Чл. 1. (1) Настоящите вътрешни правила за защита на личните данни („Правилата“) определят реда, по който ЧСУ „Питагор“ събира, записва, организира, структурира, съхранява, адаптира или променя, извлича, консултира, използва, разкрива чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подрежда или комбинира, ограничава, изтрива, унищожава или обработва по друг начин лични данни за целите на своята дейност.
Чл. 2. Настоящите Правила уреждат:
(1) Принципите, процедурите и механизмите за обработка на личните данни;
(2) Процедурите за уведомяване на надзорния орган в случай на нарушения в сигурността;
(3) Процедурите за администриране на искания за достъп до данни, коригиране на обработваните данни, възражения и оттегляне на съгласия, както и администриране на искания за упражняване на други права, които субектите на лични данни имат по закон;
(4) Лицата, които обработват лични данни, и техните задължения;
(5) Правилата за предаване на лични данни на трети лица в България и чужбина;
(6) Необходимите технически и организационни мерки за защита на личните данни от неправомерно обработване и в случай на инциденти, като случайно или незаконно унищожаване, загуба, неправомерен достъп, изменение или разпространение;
(7) Техническите ресурси, прилагани при обработката на лични данни.
Чл. 3. За целите на настоящите Правила, използваните понятия имат следното значение:
Чл. 4. (1) ЧСУ „Питагор“ събира и обработва лични данни, необходими за осъществяване на своите права и задължения като работодател, доставчик на образователни услуги и контрагент при съблюдаване изискванията на приложимото законодателство. Личните данни, обработвани от училището, са групирани в регистри на дейностите по обработване, съдържащи правила за обработване на лични данни, отнасящи се до:
(2) Относно лицата, заети по трудови или граждански правоотношения в училище, и на кандидатите за работа, се събират следните лични данни:
б) Образование и професионална квалификация; данни, свързани с образование, трудов опит, професионална и лична квалификация и умения;
в) Здравни данни: здравословно състояние, здравни книжки, ТЕЛК решения, медицински свидетелства, болнични листове и всяка прилежаща към тях документация;
г) Други данни: свидетелство за съдимост, когато се изисква представянето му съгласно нормативен акт или електронно свидетелство за съдимост, с което работодателят да се снабди, както и други данни, чието обработване е необходимо за изпълнение на правата и задълженията на училището като работодател.
(3) Относно физически лица, контрагенти на училището, се събират лични данни, които са необходими за изпълнението на законовите задължения на същото като доставчик на услуги, както следва:
(4) Относно физически лица, доставчици на услуги на училището, се съхраняват лични данни, необходими за сключването и изпълнението на договори за предоставяне на услуги на училището от външни доставчици, както следва:
(5) училището обработва чувствителни данни, само доколкото това е необходимо за изпълнение на специфичните му права и задължения в областта на трудовото и осигурително законодателство.
Чл. 5. Целите на обработването на лични данни са:
Чл. 6. Личните данни :
– да се обработват законосъобразно и добросъвестно;
– да се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели;
– допълнително обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита, като гарантира, че данните не се обработват за други цели;
– да бъдат точни и при необходимост да се актуализират;
– да се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
– личните данни, които ще се съхраняват за по-дълъг период за исторически, статистически или научни цели, се поддържат във вид, непозволяващ идентифицирането на физическите лица.
Чл. 7. За да е законосъобразно обработването на данните, трябва да е налице поне едно от следните условия:
Чл. 8. (1) Изразеното съгласие трябва да бъде свободно дадено, конкретно, информирано и недвумислено заявление.Ако съгласието за обработка на лични данни се дава чрез документ, който урежда и други въпроси, то следва да бъде изискано отделно от съгласието по други въпроси. Съгласието трябва да бъде дадено свободно.Такова съгласие е налично в случаите, когато субектът на данни има истински и свободен избор и е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него.
Процедура за обработване на личните данни, отнасящи се до лицата, заети по трудови или граждански правоотношения в училището, както и на кандидатите за работа
Чл. 9. (1) Администраторът възлага обработването на личните данни на определени негови служители, на които в длъжностната характеристика има вменени такива трудови функции. В зависимост от естеството на работа, обработването може да се възложи на повече от един обработващ данните. Обработващите личните данни, действат само по указания на администратора, освен ако в нормативен акт не е предвидено друго.
Личните данни, отнасящи се до лицата, заети по трудови или граждански правоотношения в учебното заведение, както и на кандидатите за работа, се събират при и по повод набирането на персонал. Данните на всеки работник и служител на учебното заведение се съхраняват в лични досиета, като някои данни могат да се съхраняват или обработват и на технически носител. Данните от проведени конкурси и интервюта или събеседване се съхраняват на технически и/или хартиен носител, в зависимост от нуждата.
Чл. 10. (1) Личните данни, отнасящи се до клиенти, се събират при подаване на заявка за предоставяне на услуга или сключване на договор от страна на училището с външния контрагент.
Чл. 11. (1) Училището документира дейностите по обработване на лични данни при спазване на принципа на отчетност.
(а) целите на обработването;
(б) категориите лични данни и категориите субекти на данни;
(в) категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави;
(г) предаването на лични данни на трета държава;
(д) когато е възможно, предвидените срокове за изтриване на различните категории данни;
(е) общо описание на техническите и организационни мерки за сигурност.
Чл.12 Приемане на план за действие за въвеждане на определените технически и организационни мерки
(1) Физическа защита в училището се осигурява чрез набор от приложими технически и организационни мерки за предотвратяване на нерегламентиран достъп и защита на сградите и помещенията, в които се обработват и съхраняват лични данни.
Основните приложими организационни мерки за физическа защита в училището включват определяне на помещенията, в които ще се обработват лични данни, както и на тези, в които ще се разполагат елементите на комуникационно-информационните системи за обработване на лични данни, вкл. и определяне на организацията на физическия достъп. Като помещения, в които ще се обработват лични данни, се определят всички помещения, в които с оглед нормалното протичане на учебния и административния процес, се събират, обработват и съхраняват лични данни. Достъпът до тях е физически ограничен само за служители с оглед изпълнение на служебните им задължения. Когато в тези помещения имат достъп и външни лица, в помещенията се обособява непублична част, която е физически ограничена и достъпна само за служители, на които е необходимо да имат достъп с оглед изпълнението на служебните им задължения.
Комуникационно-информационните системи, използвани за обработка на лични данни, се разполагат в помещения, достъпът до които е ограничен само до тези служители, които за изпълнение на служебните си задължения се нуждаят от такъв достъп до данните, както и лицата, натоварени със служебни ангажименти за поддръжката на нормалното функциониране на тези системи. Последните нямат достъп до съхраняваните в електронен вид данни.
Организацията на физическия достъп до помещения, в които се обработват лични данни, е базирана на ограничен физически достъп (на база заключващи системи). Достъп се предоставя само на служителите, на които той е необходим, за изпълнение на служебните им задължения.
Като зони с контролиран достъп се определят всички помещения на територията на училището, в които се събират, обработват и съхраняват лични данни.
Достъпът до системите, обработващи по електронен способ лични данни, е ограничен чрез уникални потребителски идентификатори и пароли, а електронните носители, са защитени по адекватен начин, в зони с контрол на достъпа.
Чл. 13. (1) Всички помещения, в които се съхраняват и обработват лични данни, са с контрол на достъпа. Възможните технически средства за контрол на достъпа са:
(2) Помещенията на училището са надеждно обезопасени посредством противопожарни мерки съгласно българското законодателство.
Чл. 14. (1) Училището установява процедури по обработване на лични данни, регламентиране на достъпа до данните, процедури по унищожаване и срокове за съхранение, подробно разписани в тези Правила. За отделни категории данни може да се предвиди псевдонимизиране по предложение на Лицето, отговорно за личните данни.
(2) Размножаването и разпространението на документи или файлове, съдържащи лични данни, се извършва само и единствено от упълномощени служители при възникнала необходимост.
Чл. 15. (1) Преди заемане на съответната длъжност лицата, които осъществяват защита и обработване на личните данни:
(2) При постъпване на работа всички служители преминават обучение за реакция при събития, застрашаващи сигурността на данните, и обучение относно задълженията на училището, свързани с обработката на лични данни, и мерките за защита на данните, които следва да предприемат в процеса на работа. Последващи обучения и тренировки на персонала се провеждат периодично, за да се гарантира познаване на нормативната уредба, потенциалните рискове за сигурността на данните и мерките за намаляването им.
Чл. 16 (1) Достъп до операционната система, съдържаща файлове с лични данни, имат само лица, чиито служебни задължения или конкретно възложена задача налагат такъв достъп. Достъпът се осъществява чрез парола.
(2) Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване, се осигурява посредством:
Когато данните се намират на сървър, архивирането им се извършва от определено за целта лице, с вменена трудова функция, относима към ЗЗЛД.Когато данните се намират на изолирани компютри, архивирането им се извършва от оператора на съответния компютър.
(3) Архивиране на личните данни на технически носител се извършва периодично с оглед съхранение на информацията.
Чл. 17. (1) Нарушение на сигурността на данни възниква, когато данните, за които училището отговаря, са засегнати от инцидент със сигурността, в резултат на който се нарушава поверителността, наличието или целостта. Ако това се случи и има вероятност нарушението да представлява риск за правата и свободите на дадено лице, училището трябва да уведоми надзорния орган, без ненужно забавяне найкъсно до 72 часа, след като е узнало за нарушението. Ако нарушението на сигурността на данните представлява висок риск за засегнатите лица, всички те също трябва да бъдат информирани, освен ако не са въведени ефективни технически и организационни мерки за защита или други мерки, които гарантират, че вече няма вероятност рискът да се случи на практика. Лицата, идентифицирали признаци на нарушение на сигурността на данните, са длъжни да докладват незабавно на Лицето, отговорно за личните данни, като му предоставят цялата налична информация.
Чл. 18. (1) В случай че нарушението на сигурността създава вероятност от риск за правата и свободите на физическите лица, чиито данни са засегнати, и след одобрение от ръководството на учиището, Лицето, отговорно за личните данни, организира уведомяването на КЗЛД.
(а) описание на нарушението на сигурността; категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;
(б) името и координатите за връзка на Лицето, отговорно за личните данни;
(в) описание на евентуалните последици от нарушението на сигурността;
(г) описание на предприетите или предложените мерки за справяне с нарушението на сигурността, включително мерки за намаляване на евентуалните неблагоприятни последици.
Чл. 19. (1) Училището води регистър на нарушенията на сигурността, който съдържа следната информация:
(а) дата на установяване на нарушението;
(б) описание на нарушението – източник, вид и мащаб на засегнатите данни, причина за нарушението;
(в) описание на извършените уведомявания: уведомяване на КЗЛД и засегнатите лица, ако е било извършено;
(г) предприети мерки за предотвратяване и ограничаване на негативни последици за субектите на данни и за учебното заведение;
(д) предприети мерки за ограничаване на възможността от последващи нарушения на сигурността.
(2) Регистърът се води в електронен формат от Лицето, отговорно за личните данни.
Чл. 20. (1) Училището може при необходимост да предоставя лични данни на трети лица, действащи в качеството на обработващ, когато това е предвидено в нормативен акт или въз основа на изричен договор.
(а) изисква достатъчно гаранции от обработващия за спазване на законовите изисквания и добрите практики за обработка и защита на личните данни;
(б) сключва писмено споразумение, лицето подписва декларация или се изготвя друг правен акт с идентично действие, който урежда задълженията на обработващия и отговаря на изискванията на чл. 28 от Регламент (ЕС) 2016/679;
(в) информира физическите лица, чиито данни ще бъдат предоставени на обработващ.
(а) Европейската Комисия е приела решение, потвърждаващо, че страната, към която се извършва трансферът, осигурява адекватно ниво на защита на правата и свободите на субектите на данни;
(б) Налице са подходящи мерки за защита – като например Обвързващи Корпоративни Правила (ОКП), стандартни договорни клаузи, одобрени от Европейската Комисия, одобрен кодекс за поведение или сертификационен механизъм;
(в) Субектът на данни е дал своето изрично съгласие за трансфера, след като е информиран за възможните рискове, или
(г) Трансферът е необходим за една от целите, изброени в ОРЗД, включително изпълнението на договор със субекта, защита на обществения интерес, установяване и защита на правни спорове, защита на жизненоважните интереси на субекта на данни в случаите, когато той е физически или юридически неспособен да даде съгласие.
Чл. 21. (1) Оценка на въздействието се извършва, когато това се изисква съгласно приложимото законодателство и с оглед на риска за физическите лица и естеството на обработка на лични данни, извършвана от училището. Оценка на въздействието се извършва за високорискови дейности по обработване. ОВЗД се изисква, когато има вероятност обработването да доведе до висок риск за правата и свободите на физическите лица. ОВЗД се изисква най-малко в следните три случая:
(2) Оценка на въздействието е необходимо при всяко въвеждане на ключова система или смяна на бизнес програма, която е свързана с обработване на лични данни, включително:
(3) За оценката се съставя протокол, който се предоставя при поискване от страна на КЗЛД.
Чл. 22. (1) Унищожаване на личните данни се извършва от училището или изрично упълномощено лице, без да бъдат накърнявани правата на лицата, за които се отнасят данните, обект на унищожаването и при спазване на разпоредбите на относимите нормативни актове.
Чл. 23. Лицето, отговорно за личните данни, и лицата, обработващи личните данни от името на училището, са физически или юридически лица, притежаващи необходимата компетентност и назначени и/или упълномощени със съответен писмен акт, включително и чрез настоящите Правила.
Чл. 24. Лицето, отговорно за личните данни:
Чл. 25. (1) Събирането, обработката, съхранението и защитата на личните данни се извършва само от лица, на които това е изрично указано и чиито служебни задължения или конкретно възложена задача налагат това.тези задължения следва да са предвидени в длъжностната характеристика на лицето.
Чл. 26 (1) Всяко лице има право да иска достъп до своите лични данни, включително и да иска потвърждение дали данните, отнасящи се до него, се обработват, да се информира за целите на това обработване, категориите данни и за получателите на данните, както и за целите на всяко обработване на лични данни, отнасящи се до него.
(2) Правото на достъп се осъществява чрез искане на засегнатото физическо лице, получено на адреса на седалището на училищено или официалната електронна поща.
(3) Всяко физическо лице има право да поиска заличаването, коригирането или блокирането на негови лични данни, обработването на които не отговаря на изискванията на закона.
(4) Всяко лице има право писмено да възрази срещу обработването на и/или предоставянето на трети лица на неговите лични данни без необходимото законово основание.
(5) Учиището е длъжно в двуседмичен срок от получаване на искане по предходните алинеи да уведоми заявителя дали са налице законовите основания за уважаване на искането. Ако училището установи, че са налице законовите основания да уважи искането, уведомява лицето и за реда, по който може да упражни правото си.
(6) Субектите на данни имат също правото да:
– оттеглят съгласието си за обработване по всяко време;
– възразят срещу употреба на личните им данни за цели, които не са регламентирани от закона и не са във връзка с дейността на училището;
– изискат информация за основанието, въз основа н което личните им данни са предоставени за обработване на обработващ извън ЕС/ЕИП;
– възразят срещу решение, взето изцяло на база на автоматизипано обработване, включително профилиране;
– бъдат уведомени за нарушение на защита на данните, което е вероятно да доведе до висок риск за техните права и свободи;
– подават жалби до регулаторния орган;
– в някои случаи да получат или да поискат техните лични данни да бъдат трансферирани до трета страна и структурирани, общо използван формат, подходящ за машинно четене (право на преносимост).
Чл. 27. Училището може да променя тези Правила по всяко време. Всички промени следва да бъдат незабавно сведени до знанието на лицата, които засягат.