УЧИЛИЩНА ПОЛИТИКА ПО ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
в ЧПГ по икономика, туризъм и информатика ,,БУЛПРОГРЕС‘‘
Учебната 2024/2025 година
Документът е актуализиран и приет на заседание на Педагогически съвет с Протокол №.1/19.09.2024г. и е утвърден със Заповед №РД-29/20.09.2024г.
Целта на настоящия документ е да подпомогне практическото прилагане на Общия регламент относно защитата на данните (Регламент 2016/679) на организацията като АДМИНИСТРАТОР НА ЛИЧНИ ДАННИ (АЛД) и да изясни и регламентира администраторът с каква цел се събират, обработват и съхраняват лични данни. В тази връзка е необходимо организацията да направи свой собствен одит, чрез който да се изяснят какъв досег и в кои области се обработват ЛД, кои служители ги обработват, отговарят ли на изискванията на регламента контрагентите на администратора, с който той обменя ЛД. Политиката на организацията включва изготвяне на документация във връзка с обработването на ЛД както следва:
-Създаване на Вътрешен регистър на дейностите по обработване на ЛД, отговарящ на спецификата на дейността на организацията;
-Разработване на вътрешни правила и инструкции във връзка със защита на ЛД, план за пробив в сигурността на на ЛД (напр. при хакерска атака или кражба).
-Изготвяне на юридически издържани форми на декларации за документиране даването на съгласие от страна на субекта на ЛД, от които да няма съмнение, че че съгласието е иинформирано и свободно дадено.
-Изготвяне на оценка на въздействие върху защитата на личните данни.
Гореизброените документи са основен момент във фирмената политика по защита на ЛД и се изготвят от организацията при спазване на нормативните изисквания. Единствено в случаите на постъпила устна или писмена жалба или възражение от физическо лице, което претендира, че негови лични данни са били неправомерно обработвани или иска заличаването им, дори да са били законосъобразно обработвани, се прибягва до услугите на адвокат.
Политиката на организацията по защитата на ЛД включва:
1.Запознаване с новите нормативни изисквания в областта на защитата на личните данни
1.1. Определяне на служител или екип, които да отговарят за привеждане на дейността на дружеството или организацията – администратор на лични данни, в съответствие с новите нормативни изисквания в областта на защитата на личните данни (ръководни служители, други ключови служители в дружеството или организацията (Правен отдел, IT отдел, Човешки ресурси и др.);
1.2. Какво трябва да се познава: Регламент 2016/679 (Общ регламент относно защитата на данните), Закон за защита на личните данни (ЗЗЛД) и подзаконовите актове по прилагането му, ръководствата и насоките на Комисията за защита на личните данни (КЗЛД) и Работната група по чл. 29 (след 25.05.2018 г. – на Европейския комитет по защита на данните).
- Вътрешен анализ на дейностите по обработване на лични данни
2.1. Във фирмата, за целите на дейността се обработват следните видове категории лични данни и категории физически лица (независимо от тяхното гражданство):
– „обикновени” лични данни – имена, адрес, електронна поща, IP адрес и т.н.;
– единен граждански номер;
– специални („чувствителни”) лични данни – данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни, биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация.
2.2. Конкретните цели, за които се събират, съхраняват и обработват личните данни са:
– трудови отношения, с преподаватели, възпитатели, технически лица, IT специалисти и други, които се назначават по трудов договор или се наемат по граждански договори за изпълняване на конкретно възложена работа с определен срок и цена.
– за счетоводство, с цел плащане на заплати и осигуровки към институциите на данъчно задължените лица и към ЧСИ по предходни задължения, постъпили при нас;
– законово определени цели в регистрите на МОН чрез софтуерна програма АДМИН на МОН, където се подава информация за ученици и учители.
-за ползване на информация и учебен ресурс, предоставен чрез сайта на фирмата в две посоки:
=подаване на формуляри от наши потребители при кандидатстване за учене. Формулярът съдържа ЛД на лицето, необходими за преценяване неговата възможност за продължаващо обучение: поне две имена, завършен клас, училище, образователна степен в предходното училище.
=регистриране в онлайн платформа ,,Електронно училище“ и създаване на потребителски профил с две имена и електронна поща, което дава достъп на потребителя до учебен ресурс и решаване на онлайн тестове.
2.3. На кого се предоставят или разкриват личните данни извън организацията:
-първоначалното прдставяне и ползване на ЛД е за нуждите на МОН. Всички ученици и учители се регистрират в специализирана софтуерна програма АДМИН, която е задължителна за училищните институции. Системата предпазва за дублирани ученици. След въвеждането им, от програмата се принтят протоколи с имената на учителите, имената, класовете и специалността на учениците.
– на публични органи (Национална агенция за приходите, Национален осигурителен институт, Министерство на вътрешните работи – само при поискване, ЧСИ – при поискване за конкретен служител и при конкретен случай);
– на обработващ лични данни (физическо или юридическо лице, което обработва личните данни от името на администратора и по негово нареждане или възлагане) – счетоводител, съгласно сключен договор за счетоводно обслужване и IT администратор съгласно сключен граждански договор за възлагане;
– на бизнес партньори – за целите на дейността само след изричното писмено съгласие на лицата или техните законни настойници, ЛД могат да се прехвърлят на бизнес партньори за направата на застраховки, резервации, участия в образователни форуми.
2.4. Трансфериране на лични данни в други държави. Към настоящия момент не се предават ЛД към други държави, но администраторът не изключва за в бъдеще, опция да трансферира данни, единствено в случаите на поискана от лицето академична справка за кандидатстване в чуждестранен ВУЗ. Академичната справка се дава срещу подпис лично на лицето, с което се прехвърля отговорността за трансфер на ЛД на преводаческия отдеол в МОН, къдетос апостил се превежда документа. Администраторът на ЛД не носи отговорност и не проследява по-нататъшното трансфериране на данните към държава членка на Европейския съюз или трета страна и на какво правно основание те ще бъдат прехвърлени.
2.5. Колко време се съхраняват личните данни в организацията и как е определен този срок.
Личните данни в организацията се съхраняват на базата на законоустановен ред – до завършване на образованието на учениците и до изтичане срока на договора на преподавателите и служителите. Всички документи, чието съдържание включва ЛД са нормативно определени в Наредбата №8/2016 г. за информацията и документите за системата на предучилищното и училищното образование и предходната (Наредба за документите в системата на Народната просвета на МОН). Управителят на оргфанизацията издава заповед, в която изрично са определени сроковете, мястото на съхранение и комисиите за унищожаване на документите.
2.6. Какви мерки за сигурност се прилагат за защита на данните.
В организацията се прилагат два вида мерки за сигурност и защита на ЛД;
-В заповед на директора изрично са определени местата за съхраняване на документите, съдържащи ЛД и материално отговорното лице за тяхното опазване, както и комисиите, отговорни за тяхното унищожаване след използването им за целите на дейността.
-Запазване на ЛД в хранилището на надежден партньор. СуперХостинг.БГ събира и обработва чрез нашия IP адрес лични данни във връзка с предоставянето на хостинг услуги, регистрация на домейни, използване на виртуални и наети сървъри и сключване на договори с организацията на основание чл. 6, ал. 1, Регламент (ЕС) 2016/679, и по-конкретно въз основа на следното:
Изрично получено съгласие от фирмата като клиент, администратор на ЛД;
Изпълнение на задълженията на СуперХостинг.БГ по договора с организацията;
Спазване на законово задължение, което се прилага спрямо СуперХостинг.БГ;
За целите на легитимния интерес на СуперХостинг.БГ.
- Преценка дали е налице задължение да се определи Длъжностно лице по защита на данните
Поради малкият капацитет на фирмата и ограниченият достъп за работа и обработване на ЛД във връзка с целите и дейността на организацията, Администраторът на ЛД счита, че на този етап няма да назначава длъбностно лиьце по защита на ОЛД. Задължение и отговорност за спазване на регламента носи управителят/собственик на юридическото лице.
- Управление на риска по отношение на защитата на личните данни
4.1. Извършване на оценка на риска на основата на:
– естеството, обхвата, контекста и целите на обработването;
– възможните рискове за правата и свободите на физическите лица и тяхната вероятност и тежест;
– последиците за правата и свободите на физическите лица.
4.2. Извършване на оценка на въздействието върху защитата на личните данни при наличие на висок риск, напр. в резултат на стартиращо обработване на специални (чувствителни) лични данни, систематично мащабно наблюдение на публично достъпна зона, нови технологии и др. –единствено при обучение на ученици със СОП с тежки диагнози, изискващи представяне и предаване на специална здравна информация.
4.3. Задължителна предварителна консултация с КЗЛД, ако оценката на въздействието върху защитата на данните по т.4.2. покаже, че обработването ще породи висок риск, ако не се предприемат ефективни мерки за ограничаването му.
4.4. Избор на подходящи технически и организационни мерки, за да може да се гарантира и докаже спазване на Регламент 2016/679 и ЗЗЛД. Възможни подходящи мерки в по-дългосрочен план за организацията могат да бъдат:
– псевдонимизация на личните данни;
– криптиране на личните данни;
– гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
– водене на записи (log files) на дейностите по обработване на данни в системите за автоматизирано обработване;
– обучение на служители и др.
4.5. Предприемане на мерки за защита на данните на етапа на проектирането и по подразбиране:
– на етапа на проектирането: въвеждане както към момента на определянето на средствата за обработване, така и към момента на самото обработване, на подходящи технически и организационни мерки, които са разработени с оглед на ефективното прилагане на принципите за защита на данните, например свеждане на данните до минимум, и интегриране на необходимите гаранции в процеса на обработване. Изработване на регистри с параметри, които регламентират правилата за обработване на ЛД в организацията.
– по подразбиране: въвеждане на подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. По-специално, подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.
- Приемане на план за действие за въвеждане на определените технически и организационни мерки
5.1.Определяне на отговорник и екип.
5.2. Определяне на срокове и етапи за изпълнение.
5.3. Осигуряване на необходими финансови, технически и човешки ресурси.
- Преглед на правните основания за обработване на лични данни, включително въз основа на съгласие на лицата
6.1. Преглед на използваните до момента алтернативни правни основания за обработване на лични данни:
– съгласие;
– сключване или изпълнение на договор;
– законово задължение за администратора;
– защита на жизненоважни интереси на субекта на данните или на друго физическо лице;
– изпълнение на задача от обществен интерес или упражняването на официални правомощия, предоставени на администратора;
– легитимни интереси на администратора или на трета страна, когато същите имат преимущество над интересите или основните права и свободи на субекта на данните (неприложимо за публични органи).
6.2. Преценка дали е законосъобразно и целесъобразно обработването на лични данни – да е на основание единствено съгласието на лицето. В този случай администраторът следва да е в състояние да докаже, че съгласието е:
– свободно изразено – не дадено под натиск или заплаха от неблагоприятни последици (напр. по-висока цена на услуга);
– конкретно – отделно съгласие за всяка конкретно определена цел, а когато е относимо – и за конкретна категория лични данни;
– информирано – дадено на основата на пълна, точна и лесно разбираема информация;
– недвусмислено – не се извлича или предполага на основата на други изявления или действия на лицето;
– изрично изявление или ясно потвърждаващо действие – мълчанието на лицето вече не може да се приеме за съгласие.
6.3. Документиране на съгласието с цел доказване пред Комисията за защита на личните данни и съда (декларации, протоколи, съгласия и др.).
6.4. Осигуряване на практическа възможност на субекта на данните да оттегли по всяко време съгласието си толкова лесно, колкото го е дал. Администраторът предоставя на субекта изричен текст по тази точка в, който го информира предварително в какъв срок ще бъдат забравени неговите данни.
6.5. В случай на пряко предлагане на услуги на информационното общество на дете под 14 години – избор на процедура и/или технология за удостоверяване, че съгласието е дадено или разрешено от носещия родителска отговорност за детето.
Когато е налице правно основание за обработване на лични данни, различно от съгласието, напр. нормативно задължение или договор, администраторът не следва да дублира това основание и със съгласие на лицето.
Съгласието по тази точка се получава в договора с изричен текст.
- Информираност на субектите на данните и прозрачност на обработването
7.1. Предоставяне на обобщена, кратка и разбираема информация чрез интернет сайта на организацията или по друг достъпен за субектите на данни начин относно:
– идентифициране на организацията – наименование и начин за контакт; Във всички официални документи, изискващи работа с ЛД, организаьцията се идентифицира по следния начин: ЧПГ,,Булпрогрес“, e-mail: bulprogress@abv.bg, www.bulprogress.com
– какви категории лични данни се събират и за какви цели се обработват; Видовете категории ЛД са регламентирани в т.2.1. в настоящия документ, а целите – в точка 2.2. Правилата за водене и обработване са конкретизирани във Вътрешен регистър на дейностите по обработване на ЛД.
– категориите получатели на лични данни извън организацията, както и дали ще се предават (трансферират) данни в трети страни извън ЕС са описани в т.23 и т. 2.4.
– срока за съхранение на данните е съгласно заповед на директора на организацията и е законово съобразен с конкретната дейност и необходимо присъщите за наейното осъществяване документи (договори с ученици, родители и служители, профили за онлайн обучение и т.н.).
– съществуването на конкретни права на субектите на данните (право на достъп, коригиране или изтриване на лични данни, ограничаване на обработването, възражение срещу обработването, преносимост на данните) и реда за упражняването им;
– правото на субектите на данни да подадат жалба до КЗЛД или до съда;
7.2. Информиране по подходящ начин на учениците и служителите в дружеството/организацията в случай, че работодателят:
– извършва видеонаблюдение в залите за провеждане на изпити, входно-зходните точки на институцията с цел охрана и контрол на пропускателния в сградата режим;
– следи средствата за електронна комуникация на работното място, предоставени от организацията (интернет, телефон, мобилен телефон), с цел предотвратяване на злоупотреби.
- Практическо упражняване на права от субектите на данните
8.1. Познаване от страна на администратора и неговите служители на правата, които Регламент 2016/679 предоставя на лицата право на достъп до личните данни, свързани с лицето, които се обработват от организацията;
– право на коригиране или допълване на неточни или непълни лични данни;
– право на изтриване („право да бъдеш забравен“) на лични данни, които се обработват незаконосъобразно или с отпаднало правно основание (изтекъл срок на съхранение, оттеглено съгласие, изпълнена първоначална цел, за която са били събрани и др.);
– право на ограничаване на обработването – при наличие на правен спор между организацията и физическото лице до неговото решаване и/или за установяването, упражняването или защитата на правни претенции;
– право на преносимост на данните – ако се обработват по автоматизиран начин на основание съгласие или договор. За целта данните се предават вструктуриран, широко използван и пригоден за машинно четене формат.
– Ако е технически осъществимо, прехвърлянето на данните може да стане пряко от един администратор към друг. Правото на преносимост обхваща само данни, предоставени лично от субекта на данни, както и лични данни, генерирани и събрани от неговата дейност.
– право на възражение – по всяко време и на основания, свързани с конкретната ситуация на лицето, при условие, че не съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или съдебен процес;
– право да не бъде обект на изцяло автоматизирано решение, включващо профилиране, което поражда правни последствия за субекта на данните или го засяга в значителна степен.
8.2. Разписване на вътрешни процедури за приемане, разглеждане и отговаряне в едномесечен срок на искания от физически лица за упражняване на правата им като субекти на лични данни и създаване на организация за прилагането им на практика.
- Уведомяване за нарушение на сигурността на личните данни
9.1. Приемане на вътрешна процедура и/или план за действие в случай на нарушение на сигурността на личните данни.
9.2. Определяне на отговорен служител/екип за реакция при нарушение на сигурността на личните данни, инструктаж на персонала, др.
9.3. Създаване на вътрешна организация за своевременно уведомяване на КЗЛД в срок до 72 часа от узнаването за нарушението.
- Документиране и отчетност
В съответствие с принципа на отчетност организацията като администратор на ЛД е длъжен:
– да прилага на практика принципите за защита на личните данни, съгласно Регламент 2016/679;
и
– да удостовери и докаже, че обработването на лични данни съответства на тези принципи.
Дейностите по документиране и отчетност обхващат, като минимум, следните мерки и стъпки:
10.1. Създаване и редовно актуализиране на вътрешен регистър на дейностите по обработване на лични данни в организацията със следната информация:
– името и координатите за връзка на администратора;
– целите на обработването;
– описание на категориите субекти на данни и на категориите лични данни;
– категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;
– предвидените срокове за изтриване на различните категории данни;
– общо описание на техническите и организационни мерки за сигурност.
10.2. Приемане на вътрешна инструкция/правила/процедури/политика за защита на личните данни в съответнота организация.
10.3. Ако е приложимо – преглед и актуализиране на договореностите с обработващите лични данни с цел включване в тях на всички задължителни реквизити съгласно чл. 28 от Общия регламент относно защитата на данните.
10.4. Ако е приложимо – преглед и при нужда актуализиране на декларациите или другите форми за документиране на съгласието на субекта на данните, когато съгласието на субекта на данните е единственото правно основание за обработване с цел привеждането му в съответствие с изискванията на чл. 4, пар. 11 от Общия регламент относно защитата на данните.
10.5. Ако е приложимо – преглед и актуализиране на правното основание за предаване (трансфер) на данни към получатели в трети страни