Политика за защита на лични данни

Защита на личните данни

Политика за защита на лични данни от

Интер Експо Център ЕООД

Май 2018

СЪДЪРЖАНИЕ

  1. Въведение
  2. Какво са лични данни?
  3. Администратор
  4. Oбработващи лични данни
  5. Регистри
  6. Организационни и технически мерки за защита
  7. Санкции и отговорност
  8. Допълнителни разпоредби

ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

В сила от 25.05.2018 г.

ВЪВЕДЕНИЕ

Извършвайки дейността си, Интер Експо Център ЕООД, ЕИК 121122275, със седалище и адрес на управление гр. София обработва информация, представляваща лични данни.

Защитата на личните данни е от изключителна важност за нас.

Настоящата политика има за цел да регламентира:

  • Механизмите за защита на личните данни, обработвани от Интер Експо Център ЕООД (администратора на лични данни)
  • Определяне на обработващи лични данни и лица, които имат достъп до лични данни и работят под ръководството на обработващите лични данни, както и тяхната отговорност при неизпълнение на тези задължения, свързани с обработване и защита на лични данни, правата и задълженията им.
  • Необходимите технически и организационни мерки за защита на личните данни от неправомерно обработване (случайно или незаконно унищожаване, случайна загуба, неправомерен достъп, изменение или разпространение), както и от всички други незаконни форми на обработване на лични данни).
  • Действия за защита при аварии, произшествия и бедствия.
  • Правилата за предоставяне на лични данни на субекта на данни и на трети лица.
  • Сроковете за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за заличаването им.
  • Реда за унищожаване или предоставяне на данните на друг администратор
  • Процедура за Уведомяване на комисията за защита на личните данни за нарушение на сигурността на личните данни.

КАКВО СА ЛИЧНИ ДАННИ?

Лични данни са всяка информация, свързана с идентифицирано или подлежащо на идентификация физическо лице (имена, възраст, ЕГН, дата на раждане, електронен адрес, телефон, пол, религия и други).

Лични данни, разкриващи раса или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации и обработка на генетични данни, биометрични данни с цел еднозначно идентифициране на физическо лице, здравето или данните относно сексуалния живот или сексуалната ориентация на физическо лице са чувствителни лични данни.

АДМИНИСТРАТОР

Индивидуализиране на администратора на лични данни.

  • Наименование: Интер Експо Център ЕООД, наричан за по-кратко "Администратор"
  • Код по ЕИК: 121122275
  • Седалище и адрес на управление: гр. София, бул. Цариградско шосе 147
  • Тел.: 02/ 9655 220
  • Управител: Ивайло Иванов
  • Администраторът на лични данни (АЛД) обработва личните данни самостоятелно и/или чрез възлагане на обработващ лични данни.

Администраторът може да определи едно или повече лица с право на достъп до лични данни, които да отговарят за координиране и прилагане на мерките за защита.

ОБРАБОТВАЩИ ЛИЧНИ ДАННИ

Достъпът до лични данни се осъществява само от лица, чиито служебни задължения или конкретно възложена задача налагат такъв достъп.

Всички обработващи лични данни, отговарят за спазването на ограниченията за достъп до личните данни и са персонално отговорни за нарушаването на принципите за поверителност, цялостност и наличност на личните данни, освен в случаите на форсмажорни обстоятелства.

Администраторът и/или упълномощените от него лица имат следните правомощия:

Осигуряват организацията по водене на регистрите, съгласно предвидените мерки за гарантиране на адекватна защита.

Следят за спазването на конкретните мерки за защита и контрол на достъпа съобразно спецификата, и нивото на защита на водените регистри.

Осъществяват контрол по спазване на изискванията за защита на регистрите.

Поддържат връзка с Комисията за защита на личните данни относно предприетите мерки и средства за защита на регистрите и подадените заявления за предоставяне на лични данни. Това правомощие е предоставено изключително на Управителя на Интер Експо Център ЕООД.

Специфицират техническите ресурси, прилагани за обработка на личните данни.

Следят за спазване на организационните процедури за обработване на личните данни и за спазване на контролирания достъп до носителите на лични данни.

Провеждат периодичен контрол за спазване на изискванията по защита на данните и при открити нередности взема мерки за тяхното отстраняване.

Достъп до личните данни, съхранявани в Регистрите, имат само служителите, на които такъв достъп е необходим за изпълнение на служебните им задължения.

Личните данни са защитени от разкриване на трети лица. Трети лица могат да имат достъп до такава информация единствено ако имат такова нормативно установено првомощие или друго основание им дава такова право.

Настоящите Вътрешни правила са задължителни за всички служители на Администратора, доколкото те участват в обработването на личните данни по регистри, и за други лица, които имат постоянен или временен достъп до лични данни от всички регистри.

Упълномощените служители, на които е възложено обработването на лични данни от Регистрите, са длъжни:

  • да обработват личните данни законосъобразно и добросъвестно;
  • да използват личните данни, до които имат достъп, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели;
  • да актуализират регистрите с личните данни (при необходимост);
  • да заличават или коригират личните данни, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
  • да поддържат личните данни във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват;
  • да спазват тази Политика.

Всеки субект, чиито лични данни ще се обработват от администратора, следва да бъде уведомен за:

  • данните, които идентифицират администратора;
  • целите на обработването на личните данни и правните основания за обработване на личните данни;
  • категориите лични данни, отнасящи се до съответното физическо лице - субект на данни;
  • получателите или категориите получатели, на които могат да бъдат разкрити данните;
  • информация за правата по чл. 15-22 от Регламент 2016/679 в това число правото на достъп и правото на коригиране на събраните данни.

РЕГИСТРИ

В Интер Експо Център ЕООД се поддържат следните регистри с лични данни:

  1. Регистър Персонал;
  2. Регистър Контрагенти;
  3. Регистър Посетители;
  4. Регистър Видеонабюдение;
  5. Регистър кандидати за работа.

Интер Експо Център ЕООД може да съхранява категориите лични данни, съдържащи се в регистрите на хартиени и/или електронни носители при спазване на приложимото законодателство и необходимите мерки за защита.

Личните данни в Регистрите се съхраняват за периода, необходим за изпълнение назадълженията на Интер Експо Център ЕООД, в зависимост от съответния регистър, категорията лични данни и целите за обработката им. Личните данни не се съхраняват по-дълго, отколкото е необходимо за защитата на законните интереси на Админстратора или за счетоводни цели, или в съответствие c изискванията на приложимото законодателство. Обработваните данни следва да биват унищожени след изтичане на периода на съхранение, в съответствие с изискванията, изложени в тази Политика.

Сроковете за съхранение по отделните регистри, са определени, както следва:

  1. Регистър Персонал – 50 години;
  2. Регистър Контрагенти – за времето, необходимо за управление на взаимоотношението с доставчика, колкото е необходимо за счетоводните нужди на Администратора на личните данни и/или за изпълнение на правни задължения на Управителя на Интер Експо Център ЕООД, но за срок не по-дълъг от 10 години;
  3. Регистър Посетители - за времето, необходимо за управление на взаимоотношението с Посетителя, колкото е необходимо за нужди на Администратора на личните данни и/или за изпълнение на правни задължения на Управителя на Интер Експо Център ЕООД, но за срок не по-дълъг от 10 години;
  4. Регистър Видеонаблюдение – 30 дни, освен когато записите от видеонаблюдението е нужно да се запазят извън посочения срок за целите на разследване на престъпления или нарушения, за които Интер Експо Център ЕООД уведомява разследващия орган – полиция, прокуратура, Комисия за защита на личните данни и др.
  5. Регистър кандидати за работа – 45 дни.

Управителят на Интер Експо Център ЕООД със заповед определя лицата, обработващи лични данни, правомощията им във връзка със защитата на обработваните лични данни, правата и задълженията им.

Управителят на Интер Експо Център ЕООД и/или упълномощените от него лица имат следните правомощия:

Осигуряват организацията по водене на регистрите, съгласно предвидените мерки за гарантиране на адекватна защита;

Следят за спазването на конкретните мерки за защита и контрол на достъпа съобразно спецификата и нивото на защита на водените регистри;

Осъществяват контрол по спазване на изискванията за защита на регистрите;

Поддържат връзка с Комисията за защита на личните данни относно предприетите мерки и средства за защита на регистрите и подадените заявления за предоставяне на лични данни. Това правомощие е предоставено изключително на Управителя на Интер Експо Център ЕООД;

Специфицират техническите ресурси, прилагани за обработка на личните данни;

Следят за спазване на организационните процедури за обработване на личните данни и за спазване на контролирания достъп до носителите на лични данни;

Провеждат периодичен контрол за спазване на изискванията по защита на данните и при открити нередности вземат мерки за тяхното отстраняване.

Достъп до личните данни, съхранявани в Регистрите, имат само служителите на Интер Експо Център ЕООД, на които такъв достъп е необходим за изпълнение на служебните им задължения, както и за изпълнение на бизнес цели, при стриктно спазване на принципа "Необходимост да знае" (т.е. в съответствие с правата и задълженията му по длъжностна характеристика и/или договор за съответното правоотношение с Интер Експо Център ЕООД). По-конкретно тези служители са упълномощени на принципа "Необходимост да знае" със заповед.

Възможността за достъп при обработката на до личните данни, на други служители е ограничена до случаите, когато на тях изрично е предоставено такова право на достъп и в съответствие с принципа "Необходимост да знае". В този случай правото на достъп се предоставя за всеки конкретен случай от отдела, в който е включен служителят, на когото се дава достъп, с изрично разрешение, в което се посочват личните данни и целите, за които се предоставя достъпът, както и времето, за което той се предоставя.

Личните данни, обработвани от Интер Експо Център ЕООД, са защитени от разкриване на трети лица. Трети лица могат да имат достъп до такава информация единствено ако имат такова нормативно установено правомощие или друго основание им дава такова право.

Разкриване на такава информация трябва да бъде изрично разрешено от Управителя на Интер Експо Център ЕООД, като се предприемат подходящи мерки, които да осигурят спазването на законодателството в областта на личните данни, както и спазване на задължението за конфиденциалност и обезопасяване предаването на всякакъв обмен на данни.

Настоящата Политика е задължителна за всички служители на Интер Експо Център ЕООД, доколкото те участват в обработването на личните данни по горните регистри, и за други лица, които имат постоянен или временен достъп до лични данни от всички регистри.

Упълномощените служители, на които е възложено обработването на лични данни от Регистрите, са длъжни:

  • да обработват личните данни законосъобразно и добросъвестно;
  • да използват личните данни, до които имат достъп, съобразно целите, за които се събират, и да не ги обработват допълнително по начин, несъвместим с тези цели;
  • да актуализират регистрите с личните данни (при необходимост);
  • да заличават или коригират личните данни, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
  • да поддържат личните данни във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват, да спазва тази Политика.

Организационни и технически мерки за защита

Физическа защита на личните данни, съдържащи се в Регистрите.

Организационни мерки:

Определяне на зони с контролиран достъп; Всички физически зони с хартиени и електронни записи се съхраняват и са ограничени само за служители, които трябва да имат достъп чрез принципа "Необходимост да знае" с оглед изпълнението на работните им задължения. Всички записи и документи на хартиен носител, съдържащи лични данни, са в заключени шкафове, които са заключени в помещение с ограничен достъп, достъпен само от упълномощен персонал.

Данните са защитени чрез използването на средства за физически контрол на достъпа, като контрол на достъпа, чрез чип карти. Всички помещения, където се съхраняват данни на хартиен носител, се намират в зони с ограничен достъп и са защитени, чрез контрол на достъпа, чрез чип карти, заключване на шкафовете или други подобни средства. Електронни носители включително сървъри, са защитени по подобен начин, в зони с контрол.

Личните данни се обработват в непублична част от помещенията, която е физически ограничена и достъпна само от служители, за които е необходимо да имат достъп с оглед на изпълнението на служебните им задължения..

Комуникационно-информационните системи, използвани за обработка на лични данни са отделени от зоните достъпни за външни лица и са физически защитени, като достъпът е ограничен само до тези служители, които за изпълнение на служебните си задължения се нуждаят от такъв достъп до данните.

Физически достъп до зоните с ограничен достъп, включително и тези, в които се намират информационните системи (компютри, сървъри), е възможен само през врати с контрол на достъпа, чрез чип карти. Достъп се предоставя само на служителите, на които е пряко възложено това за изпълнение на служебните им задължения.

Технически мерки

Система за контрол на достъпа, чрез чип карти, шкафове с ограничен достъп, индивидуална парола на всеки компютър, индивидуална парола за достъп до Office 365, индивидуална парола за достъп до мейл, пожаро-известителна и пораро-гасителни системи, жива охрана и охрана СОТ.

Персонална защита

Познаване на нормативната уредба в областта на защитата на лични данни се разглежда в обучителната програма, която трябва да бъде премината от служителите и организирана от Интер Експо Център ЕООД. Същите са длъжни да прочетат и да се запознаят с тези вътрешни правила при наемането им, както и да актуализират познанията си във връзка със защитата на личните данни най-малко веднъж годишно. Запознаването с тези вътрешни правила се осъществява срещу подпис.

Споделяне на критична информация между персонала (например идентификатори, пароли за достъп и т.н.) е забранено, освен ако форсмажорни обстоятелства наложат това.

Обучение. Служителите трябва да преминат обучение за защита на личните данни непосредствено след наемането им и най-малко веднъж годишно.

Тренировка на персонала за реакция при събития, застрашаващи сигурността на данните се предоставя в обучителна програма, която трябва да бъде премината от служителите, непосредствено след наемането им и най-малко веднъж годишно.

Служителите са инструктирани незабавно да уведомят прекия си ръководител, ако имат съмнение или им е известна заплаха за сигурността на личните данни.

Документална защита

Определяне на условията за обработване на лични данни

Личните данни се събират само с конкретна цел, за да подкрепят законните интереси на администратора на лични данни или доколкото е необходимо, да се съобразят със законовите задължения на администратора на лични данни. Всеки тип данни се класифицира в съответствие с неговото предназначение и характер, и са защитени в съответствие с изискванията, посочени по-горе.

Регламентиране на достъпа до регистрите

Достъпът до регистрите е ограничен и се предоставя само на упълномощения персонал, в съответствие с принципа на "Необходимост да знае".

Контрол на достъпа до регистрите

Достъпът до данните е ограничен само до конкретни, минимално необходими данни, нужни на служителя да изпълнява своите задължения.

Определяне на срокове за съхранение на личните данни

Съхраняването на данни е в съответствие с целите, за които са събрани данни, и законоустановения срок. Личните данни се съхраняват толкова дълго, колкото е необходимо, за да се осъществи целта, за която са били събрани или както се изисква от приложимото право. Например, данни от регистър Персонал се обработват за 50 години след приключване на правоотношението, в съответствие с българското законодателство. След изтичането на определения срок или при отпаднало основание данните трябва да бъдат унищожени по процедура и безопасен начин.

Правила за размножаване и разпространение на лични данни

Личните данни могат да бъдат само копирани и разпространявани от упълномощените служители само ако е необходимо за юридически нужди, както и да бъдат предоставяни само на лица, на които са необходими във връзка с извършване на възложена работа.

Неразрешеното копиране и разпространение е обект на официални санкции, в зависимост от тежестта на престъплението, включително прекратяване на трудовите / гражданските правоотношения.

Процедури за унищожаване

Документи на хартиен носител, които съдържат лични данни, трябва да бъдат унищожени по сигурен начин, когато вече не са необходими, чрез шредиране или чрез изгаряне. Всеки служител и ръководител на отдел, който е в притежание на такива документи, е отговорен за сигурното унищожаване на документите. За всяко унищожаване се издава нарочна заповед на Управителя на Интер Експо Център ЕООД и се съставя надлежен протокол за унищожаване.

Защита на автоматизираните информационни системи и/или мрежи

Идентификация и автентификация

С цел да се въведе достъп, съобразен с принципа "Необходимост да знае", Интер Експо Център ЕООД изисква от служителите си да прилагат уникални потребителски акаунти и лични пароли за всеки потребител с акаунт за достъп до мрежата.

Служителите са лично отговорни за правилното използване на техните потребителски акаунти и пароли.

Управление на регистрите.

Със заповед на Управителя на Интер Експо Център ЕООД се посочват звената от администрацията, отговорени за управлението на регистрите и само ограничен брой служители могат да имат достъп до данните, съдържащи се в регистрите, в съответствие с принципа на "Необходимост да знае".

Служителите с достъп до регистрите се определят от Управителя при нобходимост.

Защита от вируси

Интер Експо Център ЕООД създава и поддържа стандартни и сигурни конфигурации за всяка компютърна и мрежова платформа, с която оперира. Системният софтуер се контролира и се поддържа от оторизирани лица. Интер Експо Център ЕООД работи с версии на одобрен антивирусен софтуер. Потребителите не трябва да отказват автоматични софтуерни процеси, които актуализират вирусните подписи. Антивирусният софтуер скрининг трябва да се използва, за да сканира всички софтуери и файлове с данни, идващи от или до трети страни или други служители на Интер Експо Център ЕООД. Служителите не трябва да избягват или да изключват сканиране на процесите, които биха могли да предотвратят предаването на компютърни вируси.

Дискове, флашки и други магнитни носители, използвани от заразен компютър не трябва да се използват на друг компютър, докато вирусът не бъде успешно премахнат.

Заразеният компютър трябва да бъде незабавно изолиран от вътрешните мрежи.

Антивирусните логове трябва да се съхраняват в продължение на най-малко седем 7 дни.

Санкции и отговорност

Всяко умишлено нарушение на правилата и ограниченията за достъп до личните данни от служители на Интер Експо Център ЕООД може да бъде основание за налагане на дисциплинарни санкции, включително и уволнение.

ДОПЪЛНИТЕЛНИ РАЗПОРЕДБИ

§ 1. По смисъла на настоящата инструкция:

  1. "Лични данни" е всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице. Това лице се нарича субект на данни.
  2. "Обработване" е всяка операция или съвкупност от операции, извършвани с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
  3. "Регистър с лични данни" е всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.
  4. "Контрагент" е търговско дружество, сключило договор с Интер Експо Център ЕООД за осъществяване на на дадена дейност.
  5. "Лице с достъп до данни" е всяко лице, действащо под ръководството на Управителя на Интер Експо център ЕООД или на обработващия, което има достъп до лични данни, може да ги обработва само по указание на Управителя, освен ако в закон е предвидено друго.

ПРЕХОДНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

§. По отношение на обработването и защитата на личните данни всички вътрешни процедури от документооборота на Интер Експо Център ЕООД трябва да бъдат в съответствие с разпоредбите на ЗЗЛД и настоящите вътрешни правила.

§. Политиката е задължителна за всички служители и други лица, наети на граждански договори от Интер Експо Център ЕООД и са длъжни да я спазват.

§. Контрол по изпълнението на настоящата Политика се осъществява от Управителя на Интер Експо Център ЕООД и/или от упълномощените от него длъжностни лица.

§. Изменения и допълнения на тази Политика се правят по реда на издаването и утвърждаването й.

§. Тази Политика отменя инструкция за мерките и средствата за защита на личните данни събирани, обработвани, съхранявани и предоставяне от Интер Експо Център ЕООД и влиза в сила от 25.05.2018 г.