Лични данни

ПОЛИТИКА

/ИНСТРУКЦИЯ/

за мерките и средствата за защита на личните данни

събирани, обработвани, съхранявани и предоставяни от АСМ ЕООД


Название на документа:

Съобщение за неприкосновеност на личните данни.

Цел на документа:

Този документ обяснява на субектите на данни как АСМ ЕООДсъбира и използва личните им данни. С него се информират субектите на данните за целите на администратора при обработката на данните, правното основание за тази обработка и условията, при които техните данни ще бъдат защитени, споделяни и съхранявани.

Документът се предоставя на: всички физически и юридически, които са в търговски /договорни/ отношения с АСМ ЕООД и е достъпен на уебсайта на организацията.

Версия 1 / дата: 25.05.2018 г.

Актуализирана / дата: 15.08.2022 г.


Раздел първи

ОБЩИ ПОЛОЖЕНИЯ

Чл.1. Настоящата Инструкция урежда организацията и вътрешния ред на АСМ ЕООД, като администратор на лични данни, както и нивото на технически и организационни мерки при обработване на лични данни и допустимия вид защита.

Чл.2. Инструкцията е изготвена в съответствие с разпоредбите на Закона за защита на личните данни (ЗЗЛД), Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни (Наредба № 1), Регламент (Ес) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 относно защита на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, и цели защита на интересите на физически лица и физическите лица, представялващи юридическите, както и на служителите на АСМ ЕООД от незаконосъобразно и недобросъвестно обработване на личните им данни.

Чл.3. За целите на настоящата Инструкция понятията по-долу имат следното значение:

1. „Лични данни” са всяка информация, отнасяща се до физически лица и физическите лица, представляващи юридическите – клиенти и партньори, наричани контрагенти , както и тази, свързана със служители, които са идентифицирани или чрез която същите могат да бъдат идентифицирани пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.

2. „Обработване на лични данни” е всяко действие или съвкупност от действия, които АСМ ЕООД извършва по отношение на личните данни с автоматични или неавтоматични средства (събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване и др.).

3. „Администратор на лични данни” е АСМ ЕООД, което самостоятелно или чрез възлагане на друго лице обработва лични данни.

4. Чувствителни лични данни” са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.

5. „Регистър на лични данни” е структурирана съвкупност от лични данни, достъпна по определени критерии съобразно вътрешните документи на АСМ ЕООД.

6. „Съгласие на физическо лице” е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани.

Чл.4.(1) АСМ ЕООД обработва само законно събрани лични данни, необходими за конкретни, точно определени и законни цели. Личните данни, които събира и обработва следва да бъдат точни и при необходимост да се актуализират. Личните данни се заличават или коригират, когато се установи, че са неточни или несъответстващи на целите, за които се обработват.

(2) АСМ ЕООД поддържа личните данни във вида и формата, които позволяват идентифициране самоличността на физическите лица за срок не по-дълъг от необходимия за изпълнение на целите, за които личните данни се обработват.

(3) АСМ ЕООД спазва принципа за забрана на обработване на специални категории данни съгласно чл. 5, ал. 1 от ЗЗЛД (разкриване на расов или етнически произход; разкриване на политически, религиозни или философски убеждения; членство в политически партии или организации; сдружения с религиозни, философски, политически или синдикални цели; лични данни, които се отнасят до здравето, сексуалния живот или до човешкия геном), като изключения се допускат само в случаите, предвидени в чл. 5, ал. 2 от ЗЗЛД.

Чл.5.(1) Физическото лице – притежател на личните данни – изразява свободно своето съгласие относно обработването на отнасящи се за него лични данни.

(2) Физическото лице има  право по всяко време на обработването да поиска или унищожаване (изтриване) на събрани за него лични данни, в случаите, когато оспорва тяхната точност или обработването им е незаконосъобразно.

(3) В случаите, когато данните не са получени от лицето, АСМ ЕООД го информира за целите и правното основание на обработването, за категориите предоставени данни и техния източник, за получателите, на които ще бъдат предоставени, както и за правото му на достъп до неговите лични данни.

Чл. 6. Като администратор на лични данни АСМ ЕООД поддържа личните данни във вид, който позволява идентифициране на физическите лица.

Чл.7. Обработването на личните данни се извършва, когато:

1. Това е необходимо за изпълнение на нормативно установено задължение.

2. Физическото лице, за което се отнасят данните, е дало своето изрично съгласие. Контрагентите и служителитете на АСМ ЕООД, се идентифицират посредством официален документ за самоличност (лична карта). След проверка и въвеждане на данните в трудовия договор, се връща на лицето.

3. Обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане.

Чл.8. Всички служители на АСМ ЕООД при встъпване в длъжност се задължават да спазват конфиденциалност по отношение на базата данни, в т. ч. лични данни, както и да не разгласяват данни и информация, станали им известни при и по повод изпълнение на служебните им задължения.

Чл.9. АСМ ЕООД поддържа вътрешен ред като администратор на лични данни, като осигурява технически и организационни мерки за защита.


Раздел втори

ОПИСАНИЕ НА РЕГИСТРИТЕ

Чл.10. АСМ ЕООД поддържа следните регистри:

  • Лични данни на служителите, които се събират, обработват и съхраняват в Регистри „Служители”;

(2) Лични дании на физически лица, представители на физически лица, с които АСМ ЕООД работи ( клиенти и партньори ) в регистър „Контрагенти“

(3) „Видеонаблюдение”;

(4) „Заплати“

(5) „Болнични листи“

Чл.11. (1) За защита на личните данни от случайно или незаконно унищожаване, от неправомерен достъп, от изменение или разпространение както и от други незаконни форми на обработване АСМ ЕООД организира и предприема мерки, съобразени със съвременните технологични постижения и рисковете, свързани с естеството на данните, които трябва да бъдат защитени.


Раздел трети

ТЕХНОЛОГИЧНО ОПИСАНИЕ НА ПОДДЪРЖАНИТЕ РЕГИСТРИ – НОСИТЕЛИ НА ДАННИ, ТЕХНОЛОГИЯ НА ОБРАБОТВАНЕ, СРОК ЗА СЪХРАНЕНИЕ И ПРЕДОСТАВЕНИ УСЛУГИ

Чл. 12. (1) АСМ ЕООД събира и обработва лични данни автоматизирано и неавтоматизирано /хартиен носител/.

Чл.13. (1) В регистър „Служители” се съхраняват следните видове лични данни:

1. физическа идентичност – имена, ЕГН, адрес, телефон, паспортниданни;

2. образование – документ за придобито образование, квалификация правоспособност;

3. трудова дейност – съгласно приложените документи за трудов стаж и професионална биография;

4. медицински данни – карта за предварителен медицински преглед за постъпване на работа;

5 свидетелство за съдимост, когато се изисква;

(2) Събирането, обработването и съхранението на лични данни в Регистър „Служители” е уредено в Инструкция за механизма на обработване на лични данни и защитата им от незаконни форми на обработване в Регистър „Служители”, утвърдена със Заповед №  247/25.05.2018.

(3) Данните в регистъра на хартиен носител и технически носител се събират, обработват и съхраняват в сектор „Човешки ресурси”.

(4) Личните данни в регистър “Служители” се набират при подаване на документи за постъпване на работа по трудово и служебно правоотношение, със съгласие на субекта на данни ( свободно изразено, както и в писмена форма чрез бланка „Заявление за назначаване“ ; При спазване на принципите за защита на личните данни съгласно чл. 5 от Регламента ).

(5) АСМ ЕООД не поддържа отделен регистър на кандидатите по обявени позиции за своботни работни места. Данни за гореспоменатите се съхраняват единствено в личния профил на АСМ ЕООД в www.jobs.bg, при условията и изискванията на jobs.bg, във връзка с новия регламент за Защита на личните данни, като достъпът е ограничен и защитен с парола.

Чл.14 (1) В регистър „Контрагенти“ се събират и обработват лични данни на физически лица, представители на юридическите лица, с които АСМ ЕООД работи: Име, адрес, телефон, номер в Агенция по вписвания ( БУЛСТАТ, ЕГН );

(2) Събирането, обработването и съхранението на лични данни в Регистър „Контрагенти” е съобразено с принципите на новия Регламент (Ес) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 относно защита на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, и цели защита на интересите на физически лица и физическите лица, представялващи юридическите, от незаконосъобразно и недобросъвестно обработване на личните им данни и е в съответствие с разпоредбите на Закона за защита на личните данни (ЗЗЛД), Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.

(3) Данните в регистъра на хартиен носител и технически носител се събират, обработват и съхраняват в  отдел „Счетоводство ”.

(4) Данните се събират и обработват по време на съвместната работа с конкретните юридически лица, с търговска цел ( покупко – продажба на стоки ), при свободно изразено съгласие.

Чл.15. (1) Регистър „Видеонаблюдение” се попълва с данни от автоматично денонощно видеонаблюдение (видеообраз) за движението на служителите и посетителите към подходите на сградите и помещенията. Записите с видеообрази се съхраняват на отделен персонален компютър, монтиран в помещението на физическата охрана.

(2) Данните в регистъра се предоставят доброволно от лицата при влизането им в сградата. На входовете на сградата са поставени предупредителни табели, че обектът се намира под постоянно видеонаблюдение. Данните от този регистър се съхраняват 14 дни.

(3) Физическата защита на личните данни се осъществява от денонощна физическа охрана.

Чл.16. (1) Регистър „Заплати“ съдържа следните данни – име, ЕГН, номер на лична карта, адрес, банкова сметка, данъчна служба по местоживеене, месечен доход;

 (2) Физическата защита на личните данни от регистъра е организирана като елемент на общата физическа защита на сградите и работните помещения при строг контрол на достъп до тях.

Чл. 17. Регистър „Болнични листи“ съдържа следните данни – име, ЕГН, адрес.

Чл. 18. АСМ ЕООД предприема следните мерки за защита на личните данни:

(1) програмно-технически – криптографски методи и средства и защита при пренасяне на информацията, надеждна и защитена идентификация и автентификация на изпращача и на получателя на информацията и осигуряване конфиденциалност, интегритет на пренасяната информация

(3) физически – система от мерки по защита на сградите, помещенията и съоръженията, в които се създават, обработват и съхраняват лични данни и контрола върху достъпа до тях;

(4) организационни и административни – регламентирани с правила и заповеди на Управителя и/или Прокуриста на АСМ ЕООД;

(5) нормативни, предвидени в законови и подзаконови нормативни актове и в съответствие с изискванията, предвидени в Регламент (Ес) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 относно защита на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.

Чл.19. (1) Сроковете за съхранение са съобразно описанията в част 2 от съответния регистър, както следва:

1. за Регистър „Служители” и  регистър „Контрагенти“ – 50 години;

2. за Регистър „ Видеонаблюдение” – 14 дни;

5. за Регистър „ Заплати“ – 50 години;

6, за Регистър „Болнични листи“ – 3 години;

 (2) АСМ ЕООД следва да спазва технологията за безопасно поддържане и съхранение, обновяване, заличаване, унищожаване и т.н на лични данни.


Раздел четвърти

ДЛЪЖНОСТИ, СВЪРЗАНИ С ОБРАБОТВАНЕ И ЗАЩИТА НА ЛИЧНИ ДАННИ. ПРАВА И ЗАДЪЛЖЕНИЯ

Чл. 20. (1) Лицата по защита на личните данни в АСМ ЕООД са определени със Заповед на Прокуриста.

(2) Лицата по защита на личните данни имат следните правомощия:

1. осигуряват организацията по водене на регистрите, съгласно предвидените мерки за гарантиране на адекватна защита;

2. следят за спазването на конкретните мерки за защита и контрол на достъпа съобразно, спецификата на водените регистри;

3. осъществява контрол по спазване на изискванията за защита на регистрите;

4. контролира спазването на правата на потребителите във връзка с регистрите и програмно-техническите ресурси за тяхната обработка;

5. специфицира техническите ресурси, прилагани за обработка на личните данни;

6. следи за спазване на организационната процедура за обработване на личните данни, включваща време, място и ред при обработване, като чрез регистрация на всички извършени действия с регистрите в компютърната среда.

7. определя ред за съхраняване и унищожаване на информационни носители;

8. определя ред при задаване, използване и промяна на пароли, както и действията в случай на узнаване на парола и/или криптографски ключ;

9. определя правила за провеждане на редовна профилактика на компютърните и комуникационните средства, включваща и проверка за вируси, за нелегално инсталиран софтуер, на целостта на базата данни, както и архивиране на данни, актуализиране на системната информация и др. ;

10. провежда периодичен контрол за спазване на изискванията по защита на данните и при открити нередности взема мерки за тяхното отстраняване.

Чл. 21. Управителят на АСМ ЕООД определя със заповед списъка на лицата, които обработват лични данни. Списъците се изготвят поотделно за всеки регистър.

Чл. 22. Служителите са длъжни:

1. да обработват лични данни законосъобразно и добросъвестно;

2. да използват личните данни, до които имат достъп, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели;

3. да актуализират регистрите на личните данни (при необходимост);

4. да заличават или коригират личните данни, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;

5. да поддържат личните данни във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват;

Чл.23. (1) За неспазването на разпоредбите на настоящата инструкция служителите носят отговорност по Закона за защита на личните данни и Кодекса на труда.

(2) Ако в резултат на действията на съответен служител по обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако стореното представлява по-тежко деяние, за което се предвижда наказателна отговорност.

Чл. 24. (1) Програмно техническите средства за защита на личните данни са обект на отделна Инструкция за организация на работата и работните места на служителите, на които са предоставени права за работа с информационни системи, утвърдена със Заповед № 248/25.05.2018 г.

Лицето отговарящо за организация на работата и работните места на служителите, на които са предоставени права за работа с информационни системи има следните правомощия:

1. определя ред за съхраняване и унищожаване на информационни носители;

2. определя ред при задаване, използване и промяна на пароли, както и действията в случай на узнаване на парола и/или криптографски ключ;

3. определя правила за провеждане на редовна профилактика на компютърните и комуникационните средства, включваща и проверка за вируси, за нелегално инсталиран софтуер, на целостта на базата данни, както и архивиране на данни, актуализиране на системната информация и др. ;

4. провежда периодичен контрол за спазване на изискванията по защита на данните и при открити нередности взема мерки за тяхното отстраняване.

(2) При внедряване на нов програмен продукт за обработване на лични данни следва да се съставя нарочна комисия по тестване и проверка на възможностите на продукта с оглед спазване изискванията на Закона за защита на личните данни и осигуряване на максималната им защита от неправомерен достъп, загубване, повреждане или унищожаване.

Чл.25. (1) Право на достъп до данните в регистър „Служители” имат:

1. Лицата, за които се отнасят данните в регистъра, по тяхно изрично искане изразено писмено ( с подписана от лицето Бланка за достъп до информация от личното досие );

2. Управителят и Прокуристът на АСМ ЕООД при изпълнение на правомощията им по Кодекса на труда.

3. Обработващите и операторите на лични данни – служителите от сектор „Човешки ресурси” ( определени със Заповед 247/25.05.2018 ) и служителите от фирмата, която обслужва АСМ ЕООД със съответната програма, конкретни лица, осъществяващи технически операции по обработката и контрол на данните. На конкретните служители от сектор „Човешки ресурси” е разрешен защитен с пароли достъп до модула в програмата, в който се поддържа регистър „Служители“.

4. Държавни органи, надлежно легитимирали се със съответни документи – писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, на които е необходимо да се осигури достъп до личните данни.

(2) Данните от регистъра не се предават на трети лица. ( Извън дружеството, личните данни на служителите се предоставят единствено на публични органи – НАП, НОИ, Министерство на вътрешните работи, съдебни органи, контролни органи, органи на местно самоуправление, съгласно  чл.24 (1) т.4 от настоящата инструкция.

(3) Защитата на помещенията, в които се съхраняват личните данни се постига с контролиран достъп с ключ и  видеонаблюдение.

(4) Лицата, събиращи и обработващи лични данни в регистър „Служители“ имат следните права и задължения:

1. да използват личните данни при спазване разпоредбите на Кодекса на труда, при възникване на трудови и служебни правоотношения.

2. да използват личните данни за изпълнение на задлженията по Закона за здравното осигуряване /ЗЗО/.

3. да не изнасят и съхраняват личните данни извън специално определените за целта места, регламентирани с режим на специален достъп;

4. да не използват личните данни по нерегламентиран начин /фалшифициране и друг вид злоупотреба/.

Чл. 26. Право на достъп до регистър „Контрагенти“ имат:

1. Управителят и Прокуристът на АСМ ЕООД при изпълнение на правомощията им по Кодекса на труда.

2. Служителите от отдел „Счетоводство“, „Търговски отдел“, отдел „Информационни технологии“ , Правен отдел и отдел „Логистика“- за целите на търговските отношения с контрагентите.

3. Данните от регистъра не се предават на трети лица, с изключение на публични, административни и съдебни органи.

Чл. 27. (1) Право на достъп до данните в регистър „Видеонаблюдение” имат:

1. Лицата, за които се отнасят данните в регистъра, по тяхно изрично искане;

2. Управителят и Прокуристът на АСМ ЕООД при изпълнение на правомощията им по Кодекса на труда.

3. Длъжностното лице, което поддържа регистър „Видеонаблюдение“ трябва да следи за изправността на ползваната апаратура.

4. Обработващите и операторите на лични данни – служителите, осъществяващи технически операции по обработката и контрол на данните.

5. Държавни органи, надлежно легитимирали се със съответни документи – писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, на които е необходимо да се осигури достъп до личните данни.

(2) Данните от регистъра не могат да бъдат предавани по електронен път.

(3) Длъжностното лице, което поддържа регистър „Видеонаблюдение“ трябва да следи за изправността на ползваната апаратура.

(4) Защитата на регистъра се осъществява посредством помещения с контролиран достъп, които са защитени от случайно проникване в тях.

Чл.28. (1) Право на достъп до данните в регистри „Заплати “ и „Болнични листи“ имат:

1. Лицата, за които се отнасят данните в регистъра, по тяхно изрично искане изразено писмено ( с подписана от лицето Бланка за достъп до информация от личното досие );

2. Управителят и Прокуристът на АСМ ЕООД при изпълнение на правомощията им по Кодекса на труда.

3. Обработващите и операторите на лични данни – служителите от сектор „Човешки ресурси” ( определени със Заповед 247/25.05.2018  ) и служителите от фирмата, която обслужва АСМ ЕООД със съответната програма, конкретни лица, осъществяващи технически операции по обработката и контрол на данните определени със Заповед 248/25.05.2018  .

4. Държавни органи, надлежно легитимирали се със съответни документи – писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, на които е необходимо да се осигури достъп до личните данни.

(2) Данните от регистри „Заплати “ и „Болнични листи“

се предоставят на:

1. Физически лица, за които се отнасят данните;

2. Съответните ТД на НАП;

3. Съответните ТП на НОИ.

4. Държавни органи, надлежно легитимирали се със съответни документи – писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, на които за целите на дейността им е необходимо да се осигури достъп до личните данни.

5. Данните от регистъра могат да бъдат предавани по електронен път на съответните ТД на НАП и на НОИ чрез квалифициран електронен подпис.


Раздел пети

ОЦЕНКА НА ВЪЗДЕЙСТВИЕ И ОПРЕДЕЛЯНЕ НА СЪОТВЕТНО НИВО НА ЗАЩИТА

Чл. 29. Оценка на въздействие е процес за определяне нивата на въздействие върху конкретно физическо лице или група физически лица, в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица при нарушаване на поверителността, цялостността или наличността на личните данни.

Чл. 30. Нива на защита:

(1) За Регистър „Служители” и Регистър „ Контрагенти“ се определя степен на защита – „средно ниво”;

(2) За Регистър „Видеонаблюдение” се определя степен на защита – „ниско ниво”;

 (3) За регистри „Заплати “ и „Болнични листи“ се определя „ниско ниво“ на защита;


Раздел шести

ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ

Чл.31. АСМ ЕООД е предприело мерки за защита, както технически така и организационни, а именно:

1. личните данни се съхраняват в шкафове със заключващи се устройства;

2. работата и съхранение при работата с компютърни системи е подсигурена с анти вирусни програми, пароли за достъп;

3. разполага с електронен подпис.


Раздел седми

ДЕЙСТВИЯ ЗА ЗАЩИТА ПРИ АВАРИИ, ПРОИЗШЕСТВИЯ И БЕДСТВИЯ

Чл.32. АСМ ЕООД предприема превантивни действия при защита на личните данни като съставя план за действие при различните случаи на настъпили форсмажорни събития, а именно:

1. защита при аварии, независещи от дружеството – предприемат се конкретни действия в зависимост от конкретната ситуация;

2. защита от пожари – незабавно гасене със собствени средства /пожарогасители/и уведомяване на съответните органи;

3. защита от наводнения – предприемат действия по ограничаване на разпространението, както и се изпомпва вода или загребва със собствени подръчни средства.


НАДЗОРЕН ОРГАН

Ако смятате, че сме нарушили правата Ви във връзка с Ваши лични данни, можете да подадете жалба до надзорния орган на България, който е Комисията за защита на личните данни. Повече информация можете да намерите на адрес: www.cpdp.bg.


Длъжностно лице по защита на личните данни на АСМ ЕООД:

гр. Монтана, ул. Гоцо Митов 5, e-mail: office@acm-montana.com, тел.: 096391515, мобилен: 0889524195.

Настоящата инструкция е приета и утвърдена със Заповед на Прокуриста на АСМ ЕООД.

© Copyright 2019 ACM MONTANA