ВЪТРЕШНИ ПРАВИЛА
на „ЛУКСПЛАСТ” ЕООД
за мерките за защита на личните данни съгласно Регламент 2016/679
(приети с Решение на Софийски адвокатски съвет от 22.05.2018 г.)
I. Общи положения
Чл. 1. (1) Лукспласт ЕООД, е юридическо лице, което се занимава с производство и монтаж на ПВЦ и алуминиева дограма, и аксесоари към нея, както и с други, незабранени от закона дейности и е регистрирано по Закона за регистър БУЛСТАТ с БУЛСТАТ: 131514463.
(2) Лукспласт ЕООД е със седалище в гр. София и адрес на управление: гр. София, ул.”Георги Гачев” №26, бл.12.
(3) Като юридическо лице, възникнало по силата на закона, Лукспласт ЕООД осъществява чрез своите органи дейностите, предвидени в Законодателството на РБ.
(4) Лукспласт ЕООД обработва лични данни във връзка със своята дейност и само определя целите и средствата за обработването им. В този случай Лукспласт ЕООД действа като администратор на лични данни.
(5) В случаите, в които Лукспласт ЕООД обработва лични данни за цели, определени самостоятелно от трето лице или целите са определени съвместно от Лукспласт ЕООД и трето лице, Лукспласт ЕООД има положението или на обработващ лични данни (ако целите са определени от лицето, което е възложило обработването) или на съадминистратор.
Чл. 2. Настоящите Вътрешни правила на Лукспласт ЕООД уреждат организацията на обработване и защитата на лични данни на работниците/служителите, включително и на кандидатите за работа в Лукспласт ЕООД, на контрагентите и партньорите на Лукспласт ЕООД, както и на всички други групи физически лица, с които Лукспласт ЕООД влиза в отношения при осъществяването на правомощията и дейността си.
Чл. 3. (1) „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни”); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
(2) „Обработване на лични данни“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
(3) „Регистър с лични данни“ представлява всеки структуриран набор от лични данни, независимо от неговия вид и носител, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.
Чл. 4. (1) Лукспласт ЕООД е администратор на лични данни по смисъла на чл. 4, т. 7 от Общия регламент относно защитата на данните (ЕС) 2016/679.
(2) Като администратор на лични данни, при обработването на лични данни Лукспласт ЕООД спазва принципите за защита на личните данни, предвидени в Общия регламент относно защитата на данните (ЕС) 2016/679 и законодателството на Европейския съюз и Република България.
Чл. 5. (1) Принципите за защита на личните данни са:
- Законосъобразност, добросъвестност и прозрачност – обработване при наличие на законово основание, при полагане на дължимата грижа и при информиране на субекта на данни;
- Ограничение на целите – събиране на данни за конкретни, изрично указани и легитимни цели и забрана за по-нататъшно обработване по начин, несъвместим с тези цели;
- Свеждане на данните до минимум – данните да са подходящи, свързани със и ограничени до необходимото във връзка с целите на обработването;
- Точност – поддържане в актуален вид и предприемане на всички разумни мерки за гарантиране на своевременно изтриване или коригиране на неточни данни, при отчитане на целите на обработването;
- Ограничение на съхранението – данните да се обработват за период с минимална продължителност съгласно целите. Съхраняване за по-дълги срокове е допустимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или статистически цели, но при условие, че са приложени подходящи технически и организационни мерки;
- Цялостност и поверителност – обработване по начин, който гарантира подходящо ниво на сигурност на личните данни, като се прилагат подходящи технически или организационни мерки;
- Отчетност – администраторът носи отговорност и трябва да е в състояние да докаже спазването на всички принципи, свързани с обработването на лични данни.
(2) Ако конкретната цел или цели, за които се обработват лични данни от Лукспласт ЕООД, не изискват или вече не изискват идентифициране на субекта на данните, Лукспласт ЕООД не е задължена да поддържа, да се сдобие или да обработи допълнителна информация за да идентифицира субекта на данните, с едиствена цел да докаже изпълнението на изискванията на Регламент 2016/679.
Чл. 6. Лукспласт ЕООД организира и предприема мерки за защита на личните данни от случайно или незаконно унищожаване, от неправомерен достъп, от изменение или разпространение както и от други незаконни форми на обработване на лични данни. Предприеманите мерки са съобразени със съвременните технологични достижения и рисковете, свързани с естеството на данните, които трябва да бъдат защитени.
Чл. 7. Лукспласт ЕООД прилага адекватна защита на личните данни, която включва:
- Физическа защита;
- Персонална защита;
- Документална защита;
- Защита на автоматизирани информационни системи и мрежи.
Чл. 8. (1) Личните данни се събират за конкретни, точно определени от закона цели, обработват се законосъобразно и добросъвестно и не могат да се обработват допълнително по начин, несъвместим с тези цели. По-нататъшното обработване на личните данни за целите на архивирането не се счита за несъвместимо с първоначалните цели.
(2) Личните данни се съхраняват на хартиен, технически и/или електронен носител, само за времето, необходимо за изпълнение на договорните или др.вид отношения с Лукспласт ЕООД и/или нормалното им функциониране.
(3) Събирането, обработването и съхраняването на лични данни в регистрите на Лукспласт ЕООД се извършва на хартиен, технически и/или електронен носител, съобразно с предвидените мерки за защита и оценката на подходящото ниво на сигурност на съответния регистър.
Чл. 9. Когато не са налице хипотезите на чл. 6, пар. 1, б. „б“ – „ е“ от Регламент 2016/679, физическите лица, чиито лични данни се обработват от Лукспласт ЕООД, подписват декларация за съгласие по образец (Приложение № 1/ Приложение № 1.1).
Чл. 10. (1) Право на достъп до регистрите с лични данни имат само оторизираните работници и служители на Лукспласт ЕООД, както и обработващи лични данни, на които администраторът е възложил обработването на данни от съответния регистър при условията на чл. 28 от Общия регламент относно защитата на данните.
(2) Оторизирането на работниците и служителите се извършва на база длъжностна характеристика.
(3) Работниците и служители носят отговорност за опазване на регистрите, съдържащи лични данни. Всяко умишлено нарушение на правилата и ограниченията за достъп до личните данни от персонала може да бъде основание за налагане на дисциплинарни санкции по отношение на съответните работници и служители.
(4) Длъжностните лица нямат право да разпространяват информация за личните данни, станали им известни при и по повод изпълнение на служебните им задължения.
Чл. 11. (1) Документите, по които работата е приключила, се архивират.
(2) Трайното съхраняване за нуждите на архивирането на документи, съдържащи лични данни, се извършва на хартиен носител, за срокове, съобразени с действащото законодателство или съобразно гаранционните изисквания на сключените договори. Помещенията, в които се съхраняват документите са осигурени със СОТ и задължително се заключват.
(3) Документите на електронен носител се съхраняват на специализирани сървъри, компютърни системи и/или външни носители на информация. Архивиране на личните данни на технически носител се извършва периодично от обработващия/оператора на лични данни с оглед запазване на информацията за съответните лица в актуален вид и с цел осигуряване на възможност за възстановяване, в случай на погиване на основния носител/система. Достъп до архивите имат само обработващият/операторът/ на лични данни и оторизираните длъжностни лица.
Чл. 12. (1) С оглед защита на хартиените, техническите и информационните ресурси всички служители са длъжни да спазват правилата за противопожарна безопасност.
(2) Служителите преминават задължителен инструктаж за запознаване с правилата за Противопожарна безопасност. За проведения инструктаж се съставя Протокол по образец, съгласно Приложение № 2.
Чл. 13. (1) При регистриране на неправомерен достъп до информационните масиви за лични данни, или при друг инцидент, нарушаващ сигурността на личните данни, служителят, констатирал това нарушение/инцидент, незабавно докладва за това на прекия си ръководител, който от своя страна е длъжен, своевременно да информира Длъжностното лице по защита на данните за инцидента. Уведомяването за инцидент се извършва писмено, по електронен път или по друг начин, който позвалява да се установи извършването му и да се спази изискването за уведомяване на Комисията за защита на личните данни в срок от 72 часа от узнаването за инцидента.
(2) Процесът по докладване и управление на инциденти задължително включва регистрирането на инцидента, времето на установяването му, лицето, което го докладва, лицето, на което е бил докладван, последствията от него и мерките за отстраняването му.
Чл. 14. (1) След постигане целта на обработване на личните данни, съдържащи се в поддържаните от Лукспласт ЕООД регистри, личните данни следва да бъдат унищожени при спазване на процедурите, предвидени в приложимите нормативни актове и в настоящите Вътрешни правила.
(2) В случаите, в които се налага унищожаване на носител на лични данни, Лукспласт ЕООД прилага необходимите действия за заличаването на личните данни по начин, изключващ възстановяване данните и злоупотреба с тях, като:
- Личните данни, съхранявани на електронен носител и сървъри, се унищожават чрез трайно изтриване, вкл. презаписването на електронните средства или физическо унищожаване на носителите;
- Документите на хартиен носител, съдържащи данни, се унищожават чрез нарязване.
(3) Унищожаване се осъществява от оторизирани за целта служители, и след уведомяване на Длъжностното лице по защита на данните
(4) За извършеното унищожаване на лични данни и носители на лични данни се съставя Протокол, подписан от служителите по ал. 3, съгласно образец, представляващ Приложение № 3.
Чл. 15. (1) Достъп на лица до лични данни се предоставя единствено, ако те имат обоновано право на такъв достъп, съгласно действащото законодателство и след тяхното легитимиране.
(2) Информацията може да бъде предоставенa под формата на:
- устна справка;
- писмена справка;
- преглед на данните от самото лице;
- предоставяне на исканата информация на технически и/или електронен носител.
(3) Всеки правен субект, който обработва лични данни по възлагане и от името на администратора, е обработващ лични данни и следва да подпише споразумение за обработка на данни по образец съгласно Приложение № 4, включващо клаузите по чл. 28, пар. 2-4 от Общия регламент относно защитата на данните.
(4) Третите страни получават достъп до лични данни, обработвани в Лукспласт ЕООД, при наличие на законово основание за обработването на лични данни (напр. МВР, НАП, НОИ, Съд, Прокуратура, Служба по трудова медицина, Агенцията по вписванията,Търговски регистър, Инспекция по труда, и др.п.).
II. Мерки по осигуряване на защита на личните данни
Чл. 16. Физическата защита в Лукспласт ЕООД се осигурява чрез набор от приложими технически и организационни мерки за предотвратяване на нерегламентиран достъп и защита на сградите и помещенията, в които се извършват дейности по обработване на лични данни.
Чл. 17. (1). Основните организационни мерки за физическа защита в Лукспласт ЕООД включват:
- определяне на помещенията, в които ще се обработват лични данни;
- определяне на помещенията, в които ще се разполагат елементите на комуникационно-информационните системи за обработване на лични данни,
- определяне на организацията на физическия достъп;
(2) Като помещения, в които ще се обработват лични данни, се определят всички помещения, в които с оглед нормалното протичане на работния процес, се събират, обработват и съхраняват лични данни. Достъпът до тях е физически ограничен и контролиран – само за служители с оглед изпълнение на служебните им задължения и ако мястото им на работа или длъжностната им характеристика позволява достъп до съответното помещение и съответния регистър с лични данни. Когато в тези помещения имат достъп и външни лица, в помещенията се обособява „непублична“ част, в която се извършват дейностите по обработване на лични данни, която е физически ограничена и достъпна само за служители, на които е необходимо да имат достъп с оглед изпълнението на служебните им задължения, и „публична част“ – до която имат достъп външни лица.
(3) Комуникационно-информационните системи, използвани за обработка на лични данни, се разполагат в специални физически защитени помещения или защитени шкафове, достъпът до които е ограничен само до тези служители, които за изпълнение на служебните си задължения се нуждаят от такъв достъп до данните, както и лицата, натоварени със служебни ангажименти за поддръжката на нормалното функциониране на тези системи. Последните нямат достъп до съхраняваните в електронен вид данни.
(4) Организацията на физическия достъп до помещения, в които се извършват дейности по обработка на лични данни, е базирана на ограничен физически достъп (на база заключващи системи и механизми) до зоните в обекта с ограничен достъп, включително и тези, в които са намират информационните системи. Достъп се предоставя само на служителите, на които той е необходим, за изпълнение на служебните им задължения.
(5) Използваните технически средства за физическа защита на личните данни в Лукспласт ЕООД са съобразени с действащото законодателство и нивото на въздействие на тези данни. Всички физически зони с хартиени и електронни записи са ограничени само за служители, които трябва да имат достъп чрез принципа „Необходимост да знае” с оглед изпълнението на работните им задължения.
(6) Всички записи и документи на хартиен носител, съдържащи лични данни, се съхраняват в шкафове, които са заключени в кабинети с ограничен достъп само за упълномощен персонал.
(8) Достъпът до системите, обработващи по електронен способ лични данни, е ограничен чрез уникални потребителски идентификатори и пароли, а електронните носители, включително сървъри, са защитени по адекватен начин, в зони с контрол на достъпа.
Чл. 18. (1). Основните технически мерки за физическа защита в Лукспласт ЕООД включват:
- Използване на сигнално-охранителна техника;
- Използване на ключалки и заключващи механизми;
- Шкафове;
- Оборудване на помещенията с пожарогасителни средства.
(2) Документите, съдържащи лични данни, се съхраняват в шкафове или картотеки, като последните са разположени в зони с ограничен достъп. Достъп до тези зони притежават единствено изрично натоварените лица (с изрична заповед или по силата на служебните им задължения и длъжностната характеристика).
(3) Оборудването на помещенията, където се събират, обработват и съхраняват лични данни, включва: сигнално-охранителна техника, ключалки (механични или електронни) за ограничаване на достъпа единствено на оторизираните лица; и пожарогасителни средства.
(4) Пожарогасителните средства се разполагат в съответствие с изискванията на приложната нормативна уредба.
Чл. 19. (1). Основните мерки за персонална защита на личните данни, приложими в Лукспласт ЕООД, са:
- Задължение на служителите да преминат обучение и да се запознаят с нормативната уредба в областта на защитата на лични данни и настоящите Вътрешни правила, като преминатото обучение и инструктаж с правилата за защита на личните данни се удостоверява с подпис върху протокол за извършен инструктаж за защита на личните данни по образец (Приложение № 5);
- Запознаване и осъзнаване за опасностите за личните данни, обработвани от Лукспласт ЕООД;
- Забрана за споделяне на критична информация (идентификатори, пароли за достъп и др.п.) между персонала и всякакви други лица, които са неоторизирани;
- Деклариране на съгласие за поемане на задължение за неразпространение на личните данни.
Чл. 20. (1). Основните мерки за документална защита на личните данни, са:
- Определяне на регистрите, които ще се поддържат на хартиен носител – на хартиен носител се съхраняват всички лични данни, които изискват попълването им върху определени бланкови документи и/или формуляри, свързани с изпълнение на изисквания на действащото законодателство или пряко свързани с осъществяването на нормалната дейност на Лукспласт ЕООД, сключване на договори, изпълнение на договори, упражняване на предвидени в закона права и установени от закона задължения;
- Определяне на условията за обработване на лични данни – личните данни се събират и обработват само с конкретна цел, пряко свързана с изпълнение на законовите задължения и/или нормалната бизнес дейност на Лукспласт ЕООД, а начинът на тяхното съхранение се съобразява със специфичните нужди за обработка и физическия носител на данните;
- Регламентиране на достъпа до регистрите с лични данни – достъпът до регистрите с лични данни е ограничен и се предоставя само на оторизираните служители /съгласно длъжностната им характеристика/;
- Определяне на срокове за съхранение – личните данни се съхраняват не по-дълго от колкото е необходимо, за да се осъществи целта, за която са били събрани или до изтичане на определения в действащото законодателство срок.
- Процедури за унищожаване: Документите, съдържащи лични данни, сроковете за съхранение на които са изтекли и не са необходими за нормалното функциониране на Лукспласт ЕООД или за установяването, упражняването или защитата на правни претенции, се унищожават по подходящ и сигурен начин (напр. изгаряне, нарязване, електронно изтриване и други подходящи за целта методи, съобразени с физическия носител на данните).
Чл. 21. (1) Защитата на автоматизираните информационни системи и/или мрежи в Лукспласт ЕООД включва набор от приложими технически и организационни мерки за предотвратяване на нерегламентиран достъп до системите и/или мрежите, в които се създават, обработват и съхраняват лични данни.
(2) Основните мерки за защита на автоматизираните информационни системи и/или мрежи, обработващи лични данни, включват:
- Идентификация и автентификация чрез използване на уникални потребителски акаунти и пароли за всяко лице, осъществяващо достъп до мрежата и ресурсите на Лукспласт ЕООД. Прилагането на тази мярка е с цел да се регламентират нива на достъп и да се въведе достъп, съобразен с нуждите на съответното лице.
- Управление на регистрите, съобразено с ограничаване на достъпа до съответния регистър единствено до лица, които са пряко натоварени и/или служебно ангажирани с неговото водене, поддръжка и обработка;
- Управление на външни връзки и/или свързване, включващо от своя страна:
- Дефиниране на обхвата на вътрешните мрежи: Като вътрешни мрежи се разглеждат всички локални жични мрежи и/или телекомуникационни връзки тип „точка – точка“, които се намират под контрола и администрацията на Лукспласт ЕООД. Като външни мрежи се разглеждат всички мрежи, вкл. и безжични мрежи, интернет, интернет връзки, мрежови връзки с трети страни, мрежови сегменти на хостинг системи на трети страни, които не са под административния контрол на Лукспласт ЕООД.
- Регламентиране на достъпа до вътрешната мрежа: Достъп до вътрешната мрежа имат единствено служителите и/или специално упълномощени от Лукспласт ЕООД лица. Достъпът до мрежата и обработваните лични данни се предоставя с оглед изпълнение на техните преки служебни задължения. Минимално изискваното ниво на сигурност за достъп до вътрешните мрежи изисква идентифициране с уникално потребителско име и парола.
- Администриране на достъпа до вътрешната мрежа: Отговорностите, свързани с осъществяване на администрация на достъпа, са възложени на лица с необходимата квалификация. В отговорностите са включени и дейности, свързани с одобряване на инсталирането на всички устройства, технологии и софтуер за достъп до мрежата, включително суичове, рутери, безжични точки за достъп, точки за достъп до мрежата, интернет връзки, връзки към външни мрежи и други устройства, технологии и софтуер, които могат да позволят достъп до вътрешните мрежи на Администратора.
- Контрол на достъпа до вътрешната мрежа: Отговорностите, свързани с осъществяване на контрола на достъпа са възложени на лица с необходимата квалификация. Те са задължени да предприемат адекватни мерки за минимализиране на риска от неоторизиран (физически и/или отдалечен) достъп до мрежите на Лукспласт ЕООД, вкл. и чрез използване на защитни стени и други адекватни мерки и инструменти.
- Защитата от зловреден софтуер включва:
- използването на стандартни конфигурации за всяка компютърна и/или мрежова платформа, като системният, а при възможност и приложният, софтуер се контролира, инсталира и поддържа от оторизирани от Ръководството на Лукспласт ЕООД лица. Забранено е инсталирането на софтуерни продукти без изричното одобрение Лукспласт ЕООД.
- използване на вградената функционалност на операционната система и/или хардуера, които се настройват единствено от оторизирани от Ръководството на Лукспласт ЕООД лица. Всяка промяна и/или деактивация на системите за защита от неоторизирани лица е забранена.
- активиране на автоматична защита и сканиране за зловреден софтуер и обновяване на антивирусни дефиниции. Забранено е потребителите да отказват автоматични софтуерни процеси, които актуализират вирусните дефиниции.
- забрана за пренос на данни от заразени компютри. При съмнение или установяване на заразяване на компютърна система работещият с нея е задължен да уведоми Лукспласт ЕООД и да преустанови всякакви действия за работа и/или изпращане на информация от заразения компютър (чрез външни носители, електронна поща и/или други способи за електронна обмяна на информация). До премахване на зловредния софтуер заразеният компютър следва да бъде незабавно изолиран от вътрешните мрежи.
- Политика по създаване и поддържане на резервни копия за възстановяване, която регламентира:
- Основната цел на архивирането е свързана с предотвратяване на загуба на информация, свързана с лични данни, която би затруднила нормалното функциониране на дейността на Лукспласт ЕООД.
- Начина на архивиране: информацията следва да бъде архивирана по подходящ способ и на носител, извън конкретния физически компютър, и да позволява пълното възстановяване на данните, в случай на погиване на техния основен носител.
- Отговорност за архивиране има лицето, обработващо личните данни.
- Срокът на архивиране следва да е съобразен с действащото законодателство.
- Основни електронни носители на информация са: вътрешни твърди дискове (част от компютърна и/или сторидж система), еднократно и/или многократно презаписваеми външни носители (външни твърди дискове, многократно презаписваеми карти, памети ленти и други носители на информация, еднократно записваеми носители и др.)
- Персоналната защита на данните е част от цялостната охрана на Лукспласт ЕООД.
- Личните данни в електронен вид се съхраняват съгласно нормативно определените срокове и съобразно спецификата и нуждите на Лукспласт ЕООД.
- Данните, които вече не са необходими за целите на Лукспласт ЕООД и чийто срок за съхранение е изтекъл, се унищожават чрез приложим способ (напр. чрез нарязване, изгаряне или постоянно заличаване от електронните средства).
(3) За лични данни, оценени с по-висока степен на риск, освен мерките по ал. 2 се прилагат и допълнителни мерки, свързани с:
- Организация на телекомуникационните връзки и отдалечения достъп до вътрешните мрежи на Лукспласт ЕООД:
- Отдалечен достъп до вътрешни мрежи на Лукспласт ЕООД не е предвиден. По изключение, и след изричната оторизация от Ръководството на Лукспласт ЕООД, може да се разреши подобен достъп от оторизираните лица, като за целта се използват адекватни и приложими съвременни методи за защита на връзката и обменяните данни.
- На персонала на Лукспласт ЕООД може да бъде предоставен Интернет достъп (отдалечен достъп) за изпълнение на служебните им задължения до елекронните ригистри с лични данни. Обхватът на достъпа и типа достъпни ресурси (вкл. сайтове, файлове, услуги и др.) се определя от Ръководството на Лукспласт ЕООД.
- Публикуването на служебна информация в Интернет, независимо под каква форма и на каква платформа, се извършва единствено след изрибно разрешение от Ръководството на Лукспласт ЕООД.
- Мерките, свързани с текущото поддържане и експлоатация на информационните системи и ресурси на Лукспласт ЕООД, включват:
- Оценка на сигурността, включваща периодични тестове и оценки на уязвимостта на мрежите и системите на Лукспласт ЕООД от външни и вътрешни атаки (Vulnerability test), включително оценка на въздействието, адекватността на използваните мерки и способи за защита, както и препоръки за нейното техническо и организационно подобряване. Оценката включва посочените аспекти и по отношение сигурността на събираните, обработвани и съхранявани лични данни.
- Забрана за притежание и ползване на хардуерни или софтуерни инструменти от персонала на Лукспласт ЕООД, които биха могли да бъдат използвани, за да се компрометира сигурността на информационните системи. Към тази група се отнасят и инструменти, способстващи за нарушаване на авторските права, разкриване на тайни пароли, идентифициране на уязвимост в сигурността или дешифриране на криптирани файлове. Забранено е използването и на хардуер или софтуер, който отдалечено наблюдава трафика в мрежа или опериращ компютър. За неоторизирано използване на подобни инструменти служителят се наказва дисциплинарно, а ако науршението е не само дисциплинарно или представлява престъпление – и по предвидения за санкциониране на това нарушение/престъпление ред.
- Мерките, свързани със създаване на физическа среда (обкръжение), включват физически контрол на достъпа (сигнално-охранителна техника, ключалки, метални решетки и други приложими способи), създаване на подходяща работна среда, вкл. чрез поддържане на подходяща температура и нива на влажност. Те са насочени към осигуряване на среда за нормално функциониране, за защита на ИТ оборудването от неоторизиран достъп и контрол на риска от повреда и унищожаване.
III. Базисни правила и мерки за осигуряване на защита на личните данни при компютърна обработка
Чл. 22. (1) Компютърен достъп през локалната мрежа към файлове, съдържащи лични данни, се осъществява само от длъжностни лица с регламентирани права, единствено от тяхното физическо работно място, от специално определения за целта компютър и след идентификация чрез име и парола към системата. При приключване на работното време служителите изключват локалния си компютър.
(2) Лукспласт ЕООД прилага адекватни мерки за технически и административен контрол (ограничаване на IP, MAC адрес, физическа локация, уникално потребителско име и парола), като по този начин гарантира, че само упълномощени служители получават достъп до данните за изпълнение на възложените им функции.
(3) Идентификацията на оторизираните лица за работа с лични данни задължително включва и идентификация чрез уникален потребителски акаунт, който съдържа име и парола на потребителя, права за достъп до системата и ползване на нейните ресурси.
Чл. 23. (1) Използваният хардуер за съхранение и обработване на лични данни отговаря на съвременните изисквания и позволява гарантиране на разумна степен на отказоустойчивост, възможности за архивиране и възстановяване на данните и работното състояние на средата.
Чл. 24. (1) На служебните компютри се използва само софтуер, който е инсталиран от оторизирано от Ръководството на Лукспласт ЕООД лице. Забранено е самоволното инсталиране на всякакъв друг вид софтуер.
(2) При внедряване на нов програмен продукт за обработване на лични данни се тестват и проверяват възможностите на продукта с оглед спазване изискванията на Регламент 2016/679, Закона за защита на личните данни и осигуряване максималната защита на данните от неправомерен достъп, загубване, повреждане или унищожаване.
Чл. 25. Служителите, на които е възложено да подписват служебна кореспонденция с квалифициран електронен подпис (КЕП), нямат право да предоставят издадения им КЕП на трети лица, респ. да споделят своя PIN с трети лица.
IV. Поддържани регистри с лични данни и тяхното управление
Да с опише законовото съобръжение за събиране на данни и срокове за съхранение
Чл. 26. Поддържаните от Лукспласт ЕООД регистри с лични данни са:
- Регистър „Служители и Персонал“ /Администриране на персонала/, в който се вписват следните видове лични данни:
- Физическа идентичност – имена, паспортни данни (ЕГН, номер на лична карта, дата и място на издаване, адрес, телефон за връзка и други необходими за идентифициране на субекта на данни);
- Социална идентичност – данни относно образование и допълнителна квалификация, трудова дейност и професионална биография;
- Семейна идентичност – данни относно семейното положение на лицето;
- Икономическа идентичност – информация за номер на банкова сметка, и други, изискуеми с оглед преценка на изискванията за съвместимост за съответната длъжност;
- Лични данни относно съдебното минало на лицето (свидетелство за съдимост в зависимост от длъжността);
- Данни за здравословно състояние – медицинско свидетeлство, данни, съдържащи се в болнични листове, представяни от самите служители като субекти на данните, решения на ТЕЛК/НЕЛК и др.п.
Законовото основание за събиране на лични данни за този регистър е Кодекса на труда, Закона за ДОО и др.п. Данните от този регистър се предоставят на НАП, НОИ, Бюрото по труда, Съдия-изпълнители, Инспекцията по труда и др.п.
- Регистър „Кандидати за работа“, в който се вписват следните видове лични данни:
- Физическа идентичност – имена, ЕГН, адрес, телефон за връзка и други необходими за идентифициране на субекта на данни);
- Социална идентичност – данни относно образование и допълнителна квалификация, трудова дейност и професионална биография.
Тези данни се събират с цел набиране на персонал за осъществяване законовата дейност на дружеството. Данните от този регистър се предоставят на служителите, които се занимават с подбор на персонала, съобразно длъжностната им характеристика.
- Регистър “Контрагенти и партньори“, в който се вписват следните видове лични данни:
- Физическа идентичност – имена, ЕГН, адрес, телефон за връзка и други необходими за идентифициране на субекта на данни);
- Икономическа идентичност – обща банкова информация, информация за номер на банкова сметка.
Данните в този регистър се събират съобразно Търговския закон, Закона за счетоводството и др.п. с цел законовото осъществяване дейността на дружеството. До данните от този регистър имат достъп част от служителите на Администратора, съобразно длъжностната им характеристика, както и счетоводтвото.
- Регистър „Клиенти, с които Лукспласт ЕООД е в преддоговорни отношения“, в който се вписват следните видове лични данни:
- Физическа идентичност – имена, ЕГН, адрес, телефон за връзка и други необходими за идентифициране на субекта на данни;
- Икономическа идентичност – информация за номер на банкова сметка, банкова информация, банкови референции и др.п.;
Данните в този регистър се събират съобразно Търговския закон, Закона за счетоводството и др.п. с цел законовото осъществяване дейността на дружеството. До данните от този регистър имат достъп част от служителите на Администратора, съобразно длъжностната им характеристика, както и счетоводството.
- Регистър „Финансова и счетоводна дейност”
- Физическа идентичност – имена, ЕГН, адрес, телефон за връзка и други необходими за идентифициране на субекта на данни;
- Икономическа идентичност – информация за номер на банкова сметка, банкова информация, банкови референции и др.п.;
Данните в този регистър се събират съобразно Търговския закон, Закона за счетоводството и др.п. с цел законовото осъществяване дейността на дружеството. До данните от този регистър имат достъп част от служителите на Администратора, съобразно длъжностната им характеристика, както и счетоводтвото.
- Регистър „Посредничество при разрешаване на спорове между Администратора и клиенти/контрагенти/служители”
- Физическа идентичност – имена, ЕГН, адрес, телефон за връзка и други необходими за идентифициране на субекта на данни;
- Икономическа идентичност – информация за номер на банкова сметка, банкова информация, банкови референции и др.п.;
Данните в този регистър се събират съобразно Търговския закон, Закона за счетоводството, ДОПК и др.п. с цел разрешаване на споровете между Администратора и негови клиенти/контрагенти/служители. До данните от този регистър имат достъп част от служителите на Администратора, съобразно длъжностната им характеристика, както и счетоводтвото, а също така и адвокати, вземащи участие в разрешаването на споровете.
- Регистър „Повишаване на професионалната квалификация”
- Физическа идентичност – имена, ЕГН, адрес, телефон за връзка и други необходими за идентифициране на субекта на данни;
Целта на събирането на лични данни за този регистър е участието на служителите и работниците в различни курсове и мероприятия с цел повишаване на професионалната им квалификация.
- Регистър „Рекламации“, в който се вписват следните видове лични данни:
- Физическа идентичност – имена, ЕГН, адрес, телефон за връзка и други необходими за идентифициране на субекта на данни);
Данните в този регистър се събират с цел законово осъществяване на дейността на Администратора. До данните от този регистър имат достъп част от служителите на Администратора, съобразно длъжностната им характеристика.
- Регистър „Онлайн дейности”
- Физическа идентичност – имена, ЕГН, адрес, телефон за връзка, снимки и други необходими за идентифициране на субекта на данни);
Данните в този регистър се събират с цел законово осъществяване на дейността на Администратора – в т.ч.получаване на онлайн запитвания, изпращане на оферти и спецификации по направени запитвания. До данните от този регистър имат достъп част от служителите на Администратора, съобразно длъжностната им характеристика.
- Регистър „Видеонаблюдение“, в който ще се съхраняват и обработват лични данни чрез създаване на видеозапис от средства за наблюдение в сградите и помещенията на Лукспласт ЕООД, включващ следните видове лични данни:
- Физическа идентичност – запис на образи и звук;
Данните в този регистър се събират с цел опазване на имуществото на Администратора.
Чл. 27. За обработване на данните от регистрите по чл. 26, Лукспласт ЕООД води Регистър на дейностите по обработка по образец, съгласно Приложение № 6.
V. Права и задължения на лицата, обработващи лични данни
Чл. 28. (1) Длъжностно лице по защита на данните е Лукспласт ЕООД.
(2) Длъжностно лице по защита на данните има следните правомощия и длъжностни задължения:
- осигурява организацията по водене на регистрите, съгласно предвидените мерки за гарантиране на адекватна защита;
- следи за спазването на конкретните мерки за защита и контрол на достъпа съобразно спецификата на водените регистри с лични данни;
- осъществява контрол по спазване на изискванията за защита на регистрите съобразно действащото законодателство и настоящите вътрешни правила;
- контролира спазването на правата на потребителите във връзка с регистрите и програмно-техническите ресурси за тяхната обработка;
- специфицира техническите ресурси, прилагани за обработка на личните данни;
- следи за спазване на организационната процедура за обработване на личните данни, включваща време, място и ред при обработване, чрез регистрация на всички извършени действия с регистрите в компютърната среда;
- определя ред за съхраняване и унищожаване на информационни носители;
- определя ред при задаване, използване и промяна на пароли, както и действията в случай на узнаване на парола и/или криптографски ключ;
- определя правила за провеждане на редовна профилактика на компютърните и комуникационните средства, включваща и проверка за вируси, за нелегално инсталиран софтуер, на целостта на базата данни, както и архивиране на данни, актуализиране на системната информация и др.;
- провежда периодичен контрол за спазване на изискванията по защита на данните и при открити нередности взема мерки за тяхното отстраняване;
- води регистър на дейностите по обработване на лични данни в Лукспласт ЕООД съласно образеца в Приложение № 6.
Чл. 29. Служителите на Лукспласт ЕООД са длъжни:
- да обработват лични данни законосъобразно и добросъвестно;
- да използват личните данни, до които имат достъп, съобразно целите, за които се събират, и да не ги обработват допълнително по начин, несъвместим с тези цели;
- да актуализират при необходимост регистрите на личните данни;
- да заличават или коригират личните данни, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
- да поддържат личните данни във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват.
Чл. 30. (1) За неспазването на разпоредбите на настоящите Вътрешни правила служителите носят дисциплинарна отговорност.
(2) Ако в резултат на действията на съответен служител по обработване на лични данни са произтекли вреди за Лукспласт ЕООД или за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство.
VІ. Допълнителни разпоредби
Чл. 31. Всички служители на Лукспласт ЕООД са длъжни да се запознаят с настоящите Вътрешни правила и да ги спазват ежедневно при изпълняване на заемната от тях длъжност и възложената им работа.
Чл. 32. (1) За всички неуредени в настоящите Вътрешни правила въпроси, са приложими разпоредбите на Общия регламент относно защитата на данните (ЕС) 2016/679, приложимото право на Европейския съюз и законодателството на Република България относно защитата на личните данни,.
(2) Приложение към настоящите Вътрешни правила са образци на следните документи, съставяни при и по повод обработката на лични данни:
– Приложение № 1 – Декларация-съгласие за обработка на лични данни (която се подписва, когато обработването не се извършва на друго основание, предвидено в чл. 6 от Регламент 2016/679);
– Приложение № 2 – образец Протокол за задължителен инструктаж за запознаване с правилата за Противопожарна безопасност;
– Приложение № 3 – образец на Протокол за унищожаване на лични данни и носители на лични данни.
– Приложение № 4 – Споразумение за обработка на данни;
– Приложение № 5 – Протокол за преминато обучение по защита на личните данни и инструктаж за приложимите в Лукспласт ЕООД правила и мерки за защита на личните данни;
– Приложение № 6 – Регистър на дейностите по обработка;
Чл. 33. Настоящите вътрешни правила влизат в сила, считано от 25.05.2018 год.
УПРАВИТЕЛ НА ЛУКСПЛАСТ ЕООД: ……………………….
(Стоян Стоянов)