ВЪТРЕШНИ ПРАВИЛА
ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ В ПП ГЕРБ
Чл. 1. /1/ ПП ГЕРБ, с ЕИК по БУЛСТАТ 175248466 и адрес: гр. София, Столична община, район Триадица, НДК Административна сграда, етаж 17, има качеството на „администратор на лични данни“, съгласно Регистъра на дейностите по обработка.
/2/ ПП ГЕРБ определя длъжностно лице по защита на личните данни. Данните за контакт с него са: адрес: гр. София, Столична община, район Триадица, НДК Административна сграда, етаж 17, телефон: 02 490 13 13, електронен адрес за кореспонденция: [email protected], лице за контакт: Иванка Пейчева – Атрева.
Чл. 2. /1/ Настоящите Вътрешни правила за защита на личните данни /наричани за краткост „Вътрешни правила“/ уреждат организацията на обработване и защитата на лични данни на физическите лица, получени при осъществяване на дейността на ПП ГЕРБ.
/2/ Вътрешните правила са предназначени за всички служители, общински ръководители, членове на общинско ръководство, организационни секретари на територията на община/район, областни координатори, членове на Изпълнителната комисия, членове на Контролната комисия, които в рамките на служебните си задължения обработват лични данни, на които ПП ГЕРБ е администратор.
Чл. 3. /1/ Достъпът до лични данни в ПП ГЕРБ се осъществява при прилагане на принципа „Необходимост да знае”.
/2/ Право на достъп до носителите на лични данни имат само лицата:
a) които обработват данни в изпълнение на служебните си задължения, съгласно трудовия договор и длъжностната характеристика за съответната длъжност или функциите, които изпълняват, съгласно Устава на ПП ГЕРБ;
б) които са оторизирани чрез изричен акт на Председателя на ПП ГЕРБ;
в) които изпълняват сключени с ПП ГЕРБ договори.
/3/ Достъп до личните данни се предоставя след запознаване с нормативната уредба в областта на защитата на личните данни, настоящите правила и процедури за защита на личните данни на администратора.
/4/ Оторизираните с право на достъп лица подписват Декларация за конфиденциалност на личните данни /Приложение № 1/, до които получават достъп при и по повод изпълнение на задълженията си.
/5/ Лицата, които имат достъп до лични данни носят отговорност за опазване на носителите, съдържащи лични данни. Всяко умишлено нарушение на правилата и ограниченията за достъп до личните данни може да бъде основание за налагане на дисциплинарни или гражданскоправни санкции, а в определени случаи и наказателна отговорност.
Чл. 4. /1/ В изпълнение на принципа за законосъобразност, ПП ГЕРБ обработва лични данни само при наличие на основание за конкретна обработка.
/2/ Лични данни се обработват при наличие на поне едно от следните основания:
a) обработването е необходимо, за сключване на договор /предприемане на
стъпки за сключване на договор или е необходимо във връзка с изпълнението на вече сключен договор;
б) обработването е необходимо за изпълнение на определено правно задължение;
в) обработването е необходимо за реализиране на легитимен интерес на администратора.
г) обработването е необходимо, за да бъдат защитени жизненоважните интереси
на субекта на данните или на друго физическо лице;
д) обработването е основано на доброволно и информирано съгласие на субекта на данните.
Чл.5 /1/ Обработване на данни, на основание съгласие на субекта, съгласно чл.4, ал.2, б „д“ се извършва когато не е налице някое от основанията, предвидени в чл.4, ал.2, б „а“ – „г“.
/2/ В случаите, когато се обработват данни на деца под 14 години, това обработване е законосъобразно само ако и доколкото такова съгласие е дадено от носещия родителска отговорност за детето.
/3/ За изпълнение и доказване на изпълнението на задължението на ПП ГЕРБ за наличие на информирано съгласие, на субектите на данни се предоставя Декларация за съгласие по образец /Приложение № 2/.
/4/ ПП ГЕРБ осигурява възможност на субекта на данни по всяко време да оттегли своето съгласие за обработване на данни, като подаде Декларация за оттегляне на съгласие /Приложение № 3/
Чл.6 /1/ За постигане на конкретно определени цели, ПП ГЕРБ обработва и специални категории лични данни.
/2/ Обработване на чувствителни лични данни се извършва само в случаите, когато:
а) субектът на данни е дал своето изрично съгласие за обработването на тези
лични данни за една или повече конкретни цели;
б) обработването е необходимо за целите на изпълнението на задълженията и
упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила, дотолкова, доколкото това е разрешено от правото на Съюза или националното законодателство, в което се предвиждат подходящи гаранции за основните права и интересите на субекта на данните;
в) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;
г) обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните;
д) обработването е необходимо с цел установяване, упражняване или защита на правни претенции;
е) обработването е необходимо по причини от важен обществен интерес на основание правото на Съюза или националното законодателство, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните;
ж) обработването е необходимо за целите на трудовата медицина, за оценка на трудоспособността на служителя или за целите на управлението на социалните услуги, на нормативно основание.
Чл. 7./1/ В изпълнение на изискванията за добросъвестност и прозрачност на обработката, съгласно които за лицата следва да е ясно по какъв начин отнасящи се до тях лични данни се събират, използват, или обработват по друг начин, както и в какъв обхват се извършва или ще се извършва обработването на данните, ПП ГЕРБ информира субектите на данни за тази обработка.
/2/ Информирането на субектите на данни се извършва чрез Съобщение за поверителност за конкретна дейност или за свързани дейности по обработка, което съдържа следната информация: данни за контакт с ПП ГЕРБ, данни за контакт с длъжностното лице за защита на данните, обхват, цел и адресати на съобщението за поверителност, категории лични данни и категории субекти на които се обработват данни, правно основание и цели на обработването, източници за събиране на лични данни, информация за срока съхранението на данните, разкриване и предаване на данни в трети държави или на международни организации, автоматизирано вземане на решения и профилиране, мерки за сигурност на данните, информация за упражняване правата на субектите на данни.
/3/ В случаите на проектиране на нова обработка се преценява необходимостта от изготвяне на Съобщение за поверителност за тази обработка.
/4/ Длъжностното лице по защита на данните прави периодичен преглед на дейностите по обработка на данни и изготвя Съобщения за поверителност, когато това е необходимо.
Чл. 8. /1/ ПП ГЕРБ събира лични данни за конкретни, точно определени от закона /по правило/ или от ПП ГЕРБ /по изключение/ цели.
/2/ Допълнителна обработка е допустима единствено за целите на архивирането в обществен интерес или за статистически цели, в които случаи не е налице несъвместимост на поставените цели.
Чл. 9. ПП ГЕРБ не изисква предоставянето на повече данни от необходимите. Обемът на изискуемите данни в повечето случаи е нормативно определен, а когато такова нормативно определяне липсва, съобразяването на принципа е задължение на служителите, определящи обема на изискваната от субектите на личните данни информация.
Чл. 10. ПП ГЕРБ предоставя възможност за актуализиране на неточни и непълни данни по реда за упражняване на правото на коригиране, описан в Процедурата за упражняване на права от субекта на данните по чл. 22, ал. 4 от настоящите Вътрешни правила.
Чл. 11. /1/ ПП ГЕРБ съхранява лични данни на хартиен и/или електронен носител, само за времето, необходимо за изпълнение на дейностите за обработката им и/или функциите и целите на политическата партия, освен ако в нормативен акт не се изисква друг период за съхранението им.
/2/ Правилата за съхранение, включително срокът за съхранение, както и правилата за унищожаване, когато такива не са определени в нормативната уредба, се определят с Вътрешните правила за съхранение и унищожаване на лични данни /Приложение №4/.
/3/ След постигане на целите, за които са събрани, след изтичане на срока за съхранение, по искане на субекта на данните /ако е приложимо/ или ако обработката е била незаконосъобразна, данните се унищожават, независимо от вида на носителя им, по начин, който не позволява възстановяването им.
/4/ Редът за унищожаване е определен във Вътрешните правила за съхранение и унищожаване на лични данни, съгласно ал.2 и се прилага за всички документи, които съдържат лични данните.
Чл. 12. /1/ ПП ГЕРБ предприема мерки за защита на личните данни от случайно или незаконно унищожаване, от неправомерен достъп, от изменение или разпространение, както и от други незаконни форми на обработване.
/2/ Предприеманите мерки са съобразени със съвременните технологични постижения и рисковете, свързани с естеството на данните, които трябва да бъдат защитени.
Чл.13. /1/ ПП ГЕРБ прилага мерки за защита на личните данни, които осигуряват: физическа защита, персонална защита, документална защита, защита на автоматизирани информационни системи и/или мрежи, защита на личните данни при отношения с трети страни и доставчици.
/2/ Мерките за защита на личните данни се описват в документ с наименование Tехнически и организационни мерки за защита на личните данни в ПП ГЕРБ /Приложение №5/.
Чл. 14. /1/ При планиране и предоставяне на нови услуги, ПП ГЕРБ осигурява защита по проектиране и подразбиране съгласно изискванията на Общия регламент за защита на личните данни, с изключение на случаите когато дейностите по обработка са предвидени в нормативен акт.
/2/ Прилагането на изискванията за „Защита на личните данни по проектиране“ и „Защита на личните данни по подразбиране“ изисква мерките за защита на данните да бъдат взети под внимание на всички етапи от създаването до заличаването на личните данни и на всички етапи на конкретен проект /проектиране, одобряване и внедряване/, на всички процеси /проекти, приложения или начини на работа/, които определят обработката на лични данни при осъществяване на дейността на ПП ГЕРБ.
/3/ За осигуряване на „Защита на личните данни по проектиране“, ПП ГЕРБ прилага принципите за защита на личните данни, както следва:
а) При планиране на всяка дейност по обработка на данни ясно се дефинира и документира целта на дейността. При разглеждането на целите на обработката на данни се отчита как и по отношение на кои лица е било извършено информирането за използването на личните им данни. В случаите, когато дейността представлява нова /допълнителна/ обработка на лични данни, се изисква уведомяване на физическите лица чрез Съобщение за поверителност. Ако не е налице друго основание за новата обработка, следва да бъде поискано тяхното съгласие.
б) При планиране на всяка дейност по обработка е необходимо да се:
10. осигури анонимизиране или псевдонимизиране на личните данни, ако не е необходимо директно да се идентифицират определени лица;
11. гарантира, че мерките за сигурност се прилагат във връзка с всички дейности по обработка на данни. За изпълнението на това изискване е необходимо да се измерят конкретните рискове по утвърдена Методика за оценка на риска, съгласно чл.19, ал.2 от настоящите Вътрешни правила. Когато се очаква рискът за физическите лица от обработващата дейност да е висок, се извършва оценка на въздействието върху защитата на данните, като се прилага Процедура и Методология за оценка на въздействието, съгласно чл.20 от настоящите Вътрешни правила.
б) При планирането на всяка дейност по обработка се гарантира, че ПП ГЕРБ е в състояние да създаде възможност за упражняване на всички права на субектите на данни.
/4/ За съответствието на всяка планирана обработка с принципите на Регламента и изискванията по ал. 4 се извършва анализ и оценка на съответствието, съгласно Методика за оценка на съответствието /Приложение №6 /.
Чл. 15. /1/ ПП ГЕРБ изисква осигуряване на адекватни технически и организационни мерки от обработващите от негово име лични данни, които са включени в договора с всеки обработващ.
/2/ Условията, при които обработващият извършва от името на ПП ГЕРБ операциите по обработка на данни се дефинират и конкретизират в Споразумение за обработване на лични данни /Приложение №7/.
/3/ Преди сключване на спорумението, обратващият следва да покаже необходимото ниво на защита на лични данни, съгласно нивото на защита, определено от ПП ГЕРБ, като попълни карта за съответствие на обработката на лични данни, неразделна част от Споразумението по ал. 2.
Чл. 16. /1/ Принципът за цялостност и поверителност при обработването на лични данни в ПП ГЕРБ се реализира и чрез осигуряване на адекватни действия в случай на нарушения на сигурността.
/2/ Описание на необходимите действия, които трябва да бъдат предприети от ръководството и служителите на ПП ГЕРБ за постигане на ефективно управление на нарушенията на сигурността на личните данни се съдържа в Процедура за действие при нарушение на сигурността на личните данни /Приложение № 8/.
/3/ ПП ГЕРБ уведомява Комисията за защита на личните данни и засегнатите субекти на данни /когато е необходимо съгласно нормативните изисквания/, за нарушението на сигурността на личните данни.
Чл. 17. В изпълнение на принципа за отчетност, ПП ГЕРБ документира изпълнението на всички свои задължения за защита на личните данни.
Чл. 18. /1/ ПП ГЕРБ поддържа постоянно Регистър на дейностите по обработка на данни.
/2/ Регистърът на дейностите по обработка на данни, извършвани от ПП ГЕРБ в качеството на администратор на лични данни е със следното минимално съдържание:
а) името и координатите за връзка на администратора;
б) името и координатите за връзка с длъжностното лице по защита на данните;
в) запис на категориите дейности по обработка на лични данни;
г) целите на обработването;
д) описание на категориите субекти на данни;
е) описание на категориите лични данни;
ж)описание на получателите, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;
з) срок за съхранение и изтриване на лични данни;
и) когато е възможно, общо описание на техническите и организационни мерки за сигурност.
/3/ Регистът на дейностите по обработка по ал.2 се поддържа в писмена форма, включително в електронна форма. /Приложение №9/.
/4/ Отговорност за създаването и поддържането на регистъра в актуален вид носят лицата по чл. 2, ал.2 от настоящите правила, които извършват дейности по обработка на личните данни. Те извършват периодичен преглед поне веднъж на три месеца и при необходимост актуализират данните за които отговарят.
/5/ Длъжностното лице по защита на личните данни предоставя достъп до регистъра при поискване от Комисията за защита на личните данни.
Оценка на риска и оценка на въздействието върху личните данни.
Чл. 19./1/ ПП ГЕРБ извършва оценка на риска за извършваните дейности по обработка
/2/ Оценката на риска на операциите по обработване на лични данни в ПП ГЕРБ се извършва по утвърдена Методика за оценка на риска, съгласно изискванията на стандарта ISO 31000 /Приложение №10/.
/3/ На базата на извършената по ал. 2 оценка на риска се изготвя План за действие, който съдържа необходимите механизми за контрол, отговорните лица и сроковете за изпълнение /Приложение №11/.
Чл. 20 ПП ГЕРБ извършва оценка на въздействието, когато обработката на данни създава висок риск за правата и свободите на физическите лица. Оценката на въздействието се извършва съгласно Процедура за извършване на оценка на въздействието върху личните данни и Методология за извършване на оценка на въздействието /Приложение № 12/.
Чл. 21 /1/ Длъжностното лице по защита на данните изпълнява следните задачи:
а) информира и съветва ПП ГЕРБ за задълженията, свързани с обработването на лични данни, съгласно законодателството в областта на защита на данните и настоящите Вътрешни правила.
б) наблюдава спазването на законодателството в областта на защита на данните и настоящите Вътрешни правила по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на служителите, участващи в операциите по обработване, и съответните одити.
в) при поискване предоставя съвети по отношение на оценката на въздействието върху защитата на данните и наблюдава извършването на оценката.
г) осъществява сътрудничеството на ПП ГЕРБ с Комисията за защита на личните данни.
д) консултира физическите лица във връзка с обработването на лични данни от ПП ГЕРБ, приема и обработва постъпили искания за упражняване на права.
/2/ Данните за контакт с длъжностното лице по защита на данните се обявяват на лесно достъпно място на електронната страница на ПП ГЕРБ, както и в Съобщенията за поверителност.
Чл. 22. /1/ Физическите лица, чиито данни се обработват от ПП ГЕРБ в качеството му на администратор, имат следните права: право на достъп до данните, право на коригиране, право на изтриване/право „да бъдеш забравен“, право на ограничаване на обработването, право на възражение, право да не бъде обект на автоматизирано вземане на индивидуални решения, включително профилиране, право на преносимост на данните, право на жалба до надзорния орган.
/2/ Всяко физическо лице, чийто лични данни се обработват от администратора, има право на информация съгласно чл. 13 и чл. 14 от Общия регламент за защита на личните данни. ПП ГЕРБ уведомява лицата за обработката на личните данни чрез публикуване на Съобщения за поверителност.
/3/ Уведомяване по смисъл на ал.2 не се извършва, когато:
а) обработването е за статистически цели и предоставянето на информацията е невъзможно или изисква прекомерни усилия;
б) физическото лице, за което се отнасят данните, вече разполага с информацията;
в) обработката е предвидена в закон;
г) е налице изрична нормативна забрана.
/4/ Условията и реда за упражняване правата на субекта на данни, с изключение на правото на жалба до надзорния орган се съдържат Процедура за упражняване на права от субектите на данните /Приложение №13/.
Чл. 23. /1/ ПП ГЕРБ предоставя лични данни в трети страни или на международни организации при спазване на изискванията на Общия регламент за защита на личните данни.
/2/ Правилата и условията за предаване на лични данни на трети държави или международни организации от ПП ГЕРБ, в качеството на администратор на лични данни се уреждат в Процедура за предаване на лични данни на трети държави или международни организации /Приложение № 14/.
§.1 В настоящия документ понятията се изпълзват със следното значение:
10. „Предоставяне на лични данни“ са действия по цялостно или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната или извън нея.
11. „Псевдонимизация“ е обработване на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано.
12. „Регистър на лични данни“ е всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;
13. „Регламент“ – Регламент /ЕС/ 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО /Общ регламент относно защитата на данните/
14. „Субект на данните“ е идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано;
15. „Съгласие на физическото лице /субекта на данните/“ представлява ясен утвърдителен акт, с който се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни. Например чрез писмена декларация, включително по електронен път, или устна декларация..
16. „Трето лице /страна/“ физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни.
17. „Физическо лице, което може да бъде идентифицирано“ е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
18. „Чувствителни лични данни“ – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.
§. 1 Настоящите Вътрешни правила се приемат на основание член 24, параграф 2 от Регламент /ЕС/ 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива.
§. 2 Всички лица, чиито служебни задължения включват обработване на лични данни, чиито администратор е ПП ГЕРБ, са длъжни да се запознаят с настоящите Вътрешни правила и да ги спазват.
§. 3. За всички неуредени в настоящите Вътрешни правила въпроси, са приложими разпоредбите на Регламент /ЕС/ 2016/679, Закона за защита на личните данни, както и действащото приложимо законодателство, което регламентира обработката на лични данни.
§.4. Настоящите Вътрешни правила влизат в сила от датата на тяхното утвърждаване.
§.5. Настоящите Вътрешни правила се преглеждат и актуализират при всяка промяна в нормативната уредба, но най- малко веднъж годишно от длъжностното лице по защита на линчите данни.
Настоящите Вътрешни правила се публикуват на официалната страница на ПП ГЕРБ.
27.11.2023
20.11.2023
16.11.2023