ИНСТРУКЦИЯ ЗА МЕРКИТЕ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ, СЪБИРАНИ, ОБРАБОТВАНИ, СЪХРАНЯВАНИ И ПРЕДОСТАВЯНИ ОТ ФОНДАЦИЯ „ЗАЩИТА ПРАВАТА НА ДЕЦАТА“
РАЗДЕЛ ПЪРВИ
ОБЩИ ПОЛОЖЕНИЯ
Чл. 1 Настоящата инструкция урежда мерките за защита на личните данни, събирани, обработвани, съхраняване и предоставяни от Фондация “Защита правата на децата“ със седалище гр. София, пл. „П. Р. Славейков“ № 11, ет. 6, офис 3 и адрес на управление гр. София, ж.к. „Дианабад“, бл. 32, вх. А, ет. 8, ап. 23, ЕИК 177013260, като администратор на лични данни, както и нивото на технически и организационни мерки при обработване на лични данни и допустимия вид защита.
Чл. 2. Инструкцията е изготвена на основание чл.23, ал. 4 от Закона за защита на личните данни (ЗЗЛД) и чл. 19 т. 2 от Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни (Наредба № 1) и цели защита на интересите на клиентите – физически и юридически лица, както и на служителите на Фондация “Защита правата на децата“ от незаконосъобразно и недобросъвестно обработване на личните им данни.
Чл. 3. (1) Настоящата инструкция регламентира:
1. Механизмите за водене, поддържане и защита на регистрите, съхраняващи лични данни във Фондация “Защита правата на децата“ с цел гарантиране на неприкосновеността на личността и личния живот, чрез осигуряване на защита на данните за физическите лица при неправомерно обработване на свързаните с тях лични данни.
2. Видовете регистри, които се водят във Фондация “Защита правата на децата“ и тяхното общо и технологично описание.
3. Правата и задълженията на лицата, обработващи лични данни и/или лицата, които имат достъп до лични данни и работят под ръководството на обработващите лични данни, тяхната отговорност при неизпълнение на тези задължения.
4. Необходимите технически и организационни мерки за защита на личните данни, съдържащи се в регистрите от неправомерно обработване (случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни).
5. Процедури за докладване, управляване и реагиране при инциденти. Организацията и реда за упражняване на контрол при обработването на лични данни от служителите на Фондация “Защита правата на децата“.
6. Оценка на въздействие и определяне ниво на защита.
7. Предоставяне на данни на трети лица – основание, цел, категории лични данни.
(2) Инструкцията се утвърждава, допълва, изменя или отменя със заповед на Председателя на Фондация “Защита правата на децата“.
РАЗДЕЛ ВТОРИ
ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
Чл. 4. (1) Обработване на личните данни се извършва, когато:
1. Това е необходимо за изпълнение на нормативно установено задължение;
2. Физическото лице, за което се отнасят данните, е дало своето изрично съгласие.
3. Обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане.
4. Обработването е необходимо, за да се защитят животът и здравето и правата на физическото лице, за което се отнасят данните;
5. Обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;
6. Обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;
7. Обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.
(2) Обработване на личните данни се състои и в осигуряване на достъпа до определена информация само за лица, чиито служебни задължения или конкретно възложена задача налагат такъв достъп.
Чл. 5. Всички служители, сътрудници и доброволци на Фондация “Защита правата на децата“ при встъпване в длъжност приемат да спазват конфиденциалност по отношение на базите данни с клиенти на Фондация “Защита правата на децата“, в т. ч. лични данни, както и да не разгласяват данни и информация, станали им известни при и по повод изпълнение на служебните им задължения, за което подават декларация, че са запознати със съдържанието на инструкцията и се задължават да я спазват.
Чл. 6. Фондация „Защита правата на децата“ поддържа вътрешен ред като администратор на лични данни, като осигурява технически и организационни мерки за защита.
Чл. 7. (1) Администраторът възлага обработването на личните данни на негови служители, сътрудници и доброволци /обработващи/. Обработването се възлага на повече от един обработващ данните, съобразно спецификата на изпълняваните от тях служебни функции и с цел разграничаване на конкретните им задължения.
(2) Обработващите лични данни, действат само по указание на администратора, освен ако в закон не е предвидено друго.
Чл. 8. (1) Личните данни в регистрите се набират от администратора на лични данни, респективно обработващият лични данни чрез устно интервю и/или на хартиен и/или електронен носител, както и чрез интернет.
(2) За необходимостта от набиране на лични данни и целите, за които ще бъдат използвани, обработващият лични данни информира лицето.
(3) След одобрение на документите, съдържащи лични данни, същите заедно с приложенията към тях се обработват в регистрите от обработващия лични данни и се съхраняват в дискови масиви. Резервни копия се създават на дискови масиви, магнитни или магнитно-оптични носители, като тези копия се съхраняват в помещения с контролиран достъп. При необходимост, в случаи, свързани с опазване на обществения ред се създават извадки на магнитен или магнитно-оптичен носител.
(4) Набраните данни на технически носител остават на сървъри, предназначени за съхранение на базите с лични данни, а в случаите, когато се обработват на компютри извън мрежата на администратора – в отделни файлове на компютъра, като достъп до тях има само обработващият лични данни чрез съответните потребителски имена и пароли.
(5) Хартиеният носител се подрежда в кадрови досиета или специални папки и се представя за проверка законосъобразността на изготвения документ и валидирането му чрез подписи на съответните длъжностни лица – кмет, заместник кмет, секретар, директор на дирекция.
(6) При необходимост от поправка на личните данни, лицата предоставят такива на обработващия лични данни по негово искане на основание нормативно задължение.
(7) За достоверността на предоставените копия от регистри, съдържащи лични данни, отговорност носи обработващият лични данни.
РАЗДЕЛ ТРЕТИ
ОБЩО ОПИСАНИЕ НА ПОДДЪРЖАНИТЕ РЕГИСТРИ ВЪВ ФОНДАЦИЯ „ЗАЩИТА ПРАВАТА НА ДЕЦАТА“
Чл. 9. (1) Регистрите в които се набират и съхраняват лични данни са за:
1. Физически лица в Република България.
2. Служители и доброволци във Фондация „Защита правата на децата“;
(2) Категориите лични данни в регистрите, които се отнасят се до физическите лица могат да бъдат:
Физическа идентичност – име, ЕГН/ЛНЧ, номер на лична карта, дата и място на издаване, адрес, месторождение, телефони за връзка, един или повече специфични признаци и други;
Семейната идентичност – семейно положение (наличие на брак, развод, брой членове на семейството, в т.ч. деца до 18 години), родствени връзки и др.;
Образование – вид на образованието, място, номер и дата на издаване на дипломата, допълнителна квалификация. Предоставят се от лицата на основание нормативно задължение във всички случаи, когато е необходимо;
Допълнителна квалификация – данните се предоставят от лицата на основание нормативно задължение във всички случаи, когато е необходимо;
Трудова дейност – професионална биография – данните се предоставят от лицата на основание нормативно задължение във всички случаи, когато е необходимо;
Медицински данни – физиологично, психическо и психологично състояние на лицата. Данните са от значение при заемане на длъжности и изпълнение на функции, изискващи особено висока степен на отговорност, пряка ангажираност и непосредствен досег с хора, в това число от рискови групи;
Икономическа идентичност – имотно състояние, финансово състояние, участие и/или притежаване на дялове или ценни книжа в дружества и др.;
Други – етнос, лични данни относно гражданско-правния статус на лицата, необходими за длъжностите, свързани с материална отговорност. Предоставят се на основание нормативно задължение.
РАЗДЕЛ ЧЕТВЪРТИ
ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ЛИЦА
Чл. 10. (1) Лични данни се предоставят на трети лица само след получаване на писмено съгласие от лицето, за което се отнасят данните, освен в случаите, свързани с опазване на обществения ред и сигурността.
(2) При неполучаване на съгласие от лицето или при изричен отказ да се даде съгласие, данните не се предоставят.
(3) Не се изисква съгласие на лицето, ако обработването на неговите лични данни се извършва само от или под контрола на компетентен държавен орган за лични данни, свързани с извършване на престъпления, на административни нарушения и на непозволени увреждания.
(4) Решението си за предоставяне или отказване достъп до лични данни за съответното лице администраторът съобщава на третото лице в 30 – дневен срок от подаване на искането.
Чл. 11. (1) Никое трето лице няма право на достъп до регистрите с лични данни, освен ако данни от същите не са изискани по надлежен път от органи на съдебната власт (съд, прокуратура, следствени органи). В такива случаи достъпът е правомерен.
(2) Правомерен е и достъпът на ревизиращите държавни органи, надлежно легитимирали се със съответни документи – писмени разпореждания на съответния орган, в който се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп до лични данни.
(3) Съдебен орган може да изиска лични данни, съдържащи се в регистри, писмено с изрично искане, отправено до Фондация „Защита правата на децата“. В подобни случаи, на органите на съдебната власт, се предоставя копие от съдържащите се в регистрите лични данни, заверени с подписа на обработващия лични данни и печат на Фондация „Защита правата на децата“. За идентичността на предоставените копия от документи с оригиналите им, отговорност носи обработващият лични данни. В подобни случаи и ако в писменото искане на съдебния орган не се съдържа изрична забрана за разгласяване, обработващият лични данни е длъжен да информира лицето, но не и да възпрепятства работата на съответните органи.
ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
§ 1. Настоящата инструкция се издава на основание чл. 23, ал. 4 от Закона за защита на личните данни и чл. 19 т. 2 от Наредбата № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.
§ 2. За допуснати нарушения по настоящата инструкция, виновните служители, сътрудници и доброволци носят дисциплинарна и административно-наказателна отговорност, освен ако деянието не представлява престъпление.
§ 3. За неуредените в тази инструкция въпроси се прилагат разпоредбите на действащата нормативна уредба.
§ 4. Настоящата инструкция влиза в сила от деня на нейното утвърждаване със заповед на Председателя на Фондация „Защита правата на децата“.