ПЛАН ЗА ПРИЛАГАНЕ НА ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА ОСИГУРЯВАНЕ НА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ ПРИ ТЯХНОТО СЪБИРАНЕ, ОБРАБОТВАНЕ И СЪХРАНЯВАНЕ В РЕГИСТРИТЕ, ПОДДЪРЖАНИ ОТ „ДОМОУПРАВА 01“ ЕООД

СЪДЪРЖАНИЕ

  1. Общи положения:
    • Основания за разработване на плана;
    • Цели.
  2. Осигуряване изпълнението на плана:
  • Определяне на служители, които да отговарят за изпълнението на определените технически и организационни мерки за осигуряване на защитата на личните данни при тяхното събиране, обработване и съхраняване в регистрите, поддържани от „ДОМОУПРАВА 01“ ЕООД;
  • Етапи на изпълнение:
  • Етап на проектиране;
  • Дължимите мерки за ниско ниво на защита са следните:
  • Защита на личните данни по подразбиране.
  • Срокове за изпълнение.
  1. Изпълнение на планираните задачи.
  2. Връзка с други нормативни документи.

 

  1. ОБЩИ ПОЛОЖЕНИЯ
  • Основания за разработване на плана:
  • Настоящият план се изработва във връзка с изпълнение на изискванията на РЕГЛАМЕНТ (ЕС) 2016/679 на Европейския парламент и на съвета от 27 април 2016г., относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.
  • Цели:
  • Този план има за цел да се намалят и по възможност елиминират рисковете за личната неприкосновеност и осигури защитата на интересите на физическите лица чрез:
  1. адекватно ниво на защита на личните данни в поддържаните регистри с лични данни;
  2. прилагане на необходимите технически и организационни мерки за защита личните данни на физическите лица от неправомерно обработване (случайно или незаконно унищожаване, случайна загуба, неправомерен достъп, изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни);

 

  1. ОСИГУРЯВАНЕ ИЗПЪЛНЕНИЕТО НА ПЛАНА
  • На основание чл.28, параграф 3, буква „а“ от Регламента, във връзка с чл.30 от същия са определени длъжностни лица от „ДОМОУПРАВА 01“ ЕООД за вписване данни в Регистрите, съдържащи лични данни, в съответствие с принципите за защитата им, заложени в Регламента. Със Заповед на Управителя на Дружеството са определени длъжностни лица, които да отговарят за провеждането на дейността на същото като администратор на лични данни в съответствие с нормативните изисквания в областта на защитата на личните данни.
  • Етапи на изпълнение:
  • Етап на проектиране – въвеждане на подходящи технически и организационни мерки преди започване на обработката на личните данни – техническите и организационни мерки са описани подробно в Инструкция за технически и организационни мерки за осигуряване на защита на лични данни при тяхното събиране, обработване и съхраняване в регистрите, поддържани в „ДОМОУПРАВА 01“ ЕООД.

В зависимост от нивото на въздействие се определя и съответно ниво на защита.

Нивото на защита представлява съвкупност от технически и организационни мерки за физическа, персонална, документална защита и защита на автоматизираните информационни системи и/или мрежи, както и криптографска защита на личните данни.

С изготвената оценка на въздействието върху защитата на лични данни на „ДОМОУПРАВА 01“ ЕООД е определено ниско ниво на въздействие – ниско ниво на защита – това са случаите, когато неправомерното обработване на лични данни би застрашило неприкосновеността на личността и личния живот на отделно физическо лице или група физически лица.

 

  • Дължимите мерки за ниско ниво на защита са следните:
  • За физическа сигурност на защита на данните да се приемат организационни мерки. Основните организационни мерки на физическата защита са:
  1. определяне на помещенията, в които ще се обработват лични данни;
  2. определяне на помещенията, в които ще се разполагат елементите на комуникационно-информационните системи за обработване на лични данни;
  3. определяне на организацията на физическия достъп;
  • За физическа сигурност на защита на данните да се приемат необходимите технически мерки за опазване на регистрите, съдържащи лични данни. Основните технически мерки на физическата защита са:
  1. ключалки;
  2. метални каси;
  3. необходимо оборудване на помещенията;
  4. пожарогасителни средства в близост до всяко помещение;
  5. оборудване на зоните с контролиран достъп;
  6. охрана и/или система за сигурност;
  7. пожароизвестителни и пожарогасителни системи;
  • За персонална сигурност – да се приемат организационни мерки относно длъжностни лица, обработващи лични данни:
  • Основните мерки на персоналната защита са:
  1. познаване на нормативната уредба в областта на защитата на личните данни;
  2. познаване на политиката и инструкцията за защита на личните данни;
  3. знания за опасностите за личните данни, обработвани от администратора;
  4. съгласие от всеки служител за поемане на задължение за неразпространение на личните данни;
  5. обучение на служителите, обработващи лични данни.
  • Мерките за персонална защита гарантират достъпа до лични данни само на лица, чиито служебни и/или договорни задължения или конкретно възложена задача налагат такъв достъп, при спазване на принципа „Необходимост да знае“.
  • Длъжностните лица могат да започнат да обработват лични данни след запознаване със:
  1. нормативната уредба в областта на защитата на личните данни;
  2. политиката и инструкцията за защита на личните данни;
  3. опасностите за личните данни, обработвани от администратора.
  • За документална сигурност – да се приемат организационни мерки за съхраняване на регистрите:

 

  1. определяне на регистрите, които ще се поддържат на хартиен носител;
  2. определяне на условията за обработване на лични данни;
  3. регламентиране на достъпа до регистрите;
  4. определяне на срокове за съхранение;
  5. разработване на процедури за унищожение.

 

  • Основните мерки на документалната защита са:
  1. определяне на регистрите, които ще се поддържат на хартиен носител;
  2. определяне на условията за обработване на лични данни;
  3. регламентиране на достъпа до регистрите;
  4. определяне на срокове за съхранение;
  5. правила за размножаване и разпространение;
  6. разработване на процедури за унищожаване;

 

  • За сигурност на автоматизирани информационни системи се предприемат организационни мерки:
  1. персонална защита;
  2. определяне на срокове за съхранение;
  3. процедури за унищожаване/изтриване на носители на лични данни.

 

  • Основните мерки за защита на автоматизираните информационни системи и/или мрежи са:
  1. идентификация и автентификация;
  2. управление на регистрите;
  3. външни връзки/свързване;
  4. защита от вируси;
  5. поддържане/експлоатация;
  6. копия/резервни копия за възстановяване;
  7. носители на информация;
  8. персонална защита;
  9. определяне на срокове за съхранение на личните данни;
  10. процедури за унищожаване/заличаване/изтриване на носители.

 

  • Необходимо е да се създаде и въведе криптографска защита на данните, която според Регламента е задължителна. Криптографската защита представлява система от технически и организационни мерки, които се прилагат с цел защита на личните данни от нерегламентиран достъп при предаване, разпространяване или предоставяне.
  • Основните мерки на криптографската защита са:
  1. стандартните криптографски възможности на операционните системи;
  2. стандартните криптографски възможности на системите за управление на бази данни;
  3. стандартните криптографски възможности на комуникационното оборудване;
  4. системи за разпределение и управление на криптографските ключове;
  5. нормативно определените системи за електронен подпис.

 

  • Защита на личните данни по подразбиране
  • Данните, обработвани по водените регистри, се съхраняват в срокове съгласно утвърдена от Управителя на „ДОМОУПРАВА 01“ ЕООД Инструкция за защита на личните данни .
  • Всеки достъп и предаване на данни е допустим, при наличие на правно основание за това , подробно описано в ЗЗЛД и/или Инструкция за технически и организационни мерки за осигуряване на защита на лични данни при тяхното събиране, обработване и съхраняване в регистрите, поддържани в „ДОМОУПРАВА 01“ ЕООД.
  • Срокове за изпълнение на мерки за защита на лични данни.
  • За прилагане на определените технически и организационни мерки за защита на лични данни в „ДОМОУПРАВА 01“ ЕООД се определят съответни срокове:
  1. планиране технически и организационни мерки за защита на лични данни – срок до 15.12.2020г;
  2. организиране и прилагане на технически и организационни мерки за физическа сигурност на защита на лични данни – срок до 22.12.2020г.;
  3. обучение на служители, обработващи лични данни – срок до 25.12.2020г.;
  4. разработване на вътрешни правила и процедури за действие за сигурност при обработване на личните данни – срок до 25.12.2020г.;
  5. изготвяне на образец декларация за съгласие, подавана от субекта на лични данни –срок до 25.12.2020г.;
  6. изготвяне и попълване от определените служители на декларация за задължение за неразпространение на лични данни – срок до 25.12.2020г.;
  7. осигуряване публичност на взетите мерки за работа с лични данни от „ДОМОУПРАВА 01“ ЕООД – срок до 25.12.2020г.

 

  1. ИЗПЪЛНЕНИЕ НА ОРГАНИЗАЦИОННИ МЕРКИ ЗА ЗАЩИТА НА ЛИЧНИ ДАННИ
  • Проведено е общо първоначално обучение на 10.12.2020г в областта на защитата на личните данни на определените със заповед служители, които обработват лични данни по указание на администратора и на ръководители на организацията с оглед осигуряване тяхната информираност за отговорностите им по защита на личните данни в процеса на тяхното администриране и обработка.
  • Разработване на процедури за информираност на субектите на данните и прозрачност при обработването. Приети и обнародвани са вътрешно-организационни документи на „ДОМОУПРАВА 01“ ЕООД:
  • Инструкция за технически и организационни мерки за осигуряване на защита на лични данни при тяхното събиране, обработване и съхраняване в регистрите, поддържани във фирма „ДОМОУПРАВА 01“ ЕООД – Пловдив е публикувана на интернет страницата /сайта/ на Дружеството на 04.12.2020г.;
  • Инструкция за технически и организационни мерки за осигуряване на защита на лични данни при тяхното събиране, обработване се предоставя при поискване във всеки от офисите на фирма „ДОМОУПРАВА 01“ ЕООД веднага след приемането й;
  • Разработен формуляр за декларация за съгласие на субекта за обработка на данните му, разпространен в наличност във всички офиси на фирма „ДОМОУПРАВА 01“ ЕООД;

 

  • Осигуряване на необходимите финансови, технически и човешки ресурси.
  • Да се обучат допълнително служителите, работещи с лични данни за изискванията на РЕГЛАМЕНТ (ЕС) 2016/679 на Европейския парламент и на съвета от 27 април 2016г.

 

  1. ВРЪЗКА НА ПЛАНА С ДРУГИ НОРМАТИВНИ ДОКУМЕНТИ
  • РЕГЛАМЕНТ (ЕС) 2016/679 на Европейския парламент и на съвета от 27 април 2016г., относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни;
  • Закон за защита на личните данни;
  • Наредба №1 от 30.01.2013г за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни;
  • Инструкция за технически и организационни мерки за осигуряване на защита на лични данни при тяхното събиране, обработване и съхраняване в регистрите, поддържани във фирма „ДОМОУПРАВА 01“ ЕООД.