ГЛАВА I

ОБЩИ ПОЛОЖЕНИЯ

 

Чл. 1. (1) Настоящата политика за защита на личните данни (наричана „Политиката“) има за цел да гарантира, че личните данни се обработват в съответствие с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (Общ регламент относно защитата на данните (ОРЗД), който регулира обработването на лични данни на физически лица в рамките на ЕС от физическо лице, дружество или организация. Закона за защита на личните данни (ЗЗЛД) и приложимите нормативни актове, регламентиращи защитата на личните данни.

1. Политиката се прилага за обработване на лични данни изцяло или частично с автоматизирани средства, както и за обработването с други средства, които са част от Единния регистър на данни в „ВИП КОЛЕКТ“ ООД.
2. ВИП КОЛЕКТ“ ООД декларира, че спазва основните права и положения, свързани с процеса по събиране и обработване на лични данни за конкретната цел и във всеки конкретен случай.

 

 

Чл. 2. (1) При обработването на лични данни се спазват следните принципи

1. - данните се обработват при наличие на някое от следните основания:

а)  Правно задължение: обработването е необходимо, за да може администраторът да изпълни законовото си задължение (без да се включват договорни задължения);

б)  Договор - обработването е необходимо за изпълнението на договор, по който субектът на лични данни е страна, или за предприемане на конкретни стъпки прели сключването на такъв договор;

в)  Съгласие - лицето следва да е дало ясно съгласие за обработването на личните данни за конкретна цел и операцията за обработване;

г)  Важни интереси: обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице.

д)  Обществена задача: обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора, а задачата или функцията има ясна правна основа;

е)  Законни (легитимни) интереси: обработването е необходимо с цел защита на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни (например когато субектът на данни е дете или се касае до специални категории лични данни);

1. Добросъвестност на субектите на данни: следва да се предостави определена информация, необходима във всеки конкретен случай и за всяка конкретна цел. по разбираем, кратък и достъпен начин;
2. - всяка информация във връзка с обработването да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки Този принцип се отнася в особена степен за информацията, която получават субектите на данни за администратора, целите на обработването и за допълнителната информация, гарантираща добросъвестно и прозрачно обработване на данните по отношение на засегнатите физически лица и тяхното право да получат потвърждение и уведомление за съдържанието на свързани с тях лични данни, които се обработват;
3. Ограничение на целите - данните са събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по ­нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно чл. 89, §1 от ОРЗД за несъвместимо с първоначалните цели;
4. Свеждане на данните до минимум - обработването да е адекватно (подходящо) на конкретната цел за която се обработват данните;
5. - гарантира, че данните са точни и са поддържани в актуален вид, както и своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;
6. Ограничение на съхранението - да се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по- дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно чл. 89, § I от ОРЗД при условие, че бъдат приложени подходящите технически и организационни мерки с цел да бъдат гарантирани правата и свободите на субекта на данните;
7. Цялостност и поверителност: да са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки;
8. : - гарантира спазването на задълженията, произтичащи от извършването на оценки на въздействието върху защитата на личните данни и от предварителната консултация с надзорния орган. Води се Регистър на дейностите по обработване на лични данни и се попълват съответните уведомления от администратора до надзорния орган;

1. При всички положения администраторът трябва да докаже, че има правно основание, за да обработва личните данни на субектите.

 

ГЛАВА II

ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ

 

Раздел I

Оценка на въздействието

 

Чл. 3. (1) Оценката на въздействието върху защитата на данните (ОВЗД) е процес, при който администраторът преценява нивата на рисковете свързани с правата и свободите на субектите на данни, а именно степента на въздействие, при което нарушаването на поверителността, целостта или наличността на личните данни би оказало влияние върху конкретно физическо лице или група физически лица в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица.

(2)   Администраторът извършва ОВЗД с цел определяне на:

1.    Адекватно ниво на технически и организационни мерки за защита на личните данни, което отговаря на обработваните лични данни и въздействието при нарушаване на защитата им;

2.    най-ефективния начин за спазване на задълженията на служителите на „ВИП КОЛЕКТ“ ООД за защита на данните;

 

Чл. 4. (1) ОВЗД трябва да съдържа най-малко следната информация:

         1.Описание на операциите по обработване и целите, включително, когато е приложимо, законните интереси, преследвани от администратора;

2.    Оценка на необходимостта и пропорционалността на операциите по обработване във връзка с целта;

3.    Оценка на рисковете свързани с правата и свободите на субектите на данни, които е вероятно да възникнат от обработването (и по-специално произхода, естеството, особеностите и тежестта на тези рискове);

4.    Мерките, предвидени за справяне с рисковете, включително предпазни мерки за сигурност и механизми за гарантиране на защитата на личните данни и доказване на спазването на разпоредби те на ОРЗД;

5.    Оценката за въздействие може да се отнася за повече от един проект.

(2)   При извършване на ОВЗД администраторът изисква становището на ДЛЗД.

 

Раздел II

Оценка на риска при обработката на лични данни

 

Чл. 5. (1) Всички дейности, осъществявани от „ВИП КОЛЕКТ“ ООД, които предвиждат обработка на лични данни, са предмет на предварителна оценка на риска;

(2)   Всяко от административните звена в „ВИП КОЛЕКТ“ ООД което обработва лични данни, идентифицира рисковете, свързани със защитата на лични данни, за възникване на нарушение на сигурността на данните, както и за възможното влияние при евентуалното им възникване. При оценката на риска се определят 3 нива на риска - нисък (приемлив), среден (изисква внимание), висок (неприемлив). Оценката на риска се извършва най-малко веднъж годишно и се ръководи от длъжностното лице за защита на личните данни в „ВИП КОЛЕКТ“ ООД.

 

Чл. 6. При определянето на степента на риска администраторът трябва да вземе предвид:

1.  Критериите за вероятен „висок риск“ на чл. 35. § 3 от ОРЗД;

2.   Общите положения на Стратегията за управление на риска в „ВИП КОЛЕКТ“ ООД;

3.    Съответните рискови области (стратегически рискове, оперативни

рискове, политически рискове, икономически рискове, рискове за репутацията, правни, регулаторни рискове, рискове за сигурността и т.н. );

4.Всички отношения на „ВИП КОЛЕКТ“ ООД с външни субекти (други организации, контрагенти по договори, граждани и др.).

 

Чл.7.(1) В зависимост от определеното ниво на въздействие администраторът извършва:

          1.Приоритизация на идентифицираните рискове в зависимост от резултатите от оценката им;

          2.Определяне на стойността и рейтинга на всеки риск;

          3.Определяне на адекватно ниво на защита, включващо техническите и организационни мерки, които трябва да предприеме за тяхното ограничаване.

(2) В зависимост от рисковете и идентифицираното ниво на въздействие се определя съответно ниво на защита - ниско, средно или високо, както и организационните и технически мерки, адекватни на така определеното ниво.

                   Раздел III

Предварителни консултации с надзорния орган

 

Чл. 8. (1) Задължителна предварителна консултация с надзорния орган е необходима, когато

          1.Оценката на въздействието върху защитата на данните покаже, че предвиденото обработване ще породи висок риск и;

          2.Администраторът не може да предприеме ефективни мерки за ограничаването му.

(2)Предварителна консултация може да не бъде проведена, ако администраторът счита, че идентифицираният риск може да бъде смекчен с разумни средства по отношение на наличните технологии и разходите за изпълнение.

ГЛАВА III

ОРГАНИЗАЦИОННИ И ТЕХНИЧЕСКИ МЕРКИ ЗА ЗАЩИТА НА СИГУРНОСТТА НА НАЛИЧНИТЕ ДАННИ ВЪВ „ВИП КОЛЕКТ“ ООД

 

Раздел IV

Организационни мерки

 

Чл.9. (1)За защита на сигурността на личните данни Администраторът:

 1.Със своя Заповед определя длъжностно лице по защита на данните в „ВИП КОЛЕКТ“ ООД;

          2.Извършва оценка на въздействието върху защитата на данните;

          3.Задължава всички служители, които обработват лични данни да спазват изискванията за поверителност на личните данни, до които имат достъп, съгласно правилата на ОРЗД, настоящата Политика и отговорностите на „ВИП КОЛЕКТ“ ООД като администратор на лични данни.

(2)    Администраторът организира обучение на персонала за обработване на лични и чувствителни лични данни и за извършване на оценка на въздействието върху защитата на данните в отделните административни звена на „ВИП КОЛЕКТ“ ООД.

(3)    При оценяването на подходящите организационни мерки ДЛЗД взема предвид следното:

1.    Нивата на подходящо обучение на служителите „ВИП КОЛЕКТ“ ООД;

2.    Идентификация на дисциплинарни мерки за нарушения по отношение на обработването на данни;

3.    Редовна проверка на персонала за спазване на съответните стандарти за сигурност,

4.    Контрол на физическия достъп до електронни и хартиено базирани записи.

5.    Спазване на правилото за „чисто работно място“;

6.    Начина на съхраняване на данните от служителите;

7.   Ограничаване използването от служители на лични устройства на работното място.

 

Чл. 10. (1) „ВИП КОЛЕКТ“ ООД изисква гаранции от трети лица - обработващи лични данни, че са в състояние да осигурят необходимата защита на личните данни;

(2) При влизане в договорни отношения с обработващите лични данни се включват договорни клаузи, според които обработващите лични данни трябва да гарантират, че предоставят достатъчни технически и организационни мерки за защита на сигурността и поверителността на личните данни и ще действат според указанията на администратора.

Раздел V

Технически мерки

 

Чл. 11.(1) Техническите мерки за защита на лични или чувствителни лични данни включват:

1.    Класифициране на данни;

2.    Предотвратяване на загуба на данни;

3.    Криптиране;

4.    Получаване на изрично съгласие за всяка конкретна цел;

5.    Ограничения при пренос на данни и въвеждане на технологии, които позволяват на субектите на данни да упражняват своите права за достъп;

6.    Коригиране и заличаване на лични данни;

7.    Начини на защита с парола;

8.  Автоматично заключване при не използване на работните станции в мрежата;

9. Премахване/ограничаване на права на достъп за USB и други преносими носители с памет;

         10. Антивирусен софтуер и защитни стени за блокиране на зловреден софтуер;

         11.Защитата на преносими устройства, които напускат помещенията на организацията, като лаптопи и други;

         12.Осигуряване сигурността на локалните и широкообхватните мрежи;

         13.Осигуряване на технологии за подобряване на поверителността;

         14.Внедряване на подходящи услуги за съхранение и споделяне на облак, когато активно блокират или обезкуражават използването на неоторизирани услуги и отговарят за правата за достъп, коригиране и заличаване на субектите на данни, определени от ОРЗД;

         15.Активно наблюдение на действията за споделяне, за да се сведе до минимум вероятността от нарушаване на данните.

(2) Всички служители, оправомощени да обработват лични данни, са длъжни да спазват следните мерки за защита на данните:

         1.На хартиен носител:

а)  Личните данни на хартиен носител се съхраняват в специални помещения, или заключени каси/шкаф, в зависимост от вида на данните, при спазване на специални мерки за достъп до помещението;

б)  Когато личните данни трябва да бъдат прехвърлени на хартиен носител, те трябва да бъдат предадени директно на получателя срещу подпис или изпратени с препоръчана поща с обратна разписка;

в)  Когато някоя лична информация трябва да бъде заличена по някаква причина (включително когато са направени копия, които вече не са необходими), тя се унищожава като се нарязва на шредер, след което се изхвърля;

          2.На електронен носител съгласно правила, определени в Политиката за информационна сигурност на информационни системи в „ВИП КОЛЕКТ“ ООД и съпътстващите я документи, утвърдени от Управителя. Техническите мерки се прилагат и за защита на личните данни.

Чл. 12. Неспазването на техническите и организационни мерки за защита на данните и останалите вътрешни актове, свързани със защита на данните, е основание за търсене на дисциплинарна отговорност от виновните служители.

                      Раздел VI

Документиране на дейностите по обработване.

Регистър на обработванията на данни

 

Чл. 13. (1) В „ВИП КОЛЕКТ“ ООД се поддържа Регистър на дейностите по обработванията на данни, достъпът до който се осъществява на функционален принцип;

(2)   Регистърът по ал. 1 съдържа следната информация:

1. Името и координатите за връзка на администратора и ДЛЗД;

2.  Целите на обработването;

3.  Описание на категориите субекти на данни и на категориите лични данни;

4. Категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;

5. Когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, както е посочено в член 49, параграф 1, буква „б“, документация за подходящите гаранции;

6.  Предвидените срокове за изтриване на различните категории данни;

7.  Общо описание на техническите и организационни мерки за сигурност.

(3)  При нововъзникнала дейност по обработка на лични данни административното звено, което извършва обработването, следва да уведоми ДЛЗД, като представи необходимата информация по ал. 2.

 

Чл. 14. Служителите на администратора, които обработват лични данни от негово име, осигуряват сигурността при обработването и съхраняването на данните от тяхна страна, включително гарантират, че няма да разкриват данните на трети страни, освен ако администраторът не е дал такива права на тази трета страна за достъп до данните.

 

Чл. 15. При обработката на данни чрез видеонаблюдение, при което се извършва запис чрез технически средства за видеонаблюдение, се спазват Правилата за извършване на видеонаблюдение в обектите на администратора.

                    Раздел VII

Профилиране

 

Чл. 16. (1) Профилирането е автоматизирано обработване на лични данни с цел оценяване на определени лични аспекти, свързани с дадено лице, включително за анализиране или прогнозиране на поведението му, изпълнение на професионалните му задължения, икономическото му състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение.

(2) В случай, че администраторът използва лични данни за целите на профилирането, следва да са изпълнени следните условия:

1.   Да бъде предоставена ясна информация, поясняваща профилирането, включително значението и вероятните последици.

2.   да се използват подходящи статистически или математически процедури;

3.   да се въведат технически и организационни мерки, необходими за минимизиране на риска от грешки, за да се позволи лесното им отстраняване и да се предотврати дискриминационното въздействие.

Раздел VIII

Разкриване на данни

 

Чл. 17.(1) Личните данни не се разкриват на неупълномощени трети страни, което включва членове на семейството, приятели, държавни органи, ако има основателно съмнение, че не се изискват по установения ред. Всички служители трябва да следят дали искането от трета страна за разкриване на лични данни за друго лице е свързано или не с нуждите на дейността, извършвана от администратора.

(2)   Всички искания от трети страни за предоставяне на данни трябва да бъдат подкрепени с подходяща документация и всички такива разкривания на данни трябва да бъдат координирани с ДЛЗД, което да даде становище.

(3)   В качеството си на орган по назначаването Управителя предоставя лични данни на определени кредитни институции (банки) във връзка с изплащането на дължимите възнаграждения на служителите и/или изпълнители по граждански договори. В тези случаи личните данни включват трите имена и единен граждански номер и служат за идентификация на лицето, в чиято полза се извършва плащането.

(4)  Във връзка с използването на куриерски услуги - приемане, пренасяне, доставка и адресиране на пратки до физически лица, „ВИП КОЛЕКТ“ ООД посочва следните данни: две имена, адрес, област, наименование на населеното място и пощенски код.

(5)   Личните данни се предоставят на компетентните органи при и по повод упражняване на техните властови правомощия.

Раздел IX

Преносимост

 

Чл. 18. (1) „ВИП КОЛЕКТ“ ООД отговаря за прехвърлянето на данните без затруднения и гарантира, че те се предават със съответното ниво на комуникационна сигурност.

(2)   Субектите на данни имат право да поискат:

1.Копие от личните данни, които са предоставили на „ВИП КОЛЕКТ“ ООД;

          2.„ВИП КОЛЕКТ“ ООД да прехвърли тези данни на

друг администратор посочен от субекта, без възпрепятстване;

(3)   Преносимост се прилага само за тези данни, за които:

1.   Субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

2.   Обработването им е било необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

3.   Обработването им е било извършено по автоматизиран начин;

4.   „ВИП КОЛЕКТ“ ООД е получило информация за субекта на данни от друг администратор, който е решил да упражни правото си на преносимост, като в тези случаи „ВИП КОЛЕКТ“ ООД се явява администратор по отношение на новоприетите данни.

 

          Чл. 19. (1) „ВИП КОЛЕКТ“ ООД приема и съхранява само данните, които са необходими и относими към определена дейност. „ВИП КОЛЕКТ“ ООД не приема и не обработва лични данни „по подразбиране", дори когато са получени от друг администратор след искане за прехвърлянето им. както и не съхранява всички получени данни.

(2) Ако получените данни съдържат данни за трети лица, „ВИП КОЛЕКТ“ ООД съхранява данните под контрола на субекта заявител. Тези данни се обработват само за определената цел.

 

Чл. 20. При постъпване на искане за предаване или за прехвърляне на лични данни към друг администратор „ВИП КОЛЕКТ“ ООД обработва искането на субекта при спазване на следните правила:

1.   Всяко постъпило искане незабавно се изпраща на ДЛЗД, който проверява за ясни и неоспорими доказателства за самоличността на субекта на данни под формата на лични документи, клиентски номер, електронна карта или друг еднозначен идентификатор;

2.   ДЛЗД проверява дали посочените от субекта данни са получени на основание съгласие, изпълнение на законово правомощие или функция, или договор и дали са обработени по автоматизиран начин. Ако не са изпълнени тези изисквания, „ВИП КОЛЕКТ“ ООД има право да откаже да удовлетвори искането;

3.   Когато исканите данни засягат трето лице/а, ДЛЗД преценява дали предаването на данни на друг администратор на лични данни би навредило на правата и свободите на други субекти на данни;

4.   ДЛЗД извършва проверка дали подготвените за предаване/ прехвърляне лични данни са само и точно тези, които субектът на данни е поискал да бъдат предадени, респ. прехвърлени;

5.   Поисканата информация се предоставя на субекта на данни в структуриран, широко използван и машинно четим формат, който позволява ефективно повторно използване на данните;

6.   При предаване на данните на друг администратор на данни „ВИП КОЛЕКТ“ ООД ги препраща в оперативно съвместим формат. В случай, че са налице технически пречки, които възпрепятстват директното им прехвърляне, „ВИП КОЛЕКТ“ ООД съобщава тези пречки на субекта на данните;

7.   „ВИП КОЛЕКТ“ ООД предоставя исканата информация в рамките на един месец от датата на заявката. Ако заявката е сложна, „ВИП КОЛЕКТ“ ООД може да удължи тази времева рамка максимум до три месеца от датата на предявяването й. „ВИП КОЛЕКТ“ ООД информира субекта на данни за причините за забавянето чрез имейл, телефон и др. в рамките на един месец от първоначалното искане;

8. ДЛЗД поддържа записи за исканията за прехвърляне на данни в Регистъра на исканията, включително всички, свързани с преносимостта дати.

Раздел X

Съхраняване и унищожаване на лични данни

 

Чл. 21. При съхранение на лични данни „ВИП КОЛЕКТ“ ООД:

1.    Прилага основния принцип за съхранение на лични данни в минимален обем и за срок не по-дълъг от необходимото или определеното от закона за съответните категории данни;

2.    Осигурява тяхната сигурност и надеждност и изискванията на съответния закон;

3.    Заличава личните данни след изтичането на съответния срок;

4.    Може да запази лични данни за по-дълъг от съответния срок до окончателното приключване на възникнал правен спор или производство, налагащо запазване на данни, и/или по искане на компетентен орган.

 

Чл. 22. (1) Лични данни в „ВИП КОЛЕКТ“ ООД се съхраняват при спазване на Вътрешните правила за организацията на хартиения и електронния документооборот и контрола по изпълнение на задачите в „ВИП КОЛЕКТ“ ООД и се унищожават при спазване на Вътрешните правила на архива на „ВИП КОЛЕКТ“ ООД:

1.    По искане на субекта на лични данни, когато то е прието за основателно;

2.    По предложение на ръководителите на административни звена, в които се събират или обработват лични данни, когато се прецени, че е отпаднала нуждата от обработване и съхранение.

(2) При унищожаване на лични данни от „ВИП КОЛЕКТ“ ООД:

       1.Всяка календарна година със заповед на Управител се определя състав на комисия, която да извършва анализ на личните данни в „ВИП КОЛЕКТ“ ООД от гледна точка на сроковете за съхраняването им;

       2.В състава на комисията се включва поне един представител от административните звена, които събират и обработват лични данни;

       3.При необходимост от унищожаването на лични данни се изготвя предложение до Управител, което се съгласува с ДЗЛД и ръководителите на административни звена, в които се събират или обработват лични данни;

        4.След резолюция на Управителя, личните данни се унищожават като се изготвя протокол, който съдържа:

а)  Вида на личните данни;

б)  Водещото звено, в което са обработвани или съхранявани личните данни;

в)  Вида на обработката на лични данни (за какво са събрани и обработвани);

г)  Броя на унищожените записи с лични данни;

д)  Трите имена на субектите с унищожени лични данни.

(3)   Унищожаването на данни се извършва по следните начини:

1.  При данни на хартиен носител - чрез нарязване в специални машини за унищожаване на документи - шредер, в които се унищожат както оригиналните документи, така и копията към тях;

2.  При данни на електронните носители - чрез изтриване както в системата, в която се съхраняват или мястото им на файловия сървър на „ВИП КОЛЕКТ“ ООД, така и в архивните копия, които са направени от отдел IT.

(4)   След изготвяне на протокола от комисията, същия се представя на Управителя за утвърждаване и се предава на ДЛЗД за съхранение.

ГЛАВА IV

ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ

 

Чл. 23. Длъжностното лице по защита на данни се определя със Заповед или Договор на Управителя и има следните отговорности:

1.  Изпълнява задачи, свързани със защита на личните данни, съобразно настоящата Политика;

2.  Взема участие на заседанията на ръководството на администратора, на които се обсъждат въпроси от областта на защита на личните данни и съветва администратора за защита на данните и спазване на добрите практики;

3.  Наблюдава спазването на ОРЗД и на други разпоредби за защитата на данни на равнище ЕС или държава членка и на политиките на администратора по отношение на защитата на личните данни. При констатирани несъответствия докладва на Управителя, като прави предложения за подобряване на процедурите по отношение на защитата на личите данни в „ВИП КОЛЕКТ“ ООД;

4.  Поддържа Регистър на дейностите по обработванията на данни, Регистър на исканията от субекти на данните и Регистър на инцидентите;

5.  Сътрудничи с Комисията за защита на личните данни и действа като точка за контакт по всички въпроси, свързани с обработването на лични данни;

6.  Оказва съдействие по въпроси, свързани с упражняването на правата по защита на лични данни;

7.  Отчита се пряко пред Управителя на „ВИП КОЛЕКТ“ ООД.

ГЛАВА V

ОБРАБОТВАЩ ЛИЧНИ ДАННИ

 

Чл. 24. (I) Всички външни изпълнители и техни подизпълнители, които обработват лични данни от името на администратора, са обработващи лични данни по смисъла на ОРЗД;

(2)   „ВИП КОЛЕКТ“ ООД избира само външни изпълнители, които могат да осигурят техническа, физическа и организационна сигурност и които отговарят на поставените изисквания по отношение на всички лични данни, които ще обработват. При прекратяването на договор с изпълнител/подизпълнител съответните лични данни следва да бъдат унищожени или върнати на „ВИП КОЛЕКТ“ ООД;

(3)   Когато „ВИП КОЛЕКТ“ ООД разреши на външния изпълнител да възложи обработката на лични данни на подизпълнител, външният изпълнител трябва да забрани на подизпълнителя (и следващите подизпълнители, ако има такива) да възлага дейността по обработка на данни на подизпълнители без писменото разрешение на „ВИП КОЛЕКТ“ ООД;

(4)  „ВИП КОЛЕКТ“ ООД има право да извършва редовни проверки на системите за сигурност на външния изпълнител през периода, в който той има достъп до личните данни;

(5)   Звеното в „ВИП КОЛЕКТ“ ООД, което осъществява текущ контрол и приема резултатите от изпълнението на договори, редовно извършва преглед на съответния договор, за да провери дали се обработват лични данни. Тези проверки се извършват, дори ако дейността по обработка на лични данни не е основната причина за сключване на договора.

 

Чл. 25. Изпълнители от страни извън ЕС могат да бъдат избрани само при положение, че е изпълнено поне едно от следните специфични условия:

        1.Ако изпълнителят или държавата, в която пребивава или е установен, или са били идентифицирани като осигуряващи адекватно ниво на защита на личните данни в решение за адекватност от страна на Европейската комисия;

        2.Ако са налични задължителни фирмени правила за предаване на данни извън ЕС, за да се гарантират правата на субектите, и тези правила са одобрени от Комисията за защита на личните данни;

        3.Когато споразумението с изпълнителя е одобрено от надзорния орган.

ГЛАВА VI

ПРАВА НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ

 

Чл. 26. (I) Субектът на лични данни има следните права по отношение на обработването на личните му данни:

1.   Да получи информация за личните данни, свързани с него, които се обработват от администратора, и за целта, за която се обработват, включително да получи достъп до данните в структуриран, широко използван и пригоден за машинно четене формат, както и информация кои са получателите на тези данни и третите страни, на които данните се предават;

2.   Да иска от администратора коригиране на лични данни, когато те са неточни, както и когато не са вече актуални;

3.   Да изиска от администратора изтриване на лични данни (право „да бъдеш забравен");

4.   Да иска от администратора ограничаване на обработването на лични данни, като в този случай данните ще бъдат само съхранявани, но не и обработвани;

5.   Да направи възражение срещу обработване на негови лични данни, чрез жалби които могат да се подават и направо до надзорния орган, компетентен за България - Комисията за защита на личните данни, адрес: гр. София 1592, бул. „Проф. Цветан Лазаров" № 2 (www.cpdp.bg);

6.   Да се обърне с жалба до надзорен орган, ако смята, че някоя от разпоредбите на ОРЗД е нарушена;

7. Да оттегли съгласието си за обработката на личните данни по всяко време с отделно искане, отправено до администратора;

8.   Да не е обект на автоматизирано взети решения, които да го засягат в значителна степен, без възможност за човешка намеса.

(2) Субектът на лични данни може да отправи искане до администратора, в което указва вида на искането и описание на данните. В искането задължително се посочва самоличността на субекта, която да го идентифицира сигурно и еднозначно (данни от лични документи, клиентски номер, електронна идентификационна карта и т.н.);

(3) „ВИП КОЛЕКТ“ ООД документира и доказва, че субектът на данните е оттеглил съгласието си за обработката на личните му данни, а когато обработката има множество цели, „ВИП КОЛЕКТ“ ООД документира и доказва оттеглянето на съгласието за всяка отделна цел.

 

Чл. 27.„ВИП КОЛЕКТ“ ООД осигурява условия, които да гарантират упражняването на правата по предходния член от субектите на лични данни, като:

       1.Задължително проверява идентификационните данни, за да се увери, че искането е подадено от субекта, като данните да го идентифицират;

       2.Документира датата на получаване на искането;

       3.Произнася се по искането;

       4.Изпраща отговор на подателя, в които го информира за правото на жалба до Комисията за защита на личните данни, като едновременно с това предоставя координатите за контакт и правото за защита по съдебен ред.

 

Чл. 28. (1) Подаването на искания, оплаквания и жалби може да се извърши и чрез електронна поща, контролирана и проверявана от ДЛЗД в случай, че документът е подписан с електронен подпис и може да идентифицира субекта на лични данни. В този случай всички приложения към искането следва да са представени в електронен вид и заверени с електронен подпис;

(2)  В случай, че искането от субекта на данни не бъде получено от ДЛЗД, то незабавно му се препраща за:

1.     Вписване в Регистъра на исканията от субекти на данните;

2.    Обработка чрез идентифициране (търсене) на личните данни във всички хранилища на данни и всички съответни системи за архивиране, включително всички архивирани файлове (автоматични или ръчни архиви) на всички папки на електронната поща и техните архиви лично или чрез съответните звена в „ВИП КОЛЕКТ“ ООД, които обработват данните;

3.    Обработване на данните с цел отстраняване на евентуална идентификационна информация за трети лица при предаването на копие от информацията, когато искането е за достъп до информация;

4.    Изготвяне на проект на отговор от името на администратора до субекта на данните, най-късно до един месец от датата на получаване на искането за достъп;

5.    Вписване в Регистъра на исканията на данните за подадения отговор;

(3)   При искания на субекти на данни за коригиране, изтриване, ограничаване или при възражение по отношение на обработваните лични данни, които са приети са основателни, ДЛЗД следи за изпълнението на взетото решение като:

        1.Участва в документирането по премахване на личните данни от системите и прекратяване на операциите по обработката им;

        2.Участва в документирането за всяко извършено коригиране, изтриване или ограничаване на обработването на всеки получател, на когото личните данни са били разкрити.

(4)  Когато исканията на субекти на данни са явно неоснователни или прекомерни поради своята повторяемост, ДЛЗД може мотивирано да предложи на администратора:

1.    Да откаже да предприеме действия по искането като изложи причините за не предприемане на действията или отказа;

2.    Да наложи разумна такса, предвид административните разходи за предоставяне на информацията или комуникацията и да разгледа искането.

 

Чл. 29. Субектите на данни могат да подадат до „ВИП КОЛЕКТ“ ООД и:

       1.Оплаквания относно начина на разглеждане на искането им за достъп до данните;

       2.Оплаквания относно начина на разглеждане на искането/жалбата им;

       3.Жалба срещу всяко решение, взето след подадено искане/жалба.

 

Чл. 30. Ограничения на правата на субектите са допустими с цел, да се гарантира:

       1.Националната сигурност и отбраната;

       2.Обществената сигурност;

       3.Предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществената сигурност;

       4.Важни цели от широк обществен интерес;

       5.Важен икономически или финансов интерес на ЕС или на държава-членка, паричните, бюджетните и данъчните въпроси;

        6.Общественото здраве и социалната сигурност;

        7.Защитата на независимостта на съдебната власт и съдебните производства;

        8.Предотвратяването, разследването, разкриването и наказателното преследване на нарушения на етичните кодекси при регламентирани професии;

        9.Функция по наблюдението, проверката или регламентирането, свързана с упражняването на официални правомощия в определени от закон случаи;

       10.Защитата на субекта на данните или на правата и свободите на други лица;

       11.Изпълнението по гражданскоправни искове.

 

ГЛАВА VII

ОБРАБОТВАНЕ НА СПЕЦИАЛНИ КАТЕГОРИИ ЛИЧНИ ДАННИ

 

Чл.31. (1) Администраторът обработва специални категории лични данни, когато това произтича от закон.

(2) Условията за обработване на специални данни са:

1. Получаване на изрично писмено съгласие от субекта на данни за една или повече конкретни цели, освен когато законодателството на ЕС или националното законодателство предвижда, че забраната не може да бъде отменена от субекта на данните. Съгласието трябва да бъде дадено свободно, конкретно, информирано и недвусмислено и се ограничава само до обработването за целите, за които е дадено.

2. Обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото и осигурителното право;

          3.Обработването е необходимо за защита на жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните физически или юридически не е в състояние да даде съгласието си;

4. Обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните;

5.   Обработването е необходимо с цел установяване, упражняване или защита на правни претенции или винаги, когато съдилищата действат в качеството си на право раздаващи органи;

6.   Обработването е необходимо по причини от важен обществен интерес на основание правото на ЕС или националното законодателство, което е пропорционално на преследваната цел. В този случай се зачита същността на правото на защита на данните и се предвиждат подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните;

7.   Обработването е необходимо за целите на превантивната или трудовата медицина;

8.Обработването е необходимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно чл. 89, параграф 1 от ОРЗД, на основание правото на ЕС или националното законодателство.

 

Чл. 32. (1) Получаване на съгласие от дете се изисква, когато обработката на лични данни е свързана с дете на възраст под 16 години, а лицето, което носи родителска отговорност за детето, е предоставило съгласието си;

(2)  Оттегляне на съгласие от родителите на дете се извършва от лицето, което носи родителската отговорност за посоченото дете;

(3)   „ВИП КОЛЕКТ“ ООД доказва, че са направени разумни усилия, за да се установи автентичността на родителската отговорност от носещия родителската отговорност при даване и оттегляне на съгласието за определено дете.

 

ГЛАВА VIII

НАРУШЕНИЯ НА СИГУРНОСТТА НА ДАННИТЕ.

СРЕДСТВА ЗА ПРАВНА ЗАЩИТА СРЕЩУ НАРУШЕНИЯ

 

Чл. 33. (1) Всички служители са длъжни да докладват на ДЛЗД за всяко нарушение на сигурността на личните данни, свързани с нарушаване на:

1.    Поверителността - когато има неразрешено или случайно разкриване на данни или на достъп

до лични данни;

2.   Достъпността/наличността - при случайна или неразрешена загуба на достъп или

унищожаване на лични данни;

3.   Интерниста - когато има неразрешено или случайно изменение на  личните данни.

(2) При докладвано нарушение ДЛЗД предприема незабавни действия по действителното му установяване и анализ на възможните последици за отделните лица.

 

Чл. 34. (1) ДЛЗД изготвя уведомление за нарушение на сигурността на личните данни до Комисията за защита на личните данни без ненужно забавяне и не по-късно от 72 часа, след като е узнал за нарушението. При необходимост от провеждане на допълнителна проверка е необходимо получаване на съгласие от надзорния орган за срока и начина на предоставяне на допълнителната информация;

(2)     ДЛЗД изготвя уведомление за нарушение на сигурността на личните данни до субекта на данни, който разполага със средствата за защита и може да търси отговорност за причинените му вреди по реда на Закона за защита на личите данни;

(3)     В случаите на установяване на нарушение на сигурността на личните данни от обработващ, същият подава уведомление до администратора на лични данни за нарушение на сигурността в което описва естеството на нарушението, засегнатите данни и субекти, последиците от нарушението, предприетите технически и организационни мерки и изисква от администратора да посочи евентуални допълнителни мерки за сигурност;

(4)     ДЛЗД документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него, като същевременно води отделен регистър, в който задължително се вписват:

1.    Предполагаемото време или период на възникване;

2.   Времето на установяване;

3.   Времето на докладване и името на служителя, извършил доклада;

4.   Последствията от инцидента;

5.   Мерките, които са предприети за отстраняването им.

 

        Тази Процедура се използва за офисите на „ВИП КОЛЕКТ“ ООД. Частично или цялостно копиране и принтиране може да се извършва само за вътрешни цели. Преди документът или част от него да станат достъпни по какъвто и да е начин или форма извън „ВИП КОЛЕКТ“ ООД, се изисква писмено одобрение от Управителя, на основание мотивирано писмено предложение.