Политика за поверителност
ПОЛИТИКА НА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
ПРЕДНАЗНАЧЕНИЕ
Настоящата Политика определя реда, по който „УНИВЕРС КОНСУЛТ“ ООД, ЕИК 121109258, (наричано по-долу Дружеството) събира, записва, организира, структурира, съхранява, адаптира или променя, извлича, консултира, използва, разкрива чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подрежда или комбинира, ограничава, изтрива, унищожава или обработва по друг начин лични данни за целите на своята дейност.
В зависимост от конкретната ситуация, Дружеството може да обработва данни в качеството на Администратор на лични данни (Администратор) или Обработващ лични данни (Обработващ) според това дали обработва лични данни на свои служители, клиенти и контрагенти – физически лица или на лични данни на служители и контрагенти на свои клиенти – фирми или самоосигуряващи се лица. Политиката е изготвена в съответствие с изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните – ОРЗД), Закон за защита на личните данни (ЗЗЛД), Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни (Наредба №1).
Настоящата Политика урежда:
Принципите, процедурите и механизмите за обработка на личните данни;
Процедурите за администриране на искания за достъп до данни, коригиране на обработваните данни, възражения и оттегляне на съгласия, както и администриране на искания за упражняване на други права, които субектите на лични данни имат по закон;
Процедурите за уведомяване на надзорния орган в случай на нарушения в сигурността;
Лицата, които обработват лични данни и техните задължения;
Правилата за предаване на лични данни на трети лица в България и чужбина;
Необходимите технически и организационни мерки за защита на личните данни от неправомерно обработване и в случай на инциденти, като случайно или незаконно унищожаване, загуба, неправомерен достъп, изменение или разпространение;
Техническите ресурси, прилагани при обработката на лични данни.
ОБХВАТ НА ВАЛИДНОСТ И ВЛИЗАНЕ В СИЛА
Настоящата Политика е задължителна за всички работници, служители и за ръководството на Дружеството, отговорни за обработването на лични данни във връзка с изпълнението на служебните им задължения и влиза в сила от датата на нейното одобрение. Политиката се прилага от Дружеството в отношенията му с други администратори на лични данни, обработващи лични данни, субекти на данни, отговорни лица по защита на данните и длъжностното лице по защита на данните (ДЛЗД) /ако бъде назначено такова/, както и по отношение на всички трети лица, които имат право на достъп до лични данни в регистрите на дейностите по обработване.
Конкретни задължения и отговорности по настоящата политика имат:
Управителят/лите;
Конкретни служители на Дружеството, определени със заповед на Управителя/лите;
ПОНЯТИЯ
За целите на настоящата Политика понятията по-долу имат следното значение:
„Администратор на лични данни“ е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни. В настоящата Политика „Администратор“ означава Дружеството, в случаите, когато обработва лични данни на своите служители, контрагенти и клиенти – физически лица.
„Длъжностно лице по защита на данните“/ДЛЗД/ е физическо лице, притежаващо необходимата компетентност, което е упълномощено или назначено от Дружеството със съответен писмен акт, в който са уредени правата и задълженията му във връзка с осигуряване на необходимите технически и организационни мерки за защита на личните данни при тяхното обработване. Към момента Дружеството няма задължение и не е назначило ДЗЛЗ.
„Обработващ личните данни“ е всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора. В случаите, когато Дружеството обработва лични данни на служители и контрагенти – физически лица на свои клиенти по договор за услуги, то то се явява в качеството на Обработващ личните данни по отношение на тези физически лица.
„Отговорно лице по защита на данни“ е лице, което е служител в Дружеството или изпълнява функции по поръчение, на което са възложени задълженията във връзка със защитата и процесите по обработка на лични данни, уредени в тази Политика. В Дружеството тези функции изпълняват от лица, на които това е възложено със заповед на Управителя/ите.
„Получател“ е физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не.
„Трета страна“ е физическо или юридическо лице, публичен орган, агенция или друг орган различен от субекта на данните, администратора, обработващия лични данни и лицата, които под пряко ръководство на администратора или на обработващия, имат право да обработват лични данни.
„Лични данни” са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано (субект на данни) пряко или непряко чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или чрез един или повече специфични признаци.
„Чувствителни лични данни“ – категории лични данни, които се ползват с по-високо ниво на защита. Такива данни са данните събирани за здравния статус, биометрични данни, данни за расов или етнически произход, политически възгледи и др. Обработването и съхранението на тези данни е забранено, освен в случаите на законно обоснована причина или обществен интерес, както и след изрично съгласие на лицето. Дружеството обработва само някои аспекти от здравословното състояние на работниците и служителите /данни от болнични листове и епикризи на ТЕЛК и др./, свързани с реализиране на техните трудови, осигурителни и социални права.
„Обработване на лични данни” е всяко действие или съвкупност от действия, които Дружеството извършва по отношение на личните данни с автоматични или неавтоматични средства (събиране, записване, организиране, структуриране, съхраняване, адаптиране или изменение, извличане, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване или друг начин, по който данните стават достъпни).
„Псевдонимизация“ е обработване на лични данни по такъв начин, че личните данни не могат повече да бъдат свързани с конкретен субект на данни, без да се използва допълнителна информация, при условие, че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни на се свързани и идентифицирано физическо лице или с лице, което може да бъде идентифицирано.
„Регистър с лични данни” е структурирана съвкупност от лични данни, достъпна по определени критерии съобразно вътрешните документи на Дружеството, която може да бъде централизирана и децентрализирана и е разпределена на функционален или географски принцип.
„Съгласие на субекта на данните” е всяко свободно изразено, конкретно, информирано и недвусмислено волеизявление, с което физическото лице, за което се отнасят личните данни, се съгласява те да бъдат обработвани.
„Нарушение на сигурността на лични данни“ е нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
„Надзорен орган“ – независим публичен орган, създаден от държава членка съгласно чл.51 от ОРЗД. В настоящата Политика „Надзорен орган“ обозначава Комисия за защита на личните данни (КЗЛД).
4. ОБЩИ ПРИНЦИПИ НА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ В ДРУЖЕСТВОТО
4.1.Дружеството като Администратор на лични данни обработва личните данни законосъобразно, добросъвестно и прозрачно при спазване на следните принципи:
Субектът на данните се информира предварително за обработването на неговите лични данни;
Личните данни се събират за конкретни, точно определени и легитимни цели и не се обработват допълнително по начин, несъвместим с тези цели;
Личните данни съответстват на целите, за които се събират и обработват;
Личните данни са точни и при необходимост се поддържат в актуален вид;
Личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни;
Личните данни се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, разкриване, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки;
Приложените организационни и технически мерки осигуряват постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване на личните данни.
4.2. За да е законосъобразно обработването на данните, трябва да е налице поне едно от следните условия:
Субектът на данните е дал своето съгласие;
Обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
Обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;
Обработването е необходимо, за да се защитят жизненоважни интереси на субекта на данните или на друго физическо лице;
Обработването е необходимо за изпълнение на задача от обществен интерес;
Обработването е необходимо за целите на легитимните интереси на администратора, освен когато пред тези интереси преимущество имат интересите или основните права и свободи на субекта на данни.
Когато Дружеството е в ролята на Обработващ личви данни, е налице подписано нарочно Споразумение към договора за услуги със съответния Администратор на лични данни за поверителна обработка на данните.
5. РОЛИ ПРИ ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ В ДРУЖЕСТВОТО
5.1. Администратор на лични данни
Прилагането на необходимите технически и организационни мерки за защита на личните данни се осъществява от „УНИВЕРС КОНСУЛТ“ ООД, ЕИК 121109258, с адрес: гр. София 1301, бул. Христо Ботев No 48, ет. 3, в качеството му на Администратор на лични данни:
Администраторът има следните задължения:
определя политиката за защита на личните данни в Дружеството, спазва изискванията на ОРЗД, законодателството на ЕС в областта защита на личните данни и националното законодателство;
определя длъжностно лице по защита на данните /ДЛЗД/, когато има назначено такова лице, като го подпомага при изпълнението на задълженията му, осигурявайки необходимите ресурси, пълен достъп до личните данни и операциите по обработване, а така също поддържа неговите експертни знания. Към настоящия момент Администратора няма ангажимент и не е назначил ДЛЗД.
осигурява организацията по поддържане на регистрите, съгласно предвидените мерки за гарантиране на адекватна защита и ги актуализира при необходимост;
въвежда подходящи технически и организационни мерки, разработени с оглед на ефективното прилагане на принципите за защита на данните;
осигурява упражняването на правата на физическите лица за защита на личните данни;
осъществява контрол по спазване на изискванията за защита на регистрите, установява обстоятелства, свързани с нарушаване на тяхната защита, и предприема мерки за тяхното отстраняване;
поддържа личните данни във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват;
периодично информира персонала по въпросите на защитата на личните данни;
оказва съдействие при осъществяването на контролните функции на Надзорния орган – КЗЛД, подпомага установяването на обстоятелства, свързани със защитата на личните данни; в случай на нарушение на сигурността на личните данни уведомява Надзорния орган без ненужно забавяне при установен риск за засегнатите лица;
определя правата на служителите за достъп до лични данни в информационните системи съобразно целите на обработване, така че да се гарантира законосъобразност и да се спазят принципите на обработване;
използва само подизпълнители – други Обработващи лични данни, /в случаи, когато това се налага/, които предоставят достатъчни гаранции посредством прилагането на подходящи технически и организационни мерки за защита;
в случай на установен висок риск за физическите лица, да ги информира по подходящ начин за нарушението по сигурността на личните данни;
документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него.
5.2. Длъжностно лице по защита на данните (ДЛЗД). Отговорни лица по защита на личните данни.
5.2.1.Дружеството няма задължение да назначи и не е назначило към настоящия момент ДЗЛД.
5.2.2. Отговорно лице по защита на личните данни е служител/и, определени със заповед на Управителя/Управителите на Дружеството, който/които има/т следните задължения:
осигурява организацията по водене на регистрите по т.11 от настоящата Политика, съгласно предвидените мерки за гарантиране на адекватна защита;
следи за спазването на конкретните мерки за защита и контрол на достъпа съобразно спецификата на водените регистри;
контролира спазването на правата на субектите на данни във връзка с регистрите и програмно-техническите средства за тяхната обработка;
специфицира техническите средства, прилагани за обработка на личните данни;
провежда периодичен контрол за спазване на изискванията по защита на данните и при открити нередности уведомява Управителя като съвместно предприемат необходимите мерки за тяхното отстраняване. По преценка, Отговорно лице по защита на личните данни може да е Управител на дружеството.
5.3. Служители на Администратора, обработващи лични данни
Служителите на Администратора обработват лични данни след регулярно и при необходимост /новоназначени служители, настъпили промени/ запознаване с действащата нормативна уредба в областта на защитата на личните данни и настоящата Политика, като подписват Протокол за обучение и инструктаж – Приложение №3 към настоящата Политика и Декларация за неразгласяване на лични данни – Приложение № 4 Към настоящата Политика.
Служителите на Администратора, определени с нарочна заповед на Управителя/Управителите, на които е възложена обработката на лични данни, са длъжни:
да обработват личните данни само при наличие на основание, което произтича от закона, от договорните отношения с лицето, от изрично съгласие на лицето; от легитимния интерес на Администратора;
да използват личните данни, до които имат достъп, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели;
да поддържат личните данни във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват;
да не изнасят и съхраняват личните данни извън специално определените за целта места, регламентирани с режим на специален достъп;
да спазват правилото за „чисто бюро“ и „чист екран“ по отношение на защитата на информацията и личните данни. Това означава на работното бюро и на екрана и/или на бюрото да са достъпни само данните, които се обработват в момента от служителя и само до момента на приключване на тяхната обработка. След приключване на обработката данните да се съхранят по предвидения в настоящата Политика начин – данните на хартиен носител в заключващи се шкафове и помещения, а данните в сървъра и в софтуерния продукт Sugar CRM PRO – чрез затваряне на екрана, през който се достъпват и чрез използване на потребителско име и парола, известни само на съответния служител. Данните се поддържат с ежемесечни бекъпи, които се изтриват след срока на съхранението на данните. Сървърът с данните и бекъпите са съхранява в нарочен заключващ се шкаф. Достъп до ключът има Управителя/лите и лицето, определено с тяхна нарочна заповед. Обменът на данни с НАП и НОИ се извършва с електронен подпис, което гарантира високо ниво на сигурност.
да предприемат мерки, така че външни лица да нямат какъвто и да е неправомерен достъп до документи, съдържащи лични данни, включително да могат да ги преглеждат, копират или фотографират с мобилен телефон;
когато изпълнението на съответния процес позволява, използваните лични данни се ограничават до максимална степен (минимизация);
да осигуряват и гарантират спазването на правата на физическите лица във връзка с обработването на лични данни;
да оказват съдействие на Управителя/лите като Отговорно лице по защита на личните данни при изпълнение на неговите функции.
За неспазването на разпоредбите на ОРЗД, действащото национално законодателство и настоящата Политика, служителите на Администратора носят дисциплинарна отговорност.
Ако в резултат на действията на съответен служител на Администратора при обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако стореното представлява по-тежко деяние, за което се предвижда наказателна отговорност.
5.4. Обработващ лични данни
Във връзка с изпълнението на своята дейност по предоставяне на услуги на своите клиенти, по отношение обработване лични данни на техни служители и контрагенти, Дружеството е в качеството си на Обработващи лични данни.
При възлагане обработването на лични данни в качеството му на Обработващ, Дружеството спазва изискванията, посочени в т.9 от настоящата Политика, както и указанията на съответния Администратор на лични данни като отношенията се регулират с подписване на нарочно Споразумение.
5.5.Срокове за съхранение на личните данни:
5.5.1.„УНИВЕРС КОНСУЛТ“ ООД, ще съхранява лични данни на своите работници и служители не повече от:
10 години, считано от 01.01. на годината, следваща годината, през която е прекратен трудовия (граждански) договор – за данните в трудовите (гражданските) договори;
за данните във ведомостите за заплати на работниците и служителите – 50 г., считано от 01.01. на годината, следваща годината, през която се отнасят;
за данните в автобиографии и други документи на кандидати за работа – до един месец след сключване на договор с избрания кандидат, освен ако лицето не е дало съгласие за по-дълъг период за участие в нов подбор;
за данните в други счетоводни документи – 3 години, считано от 01.01. на годината, следваща годината, през която са съставени;
за данни в копия от болнични листове – 3 години, считано от 01.01. на годината, следваща годината, през която са издадени;
5.5.2. „УНИВЕРС КОНСУЛТ“ ООД, ще съхранява личните данни на свои клиенти и контрагенти не повече от:
за договора за предоставяне на услуги и документите по изпълнението му, както и данните в тези документи – 10 години, считано от 01.01. на годината, следваща годината, през която договора е прекратен;
за данни в други счетоводни документи по Договора за предоставяне на услуги – 3 години, считано от 01.01. на годината, следваща годината, през която документите са съставени;
други лични данни на контрагенти на клиента, предоставени от него, необходими за изпълнение на договора за услуги – до 2 години, считано от 01.01. на годината, следваща годината, през която конкретната услуга е извършена, освен ако не е необходим по-дълъг срок за изпълнение на услуга по договора;
6. СЪГЛАСИЕ. ПРАВА НА СУБЕКТИТЕ НА ДАННИ
Дружеството като Администратор на лични данни предоставя на физическите лица, свои работници и служители по граждански или трудов договор информация относно обработването на лични данни в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език чрез съобщаване на Декларацията за поверителност на личните данни, за което те подписват Уведомление – Приложение №1 към настоящата Политика на място в офиса на Дружеството. Декларациите и подписаните уведомления са на хартиен носител и се съхраняват в личните трудови досиета на работниците и служителите за период 10 години, считано от 01.01. на годината, следваща годината, през която е прекратен трудовия (граждански) договор – за данните в трудовите (гражданските) договори;
Дружеството като Администратор на лични данни предоставя на физическите лица, свои клиенти и контрагенти – физически лица информация относно обработването на личните им данни в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език чрез съобщаване на Декларацията за поверителност на личните данни, за което те подписват Уведомление – Приложение №2 към настоящата Политика на място в офиса на Дружеството. Потвърждаването, че лицата – клиенти, физически лица на Дружеството са се запознали с Декларацията за поверителност на личните им данни, те могат да направят и на имейл: оffice@universconsult.com. Декларациите и подписаните уведомления се съхраняват на хартиен носител досиетата на клиентите – физически лица, а в електронен вид в софтуерния продукт Sugar CRM PRO за период 10 години, считано от 01.01. на годината, следваща годината, през която е прекратен договора за услуги. Този срок на съхранение от 10 години, считано от 01.01. на годината, следваща годината, през която е прекратен съответния договор е обусловен от Закона за счетоводството, от общата 10 годишна данъчна погасителна давност, но и от легитимния интерес на Администратора за защита на неговите интереси от евентуални претенции срещу Администратора.
6.1. Съгласие
Личните данни на субектите се обработват на основание дадено от тях съгласие само когато не е налице друго основание за обработка на лични данни. За целите на сключването и изпълнението на трудови и граждански договори, както и за предоставяне на услуги от страна на Дружеството не се изисква съгласие от субектите, тъй като без предоставянето и обработване на съответните лични данни, не може да се сключат и изпълнят договорите.
Субектът на данни е съгласен с обработването на лични данни /когато това е необходимо за законосъобразност на обработването при липса на друго основание/, ако изрази това чрез ясно и недвусмислено изявление или друг потвърждаващ акт. Когато обработването се извършва въз основа на съгласие, то следва да е дадено лично чрез Декларация – съгласие за обработване на лични данни – Приложение №5 към настоящата Политика. Декларация – съгласие за обработване на лични данни може да бъде получена и на имейл: оffice@universconsult.com, като се съхранява на хартиен вид в досието на клиентите-физически лица, а в електронен вид в софтуерния продукт Sugar CRM PRO за период от 6 месеца след приключване на обработката, за която е необходимо съгласие, освен ако лицето не е дало съгласието за по-дълъг период с оглед възникване на нова необходимост за обработка.
В случай че съгласието се дава чрез документ, който урежда и други въпроси, то следва да бъде изискано отделно от съгласието по други въпроси. Мълчаливото съгласие, предварително отметнатите полета или липсата на действие не представляват съгласие.
Субектът на данни може лесно да оттегли съгласието си за обработване по всяко време чрез подаване на писмено заявление до Администратора в свободен текст.
Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне. Ако не съществува друго условие за законосъобразност на обработването, с оттеглянето на съгласието то следва да се прекрати.
Съгласията на лицата се събират лично, в офиса на Дружеството или на имейл оffice@universconsult.com.
Декларация-съгласие за обработване на лични данни и заявлението за оттегляне на съгласие, получени в електронен вид и в хартиен вид се регистрират в софтуерния продукт Sugar CRM PRO, като Декларация-съгласие за обработване на лични данни и заявлението за оттегляне на съгласие, получени в офиса на хартиен носител се съхраняват в досието на клиента-физическо лице.
Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне. Ако не съществува друго условие за законосъобразност на обработването, с оттеглянето на съгласието то следва да се прекрати.
Декларациите за съгласие и заявлението за оттегляне се съхраняват от служител, определен със заповед на Управителя/ите, докато се извършват действия по обработване на данни на това основание, с оглед спазването на принципа на отчетност.
6.2. Право на достъп до информация
Субектът на данни има право да поиска достъп до своите лични данни, включително и да иска потвърждение дали данните, отнасящи се до него се обработват, да се информира за целите на това обработване, категориите данни и за получателите на данните, както и за целите на всяко обработване на лични данни, отнасящи се до него.
Ако при осъществяване на достъпа до лични данни по искане на едно лице е възможно да се разкрият лични данни за друго лице, Администраторът е длъжен да предостави достъп само до частта от тях, отнасяща се до субекта на данни. Правото на достъп се осъществява чрез подаване на Заявление за достъп до лични данни – Приложение №6 към настоящата Политика.
6.3. Право на изтриване, коригиране или блокиране (ограничаване на обработването)
Всеки субект на данни лице има право да поиска изтриването, коригирането или блокирането на негови лични данни, обработването на които не отговаря на изискванията на закона.
Субектът на данни има право да поиска от Администратора да изтрие/коригира без ненужно забавяне личните му данни, чрез подаване на Заявление за изтриване на лични данни/ Заявление за коригиране на лични данни – Приложение №6 към настоящата Политика.
Правото на блокиране (ограничаване на обработването) дава възможност на субекта на данни да изиска временно преустановяване обработката на личните му данни, с цел установяване тяхната точност и/или причините за тяхната обработка. Когато обработването е ограничено, личните данни се обработват само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции, за защита на правата на друго физическо лице или поради важни основания от обществен интерес. За да упражни това си право субектът на данни подава Заявление за ограничаване на обработването на личните данни – Приложение №6 към настоящата Политика.
6.4. Право на преносимост на личните данни
Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратора, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг Администратор, когато:
обработването е основано на съгласие или на договорно задължение;
обработването се извършва по автоматизиран начин.
Когато упражнява правото си на преносимост на данните, субектът на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.
Правото на преносимост се упражнява единствено, когато не влияе неблагоприятно върху правата и свободите на други лица. Субектът на данните упражнява правото си на преносимост чрез подаване на Заявление за преносимост на лични данни – Приложение №6 към настоящата Политика.
6.5. Право на възражение срещу обработването на лични данни
Субектът на данните има право по всяко време на възражение срещу обработване на личните му данни и/или предоставянето им на трети лица без необходимото законово основание. Правото на възражение се упражнява чрез подаване на Заявление за възражение срещу обработване на лични данни – Приложение №6 към настоящата Политика.
Администраторът разглежда подаденото заявление и прекратява обработването на личните данни, освен ако съществуват законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
Изброените по-горе заявления се регистрират от служителя/ите, определени с нарочна заповед на Управителя/ите в софтуерния продукт Sugar CRM PRO. Заявленията в електронен вид се съхраняват в в софтуерния продукт Sugar CRM PRO, а на хартиен носител – в досието на клиента – физическо лице.
В 14-дневен срок, считано от датата на подаване на заявлението, Администраторът писмено уведомява заявителя дали са налице законовите основания за уважаване на искането. Ако Администраторът установи, че са налице законовите основания да уважи искането, той уведомява заявителя и за реда, по който може да упражни правото си или за отказа му да уважи искането поради липса на законови основания.
Съхранението на всички заявления на хартиен носител е със срок, еднакъв със срока на съхранение на бичните данни на субекта, с изключение на Заявлението за изтриване на лични данни, което следва да бъде унищожено, заедно с изтриването на данните, освен ако специален закон или легитимния интерес на Администратора не изискват по-продължителен срок на съхранение на отделни документи.
6.6. Правото на жалба до Надзорен орган (КЗЛД)
Субектът на лични данни има право на жалба до КЗЛД във всички случаи, когато са нарушени правата му, в едногодишен срок от узнаване на нарушението, но не по-късно от 5 (пет) години от извършването му.
7. ПРОЦЕДУРА ПРИ ВЪЗНИКВАНЕ НА ИНЦИДЕНТИ
7.1.Подаване на сигнал за нарушение на сигурността на личните данни
7.1.1.Служителите на Дружеството и кандидатите за работа в Дружеството подават Сигнал за нарушение на сигурността на личните данни в свободна форма, по един от следните начини:
лично, в офиса на Администратора до Управителя на Дружеството – на хартиен носител или устно;
чрез лицензиран пощенски оператор;
на имейл: оffice@universconsult.com.
Полученият Сигнал за нарушение на сигурността на личните данни се регистрира от служителя/ите, определени с нарочна заповед на Управителя/ите в софтуерния продукт Sugar CRM PRO/ като сигнала на хартиен носител се съхранява в офиса на Администратора.
Служителите, получили сигнала незабавно информират Управителя за него.
7.1.2. Клиентите и контрагентите на Дружеството подават Сигнал за нарушение на сигурността на личните данни в свободна форма на хартиен носител или по електронен път, по един от следните начини:
лично, в офиса на Администратора до Управителя на Дружеството;
чрез лицензиран пощенски оператор.
на имейл: оffice@universconsult.com.
Полученият Сигнал за нарушение на сигурността на личните данни се регистрира от служителя/ите, определени с нарочна заповед на Управителя/ите в софтуерния продукт Sugar CRM PRO. Служителите, получили сигнала незабавно информират Управителя за него. Сигналите, получени на хартиен носител се съхраняват в офиса на Администратора.
7.2. Преглед на инцидента и оценка на риска – анализ на нарушението на сигурността и определяне на мерките за реакция
След получаване на сигнал, Управителя на Дружеството определя дали конкретното събитие представлява „нарушение на сигурността на лични данни“. В зависимост от характера, обхвата и сериозността на нарушението, Управителя определя засегнатите области, кои данни са засегнати, както и риска за засегнатите физически лица, предприема съответните мерки за справяне с нарушението на сигурността на личните данни, включително и по целесъобразност извършва необходимите действия за отстраняване на неблагоприятните му последици.
7.3. Оценка на необходимостта от уведомяване на физическите лица. Уведомяване на физическите лица при наличие на висок риск
Съгласно ОРЗД, когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Администраторът без ненужно забавяне, изпраща до субекта на данните информация за нарушението, като описва неговото естество и посочва най-малко информацията и мерките, посочени в член 33, параграф 3, букви б), в) и г) от ОРЗД.
7.4. Уведомяване на надзорния орган
В случай на „нарушение на сигурността на личните данни“ и когато съществува вероятност да се породи риск за правата и свободите на физическите лица, Администраторът, без ненужно забавяне и когато това е осъществимо (не по-късно от 72 часа след като е разбрал за него), изпраща Уведомление относно нарушение на сигурността на личните данни – Приложение №7 към настоящата Политика.
Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.
7.5. Предприемане на мерки за справяне с нарушението по сигурността на личните данни
Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с нарушението. Инцидентите в Дружеството са регистрират от служителя/ите, определени с нарочна заповед на Управителя/ите в софтуерния продукт Sugar CRM PRO, като задължително се вписват:
предполагаемото време или период на възникване;
времето на установяване на установяване на инцидента;
името и длъжността на лицето, установило наличието на инцидента и подало сигнал;
описание на нарушението – източник, вид и мащаб на засегнатите данни, причина за нарушението (ако е приложимо);
описание на извършените уведомявания: уведомяване на КЗЛД и засегнатите лица (ако е било извършено);
предприети мерки за ограничаване на възможността от последващи нарушения на сигурността.
Управителят на Дружеството извършва подробна оценка на степента на засягане и увреждане на носителите на лични данни и на електронния масив лични данни. Предприема подходящи мероприятия за възстановяване базата данни с лични данни при тяхното пълно унищожаване/изгубване. В анализа си Управителя отделя особено внимание на причините, довели до повреждането/загубата на личните данни и предприема подходящи мерки за бъдещо предотвратяване на последващи инциденти.
8. ПРОЦЕДУРА ЗА ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ЗАЩИТАТА НА ДАННИТЕ
Оценка на въздействието се извършва, когато това се изисква съгласно приложимото законодателство и с оглед на риска за физическите лица и естеството на обработка на лични данни, извършвана от Дружеството. Оценка на въздействието се извършва за високорискови дейности по обработване.
Оценка на въздействието е необходимо при всяко въвеждане на ключова система, която е свързана с обработване на лични данни, включително:
първоначалното въвеждане на нови технологии или прехода към нови технологии;
автоматизирано обработване, включително профилиране или автоматизиране вземане на решения;
обработване на чувствителни лични данни в голям мащаб;
мащабно, систематично наблюдение на публично обществена зона.
За оценката се съставя доклад, който се предоставя при поискване от страна на КЗЛД.
Поради липса на основания – сравнително ограничен брой субекти, чийто данни се обработват, ниска степен на риск и ограничен брой лица, достъпващи личните данни, Дружеството не извършва оценка на въздействието върху защитата на личните данни, които обработва.
9. ПРОЦЕДУРА ПО ПРЕДОСТAВЯНЕ НА ЛИЧНИ ДАННИ ОТ ТРЕТИ ЛИЦА
В определени случаи, при изпълнение на договор за услуги, Дружеството може се явява Обработващ лични данни на трети физически лица – работници, служители или контрагенти на своите клиенти. Обработването на лични данни в тези случаи се извършва въз основа на Споразумение за обработка на лични данни. В тези случай, Дружеството като Обработващ лични данни:
предоставя на съответния Администратор достатъчно гаранции за спазване на законовите изисквания и добрите практики за обработка и защита на личните данни;
сключва писмено споразумение, което урежда задълженията се на Обработващ и отговаря на изискванията на чл. 28 от ОРЗД;
Дружеството не предоставя за обработване на лични данни от обработващи извън ЕС/ЕИЗ.
10. ЗАЩИТА НА ЛИЧНИТЕ ДАННИ. ОСНОВНИ ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ
10.1. Видове защита
Физическа защита – система от технически и организационни мерки за предотвратяване на нерегламентиран достъп до сгради, помещения и съоръжения, в които се обработват лични данни.
Персонална защита – система от организационни мерки спрямо физическите лица, които обработват лични данни по указание на Администратора.
Документална защита – система от организационни мерки при обработването на лични данни на хартиен носител.
Защита на автоматизирани информационни системи и мрежи – система от технически и организационни мерки за защита от незаконни форми на обработване на личните данни.
Криптографска защита – система от технически и организационни мерки, които се прилагат с цел защита на личните данни от нерегламентиран достъп при предаване, разпространяване или предоставяне.
За защита на личните данни от случайно или незаконно унищожаване, от неправомерен достъп, от изменение или разпространение, както и от други незаконни форми на обработване, Администраторът организира и предприема мерки, описани по-долу и съобразени със съвременните технологични постижения и рисковете, свързани с естеството на данните, които трябва да бъдат защитени.
10.2. Основни технически и организационни мерки на отделните видове защита на личните данни в регистрите по т.11:
Мерки за физическата защита
определяне на помещенията, в които ще се обработват лични данни – заключващи се помещения със секретни ключалки, СОТ;
определяне на помещенията, в които се помещава сървъра, в който се съхраняват данните и компютъра, чрез който се достъпва директорията в сървъра, съхраняваща лични данни;
определяне на зони с контролиран достъп;
определяне на характеристиките на физическата среда и зоните с контролиран достъп;
разполагане на техниката – на работно бюро;
заключване на картотечните шкафове и каси, в които се съхраняват данните на хартиен носител;
определяне на организацията на физическия достъп – физически достъп до личните данни имат само лицата, обработващи лични данни, а при спазване на съответните законови правила и трети лица.
Мерки за персонална защита
познаване на нормативната уредба в областта на защитата на личните данни;
знания за опасностите за личните данни, обработвани от Дружеството;
поемане на задължение за неразпространение на личните данни чрез подписване на Декларация за неразгласяване на лични данни – Приложение №4 към настоящата Политика;
познаване на Политиката за поверителност и защита на личните данни;
спазване на политика на чисто бюро и чист екран;
несподеляне на критична информация между персонала (напр. идентификатори, пароли за достъп и др.);
обучение на служителите, обработващи лични данни;
обучение на персонала за реакция при събития, застрашаващи сигурността на личните данни.
Мерките за персонална защита гарантират достъпа до лични данни само на лица, чиито служебни задължения или конкретно възложена задача налагат такъв достъп, при спазване на принципа „Необходимост да знае”.
Мерки за документална защита
Всички регистри, се поддържат и на хартиен и на електронен носител;
Сроковете за съхранение и редът за унищожаване на личните данни във всички описани в т.11 регистри, се определят, както следва:
За регистър „Персонал”
10 години, считано от 01.01. на годината, следваща годината, през която е прекратен трудовия (граждански) договор – за данните в трудовите (гражданските) договори;
за данните във ведомостите за заплати на работниците и служителите – 50 г., считано от 01.01. на годината, следваща годината, през която са съставени;
за данните в автобиографии и други документи на кандидати за работа – до един месец след сключване на договор с избрания кандидат, освен ако лицето не е дало съгласие за по-дълъг период за участие в нов подбор;
за данните в други счетоводни документи – 3 години, считано от 01.01. на годината, следваща годината, през която са съставени;
за данни в копия от болнични листове – 3 години, считано от 01.01. на годината, следваща годината, през която са издадени;
Не се пазят копия от лични карти. Не се изискват свидетелства за съдимост и не се съхраняват копия от такива. Копията от болнични листове се съхраняват в заключмащи се шкафове и помещения на Дружеството и след изтичане на 3 годишен период се унищожават като „поверителен“ отпадък или се връщат на лицата, за които се отнасят срещу подпис.
След изтичане на предвидените срокове личните данни и носителите, върху които са записани се унищожават по следния начин – хартиените носители се нарязват като „поверителен“ отпадък, а електронните записи, чрез изтриване по начин, гарантиращ, че възстановяването им ще е невъзможно. За унищожаването на личните данни се съставя и подписва Протокол – Приложение №8 към настоящата Политика.
Мерки за защита на автоматизираните информационни системи и/или мрежи
Основните мерки за защита на автоматизираните информационни системи и/или мрежи на Дружеството като Администратор и като Обработващ са ползване на потребителско име и парола за достъп до сървъра и до информацията и данните в софтуерния продукт Sugar CRM PRO, на който се съхраняват и обработват личните данни. Паролите са индивидуални за всеки служител и се сменят периодично и задължително след напускане на служител, имащ достъп до тях.
В дейността на Дружеството като Администратор са предвидени необходимите технически и организационни мерки за защита на личните данни от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване – резервен диск с бекъпи на данните, който се съхранява в самостоятелен заключващ се шкаф в офиса на дружеството, за който ключ има Управителя и служителя/ите, определени с нарочна заповед на Управителя/ите.
Комуникацията с НАП и НОИ се извършва с електронен подпис на Дружеството. Това дава високо ниво на сигурност на комуникацията.
Ползват се надеждни антивирусти защити.
11. ДЕЙНОСТИ ПО ОБРАБОТВАНЕ СЪГЛАСНО ЧЛ.30 от ОРЗД
Дейностите по обработване на лични данни са посочени в поддържания от Администратора регистър. Дружеството документира дейностите по обработване на лични данни при спазване на принципа на отчетност и принципите за законосъобразно обработване на личните данни.
В Дружеството се обработват лични данни в следните регистри:
“ПЕРСОНАЛ”
11.1. Регистър „ПЕРСОНАЛ“
11.1.1. Общо описание на поддържания регистър
Регистър „Персонал“ се поддържа на основание, Кодекс на труда (КТ), Кодекс за социално осигуряване (КСО), Закон за здравословни и безопасни условия на труд (ЗЗБУТ), Закон за здравното осигуряване (ЗЗО), подзаконовите актове по тяхното прилагане.
Личните данни по този регистър се събират и обработват за следните цели: управление на човешките ресурси (вкл. подбор на персонал, промяна в договорните условия по трудовите правоотношения, командироване на служителите в страната и чужбина, изплащане на трудовите възнаграждения на служителите, удържане и внасяне на данъчни, здравни и осигурителни вноски.
Категориите лични данни, обработвани в регистъра са:
1. от тип физическа идентичност: имена, ЕГН/ЛНЧ, данни от документи за самоличност – номер и дата на издаване на личната карта, адрес – постоянен и по местоживеене, месторождение, дата на раждане, телефонен номер, пол;
2. от тип социална идентичност: вид на образованието, допълнителна квалификация, място, номер и дата на издаване на дипломата, предишен опит, данни относно трудова дисциплина, удостоверения за курсове и квалификации, номер, дата на издаване и категория на шофьорска книжка, други лични данни, предоставени от съответното лице в автобиография при кандидатстване за работа или в процеса по подбор;
3. от тип семейна идентичност: данни относно семейното положение на физическото лице (наличие на брак, развод, брой членове на семейството, в това число деца до 18 години), данни на съпруг/а и други близки, родствени връзки;
4. от тип физиологична идентичност: общ здравен статус (данните се съдържат в медицинска документация от личен лекар, ЛКК, ТЕЛК, НЕЛК, лечебни заведения), информация относно психическо състояние на лицето;
5. други: информация за банкова сметка, заплата и социални придобивки.
Когато Дружеството поддържа регистъра в качеството си на Обработващ допълнително вписва името на Администратора и наличността на Споразумение за обработка на личните данни.
11.1.2. Технологично описание на регистъра
Администраторът събира и обработва лични данни (защитен електронен регистър, достъпен посредством потребителско име, парола) и неавтоматизирано (хартиен носител). Личните данни се поддържат във вида и формата, които позволяват идентифициране самоличността на физическите лица.
Данните на всеки работник и служител на Дружеството, както и на кандидатите за работа, се събират, обработват и съхраняват на хартиен и технически носител от служителя/ите, определени с нарочна заповед на Управителя/ите.
Хартиените носители на личните данни на работниците и служителите се съхраняват в трудови досиета, които се подреждат в специални заключващи се помещения или заключмащи се шкафове, в работните помещения на лицата, оправомощени да обработват личните данни. Някои данни могат да се съхраняват или обработват и на технически носител. Данните от проведени конкурси и интервюта се съхраняват на технически и/или хартиен носител, в специални шкафове със заключване в работните помещения на лицата, отговорни за личните данни.
Досиета на работниците и служителите, както и данните на кандидатите за работа не се изнасят извън сградите на Дружеството.
11.1.3.Оценка на въздействието и съответното ниво на защита
наименование | НИВО | НА | ВЪЗДЕЙСТВИЕ | |
на регистъра | поверителност | цялостност | наличност | общо за регистъра |
„ПЕРСОНАЛ“ | ниско | ниско | ниско | ниско |
11.1.4. Технически и организационни мерки за защита
Видовете защита на личните данни в регистър „Персонал“ са физическа, персонална, документална, защита на автоматизирани информационни системи и/или мрежи. Специална криптографска защита не се прилага, извън стандартните криптографски възможности на операционните системи и комуникационното оборудване.
11.2. Регистър „Клиенти“
11.2.1. Общо описание на поддържания регистър
Регистър „КЛИЕНТИ“ се поддържа на основание на Закона за счетоводството и подзаконовите актове по неговото прилагане. Става въпрос за лични данни на физически лица – клиенти на Администратора. Преди всичко това са адвокати, нотариуси и други самоосигуряващи се лица, Еднолични търговци и др.
11.2.2.Категориите лични данни, обработвани в регистъра са:
1. от тип физическа идентичност: имена, ЕГН/ЛНЧ, данни от документи за самоличност – номер и дата на издаване на личната карта, адрес – постоянен и по местоживеене, месторождение, дата на раждане, телефонен номер, имейл;
2. от тип социална идентичност: данни относно трудов стаж;
3. от тип семейна идентичност: данни относно семейното положение на физическото лице (наличие на брак, развод, брой членове на семейството, в това число деца до 18 години), данни на съпруг/а и други близки, родствени връзки;
4. други: информация за банкова сметка, заплата и социални придобивки; данни за закупувани и продавани имоти, данни за банкови сметки и наличности по тях, притежавани финансови активи и др.
Специални категории данни, които обработваме:
Данни за здравословно състояние: болнични листове, решения на ТЕЛК/НЕЛК и др.п.
11.2.3. Технологично описание на регистъра
Администраторът събира и обработва личните данни по регистъра автоматизирано (защитен електронен регистър, чрез използване на софтуерния продукт Sugar CRM PRO, достъпен посредством потребителско име, парола и/или електронен ключ) и неавтоматизирано (хартиен носител). Личните данни се поддържат във вида и формата, които позволяват идентифициране самоличността на физическите лица.
Данните в регистъра на хартиен и технически носител се събират, обработват и съхраняват в офиса на Дружеството. Хартиените носители на личните данни на физическите лица по този регистър се съхраняват в класьори, които се подреждат в специални заключващи се помещения или заключващи се шкафове, в работните помещения на лицата, оправомощени да обработват личните данни. Помещенията не са достъпни за външни лица и са с контрол на достъпа само за оправомощените служители на Дружеството. Някои данни могат да се съхраняват или обработват и на технически носител.
11.2.4. Оценка на въздействието и определяне на ниво на защита
наименование | НИВО | НА | ВЪЗДЕЙСТВИЕ | |
на регистъра | поверителност | цялостност | наличност | общо за регистъра |
„КЛИЕНТИ“ | ниско | ниско | ниско | ниско |
Предвид сравнително малкия брой субекти, както и размера на вредите, които биха могли да бъдат причинени на субектите, чийто данни се обработват, оценката на риска за сигурността на тези данни е ниска.
11.2.5. Технически и организационни мерки за защита
Видовете защита на личните данни в регистър „Клиенти“ са физическа, персонална, документална и защита на автоматизирани информационни системи и/или мрежи. Специална криптографска защита не се прилага, извън стандартните криптографски възможности на операционните системи и комуникационното оборудване.
12. „УНИВЕРС КОНСУЛТ“ ООД, ЕИК 121109258 КАТО ОБРАБОТВАЩ ЛИЧНИ ДАННИ
12.1. В определени случаи, „УНИВЕРС КОНСУЛТ“ ООД, ЕИК 121109258, както бе споменато в настоящата Политика по-горе се явява Обработващ лични данни, когато обработва лични данни на служители и контрагенти – физически лица на своите клиенти по договор за счетоводни услуги. В тези случаи отношенията между „УНИВЕРС КОНСУЛТ“ ООД, ЕИК 121109258 като Обработващ лични данни и съответния Администратор ще се уреждат с нарочно споразумение. Управителят на „УНИВЕРС КОНСУЛТ“ ООД, ЕИК 121109258 винаги ще има задължение да инструктира служителите, ако от тях се изисква да предприемат различен подход и действия от предвидените в настоящата Политика според изискванията на конкретния Администратор.
12.2.За дейностите по обработка на личните данни в качеството си на Обработващ, „УНИВЕРС КОНСУЛТ“ ООД, ЕИК 121109258 води регистър по чл. 30, ал.2 от ОРЗД – Съгласно т.11.2. от настоящата Политика.
В случаите, когато „УНИВЕРС КОНСУЛТ“ ООД, ЕИК 121109258, е Обработващ се следи дали е подписано Споразумение за обработка на личните данни със съответния Администратор. В случай, че не е подписано такова, не се обработват лични данни на служители, клиенти или контрагенти на Администратора до подписването на такова споразумение.
Настоящата Политика и приложенията към нея са въведени с Протокол на Общото събрание на съдружниците на „УНИВЕРС КОНСУЛТ“ ООД, ЕИК 121109258 от 25.05.2018 г.
13. ПРИЛОЖЕНИЯ
Приложение 1 – Декларация – уведомление за поверителност на личните данни на служителите;
Приложение 2 – Протокол за обучение и инструктаж;
Приложение 3 – Декларация за неразгласяване на лични данни;
Приложение 4 – Декларация-съгласие за обработване на лични данни;
Приложение 5 – Заявление за достъп, изтриване/коригиране, ограничаване на обработването, преносимост, възражение срещу обработване на лични данни;
Приложение 6 – Дневник за регистриране на нарушения на сигурността на личните данни и исканията на субектите на лични данни;
Приложение 7 –Уведомление относно нарушение на сигурността на личните данни;
Приложение 8 – Протокол за унищожаване на лични данни;