-
Вашата кошница е празна!
ПЛАН ЗА ДЕЙСТВИЕ И ПРИЛАГАНЕ НА СТРАТЕГИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ,КОНКРЕТНИ ДЕЙНОСТИ
СЪДЪРЖАНИЕ:
1. ПРЕДГОВОР
РЕДКО ООД възприема изискванията на Закона за защита на личните данни, Регламент (ЕС) 2016/679, и като Администратор на лични данни създава и въвежда Стратегия за осигуряване на тяхната защита.
Обработване на лични даннни е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни, с автоматични и други средства като: събиране, записване, съхранение, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване или предаване, разпостраняване, актуализиране или комбиниране, блокиране, заличаване или унищожаване.
Обработването на лични данни означава осигуряването на достъп до такава информация само за лица, чиито служебни задължения или конкретно възложени задачи налагат такъв достъп.
2. МИСИЯ И ВИЗИЯ
Мисията, в светлината на тази стратегия, е гарантиране основното право на гражданите - физически и юредически лица, за защита на правата им при обработване на личните им данни.
Визия - стремежът на Администратора е да изгражда и развива среда, в която чрез система от мерки за превенция, отчетност и контрол при обработването на лични данни, се осигурява неприкосновеност на личността и личното пространство на гражданите.
3. ТЕРМИНОЛОГИЯ по смисъла на Наредба № 1 / 30.01.2013 г. За минималното ниво на технически и организационни мерки и допустимия вид на лични данни
3.1. Лице по защита на личните данни е служител, притежаващ необходимата компетентност, упълномощен или назначен от Администратора със съответен писмен акт /договор/, в който са уредени правата и задълженията му във връзка с осигуряване на необходимите технически и организационни мерки за защита на личните данни при тяхното обработване.
3.2. Носител на лични данни е всеки електронен или хартиен носител, на който могат да се запишат данни или могат да се възстановят от същия.
3.3. Резервни копия за възстановяване са копия на данните, съхранявани на носител, чрез който може да се осъществи възстановяването.
3.4. Поверителност е изискване за неразкриване на личните данни на неоторизирани лица в процеса на тяхното обработване.
3.5. Цялостност е изискване, данните да не могат да бъдат променени/подменени по неоторизиран начин в процеса на тяхното обработване, да не се дава възможност за изменение и неразрешени манипулации на действията по обработване им.
3.6. Наличност е изискване за осигуряване постоянна възможност за обработване на личните данни от страна на оторизираните лица при необходимост.
3.7. Група физически лица е съвкупност от физически лица, чийто брой надхвърля 2.
3.8. Голяма група физически лица е съвкупност от физически лица, чиито брой надхвърля 10 000.
3.9. Особено голяма група физически лица е съвкупност от физически лица, чийто брой надхвърля 1 000 000.
4. СЪСТАВЯНE НА ЕКИП
4.1. Дружеството определя екип от служители, отговарящи за привеждане в действие мерките по защитата на личните данни. Те са от състава на ключови служители и други ключови служители, които в структурата на фирмата са ангажирани в най-голяма степен с действия, свързани с обработката на лични данни.
4.2. Екипът, с поименно определените служители, се утвърждава с писмена заповед от Управителя.
4.3. Изисквания към членовете на екипа:
- Да познават Регламент 2016/679 (Общ регламент относно защитата на данните)
- Да познават Закон за защита на личните данни (ЗЗЛД) и подзаконовите актове по прилагането му, ръководствата и насоките на Комисията за защита на личните данни (КЗЛД)
5. ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА НА ЛИЧНИ ДАННИ
5.1 Като Администратор на лични данни, РЕДКО ООД има следните задължения:
5.1.1 Да обработва данните в съответствие с принципите за Защита на личните данни, заложени в Регламента, като е в състояние да докаже това (отчетност).
5.1.2 Да осигурява защита на данните.
5.1.3 Да уведомява Надзорния орган и Субекта на данни, в случай на нарушаване на сигурността на личните данни, както и документиране на всяко нарушение на сигурността на личните данни, в т.ч. фактите, свързани с нарушението, последиците от него, предприетите действия за справяне с нарушението.
5.1.5 Да извършва оценка на риска от въздействие на различни фактори върху защитата на данните.
5.1.6 Да прилага подходящи технически и организационни мерки за осигуряване опазването на личните данни.
5.1.7. Да гарантира постоянна поверителност, цялостност, наличност и устойчивост на реда и услугите при обработване.
5.1.8. Своевременно да възстановява наличността и достъпа до личните данни в случай на физически или технически инцидент.
5.1.9. Редовно да изпитва, преценява и оценява ефективността на техническите средства и организационните мерки.
5.1.10. При необходимост да сътрудничи с Надзорния орган за защита на личните данни при изпълнение на задълженията, произтичащи от регламента.
5.2.1 Свободно изразено съгласие за законообразно обработване на личните му данни, което не е дадено под натиск или заплаха от неблагоприятни последици
5.2.2 Съгласието от страна на субекта е дадено на основата на пълна, точна и лесно разбираема информация за целите на обработваните данни
5.2.3 Достъп при поискване до собствените му лични данни
5.2.4 Субектът има право да изиска коригиране на промемени, непълни или неточни лични данни
5.2.5 Субектът има право да изиска изтриване на личните му данни в контекста на „правото да бъдеш забравен“. Свободното изразено съгласие за обработване на личните данни, дадено на РЕДКО ООД като Администратор, може да бъде оттеглено по всяко време, когато личните данни престанат да бъдат необходими с оглед на целите, за които те са били събрани или обработвани. Правото „да бъдеше забравен” не е абсолютно право. РЕДКО ООД може да откаже да се приложи, доколкото съхранението на данните на субекта са необходими и задължителни съгласно друг нормативен документ /напр: трудови досиета, фактури и др./
5.2.6 Ограничаване на обработването от страна на Администратора или обработващия лични данни – събраните лични данни се обработват само и единствено за целите за които са събрани.
5.2.7 Преносимост на личните данни между отделните Администратори – РЕДКО ООД по силата на договори и/или нормативни актове, събира и предоставя за обработка лични данни на други Администратори.
5.2.8 Възражение спрямо обработването на лични данни - Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, да възрази срещу обработване на лични данни, отнасящи се до него.
6. ДОКУМЕНТИРАНЕ И ОТЧЕТНОСТ
В съответствие с принципа на отчетност РЕДКО ООД прилага на практика принципите за защита на лични данни съгласно Европейски регламент 2016/679.
6.1 Дейностите по документиране и отчетност обхващат следните мерки и стъпки:
6.1.1 Формиране на цели при обработването на лични данни
6.1.2 Описание на категориите лични данни
6.1.3 Определяне категориите получатели, пред които може да бъдат разкрити личните данни
6.1.4 Общо описание на техническите и организационни мерки за сигурност
6.1.5 Определяне на срокове за изтриване / унищожаване на различните категории данни
ОПИСАНИЕ НА ТЕКУЩО НАЛИЧИЕ, ВИДОВЕ И СЪСТОЯНИЕ НА ЛИЧНИТЕ ДАННИ
7.1 Организационни въпроси
7.1.1 Опис на видовете лични данни, обработвани от РЕДКО ООД като Администратор:
Обикновенни лични данни
- Имена
- Идентификационен номер
- Данни по лична карта
- Данни за местоположението
- Онлайн идентификатор
- Банкова информация
- Телефон
- Имейл
- Семейно положение
Специални (чувствителни) лични данни:
- Здравни данни
7.1.2 Контекст на целите за обработка на данните:
- за изготвяне, обработка
- и предоставяне на данни по трудови договори
- за изготвяне договори с контрагенти
- за счетоводната дейност
- за търговската дейност
7.1.3 Поддържани регистри
- Регистър Персонал - срок на съхранение на лични данни 50 години
- Регистър Граждански договори - срок на съхранениена 5 години
- Регистър Договори с контрагенти - срок на съхранение безрочен или докато субекта не изрази правото си да бъде забравен
7.1.4 Предоставяне или разкриване на лични данни:
- На публични органи /НАП, НОИ, МВР, Съдебни органи /при необходимост/
- Контролни органи
- На служители от структурата на фирмата, обработващи лични данни - счетоводен отдел, търговски отдел
7.2 Анализ на текущото състояние:
7.2.1 Локална компютърна инфрастуктура - състои се от мрежови комутатори, компютри, печатащи устройства. Цялата инфраструктура се контролира и подчинява изцяло на сървърна операционна система от най-висок клас, която централизирано имплементира функцията „Домейн Контролер“.
7.2.2 Софтуер за обработка на данните – в своята локалната компютърна инфрастуктура, РЕДКО ООД традиционно използва специалиран софтуер от водещи софтуерни компании, доказали се в изработката на висококачествени и сигурни продукти за счетоводство и ТРЗ, които прдукти могат да бъдат прилагани от фирмата като Администратор на лични дани.
7.2.3 Лични данни на хартиен носител – Администраторът събира, съхранява и обработва данни на хартиен носител само за нуждите на поддържаните регистри. Налични са всички мерки по съхранението, обработването и унищожавенето им, описани в настоящата процедура.
8. ПРИНЦИПИ И НАЧИНИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
8.1 РЕДКО ООД прилага редица принципи за защита на личните данни:
8.1.1 Принцип на ограниченото събиране – събирането на лични данни е ограничено в рамките на необходимото. Информацията се събира по обективни причини и законен и начин.
8.1.2 Принцип на ограничено използване, разкриване и съхранение – личните данни не се използват за цели, различни от тези, за които са били събрани, освен със съгласието на лицето или случаите, изрично предвидени в закона. Личните данни се съхраняват само толкова време, колкото е необходимо за изпълнението на тези цели и в съответтвие с предвидените за това законови срокове. Тяхното унищожаване става чрез щредиране.
8.1.3 Принцип на прецизност – личните данни трябва са прецизни, точни, пълни и актуални, до колкото това е необходимо за целите, за които се използват.
8.1.4 Принцип на сигурността и опазване – личните данни са защитени с мерки за сигурност, съответсващи на чувствителността на информацията.
8.2 Защита на личните данни / недигитални
8.2.1 Охрана на обектите – обектите на РЕДКО ООД (магазини, производствени и офис сгради) се охраняват чрез СОТ, видеонаблюдение, охранителни решетки.
8.2.2 В помещенията /ФСО/, в които се съхраняват лични данни, те се съхраняват в заключени метални шкафове. Помещението е под охрана от СОТ, достъп до кадровите досиета имат само обработващите лични данни. Възможността за предоставяне на друго лице на достъп до личните данни при обработката им е ограничена и изрично регламентирана в тази инструкция.
8.3 Защита на личните данни / дигитални /
8.3.1 С тази инструкция е въведена строга политика за достъпа до информационните системи, съдържащи лични данни. Всички информационни системи се ползват постредсвтом пароли за достъп, за които се прилагат най-добрите световни ИТ практики по отношение на сложност, състав на знаците, срок на валидност.
В компютърните конфигурации са имплементирани LINUX базирани „Защитни Стени“ от най- високо качество, с цел филтрация на мрежов отдалечен достъп до информационните системи, което сериозно намалява риска от кражба или унищожаване на цифрова информация.
Функция „Домейн контролер“ - чрез тази функционалност, системният администратор контролира правата за достъп до информацията и периферните устройства незвисимо от тяхния брой, посредстом нея се извършва водене на записи /Лог Файлове/ на действията в компютърната инфраструктура. Добавянето на нови устройства винаги е свързано с добавянето им към домейн контолер средата, с цел системният администратор да контролира и ограничава правата за достъп.
8.3.2 За обработка на личните данни се използват специализирани софтуерни програми, защитени с пароли. Същите са адаптирани към специфичните нужди на администратора на лични данни, както и към изискванията на регламента на европейската общност за защита на личните данни ЕС 2016/679 по повод събиране, обработка и съхранение на персонална информация.
8.3.3 Защита при предававне на данни по електронен път – В локалната компютърна инфрастуктура защитата при предававне на данните се контролира от сървърната операционна система, отново чрез функцията „Домейн Контролер“. При предаване на данни по електронен път, които напускат локалната компютърна инфрастуктура, се използва система за електронна поща, реализирана чрез криптирана комуникация между пощенските сървъри по между им, както и между пощенските сървъри и пощенските клиенти, а именно индустриални стандарти от тип SSL /Secure socket layer/. Едновременно с това отново се прилага строга политика за паролите за достъп в контекста на най-добрите световни ИТ практики по отношение на сложност, състав на знаците, срок на валидност. Електронната комуникация на РЕДКО ООД с държавните инситуции също се извършва върху криптиран хайпер текст трансфер протокол /https/, използващ също индустриален стандарт SSL /Secure socket layer/.
8.4 Достъп до операционната система и файловете с лични данни, имат само оторизираните служители.
8.4.1 Освен на длъжностните лица, обработващи лични данни, правомерен е достъпът и на длъжностните лица, пряко ангажирани с оформяне и проверка законосъобразността на документите на лицата – Главен счетоводител, както и на лицата, осъществяващи технически счетоводни операции по обработка на документите, свързани с възнагражденията на персонала – счетоводител, касиер. Обработващите лични данни са длъжни да им осигурят достъп при поискване от тяхна страна.
8.4.2 Правомерен е и достъпът на ревизиращите държавни органи, надлежно легитимирали се със съответни документи – писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп до кадровите досиета на персонала.
8.4.3 За неизпълнение на задълженията, вменени на съответните длъжностни лица по този правилник и по Закона за защита на личните данни, ще бъдат налагат дисциплинарни наказания по Кодекса на труда, а когато неизпълнението на съответното задължение е констатирано и установено от надлежен орган – в съответствие с предвиденото в Закона за защита на личните данни административно наказание. Ако в резултат действията на съответното длъжностно лице по обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако стореното представлява по-тежко деяние, за което се предвижда наказателна отговорност.
9. РЕГИСТРИ НА ЛИЧНИ ДАННИ
9.1 Регистър Персонал – в него се съхраняват личните данни на служителите, заети по трудови правоотношения, за време на дейността им по изпълнение на тези договори, с оглед:
- Индивидуализиране на трудовите правоотношения
- Изпълнение на нормативните изизсквания на Кодекса на труда, Кодекса на социалното осигуряване, Закона за счетоводството и др.
- Използване на събираните данни за съответните лица за служебни цели.
- За всички дейности, свързани със съществуване, изменение и прекратяване на трудовите правоотношения – за изготвяне различни документи на лицата в тази връзка (договори, допълнителни споразумения, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения и др.подобни)
- За установяване на връзка с лицетопо телефон, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията му по трудовия му договор и др.
- За водене на счетоводна отчетност относно възнагражденията по трудови правоотношения.
Поддържани регистри | Видове данни съдържащи се в регистъра | Начин за събиране на лични данни |
Лични досиета | 1.Физическа идентичност – имена, ЕГН, номер на лична карта, дата и място на издаване, месторождение, адрес, телефони за връзка. 2.Семейна идентичност – семейно положение, брой членове на семейството, в това число | Лични данни при сключване на договор по трудово правоотношение в съответствие с разпоредбите на Кодекса на труда и |
Оригинални болнични листове | 1.Физическа идентичност – имена, ЕГН, адрес. 2.Медицински данни – диагноза на заболяване, причина на заболяване, режим на лечение, брой на дните при лечение | Личните данни в регистър се |
Книга за регистриране на издадените болнични листа | 1.Физическа идентичност – имена, ЕГН, адрес. 2.Медицински данни – диагноза на заболяване, причина на заболяване, режим на лечение, брой на дните при лечение | Личните данни в регистър се |
9.2 Регистър Договори с контрагенти – съхраняват се лични данни на клиенти, желаещи и/или закупили стоки. Всички клиенти предоставят личните си данни доброволно и същите се обработват единствено за целите на които са събирани.
Поддържани регистри | Видове данни съдържащи се в регистъра | Начин за събиране на лични данни |
Данни за регистрация в сайта –електронен магазин. | Физическа идентичност - имена, телефон за връзка, адрес на електронна поща, данни за местожителство, личен адрес и/или адрес на удобен за него офис на куриерска фирма. | Личните данни се събират с цел създаване на профил в онлайн магазина на фирмата. |
Данни за издаване на фактура на физическо лице / електронен магазин | Физическа идентичност - имена, телефон за връзка, адрес на електронна поща, данни за местожителство, личен адрес и/или адрес на удобен за него офис на куриерска фирма. | Личните данни се събират с цел създаване на профил в онлайн магазина на фирмата – за поръчка на продукт чрез платформата и за издаване на съответен документ при направена реална поръчка. |
Данни за издаване на фактура на юридическо лице / електронен магазин | Физическа идентичност - име на фирмата, МОЛ/Управител, идентификационнен код, адрес, телефон за връзка, адрес на електронна поща, адрес на удобен за него офис на куриерска фирма. | Личните данни се събират с цел създаване на профил в онлайн магазина на фирмата – за поръчка на продукт чрез платформата и за издаване на съответен документ при направена реална поръчка. |
Договори с доставчици /партньори/ и трети страни | 1. Физическа идентичност - име на фирмата, МОЛ/Управител, идентификационнен код, адрес, телефон за връзка, адрес на електронна поща 2. Икономическа идентичност – финансово състояние, банкова сметка, налични кредити 3. Социална идентичност – образование, трудова дейност 4. Семейна идентичност – семейно положение | Личните данни се набират при кандидатсване за закупуване на стока с кредит. Данните се събират чрез специализиран банков софтуер. Достъпа до базата данни имат само лица, служители на РЕДКО ООД, получили достъп от съответната банка |
9.3 Регистър Граждански договори
Поддържани регистри | Видове данни съдържащи се в регистъра | Начин за събиране на лични данни |
Договор | 1.Физическа идентичност - имена, ЕГН, номер на лична карта, дата и място на издаване, адрес | Лични данни при сключване на договор по трудово правоотношение в съответствие с разпоредбите на Кодекса на труда, подзаконовите нормативни актове за прилагането му, Кодекса за социално осигуряване и др. |
10.1 Оценката на риска е направена въз основа на:
10.1.1 Естеството, обхвата, контекста и целите на обработването на лични данни.
10.1.2 Сигурностт на правата и свободите на физическите лица и тяхната вероятност и тежест се гарантира със систематично мащабно наблюдение на публично достъпна зона, нови технологии и др.
10.2 Избор на подходящи технически и организационни способи за спазване на Регламент 2016/679 и ЗЗЛД. Такива способи са:
10.2.1 Където е възможно се използва псевдонимизиране на лични данни. Тази възможност често е налична в базите данни на специализираните софтуери. Представлява логическо свързване между полета в таблици и по този начин например имена на лица , могат да бъдат представени като служител номер 1, служител номер 2, и т.н.
10.2.2 Където и когато е възможно може да се прилага криптиране дигитални лични данни. То не е необходимо ако данните се предават „Обвити“ в криптирани стандартизирани тунели.
10.2.3 Гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване
10.2.4 Водене на записи (log files) на дейностите по обработване на дигитални данни в системите за автоматизирано обработване
10.2.5 Обучение на служители
На база анализа на детайлите и нивото на технически и организационни мерки във фирмата, считаме, че рисковете от въздействие върху сигурността на системата за защита на личните данни са сведени до минимум. РЕДКО ООД е вписано като Администратор и притежава Удостоверение № 11977, издадено от Комисия за защита на личните данни.
11. УВЕДОМЯВАНЕ ЗА НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ
В РЕДКО ООД е утвърдена Процедура за уведомяване на потребителите и КЗЛ за нарушаване на личните данни.
УТВЪРДИЛ: .................................................................
/Управител/