Правила за защита на личните данни

ВЪТРЕШНИ ПРАВИЛА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ В „Ю-ТИЙМ“ ЕООД

(Доп. 23.05.2018 г.)

Глава първа ОБЩИ ПОЛОЖЕНИЯ

Чл. 1. Настоящите вътрешни правила за защита на личните данни, наричани за краткост „Правилата“, уреждат организацията на обработване на лични данни и тяхната защита на служителите на “Ю-ТИЙМ“ ЕООД.

Чл. 2. (1) Обработването на лични данни е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхранение, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване или предаване, разпространяване, актуализиране или комбиниране, блокиране, заличаване или унищожаване на данните.
(2) Обработването на лични данни се състои и в осигуряване на достъп до определена информация само за лица, чиито служебни задължения или конкретно възложени задачи налагат такъв достъп.

Чл. 3. „Ю-ТИЙМ“ ЕООД е администратор на лични данни по смисъла на чл. 3, ал. 1 от Закона за защита на личните данни и е регистриран за водене на два регистъра:
1. Регистър „Служители“;
2. Регистър „Контрагенти“.
(2) Принципите за защита на лични данни са:
– Принцип на ограниченото събиране;
– събирането на лични данни трябва да бъде в рамките на необходимото. Информацията се събира по законен и обективен начин;
– Принцип на ограниченото използване, разкриване и съхранение – личните данни не трябва да се използват за цели, различни от тези, за които са били събирани, освен със съгласието на лицето или в случаите, изрично предвидени в закона. Личните данни трябва да се съхраняват само толкова време, колкото е необходимо за изпълнението на тези цели;
– Принцип на прецизност – личните данни трябва да са прецизни, точни, пълни и актуални, доколкото това е необходимо за целите, за които се използват;
– Принцип на сигурността и опазването – личните данни трябва да са защитени с мерки за сигурност, съответстващи на чувствителността на информацията.

Чл. 4. Личните данни се събират за конкретни, точно определени от закона цели, обработват се законосъобразно и добросъвестно и не могат да се обработват допълнително по начин, несъвместим с тези цели.

Чл. 5. При обработване на личните данни от “Ю-ТИЙМ“ ЕООД служителите подписват декларация за съгласие – Приложение № 1.

Глава втора РЕГИСТЪР „ЛИЧНИ ДОСИЕТА“

Чл. 6. В регистър „Служители“ се събират и съхраняват личните данни на служителите в „Ю-ТИЙМ“ ЕООД, заети по трудови или граждански правоотношения по време на дейността им по изпълнение на тези договори, с оглед:
1. Индивидуализиране на трудовите и граждански правоотношения.
2. Изпълнение на нормативните изисквания на Кодекса на труда, Кодекса за социално осигуряване, Закона за счетоводството, Закона за държавния архив и др.
3. Използване на събраните данни за съответните лица за служебни цели.
4. За всички дейности, свързани със съществуване, изменение и прекратяване на трудовите и граждански правоотношения – за изготвяне на всякакви документи на лицата в тази връзка (договори, допълнителни споразумения, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения и др. подобни).
5. За установяване на връзка с лицето по телефон, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията му по трудови или граждански договори.
6. За водене на счетоводна отчетност, относно възнагражденията на посочените по-горе лица по трудови и граждански договори.

Чл. 7. Регистърът се води на хартиен и на електронен носител.

Чл. 8. (1) Хартиените носители на лични данни се съхраняват в папки (кадрови дела) за всеки служител, работник или наето по граждански договор лице. Кадровите дела се подреждат в специален картотечен шкаф.
(2) Картотечният шкаф се помещава в помещение, предназначено за самостоятелна работа на служителите, на които с тази правила е възложено да бъдат обработващи на лични данни.
(3) Достъп до кадровите досиета имат само обработващите на лични данни. Възможността за предоставяне на друго лице на достъп до личните данни при обработката им е ограничена и изрично регламентирана в тази инструкция.

Чл. 9. (1) При водене на регистъра на технически носител личните данни се въвеждат на твърд диск.
(2) Компютърът е свързан в локална мрежа, но със защитен достъп до личните данни, който е непосредствен само от страна на обработващите на лични данни. При работа с данните се използват софтуерни продукти по обработка на данните, относно възнагражденията на персонала, в това число основни и допълнителни възнаграждения, данъчни и други (вноски по заеми, запори и пр.) задължения, трудов стаж, присъствени и неприсъствени дни и други подобни. Софтуерните продукти са адаптирани към специфичните нужди на администратора на лични данни.
(3) Компютрите се помещават в изолирано помещение за самостоятелна работа на обработващите на лични данни по регистъра в отдел „Човешки ресурси“.
(4) Достъп до операционната система, съдържаща файлове за обработка на лични данни, имат само обработващите на лични данни чрез парола за отваряне на тези файлове. Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поддържане на антивирусни програми, периодично архивиране на данните на отделни дискети, както и чрез поддържане на информацията на хартиен носител.

Чл. 10. В регистъра се поддържат следните видове данни:
1. Физическа идентичност – имена, ЕГН, номер на лична карта, дата и място на издаване, месторождение, адрес, телефони за връзка.
2. Семейна идентичност – семейно положение, брой членове на семейството, в това число деца до 18 години.
3. Образование – документ за придобито образование, квалификация правоспособност, когато такива се изискват за длъжността, за която лицето кандидатства, и др.
4. Трудова дейност – съгласно приложените документи за трудов стаж и професионална биография.
5. Медицински данни – карта за предварителен медицински преглед за постъпване на работа, документ за трудоустрояване.
6. Свидетелство за съдимост, когато се изисква за заемане на длъжността.
7. Личен формуляр по образец.

Чл. 11. Личните данни в регистър „Персонал“ се набират при постъпване/възлагане на работа по трудово или гражданско правоотношение на дадено лице в изпълнение на нормативно задължение – разпоредбите на Кодекса на труда и подзаконовите нормативни актове за прилагането му, Кодекса за социално осигуряване и други, по един от следните начини:
1. Устно интервю с лицето (при постъпване или в процеса на работа).
2. На хартиен носител – писмени документи – молби, заявления за постъпване/извършване на работа по трудово или гражданско правоотношение, за изменение или прекратяване на тези отношения, по текущи въпроси в процеса на работа, подадени от лицето.
3. От външни източници (от съдебни, финансови, осигурителни, данъчни и други институции в изпълнение на нормативни изисквания).

Чл. 12. Във всички случаи, когато е необходимо на основание нормативно задължение, лицата, чиито данни задължително подлежат на обработка в регистъра, подават необходимите лични данни на администратора и на длъжностното лице, назначено за обработването им – обработващ на лични данни. За необходимостта от набиране на лични данни и целите, за които ще бъдат използвани, длъжностното лице/обработващ на личните данни информира лицето.

Чл. 13. Освен посочените лица и при посочените случаи, ограничен достъп до лични данни имат касиерите и счетоводителите при обработване лични данни на лицата, относно изготвяне на разплащателни документи, свързани с преводи на възнагражденията на лицата, наети по трудови и граждански правоотношения, по касов и банков път.

Чл. 14. При необходимост от поправка на личните данни, лицата предоставят такива на длъжностното лице/обработващ на лични данни по негово искане на основание нормативно задължение.

Чл. 15. Освен на длъжностните лица, обработващи лични данни, правомерен е достъпът и на длъжностните лица, пряко ангажирани с оформяне и проверка законосъобразността на документите на лицата, осъществяващи технически счетоводни операции по обработка на документите, свързани с възнагражденията на персонала – счетоводител, касиер. Обработващите на лични данни са длъжни да им осигурят достъп при поискване от тяхна страна.

Чл. 16. Кадровото дело на лицето не се изнася извън сградата на администратора. Никое длъжностно или трето лице няма право на достъп до кадровите досиета на персонала, освен ако същото е изисквано по надлежен път от органи на съдебната власт (съд, прокуратура, следствени органи). Достъпът на тези органи до личните данни на лицата е правомерен.

Чл. 17. (1) Не се изисква съгласие на лицето, ако обработването на неговите лични данни се извършва само от или под контрола на компетентен държавен орган за лични данни, свързани с извършване на престъпления, на административни нарушения и на непозволени увреждания. На такива лица се осигурява достъп до личните данни, като при необходимост им се осигуряват съответни условия за работа в помещение на „Ю-ТИЙМ“.
(2) Правомерен е и достъпът на ревизиращите държавни органи, надлежно легитимирали се със съответни документи – писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп до кадровите досиета на персонала.

Чл. 18. Решението си за предоставяне или отказване достъп до лични данни за съответното лице администраторът съобщава на третите лица в 30-дневен срок от подаване на молбата, респ. искането.

Чл. 19. При внедряване на нов програмен продукт за обработване на лични данни следва да се съставя нарочна комисия по тестване и проверка възможностите на продукта с оглед спазване изискванията на Закона за защита на личните данни и осигуряване максималната им защита от неправомерен достъп, загубване, повреждане или унищожаване.

Чл. 20. За неизпълнение на задълженията, вменени на съответните длъжностни лица по този правилник и по Закона за защита на личните данни, се налагат дисциплинарни наказания по Кодекса на труда, а когато неизпълнението на съответното задължение е констатирано и установено от надлежен орган – предвиденото в Закона за защита на личните данни административно наказание – глоба. Ако в резултат действията на съответното длъжностно лице по обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако стореното представлява по-тежко деяние, за което се предвижда наказателна отговорност.

Чл. 21. Архивиране на личните данни на технически носител се извършва периодично на всеки 30 (дни) от обработващия на лични данни с оглед запазване на информацията за съответните лица в актуален вид. Същото се извършва на дискети, достъп до които има само обработващият на лични данни.

Глава четвърта ПРЕДОСТАВЯНЕ НА ЛИЧНИТЕ ДАННИ

Чл. 22. (1) Администраторът предоставя лични данни в изпълнение на нормативно установени задължения.
(2) Лични данни се предоставят служебно след обосновано искане и разрешение от главния секретар за същото.

Чл. 23. Лицата имат право на достъп до личните си данни, за което подават писмено заявление лично или чрез упълномощено лице. Подаването на заявлението е безплатно.

Чл. 24. Заявлението съдържа име на лицето и други данни, които го идентифицират – ЕГН, длъжност, месторабота, описание на искането, предпочитана форма за предоставяне достъпа до лични данни, подпис, дата и адрес на кореспонденцията; пълномощно – когато заявлението се подава от упълномощено лице. Заявлението се завежда в общия входящ регистър на администратора.

Чл. 25. Достъп до данните на лицето се осигурява под формата на:
1. устна справка;
2. писмена справка;
3. преглед на данните от самото лице или упълномощено от него такова;
4. предоставяне на копие от исканата информация.

Чл. 26. При подаване искане за осигуряване на достъп, представляващият администратора разглежда заявлението за достъп или разпорежда на обработващия на лични данни да осигури искания от лицето достъп в предпочитаната от заявителя форма. Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на подаване на искането, съответно 30-дневен, когато е необходимо повече време за събиране личните данни на лицето, с оглед възможни затруднения в дейността на администратора. Решението се съобщава писмено на заявителя, лично срещу подпис или по пощата с обратна разписка. Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение. Отказът за предоставяне достъп може се обжалва от лицето пред посочения в писмото орган и срок.

Чл. 27. Достъп до личните данни на лицата, съдържащи се на технически носител, имат само обработващите на лични данни

Чл. 28. Освен на длъжностните лица обработващи лични данни, правомерен е достъпът и на длъжностните лица, пряко ангажирани с оформяне и проверка законосъобразността на документите на лицата, осъществяващи технически счетоводни операции по обработка на документите, свързани с възнагражденията на персонала – счетоводител, касиер. Обработващите на лични данни са длъжни да им осигурят достъп при поискване от тяхна страна.

Чл. 29. Делото на лицето не се изнася извън сградата на администратора. Никое длъжностно или трето лице няма право на достъп до кадровите досиета на персонала на “Ю-ТИЙМ“ ЕООД, освен ако същото е изисквано по надлежен път от органи на съдебната власт (съд, прокуратура, следствени органи, МВР, НОИ, МОН). Достъпът на тези органи до личните данни на лицата е правомерен.

Чл. 30. (1) Не се изисква съгласие на лицето, ако обработването на неговите лични данни се извършва само от или под контрола на компетентен държавен орган за лични данни, свързани с извършване на престъпления, на административни нарушения и на непозволени увреждания. На такива лица се осигурява достъп до личните данни.
(2) Правомерен е и достъпът на ревизиращите държавни органи, надлежно легитимирали се със съответни документи – писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп до кадровите досиета на персонала.

Чл. 31. Решението си за предоставяне или отказване достъп до лични данни за съответното лице администраторът съобщава на третите лица в 30-дневен срок от подаване на молбата, респ. искането.

Чл. 32. При внедряване на нов програмен продукт за обработване на лични данни следва да се съставя нарочна комисия по тестване и проверка възможностите на продукта с оглед спазване изискванията на Закона за защита на личните данни и осигуряване максималната им защита от неправомерен достъп, загубване, повреждане или унищожаване.

Чл. 33. За неизпълнение на задълженията, вменени на съответните длъжностни лица по този правилник и по Закона за защита на личните данни, се налагат дисциплинарни наказания по Кодекса на труда, а когато неизпълнението на съответното задължение е констатирано и установено от надлежен орган – предвиденото в Закона за защита на личните данни административно наказание – глоба. Ако в резултат действията на съответното длъжностно лице по обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако стореното представлява по-тежко деяние, за което се предвижда наказателна отговорност.

Чл. 34. (1) Дружеството, като взе предвид, че ще бъдат разменяни данни, които имат качеството „лични данни“ по смисъла на Закона за защита на личните данни („ЗЗЛД“), следва да уреди отношенията, задълженията и отговорностите, възникващи във връзка с обработката на лични данни, с цел надлежна защита на правата и интересите на субектите на данни.
(2) Процесите по обработка на лични данни се определят, контролират и прекратяват от Администратора „Ю-тийм“ ЕООД съгласно Политика за защита на личните данни, като Обработващите са длъжни да спазват неговите указания и инструкции.
(3) Администраторът ще предава на Обработващите лични данни;
(4) При обработката на получени от Администратора лични данни, Обработващите се задължават да предприемат специални мерки за защита:
(5) Обработващите, както и всеки обработващ по отделно се задължава/т:
– Да обработва личните данни само по документирано нареждане на Администратора.
– Да информира Администратора за всеки случай, в който по негова преценка се изисква или се налага предаване на лични данни, получени от Администратора, на трето лице, или прехвърляне в трета държава по смисъла на ЗЗЛД, с надлежно излагане на мотивите за това. Прехвърляне не е допустимо без предварителното одобрение на Администратора.
– Да осигури и гарантира, че всички лица – негови служители или сътрудници, които са или ще бъдат натоварени или оправомощени да обработват получени от Администратора лични данни, ще бъдат безусловно обвързани от задължение за спазване на поверителност на получените лични данни по време на целия срок на договора и в неограничен срок след изтичането му; за целта, Обработващият ще осигури тези лица да подпишат декларация за спазване на поверителност, като Администратора ще има право да поиска и получи копия от тези декларации.
– Да поддържа регистър на дейностите по обработване, които осъществява, както и надлежна документация относно процесите и дейностите по обработване на лични данни.
– Да осигурява и поддържа през целия срок на договора подходящи технически и организационни мерки, осигуряващи надлежната защита на получените от администратора лични данни, като се вземе предвид тяхното естество и конкретните видове операции по обработка.
– При поискване на Aдминистратора, да му осигурява достъп до своите офиси и други помещения, в които се осъществява обработката на лични данни, както и използваното за това оборудване, и да съдейства за извършването на проверки от оправомощени представители на Администратора с цел установяване на осигуреното ниво на защита и доказване на изпълнението на задълженията му по опазване предоставените от Администратора лични данни.
– Да осигури достъп на представители на държавни органи, одитори или други лица, осъществяващи контрол върху дейността на Администратора, в случай, че подобна проверка бъде поисканa от тях в рамките на нормативно-установените им правомощия с цел установяване спазването на законовите изисквания от страна на Администратора.
– Да уведоми незабавно Администратора при констатиране на риск от нарушаване на сигурността на личните данни, или за настъпило вече подобно нарушаване (като например, без изброяването да е изчерпателно – случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни или др.).
– Да документира всички обстоятелства, свързани с оценка за повишен риск или нарушение, последиците от него и предприетите действия за смекчаване на негативните последици от него.
(6) В случай на нарушаване на изискванията и задълженията, установени за защита на личните данни, Администраторът има право незабавно да прекрати договора с изпращане на писмено уведомление до Обработващия.
(7) Във всички случаи на прекратяване на договора между страните, независимо от основанието за прекратяване, Обработващия е длъжен незабавно да прекрати всякакъв вид обработка на предоставените от Администратора лични данни, както и да заличи или да върне на Администратора всички получени от него лични данни, съгласно неговите указания (които са задължителни за Обработващия). Обработващия няма право да съхранява копия от тях на хартиен, електронен, магнитен или друг вид траен носител, освен в случай, че има изрично въведено задължение за съхраняването им в нормативен акт, приложим спрямо Обработващия.
(8) Обработващият е длъжен да обезщети всички имуществени вреди, настъпили за Администратора в случай, че на Администратора бъдат наложени административни санкции, или бъде задължен да заплати парично обезщетение на трето лице, в резултат на допуснати нарушения при обработването на лични данни от страна на Обработващия. В случай, че отношенията по повод реализиране на тази отговорност не бъдат уредени по доброволен начин, Администраторът реализира правата си по реда на действащото българско гражданско законодателство.

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

За целите на настоящите правила:
§ 1. „Администратор на лични данни е “Ю-ТИЙМ“ ЕООД, представляван от УПРАВИТЕЛЯ.
§ 2. „Обработващите лични данни са длъжностни лица от състава на “Ю-ТИЙМ“ ЕООД.
§ 3. Настоящите правила се издават на основание чл. 24, ал. 4 от Закона за защита на личните данни и Наредба № 1 от 07.02.2007 г. за минималното ниво на технически и организационни мерки и допустимия вид на защита на личните данни, издадена от Комисия за защита на личните данни.
§ 4. Изменения и допълнения на тези правила се правят по реда на приемането им.
§ 7. Копие от Правилата са на разположение на служителите, имащи достъп до личните данни на служителите на „Ю-ТИЙМ“ ЕООД.

Настоящите правила са допълнени на 23.05.2018 г. в съответствие с изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).

УПРАВИТЕЛ:

____________________
/Симона Тимчова Стефанова/