Поверителност -SOS Детски селища България

SOS Детски селища България е организация за социално развитие, която гарантира правото на всяко дете да има семейство и да расте в среда на любов, уважение и сигурност.

Поверителност

Поверителност

 

ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

 

ПРЕАМБЮЛ

  1. Тази Политика на Сдружение „SOS Детски селища България “ се приема в съответствие с изискванията на Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните), наричан нататък „Регламента”.
  2. Тази Политика съдържа и кодекс на поведение в съответствие с изискванията и препоръките на Регламента.

 

ОБЩИ ПОЛОЖЕНИЯ

  1. Защитата на физическите лица във връзка с обработването на личните им данни (ЛД) е основно тяхно право, гарантирано от закона. Това право не е абсолютно.
  2. Защитата на физическите лица се прилага както за обработването на ЛД с автоматични средства, така и при ръчното им обработване, ако личните данни се съхраняват или са предназначени да се съхраняват в регистър (база данни) с ЛД.
  3. Децата се ползват със специална защита на техните ЛД.

 

ЛИЧНИ ДАННИ

  1. ЛД е всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез един или повече специфични признаци.
  2. Защитата на данните се прилага по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано.
  3. Личните данни, които са били подложени на псевдонимизация, но които могат да бъдат свързани с дадено физическо лице чрез използването на допълнителна информация, се считат за информация, отнасяща се до физическо лице, което може да бъде идентифицирано, поради което също са защитени.
  4. Анонимна информация, която не позволява да се идентифицира физическото лице, не подлежи на защита.
  5. ЛД за здравословното състояние са всички данни, свързани със здравословното състояние на субекта на данните, които разкриват информация за неговото физическо или психическото здравословно състояние в миналото, настоящето или бъдещето.

 

ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

  1. Сдружението обработва само законно събрани лични данни, необходими за конкретни, точно определени и законни цели. Обработването на ЛД трябва да е сведено до минимум.
  2. Обработката на ЛД не трябва да води до дискриминация за физическите лица въз основа на тяхната раса или етнически произход, политически възгледи, вероизповедание или убеждения, членство в синдикални организации, генетичен или здравен статус или сексуална ориентация.
  3. Конкретните цели, за които се обработват ЛД, следва да бъдат ясно определени към момента на събирането. Обработването на ЛД трябва да е пропорционално на преследваните с него цели.
  4. ЛД следва да се обработват, единствено ако целта на обработването не може да бъде постигната в достатъчна степен с други средства. Обработването на ЛД за цели, различни от тези, за които първоначално са събрани, е позволено единствено когато обработването е съвместимо с целите, за които първоначално са събрани ЛД. Носителят на непотребни ЛД се третира по начин, че те да не могат да се обработват непозволено.
  5. Обработването на ЛД трябва да гарантира подходяща степен на тяхната сигурност и поверителност, вкл. предотвратяване на непозволен достъп до ЛД и до оборудване за тяхното обработване или за предотвратяване на използването им.
  6. ЛД се изтриват и не се обработват по никакъв друг начин, когато престанат да бъдат необходими с оглед на целите, за които са били събрани или обработвани по друг начин, когато субектът на данните е оттеглил своето съгласие или е възразил срещу обработването на лични данни, свързани с него, или когато обработването на личните му данни по друг начин не е в съответствие със закона
  7. Не се обработват ЛД, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице, освен когато субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели и при наличие на други предвидени в Регламента обстоятелства.
  8. Забранява се:

– снемането (копиране, сканиране) и/или съхраняването на копие от лична карта, паспорт или друг документ за самоличност, нотариален акт, документи за здравния статус, като напр. експертни решения на ТЕЛК, документи за завършено образование, придобита квалификация, трудова книжка, свидетелство за съдимост, молба за кандидатстване за работа и др. подобни, освен когато е допустимо от закона;

– връчването на съдържащи ЛД съобщения на друго лице, различно от субекта на ЛД, освен когато е допустимо от закона;

– изпращането на съдържащи ЛД на адресата съобщения, освен когато е допустимо от закона;

– оповестяването на съдържаща ЛД информация, освен когато е допустимо от закона. При уведомяване на компетентен орган за евентуални престъпни деяния или заплахи за обществената сигурност забраната не важи;

– съхраняването на ЛД за срок, по-дълъг от необходимия за изпълнение на целите, за които ЛД са събрани. Сроковете за съхранение са посочени в приложение към тази Политика;

– регистрирането пред компетентен държавен орган на възникването, изменението или прекратяване на трудово правоотношение, ако преди това не е налице предвиденото в закона основание;

– обработването (вкл. публикуването) на снимки или други съдържащи образа носители на подобна информация, напр. видеозаписи, както и на аудиозаписи, ако позволява идентификация или удостоверяване на автентичността на дадено физическо лице;

– събирането, съхраняването и друга обработка на ЛД от регистри на публични органи или частни субекти, освен когато е допустимо от закона.

  1. Всеки регистър на дейностите по обработване на ЛД съдържа минимум посочените в Регламента данни. Отговарящите за поддържането и обработване на ЛД от съответния регистър служители се определят от НИД.

 

СЪГЛАСИЕ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

  1. Физическите лица трябва да бъдат информирани навреме и по походящ начин за рисковете, правилата, гаранциите и правата, свързани с обработването на техните ЛД, както и за начините, по които да упражняват правата си по отношение на обработването;
  2. Субектът на ЛД трябва да бъде информиран за обработването на неговите ЛД и за това какви са целите на това обработване. Когато ЛД се събират от субекта на данни, той трябва да бъде информиран за това дали е задължен да предостави ЛД и за последствията, ако не ги предостави.
  3. Информацията за обработването на ЛД трябва да бъде предоставена на субекта на данните в момента на събирането ѝ от него, а ако ЛД са получени от друг източник — в рамките на разумен срок, който не може да бъде по-дълъг от 30 дни, но не и когато субектът на данни вече разполага с информацията по обработване на ЛД.
  4. Предоставяната информация по чл. 21, както и всяка друга информация във връзка със защитата на ЛД, трябва да бъде достъпна, разбираема и недвусмислена.
  5. Съгласието за обработване на ЛД, вкл. за всяко предоставяне на тези данни на трето лице, е валидно, ако става чрез ясен утвърдителен акт до Сдружението, с който да се изразява свободно дадено, конкретно, информирано и недвусмислено съгласие от страна на субекта на данни за обработване на свързани с него ЛД. Съгласието се дава в писмена форма. Съгласието може да не е в писмена форма, ако има основателна пречка за това. В този случай служителят съставя протокол или друг удостоверителен документ. Въздържането от изразяване на акт на съгласие (мълчанието) не се приема за съгласие. Необходимо е съгласие за различните операции по обработване на ЛД.
  6. Съгласие за обработка на ЛД на деца се дава от носещия родителска отговорност. Приемните семейства нямат това право.
  7. Дадено съгласие може да бъде оттеглено свободно и по всяко време, без това да доведе до вредни последици за далият съгласието.
  8. Сдружението е задължено да осигури достъп на всяко лице до събраните за него ЛД, които го засягат, но това става след проверка на самоличността на субекта на данни, който иска достъпа.
  9. Достъпът до ЛД, тяхното коригиране или изтриване, както и упражняване на правото на възражение и на ограничаване на обработването на ЛД става без заплащане.
  10. Субектът на ЛД упражнява правата си по чл. 28 чрез подаване на заявление в свободен текст. Регистърът на заявленията се води в националния офис от определен от НИД служител.Решение по заявлението се взема НИД или упълномощен от него служител, в срок до един месец.
  11. Съгласие не се иска и не се информира субекта на ЛД за операциите по обработването и за целите на това обработване, когато става в изпълнение на закон. Например не се информират субектите на ЛД за предоставяне на техните ЛД (имена, ЕГН, ЛНЧ и др.) на НАП в изпълнение на чл. 62, ал. 5 КТ.

 

КОНТРОЛ И ОТГОВОРНОСТ ПРИ ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ

  1. Сдружението е длъжно да си сътрудничи с КЗЛД и други надзорни органи, вкл. като осигурява при поискване достъп до документацията за дейностите по обработване на ЛД.
  2. Когато се установи нарушение на сигурността на ЛД, Сдружението е длъжно да уведоми КЗЛД и/или други надзорни органи, както и субекта на ЛД.
  3. Сроковете на съхранение и изтриване на ЛД се преглеждат постоянно. Промяната им става незабавно след установяване на необходимостта от това, със заповед на НИД;
  4. Мониторингът и оценката на риска върху защитата на ЛД се извършват постоянно. За докладването им на НИД не се изисква специална форма. Оценката на въздействието на операции по обработването върху защитата на ЛД се извършва преди да започне обработването.
  5. Всеки служител носи съответната отговорност за неспазване на правилата за защита на ЛД, вкл. когато Сдружението е претърпяло вреди от неправомерно поведение на служителя, независимо дали е настоящ или предишен.
  6. Всеки служител е длъжен да съобщи на НИД при възникване на основателно съмнение за нарушение на правилата за защита на ЛД.
  7. Всеки служител е длъжен да се консултира по предвидения в тази Политика ред, когато у него възникне съмнение, че е възможно при изпълнение на работата да се стигне до нарушение на правилата за защита на ЛД.
  8. Всеки служител е длъжен да участва в обученията, които се отнасят за правилата за защита на ЛД. Обученията се извършват минимум веднъж през годината.
  9. Всеки служител може да обработва тези ЛД и да извършва тези операции по обработване на ЛД, за които е оторизиран.
  10. Служител няма право да използва за лични или други неоторизирани цели обработваните от Сдружението ЛД.
  11. Сдружението може да определи „лице по защита на ЛД”. Това лице трябва да притежава познания в областта на законодателството и практиките в областта на защитата на ЛД, а по възможност – и юридическа правоспособност.
  12. Лицето по чл. 41 не може да е служител на Сдружението. На него не могат да се дават указания, касаещи дейността му в това качество. Лицето не е субект по смисъла на чл. 37 от Регламента.
  13. Всеки служител е длъжен да съдейства на лицето по чл. 41. Предоставянето на поискана информация, документи и др. става чрез прекия ръководител на служителя или направо на лицето по чл. 41, в който случай незабавно се уведомява прекия ръководител.
  14. Служителите, вкл. по искане на външни лица, чиито ЛД се обработват или предстои да се обработват, имат пряк достъп до лицето по чл. 41 за консултации във връзка със защита на ЛД, чрез оповестен адрес на електронна поща. Становището на лицето по чл. 41 няма задължителен характер.
  15. Лицето по чл. 41 има право да извършва планирани или внезапни проверки относно спазване правилата за защита на ЛД. Внезапните проверки са не повече от три през календарната година. Планираните проверки се определят от НИД в съгласие с лицето по чл. 41 в началото на годината. Извършването на внезапните проверки се определят от лицето по чл. 41. НИД може да измени обхвата им.
  16. Лицето по чл. 41 може да предоставя съвети по отношение на оценката на въздействието върху защитата на ЛД и да наблюдава и предоставя съвети и становище при извършването на оценката на въздействието на операции по обработването върху защитата на ЛД. Съветите и становищата нямат задължителен характер.
  17. Лицето по чл. 41 може да отправя препоръки за превенция възникването или ограничаване на риска при обработване на ЛД. Препоръките нямат задължителен характер.
  18. Лицето по чл. 41 може да участва при покана в работата на органи на Сдружението, като има право на съвещателен глас или изразяване на незадължително становище.
  19. Сдружението незабавно уведомява и снабдява с необходимата информация лицето по чл. 41 при всяко нарушение на правилата за защита на ЛД, заведена жалба, съдебен иск или друга юридическа претенция, касаеща защитата на ЛД.

 

ТЕХНИЧЕСКИ И ДРУГИ ОРГАНИЗАЦИОННИ МЕРКИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

  1. Как защитаваме Вашите лични данни?

Ние реализираме и постоянно подобряваме техническите, физическите и административните мерки за сигурност, които са предназначени за осигуряване на адекватна защита на Вашите лични данни от загуба, неправилно използване, неоторизиран достъп, разкриване или промени.

Мерките за сигурност включват защитни стени, криптиране на данни, контрол на физическия достъп до нашите центрове за данни и контроли/пароли за разрешаване на достъпа до информация.

В същото време, Вие сте отговорни за осигуряването и запазването на поверителността на Вашата парола и информация за регистрация на акаунт / профил в нашите Интернет страници (системи) и проверка дали личните данни, които поддържаме за Вас, са точни и актуални.

Ние не носим отговорност за защитата на всички лични данни, които Вие споделяте с трета страна въз основа на свързана с Вашия акаунт връзка, която сте оторизирали.

Ние осигуряваме защита на Интернет страницата на Сдружението www.sosbg.org от всякакъв злонамерен достъп, който може да го модифицира, компрометира или да открадне данни:

  • За хостинг на нашата Интернет страница използваме реномирана българска фирма (icn.bg), покриваща изискванията на новия Регламент на ЕС относно защитата на личните данни.
  • Използваме сигурен SSL сертификат за криптиране, синоним на защита и сигурност в Интернет. По този начин гарантираме безопасното посещение на нашата Интернет страница като защитаваме личните данни на своите посетители.
  • Защитаваме надеждно пощенските си кутии срещу неоторизиран достъп с прилагане на последните версии на използваният системен софтуер и на няколко допълнителни нива на защита.

 

ПРЕХОДНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

  • 1. Политиката влиза в сила на 25.05.2018 г. и отменя действащата Инструкция за обработване и защита на личните данни.
  • 2. Адресът на електронната поща по смисъла на чл. 44 е gdpr.dpo@sosbg.org . По въпроси, свързани с Политиката ни, пишете на адрес gdpr.sosbg@sosbg.org .
  • 3. Политиката и регламента на български език се оповестяват на Интернет страницата на Сдружението не по-късно от 25.05.2018 г.
  • 4. При противоречие между тази Политика и друг вътрешен акт, прилага се тази Политика. При противоречие между тази Политика и нормативен акт, прилага се нормативният акт. При противоречие между тази Политика и външен ненормативен акт, прилага се тази Политика или случаят се отнася за становище до лицето по чл. 41.