ВЪТРЕШНИ ПРАВИЛА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ, ОБРАБОТВАНИ ОТ СДРУЖЕНИЕ БЪЛГАРСКА АСОЦИАЦИЯ ЗА РАЗВИТИЕ НА ПСИХОМОТОРИКАТА, ЕИК 206276865

1. Общи положения

 

1.1 Настоящите вътрешни правила целят да уредят организацията и вътрешния ред на Сдружение Българска Асоциация за Развитие на Психомоториката, ЕИК 206276865 („Сдружението“) при обработка на лични данни, за целите на изпълнение на задълженията на Сдруже-нието като администратор на лични данни.

 

1.2 Правилата са изготвени на основание Закона за защита на личните данни („ЗЗЛД“) и Регламент ЕС 2016/679 на Европейския парламент и Съвета от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО („Регламента“) и цели защита на физическите лица, членовете, служителите, партньорите на Сдружението от незаконосъобразно и недобросъвестно обработване на личните им данни.

 

1.3 За целите на настоящите вътрешни правила:

 

1.3.1 „Администратор на лични данни“ означава физическо или юридическо лице, публи-чен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специал-ните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в пра-вото на държава членка. Администратор на лични данни е Сдружението.

 

1.3.2 „Лични данни“ означава всяка информация, свързана с идентифицирано физическо ли-це или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо ли-це, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за место-нахождение, онлайн идентификатор или по един или повече признаци, специфични за физичес-ката, физиологичната, генетичната, психическата, умствената, икономическата, културната или социалната идентичност на това физическо лице.

 

1.3.3 „Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който дан-ните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

 

1.3.4 „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.

 

1.4 Всички служители и членове на Сдружението са длъжни да спазват настоящите вътреш-ни правила при обработката на лични данни при изпълнението на служебните си задължения.

 

2. Основания за обработка на лични данни и основни принципи, спазвани от Сдруже-нието

 

2.1 Сдружението обработва лични данни единствено при наличие на законово основание за съответната обработката, а именно:

 

(i) при наличие на законово задължение за обработката в тежест на Сдружението;

 

(ii) за целите на изпълнението на договор, по който субектът на данните е страна;

 

(iii) когато субектът на данните е дал писмено съгласие за конкретната обработка на данните;

 

(iv) когато обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;

 

(v) когато обработването е необходимо за изпълнение на задача от обществен интерес;

 

(vi) обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

 

2.2 Когато личните данни се обработват на база предоставено от субекта съгласие, същото следва да бъде изрично, свободно дадено и изразено в писмена декларация. Съгласието следва да се отнася до конкретните данни, подлежащи на обработка, и да покрива всяка конкретна цел на обработката. Преди подписването декларация-съгласие Сдружението предоставя и разяснява на субекта на данните цялата информация, съдържаща се в Приложение 1, актуална към момента на предоставяне на съгласието. Субектът на данните има правото да оттегли съгласието си по всяко време посредством писмено уведомление, получено от Сдружението.

 

2.3 Личните данни, които Сдружението събира и обработва, са в минимално необходимия за конкретната цел на обработката обем. Сдружението не изготвя и съхранява копия от лични документи на служители, контрагенти, клиенти или трети лица, освен в случаите, когато съществува законово задължение за това, като например, при условията на Закона за мерките срещу изпирането на пари. Личните данни, които Сдружението обработва, следва да бъдат точни и при необходимост или по искане на субекта на данните да се актуализират или коригират.

 

2.4 Като администратор на лични данни Сдружението спазва принципа за забрана на обработване на специални категории данни, отнасящи се до расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице. Изключения от този принцип се допускат с оглед изпълнение на задълженията на Сдружението като работодател във връзка с трудовото правоотношение със служителите, които произтичат от трудовото и осигурително законодателство и се отнасят до обработка на данни за членство в синдикални организации, както и данни, съдържащи се в болнични листове или медицински свидетелства, свидетелства за съдимост, изисквани от работодателя при започване на работа.

 

3. Срок на обработката

 

3.1 Сдружението обработва и съхранява личните данни за срок не по-дълъг от необходимия за изпълнение на целите, за които личните данни се обработват, като съблюдава сроковете за съхранение, предвидени в чл. 12 от Закона за счетоводството, а именно:

 

(i) ведомости за заплати: за 50 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят;

 

(ii) счетоводни регистри и финансови отчети, включително документи за данъчен контрол, одит и последващи финансови инспекции: 10 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят;

 

(iii) всички останали носители на счетоводна информация: 3 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят; и

 

(iv) друга информация: за срок от 3 г.

 

3.2 След изтичане на срока за съхранение на личните данни Сдружението осигурява безопасното им заличаване и унищожаване. Физическото унищожаване на данните се осъществява чрез машинно нарязване.

 

4. Регистри, видове лични данни и нива на защита

 

4.1 Сдружението поддържа следните регистри с лични данни (наричани по-нататък „Регистрите“):

 

(i) Лични данни на служителите, които се събират при постъпването на работа, обработват се за целите на трудовото правоотношение и се съхраняват в регистър „Служители“;

 

(ii) Лични данни на кандидатите за работа, се съхраняват в регистър „Кандидати за работа“;

 

(iii) Личните данни на лица, с които Дружеството има отношение на партньорски начала се събират при сключване на договор, обработват се и се съхраняват в регистър „Партньори“.

 

4.2 В Регистрите се съхраняват следните видове лични данни:

 

4.2.1 Регистър „Служители“ се съхраняват следните лични данни:

 

(i) физическа идентичност: имена, ЕГН, адрес, електронен адрес, телефон;

 

(ii) образование: документ за придобито образование, квалификация правоспособност;

 

(iii) трудова дейност: съгласно приложените документи за трудов стаж и професионална биография;

 

(iv) медицински данни: карта за предварителен медицински преглед за постъпване на рабо-та и болнични листове; и

 

(v) свидетелство за съдимост, когато се изисква.

 

За регистър „Служители“ се определя степен на защита: „средно ниво“.

 

4.2.2 Регистър „Кандидати за работа“ се съхраняват следните лични данни:

 

(i) физическа идентичност: имена, електронен адрес, телефон;

 

(ii) образование: информация за придобито образование, квалификация правоспособност;

 

(iii) трудова дейност: информация за трудов стаж и професионален опит.

 

За регистър „Кандидати за работа“ се определя степен на защита: „ниско ниво“. Данните се съх-раняват за период от не повече от 6 месеца, след което се унищожават.

 

4.2.3 В регистър „Партньори“ се съхраняват следните лични данни, относно физическа идентичност на партньори или представители на партньори – юридически лица: имена, ЕГН, адрес, електронен адрес, телефон.

 

За регистър „Партньори“ е определена степен на защита: „ниско ниво“.

 

5. Оценка на въздействие и определяне на съответно ниво на защита

 

5.1 Сдружението извършва оценка на въздействието с оглед определяне на нивото на защита, което да бъде приложено спрямо всеки един от регистрите. Оценката определя нивата на въздействие върху конкретно физическо лице или група физически лица при нарушаване на поверителността, цялостността или наличността на личните данни, в зависимост от характера на обра-ботваните лични данни и броя на засегнатите физически лица.

 

5.2 Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, администраторът извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни. В една оценка може да бъде разгледан набор от сходни операции по обработване, които представляват сходни високи рискове.

 

5.3 Оценката съдържа опис на предвидените операции по обработване и целите на обработването, включително, ако е приложимо, преследвания от администратора законен интерес, оцен-ка на необходимостта и пропорционалността на операциите по обработване по отношение на целите, оценка на рисковете за правата и свободите на субектите на данни, мерките, предвидени за справяне с рисковете, включително гаранциите, мерките за сигурност и механизмите за осигуряване на защитата на личните данни, като се вземат предвид правата и законните интереси на су-бектите на данни и на други заинтересовани лица.

 

5.4 Сдружението изготвя оценка на въздействието на всеки две календарни години, както и при изменение, налагащо промяна в нивото на защита, и предприема съответните мерки, като при необходимост изменя и настоящите правила.

 

6. Носители на данни и мерки за защита

 

6.1 Регистрите се водят и съхраняват на хартиен и електронен носител.

 

6.2 Сдружението организира и предприема мерки, съобразени със съвременните техноло-гични постижения и рисковете, свързани с естеството на данните, които трябва да бъдат защите-ни, за защита на личните данни от случайно или незаконно унищожаване, от неправомерен достъп, от изменение или разпространение както и от други незаконни форми на незаконна обработка.

 

6.3 Хартиените носители на лични данни се съхраняват в папки. Папките се подреждат в специални шкафове със заключващи механизми. С ключове от всички заключващи механизми разполага само управителят. Помещенията, в които се съхраняват личните данни, се намират в офис с контролиран достъп, разположен в сграда също с контролиран достъп.

 

6.4 Достъп до папките с лични данни имат само управителят на Сдружението.

 

6.5 В електронен вид данните се съхраняват в личната електронна поща на управителя, както и в електронна база данни, достъпът до която е ограничен. При работа с данните се използват компютри, защитени с парола за достъп.

 

6.6 Достъп до личната си електронна поща има само нейният титуляр.

 

6.7 Достъп до електронната база данни има само управителят.

 

6.8 Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява чрез тяхното криптиране, поддържане на антивирусни програми, периодично архивиране на данните на електронни носители, защита против неправомерно изтриване, чрез ограничаване възможността за изтриване на файлове, съдържащи лични данни, единствено от управителя.

 

6.9 Сдружението предприема следните мерки за защита на личните данни:

 

(i) програмно-технически: за надеждна и защитена идентификация и автентификация на изпращача и на получателя на информацията и осигуряване конфиденциалност, интегритет на пренасяната информация, поддържане на електронен архив и редовно архивиране на информационните бази, поддържане на операционните и антивирусни системи в актуално състояние, за регистрите със средно и по-високо ниво на защита се прилагат криптографски методи на защита при пренасяне на информацията;

 

(ii) физически: използва система от мерки за защита данни и контрола върху достъпа за сградите, помещенията и съоръженията, в които се обработват и съхраняват лични данни, архивиране на данните на хартиен носител и ограничаване на достъпа до тях; и

 

(iii) нормативни: спазва всички правила, предвидени в законови и подзаконови нормативни актове.

 

7. Длъжности, свързани с обработване и защита на лични данни

 

7.1 Отговорност за въвеждането и изпълнението на законосъобразна политика по защита на личните данни носи управителят, който има следните права и задължения:

 

(i) осигурява организацията по водене на Регистрите съгласно предвидените мерки за гарантиране на адекватна защита;

 

(ii) следи за спазването на конкретните мерки за защита и контрол на достъпа;

 

(iii) осъществява контрол по спазване на изискванията за защита на регистрите;

 

(iv) поддържа връзка с Комисията за защита на личните данни;

 

(v) специфицира техническите ресурси, прилагани за обработка на личните данни;

 

(vi) определя ред при задаване, използване и промяна на пароли, както и действията в случай на узнаване на парола и/или криптографски ключ;

 

(vii) осигурява провеждане на редовна профилактика на компютърните и комуникационните средства, включваща и проверка за вируси, за нелегално инсталиран софтуер, на целостта на базата данни, както и архивиране на данни, актуализиране на системната информация и др.;

 

(viii) провежда периодичен контрол за спазване на изискванията по защита на данните и при открити нередности взема мерки за тяхното отстраняване;

 

(ix) запознава служителите със законовата регламентация в областта на личните данни, политиките и стратегиите за защита на личните данни на Сдружението, като администратор на лични данни, както и с настоящите вътрешни правила;

 

(x) организира обучения за служителите при наличие на законодателни изменения в областта на защитата на лични данни и при промяна на настоящите вътрешни правила; и

 

(xi) организира периодични проверки за надеждността на системите за сигурност, защитаващи личните данни.

 

7.2 Отговорник за Регистрите, които поддържа Сдружението, както и за обработката на данните е управителят.

 

7.3 Управителят:

 

(i) обработва данните, съдържащи се в Регистрите;

 

(ii) съблюдава за спазване на правилата за водене на Регистрите, съгласно предвидените мерки за гарантиране на адекватна защита;

 

(iii) при необходимост размножава документи, съдържащи се в Регистрите, съблюдавайки законодателството в областта на защита на личните данни и настоящите вътрешни правила.

 

7.4 Пълен достъп до всички Регистрите има само управителят.

 

7.5 За работни цели по преценка на управителя за Регистрите може да бъде осигурен достъп до част от документите, съдържащи лични данни, само след като тези лични данни са били пред-варително обработени или заличени по начин, който не позволява идентифициране на лицата, или с писмена заповед на управителя, по силата на която на конкретен служител се предоставя достъп до данните от съответния регистър за целите на тяхната обработка.

 

7.6 Достъп до данните от Регистрите може да бъде предоставен по преценка на управител на правни и счетоводни консултанти, застрахователи или други трети лица, в случай на законосъобразна обработка от името на администратора или след предоставянето на изрично писмено съгласие от страна на субектите на данните и след подписването на споразумение, уреждащо законосъобразната обработка и предаването на данните.

 

7.7 При обработка на личните данни служителите и управителят са длъжни:

 

(i) да обработват личните данни законосъобразно и добросъвестно, в съответствие с настоящите правила, да опазват тяхната конфиденциалност и да не ги предоставят на трети лица, в това число и на други служители на Сдружението;

 

(ii) да използват личните данни, до които имат достъп, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели;

 

(iii) при необходимост да актуализират Регистрите;

 

(iv) да заличават или коригират личните данни, когато се установи, че са неточни или непрoпорционални по отношение на целите, за които се обработват;

 

(v) да поддържат личните данни за период не по-дълъг от необходимия за целите, за които тези данни се обработват; и

 

(vi) да събират само личните данни, които са пропорционални на целите, за които се събират.

 

8. Предоставяне на информация на трети лица

 

8.1 Сдружението няма правото да предоставя личните данни на трети лица без да е получи-ло изрично писмено съгласие от субекта на данните, с изключение на обработващи, действащи от името на администратора и компетентните държавни органи, в съответствие с трудовото, данъчно и осигурително законодателство, както и в случаите, когато съществува задължение за предоставяне на данните, произтичащо от действащ нормативен акт.

 

8.2 Съгласието трябва да е дадено свободно, изрично, информирано и в писмена форма.

 

8.3 Съгласие не се изисква, ако личните данни са изискани по надлежен път от компетентните държавни органи и за Сдружението съществува задължение да предостави данните, произтичащо от действащ нормативен акт.

 

8.4 Предоставянето на лични данни на трети лица за целите на счетоводни, одит и други видове подобни услуги се извършва след получаване на изрично съгласие от лицето, за което се отнасят данните и след споразумение с третите лица, че ще положат необходимите усилия и мерки за защита на данните и ще спазват законодателството в областта на защита на личните данни.

 

9. Процедура по първоначално предоставяне на информация

 

9.1 Когато лични данни се събират от субекта на данните, в момента на получаване на личните данни Сдружението предоставя на субекта на данните цялата посочена по-долу информация, съдържаща се в Приложение 1, а именно:

 

(i) данните, които идентифицират администратора и координатите за връзка с него;

 

(ii) целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

 

(iii) когато обработването се извършва въз основа на законни интереси, конкретните интереси, преследвани от администратора или от трета страна;

 

(iv) получателите или категориите получатели на личните данни, ако има такива;

 

(v) срокът, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;

 

(vi) съществуването на право да се изиска от администратора достъп, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните;

 

(vii) когато обработването се основава съгласие, съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;

 

(viii) правото на жалба до надзорен орган; и

 

(ix) дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени.

 

10. Процедура по осигуряване на достъп на лицата до личните им данни

 

10.1 Всеки субект на данните има право да получи потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до свързаните с него данни, както и информация за целите и сроковете за обработка.

 

10.2 За да получат достъп до личните си данни лицата подават писмено заявление до адреса на Сдружението, лично или чрез упълномощено лице.

 

10.3 Заявлението трябва да съдържа задължително име на лицето и други данни, които го идентифицират, описание на искането, подпис, дата и адрес на кореспонденцията, както и пълномощно, когато заявлението се подава от упълномощено лице.

 

10.4 Заявлението се предава на управителя, който го разглежда и ако прецени, че са налице законните основания, осигурява исканата от лицето информация.

 

10.5 Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на по-даване на искането, съответно 30-дневен, когато е необходимо повече време за събиране на личните данни на лицето.

 

10.6 Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение на управителя.

 

10.7 Исканата от субекта информация или отказът се предоставят на лицето в предпочитаната от него форма за комуникация, включително по електронен път.

 

11. Процедура по коригиране, ограничаване на обработването и изтриване на данните по искане на лицето, за което се отнасят

 

11.1 Субектът на данни има право да поиска от администратора коригиране на неточните лични данни, както и попълване на непълните лични данни чрез подаване на писмено заявление до Сдружението.

 

11.2 Субектът на данни има правото да поиска от Сдружението изтриване на свързаните с него лични данни, които то има задължението да изтрие, когато е приложимо някое от посочените по-долу основания: личните данни повече не са необходими за целите, за които са били събра-ни или обработвани по друг начин; субектът на данните оттегля своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването, субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработване за целите на директния маркетинг, личните данни са били обработвани незаконосъобразно, личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или българското пра-во или това на държава-членка, което се прилага спрямо администратора.

 

11.3 Субектът на данните има право да изиска от Сдружението ограничаване на обработването, когато: точността на личните данни се оспорва от субекта на данните, за срока на тяхната проверка; обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им; администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции; субектът на данните е възразил срещу обработването на база защита на законни интереси и е в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.

 

11.4 Субектът на данните има право на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на легитимен интерес на администратора или на трето лице, включително при профилиране. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции. Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг.

 

11.5 Исканията по чл. 11.1 – 11.4 се подават в писмена форма и се предават на управителя. Управителят е длъжен да предприеме действията по исканията в срок до 30 дни от подаване на искането, ако са налице основанията за това и да информира лицето за предприетите действия.

 

12. Право на преносимост на личните данни

 

12.1 По искане на лицето личните данни, отнасящи се до него, могат да бъдат предоставени директно на друг администратор, стига това да е технически постижимо. В противен случай дан-ните се предават на лицето и то само ги прехвърля на новия администратор.

 

12.2 Искането се отправя и разглежда при спазване на разпоредбите на чл. 11.5 от настощите вътрешни правила.

 

13. Процедура по унищожаване и заличаване

 

13.1 Личните данни, които администраторът събира, обработва и съхранява на хартиен носител, се унищожават физически:

 

(i) не по-късно от изтичане на срока, през които администраторът е определил, че ще ги съхранява;

 

(ii) при поискване от страна на лицето: в срок до 30 дни от отправяне на искането; и

 

(iii) при оттегляне на съгласието, което лицето е дало за обработване на личните му данни: в срок до 30 дни от оттеглянето.

 

13.2 Унищожаването се извършва посредством машина за унищожаване на документи от управителя или друг служител, определен с писмена заповед на управителя.

 

13.3 За унищожаването се съставя протокол.

 

13.4 Личните данни, които администраторът събира, обработва и съхранява на електронен носител, се заличават:

 

(i) не по-късно от изтичане на срока, през който администраторът е определил, че ще ги съхранява;

 

(ii) при поискване от страна на лицето: в срок до 30 дни от отправяне на искането; и

 

(iii) при оттегляне на съгласието, което лицето е дало за обработване на личните му данни: в срок до 30 дни от оттеглянето.

 

13.5 Заличаването се извършва от управителя. За заличаването се съставя протокол.

 

13.6 В случаите, когато лицето е оттеглило съгласието си за обработване на личните му данни, дори да не е подало искане за изтриването им, администраторът се задължава да ги унищожи и/или заличи в срок до 30 дни от оттегляне на съгласието, по реда на настоящите вътрешни пра-вила.

 

 

14. Обучение на служителите

 

14.1 При постъпване на работа на нов служител управителят го запознава със законовата регламентацията в областта на личните данни, политиките и стратегиите за защита на личните данни на Сдружението като администратор на лични данни, както и с настоящите вътрешни правила.

 

14.2 След запознаването новият служител заявява писмено, че е запознат и че за в бъдеще ще спазва законодателството в областта на защита на личните данни, ще се съобразява с политиките и стратегиите за защита на личните данни на Сдружението, както и че ще спазва настоящите вътрешни правила.

 

14.3 Управителят организира семинари за служителите за запознаването им с настъпили законодателни изменения и/или за запознаването им с изменения в настоящите вътрешни правила.

 

15. Действия за защита при нарушение на сигурността

 

15.1 В случаи на нарушение на сигурността, от което има опасност да настъпят вреди за правата и свободите лицата, чиито лични данни администраторът обработва, той се задължава да уведоми Комисията за защита на личните данни в срок до 72 часа от узнаването. При наличие на извънредни обстоятелства администраторът уведомява Комисията за защита на личните данни във възможно най-кратък срок след изтичането на 72 часа от узнаването, като придружава уве-домлението с изложение на причините, които са довели до забавянето.

 

15.2 При наличие на обстоятелствата по чл. 15.1 администраторът се задължава да уведоми и лицата, за чиито лични данни е възникнала опасността, в случай че данните не са били криптирани.

 

15.3 Сдружението незабавно предприема и необходимите действия с оглед неутрализиране или ограничаване на пробива в сигурността и ограничаване на вредните последици за субектите на данните.

 

16. Допълнителни разпоредби

 

16.1 За неспазването на разпоредбите на настоящите правила и законодателството в сферата на защита на личните данни, лицата носят отговорност по Закона за защита на личните данни и Кодекса на труда.

 

16.2 След приемане на настоящите вътрешни управителят провежда инструктаж на всички служители във връзка с прилагането им.

 

16.3 Настоящите вътрешни правила влизат в сила в деня на приемането им.

 

16.4 Копие от настоящите вътрешни правила е на разположение на служителите и членовете на Сдружението, за сведение и изпълнение по всяко време.

 

16.5 Копие от настоящите вътрешни правила може да бъде предоставено на лицата, чиито лични данни се обработват от администратора по всяко време.

 

16.6 Настоящите вътрешни правила са приети на 09.12.2020 г.

 

Утвърдил:

 

 

Ваня Дункова, управител

 

ПРИЛОЖЕНИЕ 1 КЪМ

ВЪТРЕШНИ ПРАВИЛА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ, ОБРАБОТВАНИ ОТ СДРУЖЕНИЕ БЪЛГАРСКА АСОЦИАЦИЯ ЗА РАЗВИТИЕ НА ПСИХОМОТОРИКАТА, ЕИК 206276865

 

Основна информация във връзка с правата на физическите лица (субекти на данните) при обработка на личните им данни

 

1. Лични данни:

 

„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахож-дение, онлайн идентификатор или по един или повече признаци, специфични за физическата, фи-зиологичната, генетичната, психическата, умствената, икономическата, културната или социал-ната идентичност на това физическо лице.

 

2. Администратор на лични данни:

 

Българска Асоциация за Развитие на Психомоториката, сдружение с нестопанска цел за из-вършване на обществено полезна дейност, вписано в Търговския регистър и регистъра на юридическите лица с нестопанска цел при Агенцията по вписванията, единен идентификационен код 206276865, със седалище и адрес на управление в София 1407, район Лозенец, ул. Голо Бърдо No 15, представлявано от Ваня Емилова Дункова, в качеството на управител, телефон за контакт 0885416841.

 

3. Основание за обработка

 

Посочва се едно от основанията по чл. 2.1 от Вътрешните правила:

 

• Законово задължение за обработката в тежест на Сдружението;

 

• Договор от дата; и

 

• Писмено съгласие на субекта на данните от дата.

 

4. Цел на обработката

 

Посочва се конкретната цел на обработката, например:

 

Изготвянето на документацията, свързана с трудовото правоотношение, изпълнение на задълже-нията на работодателя съгласно трудовото, данъчно и осигурително законодателство.

 

Изпълнение на задълженията по Договор от дата.

 

Друга цел.

 

5. Срок за съхранение и обработка на данните

 

Личните данни ще бъдат обработвани от Сдружението за целия период на действие на договор-ните отношения със субекта на данните и съхранявани в рамките на сроковете, предвидени в чл. 12 от Закона за счетоводството, а именно:

 

• ведомости за заплати: за 50 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят;

 

• счетоводни регистри и финансови отчети, включително документи за данъчен контрол, одит и последващи финансови инспекции: 10 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят;

 

• всички останали носители на счетоводна информация: 3 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят;

 

• друга информация: за срок от 3 г.;

 

или до отпадане на основанието за обработка, изпълнението на целта или оттеглянето на съгла-сието на субекта на данните.

 

6. Предоставяне на лични данни на трети лица

 

Сдружението няма право да предоставя личните данни на трети лица, без да е получило изрично писмено съгласие от субекта на данните, с изключение на обработващи данните и компетентните държавни органи в съответствие с трудовото, данъчното и осигурителното законодателство, как-то и в случаите, когато съществува задължение за предоставяне на данните, произтичащо от дей-стващ нормативен акт.

 

7. Права на субекта на лични данни

 

7.1 Право на оттегляне на предоставено съгласие за обработка

 

При обработване на данни въз основа предоставено от субекта на данните съгласие, същото съгласие може по всяко време да бъде оттеглено, посредством писмено уведомление до администратора.

 

7.2 Право на достъп до данните

 

Субектът на данните има право да получи потвърждение дали се обработват лични данни, свърза-ни с него, и ако това е така, да получи достъп до свързаните с него данни, както и информация за целите и сроковете за обработка.

 

7.3 Право на коригиране

 

Субектът на данни има право да поиска от администратора коригиране на неточните лични данни, както и попълване на непълните лични данни.

 

7.4 Право на изтриване или ограничаване на обработката на личните данни

 

Субектът на данни има правото да поиска изтриване на свързаните с него лични данни, които администраторът има задължението да изтрие, когато е приложимо някое от посочените по-долу основания: личните данни повече не са необходими за целите, за които са били събрани или обра-ботвани по друг начин; субектът на данните оттегля своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването, субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработване за целите на директния маркетинг, личните данни са били обработвани незаконосъобразно, личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или българското право или правото на държава-членка, което се прилага спрямо администратора.

 

7.5 Право на ограничаване на обработката на личните данни

 

Субектът на данните има право да изиска от администратора ограничаване на обработването, когато: точността на личните данни се оспорва от субекта на данните, за срока на тяхната проверка; обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им; администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции; субектът на данните е възразил срещу обработването на база защита на законни интереси и е в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.

 

7.6 Право на възражение

 

Субектът на данните има право на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на легитимен интерес на администратора или на трето лице. Адми-нистраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, пра-вата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

 

Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до не-го, за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг.

 

7.7 Право на преносимост на личните данни

 

Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато обработването е основано на съгласие или на договорно задължение и обработването се извършва по автоматизиран начин. Субектът на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.

 

7.8 Право на жалба

 

При нарушаване на правата на субекта на данните или при незаконосъобразна обработка на лични данни, субектът на данните има правото да сезира Комисията за защита на личните данни, чрез подаване на жалба срещу неправомерни действия или бездействия на администратор.

 

7.9 Компетентен надзорен орган

 

Комисия за защита на личните данни; Адрес: София 1592, бул. Проф. Цветан Лазаров 2; Център за информация и контакти: +35929153518; Приемна: работно време 9:00 – 17:30 ч.; Електронна поща: kzld@cpdp.bg; Интернет страница: www.cpdp.bg.

 

Горната информация ми беше предоставена от Българска Асоциация за Развитие на Психомото-риката на дата ………………. .

 

 

 

_________________________

(подпис)