подадат жалба до КЗЛД (чл. 38 ЗЗЛД) или до съда (чл. 39 ЗЗЛД);
- Дали предоставянето на лични данни е задължително по закон или договорно изискване, както и евентуалните последствия, ако тези данни не бъдат предоставени;
- Разпоредбата на т.14. не се прилага, когато физическото лице, за което се отнасят данните, вече разполага с тази информацията.
- Информацията по т. 14. се предоставя на субекта на данните към момента на получаване на личните данни чрез предоставяне на информационен лист, чрез предоставяне на настоящата инструкция, чрез e-mail, чрез препращане към Политиката/Декларацията за поверителност, поставени на видно място на седалището на управление на администратора и чрез всякакви други информационни канали, а за субекти, чиито лични данни са събрани преди приемане на настоящата инструкция и продължават да се обработват и съхраняват от администратора, информацията по т.14. се предоставя в едномесечен срок от приемането й по описаните по-горе начини.
- „Регистър с лични данни“ е всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип. В дружеството се обработват лични данни в следните регистри:
- Регистър „Контрагенти”;
- Регистър „Персонал”.
- РЕГИСТЪР “КОНТРАГЕНТИ”
- Описание на поддържания регистър:
- В регистър “Контрагенти” се обработват лични данни на физически лица – контрагенти на дружеството и/или представители на контрагентите – юридически лица (клиенти, партньори, собственици, обитатели, ползватели, наематели и др.). Личните данни в Регистър „Контрагенти“ се обработват за целите на осъществяваната от администратора търговска дейност – за сключване и изпълнение на договори, директен маркетинг, финансова-счетоводна дейност и др. дейности.
- Категории лични данни в регистъра:
- В регистъра се обработват следните категории лични данни:
- За идентичност на физически лица:
- Имена;
- Единен граждански номер (ЕГН);
- Номер на документ за самоличност, дата, място на издаването му и срок на валидност;
- Постоянен адреси;
- Настоящ адрес;
- Телефонни номера;
- Електронна. Поща;
- Други.
- За икономическа идентичност:
- Обща банкова информация;
- Информация за номер на банкова сметка;
- Единен идентификационен код.
- В случай, че страна по сключения с администратора облигационен или търговски договор е юридическо лице се обработват личните данни на представляващия дружеството, а именно имена, ЕГН, адреси, телефон, ел. поща и др.
- Технологично описание, технология на обработване и срок на съхранение на регистъра:
- Данните в регистъра се обработват и съхраняват на хартиен и/или електронен носител:
- На хартия в изолирано помещение се съхраняват обработените на хартиен носител лични данни, като помещението се охранява със сигнално охранителна техника и водеонаблюдение.
- На сървър с парола за достъп и четири несвързани един с друг компютри се съхраняват личните данни на електронен носител.
- Личните данни от регистъра се събират от физическите лица, за които се отнасят, и от публичните регистри.
- Данните в регистъра се съхраняват за срок от 5 (пет) години, освен ако в нормативен акт, съдебен акт, договор или търговската практика не изискват друго. В случаите на договори с продължително и/или периодично изпълнение срокът за съхранение на лични данни е до прекратяване на договорните отношения между страните.
- Длъжности, свързани с обработването и защитата на лични данни от регистъра и описание на техните права и задължения:
- Данните в регистъра се обработват от изрично оправомощени служители на дружеството при спазване на предвидените в тази инструкция принципи.
- Право на достъп до регистъра имат само оправомощени по длъжност или с изрична заповед лица.
- Лица, обработващи лични данни, нямат право да разпространяват информация свързана с тях, станали им известни при изпълнение на служебните си задължения.
- Оценка на въздействието и определяне съответното ниво на защита на регистъра съгласно Регламент (ЕС) 2016/679 и ЗЗЛД:
- Оценка на нивото на въздействие на регистър „Контрагенти“:
НИВО НА ВЪЗДЕЙСТВИЕ
Таблица 1
Наименование на регистъра | Поверителност | Цялостност | Наличност | Общо за регистъра |
Регистър “Контрагенти” |
Ниско | Ниско | Ниско | Ниско |
- Методика за определяне на адекватното ниво на техническите и организационните мерки:
- За определяне на адекватното ниво на техническите и организационните мерки и допустимия вид защита администраторът извършва оценка на въздействието върху обработваните лични данни, съгласно чл. 64 ЗЗЛД. При определяне нивата на въздействие върху конкретно физическо лице или група физически лица се взема предвид характера на обработваните лични данни и броя на засегнатите физически лица. Оценката на въздействието се извършва по критериите „поверителност”, „цялостност” и „наличност”. Оценката на въздействието се извършва при промяна на характера на обработваните лични данни и броя на засегнатите физически лица. В зависимост от определеното ниско ниво на въздействие нивото на защита на регистър „Контрагенти” е ниско.
- Технически и организационни мерки за защита:
- Физическа защита:
- Личните данни от регистъра се обработват в изолирано работно помещение, в което се намират основните работни места на оправомощените лица и които са с ограничен достъп. Всички документи на хартиен носител, съдържащи лични данни, се съхраняват в специални класьори при постоянно водеонаблюдение.
- Помещението, в които се обработват лични данни от регистъра са изолирани и защитени с пожарогасителни средства и сигнално охранителна техника.
- Достъп се предоставя само на служителите, чиито служебни задължения включват обработване на лични данни от регистъра.
- Външни лица нямат достъп до лични данни от регистъра.
- Личните данни не се изнасят извън обекта на администратора. Никое длъжностно или трето лице няма право на достъп до личните данни, освен ако те не са изисквани по надлежен законен ред от органи на съдебната власт (съд, прокуратура, следствени органи) съобразно Регламент (ЕС) 2016/679 и ЗЗЛД. В подобни случаи и ако в писменото искане на съдебния орган не се съдържа изрична забрана за разгласяване, администраторът на лични данни е длъжен да информира лицето, но не и да препятства работата на органите на съдебна власт.
- Персонална (кадрова) защита:
- Лицата, обработващи лични данни се запознават с нормативните актове в областта на защитата на личните данни и настоящата Инструкция.
- Лицата, обработващи лични данни, задължително подписват декларация, с която поемат задължение за неразпространение на лични данни, станали им известни във връзка и по време на изпълнение на служебните им задължения. Декларацията се съхранява в досието на всеки служител.
- Администраторът провежда обучение на лицата, които обработват лични данни в регистрите с цел запознаване с нормативната уредба в областта на защитата на личните данни и опасностите, които могат да възникнат при обработването и трансфера, както и необходимата реакция при събития, застрашаващи сигурността на данните.
- Документална защита:
- Личните данни в Регистър „Контрагенти“ се поддържат на хартиен и/или електронен носител. Обработването се извършва само по време на редовното работно време. Достъп до регистъра имат лицата, посочени по-горе в настоящата Инструкция. Личните данни се събират само с конкретна цел, в съответствие с нормативните изисквания към администратора и в изпълнение на сключените договори. Достъпът до регистъра е ограничен само за оправомощените лица в съответствие с принципите заложени в настоящата инструкция.
- Личните данни могат да бъдат размножавани и разпространявани от оправомощените служители само ако е необходимо за изпълнение на служебните им задължения или ако са изискани по надлежния ред от упълномощени лица.
- Временните документи от регистъра, които са на хартиен носител и съдържат лични данни, се унищожават. След изтичане на сроковете за съхранение (посочени в настоящата инструкция), тези документи се унищожават чрез нарязване, за което се съставя протокол от оправомощен със заповед на Управителя служител. Унищожаването се извършва след изрично писмено разрешение от Управителя.
- Защита на автоматизирани информационни системи и мрежи:
- При работа с данните от регистъра се използва специализиран софтуерен продукт (ДОМСОФТ) за обработване, като данните се въвеждат в база данни. Компютрите са със защитен достъп до личните данни. Системата за достъп поставя ограничения при опити за получаване на неоторизиран достъп до файловете с лични данни. Цялата счетоводна информация се събира и съхранява на сървъра на ДОМСОФТ. С цел възстановяване на загубена, унищожена, заличена или изтрита информация, същата се съхранява на облак създаден от разпространителите на счетоводната програма. Всеки оправомощен служител има личен профил (потребителско име и парола), с определени съобразно задълженията му права и нива на достъп. Дефинирани са и уникални потребителски имена и пароли за стартиране на операционната система на всеки един компютър.
- За защита на данните е инсталирана антивирусна програма. Използва се и механизъм за криптиране на данни.
- В помещението, в които са разположени компютърни и комуникационни средства, е изолирано.
- При пренос на данни на преносим електронен носител, данните могат да се разпространяват само от и на оторизирани лица. Администраторът гарантира, че данните не могат да се четат или променят при пренасянето им.
- При пренос на данни чрез ел. поща, тя следва да е защитена със сертификат за сигурност: SSL или друг подобно ниво на сигурност.
- Организационни мерки за гарантиране нивото на сигурности срокове за съхранението им:
- Работните компютърни конфигурации, както и цялата IT инфраструктура, включително и достъпът до интернет, се използват единствено от служебни лица, от служители на дружеството, което извършва счетоводно обслужване на администратора и лица наети по гражданско правоотношение.
- При ремонт на компютърна техника, на която се съхраняват лични данни, предоставянето й на сервизната организация се извършва без предоставяне на достъп до личните данни.
- Сроковете за съхранение на данни от регистъра са описани в т. 20.3. от настоящата Инструкция.
- Действия за защита при аварии, произшествия и бедствия (пожар, наводнение и др.):
- При възникване и установяване на инцидент, веднага се докладва на лицето, отговорно за защитата на личните данни. В случаите на необходимост от възстановяване на данни, процедурата се изпълнява след писменото разрешение на лицето по защитата на личните данни, като това се отразява в дневника по архивиране и възстановяване на данни.
- Предоставяне на лични данни на трети лица:
- Данни от регистъра могат да бъдат предоставяни на държавни институции с оглед изпълнение на нормативно задължение съгласноРегламент(ЕС) 2016/679 и ЗЗЛД.
- Срок за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за заличаването им:
- Оправомощените служители следва да извършват ежегодни проверки на личните данни от регистъра с оглед преценка на необходимостта от тяхното обработване и съответно ако е отпаднала необходимостта – за заличаването им.
- РЕГИСТЪР „ПЕРСОНАЛ”
- Описание на поддържания регистър:
- В регистър “Персонал” се обработват лични данни на физически лица, работещи в дружеството по граждански и трудови правоотношения и на кандидати за работа. Личните данни в Регистър “Персонал” се обработват за целите на управление на човешките ресурси, в т.ч. за:
- индивидуализиране на правоотношения по Закона за задълженията и договорите и трудовите правоотношение по Кодекса на труда;
- изпълнение на нормативните изисквания на Закона за задълженията и договорите, специалните закони и Кодекса на труда;
- използване на събраните данни, относно съответните лица за служебни цели като:
- всички дейности, свързани с пораждане, съществуване, изменение и прекратяване на трудовите и гражданските правоотношения;
- изготвяне на всякакви документи на лицата в тази връзка (договори, заповеди, допълнителни споразумения, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения и др.);
- установяване на връзка с лицето по телефон, поща или e-mail за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията му по трудови или граждански договори;
- водене на счетоводна отчетност относно възнагражденията на посочените по-горе лица по трудови или граждански правоотношения и начисляване на съответните данъци;
- нуждите на пенсионното, здравното и социалното осигуряване.
- Категории лични данни в обработвани в регистъра:
- В регистъра се обработват следните категории лични данни:
- За физическа идентичност:
- Имена;
- Единен граждански номер (ЕГН);
- Номер на документ за самоличност, дата, място на издаването му и срок на валидност;
- Постоянен адрес;
- Настоящ адрес;
- Телефонни номера;
- Електронна. Поща;
- Други.
- За социална идентичност:
- Документ за завършено образование;
- Документ за придобита професионална квалификация;
- Данни, относно предходна трудова дейност;
- Професионална биография.
- За икономическа идентичност:
- информация за номер на банкова сметка,
- Лични данни относно съдебното минало на лицето:
- Свидетелство за съдимост.
- Данни за здравословно състояние:
- Медицинско свидетелство;
- Данни, съдържащи се в болнични листове,представяни от самите служители като субекти на данните;
- Решения на ТЕЛК/НЕЛК и др.
- Технологично описание и технология на обработване на регистъра, срок за съхранение на данните:
- Данните в регистъра се обработват на хартиен и/или електронен носител.
- Автоматизираната обработка на данните се осъществява посредством специализиран софтуер или счетоводна програма.
- Данните в регистъра се предоставят от физическите лица при назначаването им в Дружеството. Данните се въвеждат директно от дружеството, което извършва счетоводно обслужване на администратора в:граждански или трудови договори; други договори; допълнителни споразумения; документи, удостоверяващи трудов стаж; служебни бележки; справки, удостоверения, кореспонденция и др. Администраторът има сключено споразумение със счетоводна фирма с конкретно формулирани цели за събиране и обработване на точно определена категория лични данни и за разпределяне на задълженията и отговорностите между страните в изпълнение на Регламента. Обработващият лични данни има същите задължения за защита на данните, както задълженията, предвидени в европейското и националното законодателство за Администратора на лични данни. При работа с данните обработващият използва софтуерни продукти по обработка на данните относно възнагражденията на персонала. Софтуерните продукти са адаптирани към специфичните нужди на администратора на лични данни.
- Данните в регистъра, касаещи работници и служители по трудов договор, се съхраняват за срок от 50 (петдесет) години във връзка с нормативно установени срокове. Данните в регистъра, касаещи лица по граждански договори, се съхраняват за срок от 5 (пет) години във връзка с нормативно установени срокове. В случай, че друг нормативен акт изисква съхранението им за по-дълъг срок, то администраторът ще се съобрази с него. Данните в регистъра, касаещи не одобрените кандидати за работа, се съхраняват за срок от 5 (пет) месеца, като след изтичане на този срок администраторът изтрива/унищожава съхраняваните документи с лични данни, освен ако специален закон предвижда друго. Когато неодобреният кандидат за работа е предоставил на администратора оригинали или нотариално заверени копия на документи, които удостоверяват физическа и психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност, администраторът връща тези документи на субекта на данни, в 5 (пет) месечен срок от окончателното приключване на процедурата по подбор. В определени случаи при подбор на персонал администраторът използва услугите на jobs.bg. Във връзка с предоставяните услуги jobs.bg обработва лични данни съгласно Политиката за защита на личните данни („Политика“) и спазва изискванията на Общия регламент за защита на личните данни.
- Длъжности, свързани с обработването и защитата на лични данни от регистъра и описание на техните права и задължения:
- Данните от регистъра се обработват от Управителя на Дружеството и/или от оправомощени лица, изпълняващи функции на счетоводство и ТРЗ и при спазване на принципите заложени в тази инструкция.
- Право на достъп до регистъра имат само оправомощени по длъжност или с изрична заповед лица.
- Лица, обработващи лични данни, нямат право да разпространяват информация за личните данни, станали им известни при изпълнение на служебните им задължения.
- Оценка на въздействието и определяне съответното ниво на защита на регистъра съгласно Регламент (ЕС) 2016/679 и ЗЗЛД:
- Оценка на нивото на въздействие на регистър „Персонал”:
НИВО НА ВЪЗДЕЙСТВИЕ
Таблица 2
Наименование на регистъра | Поверителност | Цялостност | Наличност | Общо за регистъра |
Регистър “Контрагенти” |
Ниско | Ниско | Ниско | Ниско |
- Методика за определяне на адекватното ниво на техническите и организационните мерки:
- За определяне на адекватното ниво на техническите и организационните мерки и допустимия вид защита администраторът извършва оценка на въздействието върху обработваните лични данни съгласно чл. 64 ЗЗЛД. При определяне нивата на въздействие върху конкретно физическо лице или група физически лица се взема предвид характера на обработваните лични данни и броя на засегнатите физически лица. Оценката на въздействието се извършва по критериите „поверителност”, „цялостност” и „наличност”. Оценката на въздействието се извършва при промяна на характера на обработваните лични данни и броя на засегнатите физически лица. В зависимост от определеното ниско ниво на въздействие нивото на защита на регистър „Персонал” е ниско.
- Технически и организационни мерки за защита
- Физическа защита:
- Личните данни от регистъра се обработват в работни помещения от оправомощените лица (дружество, което е ангажирано със счетоводното обслужване на администратора или седалището на администратора), които са с контролиран достъп. Всички документи на хартиен носител, съдържащи лични данни, се съхраняват в заключващ се шкаф в същите помещения.
- Помещенията, в които се обработват лични данни от регистъра са защитени чрез пожарогасителни средства и са под постоянно видеонаблюдение.
- Достъп се предоставя само на служителите на обработващия лични данни, чийто служебни задължения включват обработване на лични данни от регистъра.
- Външни лица нямат достъп до лични данни от регистъра.
- Персонална защита:
- Лицата, обработващи лични данни се запознават с нормативните актове в областта на защитата на личните данни и настоящата Инструкция.
- Лицата, обработващи лични данни, задължително преминават обучение за събиране, обработка и съхранение на чувствителна информация, провеждат тренировка за реакция при събития, застрашаващи сигурността на данните, и подписват декларация, с която поемат задължение за неразпространение на лични данни, станали им известни във връзка и по време на изпълнение на служебните им задължения. Декларацията се съхранява в досието на всеки служител на администратора и на обработващия лични данни.
- Споделяне на критична информация между служителите (като идентификатори, пароли за достъп и т.н.) е забранено от политиките за информационна сигурност.
- Документална защита:
- Личните данни в Регистър „Персонал“ се поддържат на хартиен носител и съхраняват от обработващия лични данни. Обработването се извършва само по време на редовното работно време. Достъп до регистъра имат лицата посочени по-горе от настоящата Инструкция. Личните данни се събират само с конкретна цел, в съответствие с нормативните изисквания към администратора. Достъпът до регистъра е ограничен само за оправомощени лица на счетоводната фирма в съответствие с принципите заложени в настоящата инструкция.
- Личните данни могат да бъдат размножавани и разпространявани от оправомощените лица на администратора или на обработващия лични данни само ако е необходимо за изпълнение на служебните им задължения или ако са изискани по надлежния ред от упълномощени лица.
- Временните документи от регистъра, които са на хартиен носител и съдържат лични данни, се унищожават само чрез специално устройство (шредер). След изтичане на сроковете за съхранение (посочени в настоящата инструкция), тези документи се унищожават чрез нарязване, за което се съставя протокол от оправомощен със заповед на Управителя служител или от обработващия лични данни. Унищожаването се извършва след изрично писмено разрешение от Управителя.
- Защита на автоматизирани информационни системи и мрежи:
- При работа с данните от регистъра се използва софтуерен продукт за обработване. Данните се въвеждат в база данни и се съхраняват на облак посредством използваната счетоводна програма. Чувствителната информация може да се криптира. Всеки оправомощен служител на обработващия лични данни има личен профил (потребителско име и парола), с определени съобразно задълженията му права и нива на достъп. С чувствителна информация работи изрично оправомощен служител, който единствено обработва криптираните файлове. Дефинирани са и уникални потребителски имена и пароли за стартиране на операционната система на всеки един компютър.
- За защита на данните е инсталирана антивирусна програма. За защита на криптираната информация е инсталирана криптираща програма.
- В помещенията, в които са разположени компютърни и комуникационни средства, е осигурено заключване на помещенията.
- При пренос на данни на преносим електронен носител, данните могат да се разпространяват само от и на оторизирани лица. Администраторът гарантира, че данните не могат да се четат или променят при пренасянето им.
- При пренос на данни чрез ел. поща, ел. поща следва да е защитена със сертификат за сигурност: SSL или друг подобен и надежден.
- Организационни мерки за гарантиране нивото на сигурност:
- Работните компютърни конфигурации, както и цялата IT инфраструктура, включително и достъпът до интернет, се използват единствено от служебни лица.
- При ремонт на компютърна техника, на която се съхраняват лични данни, предоставянето й на сервизната организация се извършва без устройствата, на които се съхраняват лични данни.
- Не се разрешава осъществяването на отдалечен достъп до данни от регистъра.
- Сроковете за съхранение на данни от регистъра са описани в т. 20.3. от настоящата Инструкция. След изтичане на сроковете за съхранение данните се заличават/изтриват от носителя.
- Действия за защита при аварии, произшествия и бедствия (пожар, наводнение и др.):
- При възникване и установяване на инцидент, веднага се докладва на лицето, отговорно за защитата на личните данни. В случаите на необходимост от възстановяване на данни, процедурата се изпълнява след писменото разрешение на лицето по защитата на личните данни, като това се отразява в дневника по архивиране и възстановяване на данни.
- Предоставяне на лични данни на трети лица:
- Данни от регистъра могат да бъдат предоставяни на държавни институции с оглед изпълнение на нормативно задължение.
- В качеството си на работодател, Дружеството, предоставя лични данни и на определени кредитни институции (банки) във връзка с изплащането на дължимите възнаграждения на служители, както и по молба от работещите във връзка с отпускането на кредити. Личните данни, които се предоставят са три имена и единен граждански номер и се предоставят с цел идентификация на лицето, в чиято полза се извършва плащането, както и размер на възнаграждението на лицето за определен период от време, в полза на което се извършва кредитирането. Това се налага, с оглед изискванията на кредитните институции във връзка с извършваните от тях операции.
- Срок за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за заличаването им:
- Оправомощените служители на администратора и на обработващия лични данни следва да извършват ежегодни проверки на личните данни от регистъра с оглед преценка на необходимостта за тяхното обработване, а в случай, че е отпаднала необходимостта за заличаването им.
VII. ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ.
- Администраторът не назначава длъжностно лице по защита на данните поради липса на законовите предпоставки за неговата необходимост, съобразноРегламент (ЕС) 2016/679и ЗЗЛД.
VIII. ПРОЦЕДУРА ПРИ НАРУШАВАНЕ НА СИГУРНОСТТА НА ЛИЧНИ ДАННИ.
- В случай, че администраторът установи нарушение на сигурността на личните данни, той изпраща до Комисия за защита на личните данни уведомление за нарушението не по-късно от 72 часа, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица.
- Отговорно лице за координиране на процедурата при нарушаване на сигурността на лични данни е Управителят на дружеството.
- Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него.
- При установено изтичане на лични данни, администраторът извършва оценка относно степента на риска. В случай, че след извършване на оценка на въздействието върху защитата на данните, администраторът установи, че има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни.
- СЪДЕЙСТВИЕ ЗА УПРАЖНЯВАНЕ НА ПРАВАТАНА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ (съобразно Регламент (ЕС) 2016/679 и ЗЗЛД).
- Администраторът оказва необходимото съдействие в случаите, когато субектът на лични данни упражнява правата си, предоставени му съгласно Общия регламент относно защитата на данните (ЕС) 2016/679, приложимото право на Европейския съюз и законодателството на Република България.
- Подаването на заявление от субекта на данни е безплатно. Лицето може да подаде писмено заявление, в това число и по електронен път лично или чрез упълномощено лице, като Администраторът организира разглеждането му в едномесечен срок от неговото постъпване.
- Заявлението съдържа име на лицето и други данни, които го идентифицират – ЕГН, длъжност, месторабота, описание на искането, предпочитана форма за предоставяне достъпа до лични данни, подпис, дата и адрес на кореспонденцията; пълномощно (когато заявлението се подава от упълномощено лице). Заявлението се завежда в общия входящ регистър на администратора.
- . Достъп до данните на лицето се осигурява под формата на:
- устна справка;
- писмена справка;
- преглед на данните от самото лице или упълномощено от него такова;
- предоставяне на копие от исканата информация.
- При подаване на искане за осигуряване на достъп представляващият администратора разглежда заявлението за достъп или разпорежда на отговорника по обработване на лични данни да осигури искания от лицето достъп в предпочитаната от заявителя форма. Срокът за разглеждане на заявлението и произнасяне по него е едномесечен от деня на постъпване на искането. Решението се съобщавалично на заявителя в писмена форма. Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение.
- Достъп до личните данни на лицата, съдържащи се на технически носител имат отговорника по обработване на лични данни, обработващият лични данни в лицето на счетоводна къща, служба за трудова медицина, управителят на дружеството, а в тяхно отсъствие и когато тези данни се отнасят до възнагражденията на лицата, достъп до тях има временно упълномощено от отговорника по обработване на лични данни лице, комуто е известна паролата за достъп до файловете.
- В отговора до субекта Администраторът излага мотивирано становище относно основателността на искането и описание на конкретно предприетите мерки (в случаите на основателност на искането).
- Когато исканията на субект на данни са явно неоснователни или прекомерни, както и когато се повтарят многократно, администраторът може или да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или предприемането на исканите действия, или да откаже да предприеме действия по искането.
- Адресът, на който се приемат молби за достъп и предоставяне на лични данни от администратора „ДОМОУПРАВА 01“ ЕООД, с ЕИК 205953467, със седалище и адрес на управление: гр. Пловдив, район „Западен“, ул. „Драма“№26, представлявано от управителя Иван Георгиев Великов с телефон за връзка +359 889 89 54 40, или на електронен адрес:info@domouprava.com.
- АКТУАЛИЗАЦИЯ НА ЛИЧНИ ДАННИ.
- Актуализация на лични данни представлява допълнение или изменение на съществуваща информация в дружеството. Актуализация на лични данни се извършва:
- по искане на лицето, за което се отнасят личните данни, когато то е установило, че е налице грешка или непълнота в тях, и удостовери това с документ;
- по инициатива на администратора или оправомощено от него лице – при наличие на документ, даващ основание за актуализация;
- при установена грешка при обработката на личните данни от страна на „ДОМОУПРАВА 01” ЕООД или от отговорника или оправомощено от него лице;
- ОТЧЕТНОСТ.
- В случай, че Администраторът разшири дейността си и в резултат на това общият брой на служителите му надвиши 250 души, същият се задължава да създаде и да поддържа регистър на дейностите по обработване и регистър на всички категории дейности по обработването, извършени от името на администратора съгласно разпоредбите на чл. 30 от Регламента.
XII. ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
- За всички неуредени в настоящата Инструкция въпроси са приложими разпоредбите на Общия регламент относно защитата на данните (ЕС) 2016/679, приложимото право на Европейския съюз и законодателството на Република България относно защитата на личните данни.
- За неизпълнение на задълженията, вменени на съответните оправомощени лица по тази инструкция и по ЗЗЛД, се налагат дисциплинарни наказания по Кодекса на труда, а когато неизпълнението на съответното задължение е констатирано и установено от надлежен орган – предвиденото в ЗЗЛД административно наказание – глоба.
- Настоящата Инструкцията е утвърдена със Заповед на Управителя на „ДОМОУПРАВА 01” ЕООД и всички служители на дружеството следва да се запознаят с нея.