Поверителност

ВЪТРЕШНИ ПРАВИЛА

ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ В ПП ГЕРБ

I.                   ОБЩИ ПОЛОЖЕНИЯ.

 

Чл. 1. /1/ ПП ГЕРБ, с ЕИК по БУЛСТАТ 175248466 и адрес: гр. София, Столична община, район Триадица, НДК Административна сграда, етаж 17, има качеството на „администратор на лични данни“, съгласно Регистъра на дейностите по обработка.

/2/ ПП ГЕРБ определя длъжностно лице по защита на личните данни. Данните за контакт с него са: адрес: гр. София, Столична община, район Триадица, НДК Административна сграда, етаж 17, телефон: 02 490 13 13, електронен адрес за кореспонденция: [email protected], лице за контакт: Иванка Пейчева – Атрева.

Предмет.

Чл. 2. /1/ Настоящите Вътрешни правила за защита на личните данни /наричани за краткост „Вътрешни правила“/ уреждат организацията на обработване и защитата на лични данни на физическите лица, получени при осъществяване на дейността на ПП ГЕРБ.

/2/ Вътрешните правила са предназначени за всички служители, общински ръководители, членове на общинско ръководство, организационни секретари на територията на община/район, областни координатори, членове на Изпълнителната комисия, членове на Контролната комисия, които в рамките на служебните си задължения обработват лични данни, на които ПП ГЕРБ е администратор.

Достъп до лични данни.

Чл. 3. /1/ Достъпът до лични данни в ПП ГЕРБ се осъществява при прилагане на принципа „Необходимост да знае”.

/2/ Право на достъп до носителите на лични данни имат само лицата:

a)   които обработват данни в изпълнение на служебните си задължения, съгласно трудовия договор и длъжностната характеристика за съответната длъжност или функциите, които изпълняват, съгласно Устава на ПП ГЕРБ;

б) които са оторизирани чрез изричен акт на Председателя на ПП ГЕРБ;

в) които изпълняват сключени с ПП ГЕРБ договори.

/3/ Достъп до личните данни се предоставя след запознаване с нормативната уредба в областта на защитата на личните данни, настоящите правила и процедури за защита на личните данни  на администратора.

/4/ Оторизираните с право на достъп лица подписват Декларация за конфиденциалност на личните данни /Приложение № 1/, до които получават достъп при и по повод изпълнение на задълженията си.

/5/ Лицата, които имат достъп до лични данни носят отговорност за опазване на носителите, съдържащи лични данни. Всяко умишлено нарушение на правилата и ограниченията за достъп до личните данни може да бъде основание за налагане на дисциплинарни или гражданскоправни санкции, а в определени случаи и наказателна отговорност.

II.                ПРИНЦИПИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ.

Законосъобразност.

Чл. 4. /1/ В изпълнение на принципа за законосъобразност, ПП ГЕРБ обработва лични данни само при наличие на основание за конкретна обработка.

/2/ Лични данни се обработват при наличие на поне едно от следните основания:

a)     обработването е необходимо, за сключване на договор /предприемане на

стъпки за сключване на договор или е необходимо във връзка с изпълнението на вече сключен договор;

б) обработването е необходимо за изпълнение на определено правно задължение;

в) обработването е необходимо за реализиране на легитимен интерес на администратора.

г) обработването е необходимо, за да бъдат защитени жизненоважните интереси

на субекта на данните или на друго физическо лице;

д) обработването е основано на  доброволно и информирано съгласие на субекта на данните.

Чл.5 /1/ Обработване на данни, на основание съгласие на субекта, съгласно чл.4, ал.2, б „д“ се извършва когато не е налице някое от основанията, предвидени в чл.4, ал.2, б „а“ – „г“.

/2/ В случаите, когато се обработват данни на деца под 14 години, това обработване е законосъобразно само ако и доколкото такова съгласие е дадено от носещия родителска отговорност за детето.

/3/ За изпълнение и доказване на изпълнението на задължението на ПП ГЕРБ за наличие на информирано съгласие, на субектите на данни се предоставя Декларация за съгласие по образец /Приложение № 2/.

/4/ ПП ГЕРБ осигурява възможност на субекта на данни по всяко време да оттегли своето съгласие за обработване на данни, като подаде Декларация за оттегляне на съгласие /Приложение № 3/

Чл.6 /1/ За постигане на конкретно определени цели, ПП ГЕРБ обработва и специални категории лични данни.

/2/ Обработване на чувствителни лични данни се извършва само в случаите, когато:

а) субектът на данни е дал своето изрично съгласие за обработването на тези

лични данни за една или повече конкретни цели;

б) обработването е необходимо за целите на изпълнението на задълженията и

упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила, дотолкова, доколкото това е разрешено от правото на Съюза или националното законодателство, в което се предвиждат подходящи гаранции за основните права и интересите на субекта на данните;

в) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;

г) обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните;

д) обработването е необходимо с цел установяване, упражняване или защита на правни претенции;

е) обработването е необходимо по причини от важен обществен интерес на основание правото на Съюза или националното законодателство, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните;

ж) обработването е необходимо за целите на трудовата медицина, за оценка на трудоспособността на служителя или за целите на управлението на социалните услуги, на нормативно основание.

Добросъвестност и прозрачност.

Чл. 7./1/ В изпълнение на изискванията за добросъвестност и прозрачност на обработката, съгласно които за лицата следва да е ясно по какъв начин отнасящи се до тях лични данни се събират, използват, или обработват по друг начин, както и в какъв обхват се извършва или ще се извършва обработването на данните, ПП ГЕРБ информира субектите на данни за тази обработка.

/2/ Информирането на субектите на данни се извършва чрез Съобщение за поверителност за конкретна дейност или за свързани дейности по обработка, което съдържа следната информация: данни за контакт с ПП ГЕРБ, данни за контакт с длъжностното лице за защита на данните, обхват, цел и адресати на съобщението за поверителност, категории лични данни и категории субекти на които се обработват данни, правно основание и цели на обработването, източници за събиране на лични данни, информация за срока съхранението на данните, разкриване и предаване на данни в трети държави или на международни организации, автоматизирано вземане на решения и профилиране, мерки за сигурност на данните, информация за упражняване правата на субектите на данни.

/3/ В случаите на проектиране на нова обработка се преценява необходимостта от изготвяне на Съобщение за поверителност за тази обработка.

/4/ Длъжностното лице по защита на данните прави периодичен преглед на дейностите по обработка на данни и изготвя Съобщения за поверителност, когато това е необходимо.

Законово определяне на целите и допълнителна обработка.

Чл. 8. /1/ ПП ГЕРБ събира лични данни за конкретни, точно определени от закона /по правило/ или от ПП ГЕРБ /по изключение/ цели.

/2/ Допълнителна обработка е допустима единствено за целите на архивирането в обществен интерес или за статистически цели, в които случаи не е налице несъвместимост на поставените цели.

Свеждане на данните до минимум.

Чл. 9. ПП ГЕРБ не изисква предоставянето на повече данни от необходимите. Обемът на изискуемите данни в повечето случаи е нормативно определен, а когато такова нормативно определяне липсва, съобразяването на принципа е задължение на служителите, определящи обема на изискваната от субектите на личните данни информация.

Точност.

Чл. 10. ПП ГЕРБ предоставя възможност за актуализиране на неточни и непълни данни по реда за упражняване на правото на коригиране, описан в Процедурата за упражняване на права от субекта на данните по чл. 22, ал. 4 от настоящите Вътрешни правила.

Ограничение на съхранението.

Чл. 11. /1/ ПП ГЕРБ съхранява лични данни на хартиен и/или електронен носител, само за времето, необходимо за изпълнение на дейностите за обработката им и/или функциите и целите на политическата партия, освен ако в нормативен акт не се изисква друг период за съхранението им.

/2/ Правилата за съхранение, включително срокът за съхранение, както и правилата за унищожаване, когато такива не са определени в нормативната уредба, се определят с Вътрешните правила  за съхранение и унищожаване на лични данни /Приложение №4/.

/3/ След постигане на целите, за които са събрани, след изтичане на срока за съхранение, по искане на субекта на данните /ако е приложимо/ или ако обработката е била незаконосъобразна, данните се унищожават, независимо от вида на носителя им, по начин, който не позволява възстановяването им.

/4/ Редът за унищожаване е определен във Вътрешните правила за съхранение и унищожаване на лични данни, съгласно ал.2 и се прилага за всички документи, които съдържат лични данните.

Цялостност и поверителност.

Технически и организационни мерки.

Чл. 12. /1/ ПП ГЕРБ предприема мерки за защита на личните данни от случайно или незаконно унищожаване, от неправомерен достъп, от изменение или разпространение, както и от други незаконни форми на обработване.

/2/ Предприеманите мерки са съобразени със съвременните технологични постижения и рисковете, свързани с естеството на данните, които трябва да бъдат защитени.

Чл.13. /1/ ПП ГЕРБ прилага мерки за защита на личните данни, които осигуряват: физическа защита, персонална защита, документална защита, защита на автоматизирани информационни системи и/или мрежи, защита на личните данни при отношения с трети страни и доставчици.

/2/ Мерките за защита на личните данни се описват в документ с наименование Tехнически и организационни мерки за защита на личните данни в ПП ГЕРБ /Приложение №5/.

Защита по проектиране и по подразбиране.

Чл. 14. /1/ При планиране и предоставяне на нови услуги, ПП ГЕРБ осигурява защита по проектиране и подразбиране съгласно изискванията на Общия регламент за защита на личните данни, с изключение на случаите когато дейностите по обработка са предвидени в нормативен акт.

/2/ Прилагането на изискванията за „Защита на личните данни по проектиране“ и „Защита на личните данни по подразбиране“ изисква мерките за защита на данните да бъдат взети под внимание на всички етапи от създаването до заличаването на личните данни и на всички етапи на конкретен проект /проектиране, одобряване и внедряване/, на всички процеси /проекти, приложения или начини на работа/, които определят обработката на лични данни при осъществяване на дейността на ПП ГЕРБ.

/3/ За осигуряване на „Защита на личните данни по проектиране“, ПП ГЕРБ прилага принципите за защита на личните данни, както следва:

а) При планиране на всяка дейност по обработка на данни ясно се дефинира и документира целта на дейността. При разглеждането на целите на обработката на данни се отчита как и по отношение на кои лица е било извършено информирането за използването на личните им данни. В случаите, когато дейността представлява нова /допълнителна/ обработка на лични данни, се изисква уведомяване на физическите лица чрез Съобщение за поверителност. Ако не е налице друго основание за новата обработка, следва да бъде поискано тяхното съгласие.

б) При планиране на всяка дейност по обработка е необходимо да се:

  1. установи точният обем на данните, необходими за определената цел;
  2. планира обработка само на лични данни, необходими за осъществяване на законната и определена цел;
  3. изключва обработка на лични данни само защото са лесно достъпни /например от съществуваща база данни/ или защото за тях може да се счита, че е „добре е да ги има“ или да имат бъдеща, неопределена полезност.
  4. събират и обработват личните данни само за минималния брой лица, необходими за ефективността на планирания процес.
  5. предвиди необходимостта от анонимизиране на данните или сигурното им изтриване веднага щом вече не се изискват /при липса на конкретно законово изискване да се съхраняват данните за по-дълго време/;
  6. осигури възможност различните видове данни да могат да бъдат изтрити по различни периоди от време, в зависимост от съответната цел, без да се засяга качеството на останалите данни;
  7. вземе предвид мястото, където ще се съхраняват данните.
  8. ограничи достъпът до лични данни само до лицата, за които е неоходимо да имат достъп до личните данни за определените им задачи, и единствено в изпълнение на определената цел на процеса.
  9. следи достъпът до личните данни, така че нарушенията на личните данни да могат по-лесно да бъдат открити и проследени, ако е технически осъществимо.

10.  осигури анонимизиране или псевдонимизиране на личните данни, ако не е необходимо директно да се идентифицират определени лица;

11.  гарантира, че мерките за сигурност се прилагат във връзка с всички дейности по обработка на данни. За изпълнението на това изискване е необходимо да се измерят конкретните рискове по утвърдена Методика за оценка на риска, съгласно чл.19, ал.2 от настоящите Вътрешни правила. Когато се очаква рискът за физическите лица от обработващата дейност да е висок, се извършва оценка на въздействието върху защитата на данните, като се прилага Процедура  и Методология за оценка на въздействието, съгласно чл.20 от настоящите Вътрешни правила.

б) При планирането на всяка дейност по обработка се гарантира, че ПП ГЕРБ е в състояние да създаде възможност за упражняване на всички права на субектите на данни.

/4/ За съответствието на всяка планирана обработка с принципите на Регламента и изискванията по ал. 4 се извършва анализ и оценка на съответствието, съгласно Методика за оценка на съответствието /Приложение №6 /.

Сигурност на личните данни при обработка от трети лица.

Чл. 15. /1/ ПП ГЕРБ изисква осигуряване на адекватни технически и организационни мерки от обработващите от негово име лични данни, които са включени в договора с всеки обработващ.

/2/ Условията, при които обработващият извършва от името на ПП ГЕРБ операциите по обработка на данни се дефинират и конкретизират в  Споразумение за обработване на лични данни /Приложение №7/.

/3/ Преди сключване на спорумението, обратващият следва да покаже необходимото ниво на защита на лични данни, съгласно нивото на защита, определено от ПП ГЕРБ, като попълни карта за съответствие на обработката на лични данни, неразделна част от Споразумението по ал. 2.

Нарушения на сигурността на личните данни.

Чл. 16. /1/ Принципът за цялостност и поверителност при обработването на лични данни в ПП ГЕРБ се реализира и чрез осигуряване на адекватни действия в случай на нарушения на сигурността.

/2/ Описание на необходимите действия, които трябва да бъдат предприети от ръководството и служителите на ПП ГЕРБ за постигане на ефективно управление на нарушенията на сигурността на личните данни се съдържа в Процедура за действие при нарушение на сигурността на личните данни /Приложение № 8/.

/3/ ПП ГЕРБ уведомява Комисията за защита на личните данни и засегнатите субекти на данни /когато е необходимо съгласно нормативните изисквания/, за нарушението на сигурността на личните данни.

Отчетност.

Документиране.

Чл. 17. В изпълнение на принципа за отчетност, ПП ГЕРБ документира изпълнението на всички свои задължения за защита на личните данни.

 

Регистър на дейностите по обработка.

Чл. 18. /1/ ПП ГЕРБ поддържа постоянно Регистър на дейностите по обработка на данни.

/2/ Регистърът на дейностите по обработка на данни, извършвани от ПП ГЕРБ в качеството на администратор на лични данни е със следното минимално съдържание:

а) името и координатите за връзка на администратора;

б) името и координатите за връзка с длъжностното лице по защита на данните;

в) запис на категориите дейности по обработка на лични данни;

г) целите на обработването;

д) описание на категориите субекти на данни;

е) описание на категориите лични данни;

ж)описание на получателите, пред които са или ще бъдат разкрити личните        данни, включително получателите в трети държави или международни организации;

з) срок за съхранение и изтриване на лични данни;

и) когато е възможно, общо описание на техническите и организационни        мерки за сигурност.

/3/ Регистът на дейностите по обработка по ал.2 се поддържа в писмена форма, включително в електронна форма. /Приложение №9/.

/4/ Отговорност за създаването и поддържането на регистъра в актуален вид носят лицата по чл. 2, ал.2 от настоящите правила, които извършват дейности по обработка на личните данни. Те извършват периодичен преглед поне веднъж на три месеца и при необходимост актуализират данните за които отговарят.

/5/ Длъжностното лице по защита на личните данни предоставя достъп до регистъра при поискване от Комисията за защита на личните данни.

Оценка на риска и оценка на въздействието върху личните данни.

Чл. 19./1/ ПП ГЕРБ извършва оценка на риска за извършваните дейности по обработка

/2/ Оценката на риска на операциите по обработване на лични данни в ПП ГЕРБ се извършва по утвърдена Методика за оценка на риска, съгласно изискванията на стандарта ISO 31000 /Приложение №10/.

/3/ На базата на извършената по ал. 2 оценка на риска се изготвя План за действие, който съдържа необходимите механизми за контрол, отговорните лица и сроковете за изпълнение /Приложение №11/.

Чл. 20 ПП ГЕРБ извършва оценка на въздействието, когато обработката на данни създава висок риск за правата и свободите на физическите лица. Оценката на въздействието се извършва съгласно Процедура за извършване на оценка на въздействието върху личните данни и Методология за извършване на оценка на въздействието /Приложение № 12/.

Длъжностно лице по защита на личните данни.

Чл. 21 /1/ Длъжностното лице по защита на данните изпълнява следните задачи:

а) информира и съветва ПП ГЕРБ за задълженията, свързани с обработването на лични данни, съгласно законодателството в областта на защита на данните и настоящите Вътрешни правила.

б) наблюдава спазването на законодателството в областта на защита на данните и настоящите Вътрешни правила по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на служителите, участващи в операциите по обработване, и съответните одити.

в) при поискване предоставя съвети по отношение на оценката на въздействието върху защитата на данните и наблюдава извършването на оценката.

г) осъществява сътрудничеството на ПП ГЕРБ с Комисията за защита на личните данни.

д) консултира физическите лица във връзка с обработването на лични данни от ПП ГЕРБ, приема и обработва постъпили искания за упражняване на права.

/2/ Данните за контакт с длъжностното лице по защита на данните се обявяват на лесно достъпно място на електронната страница на ПП ГЕРБ, както и в Съобщенията за поверителност.

III.             ПРАВА НА ФИЗИЧЕСКИТЕ ЛИЦА.

Чл. 22. /1/ Физическите лица, чиито данни се обработват от ПП ГЕРБ в качеството му на администратор, имат следните права: право на достъп до данните, право на коригиране, право на изтриване/право „да бъдеш забравен“, право на ограничаване на обработването, право на възражение, право да не бъде обект на автоматизирано вземане на индивидуални решения, включително профилиране, право на преносимост на данните, право на жалба до надзорния орган.

/2/ Всяко физическо лице, чийто лични данни се обработват от администратора, има право на информация съгласно чл. 13 и чл. 14 от Общия регламент за защита на личните данни. ПП ГЕРБ уведомява лицата за обработката на личните данни чрез публикуване на Съобщения за поверителност.

/3/ Уведомяване по смисъл на ал.2 не се извършва, когато:

а) обработването е за статистически цели и предоставянето на информацията е невъзможно или изисква прекомерни усилия;

б) физическото лице, за което се отнасят данните, вече разполага с информацията;

в) обработката е предвидена в закон;

г) е налице изрична нормативна забрана.

/4/ Условията и реда за упражняване правата на субекта на данни, с изключение на правото на жалба до надзорния орган се съдържат Процедура за упражняване на права от субектите на данните /Приложение №13/.

IV.             ПРЕДОСТАВЯНЕ НА ДАННИ В ТРЕТИ ДЪРЖАВИ И МЕЖДУНАРОДНИ ОРГАНИЗАЦИИ.

Чл. 23. /1/ ПП ГЕРБ предоставя лични данни в трети страни или на международни организации при спазване на изискванията на Общия регламент за защита на личните данни.

/2/ Правилата и условията за предаване на лични данни на трети държави или международни организации от ПП ГЕРБ, в качеството на администратор на лични данни се уреждат в Процедура за предаване на лични данни на трети държави или международни организации /Приложение № 14/.

V.                ДОПЪЛНИТЕЛНА РАЗПОРЕДБА.

§.1 В настоящия документ понятията се изпълзват със следното значение:

  1. Администратор“ е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
  2. „Анонимизиране“ е процес, в резултат на който, се създава информация, която не е свързана с идентифицирано или подлежащо на идентифициране физическо лице по такъв начин, че субектът на данните да не може или вече не може да бъде идентифициран.
  3. Лични данни“ са всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано /„субект на данни“/;
  4. „Нарушение на сигурността на лични данни“ е нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
  5. Носител на лични данни” е физически обект, на който могат да се запишат данни или могат да се възстановят от същия.
  6. Обработване на лични данни“ е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
  7. Обработващ лични данни“ е физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора и е лице, различно от администратора;
  8. Оторизирано лице“ е лице, което по силата на естеството на преките си служебни задължения и/или изричното оторизиране, има право за достъп до определена категория лични данни;
  9. Получател“ е физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на държава членка, не се считат за „получатели“. Обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването.

10.  „Предоставяне на лични данни“ са действия по цялостно или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната или извън нея.

11.   „Псевдонимизация“ е обработване на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано.

12.  „Регистър на лични данни“ е всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

13.  „Регламент“ – Регламент /ЕС/ 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО /Общ регламент относно защитата на данните/

14. „Субект на данните“ е идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано;

15.  „Съгласие на физическото лице /субекта на данните/“ представлява ясен утвърдителен акт, с който се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни. Например чрез писмена декларация, включително по електронен път, или устна декларация..

16.  „Трето лице /страна/“ физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни.

17.  „Физическо лице, което може да бъде идентифицирано“ е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

18.  „Чувствителни лични данни“ – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.

VI.             ПРЕХОДНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ.

§. 1 Настоящите Вътрешни правила се приемат на основание член 24, параграф 2 от Регламент /ЕС/ 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива.

§. 2 Всички лица, чиито служебни задължения включват обработване на лични данни, чиито администратор е ПП ГЕРБ, са длъжни да се запознаят с настоящите Вътрешни правила и да ги спазват.

§. 3. За всички неуредени в настоящите Вътрешни правила въпроси, са приложими разпоредбите на Регламент /ЕС/ 2016/679, Закона за защита на личните данни, както и  действащото приложимо законодателство, което регламентира обработката на лични данни.

§.4. Настоящите Вътрешни правила влизат в сила от датата на тяхното утвърждаване.

§.5. Настоящите Вътрешни правила се преглеждат и актуализират при всяка промяна в нормативната уредба, но най- малко веднъж годишно от длъжностното лице по защита на линчите данни.

Настоящите Вътрешни правила се публикуват на официалната страница на ПП ГЕРБ.

 

ПРИЛОЖЕНИЯ:

  1. Декларация за конфиденциалност на личните данни /Приложение № 1/.
  2. Декларация за съгласие по образец /Приложение № 2/.
  3. Декларация за оттегляне на съгласие /Приложение № 3/.
  4. Вътрешни правила за съхранение и унищожаване на лични данни /Приложение №4/.
  5. Tехнически и организационни мерки за защита на личните данни в ПП ГЕРБ /Приложение №5/.
  6. Методика за оценка на съответствието /Приложение №6/.
  7. Споразумение за обработване на лични данни /Приложение №7/.
  8. Процедура за действие при нарушение на сигурността на личните данни /Приложение № 8/.
  9. Регистър на дейностите по обработка /Приложение №9/.
  10. Методика за оценка на риска /Приложение №10/.
  11. План за действие /Приложение №11/.
  12. Процедурата за извършване на оценка на въздействието върху личните данни   и Методология за извършване на оценка на въздействието /Приложение № 12/.
  13. Процедура за упражняване на права от субектите на данните /Приложение №13/.
  14. Процедура  за предаване на лични данни на трети държави или международни организации /Приложение № 14/.