ИНСТРУКЦИЯ

(ВЪТРЕШНИ ПРАВИЛА)

за мерките и средствата за защита на личните данни,

събирани, обработвани, съхранявани и предоставяни от

„АВАЛОН“ ООД 

Преамбюл

  • 1. „АВАЛОН“ ООД, вписано в Търговския регистър към Агенцията по вписванията с ЕИК 104605318 със седалище и адрес на управление в гр. Лясковец, ул. „Васил Левски“ №7, тел.: 0619 22218 [●], Е-мейл адрес: home@avalonbg.com, представлявано от Илко Иванов – Управител, е администратор на лични данни съобразно изискванията на Закона за защита на личните данни.
  • 2. Към момента „АВАЛОН“ ООД не е сертифицирано по изисквания на международни стандарти.

Глава първа

ОБЩИ ПОЛОЖЕНИЯ

Чл. 1. Тази Инструкция урежда организацията и вътрешния ред на „АВАЛОН“ ООД наричано по-нататък за краткост „АВАЛОН“, „Дружеството“ или „Администраторът“, в качеството му на администратор на лични данни, както и нивото на технически и организационни мерки, предвидени и предприети при обработването на лични данни, и допустимия вид защита.

Чл. 2. Инструкцията е изготвена в съответствие с разпоредбите на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Общ регламент относно защитата на данните) , Закона за защита на личните данни (ЗЗЛД) и Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни (Наредба № 1) и цели защита на интересите на контрагентите, потребителите – физически лица и физическите лица, представляващи юридическите, както и на служителите на „АВАЛОН“, и на всякакви лица, наети от „АВАЛОН“ на граждански договор за извършване на определени услуги и дейности, от незаконосъобразно и недобросъвестно обработване на личните им данни.

Чл. 3. За целите на тази Инструкция използваните по-долу понятия имат следното значение:

  1. „Администратор на лични данни“: АВАЛОН, което самостоятелно или чрез възлагане на друго лице обработва лични данни, като определя надлежно целите и средствата за обработването.
  2. „Лице по защита на личните данни“: длъжностно лице, притежаващо необходимата компетентност, което е упълномощено от „АВАЛОН“ със съответен писмен акт, в който са уредени правата и задълженията му във връзка с осигуряване на минимално необходимите технически и организационни мерки за защита на личните данни при тяхното обработване за съответния регистър.
  3. „Лични данни“: всяка информация, отнасяща се до контрагентите, доставчиците, потребителите и всякакви бизнес партньори (физически лица и физическите лица, представляващи юридическите лица) на „АВАЛОН“, както и тази, свързана със служителите и работниците на „АВАЛОН“, които са идентифицирани или информация, чрез която същите могат да бъдат идентифицирани пряко или непряко посредством идентификационен номер или един, или повече специфични признаци.
  4. „Обработване на лични данни“: всяко действие или съвкупност от действия, които Дружеството извършва по отношение на личните данни с автоматични или неавтоматични средства (така напр. събиране, записване, организиране, групиране, съхраняване, адаптиране, актуализиране или коригиране, изменение, възстановяване, консултиране употреба, разкриване чрез предаване или предоставяне, разпространяване, комбиниране, блокиране, заличаване, унищожаване и др.).
  5. „Оператор на лични данни“: физическо или юридическо лице, на което е възложено с длъжностна характеристика, заповед или договор да събира, изменя, актуализира, складира, поддържа, употребява и/или използва във връзка с обработването на документация от името на Администратора, съхранява, архивира, заличава и т.н., лични данни в съответния регистър.
  6. „Ограничен достъп до лични данни“: достъп на физическите лица, действащи под ръководството на лицето по защита, отговарящо за всеки отделен регистър, във връзка с обработката на личните данни от съответния регистър.
  7. „Потребител на лични данни“: служител, работник или трето лице, което по длъжност, заповед, договор или по силата на тези вътрешни правила има право на достъп или му е възложен достъп до определени лични данни (включително интервюиращите при интервюта за наемане на работа, планове за развитие и обучения, и др.).
  8. „Регистър на лични данни“ („Регистър“): всяка структурирана съвкупност от лични данни, достъпна по определени критерии, съобразно вътрешните документи на „АВАЛОН“, която може да бъде централизирана или децентрализирана и е разпределена на функционален принцип.
  9. „Специални категории лични данни“: лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и генетични данни, биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.
  10. „Специфични признаци“: признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето, титуляр на лични данни.
  11. „Съгласие на физическо лице“: всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява тези данни да бъдат обработвани.

Чл. 4. (1) „АВАЛОН“ обработва само законно събрани лични данни, необходими за и относими към конкретни, точно определени и законни цели. Личните данни, които „АВАЛОН“ събира и обработва следва да бъдат точни, коректни и при необходимост да се актуализират. Личните данни се заличават или коригират, когато се установи, че са неточни, неверни или несъответстващи на, респективно надхвърлящи, целите, за които се обработват, както и в случаите, когато са изпратени погрешка или друга причина, несъответстваща на волята на субекта на лични данни същите да бъдат обработвани от „АВАЛОН“.

(2) Като администратор на лични данни „АВАЛОН“ поддържа личните данни във вида и формата, които позволяват идентифициране на самоличността на физическите лица, за срок не по-дълъг от предвидения в тези Вътрешни правила и който е необходим за изпълнение на целите, за които личните данни се обработват. След изтичането на съответния необходим за изпълнение на целите срок данните биват надлежно унищожавани, съгласно реда, уточнен в Приложение № [2] към настоящата Инструкция или биват анонимизирани, т.е. субектите, за които се отнасят не подлежащите на съхранение лични данни, биват де-идентифицирани и преместени в архив.

(3) „АВАЛОН“ спазва принципа за забрана на обработване на специални категории лични данни съгласно чл. 5, ал. 1 от ЗЗЛД (разкриване на расов или етнически произход; разкриване на политически, религиозни или философски убеждения; членство в политически партии или организации; сдружения с религиозни, философски, политически или синдикални цели; лични данни, които се отнасят до здравето, сексуалния живот или до човешкия геном), като изключения се допускат само в случаите, предвидени в чл. 5, ал. 2 от ЗЗЛД.

(4) Когато „АВАЛОН“ обработва специални категории лични данни във връзка с наличие на законодателно изискване за извършване на тази обработка, заложено в нормативен акт на друга държава, извършването на обработката следва да бъде предшествано от предварително одобрение на Длъжностното лице по защита на личните данни.

Чл. 5. Обработването на личните данни от „АВАЛОН“ се извършва на базата на едно или няколко от следните основания:

  1. Обработването е необходимо за изпълнение на нормативно задължение, чийто адресат е Администраторът;
  2. Обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на такъв договор и предприети по искане на това физическо лице;
  3. Физическото лице, за което се отнасят данните, е дало своето изрично съгласие за една или повече конкретно зададени от Администратора цели;
  4. Контрагентите и изобщо посетителите (физически лица и физическите лица, представители на юридическите) и работниците/лицата, назначени на договор в „АВАЛОН“ се идентифицират с оглед осигуряване на достъп до определени помещения, посредством официален документ за самоличност или друг документ, който ги идентифицира;

В тази връзка, документът за самоличност не се копира, а оригиналът се връща на субекта на лични данни, освен в случаите на изпълнение на задължение по реда на Закона за мерките срещу изпирането на пари или ако е приложимо съобразно изискванията на друга императивна разпоредба;

  1. Обработването е необходимо за защита живота и здравето на физическите лица, чиито данни се събират или на друго физическо лице;
  2. Обработването е необходимо за изпълнение на задача за защита на обществения интерес;
  3. Обработването е необходимо за защита легитимните интереси на Администратора, в случай че тези се ползват с преимущество пред основните права и свободи и свързани с тях интереси на пълнолетното физическо лице – субект на обработваните лични данни. Легитимните интереси на Администратора включват по-конкретно, но не ограничено, следните случаи:

- Извършване на (предварителна) оценка на клиенти, доставчици и бизнес партньори, включващо обработка на лични данни, които са необходими във връзка с (предварителна) оценка на изброените, включително потвърждаване на тяхната идентичност (тази дейност може да включва използване ресурсите и на трети лица); провеждане на анализи и проучвания на базата на публично достъпна информация в поддържани регистри – кредитни, търговски и всякакви други;

- Сключване и изпълнение на договори с клиенти, доставчици и бизнес партньори, включително извършване на дейности по сканиране и/или видеонаблюдение (например с цел получаване на достъп до помещения или системи на „АВАЛОН“), запис и финансово уреждане на предоставени услуги, продукти и материали на и от „АВАЛОН“;

- Разработване и усъвършенстване на продукти и/или услуги, в това число извършване на анализи, проучвания и др.;

- Поддържане на връзка с клиентите и маркетинг активности: Това основание включва дейности като поддържане и подобряване на контактите с клиенти, доставчици на услуги и бизнес партньори, включително извършване на анализи на пазара, изготвяне на маркетингови стратегии, в това число такива за онлайн активности (напр. рекламни, анализ на използваните услуги, предоставяни от „АВАЛОН“ офлайн и/или онлайн, на уебсайта на „АВАЛОН“);

- Изпълнение на бизнес проекти, вътрешен мениджмънт и докладване на мениджмънта, включващо вътрешно управление на активите на Дружеството, провеждане на одити и ревизии, мониторинг и преразглеждане на взаимоотношенията на Дружеството с клиенти, доставчици на услуги и бизнес партньори и други физически лица;

- Здраве и сигурност - Това основание включва защита на интересите на Дружеството, неговите служители, клиенти, доставчици и бизнес партньори и извършване на дейности, включващи защита здравето и сигурността на горепосочените лица, защита на активите на Дружеството, верификация статуса на клиентите, доставчиците и бизнес партньорите и съответно техните права за достъп в Дружеството;

- Осигуряване на съответствие със законодателството - Това основание е адресирано до обработката на лични данни чрез извършване на определени действия, необходими за постигане на съответствие с нормативно наложено задължение, включително разкриване на лични данни по искане на публични органи, в това число данъчни, трудови и други органи.

Когато е налице възможност за извършване на обработка на лични данни на база едно от горепосочените в т. G основания (Легитимен интерес), Дружеството следва да се консултира с Длъжностното лице по защита на личните данни в предварителен порядък с цел уточняване на процеса по обработка на лични данни на това основание.

Чл. 6. (1) Когато и доколкото обработването на лични данни на физическото лице – субект на личните данни, се извършва въз основа на съгласие, физическото лице изразява своето съгласие относно обработването свободно и информирано.

(2) Физическото лице има право по всяко едно време, докато личните му данни биват обработвани от „АВАЛОН“ (на основание валидно дадено съгласие), да поиска блокирането или унищожаването (изтриването) им/на част от тях, в случаите, в които оспорва тяхната точност или обработването им е незаконосъобразно и може да оттегли даденото съгласие, доколкото обработването на съответните, отнасящи се до него, лични данни, е изпълнило целите, за които същите са били събирани.

(3) В случаите, когато данните не са получени непосредствено от физическото лице – субект на данните или с неговото изрично съгласие, „АВАЛОН“ го информира за следното, доколкото субектът не разполага вече с тази информация и доколкото това няма да представлява неоправдано и непропорционално усилие за „АВАЛОН“:

(i) бизнес целите и правното основание, за които данните за лицето се обработват;

(ii) срока на обработването на тези данни;

(iii) категориите и вида предоставени данни и техния източник, в това число и публичните източници;

(iv) когато е приложимо, категориите получатели, на които ще бъдат предоставяни данните;

(v) данни за контакт с Длъжностното лице по защита на личните данни в „АВАЛОН“.

Чл. 7. (1) Всяко лице, чиито лични данни се обработват от „АВАЛОН“, има право на достъп до личните си данни, за което подава писмено заявление до Длъжностното лице по защита на лични данни или до официалния представител на „АВАЛОН“, а когато не е предварително известен към кое лице да насочи искането си – до общо известния и-мейл адрес на Дружеството, а Администраторът има задължение своевременно да осигури предаването на тази молба на отговорен служител, който ad hoc да се погрижи за навременното, по възможност незабавно, обработване на запитването и надлежното предоставяне на информация в съответствие с изискванията на закона.

Писмено заявление следва да бъде подадено във формата на Приложение № [3] към тази Инструкция или в писмен вид в свободен текст, на хартиен носител или по електронен път, лично или чрез упълномощено лице.

(2) Подаването на заявление и упражняването от страна на физическото лице на правата по този чл. 7 се извършва безплатно. Администраторът има право да наложи такса в приемлив и разумен размер, когато искането е явно неоснователно или прекомерно като напр. поредно заявление за достъп без основателна причина, и/или се отнася до предоставянето на допълнително копие от вече разкрита информация.

Таксата се изчислява въз основа на административните разходи, свързани с предоставянето на исканата информация.

Заявлението, независимо дали е подадено по обикновена или електронна поща, се завежда в общия входящ регистър на „АВАЛОН“.

(3) Достъп до данните на лицето се осигурява под формата на:

* писмена справка;

* преглед на данните от самото лице или от изрично упълномощеното от него такова;

* предоставяне на копие от исканата информация, включително в машинно-читаем формат, ако същата се обработва чрез автоматизирани средства;

* предоставяне на исканата информация по електронен път, освен в случаите, когато това е забранено от закон;

* предоставяне на копие от исканата информация на предпочитан носител, освен в случаите, когато това е забранено от закон.

(4) При подаване на искане за осигуряване на достъп представляващият Администратора за всеки отделен регистър разглежда заявлението за достъп и/или разпорежда на оператора на лични данни за съответния регистър да осигури искания от лицето достъп в предпочитаната от заявителя форма. Администраторът може да даде препоръки във връзка със спазването на подходяща форма за отговора или други насоки, ако намери за необходимо. Срокът за разглеждане на заявлението и произнасяне по него е 30-дневен от деня, следващ подаване на искането, без ненужно забавяне. Решението се съобщава писмено на заявителя лично срещу подпис или по пощата с обратна разписка.

Когато данните не съществуват или не могат да бъдат разкрити с оглед определено правно основание или законово задължение на Администратора, на заявителя се отказва достъп до тях с мотивирано решение.

(5) Отказът за предоставяне на достъп може се обжалва от лицето пред посочен в писмото-отговор орган и срок.

(6) Достъп до личните данни на лицата, съдържащи се на технически носител, има само лицето по защита на лични данни за съответния регистър и/или лицето, действащо под негово ръководство при обработване на лични данни, а в негово отсъствие и когато тези данни се отнасят до възнагражденията на лицата, достъп до тях има служителят, определен с тази Инструкция или със Заповед на Управителя на Дружеството.

(7) Предоставянето на информация по този чл. 7 се осъществява съобразно „Процедура по предоставяне на информация на физически лица при подаване на заявления и в съответствие с правото на пренос на данни, във връзка с разпоредбите на Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година, относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (GDPR)“, представляваща Приложение № [4] към тази Инструкция.

Чл. 8. (1) Администраторът не изключва употребата на приложения, които подпомагат/осигуряват вземането на автоматизирани решения на база лични данни (профилиране), дотолкова, доколкото решенията, които биват вземани, не са изцяло и само негативни  за съответните физически лица. В такъв случай дадено решение за съответното физическо лице не може да бъде основано само на автоматизираните приложения.

(2) Ограничението по горната ал. 1 не се прилага, когато:

  1. Използването на автоматизирани приложения е необходимо за изпълнение на задача, чието изпълнение е свързано с нормативно задължение на Администратора;
  2. Автоматизираното решение е взето от Администратора за целите на подписване/изпълнение/управление на договор, когато физическото лице е поискало да влезне в такива договорни отношения с Администратора (така например при участие в промоционални игри);
  3. Физическото лице е дало своето изрично съгласие,

Като администраторът все пак съблюдава и защитава легитимните интереси на субекта на извършваното профилиране.

Чл. 9. Всички работници в „АВАЛОН“ при постъпване на работа с подписване на трудов, респективно на граждански договор, се задължават да спазват конфиденциалност по отношение на цялата база данни, съдържаща включително информация за самите служители и работници, както и  контрагенти и потребители на „АВАЛОН“, а също и да не разгласяват данни и информация, станали им известни при и по повод изпълнение на служебните им задължения и ангажименти.

Глава вторa

ПОДДЪРЖАНИ РЕГИСТРИ

Чл. 10. В „АВАЛОН“ се поддържат в различен формат следните регистри:

  1. „Персонал“;
  2. „Клиенти“
  3. „Контрагенти“
  4. „Видеонаблюдение“

Чл. 11. За защита на личните данни в изрично посочените регистри по чл. 9 от тази Инструкция от тяхното случайно или незаконно унищожаване, от неправомерен достъп, от изменение или разпространение, както и от други незаконни форми на обработване, „АВАЛОН“ организира и предприема конкретни технически и организационни мерки, съобразени със съвременните технологични постижения и с рисковете, свързани с естеството на данните, които трябва да бъдат защитени.

Глава трета

ТЕХНОЛОГИЧНО ОПИСАНИЕ НА ПОДДЪРЖАНИТЕ РЕГИСТРИ

Чл. 12. Дружеството събира и обработва лични данни автоматизирано и не автоматизирано /на хартиен носител/.

Чл. 13. (1) Данните в „АВАЛОН“, обработвани електронно, се съхраняват в електронни системи, собственост на Дружеството. Сървърите, на които се съхраняват данни от системите са позиционирани на територията на ЕС.

В Дружеството се използва и система за контрол на достъпа – чрез електронни чипове за достъп за всеки служител.

Достъпът до системите се осъществява през електронни компютърни устройства, разположени в офисните помещения на „АВАЛОН“. Отдалечен достъп до сървърите е наличен. Личните данни на електронни носители могат да бъдат достъпвани чрез учредяване на отдалечен достъп на съответния служител, следвайки процедура за разрешаване, забраняване, отнемане и контрол на отдалечен достъп до IT активи на Дружеството. При осъществяване на отдалечен достъп се използват криптирани VPN канали.

 

(2) Достъпът до базата данни, поддържана от „АВАЛОН“, е ограничен. Всеки  (офис-мениджър, счетоводител и т.н.) получава при назначаването си индивидуално потребителско име и парола, чрез които достъпва общата база данни. Разкриването на индивидуалното потребителското име и парола на друг служител или работник е забранено. Извършвате се действия по поддръжка на системите чрез отделен индивидуален администраторски акаунт.

Чл. 14. (1) „АВАЛОН“ обработва лични данни и във вътрешната Е-мейл система. Достъпът до системата е ограничен с индивидуални потребителски имена и пароли.

(2) В системата се съхранява информация за контрагенти, клиенти и служители на Дружеството, част от която съдържа лични данни. В случай че в системата попадне информация, съдържаща специални категории лични данни, същата незабавно се премества на сигурно място в базата данни.

(3) Е-мейл системата се поддържа с вътрешни ресурси.

Чл. 15. (1) „АВАЛОН“ обработва данни за своите контрагенти, бизнес партньори и потребители и чрез поддържаната телефонна система. Част от обработваната през телефонните линии информация включва и лични данни.

(2) Провежданите телефонни разговори не се записват. Разговорите могат да се отразят в ежедневна справка на хартиен носител, посочвайки две имена, телефонен номер и адрес на физическото лице, което е направило обаждането, както и въпроса/темата на разговора. Справките се съхраняват за срок от максимум [5] години

 (1) Управителите на фирмата са тези които ръководят и управляват дейностите, свързани по-конкретно, но не само, с маркетинг, поддръжка и обновяване на софтуерни продукти, обновяване на техниката и оборудването, създаване и поддръжка на базата данни, поддръжка и актуализация на интранет системата, осигуряване на лицензирани софтуерни продукти и др.

(2) Полагат се грижи за правилното функциониране на персоналните компютри, навременното отстраняване на софтуерни и хардуерни проблеми, съхранението на всички получени лицензии за софтуерни продукти и т.н. При работа с данните се използват софтуерни продукти, които са адаптирани към специфичните нужди на Администратора на лични данни – „АВАЛОН“.

(3) В „АВАЛОН“ е одобрен списък на използваните софтуерни продукти. В случай на необходимост от нов софтуерен продукт системният администратор предлага закупуването му и извършва всички дейности по инсталиране и имплементиране в системите на „АВАЛОН“ след получаване на необходимия лиценз.

(4) В изпълнение на разпоредбите на Закона за националния архивен фонд, „АВАЛОН“ е разработила и прилага ефективно вътрешни правила, които регламентират реда за организирането, съхраняването и използването на документите, експертизата, обработването и предаването на документите – обект на Националния архивен фонд в държавните архиви, след изтичане на сроковете им за съхранение.

Раздел 1 – Регистър „Персонал“

Чл. 17. (1) В регистър „Персонал“, представляващ децентрализирана база данни, се съхраняват лични данни за следните цели:

  1. Управление на човешки ресурси;
  2. Финансово-счетоводна дейност; и
  3. Пенсионна, здравна и социално-осигурителна дейност.

(2) В регистър „Персонал“ се съхраняват следните видове лични данни:

  1. Физическа идентичност – три имена, ЕГН, адрес, телефонен номер, електронна поща, снимки, данни от документ за самоличност;
  2. Медицински данни (чувствителни данни):
    • относно физиологична идентичност – медицински документи, удостоверяващи данни за: i) кръвна картина, ii) ЕКГ, iii) Кръвна захар, iv) аудиометрия, v) очен преглед, vi) болнични листове, vii) решения на ТЕЛК, viii) епикризи при трудови злополуки;
    • относно психологическа идентичност ;
  3. Икономическа идентичност – информация за размер на трудово възнаграждение, за изплатени възнаграждения и бонуси, други доходи, данъчни декларации, информация за икономически/финансови задължения, номер на банкова сметка;
  4. Социална идентичност – информация за образование и квалификация, в това число копие от документи за придобито образование, квалификация, правоспособност, в това число за управление на МПС, разрешително за работа, допълнителни обучения, препоръки, данни за трудова дейност, както и документи за трудов стаж и професионална биография;
  5. Семейна идентичност – информация за семейно положение, родствени връзки, членове на семейство (ЕГН, дата на раждане, препис от акт за смърт), която „АВАЛОН“събира по реда на чл. 4, ал. 1, т. 1. от ЗЗЛД;
  6. Служебна идентичност – информация за заеманата в „АВАЛОН“ позиция, в това число и служебна характеристика, за служебни пътувания и командировки, за почивни и болнични дни, за претърпени работни инциденти, за преминати инструктажи и обучения (вътрешни и външни), оценка за изпълнение на задълженията.

 (3) Данните в регистъра на хартиен носител се събират, обработват и съхраняват от счетоводител. Пълен достъп до данните в регистъра имат Управителите на Дружеството и счетоводителя на Дружеството.

(4) При водене на регистъра на хартиен носител:

  • формата на организация и съхраняване на личните данни е писмена (документална) чрез съхраняване в папки (кадрови досиета) за всеки служител, които се подреждат в специални картотечни шкафове, намиращи се в помещение със заключване, чрез което се осъществява контрол на достъпа до регистъра;
  • местонахождението на картотечните шкафове е в помещение, осигуряващо възможност за самостоятелна работа на операторите на лични данни, с ограничен достъп, осигурен посредством врати със заключване и отделни помещения в рамките на офисните помещения на „АВАЛОН“. Документация за изпълнителите по граждански договори, която не съдържа чувствителни данни, може да се съхранява и в помещение за работа, в което се изпълняват и други дейности от други служители;
  • формата (носителят) за предоставяне на данните от физическите лица е в съответствие с разпоредбите на Кодекса на труда, Кодекса за социално осигуряване, Кодекса за застраховане и всички относими нормативни актове, като може да бъде една от следните:
  1. a) провеждане на устно интервю с лицето (при постъпване или в процеса на работа); и/или

б) подаване на хартиен носител – писмени документи, в това число декларации и заявления за и при постъпване/извършване на работа по трудово или гражданско правоотношение, за изменение или прекратяване на тези правоотношения, по текущи въпроси в процеса на работа, подадени от субекта на лични данни, както и от външни източници (съдебни, финансови, осигурителни, данъчни и други институции в изпълнение на нормативни изисквания). Личните данни се подават на основание чл. 4, ал. 1, т. 2 и т. 3, чл. 5, ал. 2, т. 1 и т. 2  от ЗЗЛД чрез служител, определен от лицето по защита на личните данни за този регистър;

в) предоставяне на лични данни от кандидати за работа примерно чрез платформата на Jobs.bg и др.

г) предоставяне на лични данни чрез контактна форма, поместена на уеб-сайта на „АВАЛОН“;

д) предоставяне на лични данни чрез трети лица – дружества, посредници в набиране на персонал.

(5) Личните данни се обработват от счетоводителя, както следва:

  • организацията и съхраняването на личните данни се осъществява чрез въвеждане на хард диск (сървър), на изолиран компютър и/или на сървър, достъпен единствено от личен профил на лицето по защита на лични данни и/или лице(то), действащо изрично под негово или това на Администратора ръководство. Документи, предоставени от кандидати за работа в „АВАЛОН“, съдържащи лични данни, се съхраняват във външен портал – примерно jobs.bg, където „АВАЛОН“ има свой акаунт и в контактната форма на уеб-сайта на Дружеството. Сървърът е изолиран и не е достъпен чрез интернет. Достъп до информация, директно по силата на тези Вътрешни правила, имат Управителите на „АВАЛОН“ и счетоводителя на дружеството. Лица с ограничен достъп, т.е. действащи под ръководство на лицето по защита на лични данни във връзка с обработката на лични данни в регистър „Персонал“ са представителите на службата по трудова медицина, за осигуряване на здравословни и безопасни условия на труд, както и лица, осъществяващи куриерски услуги за приемане, пренасяне, доставка и адресиране на пратки и лица, осъществяващи поддръжка на използваните от Дружеството електронни системи. Профили със защитен достъп до личните данни се ползват само от оператора на лични данни и/или от лицето, действащо под изричното негово ръководство или това на Администратора.
  • достъп до операционната система, съдържаща файлове за обработка на лични данни, има само лицето по защита на и/или лицето, действащо под изричното негово или на Администратора ръководство при обработване на лични данни, чрез парола за отваряне на тези файлове (документи, свързани например с индивидуални възнаграждения/бонуси и чувствителните лични данни за служителите и работниците), известна на него, а в негово отсъствие - на заместващото го лице;
  • защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством (i) поддържане на актуални антивирусни програми и криптиране, (ii) периодично архивиране на данните, (iii) стандартните криптографски възможности на операционните системи, на системите за управление на бази данни, както и на комуникационното оборудване, включително чрез (iv) поддържане на информацията на хартиен носител, в шкаф разположен в помещения с ограничен достъп, охранявани със СОТ. По преценка на лицето по защита на регистър „Персонал“ могат да бъдат предприети мерки за защита посредством криптиране на разменяни чрез имейл лични данни, които се отнасят към този регистър.

(6) Личните данни в регистър „Персонал“ се набират в електронен формат и/или поставят в кадрови досиета в хартиен формат при подаване на документи за постъпване на работа по трудово или гражданско правоотношение, чрез устно интервю и/или на хартиен носител, чрез контактната форма на уеб-сайта на Дружеството и чрез платформата на външни портали като пример - jobs.bg, и впоследствие при получаване на документи, съдържащи лични данни за лицата от регистър „Персонал“.

(7) Служители, с изключение на лицето по защита на лични данни и/или лицата, действащи под негово или на Администратора ръководство, могат да разполагат и работят с документи от регистър „Персонал“, само ако личните данни в тези документи са заличени.

(8) След одобрение на документите, съдържащи лични данни, същите, заедно с приложенията към тях, се обработват от оператора на лични данни за регистъра и се съхраняват на съответните носители, посочени в чл. 12, като се издава документ, отразяващ възникването на валидно трудово или гражданско правоотношение – трудов или граждански договор на технически и/или хартиен носител.

Изготвеният документ на технически носител остава в отделен файлов документ на компютъра, като достъп до него има лицето по защита на лични данни за регистър „Персонал“.

(10) При сключване на граждански договор процедурата е същата, с тази разлика, че за изпълнителя по граждански договор не се създава кадрово досие.

Други цели за обработване на лични данни в Дружеството:

  • начисляване на дължимите възнаграждения във ведомости за заплати/хонорари;
  • заверяване на трудови книжки;
  • издаване на служебни бележки и удостоверения;
  • вземане на решение за сключване на трудов договор, респективно граждански договор за извършване на услуги за „АВАЛОН“;
  • оформяне на командировъчни документи за служебни пътувания в страната и чужбина;
  • оформяне на документи във връзка с организация и провеждане на дружествени събития като обучения, участия в интервюта, рекламни и маркетингови кампании и други.
  • обработване на документи във връзка с използване на платени/неплатени и всякакъв друг вид отпуски, предвидени в Кодекса на труда.

При необходимост от коригиране на личните данни по инициатива на субекта на тези данни, същият е задължен да уведоми и предостави навременно актуализираните си данни на оператора лични данни.

 

Раздел 2 – Регистър „Клиенти“

Чл. 18. (1) В регистър „Клиенти“ се съхраняват лични данни за следните цели:

  1. Финансово-счетоводна дейност – предоставяне на услуги съгласно предмета на дейност на „АВАЛОН“;
  2. Директен маркетинг;
  3. Съпътстващи дейности във връзка с оперативната дейност на Дружеството.

(2) Регистър „Клиенти“ е децентрализирана база данни и съдържа следните лични данни за физически лица, както и за представителите на юридически лица, имащи качеството на клиенти-потребители на услугите на „АВАЛОН“:

  1. Физическа идентичност – три имена, ЕГН, адрес, телефонен номер, електронна поща, номер на автомобил, застрахователни данни и др.
  2. Икономическа идентичност – номер на банкова сметка и др.;

 (3) Лицето по защита на лични данни за регистър „Клиенти“ е лице, определяно със заповед на Управител на „АВАЛОН“. Лицата с ограничен достъп, т.е. действащи под негово изрично ръководство във връзка с обработката на лични данни в регистър „Клиенти“, са по-голямата част от отделите в Дружеството, диференцирани на база конкретната дейност, която извършва съответният отдел, като например счетоводител; и др.

(4) Физическата защита на личните данни от регистъра е осигурена съобразно с техническите и организационни мерки, предвидени за съответните категории лични данни, съхранявани в хартиен и електронен формат.

Данните в хартиен формат (договори и др.) се съхраняват в хартиени дела в помещения с ограничен достъп.

Данните в електронен формат се съхраняват на твърд диск (сървър), на изолиран компютър и/или на сървър, достъпен единствено от профила на лицето по защита на лични данни и/или лице(то), действащо под неговото пряко изрично или това на Администратора ръководство. Профили със защитен достъп до личните данни се ползват само от обработващия лични данни и/или от лицето, действащо под негово ръководство. Сървърът, на който в „АВАЛОН“ се съхранява информация, е достъпен чрез отдалечен достъп посредством криптирани VPN канали.

Местонахождението на компютрите и на сървъра е в изолирано помещение с ограничен достъп. Тези мерки осигуряват сигурността на съхраняваната информация.

Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством: (i) поддържане на актуални антивирусни програми и криптиране, (ii) периодично архивиране на данните чрез изрично описани правила за архивиране, утвърдени от „АВАЛОН“, както и (iii) поддържане на информацията на хартиен носител.

(5) Личните данни в регистър „Клиенти“ се набират при получаването им от физическото лице, за което се отнасят посредством сключване на договор, на хартиен или електронен носител от Администратора на лични данни, чрез лицето по защита на лични данни за регистъра или лицата с ограничен достъп по този чл. 18, ал. 3,  чрез телефонен разговор с лица, които вече имат качеството на клиент-потребител. За всички маркетингови дейности Дружеството се сдобива с изричното съгласие на лицата, отговарящо на изискванията на GDPR.

Раздел 3 – Регистър „Контрагенти“

Чл. 18. (1) В регистър „Контрагенти“ (клиенти, бизнес партньори и доставчици) се съхраняват лични данни за следните цели:

Финансово-счетоводна дейност – изпълнение на сключените договори;

 (2) Регистър „Контрагенти“ съдържа следните лични данни за контрагенти на „АВАЛОН“ физически лица, както и физическите лица, представляващи юридическите (доставчици и бизнес-партньори на „АВАЛОН“:

  • три имена, длъжност/позиция, дата на раждане, данни по документ за самоличност, гражданство, адрес, телефонен номер, Е-мейл адрес, банкова сметка.

(3) Лицето по защита на лични данни за регистър „Контрагенти“ е лице, определяно със заповед на Управителя на „АВАЛОН“. Лицата с ограничен достъп, т.е. действащи под негово изрично ръководство във връзка с обработката на лични данни в регистър „Контрагенти“ е счетоводителя на фирмата. Останалите работници в дружеството могат свободно да използват работни версии на документите, в които се съдържат лични данни на контрагенти, но, само след изрично възлагане на конкретна задача, свързана с използването на тези данни от страна на Администратора.

(5) Физическата защита на личните данни от регистъра е осигурена съобразно с техническите и организационни мерки за съответните данни, вземайки предвид, че данните се обработват и съхраняват в хартиен и електронен формат.

Данните в хартиен формат се съхраняват в хартиени досиета в помещения с ограничен достъп.

Данните в електронен формат се съхраняват на твърд диск (сървър), на изолиран компютър и/или на сървър, достъпен единствено от профила на лицето по защита на лични данни и/или лице(то), действащо под неговото пряко изрично или това на Администратора ръководство. Профили със защитен достъп до личните данни се ползват само от оператора на лични данни и/или от лицето, действащо под негово ръководство. Сървърът, на който в „АВАЛОН“ се съхранява информация, е изолиран.

Местонахождението на компютрите е в изолирани помещения с ограничен достъп. Тези мерки осигуряват сигурността на съхраняваната информация.

Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством: (i) поддържане на актуални антивирусни програми и криптиране, (ii) периодично архивиране на данните чрез изрично описани правила за архивиране, утвърдени от „АВАЛОН“, както и (iii) поддържане на информацията на хартиен носител.

(6) Личните данни в регистър „Контрагенти“ се набират при получаването им на хартиен или електронен носител от Администратора на лични данни, чрез лицето по защита на лични данни за регистър „Контрагенти“ или лицата с ограничен достъп по чл. 17, ал. 3.

 

Раздел 4 – Регистър „Видеонаблюдение“

Чл. 20. (1) Регистър „Видеонаблюдение“ представлява децентрализирана база от лични данни, събирани в резултат от въведена система за видеонаблюдение, осъществявана непосредствено от Администратора на територията на „АВАЛОН“.

(2)  В регистър „Видеонаблюдение“ се съхраняват лични данни за следните цели:

  1. Защита на персонала и имуществото на Администратора;
  2. Спазване на обществения ред от всички лица, намиращи се на територията на базата на „АВАЛОН“;
  3. Спазване и контрол на вътрешните правила и процедури в „АВАЛОН“.
  4. Осигуряване на възможност за съдействие на компетентните държавни органи в случай на необходимост.

(3) Регистър „Видеонаблюдение“ съдържа лични данни относно физическата идентичност – видео-изображения (външен вид) на посетителите на офисните помещения на „АВАЛОН“, на служителите, работниците, както и всички други физически лица, намиращи се в обхвата на системата за видеонаблюдение – както общодостъпните зони, така и зони с ограничен достъп.

(4) Данните от този регистър се събират посредством изградената интегрирана система за видеонаблюдение, която е собственост на „АВАЛОН“.

(5) Данните от този регистър се съхраняват на отделен персонален компютър. Достъп до записите от видеокамерите имат управителите на дружеството. Архивът от записите на камерите се съхранява за срок не по-дълъг от 30 дни, като записаните най-рано данни се заличават автоматично в съответствие с настройките на системата за видеонаблюдение. В случай на техническа повреда и/или друго препятствие по изключение се допуска заличаването да се осъществи от упълномощено лице.

(6) Събираните в този регистър лични данни се предоставят доброволно от лицата, които с влизането си в офисните помещения на „АВАЛОН“ изразяват валидно съгласие във връзка с извършваното видеонаблюдение.  В съответствие с изискванията на закона, на входовете на сградите на „АВАЛОН“, са поставени предупредителни табели за извършваното постоянно видеонаблюдение.

(7) Физическата защита на данните в регистъра се осъществява от денонощна физическа охрана, ключалки, специално защитени врати, в което се съхраняват архивираните данни.

(8) Лицето по защита на лични данни за регистър „Видеонаблюдение“ е лице, определяно със заповед от Управителя на „АВАЛОН“.

  • Неограничен достъп до данните от регистъра имат и: Управителите на дружеството за техническо-административни цели;

Лица с ограничен достъп, т.е. действащи под ръководство на лицето по защита няма.

(9) Данни от този регистър се предоставят, само когато е постъпило искане, оформено по предвидения от закона ред, въз основа обоснован легитимен интерес на субекта, който е отправил запитването, или законосъобразно писмено искане от компетентен държавен орган.

Глава четвърта

ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА ЗАЩИТА, СРОКОВЕ ЗА СЪХРАНЕНИЕ, НИВА НА ДОСТЪП

Раздел първи – ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ

Чл. 19. (1) Администраторът е предприел съответни технически и организационни мерки за защита на личните данни, както следва:

  1. Програмно-технически – защита с индивидуални потребителски профили с пароли за достъп за всеки служител и работник, както и други средства за защита при пренасяне на информацията, в това число надеждна и защитена идентификация и автентификация на изпращача и на получателя на информацията, осигуряване на конфиденциалност, интегритет на пренасяната информация, защита от вируси, копия за възстановяване за срока, определен за съхранението на данните за всеки отделен регистър, стандартна криптографска защита на операционните системи, съобразена с най-новите технологични възможности, на системите за управление на бази данни, както и на комуникационното оборудване, забранен достъп до информацията, находяща се на сървъра, чрез отдалечен достъп посредством интернет;
  2. Физически – система от мерки по защита на сградите, помещенията и съоръженията, в които се обработват и съхраняват лични данни и контрол върху достъпа до тях, в това число чрез чип-карти за достъп до помещения, ключалки, обособени шкафове, оборудване в помещенията, отговарящо на нуждите, целите и нивото на въздействие на обработване на лични данни;
  3. Организационни и административни (документални) – регламентирани с правила и заповеди на Управителя на „АВАЛОН“; псевдонимизация на определени категории лични данни; определяне на регистрите, които ще се поддържат и на електронен носител, регламентиране на достъпа до регистрите, определяне на срокове за съхранение и процедури за унищожаване на лични данни; определяне на правила за управление и съхранение на досиета, отнасящи се до (бъдещ) персонал; определяне на правила за архивиране на документи както на хартиени, така и на електронни носители; регулярни обучения на отговорните лица – служители на „АВАЛОН“, по въпросите за защита на личните данни, въз основа на законодателството и практика в областта;
  4. Нормативни – предвидени в законови и подзаконови нормативни актове, в това число и наличие на съгласие за поемане на задължение за неразпространение на лични данни от лицата, които ги обработват;
  5. Следване на принципа Privacy by design – „АВАЛОН“ въвежда както към момента на определянето на средствата за обработване, включително и най-вече при разработването на нови бизнес модели/бизнес процеси/продукти/системи за работа, така и към момента на самото обработване, подходящите, предвидени в настоящата Инструкция, технически и организационни мерки за защита на личните данни, в това число псевдонимизация;
  6. Следване на de minimis принципа - „АВАЛОН“ ограничава обработването на лични данни до такива, които са разумно адекватни на и относими към конкретното приложимо основание, на база на което се извършва обработката и което кореспондира на бизнес целите на тази обработка. Доколкото лични данни не се явяват необходими за приложимото към конкретната обработка основание и бизнес цели, т.е. надхвърлят ги, Дружеството прави всичко възможно да унищожи тези лични данни.

(2) По отношение на личните данни от поддържаните регистри се прилагат и допълнителни мерки, детайлно посочени съответните раздели, отнасящи се до тях в тази Инструкция.

Раздел втори – СРОКОВЕ ЗА СЪХРАНЕНИЕ

Чл. 20. (1) Сроковете за съхранение на лични данни са, както следва:

  1. за Регистър „Персонал“

1.1. Персонал - 50 години по отношение на ведомостите за работни заплати и възнаграждения и 5 години по отношение на всички останали документи, различни от ведомости за заплати и възнаграждения, част от трудовото досие/от досието на служителя по гражданско правоотношение. Този срок започва да тече след отпадане на договорното основание, за което се съхраняват личните данни на лицата;

1.2. Кандидати за работа – 3 години, като срокът започва да тече след отпадане на подадената обява за работа или предаването на документи, свързани със самоинициативно кандидатстване от страна на физическите лица.

  1. за Регистър „Клиенти“ – 5 години от прекратяване на договора/отпадане на основанието, въз основа на което данните са били събрани първоначално; ;
  2. за Регистър „Контрагенти“ – 5 години от прекратяване на договора/отпадане на основанието, въз основа на което данните са били събрани първоначално;
  3. за Регистър „Видеонаблюдение“ – 30 дни.

 

(2) „АВАЛОН“ следва, за целия срок на съхранение на личните данни по отделните регистри, да спазва технологията за безопасно поддържане и съхранение, обновяване, заличаване, унищожаване и т.н., на лични данни.

(3) Когато в процедура по подбор „АВАЛОН“ е изискала да се представят оригинали или нотариално заверени копия на документи, удостоверяващи физическа и психическа годност на кандидата за работа, необходимата квалификационна степен и стаж за заеманата длъжност, субектът на данните, който не е одобрен за назначаване, може да поиска в 30-дневен срок от окончателното приключване на процедурата по подбор да получи обратно представените документи. В такъв случай „АВАЛОН“ връща документите по начина, по който са подадени.

Раздел трети – НИВА НА ДОСТЪП

Чл. 21. (1) Право на достъп до данните в регистър „Персонал“, при спазване на разпоредбите на тази Инструкция и инструкциите на лицето по защита на лични данни в регистър „Персонал“,  имат:

  1. Лицата, за които се отнасят данните в регистъра, по тяхно изрично писмено искане;
  2. Счетоводителят на фирмата и други лица, определени със заповед на Управителя – при изпълнение на правомощията им по Кодекса на труда, Кодекса за социално осигуряване, Данъчно-осигурителния процесуален кодекс, Закона за движение по пътищата, Закона за защита на личните данни, тези Вътрешни правила и др.;
  3. Държавни органи, надлежно легитимирали се със съответни документи – писмени разпореждания на съответния орган, в които се посочва основанието и имената на лицата, на които е необходимо да се осигури достъп до личните данни;
  4. Служба по трудова медицина;
  5. Представители, в това число и служители на дружество, което предоставя услуги по живото застраховане на всички физически лица, чиито лични данни се обработват;
  6. Представители, в това число и служители на дружество, което по силата на договор извършва съхранение на архив на документацията;
  7. Представители, в това число и служители на дружество, с което Администраторът организира бизнес пътувания – командировки.
  8. Представители, в това число и служители на дружество, което предоставя куриерски услуги на Администратора.

(2) Данните от регистъра могат да се предават на трети лица само с изричното съгласие на субектите на лични данни и при спазване на останалите условия, предвидени в действащото българско законодателство. Данните от регистъра могат да бъдат предавани по електронен път, само ако са надлежно защитени в съответствие с инструкциите на Длъжностното лице по защита на личните данни.

(3) Лицето по защита на личните данни в регистър „Персонал“ и лицата, имащи ограничен достъп до регистъра под негов контрол, включително лицата, събиращи и обработващи лични данни в регистъра, имат следните права и задължения:

  1. Да използват личните данни при спазване разпоредбите на Кодекса на труда;
  2. Да използват личните данни в изпълнение на задълженията си по Закона за здравното осигуряване, Кодекса за социално осигуряване;
  3. Да не изнасят и съхраняват личните данни извън специално определените за целта места, регламентирани с режим на специален достъп;
  4. Да не използват личните данни по нерегламентиран начин /фалшифициране и друг вид злоупотреба/.

Чл. 22. Чл. 24. (1) Право на достъп до данните в регистър „Клиенти“, при спазване на разпоредбите на тази Инструкция и инструкциите на лицето по защита на лични данни в регистър „Клиенти“  имат:

  1. Лицата, за които се отнасят данните в регистъра, по тяхно изрично писмено искане;
  2. По-голямата част от отделите в Дружеството, диференцирани на база конкретната дейност, която извършва съответният отдел, като напр. счетоводителя и други лица, определени със заповед на Управителя – при изпълнение на правомощията им по Закона за защита на потребителите, Закона за защита на личните данни, тези Вътрешни правила и др.;
  3. Операторите на лични данни;
  4. Държавни органи, надлежно легитимирали се със съответни документи – писмени разпореждания на съответния орган, в които се посочва основанието и имената на лицата, на които е необходимо да се осигури достъп до личните данни;
  5. Лицето по защита на личните данни в регистър „Клиенти“ и лицата, имащи ограничен достъп до регистъра под негов контрол.

(2) Данните от регистъра могат да се предават на трети лица само с изричното съгласие на субектите на лични данни и при спазване на останалите условия, предвидени в действащото българско законодателство. Данните от регистъра могат да бъдат предавани по електронен път само ако са надлежно защитени в съответствие с инструкциите на Длъжностното лице по защита на личните данни.

(3) Лицето по защита на личните данни в регистър „Клиенти“ и лицата, имащи ограничен достъп до регистъра под негов контрол, включително лицата, събиращи и обработващи лични данни в регистъра, имат следните права и задължения:

  1. Да използват личните данни в изпълнение на задълженията си по Закона за защита на потребителите;
  2. Да не изнасят и съхраняват личните данни извън специално определените за целта места;
  3. Да не използват личните данни по нерегламентиран начин /фалшифициране и друг вид злоупотреба/.

 

Чл. 22. (1) Право на достъп до данните в регистър „Контрагенти“, при спазване на разпоредбите на тази Инструкция и инструкциите на лицето по защита на лични данни в регистър „Контрагенти“,  имат:

  1. Лицата, за които се отнасят данните в регистъра, по тяхно изрично писмено искане;
  2. Управителите на дружеството, счетоводителя на фирмата и други лица, определени със заповед на Управител – при изпълнение на правомощията им по Закона за безопасни и здравословни условия на труд, Данъчно-осигурителния процесуален кодекс, Закона за задълженията и договорите, Търговския закон, Закона за защита на личните данни, тези Вътрешни правила и др.;
  3. Държавни органи, надлежно легитимирали се със съответни документи – писмени разпореждания на съответния орган, в които се посочва основанието и имената на лицата, на които е необходимо да се осигури достъп до личните данни;
  4. Лицето по защита на личните данни в регистър „Контрагенти“ и лицата, имащи ограничен достъп до регистъра под негов контрол.
  5. Лицето, извършващо поддръжка на IT системите в „АВАЛОН“.

(2) Данните от регистъра могат да се предават на трети лица само с изричното съгласие на субектите на лични данни и при спазване на останалите условия, предвидени в действащото българско законодателство. Данните от регистъра могат да бъдат предавани по електронен път, само ако са надлежно защитени в съответствие с инструкциите на Длъжностното лице по защита на личните данни.

(3) Лицето по защита на личните данни в регистър „Контрагенти“ и лицата, имащи ограничен достъп до регистъра под негов контрол, включително лицата, събиращи и обработващи лични данни в регистъра, имат следните права и задължения:

  1. Да използват личните данни в изпълнение на задълженията си по Закона за безопасни и здравословни условия на труд, Данъчно-осигурителния процесуален кодекс, Закона за задълженията и договорите, Търговския закон, Закона за защита на личните данни, тези Вътрешни правила и др.;
  2. Да не изнасят и съхраняват личните данни извън специално определените за целта места;
  3. Да не използват личните данни по нерегламентиран начин /фалшифициране и друг вид злоупотреба/.

Глава пета

ДЛЪЖНОСТИ, СВЪРЗАНИ С ОБРАБОТВАНЕ И ЗАЩИТА НА ЛИЧНИ ДАННИ. ПРАВА И ЗАДЪЛЖЕНИЯ

Чл. 23. Лица по защита на личните данни за всеки от регистрите в „АВАЛОН“ са:

  • За регистър „Персонал“ – счетоводителят на дружеството;
  • За регистър „Клиенти“ – лице, определено със заповед на Управителя на Дружеството;
  • За регистър „Контрагенти“ – лице, определено със заповед на Управителя на Дружеството;
  • За регистър „Видеонаблюдение“ – лице, определено със заповед на Управителя на Дружеството.

Чл. 24. (1) В „АВАЛОН“ е определило външен експерт да изпълнява функции на лице по защита на личните данни, което е лице за контакт с Комисията за защита на личните данни.

(2) Длъжностното лице по защита на лични данни има следните правомощия:

  1. Осигурява организацията по водене на регистрите, съгласно предвидените мерки за гарантиране на адекватна защита;
  2. Следи за спазването на конкретните мерки за защита и контрол на достъпа, съобразно спецификата на водените регистри;
  3. Осъществява контрол по спазване на изискванията за защита на регистрите;
  4. Поддържа връзка с Комисията за защита на личните данни относно предприетите мерки и средства за защита на регистрите и подадените заявления за предоставяне на лични данни;
  5. Контролира, съвместно с външния експерт, спазването на правата на потребителите във връзка с регистрите и програмно-техническите ресурси за тяхната обработка;
  6. Конкретизира, съвместно с външния експерт, техническите ресурси, прилагани за обработка на личните данни;
  7. Следи за спазване на организационната процедура за обработване на личните данни, включваща време, място и ред при обработване, като напр. чрез регистрация на всички извършени действия с регистрите в компютърната среда;
  8. Определя ред за съхраняване и унищожаване на информационни носители, включително следи за периодично архивиране на информацията;
  9. Съвместно с лицето, поддържащо системите определя ред при задаване, използване и промяна на пароли, както и действията в случай на узнаване на парола и/или криптографски ключ;
  • Съвместно с лицето, поддържащо системите определя правила за провеждане на редовна профилактика на компютърните и комуникационните средства, включваща и проверка за вируси, за нелегално инсталиран софтуер, на целостта на базата данни, както и архивиране на данни, актуализиране на системната информация и др.;
  • Провежда периодичен контрол за спазване на изискванията по защита на данните и при открити нередности взема мерки за тяхното отстраняване;
  • Организира предоставянето на правомерен достъп на трети лица до информацията в отделните регистри;
  • Организира предоставянето на правомерен достъп на служителите с ограничен достъп до информацията в регистрите;
  • Осигурява достъп на лицата до личните им данни.

Чл. 25. Управителят на Дружеството определя със заповед списъка на лицата, които обработват лични данни в  „АВАЛОН“. Списъците се изготвят поотделно за всеки регистър, в съответствие с предвиденото в тази Инструкция.

Чл. 26. Служителите на „АВАЛОН“ са длъжни да:

  1. Обработват лични данни законосъобразно и добросъвестно;
  2. Използват личните данни, до които имат достъп, съобразно целите, за които тези се събират и да не ги обработват допълнително по начин, несъвместим с тези цели;
  3. Актуализират регистрите на личните данни, до които имат достъп (при необходимост);
  4. Заличават или коригират личните данни, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
  5. Поддържат личните данни във вид, който позволява идентифициране на съответните физически лица, за период не по-дълъг от необходимия за целите, за които тези данни се обработват.

Чл. 27. (1) Забранява се събирането, обработването, съхранението и разпространението на лични данни от неупълномощени служители на „АВАЛОН“.

(2) Неспазване на разпоредбите на тези Вътрешни правила представлява нарушение на трудовата дисциплина и договорните правоотношения с „АВАЛОН“, за което съответните лица носят отговорност съгласно Закона за защита на личните данни и Кодекса на труда.

Чл. 28. (1) Програмно-техническите средства за защита на личните данни се определят от външния експерт по защита на личните данни след съгласуване с Управителя на „АВАЛОН“.

(2) При внедряване на нов програмен продукт за обработване на лични данни следва да се съставя нарочна комисия по тестване и проверка на възможностите на продукта с оглед спазване изискванията на Закона за защита на личните данни и осигуряване на максималната им защита от неправомерен достъп, загубване, повреждане или унищожаване. За всеки отделен случай се назначава нарочна приемна комисия, в състава на която задължително участва служител, отговарящ за процеса, свързан с новия програмен продукт и с ролите на потребителите. В състава на комисията участва и служител, който е упълномощен да издаде или инициира издаването на заповед, с която да бъдат определени правата и задълженията на служителите (потребителите) в „АВАЛОН“, които ще използват ново разработения продукт.

Глава шеста

ОЦЕНКА НА ВЪЗДЕЙСТВИЕ И ОПРЕДЕЛЯНЕ НА СЪОТВЕТНО НИВО НА ЗАЩИТА

Чл. 29. (1) Оценка на въздействие е процес за определяне нивата на въздействие върху конкретно физическо лице или група физически лица в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица в случай на нарушаване на поверителността, цялостността или наличността на личните данни.

(2) Оценка на въздействието се извършва с цел определяне на адекватното ниво на техническите и организационни мерки и допустимия вид на обработваните лични данни за всеки обособен регистър поотделно. Същата се извършва периодично, поне на всеки две години или при настъпване на съществена промяна в характера на обработваните лични данни и броя на засегнатите лица, като се прилага процедурата, изрично предвидена в Приложение № [5] към тази Инструкция.

(3) В случай че извършена оценка на въздействието покаже, че обработването би могло да породи висок риск за субектите, ако Администраторът не предприеме мерки за ограничаване на риска, то следва да се проведе предварителна консултация с КЗЛД преди обработването на личните данни за съответния регистър.

Чл. 30. Нива на защита:

  • За Регистър „Персонал“ се определя степен на защита – „средно ниво“;
  • За Регистър „Клиенти“ се определя степен на защита - „високо ниво“;
  • За Регистър „Контрагенти“ се определя степен на защита - „ниско ниво“;
  • За Регистър „Видеонаблюдение“ се определя степен на защита - „ниско ниво“;

Глава седма

ДЕЙСТВИЯ ЗА ЗАЩИТА ПРИ НАРУШАВАНЕ СИГУРНОСТТА НА ЛИЧНИ ДАННИ, АВАРИИ, ПРОИЗШЕСТВИЯ И БЕДСТВИЯ

Чл. 31. (1) Администраторът предприема превантивни действия за защита на личните данни, като съставя план за действие при различни форми на настъпили форсмажорни събития, а именно:

  1. защита при аварии, независещи от „АВАЛОН“ – предприемат се конкретни действия в зависимост от конкретната бедствена/аварийна ситуация;
  2. защита от пожари – незабавно гасене със собствени средства /пожарогасители/ и уведомяване на съответните органи на реда;
  3. защита от наводнения – предприемат се действия по ограничаване на разпространението, както и се изпомпва вода или загребва със собствени подръчни средства.

(2) В случай на нарушение на сигурността на обработваните лични данни „АВАЛОН“ следва изрично приетата процедура за действие при установяване на пробив в системите на Администратора, съгласно Приложение № [6] към тези Вътрешни правила.

Глава осма

СЪХРАНЯВАНЕ И УНИЩОЖАВАНЕ НА ЛИЧНИ ДАННИ

Чл. 32. (1) Лични данни на физическите и юридическите лица, събирани от „АВАЛОН“, се съхраняват до осъществяване на целите, за които са били събрани и се обработват, в рамките на периода, предвиден съгласно тази Инструкция.

(2) След постигане целите по смисъла на този чл. 32, (1) личните данни на физическите лица се унищожават в съответствие с процедурата, представляваща Приложение № [2] към тази Инструкция, като надлежното унищожаване се потвърждава посредством протокол, представляващ Приложение № [7] към настоящата Инструкция.

 

 

Приложения:

Приложение № 1Процедури, действащи в рамките на „АВАЛОН“ – Политика за защита на личните данни на служители, както и Политика за защита на личните данни на клиенти, доставчици и бизнес партньори;

Приложение № 2Процедура за унищожаване на лични данни;

Приложение № 3Писмено заявление за получаване на информация за обработвани лични данни от „АВАЛОН“;

Приложение № 4 Процедура по предоставяне на информация на физически лица при подаване на заявления и в съответствие с правото на пренос на данни, във връзка с разпоредбите на Регламент (ЕС) 2016/679 На Европейския Парламент и на Съвета от 27 април 2016 година, относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (GDPR);

Приложение № 5Процедура и Протокол за оценката за въздействие по чл. 11, ал. 3 от Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни;

Приложение № 6Процедура при нарушения на сигурността на личните данни и уведомление за нарушение по силата на Регламент (ЕС) 2016/679 На Европейския Парламент и на Съвета от 27 април 2016 година, относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (GDPR);

Приложение № 7 Протокол за унищожаване на лични данни.

 

Можете да изтеглите този документ от тук!