stay_current_portrait 032 957 802 (от 09.00 до 17.00 ч.) email office@maystora.bg Вход

ВЪТРЕШНИ ПРАВИЛА

За мерките за защита на личните данни (технически и организационни)



І. ОБЩИ ПОЛОЖЕНИЯ

Чл.1 (1) „Майстора БГ” Еоод, ЕИК 205460855 е еднолично дружество дружество с ограничена отговорност, регистрирано в Р България и вписано в Търговския регистър към Агенция по вписванията /наричано по-долу дружеството и/или администратор/. Дружеството се управлява и представлява от управител. Адресът на управление на дружеството е гр. Пловдив, район Северен, ул. Петър Шилев № 18, ет.10, ап. 50. електронната поща е: office@maystora.bg тел. за връзка 032 957802 Дружеството е администратор на лични данни.

(2) Настоящите вътрешни правила се прилагат за дружеството. С тях се уреждат редът и условията на обработване на лични данни, както и мерките и средствата за тяхната защита.

(3) Дружеството обработва лични данни във връзка със своята дейност и само определя целите и средствата за обработването им, като в този случай действа като администратор на лични данни.

(4) Възможно е дружеството да обработва лични данни за цели, определени самостоятелно от трето лице /държавни и общински органи в кръга на техните правомощия по закон/ или съвместно с трето лице. В тези случаи има положението или на обработващ лични данни, ако целите са определени от лицето, което е възложило обработването, или на съадминистратор, ако целите са определени съвместно.

Чл. 2 Настоящите Вътрешни правила уреждат организацията на обработване и защитата на лични данни на служителите /ако такива бъдат наети/, включително и на кандидатите за работа, на контрагентите и партньорите, клиентите, както и на физически лица, свързани с осъществяването на дейността на дружеството.

Чл. 3 (1) „Личните данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това лице.

(2) „Обработване на лични данни“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

(3) „Регистър на лични данни“ представлява всеки структуриран набор от лични данни, независимо от неговия вид и носител, достъпът, до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.

Чл. 4 Дружеството е администратор на лични данни по смисъла на чл. 4 т. 7 от Общия регламент относно защита на данните (ЕС) 2016/679.

Чл. 5 (1) Принципите за защита на личните данни са:

1.Законосъобразност, добросъвестност и прозрачност – обработване на наличие на законово основание, при полагане на дължимата грижа и при информиране на субекта на данни;

2.Ограничение на целите- събиране на данни за конкретни, изрично указани и легитимни цели и забрана за по-нататъшно обработване по начин, несъвместим с тези цели.

3. Свеждане на данните до минимум – данните да са подходящи, свързани със и ограничени до необходимото във връзка с целите на обработването;

4. Точност – поддържане в актуален вид и предприемане на всички разумни мерки за гарантиране на своевременно изтриване или коригиране на неточни данни, при отчитане на целите на обработването;

5. Ограничение на съхранението – данните да се обработват за период с минимална продължителност съгласно целите. Съхраняване за по-дълги срокове е допустимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или статически цели, но при условие, че са приложени подходящи технически и организационни мерки;

6. Цялостност и поверителност – обработване по начин, който гарантира подходящо ниво на сигурност на личните данни, като се прилагат подходящи технически или организационни мерки;

7. Отчетност – администраторът носи отговорност и трябва да е в състояние да докаже спазването на всички принципи, свързани с обработването на лични данни.

(2) Ако конкретната цел или цели, за които се обработват лични данни от администратора, не изискват или вече не изискват идентифициране на субекта на данните (например след обработване и агрегиране на получени данни), дружеството не е задължено да поддържа, да се сдобие или да обработи допълнителна информация за да идентифицира субекта на данните, с единствена цел да докаже изпълнението на изискванията на Регламент 2016/679.

Чл. 6 Дружеството организира и предприема мерки, за защита на личните данни от случайно или незаконно унищожаване, от неправомерен достъп, от изменение или разпространение както и от други незаконни форми на обработване. Предприеманите мерки са съобразени със съвременните технологични достижения и рисковете, свързани с естеството на данни, които трябва да бъдат защитени.

Чл. 7 (1) Дружеството прилага адекватна защита на личните данни, съобразена с нивото на нейното въздействие.

(2) Тя включва:

1.Физическа защита;

2.Персонална защита;

3.Документална защита;

4.Защита на информационни системи и мрежи;

Чл. 8 (1) Личните данни се събират за конкретни, точно определени от закона цели, обработват се законосъобразно и добросъвестно и не могат да се обработват допълнително по начин, несъвместим с тези цели. По-нататъшното обработване на личните данни за целите на архивирането в обществен интерес, за научни, исторически изследвания или за статистически цели не се счита за несъвместимо с първоначалните цели.

(2) Личните данни се съхраняват на хартиен, технически и/или електронен носител само за времето, необходимо за изпълнение на правните задължения на администратора, ако за обработването е приложим специален срок за съхранение – предвидения в съответния нормативен документ срок.

(3) Личните данни се съхраняват в нормативно определените срокове, а за които няма такива, в разумни срокове определени от администратора:

- Определени от трудовото и данъчно законодателство: личен състав – 50 години, ведомости за заплати – 50 години, заповеди – 5 години, входяща и изходяща кореспонденция – 5 години, счетоводни документи 5 години или до извършване на одит и/или проверка/ревизия.

- Документи и данни на кандидати за работа /неизбрани/ – 5 месеца след приключване на процедурата по извършване на подбор, сключване на трудов договор и назначаване на съответно лице на длъжност

- Лични данни на клиенти /възложители/ и на майстори се пазят на сайта до запазване на създадения акаунт с уникално потребителско име и тя остава до тогава докато лицето желае да я има. С отправяне на заявление от лице, с което се иска заличаване на акаунта, дружеството изтрива последния от сайта, заедно с всички лични данни в него.

(4) Ако има други срокове, то те са посочени във всеки конкретен регистър, който се води от администратора

(5) Събирането, обработването и съхраняването на лични данни в регистрите на администратора се извършва на електронен носител, в помещенията на адреса на управление и е съобразено с посочените мерки за защита и оценката на подходящото ниво на сигурност на съответния регистър.

Чл. 9 Когато не са налице хипотезите на чл. 6, §1, букви от “б“ до „е“ от Регламент 2016/679, физическите лица, чиито лични данни се обработват, подписват декларация за съгласие по образец (Приложение № 1), както и обработващи лични данни, на които администраторът е възложил обработването на данни от съответния регистър при условията на чл. 28 от Общия регламент относно защитата на данните.

Чл. 10 (1) Право на достъп до и обработване на конкретните регистри с лични данни, имат само натоварените за това служители на администратора. Достъп на други служители и/или лица се допуска за дейности свързани с осъществяване на целите и задачите на му.

(2) Натоварването на служителите се извършва на база длъжностна характеристика и/или чрез изричен акт на управителя на администратора.

(3) Служителите носят отговорност за осигуряване и гарантиране на регламентиран достъп до служебните помещения и опазване на регистрите, съдържащи лични данни. Всяко нарушение на правилата и ограниченията за достъп до личните данни от персонала е основание за налагане на дисциплинарни санкции по отношение на съответните работници и служители.

(4) Служителите нямат право да разпространяват информация за личните данни, станали им известни при и по повод изпълнение на служебните им задължения.

Чл. 11 (1) Документите и преписките, по които работата и дейностите са приключили, се архивират.

(2) Трайното съхраняване за нуждите на архивирането на документи, съдържащи лични данни, се извършва според естеството им, на електронен и/или на хартиен носител в помещения, определени за архив, за срокове, съобразени с действащото законодателство.

(3) Документите и/или личните данни на електронен носител, се съхраняват на специализирани сървъри, компютърни системи и/или външни носители на информация. Архивирането на личните данни на технически носител се извършва периодично с оглед запазване на информацията за съответните лица в актуален вид и възможността и за възстановяване, в случай на погиване на основния носител/система. Архивните копия се съхраняват на различно местоположение от мястото на компютърното оборудване, обработващо данните. Достъп до архивите имат само обработващият/операторът на лични данни и натоварените служители.

(5) Достъп до архивираните документи, съдържащи лични данни, имат единствено натоварените служители и други лица, на които е даден изричен еднократен или многократен достъп от управителя на дружеството.

Чл. 12 (1) С оглед защита на хартиените, техническите и информационните ресурси всички служители са длъжни да спазват правилата за противопожарна безопасност.

Чл. 13 (1) При регистриране на неправомерен достъп до информационните масиви за лични данни, или при друг инцидент, нарушаващ сигурността на личните данни, служителят, констатирал това нарушение/инцидент, незабавно докладва за това на управителя за инцидента. Уведомяването за инцидент се извършва писмено, по електронен път или по друг начин, който позволява да се установи извършването му и да се спази изискването за уведомяване на Комисията за защита на личните данни в срок от 72 часа от узнаването за инцидента.

(2) Процесът по докладване и управление на инциденти задължително включва регистрирането на инцидента, времето на установяването му, лицето, което го докладва, лицето, на което е бил докладван, последствията от него и мерките за отстраняването му.

Чл.14 (1) При повишаване на нивото на чувствителност на информацията, произтичащо от изменение на нейния вид или в рисковете при обработването й, администраторът може да определи допълнителни мерки за защита на информацията от съответния регистър на лични данни.

Чл. 15 (1) След постигане целта на обработване на личните данни, съдържащи се в поддържаните от дружеството регистри, следва да бъдат унищожени при спазване на предвидените в настоящите Вътрешни правила процедури.

(2) В случаите, когато се налага унищожаване на носител на лични данни, дружеството прилага необходимите действия за заличаването на личните данни по начин, изключващ възстановяване на данните и злоупотреба с тях, като:

1. Личните данни, съхранявани на електронен носител и сървъри, се унищожават чрез трайно изтриване, вкл. презаписване на електронните средства или физическо унищожаване на носителите;

2. Документите на хартиен носител, съдържащи данни, се унищожават чрез нарязване и/или изгаряне.

(3) Унищожаване се осъществява от служители, упълномощени с изричен писмен акт на управителя.

(4) За извършеното унищожаване на лични данни и носители на лични данни се съставя Протокол, подписан от служителите по ал. 3 съгласно образец, представляващ Приложение 2 към настоящите правила.

Чл. 16(1) Достъп на лица до лични данни се предоставя единствено, ако те имат право на такъв достъп, съгласно действащото законодателство, след подаване на заявления, респ. искане за достъп на информация и след тяхното легитимиране.

(2) Решението си за предоставяне или отказване достъп до лични данни за съответното лице, дружеството съобщава в 1-месечен срок от подаване на заявлението, респ. искането.

(3) Информацията може да бъде предоставена под формата на:

1.устна справка;

2.писмена справка;

3. преглед на данните от самото лице;

4. предоставяне на исканата информация на технически и/или електронен носител.

Чл.16.1. Предприетите мерки за защита на личните данни в съответствие с изискванията Регламент 2016/679, са насочени към осигуряване правата на субектите, чиито лични данни се обработват, а именно:

- Право на достъп;

- Право на коригиране на неточни или непълни данни;

- Право на изтриване (правото да бъдеш забравен), ако са приложими условията на чл. 17 от РЕГЛАМЕНТ 2016/679;

- Право на ограничение на обработването;

- Право на преносимост на данните, ако са налице условията за преносимост по чл. 20 от РЕГЛАМЕНТ 2016/679;

- Право на възражение, ако са налице условията на чл. 21 от РЕГЛАМЕНТ 2016/679;

- Право субектът на данни да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране.

- Право на подаване на жалба

(4) Всеки правен субект, който обработва лични данни по възлагане и от името на администратора, е обработващ лични данни и следва да подпише споразумение за обработка на данни, включващо клаузите по чл. 28 от Общия регламент относно защитата на данните.

(5) Третите страни получават достъп до лични данни, обработвани от дружеството, при наличие на законово основание за обработването на лични данни, като например държавни органи и органи, натоварени с публични функции, в рамките на техните правомощия (МОН, РУО, НАП, НОИ, МВР, САК, съдилища, прокуратура, съдебни изпълнители, нотариуси, други органи, натоварени с публични функции, и др.), пощенски оператори и куриерски фирми – за осъществяване на кореспонденция, и др.