ВЪТРЕШНИ ПРАВИЛА

относно механизма на обработване и защита на лични данни в „ХАРКО“ ЕООД, с ЕИК 121696302

 

Глава първа

ОБЩИ ПОЛОЖЕНИЯ

 

Чл. 1. (1) Настоящите вътрешни правила се прилагат за лични данни по смисъла на Закона за защита на личните данни и се издават на основание чл.23, ал. 4 от Закона за защита на личните данни и чл. 19 т. 2 от Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни. Във връзка с РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).

(2) Обработването на лични данни е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхранение, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване или предаване, разпространяване, актуализиране или комбиниране, блокиране, заличаване или унищожаване на данните.

            (3) Обработването на лични данни се състои и в осигуряване на достъп до определена информация само за лица, чиито служебни задължения или конкретно възложени задачи налагат такъв достъп.

(4). При обработване на личните данни в „ХАРКО“ ЕООД субектите/ физически лица/ подписват декларация за съгласие. В случай на онлайн съгласие за обработка на личните данни подписът се замества от изрична попълнена от субекта на личните данни отметка. Със същата субектите дават съгласието си и декларират, че предоставянето на личните  им данни е доброволно, както и че са запознати с правата си по ЗЗЛД и РЕГЛАМЕНТ (ЕС) 2016/679 и дават изрично и безусловно съгласие предоставените от тях лични данни да бъдат събирани, обработвани и предавани на трети лица.

Чл. 2. (1) Настоящите вътрешни правила имат за цел да регламентират:

1. Механизмите за водене, поддържане и защита на регистрите, съхраняващи лични данни в „ХАРКО“ ЕООД, наричана по-долу „дружеството“, с цел гарантиране на неприкосновеността на личността и личния живот, чрез осигуряване на защита на данните за физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните;
2. Видовете регистри, които се водят в дружеството и тяхното описание;
3. Необходимите технически и организационни мерки за защита на личните данни, съдържащи се в регистрите от неправомерно обработване (случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни).

Чл. 3. (1) Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.

(2) Личните данни се събират за конкретни, точно определени и законни цели, обработват се законосъобразно и добросъвестно и не могат да се обработват допълнително по начин, несъвместим с тези цели.

Чл. 4. Личните данни се подържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват. Личните данни, които ще се съхраняват за по-дълъг период за исторически, статистически или научни цели, се поддържат във вид, непозволяващ идентифицирането на физическите лица.

 

Глава втора

ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

 

Чл. 5. (1) Обработване на личните данни е всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване или предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване на данните.

(2) Обработване на личните данни се състои и в осигуряване на достъпа до определена информация само за лица, чиито служебни задължения или конкретно възложена задача налагат такъв достъп.

(3) Обработването на лични данни е допустимо само в случаите, когато е налице някое от следните условия:

1. обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;
2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие;
3. обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;
4. обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;
5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;
6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;
7. обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.

Чл. 6. (1) Администраторът възлага обработването на личните данни на негов служител.

(2) Обработващите лични данни, действат само по указание на администратора, освен ако в закон не е предвидено друго.

Чл. 7. (1) Личните данни в регистрите се набират от администратора на лични данни респективно - обработващият лични данни на хартиен или електронен носител.

(2) За необходимостта от набиране на лични данни и целите, за които ще бъдат използвани, обработващият лични данни информира лицето.

(3) Документите, съдържащи лични данни, заедно с приложенията към тях се обработват в регистрите от обработващия лични данни и се съхраняват на хартиен и/ или магнито-оптичен носител.

(4) Набраните данни на технически носител остават в отделни файлове на компютъра, като достъп до тях има само обработващият лични данни.

(5) Хартиеният носител се подрежда в кадрови досиета или специални папки и се представя за проверка законосъобразността на изготвения документ и валидирането му чрез подписи на съответните длъжностни лица.

(6) При необходимост от поправка на личните данни, лицата предоставят такива на обработващия лични данни по негово искане на основание нормативно задължение.

(7) За достоверността на предоставените копия от регистри, съдържащи лични данни, отговорност носи обработващият лични данни.

 

Глава трета

ВИДОВЕ РЕГИСТРИ И ФОРМИ НА ВОДЕНЕТО ИМ

 

Чл. 8. (1) Регистрите, в които се набират и съхраняват лични данни в дружеството са:

1. регистър Персонал с подрегистри:
   • наети лица по трудов/ граждански договор
   • кандидати за служители
   • финансово- счетоводна отчетност
2. регистър Контрагенти (клиенти)

(2) Групите данни в регистрите, които се отнасят до физически лица могат да бъдат:

Физическа идентичност - име, ЕГН, номер на лична карта, дата и място на издаване, номер на свидетелство за управление на МПС, дата и място на издаване, адрес, месторождение, телефони за връзка, снимка, интернет профили, IP адрес, електронен  (e-mail)  адрес и други.

Образование - вид на образованието, място, номер и дата на издаване на дипломата, допълнителна квалификация, сертификати и др.

Допълнителна квалификация – данните се предоставят от лицата на основание нормативно задължение във всички случаи, когато е необходимо.

Трудова дейност - професионална биография.

Медицински данни – физиологично, психическо и психологично състояние на лицата. Данните са от значение при заемане на длъжности и изпълнение на функции, изискващи особено висока степен на отговорност, пряка ангажираност и непосредствен досег с хора, в това число от рискови групи.

Съдебно минало- когато е необходимо за заемане на длъжност в дружеството.

Други – профили в социални мрежи като Фейсбук, Линкедин, Инстаграм и други.

 

Чл. 9 В регистър Персонал, се събират и съхраняват личните данни на служителите в „ХАРКО“ ЕООД, заети по трудови или граждански правоотношения по време на дейността им по изпълнение на тези договори, с оглед:

1. Индивидуализиране на трудовите и граждански правоотношения.
2. Изпълнение на нормативните изисквания на Кодекса на труда, Кодекса за социално осигуряване, Закона за счетоводството, Закона за държавния архив и др.
3. Използване на събраните данни за съответните лица за служебни цели.
4. За всички дейности, свързани със съществуване, изменение и прекратяване на трудовите и граждански правоотношения - за изготвяне на всякакви документи на лицата в тази връзка (договори, допълнителни споразумения, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения и др. подобни).
5. За установяване на връзка с лицето по телефон, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията му по трудови или граждански договори.
6. За водене на счетоводна отчетност, относно възнагражденията на посочените по-горе лица по трудови и граждански договори.

Чл. 10. Регистърът се води на хартиен и/или електронен носител.

Чл. 11. (1) Хартиените носители на лични данни се съхраняват в папки (кадрови дела) за всеки служител. Кадровите дела се подреждат в специален картотечен шкаф.

• Картотечният шкаф се помещава в счетоводстото на дружеството в помещение, предназначено за работа на служители, на които с тези правила е възложено да бъдат обработващи на лични данни.
• Достъп до кадровите досиета имат само обработващите на лични данни. Възможността за предоставяне на друго лице на достъп до личните данни при обработката им е ограничена и изрично регламентирана в тази Вътрешни правила.

Чл. 12. (1) При водене на регистъра на технически носител личните данни се въвеждат на твърд диск, на изолиран компютър.

• Компютърът е свързан в локална мрежа, но със защитен достъп до личните данни, който е непосредствен само от страна на обработващите на лични данни. При работа с данните се използват софтуерни продукти по обработка на данните, относно възнагражденията на персонала, в това число основни и допълнителни възнаграждения, данъчни и други (вноски по заеми, запори и пр.) задължения, трудов стаж, присъствени и неприсъствени дни и други подобни. Софтуерните продукти са адаптирани към специфичните нужди на администратора на лични данни.
• Компютрите се помещават в изолирано помещение за самостоятелна работа на обработващите на лични данни по регистъра в счетоводния отдел на „ХАРКО“ ЕООД.

• Достъп до операционната система, съдържаща файлове за обработка на лични данни, имат само обработващите на лични данни чрез парола за отваряне на тези файлове. Защитатана електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поддържане на антивирусни програми, периодично архивиране на данните на отделни дискове, както и чрез поддържане на информацията на хартиен носител.

Чл. 13. В регистъра се поддържат следните видове данни:

1. Физическа идентичност - имена, ЕГН, номер на лична карта, дата и място на издаване, номер на свидетелство за управление на МПС и дата на издаване, месторождение, адрес, телефони за връзка.
2. Образование - документ за придобито образование, квалификация правоспособност, когато такива се изискват за длъжността, за която лицето кандидатства, и др.
3. Трудова дейност - съгласно приложените документи за трудов стаж и професионална биография.
4. Медицински данни - карта за предварителен медицински преглед за постъпване на работа, документ за трудоустрояване.
5. Свидетелство за съдимост, когато се изисква за заемане на длъжността.
6. Личен формуляр по образец.

Чл. 14. Личните данни в регистър „Персонал“ се набират при постъпване/възлагане на работа по трудово или гражданско правоотношение на дадено лице в изпълнение на нормативно задължение - разпоредбите на Кодекса на труда и подзаконовите нормативни актове за прилагането му, Кодекса за социално осигуряване,действащи в Република България и други, по един от следните начини:

1. Устно интервю с лицето (при постъпване или в процеса на работа).
2. На хартиен носител - писмени документи - молби, заявления за постъпване/извършване на работа по трудово или гражданско правоотношение, за изменение или прекратяване на тези отношения, по текущи въпроси в процеса на работа, подадени от лицето.
3. От външни източници (от съдебни, финансови, осигурителни, данъчни и други институции в изпълнение на нормативни изисквания).

Чл. 15. Във всички случаи, когато е необходимо на основание нормативно задължение, лицата, чиито данни задължително подлежат на обработка в регистъра, подават необходимите лични данни на администратора и на обработващите лични данни. За необходимостта от набиране на лични данни и целите, за които ще бъдат използвани, администраторът/ обработващият личните данни информира лицето.

Чл. 16. Освен посочените лица и при посочените случаи, ограничен достъп до лични данни имат и счетоводителите в дружеството при обработване лични данни на лицата, относно изготвяне на разплащателни документи, свързани с преводи на възнагражденията на лицата, наети по трудови и граждански правоотношения в дружеството, по касов и банков път.

Чл. 17. При необходимост от поправка на личните данни, лицата предоставят такива на администратора на лични данни/ обработващия лични данни по негово искане на основание нормативно задължение.

Чл. 18. Освен на длъжностните лица, обработващи лични данни, правомерен е достъпът и на длъжностното лице, пряко ангажирано с оформяне и проверка законосъобразността на документите на лицата- главен счетоводител. Обработващите на лични данни са длъжни да му осигурят достъп при поискване от негова страна.

Чл. 19. Кадровото дело на лицето не се изнася извън сградата. Никое трето лице няма право на достъп до кадровите досиета на персонала на дружеството, освен ако същото е изисквано по надлежен път от органи на съдебната власт (съд, прокуратура, следствени органи). Достъпът на тези органи до личните данни на лицата е правомерен.

Чл. 20. (1) Не се изисква съгласие на лицето, ако обработването на неговите лични данни се извършва само от или под контрола на компетентен държавен орган за лични данни, свързани с извършване на престъпления, на административни нарушения и на непозволени увреждания. На такива лица се осигурява достъп до личните данни, като при необходимост им се осигуряват съответни условия за работа в помещение на Предприятието.

• Правомерен е и достъпът на ревизиращите държавни органи, надлежно легитимирали се със съответни документи - писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп до кадровите досиета на персонала.

Чл. 21. Решението си за предоставяне или отказване достъп до лични данни за съответното лице администраторът съобщава на третите лица в 30-дневен срок от подаване на молбата, респ. искането.

Чл. 22. За неизпълнение на задълженията, вменени на съответните длъжностни лица по този правилник и по Закона за защита на личните данни, се налагат дисциплинарни наказания по Кодекса на труда, а когато неизпълнението на съответното задължение е констатирано и установено от надлежен орган - предвиденото в Закона за защита на личните данни административно наказание - глоба. Ако в резултат действията на съответното длъжностно лице по обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако стореното представлява по-тежко деяние, за което се предвижда наказателна отговорност.

Чл. 23. Архивиране на личните данни на технически носител се извършва периодично на всеки 30 (дни) от обработващия на лични данни с оглед запазване на информацията за съответните лица в актуален вид.

Чл. 24. (1) Регистър Контрагенти, съдържа лични данни за физическите лица, както и представляващи юридическите лица - имена и ЕГН, както и лични данни на контрагентите физически лица- имена, ЕГН, номер на лична карта и  дата на издаване, адрес по лична карта.

(2) Когато е необходимо за целите на осъществяване на предлаганата  услуга на контрагентите, в Регистър Контрагенти се съхраняват и други лични данни, като:

1.Мейл поща

2. Фейсбук профил
3. Линкедин профил
4. Инстаграм профил

 (3) Предоставените данни се съхраняват за срок от 5 години или до изтичане на необходимостта за това или до подаването на изрично искане от контрагента за заличаването им, освен ако по закон няма по- дълъг срок за съхранението им.

(4) Достъп до така събраните лични данни имат администратора на лични данни и лицата, обработващи личните данни във връзка с предоставяната услуга на контрагента.

 (5) Личните данни на контрагетните не се изнасят извън сградата на администратора, освен когато е необходимо предоставянето им в съда, държавно или общинско учреждение, банкова институция или куриерска фирма. Никое длъжностно или трето лице няма право на достъп до личните данни на контрагентите на дружеството, освен ако същото е изисквано по надлежен път от органи на съдебната власт (съд, прокуратура, следствени органи). Достъпът на тези органи до личните данни на лицата е правомерен.

Чл.25. Решението си за предоставяне или отказване достъп до лични данни за съответното лице администраторът съобщава на третите лица в 30-дневен срок от подаване на молбата, респ. искането.

Чл.26. Архивиране на личните данни на технически носител се извършва периодично на всеки 30 (дни) от обработващия на лични данни с оглед запазване на информацията за съответните лица в актуален вид.

Чл.27. Освен администратора и обработващите лични данни, ограничен достъп до лични данни имат и счетоводителите в дружеството при обработване лични данни  относно осчетоводяване на фактури, по които дружеството е издател или получател, банковите институции във връзка с осъществяване на разплащанията с клиентите, куриерските фирми досежно изпращане на пратки и/ или наложени платежи.

 

 

Глава четвърта

МЕРКИ ЗА ГАРАНТИРАНЕ НИВОТО НА СИГУРНОСТ

 

Чл.28. (1) За гарантиране нивото на сигурност в „ХАРКО“ ЕООД се предприемат комплекс от технически и организационни мерки за защита на личните данни от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.

(2) Мерките по ал.1 включват следните средства за защита на личните данни:

1. програмно-апаратни: например програмно-технически

• разработване и прилагане на система за ограничаване на достъпа до лични данни;
• защита на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване посредством поддържане на антивирусни програми, периодично архивиране на данните на отделни електронни носители, както и чрез съхраняване на информацията на хартиен носител; намиращите се на сървър данни се архивират от отговорното длъжностно лице със съответната квалификация; намиращите се на изолирани компютри данни се архивират от оператора на съответния компютър (обработващия лични данни);

2. физически:

• заключване на помещенията в извънработно време и регламентиране на достъпа до тях;
• заключване в определените случаи на шкафовете за съхранение на информация, свързана с лични данни;
• осигуряване на охрана чрез СОТ на сградата и работните помещения, в които се съхраняват носители на лични данни и са разположени компютърни и комуникационни средства;

3. организационни:

• осигуряване на възможност за установяване самоличността на лицето, отговорно за сигурността – при мерки при средно ниво за сигурност;
• разработване и прилагане на процедури за създаване на архивни копия и за възстановяване на данни – при мерки при средно ниво за сигурност;
• разработване и прилагане на система за докладване, управляване и реагиране при инциденти.

4. нормативни:

• спазване на законовите изисквания и прилагане на процедурите за защита на техническите и информационни ресурси от аварии, произшествия и бедствия (пожар, наводнение и др.);
• осигуряване на ефективни механизми за контрол над спазването на вътрешните правила и съотносимите нормативни актове в дружеството.

(3) Мерките по ал.1 и 2 са съобразени със съвременните технологични постижения и осигуряват ниво на защита, което съответства на рисковете, свързани с обработването, и вида на защитените данни.

Чл. 29. Всички действия, които водят или могат да доведат до нерегламентирано изтриване, унищожаване или изменение на постъпили в „ХАРКО“ ЕООД лични данни в електронен вид или на хартиен носител са забранени.

Чл. 30. (1) След постигане целта на обработване на личните данни или преди преустановяване на обработването на личните данни, „ХАРКО“ ЕООД:

1. ги унищожава, или
2. ги прехвърля на друг администратор, като предварително уведоми за това Комисия за защита на личните данни, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването.

(2) След постигане целта на обработване на личните данни „ХАРКО“  ЕООД ги съхранява само в предвидените в закон случаи.

(3) В случаите, когато след постигане целта на обработване „ХАРКО“ ЕООД иска да съхрани обработените лични данни като анонимни данни за цели по чл. 25, ал. 3 от ЗЗЛД, ДПФЗД, уведомява за това Комисията за защита на личните данни.

Чл. 31. (1) При възникнал инцидент (непредвидимо обстоятелство, което би могло да засегне сигурността на личните данни) узналото за инцидента лице докладва незабавно на адвокат Златанова.

(2) За инцидентите се води дневник от обработващия личните данни, в който задължително се вписват предполагаемото време или период на възникване, времето на установяване, времето на докладване и името на служителя, извършил доклада.

(3) След анализ от страна на адвокат Златанова, се записват последствията от инцидента и мерките, които са предприети за отстраняването им.

(4) В случаите на необходимост от възстановяване на данни, процедурата се изпълнява след писменото разрешение на лицето по защита на личните данни, като това се отразява в дневника по архивиране и възстановяване на данни.

(5) В случаите на компрометирането на парола тя се подменя с нова, като събитието се отразява в дневника за инциденти.

 

Глава пета

ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ

 

Чл. 32. (1) Администраторът предоставя лични данни в изпълнение на нормативно установени задължения.

(2) Всяко физическо лице има право на достъп до отнасящи се за него лични данни, съхранявани и обработвани в дружеството.

(3) При упражняване на правото си на достъп физическото лице има право по всяко време да поиска от администратора на лични данни:

1. потвърждение за това, дали отнасящи се до него данни се обработват, информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват;
2. съобщение до него в разбираема форма, съдържащо личните му данни, които се обработват, както и всяка налична информация за техния източник;
3. информация за логиката на всяко автоматизирано обработване на лични данни, отнасящи се до него, поне в случаите на автоматизирани решения.

Чл. 33. (1) Правото на достъп се осъществява с писмено заявление/или заявление по електронен път по реда на Закона за електронните документи и електронния подпис/ до  дружеството . Подаването на заявлението е безплатно.

(2) Заявлението съдържа:

• име, адрес и други данни за идентифициране на съответното физическо лице;
• описание на искането;
• предпочитана форма за предоставяне на информацията;
• подпис, дата на подаване на заявлението и адрес за кореспонденция;
• приложено пълномощно, когато заявлението се подава от упълномощено лице.

(3) Заявлението се завежда в „ХАРКО“ ЕООД.

(4) При подаване на заявление за осигуряване на достъп до лични данни, представляващият администратора и упълномощените от него лица, разглеждат заявленията и разпореждат на обработващия лични данни да осигури искания достъп от лицето в предпочитаната от него форма.

Чл. 34. (1) Срокът за разглеждане на заявлението и произнасяне по него е 14 - дневен, считано от деня на подаване на искането, съответно 30 - дневен, когато обективно се изисква по-дълъг срок за събиране на всички искани данни на лицето и това сериозно затруднява дейността на администратора.

(2) В посочените срокове, по заявлението на лицето, администраторът на лични данни взема решение за предоставяне на пълна или частична информация или мотивирано отказва предоставянето й.

Чл. 35. Достъп до данните на лицето се осигурява под формата на:

1. Устна справка;
2. Писмена справка;
3. Преглед на данните от самото лице или упълномощено от него такова;
4. Предоставяне на копие от исканата информация.

Чл. 36. (1) При искане за заличаване, блокиране на лични данни, поради неправомерно обработване, несъответстващо на Закона за защита на личните данни, администраторът взема решение и извършва съответното действие в 14-дневен срок от подаване на заявлението или мотивирано отказва извършването им.

(2) При искане за уведомяване на трети лица, на които са разкрити личните данни за извършеното заличаване, коригиране, блокиране, администраторът на лични данни взема решение в 14-дневен срок и незабавно уведомява третите лица или мотивирано отказва да извърши уведомяването.

Чл. 37. Правомерен е достъпът до регистрите с лични данни на длъжностните лица, пряко ангажирани с оформяне и проверка на законосъобразността на документите на лицата - отговарящи за съответния ресор, в който се водят регистрите. Обработващият лични данни е длъжен да им осигури достъп при поискване от тяхна страна.

Чл. 38. (1) Регистрите, съдържащи лични данни не се изнасят извън сградата на администратора, освен ако е необходимо представянето им в съда, в държавен или общински орган, банкова институция или куриерска фирма във връзка с договорните отношения с клиентите, чиито лични данни са обект на защита. Никое трето лице, няма право на достъп до регистрите с лични данни, освен ако данни от същите не са изискани по надлежен път от органи на съдебната власт (съд, прокуратура, следствени органи).

(2) Не се изисква съгласие на лицето, ако обработването на неговите лични данни се извършва само или под контрола на компетентен държавен орган за лични данни, свързани с извършване на престъпления, на административни нарушения и на непозволени увреждания.

(3) Решението си за предоставяне или отказване достъп до лични данни за съответното лице, администраторът съобщава на третите лица в 30-дневен срок от подаване на искането.

 

Глава шеста

ПРАВА И ЗАДЪЛЖЕНИЯ НА СЛУЖИТЕЛИТЕ, ОБРАБОТВАЩИ ЛИЧНИ ДАННИ

 

Чл. 39. (1) Служителите от „ХАРКО“ ЕООД са длъжни да спазват и изпълняват разпоредбите на вътрешните правила, в съответствие с длъжностните им характеристики.

(2) Обработващият лични данни се задължава да осигури достъп до електронните бази данни само по отношение на оторизираните служители /дефиниране на права на достъп до нивата, пароли за достъп до програмната среда, пароли за отваряне на файловете/.

(3) Обработващият лични данни се задължава да осигури подходяща защита на електронните данни чрез: поддържане на резервно копие, активиране на антивирусна защита.

Чл. 40. (1) За обработване на регистри, съдържащи лични данни служителят подписва декларация, че е запознат с Съгласно Регламента на (ЕС) 2016/679 на ЕП и на Съвета от 27 април 2016 година, (GDPR), с настоящите Вътрешни правила и защитата на личните данни, които се обработват от него.

(2) За неизпълнение на задълженията вменени на съответните длъжностни лица по тези Вътрешни правила и по Съгласно Регламента на (ЕС) 2016/679 на ЕП и на Съвета от 27 април 2016 година, (GDPR), се налагат дисциплинарни наказания по Кодекса на труда и други специализирани закони, а когато неизпълнението на съответното задължение е констатирано и установено от компетентен орган, предвиденото в Съгласно Регламента на (ЕС) 2016/679 на ЕП и на Съвета от 27 април 2016 година, (GDPR) и Закона за защита на личните данни административно наказание - глоба. Ако в резултат действията на съответното длъжностно лице по обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако стореното представлява по-тежко деяние, за което се предвижда наказателна отговорност.

 

ДОПЪЛНИТЕЛНИ РАЗПОРЕДБИ

 

По смисъла на настоящите Вътрешни правила:

• 1. „Администратор на лични данни“ е „ХАРКО“ ЕООД , представлявано от управителя си Велизар Александров
• 2. „Обработване на лични данни“ е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.
• 3 „Обработващ лични данни“ са длъжностни лица на предприятието, определени със Заповед на Управителя.
• 4 „Регистър на лични данни“ е всяка структурирана съвкупност от лични данни, достъпна по определени критерии, централизирана, децентрализирана или разпределена на функционален или географски принцип.

 

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

 

• 1. За неуредените в тези Вътрешни правила въпроси се прилагат разпоредбите на действащата нормативна уредба.
• 2. Вътрешните правила влизат в сила от деня на тяхното утвърждаване.
• 4. Вътрешните правила се утвърждават, допълват, изменят или отменят със заповед управителя на „ХАРКО“ ЕООД.

 

 

Съгласувал: /п./ ..............................

 

 

Изготвил: /п./ ................................