Hиe в Респонса ПревентOOД paзглeждaмe тeмaтa Зaщитa нa личнитe дaнни cepиoзнo и oтгoвopнo.
Смятaмe, чe зaщитaтa нa личнитe дaнни e yвaжeниe ĸъм нaшитe пapтньopи, ĸлиeнти и тexнитe cлyжитeли.
Bинaги cмe paбoтили ycилeнo, зa дa пoĸaжeм, чe нaшитe ycлyги ca cигypни и oтгoвapят нa cтaндapтитe и нa пpилoжимитe пpaвилa зa зaщитa нa дaннитe.
В следващите редове може да се запознаете с политиката ни за защита на личните данни.
Политика
с правила за обработване,получаване, съхраняване, изпращане и унищожаване на документи,съдържащи лични данни на субекти на данни, служители на клиенти на “Респонса Превент” ООД, във връзкадейността надружеството като Служба по трудова медицина
СЪДЪРЖАНИЕ:
- Идентификация
- Предмет
- Дефиниции
- Специализирана дейност като Служба по трудова медицина
- Общи правила за защита на лични данни
- Цели и принципи на обработване на личните данни
- Съгласие
- Процедури по обработване на личните данни
- Документиране на обработката на лични данни
- Мерки за защита на личните данни
- Нарушения на сигурносттa
- Предостaвяне на лични данни на трети лица
- Оценка на въздействието върху защитата на данните
- Унищожаване на лични данни
- Прехвърляне на лични данни на друг администратор на лични данни.
- Действия за защита на личните данни при аварии, произшествия и бедствия
- Лица, отговарящи за събирането, обработката и съхранението на личните данни и достъп до лични данни
- Права на субектите на данни
- Промени на вътрешните правила
- ИДЕНТИФИКАЦИЯ НА АДМИНИСТРАТОРА
Администратор на лични данни: | РЕСПОНСА ПРЕВЕНТ ООД |
ЕИК: | 175318943 |
Адрес по регистрация: | Гр. София, ул. “20-ти април” №19 |
Представител: | Нейко Нейков |
Лиценз за Служба по трудова медицина: | 007-1/20.05.2016 г. |
Телефон за връзка: | 0884 400 607 |
Уеб сайт: | www.responsaprevent.bg |
Длъжностно лице по защита на лични данни: | Снежана Иванова |
Контакт при нужда: | dpo@responsaprevent.bg |
1. ПРЕДМЕТ
- Настоящите правила („Правилата“) определят реда, по който“РЕСПОНСА ПРЕВЕНТ” ООДсъбира, записва, организира, структурира, съхранява, адаптира или променя, извлича, консултира, използва, разкрива чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подрежда или комбинира, ограничава, изтрива, унищожава или обработва по друг начин лични данни за целите на своята дейност.
- Правилата са изготвени в съответствие с изискванията на Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).
- Правила уреждат:
-
- Принципите, процедурите и механизмите за обработка на личните данни;
- Процедурите за уведомяване на надзорния орган в случай на нарушения в сигурността;
- Процедурите за администриране на искания за достъп до данни, коригиране на обработваните данни, възражения и оттегляне на съгласия, както и администриране на искания за упражняване на други права, които субектите на лични данни имат по закон;
- Лицата, които обработват лични данни, и техните задължения;
- Правилата за предаване на лични данни на трети лица в България и чужбина;
- Необходимите технически и организационни мерки за защита на личните данни от неправомерно обработване и в случай на инциденти, като случайно или незаконно унищожаване, загуба, неправомерен достъп, изменение или разпространение;
- Техническите ресурси, прилагани при обработката на лични данни.
- “РЕСПОНСА ПРЕВЕНТ” ООДв качеството си на Служба по трудова медицина и във връзка със Закона за здравословни и безопасни условия на труди НАРЕДБА № 3 от 25.01.2008 г. за условията и реда за осъществяване дейността на службите по трудова медицина събира специални категории лични данни на субектите на данни, работещи при клиентитена дружеството.
- “РЕСПОНСА ПРЕВЕНТ” ООДобработва личните данни като самостоятелен администратор, тъй като предоставя услуги при условията на строга и изчерпателна законова регламентация, въз основа на лицензия и под контрола на изрично определени публични органи.
2. ДЕФИНИЦИИ
- „Лични данни” е всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице. Това лице се нарича субект на данни.
- “Обработване“ е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
- “Данни за здравословно състояние” са лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние. Това са болнични, медицински досиета, производствени характеристики и всички други документи, които съдържат някаква здравна информация за лицето. Тези данни се наричат още чувствителни или специални категории защитени лични данни.
- Регистър с лични данни”означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;
- Клиент” е търговско дружество сключило договор с “РЕСПОНСА ПРЕВЕНТ” ООДза осъществяване на дейност като Службапо трудова медицина.
3. СПЕЦИАЛИЗИРАНА ДЕЙНОСТ КАТО СЛУЖБА ПО ТРУДОВА МЕДИЦИНА
Специализирана дейност – Правила за събиране
- “РЕСПОНСА ПРЕВЕНТ” ООДв качеството си на Служба по трудова медицина събира лични данниотносно здравословното състояние на субекти на данни, работещи при клиенти на Службата по трудова медицина. Събирането се извършва с цел, за изготвянена заключения, анализи, препоръки, удостоверения, характеристики,становища, здравни досиета и други документи по изискванията на Закона за здравословни и безопасни условия на труд и други нормативни документи в тази връзка.
- Събиранетона лични данни става по физически или електронен път чрез:
- адреси на електронна поща, посочени като адреси за размяна за документи, съдържащи лични данни респективно данни за здравното състояние между “РЕСПОНСА ПРЕВЕНТ” ООД и клиентите на дружеството;
- Дружества, извършващи неуниверсални пощенски услуги (куриерски фирми; куриер)
- пощенски оператори, предоставящи универсални пощенски услуги (поща; пощенски оператор);
- Външен преносител;
- Вътрешен преносител;
- Не приемамеполучаването на данни за здравословно състояниена субекти на данни, служители на клиенти на дружеството по факс.
- Получаване по електронна поща – всеки клиент на “РЕСПОНСА ПРЕВЕНТ” ООД има подписан договор/анекс, в който е упомената електронната поща, от която ще бъдатизпращани лични данни и данни за здравословно състояние, производствени характеристики и други здравни/медицински документи на “РЕСПОНСА ПРЕВЕНТ” ООД.
- Поща / Куриер– всякипощенски оператор/куриерска фирматрябва да имат свой собствени правила за обработване на лични данни, в която са описани техническите и организационни мерки позащита на личните данни, във връзка с преноса на писма, колети, пратки “РЕСПОНСА ПРЕВЕНТ” ООД не носи отговорност за тяхната липса или процедурите и начина на работа и доставки на пощенски и куриерски фирми, тъй като дружествата, които предоставят услуги при условията на строга и изчерпателна законова регламентация, въз основа на лицензия или аналогично индивидуално разрешение от държавата и под контрола на изрично определени публични органи, не биха могли да се разглеждат като обработващи лични данни, а като самостоятелни администратори. Всяко писмо/пратка/колет,съдържащо лични данни, в това число и данни за здравословното състояние, трябва да съдържа името на “РЕСПОНСА ПРЕВЕНТ” ООД и съответното медицинско лице, работещо в“РЕСПОНСА ПРЕВЕНТ” ООД, което можеда получи пратката. Ако тези реквизити липсват пратката не трябва да се получава.
- Външен преносител– това е лице определено от клиента да предаде на “РЕСПОНСА ПРЕВЕНТ” ООД лични данни, в това число и данни за здравословното състояние на субекти на данни, служители на клиента. Предаванитедокументи трябва да са в запечатан плик, кашон или друго, което не позволява да се види съдържаниетоим. Трябва да е видно, че пратката еадресирана до “РЕСПОНСА ПРЕВЕНТ” ООД и съответнотомедицинсколице, определено в договор/анексс клиента.
- Вътрешен преносител – това са определени със заповед на управителяслужители на “РЕСПОНСА ПРЕВЕНТ” ООД, които имат право да пренасят от локацията на клиента до офис на “РЕСПОНСА ПРЕВЕНТ” ООД документи, съдържащи лични данни в това число и здравна информация. Тези лицаса оторизирани само и единствено да пренасят личните данни, рескпективно данните съдържащи здравна информация,и те по никакъв начин не обработват личните данни в това число и здравната информация. Предаванитедокументи трябва да са в запечатан плик, кашон или друго, което не позволява да се види съдържанието им. Трябва да е видно, че пратката е адресирана до “РЕСПОНСА ПРЕВЕНТ” ООД и съответното медицинсколице по договор/анекс. При предаването на пакетите в офис на “РЕСПОНСА ПРЕВЕНТ” ООД на съответното определено лице се съставя протокол за получаване с опис на външния вид и цялост. Ако има нарушаване на целосттаи защитата на документите се извършват действия за уведомяване на клиента.
Специализирана дейност – Правила за получаване
- Лични данни за здравословно състояние на субектите на данни, служители на клиенти на “РЕСПОНСА ПРЕВЕНТ” ООД се получават като краен получател и се обработватСАМО от медицински лица, които са работещи в “РЕСПОНСА ПРЕВЕНТ” ООД по трудов или граждански договор.
- Получаването на лични данни за здравословно състояние от други лица е ЗАБРАНЕНО.
- При получаването на лични данни за здравословно състояние се изготвя протокол за вида и начина на получаване.
- Протокълът се предоствя незабано но не по късно от 48 часа на управителят на “РЕСПОНСА ПРЕВЕНТ” ООД и се съхранява от него или определено със заповед от него лице.
Специализирана дейност – Правила за обработване
- Лични данни за здравословно състояниена субектите на данни, клиенти на дружеството се обработват САМО от медицински лица, които са работещи в “РЕСПОНСА ПРЕВЕНТ” ООД по трудов или граждански договор. По никакъв повод лични данни за здравословно състояние не се обработват от други лица.
- Лични данни за здравословно състояние се обработват САМО в офис на “РЕСПОНСА ПРЕВЕНТ” ООД и по никакъв повод не се изнасят за обработване на друго място различно от офиса на “РЕСПОНСА ПРЕВЕНТ” ООД.
- Обработването се осъществява на хартиен и/или електронен носител.
- “РЕСПОНСА ПРЕВЕНТ” ООД разполага съссофтуерна система за обработванена личните данни със сертификати за сигурност и криптиране на информацията. Ползвателите на системата от страна на “РЕСПОНСА ПРЕВЕНТ” ООД разполагат с индивидуалнопотребителско име и парола. Паролата за достъп трябва да съдържа не по-малко от 12 символа, в това число големи и малки букви, цифри и специални знаци. Паролата се променя на всеки 6 месеца.
Специализирана дейност – Правила за съхраняване
- Лични данни за здравословно състояние се съхраняват САМО в централния офис на “РЕСПОНСА ПРЕВЕНТ” ООДв гр. София.
- Личните данни се съхраняват на хартиени и електронни носители. Съхранение на хартиени носители– Личните данни се съхраняват в шкафове със заключващ механизъм и контрол на използването на ключовете. В офисите има охранителна система СОТ и пожаросигнализираща система. Офисите са с контрол на достъпа за външни лица. Външни лица не се допускат до помещенията за съхраняване на лични данни. Съхранениена електронен носител– това са:
- Специализиран софтуер – с индивидуален достъп само на медицински лица с потребителско име и парола и индивидуална парола за достъп до съответния компютър.
- Диск / флашка – след като информацията се прехвърли на диск / флашка, то тя се съхранява по правилата за хартиен носител, описани по-горе.
- На компютър – данните се съхраняват на компютър на медицинското лице, като компютъра има парола за достъп.
- На компютър без достъп до интернет – данни могат да се съхраняват на компютър с парола и без достъп до интернет. Така се съхраняват архивни документи.
Специализирана дейност – Изпращане на лични данни
- Изпращането на данни може да става по следните начини:
- Поща / Куриер – изпращат се в запечатан, непрозрачен плик или кашон в описание от кого се пращат и точни данни за получател и конкретно лице, до което да бъдат доставени;
- Лично, чрез външен преносител – чрез определен от клиента получател. Документите се предаватв запечатан, непрозрачен плик или кашон сописание от кого се пращат и точни данни за получател и конкретно лице, до което да бъдат доставени. Преди предаване на документите трябва да имаме писмено уверение/инструкцияна кого да ги предадем. За целта се подготвя/подписваприемо-предавателен протокол;
- Лично, чрез вътрешен преносител – работещ в “РЕСПОНСА ПРЕВЕНТ” ООД, определен със заповед на управителя, който може да вземе документите от медицинското лице, служител на “РЕСПОНСА ПРЕВЕНТ” ООД и да ги предаде на клиента. Документите се предаватв запечатан, непрозрачен плик или кашон сописание от кого се пращат и точни данни за получатели и конкретно лице, до което да бъдат доставени. За целта се подготвя/ подписва приемо-предавателен протокол;
- По електронна поща – документи могат да бъдат изпращани по електронна поща САМО до определена от клиента електронна поща, за което имаме писмено уверение/указание. Преди изпращането файла или файловете трябва да бъдат архивирани с архивираща програма и файла да бъде защитен с парола. Паролата трябва да съдържа не по-малко от 8 символа, в това число големи и малки букви, цифри и специални знаци. За всеки архивиран файл паролата трябва да бъде различна. Архивирания файл се изпраща по електроннатапоща БЕЗ паролата. Паролата се изпраща с друг мейл или в телефонен разговор.
Специализирана дейност – Несъответствия
Тук са описани правилата за действие, ако описаните по-горе правила не се прилагат:
- При получаване на лични данни чрез електронно писмо на адрес на електронна поща на “РЕСПОНСА ПРЕВЕНТ” ООД,койтоне е определенза получаване на такива между “РЕСПОНСА ПРЕВЕНТ” ООД и клиента същото се изтрива, клиента се уведомява за изтриването, уведомява се управителя на “РЕСПОНСА ПРЕВЕНТ” ООД. Съставя се протокол за несъответствие.Протокола се предоставя на управителя или определено от него лице незабавно, но не по късно от 48 часа.
- Получаване на пратка без нужните реквизити – НЕ приемане на пратката, уведомяване на управителя на “РЕСПОНСА ПРЕВЕНТ” ООД. Съставя се протокол за несъответствиеПротокола се предоставя на управителя или определено от него лице не забавно, но не по късно от 48 часа.
- Получаване на документи от външен преносител без нужните реквизити – НЕ приемане на документите, обаждане доклиента с искане за информация кой и какво праща. Ако клиентътудостовери пратката и преносителя, пратката се приема.
- Предаване на документи на клиент, чрез вътрешен преносител – ако определеното от клиента лице не е налично, пратката не се предава или се предавана друго лице, писмено определено от клиента.
- В случаите, извън специализираната дейност се прилагат общите правила.
- ОБЩИ ПРАВИЛА ЗА ЗАЩИТА НА ЛИЧНИ ДАННИ
- Извън специализираната дейност като служба по трудова медицина “РЕСПОНСА ПРЕВЕНТ” ООДсъбира и обработва лични данни, необходими за осъществяване на своите права и задължения като работодател, доставчик на услуги и контрагент при съблюдаване изискванията на приложимото законодателство. Личните данни, обработвани от “РЕСПОНСА ПРЕВЕНТ” ООД, са групирани в регистри на дейностите по обработване, съдържащи правила за обработване на лични данни, отнасящи се до:
- РЕГИСТЪР “ПЕРСОНАЛ” – работници, служители и изпълнители по граждански договори;
- РЕГИСТЪР “КАНДИДАТИ ЗА РАБОТА”;
- РЕГИСТЪР “КОНТРАГЕНТИ” – клиенти; доставчици на услуги;
- РЕГИСТЪР “ЗАЯВЛЕНИЯ ЗА УПРАЖНЯВАНЕ НА ПРАВА”
- РЕГИСТЪР “ЗДРАВНА ДОКУМЕНТАЦИЯ”
Сроковете за съхранение на личните данни по отделните регистри, са определени както следва:
№ | Регистър | Срок | Определен от |
1 | Персонал | 50 години | Закона за счетоводството |
2 | Кандидати за работа | 3 години | Проекта на ЗИД ЗЗЛД |
3 | Контрагенти | 10 години | Закона за счетоводството |
4 | Заявления за упражняване на права | 1 година | преценка на АЛД |
5 | Здравна документация | 50 години | НАРЕДБА № 3 от 25.01.2008 г. за условията и реда за осъществяване дейността на службите по трудова медицина |
- “РЕСПОНСА ПРЕВЕНТ” ООДопределя за всеки регистър отделно какви лични данни са необходими, целите за събиране, начините на обработване, сроковете за съхраняване.
- “РЕСПОНСА ПРЕВЕНТ” ООДобработва специални категории данни, само доколкото това е необходимо за изпълнение на специфичните му права и задължения в областта на трудовото и осигурително законодателство, а за дейността му като Служба по трудова медицина при стриктно спазване на специалните правила.
4. Достъп до личните данни, съхранявани в регистрите имат само служителите на “РЕСПОНСА ПРЕВЕНТ” ООД, на които такъв достъп е необходим за изпълнение на служебните им задължения, при стриктно спазване на принципа „Необходимост да знае”.
- ЦЕЛИ И ПРИНЦИПИ НА ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ
- Целите на обработването на лични данни са:
- управление на човешките ресурси, изплащане на трудовите възнаграждения и изпълнение на свързаните с това задължения на работодателя за удържане и плащане на здравни и социални осигуровки на служителите, на данъци, както и на други права и задължения на “РЕСПОНСА ПРЕВЕНТ” ООД в качеството му на работодател;
- администриране на отношенията с клиенти на “РЕСПОНСА ПРЕВЕНТ” ООД и предоставяне на услуги;
- сключване и изпълнение на договори с доставчици за предоставяне на услуги на “РЕСПОНСА ПРЕВЕНТ” ООД.
- Личните данни се обработват законосъобразно, добросъвестно и прозрачно при спазване на следните принципи:
- Субектът на данните се информира предварително за обработването на неговите лични данни;
- Личните данни се събират за конкретни, точно определени и законни цели и не се обработват допълнително по начин, несъвместим с тези цели;
- Личните данни съответстват на целите, за които се събират;
- Личните данни трябва да са точни и при необходимост да се актуализират;
- Личните данни се заличават или коригират, когато се установи, че са неточни или не съответстват на целите, за които се обработват;
- Личните данни се поддържат във вид, който позволява идентифициране на съответните физически лица за период, не по-дълъг от необходимия, за целите, за които тези данни се обработват.
Чл. 7.За да е законосъобразно обработването на данните, трябва да е налице поне едно от следните условия:
- Субектът на данните е дал своето съгласие, вкл. и чрез подписване на договор с “РЕСПОНСА ПРЕВЕНТ” ООД;
- Обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
- Обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;
- Обработването е необходимо, за да се защитят жизненоважни интереси на субекта на данните или на друго физическо лице;
- Обработването е необходимо за изпълнение на задача от обществен интерес;
- Обработването е необходимо за целите на легитимните интереси на администратора, освен когато пред тези интереси преимущество имат интересите или основните права и свободи на субекта на данни. Целите, за които се обработват лични данни на това основание, трябва да са описани в приложимите известия по защита на данните.
- СЪГЛАСИЕ
- За лични данни, които се изискват в изпълнение на законови разпоредби – съгласие на субекта на данни не се изисква. За лични данни, които не се изискват по закон – субектът на данни се счита за съгласен с обработването, ако изрази това ясно и недвусмислено – чрез изявление или друг потвърждаващ акт. Ако съгласието за обработка на лични данни се дава чрез документ, който урежда и други въпроси, то следва да бъде изискано отделно от съгласието по други въпроси.
- Субектите на данни трябва да могат лесно да оттеглят съгласието си за обработване по всяко време, и оттеглянето трябва да бъде уважено своевременно. Ако не съществува друго условие за законосъобразност на обработването, с оттеглянето на съгласието то следва да се прекрати.
- Декларациите за съгласие се съхраняват от “РЕСПОНСА ПРЕВЕНТ” ООД, докато се извършват действия по обработване на данни на това основание, с оглед спазването на принципа на отчетност.
- ПРОЦЕДУРИ ПО ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ
- Личните данни, отнасящи се до лицата, заети по трудови или граждански правоотношения в “РЕСПОНСА ПРЕВЕНТ” ООД, както и на кандидатите за работа, се събират при и по повод набирането на персонал. Данните на всеки работник и служител на “РЕСПОНСА ПРЕВЕНТ” ООД се съхраняват в лични досиета, като някои данни могат да се съхраняват или обработват и на технически носител. Данните от проведени конкурси и интервюта се съхраняват на технически и/или хартиен носител, в зависимост от нуждата.
- Личните досиета се подреждат в специални картотечни шкафове със заключване, находящи се в кабинета на Лицето, отговорно за личните данни. Данните на кандидатите за работа, които се съхраняват на хартиен носител, се съхраняват в нарочни шкафове в кабинета на Лицето, отговорно за личните данни. Достъпът до кабинета се предоставя само на лицата, оправомощени да обработват личните данни, като за целта се създава специален ред за влизане в помещението чрез ключ, магнитна карта или друго подходящо средство и/или устройство.
- Лицата, оправомощени да обработват лични данни, предприемат всички организационно-технически мерки за съхраняването и опазването на личните досиета и класьорите с информация, в това число ограничаване на достъпа до тях на външни лица и неоторизирани служители.
- Досиета на работниците и служителите, както и данните на кандидатите за работа, се обработват от външна счетоводна компания, с която условията и реда са регламентирани с “РЕСПОНСА ПРЕВЕНТ” ООД.
- Личните данни, отнасящи се до клиенти, се събират при подаване на заявка за предоставяне на услуга или сключване на договор с клиент на “РЕСПОНСА ПРЕВЕНТ” ООД.
- Личните данни, отнасящи се до доставчици на услуги, се събират при сключване на договор с доставчик на услуги, като обичайно личните данни се съдържат в текста на самите договори.
- Личните данни се съхраняват на електронен и хартиен носител, които се класират в отделни досиета. Досиетата се съхраняват в шкафове, които се заключват, в кабинета на Лицето, отговорно за личните данни. Електронните данни се съхраняват в бази данни.
- ДОКУМЕНТИРАНЕ НА ОБРАБОТКАТА НА ЛИЧНИ ДАННИ
- “РЕСПОНСА ПРЕВЕНТ” ООД документира дейностите по обработване на лични данни при спазване на принципа на отчетност.
- Документацията трябва да е достатъчна, за да докаже спазването на принципите за законосъобразно обработване на личните данни.
- Обработването на данни, свързано с предаване на данни на обработващи, установени в страната или чужбина; съхранение на данни на сървъри, собственост на трети лица; архивиране или изтриване на данни; въвеждане на псевдонимизация, както и всяка друга обработка, чиито параметри са различни от описаните в тези правила, се документира чрез създаване на протоколи, които съдържат следната информация:
- целите на обработването;
- категориите лични данни и категориите субекти на данни;
- категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави;
- предаването на лични данни на трета държава;
- когато е възможно, предвидените срокове за изтриване на различните категории данни;
- общо описание на техническите и организационни мерки за сигурност.
- Протоколите се изготвят от лицата, които извършват съответната обработка на данни по указания от Лицето, отговорно за личните данни.
- Съвкупността от всички протоколи, съдържащи гореописаната информация, съставлява регистъра на дейностите по обработването, съгласно чл. 30 от ОРЗД.
- МЕРКИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
- Всички помещения, в които се съхраняват и обработват лични данни, са с контрол на достъпа.
- Помещенията на “РЕСПОНСА ПРЕВЕНТ” ООДса надеждно обезопасени посредством противопожарни мерки съгласно българското законодателство.
- “РЕСПОНСА ПРЕВЕНТ” ООДустановява процедури по обработване на лични данни, регламентиране на достъпа до данните, процедури по унищожаване и срокове за съхранение, подробно разписани в тези Правила. За отделни категории данни може да се предвиди псевдонимизиране по предложение на Лицето, отговорно за личните данни.
- Размножаването и разпространението на документи или файлове, съдържащи лични данни, се извършва само и единствено от упълномощени служители при възникнала необходимост.
- Преди заемане на съответната длъжност лицата, които осъществяват защита и обработване на личните данни:
- поемат задължение за неразпространение на личните данни, до които имат достъп;
- се запознават с нормативната база, вътрешните правила и политики на “РЕСПОНСА ПРЕВЕНТ” ООДотносно защитата на личните данни;
- преминават обучение за реакция при събития, застрашаващи сигурността на данните;
- са инструктирани за опасностите за личните данни, които се обработват от “РЕСПОНСА ПРЕВЕНТ” ООД;
- се задължават да не споделят критична информация помежду си и с външни лица, освен по установения с тези Правила ред.
- При постъпване на работа всички служители преминават обучение за реакция при събития, застрашаващи сигурността на данните, и обучение относно задълженията на “РЕСПОНСА ПРЕВЕНТ” ООД, свързани с обработката на лични данни, и мерките за защита на данните, които следва да предприемат в процеса на работа. Последващи обучения и тренировки на персонала се провеждат периодично, за да се гарантира познаване на нормативната уредба, потенциалните рискове за сигурността на данните и мерките за намаляването им.
- Достъп до операционната система, съдържаща файлове с лични данни, имат само лица, чиито служебни задължения или конкретно възложена задача налагат такъв достъп. Достъпът се осъществява чрез парола.
- Електронните бази данни са защитени посредством логически средства за защита, като антивирусна програма, която се обновява автоматично, защитни стени (fIrewalls) и др.
- Архивиране на личните данни на технически носител се извършва периодично с оглед съхранение на информацията.
- Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване, извършени умишлено от лице или в случай на технически неизправности, аварии, произшествия, бедствия, др., се осигурява посредством:
- въвеждане на пароли за компютрите, чрез които се предоставя достъп до личните данни, и файловете, които съдържат лични данни;
- антивирусни програми, проверки за нелегално инсталиран софтуер;
- периодични проверки на целостта на базата данни и актуализиране на системната информация, поддържане на системата за достъп до данните;
- периодично архивиране на данните на технически носители, поддържане на информацията на хартиен носител (архивни копия).
- Лицето, отговорно за личните данни, докладва периодично на ръководството на “РЕСПОНСА ПРЕВЕНТ” ООДпредприетите мерки за гарантиране нивото на сигурност при обработване на лични данни.
- НАРУШЕНИЯ НА СИГУРНОСТТА
- Лицата, идентифицирали признаци на нарушение на сигурността на данните, са длъжни да докладват незабавно на Лицето, отговорно за личните данни, като му предоставят цялата налична информация.
- Лицето, отговорно за личните данни, извършва незабавно проверка по подадения сигнал, като се опитва да установи дали е осъществено нарушение на сигурността и кои данни са засегнати.
- Лицето, отговорно за личните данни, докладва незабавно на съдружниците в “РЕСПОНСА ПРЕВЕНТ” ООД наличната информация за нарушението на сигурността, включително информация относно характера на инцидента, времето на установяването му, вида на щетите, предприетите към момента мерки и мерките, които счита, че трябва да се предприемат.
- След съгласуване с ръководството на “РЕСПОНСА ПРЕВЕНТ” ООД, Лицето, отговорно за личните данни, предприема мерки за предотвратяване или намаляване последиците от пробива и възможностите за възстановяване на данните.
- При спешност, когато съгласуване с ръководството би забавило реакцията и би нанесло големи щети, Лицето, отговорно за личните данни, може по своя преценка да предприеме мерки за предотвратяване или намаляване последиците от нарушението на сигурността. В този случай Лицето, отговорно за личните данни, уведомява незабавно ръководството за предприетите мерки и съобразява последващи действия с получените инструкции.
- В случай че нарушението на сигурността създава вероятност от риск за правата и свободите на физическите лица, чиито данни са засегнати, и след одобрение от ръководството на “РЕСПОНСА ПРЕВЕНТ” ООД, Лицето, отговорно за личните данни, организира уведомяването на КЗЛД.
- Уведомяването на КЗЛД следва да се извърши без ненужно забавяне и когато това е осъществимо –не по-късно от 72 часа след първоначалното узнаване на нарушението.
- Уведомлението до КЗЛД съдържа следната информация:
– описание на нарушението на сигурността; категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;
– името и координатите за връзка на Лицето, отговорно за личните данни;
– описание на евентуалните последици от нарушението на сигурността;
– описание на предприетите или предложените мерки за справяне с нарушението на сигурността, включително мерки за намаляване на евентуалните неблагоприятни последици.
- Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Лицето, отговорно за личните данни, без ненужно забавяне и при спазване на приложимото законодателство уведомява засегнатите физически лица.
- “РЕСПОНСА ПРЕВЕНТ” ООД води регистър на нарушенията на сигурността, който съдържа следната информация:
– дата на установяване на нарушението;
– описание на нарушението – източник, вид и мащаб на засегнатите данни, причина за нарушението (ако е приложимо);
– описание на извършените уведомявания: уведомяване на КЗЛД и засегнатите лица, ако е било извършено;
– предприети мерки за предотвратяване и ограничаване на негативни последици за субектите на данни и за “РЕСПОНСА ПРЕВЕНТ” ООД;
– предприети мерки за ограничаване на възможността от последващи нарушения на сигурността.
- Регистърът се води в електронен формат от Лицето, отговорно за личните данни.
- ПРЕДОСТAВЯНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ЛИЦА
- “РЕСПОНСА ПРЕВЕНТ” ООД може при необходимост да предоставя лични данни на трети лица, действащи в качеството на обработващ, въз основа на изричен договор.
- В случаите на предоставяне на данните на служители, клиенти или доставчици на услуги на обработващ, “РЕСПОНСА ПРЕВЕНТ” ООД:
– изисква достатъчно гаранции от обработващия за спазване на законовите изисквания и добрите практики за обработка и защита на личните данни;
– сключва писмено споразумение или друг правен акт с идентично действие, който урежда задълженията на обработващия и отговаря на изискванията на чл. 28 от Регламент (ЕС) 2016/679;
– информира физическите лица, чиито данни ще бъдат предоставени на обработващ.
- “РЕСПОНСА ПРЕВЕНТ” ООД не обработва лични данни извън ЕС/ЕИП
- ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ЗАЩИТАТА НА ДАННИТЕ
- Оценка на въздействието се извършва, когато това се изисква съгласно приложимото законодателство и с оглед на риска за физическите лица и естеството на обработка на лични данни, извършвана от “РЕСПОНСА ПРЕВЕНТ” ООД. Оценка на въздействието се извършва за високорискови дейности по обработване.
- Оценка на въздействието е необходимо при всяко въвеждане на ключова система или смяна на бизнес програма, която е свързана с обработване на лични данни, включително:
– първоначалното въвеждане на нови технологии или прехода към нови технологии;
– автоматизирано обработване, включително профилиране или автоматизиране вземане на решения;
– обработване на чувствителни лични данни в голям мащаб;
– мащабно, систематично наблюдение на публично обществена зона.
- За оценката се съставя протокол, който се предоставя при поискване от страна на КЗЛД.
- УНИЩОЖАВАНЕ НА ЛИЧНИ ДАННИ
- Унищожаване на личните данни се извършва от “РЕСПОНСА ПРЕВЕНТ” ООД или изрично упълномощено лице, без да бъдат накърнявани правата на лицата, за които се отнасят данните, обект на унищожаването, и при спазване на разпоредбите на относимите нормативни актове.
- Информацията в регистрите се унищожава след постигане на целите на обработката и при отпаднала необходимост за съхранение.
- Унищожаването на данни на хартиен носител се извършва чрез нарязване с шредер машина. Електронните данни се изтриват от електронната база данни по начин, непозволяващ възстановяване на информацията.
- ПРЕХВЪРЛЯНЕ НА ЛИЧНИ ДАННИ НА ДРУГ АДМИНИСТРАТОР НА ЛИЧНИ ДАННИ.
1. Всички трансфери на данни ще се извършва с помощта на защитени средства, включително криптиране или виртуална частна мрежа.
2. След постигане целта на обработване на личните данни съхранението на тези лични данни е допустимо само в предвидените в закон случаи.
- ДЕЙСТВИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ ПРИ АВАРИИ, ПРОИЗШЕСТВИЯ И БЕДСТВИЯ (ПОЖАР, НАВОДНЕНИЕ И ДР.)
- По време на периодичния инструктаж за правилата за безопасност в помещенията на “РЕСПОНСА ПРЕВЕНТ” ООДи действията на служителите при авария, произшествие или бедствие се инструктират и оправомощените лица как да изнесат регистрите без риск за живота си.
- При предупреждения за настъпващи природни бедствия и евакуирането на живущите и работещите в застрашените райони, оправомощените за достъп лица/обработващите лични данни полагат максимални усилия без да застрашават живота си, за да отнесат със себе си носителите, на които се съхраняват регистрите с лични данни.
- След аварията, бедствието или произшествието, в най-кратък възможен срок обработващите установяват състоянието на регистрите и на архивните копия и, когато е наложително и възможно, предприемат действия за възстановяването на засегнатите регистри.
- ЛИЦА, ОТГОВАРЯЩИ ЗА СЪБИРАНЕТО, ОБРАБОТКАТА И СЪХРАНЕНИЕТО НА ЛИЧНИТЕ ДАННИ И ДОСТЪП ДО ЛИЧНИ ДАННИ
- Лицето, отговорно за личните данни, и лицата, обработващи личните данни от името на “РЕСПОНСА ПРЕВЕНТ” ООД, са физически или юридически лица, притежаващи необходимата компетентност и назначени и/или упълномощени със съответен писмен акт, включително и чрез настоящите Правила.
- Лицето, отговорно за личните данни:
- подпомага “РЕСПОНСА ПРЕВЕНТ” ООД и лицата, обработващите личните данни при изпълняване на задълженията им по защита на личните данни, като осигурява прилагането и поддържа необходимите технически и организационни мерки и средства за осъществяване на защитата на данните;
- осигурява нормалното функциониране на гореспоменатите системи за защита;
- осъществява контрол през целия процес на събиране и обработване на данните;
- изпълнява всички задължения по докладване и управление на нарушения на сигурността на данните;
- периодично изисква информация от лицата, обработващи лични данни, във връзка със събирането, достъпа и обработването им;
- уведомява “РЕСПОНСА ПРЕВЕНТ” ООД своевременно за всички нередности, установени във връзка с изпълнение на задълженията му;
- унищожава данните от хартиените и техническите носители съгласно закона и сроковете, установени в тези Правила;
- преупълномощава физически или юридически лица с писмен акт, които да осъществяват защитата на личните данни.
- Събирането, обработката, съхранението и защитата на личните данни се извършва само от лица, на които това е изрично указано и чиито служебни задължения или конкретно възложена задача налагат това.
- При възлагане на дейности, налагащи обработката на лични данни от регистрите на “РЕСПОНСА ПРЕВЕНТ” ООД, доставчиците на услуги следва да спазват приложимите нормативни изисквания относно обработката на личните данни и процедурите на чл. 19 от тези Правила.
- Достъп до личните данни могат да имат и съответните държавни органи – съд, следствие, прокуратура, ревизиращи органи и др. Гореспоменатите могат да изискат данните по надлежен ред във връзка с изпълнението на техните правомощия.
- ПРАВА НА СУБЕКТИТЕ НА ДАННИ
- Всяко лице има право да иска достъп до своите лични данни, включително и да иска потвърждение дали данните, отнасящи се до него, се обработват, да се информира за целите на това обработване, категориите данни и за получателите на данните, както и за целите на всяко обработване на лични данни, отнасящи се до него.
- Правото на достъп се осъществява чрез искане на засегнатото физическо лице, получено в офиса на “РЕСПОНСА ПРЕВЕНТ” ООД или официалната електронна поща, подписано с квалифициран електронен подпис.
- За улеснение на субектите на лични данни в офиса на дружеството са изготвени бланки на заявленията за упражняване на права.
- Всяко физическо лице има право да поиска заличаването, коригирането или блокирането на негови лични данни, обработването на които не отговаря на изискванията на закона.
- Всяко лице има право писмено да възрази срещу обработването на и/или предоставянето на трети лица на неговите лични данни без необходимото законово основание.
- “РЕСПОНСА ПРЕВЕНТ” ООД е длъжно в двуседмичен срок от получаване на искане по предходните алинеи да уведоми заявителя дали са налице законовите основания за уважаване на искането. Ако “РЕСПОНСА ПРЕВЕНТ” ООД установи, че са налице законовите основания да уважи искането, уведомява лицето и за реда, по който може да упражни правото си.
- Субектите на данни имат също правото да:
- оттеглят съгласието си за обработване по всяко време;
- възразят срещу употреба на личните им данни за целите на директния маркетинг;
- изискат информация за основанието, въз основа на което личните им данни са предоставени за обработване на обработващ извън ЕС/ЕИП;
- възразят срещу решение, взето изцяло на база на автоматизирано обработване, включително профилиране;
- бъдат уведомени за нарушение на защита на данните, което е вероятно да доведе до висок риск за техните права и свободи;
- подават жалби до регулаторния орган;
- в някои случаи да получат или да поискат техните лични данни да бъдат трансферирани до трета страна в структуриран, общо използван формат, подходящ за машинно четене (право на преносимост).
- ПРОМЕНИ НА ВЪТРЕШНИТЕ ПРАВИЛА
Чл. 27.“РЕСПОНСА ПРЕВЕНТ” ООД може да променя тези Правила по всяко време. Всички промени следва да бъдат незабавно сведени до знанието на лицата, които засягат.
Настоящите Правила са приети и влизат в сила на деня на подписването им.
За и от името на “РЕСПОНСА ПРЕВЕНТ” ООД
УТВЪРДИЛ
Нейко Нейков – Управител на“РЕСПОНСА ПРЕВЕНТ” ООД
Дата: 21.05.2018, гр. София