GDPR политика

ИНСТРУКЦИЯ

За мерките за защита на личните данни, събирани, обработвани, съхранявани и предоставяни от АДВАНС ЕООД гр. ВРАЦА

Чл.1 (1)Настоящата Инструкция /Вътрешни правила/ се издава на основание Наредба № 1 от 30 януари 2013г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г., относно защитата на физическите лица, във връзка с обработването на лични данни и относно свободното движение на такива данни и Закона за защита на личните данни.

(2) Инструкцията урежда условията и реда за водене на регистрър по ЗЗЛД, както и организацията и реда за упражняване на контрол при обработването на лични данни в АДВАНС  ЕООД гр. Враца.

Чл.2 (1) Инструкцията се приема с цел да регламентира:

1/Създаването на процедури и механизми за гарантиране на неприкосновеността на личността и личния живот, чрез осигуряване на защита на физическите лица, при неправомерно обработване на свързаните с тях лични данни, в процеса на свободно движение на данните.

2/Видовете регистри, които се водят в АДВАНС ЕООД гр- Враца.

3/Оценката на въздействието и нивото на защита на всеки от водените регистри с лични данни.

4/Необходимите технически и организационни мерки за защита на личните данни от случайно или незаконно унищожаване, или от случайна загуба, неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване. Мерките имат за цел да гарантират поверителност, цялостност и наличност на личните данни.

5/Правата и задълженията на длъжностните лица, обработващи лични данни и лицата, които имат достъп до лични данни, както и тяхната отговорност при изпълнението на тези задължения.

6/Процедурите по докладване, управление и реагиране при инциденти.

7/Правила за предоставяне на лични данни на трети лица.

8/Срокове за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за заличаването им.

9/Срокове за съхранение на личните данни и реда за тяхното унищожаване след изтичането им.

(2) Инструкцията се утвърждава, допълва, изменя и отменя от Управителя на АДВАНС ЕООД гр- Враца  със заповед.

Чл. 3Администратор” –  означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.

Администратор на лични данни е АДВАНС ЕООД със седалище и адрес на управление: гр. Враца, общ. Враца, ул. „ Вестител” № 10, ап. 1.

Чл. 4 (1)Обработващ лични данни е всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора на лични данни.

Обработващите лични данни се задължават:

1/ да обработват личните данни законосъобразно и добросъвестно;

2/ да използват личните данни, до които имат достъп, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели;

3/ да актуализират регистрите на лични данни (при необходимост);

4/ да заличават или коригират лични данни, когато се установи, че са неточни или непропорционални, по отношение на целите, за които се обработват;

5/ да поддържат личните данни във вид, който позволява идентифициране на съответните физически лица за период, не по-дълъг от необходимия за целите, за които тези данни се обработват;

6/ да не допускат неоторизирани лица в помещенията, където тези данни се съхраняват.

(2) Отношенията между администратора и обработващия лични данни се уреждат с писмен акт на администратора, в който се определя обемът на правата и задълженията във връзка с обработването на лични данни.

(3) Администраторът може да определи едно или повече лица, които да отговарят за координиране и прилагане на мерките за защита.

(4) Достъпът до лични данни се осъществява само от лица, чиито служебни задължения или конкретно възложена задача налагат такъв достъп, при спазване на принципа „Необходимост да знае“ и след запознаване с нормативната уредба в областта на защитата на лични данни, политиката и ръководствата за защита на личните данни и опасностите за личните данни, обработвани от администратора, като за целта подписват декларация за неразгласяване на лични данни, на основание чл.7, ал.5 от Наредба № 1от 30 януари 2013г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, до които са получили достъп при и по повод изпълнение на задълженията си. /Приложение 1/

(5) Всички лица, които отговарят за спазването на ограниченията за достъп до личните данни, са персонално отговорни пред Управителя на АДВАНС ЕООД за нарушаване на принципите за поверителност, цялостност и наличност на личните данни, освен в случаите на форсмажорни обстоятелства.

(6)Всяко физическо лице, чиито лични данни ще се обработват от администратора, следва да бъде уведомено за:

  1. данните, които идентифицират администратора;
  2. целите на обработването на личните данни;
  3. категориите лични данни, отнасящи се до съответното физическо лице;
  4. получателите или категориите получатели, на които могат да бъдат разкрити данните;
  5. информация за правото на достъп и правото на коригиране на събраните данни.

Алинея (6) не се прилага, когато:

1.Обработването е за статистически, исторически или научни цели и предоставянето на данните по ал.(1) е невъзможно или изисква прекомерни усилия;

2.Вписването или разкриването на данни са изрично предвидени в закон;

3.Физическото лице, за което се отнасят данните, вече разполага с информацията по ал.(1);

  1. Е налице изрична забрана за това в закон.

(7) Всяко физическо лице, чиито лични данни ще се обработват от админстратора, подписва Декларация за информирано съгласие /Приложение 2/

Чл.5 В АДВАНС ЕООД, гр. Враца се обработват лични данни в следните регистри:

1.Регистър „Персонал“

2.Регистър „Клиенти“

3.Регистър „Доставчици“

Чл.6 Описание на поддържания регистър и основание за обработването на личните данни.

В Регистър „Персонал“ се обработват лични данни на лица, наети на трудови и/или граждански договори в дружеството, с оглед:

  1. Индивидуализиране на правоотношенията съгласно Кодекса на труда;
  2. Изпълнение на нормативните изисквания съгласно Кодекса на труда, Кодекса за социално осигуряване, ЗЗО, ЗОДФЛ, ЗКПО, ЗДДС, ЗЗД и др.нормативни актове;
  3. Използване на събраните данни за съответните лица за служебни цели:
  • За всички дейности, свързани със съществуване, изменение и прекратяване на трудовите и/или извънтрудови правоотношения;
  • За изготвяне на всякакви документи на лицата в тази връзка (договори, заповеди, допълнителни споразумения, документи, удостоверяващи трудовия стаж, служебни бележки, справки, удостоверения и др.подобни);
  • За установяване на връзка с лицето по телефон, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията му по трудови и/или граждански договори;
  • За водене на счетоводна отчетност съгласно счетоводните стандарти.

Чл. 7 Категории лични данни в Регистър „Персонал”.

В Регистъра се обработват следните категории лични данни:

  1. Физическа идентичност: имена и паспортни данни (ЕГН, номер на лична карта, дата и място на издаване, адрес, телефони за връзка, електронен подпис и др.);
  2. Социална идентичност: данни относно образование и допълнителни квалификации (Вида на образованието, място, номер и дата на издаване на дипломата), свидетелсво за управление на МПС, както и трудова дейност и професионална биография;
  3. Семейна идентичност: данни относно семейното положение на физическото лице (наличие на брак, развод, брой членове на семейството, в това число деца до 18 години, или до завършване на средно образование);
  4. Гражданско – правен статус (напр.свидетелство за съдимост);
  5. Лични данни, които се отнася до здравето: данните се съдържат в медицинското свидетелство за започване на работа, експертни лекарски решения, болнични листове и др.

Чл. 8 Технологично описание на Регистъра.

  1. Носители на данни

Данните в Регистъра се обработват на хартиен и технически носител.

Автоматизираната обработка на данните в АДВАНС ЕООД се осъществява от Счетоводната къща, с която имаме договор за обработка на лични данни, посредством специализиран програмен продукт.

  1. Технология на обработване

Данните в Регистъра се предоставят от физическите лица при назначаване в АЗВАНС ЕООД. Данните се въвеждат директно в трудови и/или граждански договори, заповеди, допълнителни споразумения, документи, удостоверяващи трудовия стаж, служебни бележки, справки, удостоверения, кореспонденция и др.

  1. Срок на съхранение

Данните в Регистъра се съхраняват за срок от 50 /петдесет/ години  /ведомости/ във връзка с нормативно установени срокове. Досиета 5 години, като след напускане на физическото лице, несъществени докумени като: служебни бележки, удостоверения, документи за отпуски могат да се унищожат до 3 месеца, след напускане. Лични данни на кандидатите за работа, събирани за конкурси се съхраняват 3 месеца, считано от месеца следващ месеца на конкурса.

  1. Предоставени услуги

Администраторът на лични данни няма право да предоставя достъп, справки, извлечения, издаване на документи и други услуги от съответния регистър с лични данни, без изрично съгласие на физическото лице, освен изискващи се по закон.

Чл.9 Длъжности, свързани с обработването и защитата на лични данни от Регистъра и описание на техните права и задължения

  1. Отговорен за управлението на Регистъра е администраторът.
  2. Данните в Регистъра се обработват от служител/и, в чиито длъжностни характеристики е вменено задължение за обработване на данните на наетите лица и при спазване на принципа „Необходимост да се знае“.
  3. Когато личните данни се оработват от външни лица /Подизпълнители, счетоводители, Счетоводни къщи и пр./ аминистраторът на лични данни, сключва договор, в който определя правата и задълженията им във връзка с правата и задълженията им по защита на личните данни.
  4. Право на достъп до Регистъра имат само управомощените лица.
  5. Длъжностните лица нямат право да разпространяват информация за личните данни, станали им известни при изпълнение на служебните им задължения.

Чл.10 Оценка на въздействието и определяне съответното ниво на защита на Регистъра.

(1)Оценка на нивото на въздействие на Регистър„Персонал“ в АДВАНС ЕООД.

 

Наименование на Регистъра

НИВО НА ВЪЗДЕЙСТВИЕ
Поверителност Цялостност Наличност Общо за регистъра
Регистър „Персонал“ средно средно средно

средно

 

За определяне на адекватното ниво на техническите и организационните мерки и допустимия вида защита, Администраторът извършва оценка на въздействието върху обработваните лични данни. При определяне нивото на въздействие върху конкретното физическо лице или група физически лица, се взема предвид характера на обработваните лични данни и броя на засегнатите физически лица. Оценката на въздействието се извършва периодично на всеки 2 (две) години или при промяна на характера на обработваните лични данни и броя на засегнатите физически лица

(2) При оценката на въздействието Администраторът отчита характера на обработваните лични данни, които се отнасят до физическата, социалната, семейната идентичност на групата физически лица – наети по трудови или извънтрудови правоотношения, чиито брой надхвърля 2.

(3)В зависимост от определеното средно ниво на въздействие, нивото на защита на Регистър „Персонал“ е високо.

Чл.11 Технически и организационни мерки за защита

  1. Физическа защита

Личните данни от Регистъра се обработват в кабинетите на упълномощените по чл. 9 лица. Всички документи на хартиен носител /кадрови досиета/, съдържащи лични данни, се съхраняват в папки и в шкаф със заключалка, с ограничен достъп само за  упълномощени лица.

Помещенията, в които се обработват личните данни от Регистъра са оборудвани със заключване на вратата и пожарогасителни средства.

Физически достъп се предоставя само на служителите, чиито служебни задължения  включват обработване на лични данни от Регистъра.

Външни лица имат достъп до помещенията, в които се обработват лични данни от Регистъра, само в присъствието на упълномощени служители.

Персонална защита

Лицата, обработващи лични данни се запознават със следните документи:

  • Наредба № 1 от 30.01.2013г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни (ДВ бр.14 от 12.02.2013г.)
  • Европейски регламент за защита на личните данни (EU2016/679 GDPR)
  • Закон за защита на личните данни
  • Настоящата Инструкция /Вътрешни правила/

Лицата, обработващи лични данни, задължително подписват декларация /Приложение 1- чл. 4 т.4/, с която поемат задължение за неразпространение на лични данни, станали им известни във връзка и по време на изпълнение на служебните задължения. Декларацията се съхранява в кадровото досие на всеки служител.

Споделяне на критична информация между служителите (като идентификатори, пароли за достъп и т.н.) е забранено от политиките за информационна сигурност.

  1. Документална защита

Регистър „Персонал“ се поддържа на хартиен носител – (кадрови досиета, чието съдържание съответства на нормативните уредби на Р България). Обработването се извършва само по време на редовното работно време на фирмата. Достъпа до Регистъра имат лицата, посочени в чл. 9 по-горе. Личните данни се събират само с конкретна цел, в съответствие с нормативните изисквания към Администратора.

Данните се класифицират в съответствие с тяхното предназначение и характер и се съхраняват в съответни папки в шкаф със заключалка в офиса на дружеството. Достъпът до Регистъра е ограничен само за упълномощени лица в съответствие с принципа „Необходимост да се знае“. Отговорни за достъпа до Регистъра са лицата имащи достъп до личните данни. Сроковете за съхранение на документи от Регистър „Персонал“, които са на хартиен носител, са определени в чл.8. т. 3 от настоящата Инструкция по-горе. Документите се съхраняват в административния офис на фирмата.

Личните данни могат да бъдат размножавани и разпространявани от упълномощените служители, само ако е необходимо за изпълнение на служебни задължения, или ако са изискани по надлежния ред от упълномощени лица и по Закон.

Документи от Регистъра, които са на хартиен носител и съдържат лични данни, се унищожават само чрез специално устройство (шредер). След изтичане на срока за съхранение, документите се унищижават чрез нарязване в шредера, за което се съставя протокол от назначена комисия, с  изрична  писмена заповед на управителителя.

  1. Защита на автоматизирани информационни системи и мрежи

При работа с данните от Регистъра се използва софтуерен продукт за обработване. Данните се въвеждат в база данни и се съхраняват на работния компютър, където се обработват личните данни. Упълномощеният служител има личен профил (потребителско име и парола). Упълномощеният служител сменя паролата си на шест месечен период, за което се съставя протокол.

Администраторът създава и поддържа стандартни и сигурни конфигурации за всяка компютърна и мрежова платформа, с която оперира, което включва стандартни и базови конфигурации за защита на операционната система и мрежови устройства. За защита на данните е инсталирана антивирусна програма, чиито лиценз се актуализира всяка година. Ежемесечно информацията се архивира и се съхранява на твърдия диск.

Администраторът е отговорен за управлението на Регистъра. Само лицата, посочени в чл. 9 имат достъп до него.

За всички компютърни конфигурации, сървъри и комуникационни средства, от които зависи правилното поддържане на база данни, са осигурени непрекъсваеми токозахранващи устройства (UPS).

В помещенията, в които са разположени компютърни и комуникационни средства, свързани с управление на Регистъра, е осигурено заключване.

Организационни мерки за гарантиране нивото на сигурност:

  • Работните компютърни конфигурации, както и цялата IT инфраструктура, се обработват на компютър без достъп до интернет.
  • Достъпът до интернети е осигурен на отделен компютър и се използва единствено за служебни цели.

Сроковете за съхранение на компютърните данни от Регистъра са описани в чл.8.т.3.

Всички тези мерки посочени по-горе,  са задължителни и за Счетоводната къща,  с която имаме договор за обработка на лични данни.

Чл.12 Действия за защита при аварии, произшествия и бедствия (пожар, наводнение и пр.)

При възникване и установяване на инцидент, веднага се докладва на лицето, отговорно за управление на Регистъра. За инцидентите се води дневник, в който задължително се вписват предполагаемото време или период на възникване, времето на установяване, времето на докладване и името на служителя, извършил доклада.

След анализ на инцидента, упълномощено лице вписва в дневника последствията от инцидента и мерките, които са предприети за отстраняването им. В случаите на необходимост от възстановяване на данни, процедурата се изпълнява след писменото разрешение на АДМИНИСТРАТОРА, като това се отразява в дневника по архивиране и възстановяване на данни.

Описание на поддържания регистър и основание за обработването на личните данни

  • В Регистър „Видеонаблюдение“ се обработват лични данни на лица, наети по трудови и/или граждански договори и участниците в обучинието в школата адрес гр. Враца, ул. „Лукашов”№????? , както и на посетители, доставчици и други клиенти.
  • Регистър „Видеонаблюдение“ е създаден с оглед постигане на следните цели:

1/ Спазване на трудовата дисциплина;

2/ Подобряване на производителността на труда;

3/ Предотвратяване на загуба на интелектуална и материална собственост;

4/ Спазване на законово задължение спрямо администратора /вкл.при поискване на записите от компетентни органи/.

Чл.14 Категории лични данни в Регистъра

Регистър „Видеонаблюдение“ съдържа съдържа следните лични данни: физическа идентичност на лицето – видеообраз.

Регистърът се попълва с данни от автоматично денонощно видеонаблюдение (видеообраз) за движението на служителите, посетителите, доставчиците и клиентите на територията на школата за езиково обучение АДВАНС в гр. Враца.

Автоматичното денонощно видеонаблюдение не накърнява личната сфера на работниците, служителите и външните лица, като изключва монтиране на устройства (камери) за видеонаблюдение в стаите за почивка, съблекалните, санитарните и обслужващи помещения.

Чл.15  Технологично описание на Регистъра.

  • Носители на данни

Данните в Регистъра се обработват на технически носител. Автоматизираната обработка на данните в АДВАНС ООД в гр. Враца  се осъществява посредством отделно записващо устройство DVR.

  • Технология на обработване

Данните в Регистъра се предоставят доброволно от лицата при навлизането им на територията на шкалата. На входа на школата, както и на видни места в залите са поставени предупредителни табели, че обектът се намира под постоянно видеонаблюдение.

  • Срок на съхранение

Данните в Регистъра се съхраняват за срок от 14 /четиринадесет/ дни. При необходимост записите могат да бъдат свалени на външен носител. Данните се унищожават автоматично от самото устройство след изтичане на посочения срок.

Чл.16 Длъжности, свързани с обработването и защитата на лични данни от Регистър „Видеонаблюдение“  и описание на техните права и задължения.

  • Отговорен за управлението на Регистъра е Администратора.
  • Данните в Регистъра се обработват от лицето, упълномощено отУправителя на дружеството, Диана Веселинова Таскова, на длъжност СЕКРЕТАР, в чието задължение е вменено грижата за обработване на данните от видеонаблюдението   при спазване на принципа „Необходимост да се знае“. Право на достъп до Регистъра имат само управомощените лица.
  • Длъжностните лица нямат право да разпространяват информация за личните данни, станали им известни при изпълнение на служебните им задължения.

Чл.17 Оценка на въздействието и определяне съответното ниво на защита на Регистъра.

  • Оценка на нивото на въздействие на Регистър „Видеонаблюдение“ в АДВАНС ЕООД – Враца.

 

Наименование на Регистъра

НИВО НА ВЪЗДЕЙСТВИЕ
Поверителност Цялостност Наличност

Общо за регистъра

Регистър „Видеонаблюдение“ ниско ниско ниско

ниско

 

За определяне на адекватното ниво на техническите и организационни мерки и допустимия вида защита, Администраторът извършва оценка на въздействието върху обработваните лични данни. При определяне нивото на въздействие върху конкретното физическо лице или група физически лица, се взема впредвид характера на обработваните лични данни и броя на засегнатите физически лица. Оценката на въздействието се извършва периодично на всеки 2 (две) години или при промяна на характера на обработваните лични данни и броя на засегнатите физически лица.

  • В зависимост от определеното ниско ниво на въздействие, нивото на защита на Регистър „Видеонаблюдение “ е високо.
  • При оценката на въздействието Администраторът отчита характера на обработваните лични данни.

Чл.18 Технически и организационни мерки за защита

  • Физическа защита

1/Физическата защита на личните данни от регистъра се осъществява от Администратора.

2/ Определени са помещенията, в които ще се обработват личните данни от регистъра, като физическият достъп до DVR устройството е ограничен само за обработващият личните данни. Помещението, в което се обработват видеозаписите е оборудвано със заключване на вратата и пожарогасителни средства.

3/Физически достъп се предоставя само на служителите, чиито служебни задължения включват обработване на лични данни от Регистъра, съгласно чл.16, ал.(2) от настоящата инструкция.

4/Външни лица имат достъп до помещенията, в които се обработват лични данни от Регистъра, само в присъствието Управителя на дружеството или на  Упълномощени служители.

5/Самото устройство е защитено с парола.

6/Физическите лица, обект на видеонаблюдение, имат право на достъп до отнасящите се до тях видеозаписи. В този случай Администраторът е длъжен да предостави на съответното физическо лице достъп до частта, отнасяща се до него, като предприеме съответни технически мерки за заличаване/маскиране/ на образите на други лица, обект на видеонаблюдението. При липса на такава физическа възможност, достъп до видеозаписите може да бъде предоставен само със съгласието на всички лица – обект на видеонаблюдението.

  • Персонална защита

Лицето, обработващо лични данни се запознава със следните документи:

  • Наредба № 1 от 30.01.2013г.за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни (ДВ бр.14 от 12.02.2013г.)
  • Европейски регламент за защита на личните данни (EU2016/679 GDPR)
  • Закон за защита на личните данни
  • Настоящата Инструкция

Лицето, обработващо лични данни, задължително подписва декларация, с която поема задължение за неразпространение на лични данни, станали му известни във връзка и по време на изпълнение на служебните задължения. Декларацията се съхранява в кадровото досие на всеки служител.

Споделяне на критична информация между служителите (като идентификатори, пароли за достъп и т.н.) е забранено от политиките за информационна сигурност.

  • Документална защита

Регистър „Видеонаблюдение“ се поддържа на електронен носител. Достъп до Регистъра имат лицата, посочени в чл. 16 по-горе. Личните данни се събират само с конкретна цел, в съответствие с нормативните изисквания към Администратора.

Данните се класифицират в съответствие с тяхното предназначение и характер и се съхраняват на самото DVR устройство в помещението. Достъпът до Регистъра е ограничен само за упълномощени лица в съответствие с принципа „Необходимост да се знае“.

Сроковете за съхранение са определени в чл.15, точка 3 от настоящата Инструкция на 14 ден записите се изтриват автоматично.

Личните данни (записите от видеонаблюдението) могат да бъдат размножавани и разпространявани от упълномощените служители, само ако е необходимо за изпълнение на служебни задължения, или ако са  изискани по надлежния ред от упълномощени лица.

  • Защита на автоматизирани информационни системи и мрежи

При работа с данните от Регистъра се използват DVR устройство –техническо устрйство, предназначено за записване, съхранение и възпроизвеждане на аудио и видео цифрови сигнали.

Упълномощеният служител има личен профил (потребителско име и парола)и е отговорен за управлението на Регистъра.

В помещенията, в които са  разположени устройствата е осигурено заключване.

Чл.19  Действия за защита при аварии, произшествия и бедствия (пожар, наводнение и пр.)

При възникване и установяване на инцидент, веднага се докладва на лицето, отговорно за управление на Регистъра. За инцидентите се води дневник, в който задължително се вписват предполагаемото време или период на възникване, времето на установяване, времето на докладване и името на служителя, извършил доклада. След анализ на инцидента, упълномощено лице вписва в дневника последствията от инцидента и мерките, които са предприети за отстраняването им.

Чл. 14 Описание на поддържания регистър.

Основание за обработване на данните:

В Регистър „Клиенти“ се обработват лични данни на физически лица, представляващи юридическите и физически лица, клиенти на фирмата, с оглед:

1/ Извършване на покупко-продажби на материали и услуги.

2/ Извършване на финансово-счетоводна отчетност.

3/ Изготвяне на документи по ЗЗД.

4/ За връзка и кореспонденция с клиентите

Чл.15  Категории данни в Регистър „Клиенти“ :

  1. Физическа идентичност: имена и паспортни данни (ЕГН, номер на лична карта, дата и място на издаване, адрес, телефони за връзка, email и др.);

Чл.16 Технологично описание на Регистъра

  1. Носители на данни:

Данните в регистъра се обработват на технически и хартиен носител. Автоматизираната обработка на данните се осъществява посредством специализирана счетоводна  програма от Счетоводната къща, с която имаме договор за обработка.

  1. Технология на обработване:

Данните в регистъра се предоставят от физическите лица при подаване на заявка към Администратора, или при сключване на договори за услуга. Данните се въвеждат директно в издадените фактури, съставени договори, приемо-предавателни протоколи за услуга и др.

Данните, на обучаващите се в школата се обработват и съхраняват САМО на хартиен носител от администратора и не се предоставят за обработка в Счетоводната къща.

  1. Срок на съхранение:

Данните в регистъра се съхраняват за срок от 10 /десет/ години във връзка с нормативно установени срокове.

  1. Предоставени услуги:

Администраторът на лични данни предоставя достъп, справки, извлечения, издаване на документи и други услуги от съответния регистър с лични данни, съгласно Закон.

 Чл. 17 Длъжности, свързани с обработването и защитата на лични данни от Регистър „Клиенти“ и описание на техните права и задължения:

  1. Отговорен за управление на Регистъра е Администраторът.
  2. Данните в Регистъра се обработват от заетите лица в Счетоводната къща, /без данни за обучаващите се/,съгласно отделен договор за обработка на лични данни, в чиито длъжностни характеристики /договори/ е вменено задължение за обработване на данни на клиенти и при спазване на принципа „Необходимост да се знае‘.
  3. Право на достъп до Регистъра имат само упълномощените лица.
  4. Длъжностните лица нямат право да разпространяват информация за личните данни, станали им известни при изпълнение на служебните задължения.

Чл.18 Оценка на въздействието и определяне съответното ниво на защита на Регистъра:

Оценката на въздействие на Регистър „Клиенти“ в АДВАНС ЕООД.

Наименование на Регистъра

НИВО НА ВЪЗДЕЙСТВИЕ

поверителност

цялостност наличност

Общо за регистъра

Регистър „Клиенти“ ниско ниско ниско

ниско

 

  • За определяне на адекватното ниво на техническите и организационните мерки и допустимия вид защита, Администраторът извършва оценка на въздействието върху обработваните данни. При определяне нивото на въздействие върху конкретното физическо лице или група физически лица, се взема предвид характера на обработваните лични данни и броя на засегнатите физически лица, клиенти на фирмата. Оценката на въздействието се извършва периодично на всеки 2 /две/ години или при промяна на характера на обработваните данни и броя на засегнатите лица.
  • При оценка на въздействието Админстраторът отчита характера на обработваните лични данни, които се отнасят до физическата идентичност на групата физически лица – клиенти на фирмата.

В зависимост от определеното ниско ниво на въздействие, нивото на защита на Регистър „Клиенти“ е високо.

Чл.19 Технически и организационни мерки за защита.

(1)Физическа защита

Личните данни от Регистъра се обработват в кабинетите на упълномощените по чл. 17 лица. Всички документи на хартиен носител /фактури, договори/, съдържащи лични данни, се съхраняват в шкаф с ключалка в офиса на фирмата и има ограничен достъп само за упълномощените лица.

Помещенията, в които се обработват лични данни от Регистъра са оборудвани със заключване на вратата и пожарогасителни средства.

Външни лица имат достъп до помещенията, в които се обработват лични данни от Регистъра, само в присъствието на упълномощени служители.

(2)Персонална защита

Лицата, обработващи лични данни се запознават със следните документи:

  • Наредба № 1 от 30.01.2013г.за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни (ДВ бр.14 от 12.02.2013г.)
  • Европейски регламент за защита на личните данни (EU2016/679 GDPR)
  • Закон за защита на личните данни
  • Настоящата Инструкция

Лицата, обработващи лични данни, задължително подписват декларация на основание чл.7, ал.5 от Наредба № 1 от 30 януари 2013г.за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, с която поемат задължение за неразпространение на лични данни, станали им известни във връзка и по време на изпълнение на служебните задължения. Декларацията се съхранява в кадровото досие на всеки служител.

Споделяне на критична информация между служителите (като идентификатори, пароли за достъп и т.н.) е забранено от политиките за информационна сигурност.

(3)Документална защита

Регистър „Клиенти“ се поддържа от Счетоводната къща, с която имаме договор за обработка – на технически носител (специализирана счетоводна програма/ и хартиен носител (фактури, чието съдържание съответства на нормативните уредби на Р България). Обработването се извършва само по време на редовното работно време на фирмата. Достъп до Регистъра имат лицата, посочени в чл. 17 по-горе.  Личните данни се събират само с конкретна цел, в съответствие с нормативните изисквания на Администратора и Законодателството в РБългария.

Данните се класифицират в съответствие с тяхното предназначение и характер и се съхраняват както следва:

  • На технически носител – в компютрите в Счетоводната къща, съгласно договор.
  • На хартиен носител – в папки в шкаф със заключалка в офиса на фирмата.

Сроковете за съхранение на документи от Регистър „Клиенти“, които са на хартиен носител, са определени в чл. 16 т.3 от настоящата Инструкция. Документите се съхраняват в  офиса на фирмата.

Личните данни могат да бъдат размножавани и разпространявани от упълномощените служители, само ако е необходимо за изпълнение на служебни задължения или ако са изискани по надлежен ред от упълномощени лица.

След изтичане на срока на съхранение на документите на хартиен носител, тези документи се унищожават чрез нарязване в шредера,  за което се съставя протокол от назначена комисия, с писмена заповед на Администратора.

(4)Защита при автоматизирани информационни системи и мрежи

При работа с данните от Регистъра се използва софтуерен продукт за обработване. Данните се въвеждат в компютъра с база данни и се съхраняват на работния компютър, където се обработват. Упълномощеният служител има личен профил (потребителско име и парола) , с който влиза в базата данни.

Администраторът / обработващият лични данни/, създава и поддържа стандартни и сигурни конфигурации за всяка компютърна и мрежова платформа, с която оперира, което включва стандартни и базови конфигурации за защита на операционната система и мрежови устройства. За защита на данните е инсталирана антивирусна програма, чиито лиценз се подновява всяка година. Самата база данни се архивира на 1 /една/ година на твърд диск.

За управлението на Регистъра е отговорен Администратора. Само лицата, посочени в чл. 17 по-горе, имат достъп до него.

За всички компютърни конфигурации, сървъри и комуникационни средства, от които зависи правилното поддържане на базата данни, са осигурени непрекъсваеми токозахранващи устройства (UPS).

В помещенията, в които са разположени компютърни и комуникационни средства, свързани с управление на Регистър „Клиенти“, е осигурено заключване.

Организационни мерки за гарантиране нивото на сигурност:

  • Работните компютърни конфигурации, както и цялата IT инфраструктура, за Регистрите нямат достъпът до Интернет. Интернет се използва единствено и само за служебни цели на отделна компютърна конфигурация.

Сроковете за съхранение на данни от Регистъра са описани в чл. 16 от настоящата Инструкция.

Регистрите с лични данни не се изнасят извън административния офис на АДВАНС ЕООД./Клиентите ни са обучаващите се/.

Чл.20 Действия за защита при аварии, произшествия и бедствия (пожар, наводнение, кражба и др.)

При възникване и установяване на инцидент, забелязалият веднага докладва на лицето, отговорно за управление на Регистър „Клиенти“. За инцидентите се води дневник, в който задължително се вписват предполагаемото време или период на възникване, време за установяване, време на докладване и името на служителя, извършил доклада.

След анализ на инцидента, упълномощеното лице вписва в дневника последствията от инцидента и мерките, които са предприето за отстраняването им. В случай на необходимост от възстановяване на данни, процедурата се изпълнява след писменото разрешение на Управителя, като това се отразява в дневника по архивиране и възстановяване на данни.

Чл.21 Описание на Регистър „Доставчици“

В Регистър „Доставчици“ се обработват лични данни на лицата, доставчици на АДВАНС ЕООД с оглед:

1/ Извършване на покупко-продажба на материали и услуги

2/ Извършване на финансово-счетоводна отчетност

3/ Изготвяне на документи, свързани с доставчиците

4/ За връзка и кореспонденция с доставчиците

Чл.28 Категориите лични данни в Регистъра и основание за обработването им.

В Регистъра се обработват следните категории лични данни:

1/ Физическа идентичност – трите имена, ЕГН, адрес, телефони за връзка, e-mail, – данните са необходими за сключване на договори за услуги и за съставяне на финансово-отчетни документи.

Чл.22 Технологично описание на Регистъра

  1. Носители на данни:

Данните в Регистъра се обработват на хартиен и технически носител.

  1. Технология на обработване:

Данните в Регистъра се предоставят от доставчиците, при сключване на договори и/или издаване на фактури за доставка на материали и услуги  на АДВАНС  ЕООД. Данните се въвеждат директно в договори, кореспонденция, фактури, стокови и др.

  1. Срок на съхранение:

Данните в Регистъра се съхраняват за срок от 10 /десет/ години, съгласно Закон.

  1. Предоставени услуги:

Администраторът на лични данни предоставя достъп, справки, извлечения от съответния регистър с лични данни, съгласно Законите.

Чл. 23 Длъжности, свързани с обработването и защита на личните данни от Регистър и описание на техните права и задължения.

  1. Отговорен за управление на Регистър „Доставчици“ е Администраторът.
  2. Данните в Регистъра се обработват от лице, в чиято длъжностна характеристика е вменено задължение за обработване на данните на лицата, представители на доставчиците и при спазване на принципа „Необходимост да се знае“.
  3. Право на достъп до Регистъра имат само упълномощените лица.
  4. Длъжностните лица нямат право да разпространяват информация за личните данни, станали им известни при изпълнение на служебните им задължения.

Чл. 24 Оценка на въздействието и определяне съответното ниво на защита на Регистъра.

  • Оценката на въздействие на Регистър „Доставчици“ в АДВАНС ЕООД:

Наименование на Регистъра

НИВО НА ВЪЗДЕЙСТВИЕ

поверителност

цялостност наличност

Общо за регистъра

Регистър „Доставчици“ ниско ниско ниско

ниско

 

За определяне на адекватното ниво на техническите и организационните мерки и допустимия вид защита, Администраторът извършва оценка на въздействието върху обработваните данни. При определяне нивото на въздействие се взема предвид характера на обработваните лични данни и броя на засегнатите физически лица. Оценката на въздействието се извършва периодично на всеки 2 /две/ години или при промяна на характера на обработваните данни и броя на засегнатите лица.

  • При оценка на въздействието Админстраторът отчита характера на обработваните лични данни, които се отнасят до физическата идентичност на групата физически лица – представители на доставчиците на фирмата.
  • В зависимост от определеното ниско ниво на въздействие, нивото на защита на Регистър „Доставчици“ е високо.

Чл.25 Технически и организационни мерки за защита.

  1. Физическа защита

Личните данни от Регистърът се обработват в кабинетите на упълномощените по чл. 23 лица. Всички документи на хартиен носител / фактури, договори/, съдържащи лични данни, се съхраняват в папки в шкаф със заключалка в офиса на Администратора, където има  ограничен достъп само за упълномощените лица.

Помещенията, в които се обработват лични данни от Регистъра са оборудвани със заключване на вратата и пожарогасителни средства.

Външни лица имат достъп до помещенията, в които се обработват лични данни от Регистъра, само в присъствието на упълномощени служители.

  1. Персонална защита

Лицата, обработващи лични данни се запознават със следните документи:

  • Наредба № 1 от 30.01.2013г.за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни (ДВ бр.14 от 12.02.2013г.)
  • Европейски регламент за защита на личните данни (EU2016/679 GDPR)
  • Закон за защита на личните данни
  • Настоящата Инструкция

Лицата, обработващи лични данни, задължително подписват декларация на основание чл.7, ал.5 от Наредба № 1 от 30 януари 2013г. за минималното ниво на технически и организационни мерки и допустимия вида защита на личните данни, с която поемат задължение за неразпространение на лични данни, станали им известни във връзка и по време на изпълнение на служебните задължения. Декларацията се съхранява в кадровото досие на всеки служител.

Споделяне на критична информация между служителите (като идентификатори, пароли за достъп и т.н.) е забранено от политиките за информационна сигурност.

  1. Документална защита

Регистър „Доставчици“ се поддържа на хартиен и технически носител. Обработването се извършва само по време на редовното работно време на фирмата.

Достъп до Регистъра имат лицата, посочени в чл. 23 по-горе.  Личните данни се събират само с конкретна цел, в съответствие с нормативните изисквания на Админстратора. Данните се класифицират в съответствие с тяхното предназначение и характер и се съхраняват в шкаф със  заключалка в офиса на Администратора.

Отговорен за достъпа до Регистъра е Администраторът.

Сроковете за съхранение на документи от Регистър „Доставчици“, които са на хартиен носител, са определени в чл.  22  т. 3 от настоящата Инструкция.

Личните данни могат да бъдат размножавани и разпространявани от упълномощените служители, само ако е необходимо за изпълнение на служебни задължения или ако са изискани по надлежен ред от упълномощени лица.

След изтичане на срока на съхранение на документите на хартиен носител, тези документи се унищожават чрез нарязване в шредера, за което се съставя протокол от назначена комисиа с писмена заповед на Администраторът.

  1. Защита при автоматизирани информационни системи и мрежи

При работа с данните от Регистър „Доставчици“ се използва специализиран софтуерен продукт за счетоводно обработване /в Счетоводната къща/. Данните се въвеждат в компютъра с база данни и се съхраняват на работния компютър, където се обработват. Упълномощеният служител има личен профил (потребителско име и парола) , с който влиза в базата данни.

Администраторът Обработващият лични данни/, създава и поддържа стандартни и сигурни конфигурации за всяка компютърна и мрежова платформа, с която оперира, което включва стандартни и базови конфигурации за защита на операционната система и мрежови устройства. За защита на данните е инсталирана антивирусна програма, чиито лиценз се подновява всяка година.  Самата база данни се архивира на 1 /една/ година на твърд диск.

За управлението на Регистъра е отговорен Администратора. Само лицата, посочени в чл. 25 по-горе, имат достъп до него.

За всички компютърни конфигурации, сървъри и комуникационни средства, от които зависи правилното поддържане на базата данни, са осигурени непрекъсваеми токозахранващи устройства (UPS).

В помещенията, в които са разположени компютърни и комуникационни средства, свързани с управление на Регистър „Доставчици“, е осигурено заключване.

Организационни мерки за гарантиране нивото на сигурност:

  • Работните компютърни конфигурации, както и цялата IT инфраструктура, няма достъпът до Интернет. Интернет се използват единствено и само за служебни цели, на отделна компютърна конфигурация.

Сроковете за съхранение на данни от Регистъра са описани в чл. 22 т.3 от настоящата Инструкция.

Чл.26 Действия за защита при аварии, произшествия и бедствия (пожар, наводнение, кражба и др.)

При възникване и установяване на инцидент, забелязалият веднага докладва на лицето, отговорно за управлението на Регистър „Доставчици“. За инцидентите се води дневник, в който задължително се вписват предполагаемото време или период на възникване, време за установяване, време на докладване и името на служителя, извършил доклада. След анализ на инцидента, упълномощеното лице вписва в дневника последствията от инцидента и мерките, които са предприето за отстраняването им. В случай на необходимост от възстановяване на данни, процедурата се изпълнява след писменото разрешение на лицето по защита на личните данни, като това се отразява в дневника по архивиране и възстановяване на данни.

  1. Предоставяне на лични данни на трети лица

Чл.27  Регистрите с лични данни не се изнасят извън административния офис на АДВАНС ЕООД, освен в Счетоводна къща /или лице/, с която има договор за обработващ лични данни.

Чл.28. Данни от Регистрите могат да бъдат предоставяни на държавни институции с оглед изпълнение на нормативно задължение (НОИ, НАП, ИТ и т.н.).

Чл.29 Правомерен е достъпът на ревизиращи  държавни органи, надлежно легитимирали се със съответните документи – писмени разпореждания на съответния орган, в който се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп до лични данни.

В качеството си на работодател, Администраторът предоставя лични данни на:

1/ държавни институции (НАП, НОИ, Дирекция социално подпомагане, Инспекция по труда, Бюро по труда, Трудова медицина и др.), във връзка с отчитане на осигуровки и възнаграждения – служебни бележки и/или удостоверения и др.

2/ определени кредитни институции (банки) по молба от работещите в АДВАНС ЕООД във връзка с отпускането на кредити на служителите. Личните данни, които се предоставят са трите имена, единен граждански номер, адрес, телефон, номер на лична карта и размера на трудовото възнаграждение за определен период от време. Те се предоставят с цел идентификация на лицето, в чиято полза ще се извърши плащането /кредитирането/.Това се налага, с оглед изискванията на кредитните институции във връзка с извършваните от тях банкови операции.

3/ определени кредитни институции (банки), във връзка с отпускане кредит на фирмата. Предоставят се следните лични данни на управителя – трите имена, единен граждански номер, месторабота, длъжност, копие на лична карта, адрес, финансовои имуществено състояние, семейно състояние.

Предоставят се следните данни на доставчици – трите имена и тел. на лице за контакт с доставчика.

4/ определени финансови институции (банки) във връзка с упълномощаване на служители за работа с тях и с електронното банкиране. Личните данни, които се предоставят са трите имена, единен граждански номер, месторабота, длъжност, лична карта, електронен подпис (при необходимост).

5/ дружества, издаващи електронни подписи, във връзка с упълномощаване на служители да извършват определени операции от името на работодателя. Личните данни, които се предоставят са трите имена, единен граждански номер, адрес, телефон за контакт, данни по лична карта и месторабота.

6/ застрахователни компании, с цел извършване на застраховка „Трудова злополука“ на работещите в производството. Личните данни, които се предоставят са трите имена, единен граждански номер, длъжност и брутно възнаграждение по трудов договор.

7/ обучителни организации – при специализирани обучения на персонала за повишаване на квалификацията. Личните данни, които се предоставят са трите имена, единен граждански номер, адрес, телефон.

8/ нотариуси – при изготвяне на пълномощни. Личните данни, които се предоставят са трите имена, единен граждански номер, месторабота, длъжност, данни на лична карта.

9/ служба по трудова медицина – във връзка с изготвяне на експертни решения преди сключване на трудов договор с нови лица или във връзка със здравословното състояние на работниците. Личните данни, които се предоставят са трите имена, единен граждански номер, длъжност, медицински документи (ако има такива).

10/ ваучери за храна – на фирмите, които предоставят ваучери се дават трите имена на служителите.

11/ други – след писмено съгласие на работника/служителя при необходимост за определени цели.

12/ транспортни / куриерски фирми – с оглед изпълнение на договорните ни отношения с клиенти и доставчици – доставяне на договори, фактури, приемо-предавателни протоколи на хартиен носител и/или закупени материали.

  1. Допълнителни и заключителни разпоредби

ал. 1. По смисъла на тази инструкция:

Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.

Администратор на лични данни е АДВАНС ЕООД гр. Враца, представлявана от Управителя си, която самостоятелно или чрез възлагане на друго лице обработва лични данни.

Обработване на лични данни е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства като събиране, записване, организиране, съхранение, адаптиране или

изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространение, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.

Обработващи лични данни са длъжностни лица от АДВАНС ЕООД, определени със заповед на Управителя и/или длъжностните характеристики, които включват дейности, които изискват обработване на лични данни, или Счетоводна къща.

Регистър на лични данние е всяка структурирана съвкупност от лични данни,   по определени критерии, централизирана, децентрализирана или разпределена на функционален принцип.

Трето лицее физическо или юридическо лице, орган на държавната власт или местно самоуправление, различен от физическото лице, за което се отнасят данните от администратора на лични данни, от обработващия лични данни и от лицата, които под прякото ръководство на администратора или обработващия имат право да обработват лични данни.

Поверителност е изискване за неразкриване на личните данни на неоторизирани лица в процеса на тяхната обработка.

Цялостност е изискване данните да не могат да бъдат променяни /подменяни/ по неоторизиран начин в процеса на тяхната обработка и изискване да не се дава възможност за изменение и за неразрешени манипулации на функциите по обработване на данните.

Наличност е  изискване за осигуряване непрекъсната възможност за обработване на личните данни на оторизираните лица и за изпълнение на функциите на системата за обработване или бързото им възстановяване.

ал.2. Инструкцията /Правилата/влиза в сила от 25.05.2018 е утвърдена със Заповед № 1/21.05.2018г. на Управителя на АДВАНС ЕООД.

ал.3. Обработващите лични данни са утвърдени със Заповед № 1/21.05.2018г. на Управителя на АДВАНС ЕООД.

ал.4. За допуснати нарушения по настоящата Инструкция, виновните длъжностни лица носят дисциплинарана отговорност, освен ако деянието им не представлява престъпление.

ал.5. За неуредените в тази Инструкция въпроси се прилагат разпоредбите на действащата нормативна уредба.

ал.6. Инструкцията се допълва, изменя или отменя със заповед на Управителя.

ал.7. Копия от Инструкцията са на разположение на служителите, имащи достъп до личните данни на Управителя и служителите на АДВАНС ЕООД.

АДВАНС ЕООД гр. Враца, е администратор на личните   данни, които се обработват при/или по повод осъществяване на възложените му от закона правомощия, като седалището и адресът на управление са: гр. Враца, ул. „Вестител” № 10, ап.1, на който може да изпращате по пощата искания до фирмата като администратор на лични данни, тел. 0888862286.

Исканията си може да отправяте и на електронен адрес: advance school@abv.bg   
като  в съобщението си следва да посочите необходимите данни за Вашата индивидуализация и контакт за обратна връзка,

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.