Обща политика за защита на личните данни на „АВВИ“ ООД

Версия 1, дата 22.05.2018

Въведение

Настоящата политика е изготвена въз основа на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. за защита на физическите лица по отношение на обработката на лични данни и за свободното движение на такива данни и за отмяна на Директива 95/46 / ЕО, както и въз основа на съответните насоки, приети от Работна група 29. Тъй като към момента на изготвянето на настоящата политика, защитата на физическите лица по отношение на обработката на лични данни се осигурява от българския Закон за защита на личните данни, всякакви промени в законодателството (както на европейско, така и на национално равнище) могат да имат за последица възникването на необходимост от изменение или допълване на тази политика. В случай на несъответствие между тази политика и законодателството (както първично, така и вторично), последното има предимство.

„АВВИ“ ООД, ЕИК 130336591, със седалище и адрес на управление: гр. София 1000, ул. „Росица“ № 9, („Дружеството“, „АВВИ“ ООД):

(1) Считано от 25 май 2018 година влиза в сила Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО („GDPR“), с който се променя съществено съществуващият правен режим на защита на данните,

(2) Като юридическо лице, установено на територията на Република България „АВВИ“ ООД, е администратор на лични данни и обработва такива в съответствие с GDPR и актовете по неговото прилагане, както и с действащото национално законодателство, прие настоящата Вътрешна политика за защита на личните данни (наричана по-долу за краткост „Политика“):

„АВВИ“ ООД подхожда с най-голяма отговорност и се ангажира да обработва личните данни в съответствие с приложимото действащо законодателство. Политиката има за цел да предостави рамката по отношение на обработването на лични данни, извършвано от „АВВИ“ ООД, както и да начертае основните принципи, които следва да бъдат спазени във всеки един процес по обработване в Дружеството. Настоящата политика може да се допълва от политики, насочени към неприкосновеността на личните данни, както и процедури и инструкции, регулиращи отделни, специфични права и задължения, свързани със защитата на личните данни.

Обхват

Политиката обхваща използването и обработването на лични данни за всички лица, включително клиенти, служители, изпълнители и доставчици. Всеки в „АВВИ“ ООД следва да спазва настоящата политика при обработката на лични данни. Не съществуват изключения от това правило.

Дефиниции

За целите на настоящата политика долупосочените термини имат следното значение:

Администратори на лични данни са хората или дружествата, които определят целите и начина, по който се обработват Лични данни. Те носят отговорност за установяване на практики и политики в съответствие с приложимите закони за защита на данните. „АВВИ“ ООД е администратор на всички Лични данни на служители, обработвани в рамките на дейността на „АВВИ“ ООД. „АВВИ“ ООД е администратор на Лични данни на служителите си и е администратор на Лични данни на клиентите си.

Обработващ лични данни е всяко лице, което обработва Лични данни от името на Администратор на лични данни. Служителите на Администраторите на лични данни са изключени от обхвата на това определение, но доставчиците, които обработват Лични данни от име на „АВВИ“ ООД, се включват в обхвата.

Субект на данни е идентифицирано физическо лице, за което се отнасят Лични данни или физическо лице, което може да бъде идентифицирано и до което се отнасят Лични данни. За целите на тази политика субектите на данни могат да бъдат служители, клиенти и/или представители на доставчици и бизнес партньори, както и други физически лица, чиито Лични данни могат да бъдат обработвани от Дружеството.

Лични данни са данни или информация, свързани с физическо лице, което може да бъде идентифицирано. Физическо лице, което може да бъде идентифицирано, е такова лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез посочване на идентификатор като име, идентификационен номер, данни за местоположението, онлайн идентификатор или един или повече фактори, специфични за физическата, физиологичната, генетичната умствената, икономическата, културната или социалната идентичност на това физическо лице. Личните данни могат да бъдат съхранявани електронно, на компютър или в определени системи на хартиен носител.

Лични данни, отнасящи се до престъпления и наказателни производства са Лични данни, свързани с наказателни производства, престъпления и/или осъдителни присъди и помилвания

Обработване е всяка операция или набор от операции, извършвани с Лични данни, независимо дали чрез автоматични средства, като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, използване, разкриване чрез трансфер, разпространяване или предоставяне по друг начин, привеждане в съответствие или комбиниране, ограничаване, изтриване или унищожаване.

Специални категории лични данни са Лични данни, разкриващи раса или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации и обработка на генетични данни, биометрични данни с цел еднозначно идентифициране на физическо лице, здравето или данните относно сексуалния живот или сексуалната ориентация на физическо лице.

Видове лични данни, обработвани в „АВВИ“ ООД

„АВВИ“ ООД събира лични данни във връзка със следните категории данни (изброяването е неизчерпателно):

  • данни на кандидати за работа и персонал на „АВВИ“ ООД, свързани с тяхната (потенциална) позиция в „АВВИ“ ООД (включително данни за контакт, автобиография и други);
  • данни за зависимите от служители на „АВВИ“ ООД лица, както и за членовете на семейството на служителите на „АВВИ“ ООД, във връзка с целите на осигурителното и данъчното законодателство;
  • клиенти и потенциалните клиенти;
  • потребители, някои от които също се превръщат в директни клиенти, свързани с продуктите и услугите, за които ни отправят запитвания;
  • търговските партньори на „АВВИ“ ООД, както и други лица, отговарящи за управлението на търговските взаимоотношения.

В определени и ограничени случаи „АВВИ“ ООД може да обработва и специални категории лични данни.

Задължения на Дружеството във връзка със защитата на лични данни

„АВВИ“ ООД има следните задължения в качеството си на администратор на лични данни:

  • определя политиката за защита на личните данни в Дружеството, спазва изискванията на GDPR и националното законодателство;
  • извършва анализ от нуждата за длъжностно лице по защита на данните и назначава такова, ако е приложимо;
  • осигурява организацията по водене на регистрите на дейностите, свързани с обработване на лични данни, съгласно предвидените мерки за гарантиране на адекватна защита;
  • въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, които са разработени с оглед на ефективното прилагане на принципите за защита на данните;
  • осигурява упражняването на правата на физическите лица за защита на личните данни;
  • въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването на лични данни се извършва съобразно изискванията на GDPR;
  • въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност;
  • осъществява контрол по спазване на изискванията за защита на регистрите, установява обстоятелства, свързани с нарушаване на тяхната защита, и предприема мерки за тяхното отстраняване;
  • актуализира поддържаните регистри с лични данни;
  • поддържа личните данни във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват;
  • периодично информира и обучава персонала по въпросите на защитата на личните данни;
  • оказва съдействие при осъществяването на контролните функции на Надзорния орган (за България - Комисия за защита на личните данни), подпомага установяването на обстоятелства, свързани със защитата на личните данни;
  • определя правата на служителите за достъп до лични данни в информационните системи съобразно целите на обработване, така че да се гарантира законосъобразност и да се спазят принципите на обработване;
  • използва само обработващи лични данни, които предоставят достатъчни гаранции посредством прилагането на подходящи технически и организационни мерки за защита;
  • в случай на нарушение на сигурността на личните данни, уведомява, надзорния орган по защита на личните данни без ненужно забавяне при установен риск за засегнатите лица, не по-късно от 72 часа след като е разбрал за него. Надзорният орган не се уведомява когато не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица;
  • в случай на установен висок риск за физическите лица, ги информира по подходящ начин за нарушението по сигурността на личните данни;
  • документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него;
  • извършва оценка на въздействието съгласно изискванията на чл. 35 от GDPR.
Принципи на защита на данните

Придържането към принципите, поставени като изискване от GDPR, е от основно значение за подпомагане на практическото прилагане на GDPR и за демонстриране на отговорно отношение. Лични данни могат да бъдат обработвани само в съответствие с настоящата Политика и следвайки принципите, както са описани по-долу:

  1. Законност

    Всеки път, когато лични данни биват събирани, те трябва да се събират с яснота относно законната бизнес цел, с оглед осъществяването на която данните се събират. Обработването на лични данни трябва да е въз основа на едно от правните основания за обработване, описани в GDPR, в противен случай няма да е законосъобразно.

    В случаите, в които „АВВИ“ ООД обработва Специална категория лични данни (напр. данни, свързани със здравето на служителя), следва да се полага дължимата грижа в по-голяма степен в сравнение с грижата по отношение на други лични данни, т.к. презумпцията е, че информацията за такива данни може да бъде използвана по дискриминационен начин и е вероятно да е от изключително личен характер. Естеството на данните също е фактор при определянето на това какви защитни мерки да се предприемат. Когато „АВВИ“ ООД обработва такива лични данни, трябва да отговаря на едно или повече от основанията за обработване, които се отнасят конкретно за такива данни, както е посочено в GDPR, както и на едно от общите основания, приложими във всеки отделен случай.

  2. Откритост

    Развитието, практиките и политиките по отношение на личните данни следва да бъдат създавани и актуализирани в съответствие с основния принцип на откритост. „АВВИ“ ООД е длъжно да предоставя информация и да съдейства на лицата, които желаят да разберат дали и как се обработват личните им данни, както и данните за отговорното дружество, което обработва личните им данни. Ако лицата не знаят какво събираме и защо, обработването на данните не може да бъде определено като „справедливо“.

    „АВВИ“ ООД има задължение в качеството си на администратор да предостави Уведомление/Известие за поверителност на данните на Субектите на данни, когато се събират техни лични данни, освен ако за лицето знае защо се събират данните му или ако целите за събиране и обработване са очевидни за Субекта на данните. Задължението за уведомяване на субектите за данни се отнася до всички форми на събиране на данни като GDPR налага конкретни изисквания за това какво трябва да включва валидно Уведомление за поверителност на данните.

  3. Ограничаване на събирането на данни

    Всяко събиране на лични данни трябва да бъде ограничено до данните, необходими за целта, за която „АВВИ“ ООД ги е събрало. Личните данни трябва да се получават само по законосъобразни и прозрачни начини и, когато е уместно, със знанието или съгласието на физическото лице, за което се отнасят данните, без съгласието да е единствено и абсолютно основание за обработване на лични данни.

    При наличие на информация, която се дава от субект на данни в определена форма, било то електронна или на хартия, то данните, които са необходими за изпълнение на определена цел, следва да бъдат отбелязани като всяка информация, която се предоставя доброволно и в допълнение на минимално необходимата, следва да бъде маркирана като такава, за да даде информация на лицето, че предоставянето й не е задължително.

    Когато е възможно, Личните данни трябва да бъдат анонимизирани, псевдонимизирани или обобщени в максимална степен.

  4. Качество на данните

    Личните данни трябва да са от значение за целите, за които те ще бъдат използвани. Личните данни трябва да бъдат точни, пълни, събрани с оглед целта на обработката им и поддържани актуални. Следва да бъде дадена възможност на субектите на данни да актуализират собствените си данни, а ако това не е приложимо, да се въведат процеси, които да гарантират точността на данните.

  5. Конкретна цел

    Целите, за които се събират лични данни, трябва да бъдат съобщени на физическите лица в момента на събиране на данните. Данните трябва да се използват само за целите, за които са събрани, или за други цели, които не са несъвместими с първоначално посочените цели. Всякакви други цели следва да бъдат съобщени на засегнатите лица.

  6. Ограничаване на използването и на съхранението

    Личните данни не трябва да се разкриват, предоставят или използват по друг начин за цели, различни от тези, които са съобщени на субектите на данни, освен със съгласието на последните или от по силата на закона. Възможно е да се обработват данни и за друга цел от първичната, но само ако тя е съвместима с първичната цел.

    Ако искате да започнете обработването на лични данни, които са събрани от „АВВИ“ ООД за цел, различна от тази, за която първоначално са били събрани и описани в Уведомление/Известие за поверителност на данните, трябва да сте сигурни, че можете законно да използвате личните данни за новата цел. При съмнения или последващо използване на данните се свържете с длъжностното лице по защита на данните, което може да прецени дали поради последващо използване на информацията, се налага да следвате специална процедура за управление на промените спазвате защита на данните на етапа на проектирането и по подразбиране и/или оценка на въздействието върху защитата на данните. Има вероятност да бъде породена смяна/актуализиране на вече съществуващи уведомления/известия за поверителност на данните или да се наложи да получите допълнително съгласие от субекта на данни, ако основание за обработването е съгласие.

    Защита на данните на етапа на проектирането се отнася до подход към проекти, които осигуряват спазването на поверителността и защитата на данните от самото начало. При въвеждането на нови технологии, системи, приложения и/или процеси „АВВИ“ ООД трябва да приложи подходящи технически и организационни мерки, за да гарантира, че защитата на данните е основен фактор в ранните етапи на всеки проект, както и през жизнения му цикъл. Оценката на въздействието върху защитата на данните е процес, който помага за оценката на рисковете за поверителността на данните при събирането, използването и разкриването на лична информация. Оценката на въздействието върху защитата на данните би могла да бъде подобрена от подходите за защита на данните на етапа на проектиране и по подразбиране.

    „АВВИ“ ООД трябва да поддържа данните в идентифицируема форма само докато е необходимо за изпълнение на целите, за които данните се обработват. Всички останали данни следва да бъдат изтрити от всички системи и всички носители в „АВВИ“ ООД след установения период за съхранение, който е определен с оглед изискванията на местното законодателство и на бизнес дейността на „АВВИ“ ООД. Постигането и преследването на легитимните интереси на „АВВИ“ ООД не следва да бъде в противоречие, а в баланс с правата на субектите на данни. Последното се постига като се създава специална политика за правата и начините за упражняването им в „АВВИ“ ООД, както и периодично актуализиране на процедурата за съхранение на данни.

  7. Цялостност и поверителност

    Личните данни следва да бъдат защитени с разумни гаранции за сигурност срещу рискове като загуба или неразрешен достъп, унищожаване, използване, промяна или разкриване на данни. Запазването на сигурността и защитата на лични данни е от изключително значение при всяко обработване. „АВВИ“ ООД следва да разработва процедура за сигурността на личните данни и тези мерки да съответстват на нивото на риск за правата на субектите на данни.

    При използване на лица, подизпълнители или доставчици „АВВИ“ ООД следва да гарантира, че такива лица, имащи достъп до лични данни, също отговарят на изискванията за сигурност, техническите и организационни мерки за сигурност на „АВВИ“ ООД.

  8. Отговорност, отчетност

    Дружеството, което е събрало данните и определя как се обработват – администратор на лични данни, трябва да бъде отговорно за спазването на мерките, разработени в резултат на прилагането на посочените по-горе принципи.

    Принципът на отчетност означава, че „АВВИ“ ООД следва да може да демонстрира във всеки един момент съответствие с изискванията на GDPR. Това се постига чрез прилагане на следните практики:

    • Съответствие с местното действащо законодателство и приложимото такова в зависимост от случая и прилагане на адекватни технологични и организационни мерки за защита на данните;
    • Поддържане на актуален и точен регистър за дейностите по обработване на данни (изисква се съгласно член 30 от GDPR), който следва да бъде предоставен на регулатора при поискване. При необходимост този регистър се съгласува със стандарти на „АВВИ“ ООД;
    • Извършване на оценка на въздействие върху защита на данните (известни като „PIAs” или „DPIAs”) по отношение на всяка нова дейност по обработване, която може да представлява висок риск за правата и свободите на физическите лица;
    • Спазване на защита на данните на етапа на проектирането и по подразбиране при разработването на нови технологии, системи, приложения или бизнес процеси;
    • Адекватно и периодично обучение на лицата за организационните и технически мерки за защита на данните, създаване на план за това обучение;
    • Провеждане на редовни вътрешни и външни одити на процедурите на „АВВИ“ ООД при обработване на личните данни;
    • Навременно докладване на релевантните лица и органи при нарушения на защита на личните данни и постоянно анализиране на настъпилите нарушения с цел подобрение в процесите и системите на „АВВИ“ ООД;
    • Съдействие при евентуално регулаторно разследване.
Права на субектите на данни

„АВВИ“ ООД предприема необходимите мерки за предоставяне на информация на физическите лица относно обработването на лични данни в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език. Администраторът съдейства за упражняването на правата на субекта на данните по членове 15-22 от GDPR, с изключение на случаите, когато не е в състояние да идентифицира физическото лице. GDPR обогатява вече съществуващите права на субектите на данни с някои нови положения, като дава предписания за начина, по който те да бъдат упражнени. GDPR разширява правата, с които разполагат Субектите на данни, за да разберат и контролират как се използват и обработват личните им данни.

Дадено лице има право на:

  • Право на достъп: право на искане на копие от Лични им данни, които се обработват от „АВВИ“ ООД и от трети лица, с които „АВВИ“ ООД работи (например доставчици на осигурителни и застрахователни услуги). Право на достъп до данните на физическото лице включва:
    • целите на обработването;
    • категориите лични данни;
    • сроковете за съхранение на личните данни;
    • съществуването на право на коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, или възражение обработване;
    • правото на жалба до Надзорен орган;
    • източниците на лични данни.
    Съгласно правото на субектите на данни за достъп до данните им, дадено лице има право на информация, свързана само със собствените му лични данни, а не на информация, свързана с други хора, освен ако лицето, подаващо искането, действа от името на това лице.
  • Право на поправяне: правото на поправка на неточни или непълни лични данни.
  • Право на изтриване: правото на лични данни да бъдат окончателно премахнати, което означава, че вече не се обработват.
    То се прилага само в следните конкретни ситуации:
    • когато личните данни вече не са необходими за първоначалната цел, за която са били събрани/обработени;
    • когато данните са незаконно обработени (т.е. по начин, който е в нарушение на GDPR);
    • ако субектът на данните оттегли своето съгласие и няма друго правно основание (например законни интереси) за обработката на личните му данни.
    Въпреки това, „АВВИ“ ООД може да запази личните данни, когато:
    • съществуват убедителни основания (например действащи застрахователни договори, текущи щети и др.);
    • данните са необходими, за да се спази правно задължение (например фирмени записи на данни, финанси, одит); или
      е необходимо за завеждане, водене или защита по правни искове (например задържане при висящи щети).
  • Право на ограничаване на обработването: правото да се изисква от „АВВИ“ ООД временно или постоянно да преустанови обработването на всички или някои от личните им данни. Ако данните са били разкрити на други лица, трябва да се уведомят за ограничаването на обработката на данните (освен ако това е невъзможно или води до несъразмерно усилия). Това право също има определени описани в GDPR случаи, в които е приложимо.
  • Право на преносимост на данните: правото да получават личните данни в структуриран, широко използван, машинно четаем и оперативно съвместим формат, като им се дава възможност да предоставят Личните си данни на друг администратор на лични данни сами или чрез „АВВИ“ ООД. То се прилага само когато са налице всички изброени по-долу предпоставки:
    1. личните данни се обработват по автоматизиран начин (т.е. няма записи на данните на хартиен носител);
    2. личните данни са доброволно предоставени на администратора от субекта на данните; и
    3. основанието за обработка е само съгласието на субекта на данните или ако данните се обработват с оглед изпълнението на договор или като подготвителни стъпки към сключването на договор.
  • Право на възражение: право на възражение срещу обработването на Личните данни, когато обработването се основава на съображения от обществен или законен интерес или се извършва за целите на директния маркетинг.
  • Автоматизирано вземане на решения (включително профилиране): правото да не се вземат решения, основани единствено на автоматизирано индивидуално вземане на решения, включително профилиране, които имат правно действие по отношение на Субектите на данни или ги засягат значително.
  • Право на даване, промяна или оттегляне на съгласие за обработване на лични данни за случаите, когато съгласието е основание за обработване на данните.

За да осигури механизъм и гаранция на правата на субектите на данни, то „АВВИ“ ООД създава вътрешен процес за обработване и проследяване на искания на субекти на данни.

Съгласие за обработване на данни

На основание чл. 6(1) от GDPR съгласието от лицето е едно от допустимите условия за законосъобразност на обработването на лични данни. Съгласие следва да се дава лично чрез писмена декларация, в електронна форма или друг определен от Администратора начин, с който да се гарантира, че съгласието е:

  • свободно дадено,
  • конкретно,
  • информирано и
  • недвусмислено

от страна на физическото лице. Мълчаливото съгласие, предварително отметнатите полета или липсата на действие не следва да се считат за съгласие.

„АВВИ“ ООД следва да осигури възможност на лицата по лесен начин да променят или оттеглят съгласието си, без това да поражда неблагоприятни правни последици за тях.

Длъжностно лице по защита на данните

„АВВИ“ ООД е определило длъжностно лице по защита на данните, което участва по подходящ начин и своевременно във всички въпроси, свързани със защитата на личните данни. Отговорностите на длъжностното лице по защита на данните са подробно разписани в длъжностната му характеристика.

ДЗЛД има следните задължения и правомощия, но не само:

  • информира и съветва ръководството и служителите, които извършват дейности по обработване на лични данни, относно задълженията им съгласно GDPR и всички други приложими нормативни актове на ЕС и националното законодателство в областта на защитата на личните данни;
  • следи и отговаря за повишаване на осведомеността и обучението на персонала, който участва в операции по обработване на личните данни;
  • следи за необходимостта от промяна в дейностите по обработване на лични данни и на свързаните с тях и/или регламентиращи ги документи;
  • действа като единна точка за контакт за субектите на данни във връзка с упражняването на техните права съгласно GDPR;
  • осъществява цялостно наблюдение, извършва регулярна оценка, консултира и дава препоръки и предложения с оглед гарантиране на подходящо ниво на сигурност на личните данни.
Отношения с обработващи лични данни

При възлагане обработването на лични данни на трети страни „АВВИ“ ООД в качеството си на администраторът спазва следните изисквания:

  • Избират се само обработващи, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки за защита на личните данни.
  • В писмените договори с обработващите се уреждат условията за защита на личните данни.
  • Субектите на данни се информират по установения ред.

Договорите с Обработващите следва да съдържат най-малко следните реквизити:

  • предмета и срока на действие на обработването;
  • целите и естеството на обработването;
  • категориите физически лица, за които се осъществява обработването;
  • категориите лични данни, които са в обхвата на обработването;
  • правата и задълженията на Администратора;
  • Изисквания към Обработващия съгласно чл. 28 (3) от GDPR
Предоставяне на лични данни. Трансфер

Организации с международна дейност като „АВВИ“ ООД понякога се налага да предоставят лични данни на дружества в рамките на Willis. Прилагат се следните правила:

Предоставяне на данни в Групата на „АВВИ“ ООД: Личните данни могат да бъдат предоставени на друго „АВВИ“ ООД дружество за целите на статистиката и управление на услугите и качеството на предоставянето им като Групата предприема необходимите мерки за защита на нивото на сигурност на данните, както и за приложените технически и организационни мерки за защита.

В отделни случаи е възможно данните да бъдат прехвърлени в трети страни по силата на договор между „АВВИ“ ООД и дружество, действащо като изпълнител за определени услуги. В тези случаи „АВВИ“ ООД, чрез дружеството – майка Willis, гарантира този трансфер да бъде извършен при пълно съответствие на законовите разпоредби затова, като гарантира нивото на защита на данните (включително но не само сключване на стандартни клаузи за трансфер, одобрени от Европейската Комисия). Защитата на информацията остава с данните.

Управление на инциденти при сигурността

Управлението на инциденти по сигурността на личните данни се основава на изискванията в чл. 33 и чл. 34 от GDPR. В случай на нарушение на сигурността, което може да породи висок риск за правата и свободите на лицата, Администраторът има 72-часов срок за информиране на Надзорния орган. При наличие на висок риск задължително се уведомяват и физическите лица.

Технически и организационни мерки за защита на данните

В дейността на „АВВИ“ ООД предвижда необходимите технически и организационни мерки за защита на личните данни от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.

Видовете защита биват физическа, персонална, документална, защита на автоматизирани информационни системи и/или мрежи, криптографска защита.

Администраторът предприема следните мерки за защита на личните данни:

  • мерки за физическа защита на личните данни, представляваща система от технически и организационни мерки за предотвратяване на нерегламентиран достъп до сгради, помещения и съоръжения, в които се обработват лични данни включват:
    1. технически мерки:
      • система за контрол на достъпа до помещенията на дружеството;
      • заключване на помещенията в извънработно време и регламентиране на достъпа до тях;
      • осигуряване на заключващи се помещения и шкафовете за съхранение на информация, свързана с лични данни в предвидените от вътрешно-организационните и нормативни документи случаи;
      • оборудване на помещенията с необходимото за съхранение на информацията, свързана с личните данни /папки, досиета/ обзавеждане;
      • наличие на организация, гарантираща, пожаробезопасността съобразно нормативните изисквания.
    2. организационни мерки:
      • определяне на помещенията, в които ще се обработват лични данни, както и на тези, в които ще се разполагат елементите на комуникационно-информационните системи за обработване на лични данни, вкл. и определяне на организацията на физическия достъп
      • определяне на зони с контролиран достъп;
      • определяне характеристиките на физическата среда и зоните с контролиран достъп;
      • определяне на помещенията, в които се разполагат елементите на комуникационно-информационните системи за обработване на лични данни;
      • определяне на организация на физическия достъп;
      • определяне на основни технически средства за физическа защита.
  • мерки за персонална защита, представляваща система от организационни мерки спрямо физическите лица, които обработват лични данни по указание на „АВВИ“ ООД, включват:
    • познаване и спазване на нормативната уредба в областта на защитата на личните данни;
    • познаване на политиката и ръководствата за защита на личните данни;
    • спазване на политика на чисто бюро и чист екран;
    • несподеляне на критична информация между персонала (напр. идентификатори, пароли за достъп и др.);
    • съгласие за поемане на задължение за неразпространение наличните данни, поверителност;
    • обучение на служителите, обработващи лични данни;
    • обучение на персонала за реакция при събития, застрашаващи сигурността на личните данни;
    • определени начини за персонална защита.
  • мерки за документална защита, представляваща система от организационни мерки при обработването на лични данни на хартиен носител, включват:
    • определени условията за обработване на лични данни на хартиен носител;
    • регламентиран достъп на отговорните служители до регистрите, поддържани на хартиен носител;
    • определен контрол на достъпа до регистрите, поддържани на хартиен носител;
    • определени срокове и условия за съхранение на личните данни на хартиен носител;
    • определени правила за размножаване и разпространение на хартиените носители с лични данни;
    • създадени процедури за унищожаване на хартиени носители с лични данни.
  • мерки за защита на автоматизирани информационни системи и/или мрежи, представляваща система от технически и организационни мерки за защита от незаконни форми на обработване на личните данни, включват:
    • определени начини за идентификация и автентификация на потребителите;
    • външни връзки/свързване;
    • определени начини за осъществяване на телекомуникации и отдалечен достъп;
    • необходими мерки за защита от вируси;
    • предприети необходими мерки за поддържане/експлоатация на информационните системи и/или мрежи;
    • определени начини за съхраняване на копия/резервни копия на информация с възможност за възстановяване;
    • определени видове носители на информация;
    • определени характеристики на физическата среда/обкръжението;
    • определени начини за персонална защита;
    • определени срокове за съхранение на личните данни в електронен вид;
    • създадени правила за унищожаване/заличаване/изтриване на електронни носители.
  • мерки за криптографска защита, представляваща система от технически и организационни мерки, които се прилагат с цел защита на личните данни от нерегламентиран достъп при предаване, разпространяване или предоставяне, включват:
    • стандартните криптографски възможности на операционните системи;
    • стандартните криптографски възможности на системите за управление на бази данни;
    • стандартните криптографски възможности на комуникационното оборудване.

Мерките са съобразени със съвременните технологични постижения и осигуряват ниво на защита, което съответства на рисковете, свързани с дейностите по обработка и категорията на защитените данни.

В допълнение „АВВИ“ ООД следва да предприеме и следните технически и организационни мерки:

  • Личните данни върху технически носител се съхраняват в определени шкафове в кабинетите на съответните служители, които в извънработно време се заключват.
  • Личните данни не се изнасят от сградите на „АВВИ“ ООД, освен при служебна необходимост и/или разрешение.
  • Личните данни, организирани и съхранявани в електронен вид, се въвеждат на твърд диск на сървър от компютърната мрежа (в случай, че се обработват от повече от един служител) или на изолиран компютър (в случай, че се обработват само от един служител или от съответното работно място не може да бъде осигурен достъп до сървър). Компютрите, на които се обработват лични данни и се осигурява достъп до такива, са свързани в локалната мрежа със защитен достъп до личните данни, с който може да работи само обработващият лични данни. На изолирани компютри се обработват лични данни, при спазване на политиките за контролиран достъп (потребителско име, парола, антивирусна защита и др.)
  • При работа с личните данни се използват съответните софтуерни продукти за обработка на същите, включително относно управлението на човешките ресурси, възнагражденията на персонала, в това число основни и допълнителни възнаграждения, данъчни и други (вноски по заеми, запори и пр.) задължения, трудов стаж, присъствени и неприсъствени дни и други подобни и относно служителите на „АВВИ“ ООД.
  • Достъп до операционната система, съдържаща файловете за обработка на лични данни, имат само отговорните служители, обработващи лични данни чрез персонална парола за отваряне на тези файлове, известна само на съответния служител, а в негово отсъствие - на прекия му ръководител или друг служител, изрично определен за целта.
  • Компютрите за обработка на лични данни се поставят в отделни помещения за работа, а когато не е налице организационно-техническа възможност за това, компютрите могат да бъдат поставени в общо помещение за работа.
  • За повишаване сигурността на обработката на лични данни съгласно чл. 32 на Регламента, „АВВИ“ ООД може да въвежда допълнителни организационни, технологични и технически мерки, за да гарантира постоянна наличност, поверителност и цялостност на личните данни.
Задължения на служителите на „АВВИ“ ООД

Служителите на „АВВИ“ ООД обработват лични данни в съответствие с нормативната уредба в областта на защитата на личните данни и политиките, процедурите и инструкциите за защита на личните данни на „АВВИ“ ООД.

За неизпълнение на задълженията, вменени на съответните лица по тази политика и другите, приети политики, процедури и инструкции за защита на личните данни в „АВВИ“ ООД, се налагат дисциплинарни наказания по Кодекса на труда, а когато неизпълнението на съответното задължение е констатирано и установено от надлежен орган – предвиденото в Закона за защита на личните данни административно наказание – глоба. Ако в резултат действията на съответното длъжностно лице по обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако извършеното нарушение представлява престъпление, за което се предвижда наказателна отговорност.

Поддръжка и контакт

Преразглеждането и поддържането на настоящата политика е отговорност на Правния отдел на дружеството. Запитвания и искания във връзка с упражняването на правата на субектите на лични данни следва да бъдат насочени към Този имейл адрес е защитен от спам ботове. Трябва да имате пусната JavaScript поддръжка, за да го видите..