Политика за поверителност
I. ОБЩИ ПОЛОЖЕНИЯ
Чл. 1. (1) Център за правна помощ Глас в България, наричана по-долу само
„ЦППГБ“ е юридическо лице с нестопанска цел, регистрирано в обществено-полезна дейност, основана за да подпомага и защитава правата на мигранти и бежанци на територията на Република България, както и правата на сходни групи от нуждаещи се чрез предоставяне на безвъзмездна юридическа помощ и консултации, водене на индивидуални съдебни дела и е регистрирана по Закона за регистър Булстат 175641035
- ЦППГБ е със седалище в гр. София и адрес на управление: гр. София, Младост 1 бл.92 ет.13 ап.90
- ЦППГБ обработва лични данни във връзка със своята дейност и сама определя целите и средствата за обработването им. В този случай ЦППГБ действа като администратор на лични данни.
(5) В случаите, в които ЦППГБ обработва лични данни за цели, определени самостоятелно от трето лице или целите са определени съвместно от ЦППГБ и трето лице, ЦППГБ има положението или на обработващ лични данни (ако целите са определени от лицето, което е възложило обработването) или на съадминистратор.
Чл. 2. Настоящите Вътрешни правила на ЦППГБ уреждат организацията на обработване и защитата на лични данни при осъществяването дейността на организацията.
Чл. 3. (1) „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
- „Обработване на лични данни“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
- „Регистър с лични данни“ представлява всеки структуриран набор от лични данни, независимо от неговия вид и носител, достъпът до които се осъществява
съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.
Чл. 4. (1) ЦППГБ е администратор на лични данни по смисъла на чл. 4, т. 7 от Общия регламент относно защитата на данните (ЕС) 2016/679.
- Като администратор на лични данни, при обработването на лични данни ЦППГБ спазва принципите за защита на личните данни, предвидени в Общия регламент относно защитата на данните (ЕС) 2016/679 и законодателството на Европейския съюз и Република България.
Чл. 5. (1) Принципите за защита на личните данни са:
- Законосъобразност, добросъвестност и прозрачност – обработване при наличие на законово основание, при полагане на дължимата грижа и при информиране на субекта на данни;
- Ограничение на целите – събиране на данни за конкретни, изрично указани и легитимни цели и забрана за по-нататъшно обработване по начин, несъвместим с тези цели;
- Свеждане на данните до минимум – данните да са подходящи, свързани със и ограничени до необходимото във връзка с целите на обработването;
- Точност – поддържане в актуален вид и предприемане на всички разумни мерки за гарантиране на своевременно изтриване или коригиране на неточни данни, при отчитане на целите на обработването;
- Ограничение на съхранението – данните да се обработват за период с минимална продължителност съгласно целите. Съхраняване за по- дълги срокове е допустимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или статистически цели, но при условие, че са приложени подходящи технически и организационни мерки;
- Цялостност и поверителност – обработване по начин, който гарантира подходящо ниво на сигурност на личните данни, като се прилагат подходящи технически или организационни мерки;
- Отчетност – администраторът носи отговорност и трябва да е в състояние да докаже спазването на всички принципи, свързани с обработването на лични данни.
- Ако конкретната цел или цели, за които се обработват лични данни от ЦППГБ, не изискват или вече не изискват идентифициране на субекта на данните, ЦППГБ не е задължена да поддържа, да се сдобие или да обработи допълнителна информация за да идентифицира субекта на данните, с едиствена цел да докаже изпълнението на изискванията на Регламент 2016/679.
Чл. 6. ЦППГБ организира и предприема мерки за защита на личните данни от случайно или незаконно унищожаване, от неправомерен достъп, от изменение или разпространение както и от други незаконни форми на обработване на лични данни. Предприеманите мерки са съобразени със съвременните технологични достижения и рисковете, свързани с естеството на данните, които трябва да бъдат защитени.
Чл. 7. ЦППГБ прилага адекватна защита на личните данни, която включва:
- Физическа защита;
- Персонална защита;
- Документална защита;
- Защита на автоматизирани информационни системи и мрежи.
Чл. 8. (1) Личните данни се събират за конкретни, точно определени от закона цели, обработват се законосъобразно и добросъвестно и не могат да се обработват допълнително по начин, несъвместим с тези цели. По-нататъшното обработване на личните данни за целите на архивирането в обществен интерес, за научни, исторически изследвания или за статистически цели не се счита за несъвместимо с първоначалните цели.
- Личните данни се съхраняват на хартиен, технически и/или електронен носител, само за времето, необходимо за изпълнение на правомощия, правни задължения на ЦППГБ и/или нормалното му функциониране.
- Събирането, обработването и съхраняването на лични данни в регистрите на ЦППГБ се извършва на хартиен, технически и/или електронен носител по централизиран и/или разпределен способ в помещения, съобразно с предвидените мерки за защита и оценката на подходящото ниво на сигурност на съответния регистър.
Чл. 9. Когато не са налице хипотезите на чл. 6, пар. 1, б. „б“ – „ е“ от Регламент 2016/679, физическите лица, чиито лични данни се обработват от ЦППГБ, подписват декларация за съгласие по образец (Приложение № 1).
Чл. 10. (1) Право на достъп до регистрите с лични данни имат само органите на ЦППГБ, съобразно възложените им от закона правомощия и оторизираните работници и служители на ЦППГБ, както и обработващи лични данни, на които администраторът е възложил обработването на данни от съответния регистър при условията на чл. 28 от Общия регламент относно защитата на данните.
- Оторизирането на работници и служители се извършва на база длъжностна характеристика или чрез изричен акт на Председателя на ЦППГБ
- Работниците и служители носят отговорност за осигуряване и гарантиране на регламентиран достъп до служебните помещения и опазване на регистрите, съдържащи лични данни. Всяко умишлено нарушение на правилата и ограниченията за достъп до личните данни от персонала може да бъде основание за налагане на дисциплинарни санкции по отношение на съответните работници и служители.
- Длъжностните лица нямат право да разпространяват информация за личните данни, станали им известни при и по повод изпълнение на служебните им задължения.
Чл. 11. (1) Документите и преписките, по които работата е приключила, се архивират.
Трайното съхраняване за нуждите на архивирането на документи, съдържащи лични данни, се извършва на хартиен носител в помещения, определени за архив, за срокове, съобразени с действащото законодателство.
(2) Документите на електронен носител се съхраняват на специализирани сървъри, компютърни системи и/или външни носители на информация. Архивиране на личните данни на технически носител се извършва периодично от обработващия/оператора на лични данни с оглед запазване на информацията за съответните лица в актуален вид и с цел осигуряване на възможност за възстановяване, в случай на погиване на основния носител/система. Архивните копия се съхраняват на различно местоположение от мястото на компютърното оборудване, обработващо данните. Достъп до архивите имат само обработващият/операторът/ на лични данни и оторизираните длъжностни лица.
- Достъп до архивираните документи, съдържащи лични данни, имат единствено оторизираните лица и органите на ЦППГБ съобразно възложените им от закона правомощия.
Чл. 12. (1) При регистриране на неправомерен достъп до информационните масиви за лични данни, или при друг инцидент, нарушаващ сигурността на личните данни, служителят, констатирал това нарушение/инцидент, незабавно докладва за това на прекия си ръководител, който от своя страна е длъжен, своевременно да информира Длъжностното лице по защита на данните за инцидента. Уведомяването за инцидент се извършва писмено, по електронен път или по друг начин, който позвалява да се установи извършването му и да се спази изискването за уведомяване на Комисията за защита на личните данни в срок от 72 часа от узнаването за инцидента.
(2) Процесът по докладване и управление на инциденти задължително включва регистрирането на инцидента, времето на установяването му, лицето, което го докладва, лицето, на което е бил докладван, последствията от него и мерките за отстраняването му.
Чл. 13. (1) При повишаване на нивото на чувствителност на информацията, произтичащо от изменение в нейния вид или в рисковете при обработването й, ЦППГБ може да определи допълнителни мерки за защита на информацията от съответния регистър на лични данни.
(2) Доклади за състоянието, рисковете и нивото на чувствителност на информацията се изготвят веднъж на 2 години или при промяна на характера на обработваните лични данни.
Чл. 14. (1) След постигане целта на обработване на личните данни, съдържащи се в поддържаните от ЦППГБ регистри, личните данни следва да бъдат унищожени при спазване на процедурите, предвидени в приложимите нормативни актове и в настоящите Вътрешни правила.
- В случаите, в които се налага унищожаване на носител на лични данни, ЦППГБ прилага необходимите действия за заличаването на личните данни по начин, изключващ възстановяване данните и злоупотреба с тях, като:
- Личните данни, съхранявани на електронен носител и сървъри, се унищожават чрез трайно изтриване, вкл. презаписването на електронните средства или физическо унищожаване на носителите;
- Документите на хартиен носител, съдържащи данни, се унищожават чрез нарязване.
- Унищожаване се осъществява от служители, упълномощени с изричен писмен акт на Председателя на ЦППГБ и след уведомяване на Длъжностното лице по защита на данните
- За извършеното унищожаване на лични данни и носители на лични данни се съставя Протокол, подписан от служителите по ал. 3, съгласно образец, представляващ Приложение № 2.
Чл. 15. (1) Достъп на лица до лични данни се предоставя единствено, ако те имат право на такъв достъп, съгласно действащото законодателство.
(2) Третите страни получават достъп до лични данни, обработвани в ЦППГБ, при наличие на законово основание за обработването на лични данни (напр. съд, прокуратура, НАП, НОИ, Висш адвокатски съвет, Национално бюро за правна помощ и др.п.).
ДЕКЛАРАЦИЯ ЗА СЪГЛАСИЕ от СУБЕКТА НА ДАННИТЕ
Долуподписаният/ата ……………………………………………………, с адрес: …………………………………………………., с настоящото декларирам, че давам съгласието си ЦЕНТЪР ЗА ПРАВНА ПОМОЩ ГЛАС В БЪЛГАРИЯ да обработва моите лични данни за целите на:
……………………………………………………………………………………………………………..,
със средства, съобразени с разпоредбите на Общия регламент относно защитата на данните (ЕС) 2016/679, приложимото право на Европейския съюз и законодателство на Република България относно защитата на личните данни.
Съзнавам, че мога да оттегля моето съгласие по всяко време.
Съзнавам, че оттеглянето на съгласието ми по-късно няма да засегне законосъобразността на обработването, основано на даденото от мен сега съгласие.
Информиран/а съм, че имам право на информация за събираните от мен данни, за парвото на достъп до тях, да искам данните ми да бъдат коригирани или изтрити, да искам обработването на данните ми да бъде ограничено и да възразя срещу определен начин на обработване на личните ми данни.
Дата: ………………………. | Декларатор: …………………………………..
/…………………………………………../
|
ДЕКЛАРАЦИЯ ЗА СЪГЛАСИЕ от СУБЕКТА НА ДАННИТЕ
Долуподписаният/ата ……………………………………………………, с адрес: …………………………………………………., с настоящото декларирам, че давам съгласието си ЦЕНТЪР ЗА ПРАВНА ПОМОЩ ГЛАС В БЪЛГАРИЯ да обработва моите лични данни за целите на:
……………………………………………………………………………………………………………..,
със средства, съобразени с разпоредбите на Общия регламент относно защитата на данните (ЕС) 2016/679, приложимото право на Европейския съюз и законодателство на Република България относно защитата на личните данни.
Съзнавам, че мога да оттегля моето съгласие по всяко време.
Съзнавам, че оттеглянето на съгласието ми по-късно няма да засегне законосъобразността на обработването, основано на даденото от мен сега съгласие.
Информиран/а съм, че имам право на информация за събираните от мен данни, за парвото на достъп до тях, да искам данните ми да бъдат коригирани или изтрити, да искам обработването на данните ми да бъде ограничено и да възразя срещу определен начин на обработване на личните ми данни.
Дата: ………………………. | Декларатор: …………………………………..
/…………………………………………../
|