ВЪТРЕШНИ ПРАВИЛА
ЗА АДМИНИСТРИРАНЕ НА ЛИЧНИ ДАННИ

РАЗДЕЛ І. ОБЩИ ПОЛОЖЕНИЯ

Чл.1. (1) Настоящите вътрешни правила за администриране на лични данни наричани по–нататък за краткост “Правилата”, уреждат организацията, реда и условията за събиране и водене на лични данни и упражняването на контрол при тяхното обработването по смисъла на Регламент (ЕС) 2016/679 на Европейския парламент (Регламента) за защита на личните данни (ЗЛД).
(2) Обработването на личните данни е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с електронни или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.
(3) Достъп до определена информация във връзка с обработването на личните данни се осигурява само на оправомощени за това лица, съгласно длъжностната им характеристика.

Чл.2. Правилата се приемат с цел да:
1. създадат процедури и механизми за гарантиране неприкосновеността на личността от неправомерно обработване на свързаните с нея лични данни в процеса на свободното движение на информация;
2. определят задълженията на длъжностните лица, обработващи лични данни и/или лицата, които имат достъп до лични данни и отговорността при неизпълнение на тези задължения;
3. въведат необходимите технически и организационни мерки за защита на личните данни от случайно или незаконно унищожаване, от загуба, от неправомерен достъп, от неправомерно изменение или разпространение, както и от други незаконни форми на обработване;
4. определят видовете групи данни, които се обработват и водят в Сдружение “Колеж за работническо обучение” и тяхното описание.

Чл.3. (1) Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.

Чл.4. Обработване на личните данни е всяко действие или съвкупност от действия по отношение на личните данни с електронни или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване или предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване на данните.

Чл. 5. (1) Защитата на лични данни се осъществява въз основа на принципите за законосъобразно и добросъвестно обработване.
(2) Ограничено събиране, обработване, използване, разкриване и съхранение:
 Ограничено събиране – Личните данни се събират за конкретни, точно определени цели. Допълнителното събиране на лични данни трябва да се аргументира с промяна на целта или за нейното прецизиране. Събирането на лични данни трябва да е ограничено само в рамките на необходимото за целите, определени от организацията.
 Ограничено обработване – Личните данни се обработват единствено за определените цели и не може да се обработват допълнително по начин, несъвместим с тези цели. Допълнителното им обработване за други цели от тези, за които са събирани е допустимо само при посочени в закона условия.
 Ограничено използване – Личните данни не трябва да се използват за цели, различни от тези, за които са били събрани.
 Ограничено разкриване – Лични данни не могат да се използват или разкриват за цели, различни от тези, за които са били събрани, освен със съгласието на лицето или в случаи, предвидени в закон. Служителите, които имат достъп до лични данни, са длъжни да не допускат разкриването и разпространението на свързана с тези данни информация извън предвидените в закона случаи.
 Ограничено съхранение – личните данни се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по–дълъг от необходимия за целите, за които тези данни се обработват, освен в предвидените в закона случаи.
(3) Прецизност – личните данни трябва да са точни, пълни и актуални, доколкото това е необходимо за регламентираните цели на използването им;
(4) Сигурност и опазване – личните данни са защитени с мерки за сигурност в съответствие с вида и рисковете при обработването им и се съхраняват според нормативно определени изисквания и срокове.

Чл.6. (1) Сдружение “Колеж за работническо обучение” е администратор на лични данни по смисъла на чл.4 и гл. IV на Регламента в изпълнение на своите дейности обработва лични данни като юридическо лице и собствена регистрация в СГС ф.д.4062 / 2003 г.
(2) Свързаните със Сдружение “Колеж за работническо обучение” юридически лица са оператори на лични данни по реда на учредителният си акт.

РАЗДЕЛ ІІ. ВИДОВЕ ГРУПИ ДАННИ И ОСНОВАНИЯ ЗА ОБРАБОТВАНЕ В СДРУЖЕНИЕ “КОЛЕЖ ЗА РАБОТНИЧЕСКО ОБУЧЕНИЕ”

Чл.7. (1) Сдружение “Колеж за работническо обучение” води и съхранява база данни по повод възникването и изменението на трудовите и осигурителните правоотношения на ръководството и служителите, съгласно трудовото и социалното законодателство.(Приложение 1)
(2) Групите лични данни, които се отнасят до персонала и ръководството на Сдружение “Колеж за работническо обучение” са:
 Физическа идентичност на лицето – трите имена, ЕГН, номер на лична карта, дата и място на издаване, адрес, месторождение, телефони за връзка и други.
 Образование – вид на образованието, място, номер и дата на издаване на диплома. Предоставят се от лицата на основание изискване при постъпване на работа или изменение на трудовото правоотношение, или нормативно задължение, когато е необходимо.
 Допълнителна квалификация – за лицата на основание постъпване на работа, изменение на трудовото правоотношение или нормативно задължение, когато е необходимо.
 Трудова дейност – професионална биография за лицата на основание изискване при постъпване на работа.
 Документи свързани с трудовите възнаграждения на лицата, работна заплата, допълнителни възнаграждения, данъци и осигуровки.
 Финансови документи – служебни бележки за доходите на физически лица за трудови или договорни отношения, по повод дейността и функциите на Сдружение “Колеж за работническо обучение” .
 Други – документи свързани персонална идентификация, здравен статус, семейна идентичност, финансово състояние, пенсионно осигуряване и др., които се предоставят от или на лицата на основание нормативно задължение във всички случаи, когато е необходимо.

Чл. 8 (1) Сдружение “Колеж за работническо обучение” събира и съхранява база данни за обучаеми …
(2) Групите лични данни, които се отнасят до обучаеми са:
 Физическа идентичност – трите имена и ЕГН, адрес, е–мейли.
 Издадени документи…
(3) Предаването на личните данни, които се отнасят до обучаемите в Сдружение “Колеж за работническо обучение се осъществява от Директора ЦПО в електронен вид или хартиен носител.

Чл.9. Базите данни по РАЗДЕЛ II се водят и поддържат на хартиен и електронен носител в офиса на Сдружение “Колеж за работническо обучение” с адрес по място на регистрация – София 1000, пл. Македония 1, етаж 14 офис 13 и етаж 15, офис 10 от съответните длъжностни лица.

РАЗДЕЛ IІІ. ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

Чл.10. (1) Обработването на лични данни е допустимо само в случаите, когато е налице някое от следните условия:
1. обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;
2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие;
3. обработването е необходимо за изпълнение на задължения по договор, както и за действия, предхождащи сключването на договор;
6. обработването е необходимо за упражняване на правомощия, предоставени със Устав или закон на администратора или на трето лице, на което се разкриват данните;
7.обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.
(2) Сдружение “Колеж за работническо обучение” възлага на служителите си обработването на личните данни на персонала, на преподавателите, консултантите и изпълнители по договори лица, съобразно спецификата на изпълняваните от тях служебни функции.
(3) Достъп до личните данни имат Изпълнителният директор, Директорът ЦПО и Счетоводителят по повод на техните служебни задължения.
(4) Предоставянето, промяната или прекратяването на достъпа до бази данни се контролира от Изпълнителния директор на Сдружение “Колеж за работническо обучение”.
(5) Изпълнителният директор на Сдружение “Колеж за работническо обучение” осъществява контрол върху законосъобразното водене и поддържане на базите данни.

Чл.11. При въвеждане, промяна или предаване на лични данни в базите данни се осигурява информация за дата и лицата извършващи въвеждането, промяната или предаването на личните данни.

Чл.12. (1) Личните данни за физическите лица, организирани върху хартиен или електронен носител се съхраняват в папки, класьори или шкафове на съответния служител, с осигурено заключване в извънработно време.
(2) Личното трудово или служебно досие представлява съвкупност от писмени документи, които отразяват в цялост професионалното развитие на отделния служител и включват всички документи във връзка със възникването, изменението, и прекратяването на трудовото правоотношение, длъжностната характеристика, заповеди за отпуск, както и изискуемите декларации по Кодекса на труда.
(3) Личните трудови и служебни досиета на служителите се обработват и съхраняват в офиса на Сдружение “Колеж за работническо обучение”, съгласно нормативно определените срокове.

Чл.13. (1) Информацията, която личното трудово или служебно досие съдържа, е конфиденциална и може да бъде разгласявана само изричното писмено съгласие на работника или служителя.
(2) Личните трудови или служебни досиета имат начално ниво на защита по отношение на хартиените носители, средно ниво на защита на лични данни, обработвани на хартиен и магнитен носител, в компютърна система на локален компютър или в мрежа, несвързани с обществената мрежа и високо ниво на защита, организация и съхраняване на лични данни на твърд диск, на отделни компютри или свързани с локална мрежа, но със защитен достъп непосредствено от страна на обработващия лични данни.

Чл.14. (1) Компютрите се намират на персонално работно място на длъжностните лица в офиса на Сдружение “Колеж за работническо обучение”.
(2) Сдружение “Колеж за работническо обучение” извършва периодична проверка на всички работни компютърни конфигурации от специализиран системен администратор.

РАЗДЕЛ ІV. МЕРКИ ЗА ЗАЩИТА И ГАРАНТИРАНЕ НИВОТО НА СИГУРНОСТ

Чл.15. (1) Сдружение “Колеж за работническо обучение” предприема необходимите технически и организационни мерки за защита на личните данни от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.

Чл. 16. (1) Сдружение “Колеж за работническо обучение” извършва оценка на въздействие за двата вида група данни в случаите, когато неправомерното обработване на лични данни би застрашило неприкосновеността на личността и личния живот на отделно физическо лице или група физически лица.
(2) Мерките включват следните средства за защита на личните данни:
1. Програмни:
– разработване и прилагане на система за ограничаване на достъпа до лични данни;
– защита на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поддържане на антивирусни програми, периодично архивиране на данните на отделни електронни носители.
2. Физически:
– заключване на помещенията в извънработно време и регламентиране на достъпа до тях;
– заключване в определените случаи на шкафовете за съхранение на информация, свързана с лични данни;
– осигуряване на физическа охрана на сградата, в които се намират работни помещения, в които се съхраняват носители на лични ранни и са разположени компютърни и комуникационни средства;
3. Организационни:
– осигуряване на лицето, отговорно за сигурността – при мерки при средно ниво за сигурност;
– процедури за създаване на архивни копия и за възстановяване на данни – при мерки при средно ниво за сигурност;
– прилагане на системата за докладване, управляване и реагиране при инциденти.
4. Нормативни по реда и условията за безопасна работа в сградата на КНСБ:
– спазване на законовите изисквания и прилагане на процедурите за защита на техническите и информационни ресурси от аварии, произшествия и бедствия (пожар, наводнение и др.);
– осигуряване на ефективни механизми за контрол по спазването на вътрешните правила и нормативни разпоредби.
(3) Мерките са съобразени със съвременните технологични постижения и осигуряват ниво на защита свързани с обработването на видовете защитени данни от специализиран системен администратор, съответно на рисковете.
Всички действия за изтриване, унищожаване или изменение на постъпилите лични данни в електронен вид или на хартиен носител се документират.

Чл.17. (1) След постигане целта на обработване на личните данни или преди преустановяване на обработването на личните данни се унищожават или прехвърлят на друг администратор, след като предварително се уведоми за това Комисията за защита на личните данни.
(2) След постигане целта на обработване на личните данни, служебното лице ги съхранява само в предвидените в закона случаи.
(3) Личните данни се подържат във вид, който позволява идентифициране на съответните физически лица за период не по–дълъг от необходимия за целите, за които тези данни се обработват. Личните данни, които ще се съхраняват за по–дълъг период за исторически, статистически или научни цели, се поддържат във вид, непозволяващ идентифицирането на физическите лица.

Чл. 18. (1) Сдружение “Колеж за работническо обучение” извършва унищожаването на личните данни чрез назначена за целта комисия, без да бъдат накърнявани правата на лицата, за които се отнасят данните, обект на унищожаването, и при спазване на разпоредбите на нормативните актове.
(2) Информацията в регистъра се унищожава след постигане на целите на обработката и при отпаднала необходимост за съхранение.
(3) Унищожаването на данни на хартиен носител се извършва чрез нарязване с шредер машина. Електронните данни се изтриват от електронната база данни по начин, непозволяващ възстановяване на информацията.

Чл.19. (1) При възникнал инцидент или непредвидимо обстоятелство, което би могло да засегне сигурността на личните данни, длъжностно лице докладва незабавно на Изпълнителния директор Сдружение “Колеж за работническо обучение”.

РАЗДЕЛ V. ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ

Чл.20. (1) Сдружение “Колеж за работническо обучение” предоставя лични данни в изпълнение на задължения установени от нормативни разпоредби.
(2) Сдружение “Колеж за работническо обучение” може да предоставя лични данни в изпълнение на уставно установени задължения.
(3) Достъп до личните данни могат да имат и съответните държавни органи – съд, следствие, прокуратура, ревизиращи органи и др., във връзка с изпълнението на техните правомощия, поискано по надлежен ред

Чл.21. (1) Достъп до личните данни и разкриването им се осъществява от страна на следните лица:
1. физическите лица, за които се отнасят данните;
2. изрично упълномощени представители на лицата по т.1 с нотариално заверено пълномощно;
3. трето лице, в случай, че е предвидено в нормативен акт;
4. обработващия личните данни.
(2) Достъпът се предоставя под формата на:
– устна или писмена справка,
– преглед на данните;
– предоставяне на копие от обработените данни.

Чл.22. (1) При упражняване на правото си на достъп физическото лице – субект на данни има право по всяко време да поиска:
1. потвърждение за това дали отнасящи се до него данни се обработват, информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват;
2. съобщение до него в разбираема форма, съдържащо личните му данни, които се обработват, както и всяка налична информация за техния източник;
3. информация за логиката на всяко автоматизирано обработване на лични данни и изводи отнасящи се до него;
(2) При смърт на физическото лице правата му на достъп до личните данни и разкриването им се упражняват от неговите наследници.
(3) Информацията може да бъде предоставена под формата на устна или писмена справка или на преглед на данните от съответното физическо лице или от изрично упълномощено от него друго лице безплатно.

Чл.23. Физическото лице – субект на данни има право по всяко време да подаде Заявление с иск до Сдружение “Колеж за работническо обучение”:
1. да заличи, коригира или блокира негови лични данни, обработването на които не отговаря на изискванията на закона;
2. да уведоми другите лица, на които са били разкрити личните му данни, за всяко заличаване, коригиране или блокиране, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия.

Чл.24. (1) Лични данни се предоставят на трети лица само след получаване на писмено съгласие от лицето, за което се отнасят данните. (Приложение 2)
(2) При неполучаване на съгласие от лицето или при изричен отказ да се даде съгласие, данните не се предоставят.
(3) Не е необходимо съгласие на лицето в случаите, когато е задължен субект по закон.
(4) В случаите, когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, се предоставя на съответното физическо лице достъп до частта от тях, отнасяща се само за него.

Чл.25. (1) Правото на достъп и правата по чл.22 се осъществяват с писмено заявление/молба до Изпълнителния директор на Сдружение “Колеж за работническо обучение”, което може да бъде отправено и по електронен път или по реда на Закона за електронния документ и електронния подпис и съдържа:
1. име, адрес и други данни за идентифициране на съответното физическо лице;
2. описание на искането;
3. предпочитана форма за предоставяне на информацията;
4. подпис, дата на подаване на заявлението и адрес за кореспонденция.
(2) При подаване на заявление от упълномощено лице към заявлението се прилага и нотариално завереното пълномощно.

Чл.26. (1) Сдружение “Колеж за работническо обучение” се произнася в 10–дневен срок от постъпването заявлението в деловодството.
(2) Срокът може да бъде удължен до 30 дни, когато обективно се изисква по-дълъг срок за събирането на всички искани данни и това сериозно затруднява дейността на администратора.
(3) Сдружение “Колеж за работническо обучение” уведомява заявителя за решението си в случай на отказ в съответния определен срок, лично или по пощата с обратна разписка.
(4) Действията по предходната алинея се обжалват по реда на ЗЗЛД.

РАЗДЕЛ VI. ПРАВА И ЗАДЪЛЖЕНИЯ НА ПЕРСОНАЛА

Чл.27. (1) Във връзка с обработването на лични данни, освен правата и задълженията в съответствие с длъжностните си характеристики, длъжностните лица на Сдружение “Колеж за работническо обучение”, са длъжни да спазват и изпълняват настоящите вътрешни правила и съответните нормативни актове, свързани с администрирането на лични данни.
(2) За неспазване на нормативно установените си задължения във връзка с обработването на лични данни лицата носят имуществена отговорност съгласно ЗЗЛД и дисциплинарна отговорност.
Чл.28. (1) Лицата обработващи личните данни осигуряват нормалното функциониране на мерките за защита на сигурността и осъществяват контрол в процеса на събиране и обработване на данните.
(2) Лицата обработващи личните данни изпълняват задължения по докладване и управление на нарушения на сигурността на данните и уведомяват своевременно за всички нередности, установени във връзка с изпълнение на задълженията си.
(3) Лицата обработващи личните данни участват при унищожава данните от хартиените и техническите носители, съгласно закона и сроковете, установени в тези Правила.

РАЗДЕЛ VII. ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

§ 1. Настоящите правила са одобрени от Управителния съвет на Сдружение “Колеж за работническо обучение” и влизат в сила от деня на утвърждаването им.
§ 2. Изменението и допълнението на Правилата се извършва от Управителния съвет.
§ 3. Контролът по изпълнението на Вътрешните правила за администриране на лични данни се възлага на Изпълнителния директор на Сдружение “Колеж за работническо обучение”.

Протокол №… / 20 юли 2018 г.
Управителен съвет на Сдружение “Колеж за работническо обучение”