ПЛАН ЗА ПРИЛАГАНЕ НА ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА ОСИГУРЯВАНЕ НА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ ПРИ ТЯХНОТО СЪБИРАНЕ, ОБРАБОТВАНЕ И СЪХРАНЯВАНЕ В РЕГИСТРИТЕ, ПОДДЪРЖАНИ ОТ „ДОМОУПРАВА 01“ ЕООД
СЪДЪРЖАНИЕ
- Общи положения:
- Основания за разработване на плана;
- Цели.
- Осигуряване изпълнението на плана:
- Определяне на служители, които да отговарят за изпълнението на определените технически и организационни мерки за осигуряване на защитата на личните данни при тяхното събиране, обработване и съхраняване в регистрите, поддържани от „ДОМОУПРАВА 01“ ЕООД;
- Етапи на изпълнение:
- Етап на проектиране;
- Дължимите мерки за ниско ниво на защита са следните:
- Защита на личните данни по подразбиране.
- Срокове за изпълнение.
- Изпълнение на планираните задачи.
- Връзка с други нормативни документи.
- ОБЩИ ПОЛОЖЕНИЯ
- Основания за разработване на плана:
- Настоящият план се изработва във връзка с изпълнение на изискванията на РЕГЛАМЕНТ (ЕС) 2016/679 на Европейския парламент и на съвета от 27 април 2016г., относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.
- Цели:
- Този план има за цел да се намалят и по възможност елиминират рисковете за личната неприкосновеност и осигури защитата на интересите на физическите лица чрез:
- адекватно ниво на защита на личните данни в поддържаните регистри с лични данни;
- прилагане на необходимите технически и организационни мерки за защита личните данни на физическите лица от неправомерно обработване (случайно или незаконно унищожаване, случайна загуба, неправомерен достъп, изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни);
- ОСИГУРЯВАНЕ ИЗПЪЛНЕНИЕТО НА ПЛАНА
- На основание чл.28, параграф 3, буква „а“ от Регламента, във връзка с чл.30 от същия са определени длъжностни лица от „ДОМОУПРАВА 01“ ЕООД за вписване данни в Регистрите, съдържащи лични данни, в съответствие с принципите за защитата им, заложени в Регламента. Със Заповед на Управителя на Дружеството са определени длъжностни лица, които да отговарят за провеждането на дейността на същото като администратор на лични данни в съответствие с нормативните изисквания в областта на защитата на личните данни.
- Етапи на изпълнение:
- Етап на проектиране – въвеждане на подходящи технически и организационни мерки преди започване на обработката на личните данни – техническите и организационни мерки са описани подробно в Инструкция за технически и организационни мерки за осигуряване на защита на лични данни при тяхното събиране, обработване и съхраняване в регистрите, поддържани в „ДОМОУПРАВА 01“ ЕООД.
В зависимост от нивото на въздействие се определя и съответно ниво на защита.
Нивото на защита представлява съвкупност от технически и организационни мерки за физическа, персонална, документална защита и защита на автоматизираните информационни системи и/или мрежи, както и криптографска защита на личните данни.
С изготвената оценка на въздействието върху защитата на лични данни на „ДОМОУПРАВА 01“ ЕООД е определено ниско ниво на въздействие – ниско ниво на защита – това са случаите, когато неправомерното обработване на лични данни би застрашило неприкосновеността на личността и личния живот на отделно физическо лице или група физически лица.
- Дължимите мерки за ниско ниво на защита са следните:
- За физическа сигурност на защита на данните да се приемат организационни мерки. Основните организационни мерки на физическата защита са:
- определяне на помещенията, в които ще се обработват лични данни;
- определяне на помещенията, в които ще се разполагат елементите на комуникационно-информационните системи за обработване на лични данни;
- определяне на организацията на физическия достъп;
- За физическа сигурност на защита на данните да се приемат необходимите технически мерки за опазване на регистрите, съдържащи лични данни. Основните технически мерки на физическата защита са:
- ключалки;
- метални каси;
- необходимо оборудване на помещенията;
- пожарогасителни средства в близост до всяко помещение;
- оборудване на зоните с контролиран достъп;
- охрана и/или система за сигурност;
- пожароизвестителни и пожарогасителни системи;
- За персонална сигурност – да се приемат организационни мерки относно длъжностни лица, обработващи лични данни:
- Основните мерки на персоналната защита са:
- познаване на нормативната уредба в областта на защитата на личните данни;
- познаване на политиката и инструкцията за защита на личните данни;
- знания за опасностите за личните данни, обработвани от администратора;
- съгласие от всеки служител за поемане на задължение за неразпространение на личните данни;
- обучение на служителите, обработващи лични данни.
- Мерките за персонална защита гарантират достъпа до лични данни само на лица, чиито служебни и/или договорни задължения или конкретно възложена задача налагат такъв достъп, при спазване на принципа „Необходимост да знае“.
- Длъжностните лица могат да започнат да обработват лични данни след запознаване със:
- нормативната уредба в областта на защитата на личните данни;
- политиката и инструкцията за защита на личните данни;
- опасностите за личните данни, обработвани от администратора.
- За документална сигурност – да се приемат организационни мерки за съхраняване на регистрите:
- определяне на регистрите, които ще се поддържат на хартиен носител;
- определяне на условията за обработване на лични данни;
- регламентиране на достъпа до регистрите;
- определяне на срокове за съхранение;
- разработване на процедури за унищожение.
- Основните мерки на документалната защита са:
- определяне на регистрите, които ще се поддържат на хартиен носител;
- определяне на условията за обработване на лични данни;
- регламентиране на достъпа до регистрите;
- определяне на срокове за съхранение;
- правила за размножаване и разпространение;
- разработване на процедури за унищожаване;
- За сигурност на автоматизирани информационни системи се предприемат организационни мерки:
- персонална защита;
- определяне на срокове за съхранение;
- процедури за унищожаване/изтриване на носители на лични данни.
- Основните мерки за защита на автоматизираните информационни системи и/или мрежи са:
- идентификация и автентификация;
- управление на регистрите;
- външни връзки/свързване;
- защита от вируси;
- поддържане/експлоатация;
- копия/резервни копия за възстановяване;
- носители на информация;
- персонална защита;
- определяне на срокове за съхранение на личните данни;
- процедури за унищожаване/заличаване/изтриване на носители.
- Необходимо е да се създаде и въведе криптографска защита на данните, която според Регламента е задължителна. Криптографската защита представлява система от технически и организационни мерки, които се прилагат с цел защита на личните данни от нерегламентиран достъп при предаване, разпространяване или предоставяне.
- Основните мерки на криптографската защита са:
- стандартните криптографски възможности на операционните системи;
- стандартните криптографски възможности на системите за управление на бази данни;
- стандартните криптографски възможности на комуникационното оборудване;
- системи за разпределение и управление на криптографските ключове;
- нормативно определените системи за електронен подпис.
- Защита на личните данни по подразбиране
- Данните, обработвани по водените регистри, се съхраняват в срокове съгласно утвърдена от Управителя на „ДОМОУПРАВА 01“ ЕООД Инструкция за защита на личните данни .
- Всеки достъп и предаване на данни е допустим, при наличие на правно основание за това , подробно описано в ЗЗЛД и/или Инструкция за технически и организационни мерки за осигуряване на защита на лични данни при тяхното събиране, обработване и съхраняване в регистрите, поддържани в „ДОМОУПРАВА 01“ ЕООД.
- Срокове за изпълнение на мерки за защита на лични данни.
- За прилагане на определените технически и организационни мерки за защита на лични данни в „ДОМОУПРАВА 01“ ЕООД се определят съответни срокове:
- планиране технически и организационни мерки за защита на лични данни – срок до 15.12.2020г;
- организиране и прилагане на технически и организационни мерки за физическа сигурност на защита на лични данни – срок до 22.12.2020г.;
- обучение на служители, обработващи лични данни – срок до 25.12.2020г.;
- разработване на вътрешни правила и процедури за действие за сигурност при обработване на личните данни – срок до 25.12.2020г.;
- изготвяне на образец декларация за съгласие, подавана от субекта на лични данни –срок до 25.12.2020г.;
- изготвяне и попълване от определените служители на декларация за задължение за неразпространение на лични данни – срок до 25.12.2020г.;
- осигуряване публичност на взетите мерки за работа с лични данни от „ДОМОУПРАВА 01“ ЕООД – срок до 25.12.2020г.
- ИЗПЪЛНЕНИЕ НА ОРГАНИЗАЦИОННИ МЕРКИ ЗА ЗАЩИТА НА ЛИЧНИ ДАННИ
- Проведено е общо първоначално обучение на 10.12.2020г в областта на защитата на личните данни на определените със заповед служители, които обработват лични данни по указание на администратора и на ръководители на организацията с оглед осигуряване тяхната информираност за отговорностите им по защита на личните данни в процеса на тяхното администриране и обработка.
- Разработване на процедури за информираност на субектите на данните и прозрачност при обработването. Приети и обнародвани са вътрешно-организационни документи на „ДОМОУПРАВА 01“ ЕООД:
- Инструкция за технически и организационни мерки за осигуряване на защита на лични данни при тяхното събиране, обработване и съхраняване в регистрите, поддържани във фирма „ДОМОУПРАВА 01“ ЕООД – Пловдив е публикувана на интернет страницата /сайта/ на Дружеството на 04.12.2020г.;
- Инструкция за технически и организационни мерки за осигуряване на защита на лични данни при тяхното събиране, обработване се предоставя при поискване във всеки от офисите на фирма „ДОМОУПРАВА 01“ ЕООД веднага след приемането й;
- Разработен формуляр за декларация за съгласие на субекта за обработка на данните му, разпространен в наличност във всички офиси на фирма „ДОМОУПРАВА 01“ ЕООД;
- Осигуряване на необходимите финансови, технически и човешки ресурси.
- Да се обучат допълнително служителите, работещи с лични данни за изискванията на РЕГЛАМЕНТ (ЕС) 2016/679 на Европейския парламент и на съвета от 27 април 2016г.
- ВРЪЗКА НА ПЛАНА С ДРУГИ НОРМАТИВНИ ДОКУМЕНТИ
- РЕГЛАМЕНТ (ЕС) 2016/679 на Европейския парламент и на съвета от 27 април 2016г., относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни;
- Закон за защита на личните данни;
- Наредба №1 от 30.01.2013г за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни;
- Инструкция за технически и организационни мерки за осигуряване на защита на лични данни при тяхното събиране, обработване и съхраняване в регистрите, поддържани във фирма „ДОМОУПРАВА 01“ ЕООД.