Политики за поверителност

ИНСТРУКЦИЯ ЗА ОБРАБОТВАНЕ И ЗАЩИТА НА ЛИЧНИ ДАННИ

НА „НЕТ АЙДИ СЪЛЮШЪНС“ ЕООД,

ЕИК 205733349,

седалище и адрес на управление: гр. Гълъбово 6280, ул. „Вит“ № 8

I. ПРАВНО ОСНОВАНИЕ

Чл. 1. Настоящата Политика за реда за обработване и защита на личните данни се издава въз основа на изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на съвета и Закона за защита на личните данни и има за цел да създаде правила за обработка, съхранение и защита на лични данни на физически лица, предоставени на “Нет айди сълюшънс” ЕООД („Дружеството“) при или по повод упражняване на търгвоската си дейност и представлява неразделна част от Правилника за вътрешния трудов ред на предприятието. 

II. ЦЕЛИ И ОБХВАТ НА ИНСТРУКЦИЯТА

Цели

Чл. 2. Настоящата инструкция има за цел да регламентира:

(1) механизмите на водене, поддържане и защита на лични данни;

(2) задълженията на оправомощените лица, обработващи лични данни и тяхната отговорност при неизпълнение на тези задължения;

(3) необходимите технически и организационни мерки за защита личните данни от неправомерно обработване (случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни).

Обхват

Чл. 3. Инструкцията е задължителна за Дружеството, неговите служители и лицата, имащи качеството „обработващ лични дании“, в качеството им на обслужващи Дружеството, включително, но не само:

1.     счетоводител или специализирано счетоводно предприятие;

2.     специализирана служба по трудова медицина;

3.     специалист или специализирано дружество, извършващо информационно („IT“) обслужване. 

Регистри

Чл. 4. Видове регистри, водени от Дружеството: 

1.     „Служители“; 

2.     „Контрагенти“; 

3.      „Видеозаписи“. 

III.  ПРЕДНАЗНАЧЕНИЕ НА РЕГИСТРИТЕ 

Форми на водене на регистрите 

Чл. 5. (1) На хартиен носител: 

1. Форма на организация и съхраняване на личните данни – писмена (документална) в картотечен шкаф със заключване; 

2. Местонахождение на картотечния шкаф – гр. Гълъбово 6280, ул. „Вит“ № 8; 

3. Форма за предоставяне на данните от физическите лица – на хартиен носител в писмена форма или устно. 

4. Достъп до личните данни, обработвани от Дружеството имат: 

управителят;

 служителите, обработващи търговски поръчки и клиентски запитвания;

 счетоводителят или специализираното счетоводно предприятие; 

 специализираната служба по трудова медицина; 

специалистите или специализирано дружество, извършващо информационно („IT“) обслужване; 

овластените по силата на закон или друг нормативен акт държавни и общински органи. 

(2) На технически носител: 

1. Форма на организация и съхраняване на личните данни: 

на твърд диск, на изолиран компютър; 

в специализирана счетоводна програма; 

на защитен сървър за обработка на запитвания със защитен сайт. 

2. Местонахождение на компютъра – заплатена облачна услуга; 

3. Достъп до системите и програмите, съдържащи файлове за обработка на лични данни, имат само лицата по чл. 5, т. 4, във връзка с изпълняваните от тях функции, чрез парола за достъп. 

(3) Личните данни от лицата се подават на администратора на лични данни или на оправомощеното лице, на основание нормативно задължение във всички случаи, когато е необходимо. 

IV.  ГРУПИ ДАННИ В РЕГИСТРИТЕ 

Групи данни в регистър „Служители“ 

Чл. 6. Дружеството обработва следните групи данни в регистър „Служители“: 

Физическата идентичност на лицата; 

Образованието; 

Трудовата дейност; 

Здравословното състояние; 

Други лични данни, свързани с изпълнение на задълженията на Дружеството по трудовото и осигурителното законодателство на Европейския съюз и Република България. 

Групи данни в регистър „Контрагенти“ 

Чл. 7. Дружеството обработва следните групи данни в регистър „Контрагенти“: 

Физическата идентичност на лицата – три имена, единен граждански номер, паспортни данни, адрес, телефонен номер, имейл адрес, информация за банкова сметка; 

Информация за онлайн активност, сърфиране в интернет, предпочитания – „бисквитки“, IP адрес и други данни за сърфиране в интернет;

 Други лични данни, свързани свързани с изпълнение на задълженията на Дружеството по законодателство на Европейския съюз и Република България. 

Групи данни в регистър „Видеозаписи“

Чл. 8. Дружеството обработва единствено данни, относно физическата идентичност на лицата  в регистър „Видеозаписи“. 

V.  ЦЕЛИ НА ОБРАБОТКА 

Цели на обратка на данните в регистър „Служители“ 

Чл. 9. Дружеството обработва данните във връзка със следните цели: 

Сключване на трудов договор; 

Изпълнение на задълженията по трудовото и осигурителното законодателство. 

Цели на обратка на данните в регистър „Контрагенти“ 

Чл. 10. Дружеството обработва данните във връзка със следните цели: 

Сключване и изпълнение на търговска сделка с клиент или партньор – целта на тази операция е сключване и изпълнение на договор с търговски партньор или клиент и последващото административно и счетоводно обслужване; 

Упражняване право на отказ или извършване на рекламация – целта на тази операция е администриране на процеса по упражняване на правото на отказ или рекламация от клиента; 

Изпращане на информационен бюлетин (нюзлетър) – целта на тази операция е администриране на процеса по изпращане на бюлетини до клиентите, които са заявили, че желаят да получават. 

Цели на обратка на данните в регистър „Видеонаблюдение“

Чл. 11. Дружеството обработва данните във връзка охрана на имуществото – собственост на Дружеството. 

VI.  ДОПЪЛНИТЕЛНИ РАЗПОРЕДБИ 

Задължения на лицата, отговарящи за водене и съхраняване на данните в регистъра 

Чл. 12. Задълженията на лицата, отговарящи за водене и съхраняване на данните в регистъра включват набиране, обработване, актуализация, съхраняване, защита на лични данни и конфиденциалност. 

Актуализация на лични данни

Чл. 13. (1) Актуализация на лични данни представлява допълнение или изменение на съществуваща информация в дружеството. Актуализация на лични данни се извършва: 

по искане на лицето, за което се отнасят личните данни, когато то е установило, че е налице грешка или непълнота в тях, и удостовери това с документ; 

по инициатива на обработващия лични данни – при наличие на документ, даващ основание за актуализация. 

(2) Актуализацията на лични данни се отразява в в досието на съответното лице. 

Мерки за защита при обработване на личните данни

Чл. 14. (1) Правилата за защита при обработване на лични данни регламентират технически мерки, които: 

отхвърлят достъпа на неоторизирани лица до оборудването за обработка на данни – контрол на достъпа до помещенията, компютрите и специализираните сървъри и програми;

предотвратяват неоторизираното четене, копиране, промяна или унищожаване на информационни носители – контрол на информационните носители; 

предотвратяват неоторизираното добавяне, въвеждане, преглеждане, промяна или заличаване на съхранени лични данни – контрол по съхраняването; 

предотвратяват използването му от неоторизирани лица, използващи комуникационно оборудване за данни – контрол на потребителите; 

гарантират, че лицата, които са оторизирани да ползват система за автоматизирана обработка на данни, имат достъп само до данните, включени в обхвата на техния достъп – контрол на достъпа до данни;

осигуряват възможността за проверка и установяване до кои органи са били или могат да бъдат изпратени или предоставени личните данни чрез използване на комуникационно оборудване за данни – контрол на комуникациите; 

осигуряват възможност за последваща проверка и установяване какви лични данни са въведени в системите за автоматизирана обработка на данни, кога и от кого са въведени данните – контрол на въвеждане; 

предотвратяват неоторизирано четене, копиране, промяна или изтриване на лични данни при трансфер на лични данни или превозване на носители на данни – контрол при транспортиране; 

осигуряване на възможност за инсталираните системи за възстановяване на данни в случай на прекъсване на функционирането – възстановяване; 

осигуряват правилното функциониране на системата, докладване на появата на грешки във функциите (надеждност) и гарантират, че съхранените данни не могат да бъдат повредени чрез неправилно функциониране на системата – интегритет. 

(2) Лицата по чл. 5, т. 4., обработващи лични данни, вземат мерки за гарантиране на надеждност при обработването, като осъществяват технически и организационни мерки за защита на личните данни. 

(3) При обработка на лични данни с автоматизирани средства се осъществяват технически мерки за защита срещу: 

неоторизирано четене, възпроизвеждане, промяна или премахване на носителя на данните; 

неоторизирано въвеждане, промяна или заличаване на съхранени лични данни; 

неоторизирано използване на системите за лични данни чрез средства за пренос на данни; 

неоторизиран достъп до лични данни. 

Осигуряване на достъп на лицата до личните им данни 

Чл. 15. (1) Заетите по трудови и граждански правоотношения, както и контрагентите, имат право на достъп до личните си данни, за което подават писмено заявление до обработващия лични данни, в това число и по електронен път лично или чрез упълномощено лице. 

(2) Заявлението съдържа: 

Имена на лицето; 

ЕГН;

Адрес за кореспонденция и/или електронна поща; 

Телефон за контакти; 

Точно описание на искането; 

Предпочитана форма за предоставяне достъпа до лични данни; 

Дата; 

Подпис и пълномощно, в случай че заявлението се подава от упълномощено лице. 

(3) Достъп до данните на лицето се осигурява под формата на: 

Устна справка; 

Писмена справка; 

Преглед на данните от лицето или упълномощеното лице; 

Предоставяне на копия от исканата информация на хартиен или технически носител. 

(4) При подаване на искане за осигуряване на достъп представляващият администратора разглежда заявлението за достъп или разпорежда на обработващия лични данни да осигури искания от лицето достъп в предпочитаната от заявителя форма. Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на получаване на искането от администратора. Този срок може да бъде продължен, когато е необходимо повече време за събиране личните данни на лицето с оглед възможни затруднения в дейността на Дружеството. Решението се съобщава писмено на заявителя срещу подпис, по пощата с обратна разписка или чрез електронна поща. Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с решение. Отказът за предоставяне достъп може се обжалва от лицето пред КЗЛД. 

Правомерен достъп на оправомощените лица до досиетата в регистър „Служители“ 

Чл. 16. Правомерен е достъпът до данните от регистър „Служители“ на: 

управителя; 

счетоводителят или специализираното счетоводно предприятие; 

специализираната служба по трудова медицина. 

Правомерен достъп на оправомощените лица до досиетата в регистър „Контрагенти“

Чл. 17. Правомерен е достъпът до данните от регистър „Контрагенти“ на: 

управителя;

служители, обработващи търговски поръчки и клиентски запитвания; 

счетоводителят или специализираното счетоводно предприятие; 

специалистите или специализирано дружество, извършващо информационно („IT“) обслужване.  

Правомерен достъп на оправомощените лица до досиетата в регистър „Видеонаблюдение“ 

Чл. 18. Правомерен е достъпът до данните от регистър „Видеонаблюдение“ на управителя. 

Правомерен достъп на трети лица 

Чл. 19. (1) Никое трето лице няма право на достъп до регистъра с личните данни на лицата, освен ако е изисквано по надлежен път от органи на изпълнителната или съдебната власт. Достъпът на тези органи до личните данни на лицата е правомерен. 

(2) Не се изисква съгласие на лицето, ако обработването на неговите лични данни се извършва само от или под контрола на компетентен държавен орган за лични данни, свързани с извършване на престъпления, на административни нарушения и на непозволени увреждания. На такива лица се осигурява достъп до личните данни, като при необходимост им се осигуряват съответни условия за работа в помещение на дружеството. 

(3) Правомерен е и достъпът на ревизиращите държавни органи, надлежно легитимирали се със съответни документи – писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп до кадровите досиета на служителите или контрагентите. 

(4) При промени в статута на дружеството (преобразуване, ликвидация и други), налагащи прехвърляне на регистрите за лични данни от дружеството на друг администратор на лични данни, предаването на регистъра се извършва след разрешение на Комисията за защита на лични данни. 

(5) Решението си за предоставяне или отказване достъп до лични данни за съответното лице администраторът съобщава на третите лица в 30-дневен срок от получаване на искането. 

(6) При внедряване на нов програмен продукт за обработване на лични данни се извършва предварителна проверка на възможностите на продукта с оглед спазване изискванията на ЗЗЛД и Регламент (ЕС) 2016/679 и осигуряване максималната им защита от неправомерен достъп, загубване, повреждане или унищожаване. 

(7) За неизпълнение на задълженията, вменени на съответните оправомощени лица по тази инструкция, по ЗЗЛД и по Регламент (ЕС) 2016/679, се налагат дисциплинарни наказания. 

Чл. 20. Адресът, на който се приемат молби за достъп и предоставяне на лични данни от регистри „Служители“, „Контрагенти“ и „Видеонаблюдение“ е гр. Гълъбово 6280, ул. „Вит“ № 8. 

Срокове за съхранение 

Чл. 21. Дружеството съхранява лични данни на физическите лица в следните срокове: 

В регистър „Служители“ – за срок от 50 (петдесет) години, считано от датата на прекратяване на трудовото правоотношение; 

В регистър „Контрагенти“: 

–        за срок от 10 (десет) години, считано от дата 01.01. на годината, следваща годината на сключване на сделктата, в случай на издаване на фактура с получател по нея физическо лице; 

–        за срок до 1 (една) година във всички останали случаи.

 В регистър „Видеонаблюдение“ – за срок до 2 (два) месеца, считано от датата на видеозаснемането; 

Начини на унищожаване 

Чл. 22. След изтичане на сроковете за обработка и съхрание по чл. 21, данните се унищожават от обработващия лични данни или от упълномощено от него лице чрез: 

унищожаване на хартиените носители със специално механично устройство (шредер); 

изтриване от компютъра, сървъра и програмите за обработка на данни. 

Контрол при обработване на личните данни 

Чл. 23. Контролът върху дейностите по обработка на лични данни се осъществява от управителя на Дружеството или упълномощено от него лице.