Политика за личнитe данни
ВЪТРЕШНИ ПРАВИЛА ЗА СЪБИРАНЕ, СЪХРАНЯВАНЕ, ОБРАБОТКА И УНИЩОЖАВАНЕ НА ЛИЧНИ ДАННИ, ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ И ДОПУСТИМИЯ ВИД НА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ В „МЕДИНА МЕД“ ООД
Глава първа
ОБЩИ ПОЛОЖЕНИЯ
Чл. 1. Настоящите вътрешни правила за технически и организационни мерки и допустимия вид на защита на личните данни, наричани за краткост „Правилата“, уреждат организацията на обработване на лични данни и тяхната защита на служителите, работниците и клиентите на „МЕДИНА МЕД“ ООД.
Чл. 2. (1) Обработването на лични данни е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхранение, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване или предаване, разпространяване, актуализиране или комбиниране, блокиране, заличаване или унищожаване на данните.
(2) Обработването на лични данни се състои и в осигуряване на достъп до определена информация само за лица, чиито служебни задължения или конкретно възложени задачи налагат такъв достъп.
Чл. 3. МЕДИНА МЕД ООД е администратор на лични данни по смисъла на Регламент ЕС 2016/679:
- Регистър „ПЕРСОНАЛ“
- Регистър „КОНТРАГЕНТИ“.
Чл. 4 (1) Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.
(2) Принципите за защита на лични данни са:
- Принцип на ограниченото събиране - събирането на лични данни трябва да бъде в рамките на необходимото. Информацията се събира по законен и обективен начин;
- Принцип на ограниченото използване, разкриване и съхранение - личните данни не трябва да се използват за цели, различни от тези, за които са били събирани, освен със съгласието на лицето или в случаите, изрично предвидени в закона. Личните данни трябва да се съхраняват само толкова време, колкото е необходимо за изпълнението на тези цели;
- Принцип на прецизност - личните данни трябва да са прецизни, точни, пълни и актуални, доколкото това е необходимо за целите, за които се използват;
- Принцип на сигурността и опазването - личните данни трябва да са защитени с мерки за сигурност, съответстващи на чувствителността на информацията.
Чл. 5. Личните данни се събират за конкретни, точно определени от закон или договор цели, обработват се законосъобразно и добросъвестно и не могат да се обработват допълнително по начин, несъвместим с тези цели.
Чл. 6. При обработване на личните данни от МЕДИНА МЕД ООД, на основание различно от договор или закон, служителите и контрагентите подписват декларация за съгласие по образец.
Глава втора
РЕГИСТЪР „ПЕРСОНАЛ“
Чл. 7. В регистър „Персонал“ се събират и съхраняват личните данни на служителите, заети по трудови или граждански правоотношения по време на дейността им по изпълнение на тези договори, с оглед:
(3) Индивидуализиране на трудовите и граждански правоотношения.
(4) Изпълнение на нормативните изисквания на Кодекса на труда, Кодекса за социално осигуряване, Закона за счетоводството, Закона за държавния архив и др.
(5) Използване на събраните данни за съответните лица за служебни цели.
(6) За всички дейности, свързани със съществуване, изменение и прекратяване на трудовите и граждански правоотношения - за изготвяне на всякакви документи на лицата в тази връзка (договори, допълнителни споразумения, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения и др. подобни).
(7) За установяване на връзка с лицето по телефон, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията му по трудови или граждански договори.
(8) За водене на счетоводна отчетност, относно възнагражденията на посочените по-горе лица по трудови и граждански договори.
Чл. 8. Регистърът се води на хартиен и на електронен носител.
Чл. 9. (1) Хартиените носители на лични данни се съхраняват в папки (кадрови дела) за всеки управител, служител, работник или наето по граждански договор лице. Кадровите дела се подреждат в специален картотечен шкаф.
- Картотечният шкаф се помещава в помещение, предназначено за самостоятелна работа на служителя от отдел „Човешки ресурси“, на който с тези правила е възложено да бъде обработващ на лични данни.
- Достъп до кадровите досиета имат само обработващият на лични данни. Възможността за предоставяне на друго лице на достъп до личните данни при обработката им е ограничена и изрично регламентирана в тази инструкция.
Чл. 10. (1) При водене на регистъра на технически носител личните данни се въвеждат на твърд диск, на изолиран компютър.
(2) Компютърът е свързан в локална мрежа, но със защитен достъп до личните данни, който е непосредствен само от страна на обработващите на лични данни. При работа с данните се използват софтуерни продукти по обработка на данните, относно възнагражденията на персонала, в това число основни и допълнителни възнаграждения, данъчни и други (вноски по заеми, запори и пр.) задължения, трудов стаж, присъствени и неприсъствени дни и други подобни. Софтуерните продукти са адаптирани към специфичните нужди на администратора на лични данни.
(3) Компютрите се помещават в изолирано помещение за самостоятелна работа на административния отдел на дружеството.
(4) Достъп до операционната система, съдържаща файлове за обработка на лични данни, имат само обработващите на лични данни чрез парола за отваряне на тези файлове. Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поддържане на антивирусни програми, периодично архивиране на данните, както и чрез поддържане на информацията на хартиен носител.
Чл. 11. В регистъра се поддържат следните видове данни:
(1) Физическа идентичност - имена, ЕГН, номер на лична карта, дата и място на издаване, месторождение, адрес, телефони за връзка.
(2) Образование - документ за придобито образование, квалификация правоспособност, когато такива се изискват за длъжността, за която лицето заема, и др.
(3) Трудова дейност - съгласно приложените документи за трудов стаж и професионална биография.
(4) Медицински данни - карта за предварителен медицински преглед за постъпване на работа, документ за трудоустрояване, когато се изисква за заеманата длъжност.
(5) Свидетелство за съдимост, когато се изисква за заемане на длъжността.
(6) Личен формуляр по образец.
Чл. 12. Личните данни в регистър „Персонал“ се набират при постъпване/възлагане на работа по трудово или гражданско правоотношение на дадено лице в изпълнение на нормативно задължение - разпоредбите на Кодекса на труда и подзаконовите нормативни актове за прилагането му, Кодекса за социално осигуряване, Закона за образованието, и други, по един от следните начини:
- Устно интервю с лицето (при постъпване или в процеса на работа).
- На хартиен носител - писмени документи - молби, заявления за постъпване/извършване на работа по трудово или гражданско правоотношение, за изменение или прекратяване на тези отношения, по текущи въпроси в процеса на работа, подадени от лицето.
Чл. 13. Във всички случаи, когато е необходимо на основание нормативно задължение, лицата, чиито данни задължително подлежат на обработка в регистъра, подават необходимите лични данни на администратора и на длъжностното лице, назначено за обработването им - обработващ на лични данни. За необходимостта от набиране на лични данни и целите, за които ще бъдат използвани, длъжностното лице/обработващ на личните данни информира лицето.
Чл. 14. Освен посочените лица и при посочените случаи, ограничен достъп до лични данни имат касиерите, счетоводителите и юристите при обработване лични данни на лицата, относно изготвяне на разплащателни документи, свързани с преводи на възнагражденията на лицата, наети по трудови и граждански правоотношения в дружеството, по касов и банков път, изготвяне на съдебни книжа и документи в случай на трудови спорове.
Чл. 15. При необходимост от поправка на личните данни, лицата предоставят такива на длъжностното лице/обработващ на лични данни по негово искане на основание нормативно задължение.
Чл. 16. Освен на длъжностните лица, обработващи лични данни, правомерен е достъпът и на длъжностните лица, пряко ангажирани с оформяне и проверка законосъобразността на документите на лицата - управител, главен счетоводител, юрист, както и на лицата, осъществяващи технически счетоводни операции по обработка на документите, свързани с възнагражденията на персонала - счетоводител, касиер. Обработващите на лични данни са длъжни да им осигурят достъп при поискване от тяхна страна.
Чл. 17. Кадровото дело на лицето не се изнася извън сградата на администратора. Никое длъжностно или трето лице няма право на достъп до кадровите досиета на персонала, освен ако същото е изисквано по надлежен път от органи на съдебната власт (съд, прокуратура, следствени органи). Достъпът на тези органи до личните данни на лицата е правомерен.
Чл. 18. (1) Не се изисква съгласие на лицето, ако обработването на неговите лични данни се извършва само от или под контрола на компетентен държавен орган за лични данни, свързани с извършване на престъпления, на административни нарушения и на непозволени увреждания. На такива лица се осигурява достъп до личните данни, като при необходимост им се осигуряват съответни условия за работа в помещение на дружеството.
(2) Правомерен е и достъпът на ревизиращите държавни органи, надлежно легитимирали се със съответни документи - писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп до кадровите досиета на персонала.
Чл. 19. (1)Администраторът води отчетност и осигурява достъп до лични данни на лицата, които са ги предоставили.Решението си за предоставяне или отказване достъп до лични данни за съответното лице, администраторът съобщава в 30-дневен срок от подаване на молбата, респ. искането.
(2) Данните се съхраняват и обработват за срок от 50 години, съгласно нормативните изисквания в страната. Данните на неодобрените кандидати за дадена позиция се унищожават незабавно след заемане на обявената позиция.
(3) След изтичане на нормативно определените срокове, изискуемите личните данни се предават в държавен архив на НОИ, а събраните на отпаднало основание се унищожават от нарочно назначена комисия.
Чл. 20. При внедряване на нов програмен продукт за обработване на лични данни следва да се съставя нарочна комисия по тестване и проверка възможностите на продукта с оглед спазване изискванията на Регламент ЕС 2016/679 и осигуряване максималната им защита от неправомерен достъп, загубване, повреждане или унищожаване.
Чл. 21. За неизпълнение на задълженията, вменени на съответните длъжностни лица по този правилник и по Регламент ЕС 2016/679, се налагат дисциплинарни наказания по Кодекса на труда, а когато неизпълнението на съответното задължение е констатирано и установено от надлежен орган - предвиденото в Закона за защита на личните данни и Регламент ЕС 2016/679 - административно наказание - глоба. Ако в резултат действията на съответното длъжностно лице по обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако стореното представлява по-тежко деяние, за което се предвижда наказателна отговорност.
Чл. 22. Архивиране на личните данни на технически носител се извършва периодично на всеки 30 (дни) от обработващия на лични данни с оглед запазване на информацията за съответните лица в актуален вид. Същото се извършва на дискове, достъп до които има само обработващият на лични данни.
Глава трета
РЕГИСТЪР „КОНТРАГЕНТИ“
Чл. 23. Регистърът набира и съхранява лични данни на контрагенти, с оглед:
(1) финансово-счетоводна дейност;
(2) изпълнение на нормативните изисквания на Закона за защита на потребителя, Закон за счетоводството, Търговски закон и др.;
(3) интернет търговия;
(4) за всички дейности, свързани с изготвяне на всякакви документи и справки за лицата (служебни бележки, гаранционни карти и др. подобни);
(5) информационни и промоционални кампании на администратора – в случай на изрично дадено за това съгласие, съгласно настоящите вътрешни правила и общите условия на интернет магазина – medina-med.com;
(6) за установяване на връзка с лицето по телефон и имейл, за изпращане на кореспонденция, отнасяща се до изпълнение на договорния процеси/или разгласяване на информационни и промоционални кампании на администратора – в случай на изрично дадено за това съгласие, съгласно настоящите вътрешни правила и общите условия на интернет магазина – medina-med.com;.
Чл. 24. Регистърът се води на хартиен и на електронен носител.
Чл. 25. (1) Хартиените носители на лични данни се съхраняват в папки хронологично на извършените продажби и/или услуги. Досиетата се подреждат и съхраняват в специално предназначени шкафове.
- Специалните шкафове се помещават в помещение, предназначено за архив в административната сграда на администратора и се обработват от служителите, заемащи длъжността „специалист – информационна обработка на данни“ и „мениджър интернет търговия“, на които с тези правила е възложено да бъдат обработващи на лични данни.
- Достъп до клиентските досиета имат само обработващите на лични данни. Възможността за предоставяне на друго лице на достъп до личните данни при обработката им е ограничена и изрично регламентирана в тази инструкция.
Чл. 26. (1) При водене на регистъра на технически носител, личните данни се въвеждат на твърд диск, на изолиран компютър.
(2) Компютърът е свързан в локална мрежа, но със защитен достъп до личните данни, който е непосредствен само от страна на обработващите на лични данни. При работа с данните се използват софтуерни продукти по обработка на данните.
(3) Компютрите се помещават в помещения за работа на обработващите на лични данни по регистъра.
(4) Достъп до операционната система, съдържаща файлове за обработка на лични данни, имат само обработващите на лични данни чрез парола за отваряне на тези файлове, при законов или преобладаващ интерес, данните могат да се предоставят и на - управител, главен счетоводител, юрист, както и на лицата, осъществяващи технически счетоводни операции по обработка на документите. Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поддържане на антивирусни програми, периодично архивиране на данните на отделни харддискове, както и чрез поддържане на информацията на хартиен носител.
Чл. 27. В регистъра се поддържат следните видове данни:
- Физическа идентичност - имена, адрес, телефони и имейл за връзка, по изключение ЕГН единствено с цел издаване на данъчна фактура, съгласно изискванията на ЗСч и ЗДДС.
Чл. 28. При необходимост от поправка на личните данни лицата предоставят такива на длъжностното лице (обработващ на лични данни) по негово искане на основание нормативно задължение.
Чл. 29. (1)Администраторът води отчетност и осигурява достъп до лични данни на лицата, които са ги предоставили.Решението си за предоставяне или отказване достъп до лични данни за съответното лице, администраторът съобщава в 30-дневен срок от подаване на молбата, респ. искането.
(2) Данните се съхраняват и обработват в срок от 5 години, съгласно нормативните изисквания в страната – чл. 110 и сл. от ЗЗД, съответно 2 години при предоставяне на законова гаранция на продуктите или за срока, за който е дадено съгласието;
(3) След изтичане на определените срокове събраните данни се унищожават от нарочно назначена комисия.
Глава четвърта
ПРЕДОСТАВЯНЕ НА ЛИЧНИТЕ ДАННИ
Чл. 31. (1) Администраторът предоставя лични данни в изпълнение на нормативно установени задължения.
(2) Лични данни се предоставят служебно след обосновано искане и разрешение от отговорните служители, обработващи личните данни чрез попълване на контролен лист, в който се посочва лицето получило личните данни и целта, а за данни съхранявани на електронен носител чрез осигурена софтуеърна проследимост.
Чл. 32. Лицата имат право на достъп до личните си данни, включително да бъдат „забравени“, за което подават писмено заявление до „специалист – информационна обработка на данни“, „специалист – личен състав“, „мениджър интернет търговия“, „счетоводен отдел“, на които с тези правила е възложено от администратора да бъдат обработващи личните данни, в това число и по електронен път, лично или чрез упълномощено лице. Подаването на заявлението е безплатно.
Чл. 33. (1) Заявлението съдържа име на лицето и други данни, които го идентифицират, описание на искането, предпочитана форма за предоставяне достъпа до лични данни, подпис, дата и адрес на кореспонденцията; пълномощно - когато заявлението се подава от упълномощено лице. Заявлението се завежда в общия входящ регистър на администратора.
(2) Заявления се приемат от „специалист – информационна обработка на данни“ и на адрес: security@medina-med.com и тел. 042/ 600 261.
Чл. 34. Достъп до данните на лицето се осигурява под формата на:
(7) устна справка;
(8) писмена справка;
(9) преглед на данните от самото лице или упълномощено от него такова;
(10) предоставяне на копие от исканата информация на електронен или хартиен носител.
Чл. 35. При подаване искане за осигуряване на достъп, представляващият администратора разглежда заявлението за достъп или разпорежда на обработващия на лични данни да осигури искания от лицето достъп в предпочитаната от заявителя форма. Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на подаване на искането, съответно 30-дневен, когато е необходимо повече време за събиране личните данни на лицето, с оглед възможни затруднения в дейността на администратора. Решението се съобщава писмено на заявителя, лично срещу подпис или по пощата с обратна разписка, а когато искането е подадено по имейл – на посочения електронен адрес. Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение. Отказът за предоставяне достъп може се обжалва от лицето пред посочения в писмото орган и срок.
Чл. 36. Достъп до личните данни на лицата, съдържащи се на технически носител, имат само обработващите на лични данни „специалист – информационна обработка на данни“, „специалист – личен състав“, „мениджър интернет търговия“ с паролата за достъп.
Чл. 37. Освен на длъжностните лица обработващи лични данни, правомерен е достъпът и на длъжностните лица, пряко ангажирани с оформяне и проверка законосъобразността на документите на лицата - управител, главен счетоводител, юрист, както и на лицата, осъществяващи технически счетоводни операции по обработка на документите. Обработващите на лични данни са длъжни да им осигурят достъп при поискване от тяхна страна, за което се води отчетност чрез попълване на контролен лист, в който се посочва лицето получило личните данни и целта, а за данни съхранявани на електронен носител чрез осигурена софтуеърна проследимост.
Чл. 38. Информация за клиенти и контрагенти не се изнася извън сградата на администратора. Никое длъжностно или трето лице няма право на достъп до клиентските профили и информация, освен ако същото е изисквано по надлежен път от органи на съдебната власт (съд, прокуратура, следствени органи, МВР, НОИ). Достъпът на тези органи до личните данни на лицата е правомерен.
Чл. 39. (1) Не се изисква съгласие на лицето, ако обработването на неговите лични данни се извършва само от или под контрола на компетентен държавен орган за лични данни, свързани с извършване на престъпления, на административни нарушения и на непозволени увреждания. На такива лица се осигурява достъп до личните данни, като при необходимост им се осигуряват съответни условия за работа в помещение на дружеството.
(2) Правомерен е и достъпът на ревизиращите държавни органи, надлежно легитимирали се със съответни документи - писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп до кадровите досиета на персонала.
Чл. 40. Решението си за предоставяне или отказване достъп до лични данни за съответното лице администраторът съобщава на третите лица в 30-дневен срок от подаване на молбата, респ. искането.
Чл. 41. При внедряване на нов програмен продукт за обработване на лични данни следва да се съставя нарочна комисия по тестване и проверка възможностите на продукта с оглед спазване изискванията на Регламент ЕС 2016/679 и осигуряване максималната им защита от неправомерен достъп, загубване, повреждане или унищожаване.
Чл. 42. За неизпълнение на задълженията, вменени на съответните длъжностни лица по този правилник и по Регламент ЕС 2016/679, се налагат дисциплинарни наказания по Кодекса на труда, а когато неизпълнението на съответното задължение е констатирано и установено от надлежен орган - предвиденото в Закона за защита на личните данни и Регламент ЕС 2016/679 - административно наказание - глоба. Ако в резултат действията на съответното длъжностно лице по обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако стореното представлява по-тежко деяние, за което се предвижда наказателна отговорност.
Глава пета
ВИДЕОНАБЛЮДЕНИЕ
Чл. 43. Всички търговски обекти на администратора са под постоянно видеонаблюдение. Информацията се съхранява за срок от 48 часа, след което автоматично се изтрива. Получената информация се обработва в съответствие с принципите на законосъобразност, целесъобразност и пропорционалност, на основание преобладаващ интерес на администратора, съгласно Регламент ЕС2016/679, единствено с цел осигуряване на сигурност и безопастност на обекта и предотвратяване на кражби и злоумишлени дейности от трети лица.
Чл. 44. Получената при видеонаблюдението информация се предоставя единствено на провораздавателните органи – прокуратура, следствени органи и МВР, единствено в случай на обосновано съмнение за извършено престъпление.
Чл. 45. Администраторът предоставя информация и достъп до събраните лични данни, включително при изрично искане от страна на засегнатите лица да бъдат „забравени“, чрез връзка с длъжностното лице „специалист – информационна обработка на данни“ на имейл: security@medina-med.com и тел. 042/ 600 261.
Глава шеста
УВЕДОМЯВАНЕ ЗА НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ
Чл. 46. Всеки обработващ лични данни служител е длъжен да следи за сигурността на поверените му лични данни.
Чл. 47. При констатирано нарушение на сигурността на личните данни, обработващият служител уведомява незабавно управителя на дружеството, а при негово отсъствие зам. управителя, и „специалиста – информационна обработка на данни“.
Чл. 48. Управителят и/или зам. управителя незабавно сформират комисия в състав - „специалист – информационна обработка на данни“ при администратора, компютърен специалист и правоспособен юрист, които да предприемат всички необходими правни и фактически действия за преустановяване на нарушението, съответно минимализиране щетите на нарушението.
Чл. 49. До 72 часа от установяване на нарушението, назначената от администратора комисия уведомява Комисията за защита на личните данни и изготвя писмен доклад до управителя за характера и размера на нарушението, както и за евентуално нанесените щети.
ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
За целите на настоящите правила:
§ 1. „Администратор на лични данни“ е МЕДИНА МЕД ООД, дружество регистрирано съгласно законите на Република България, със седалище и адрес на управление в гр. 6000 Стара Загора, ул. Хрищенско шосе №8, идент. номер по ДДС BG123737210, ЕИК 123737210, представлявано от управителя на дружеството инж. Ивн Николов Панчов.
§ 2. „Обработващите лични данни“ са длъжностни лица от администрацията на МЕДИНА МЕД ООД, заемащи следните длъжности:
(1) Заместник-управители;
(2) Главен счетоводител;
(3) Оперативни счетоводители;
(4) Специалист „Личен състав“;
(5) Специалист „Информационна обработка на данни“;
(6) Мениджъри „Продажби“, вкл. „Интернет продажби“;
(7) Управители на магазини и сервизни центрове;
(8) Началник цехове;
§ 3. Контролът по изпълнението на настоящите вътрешни правила се възлага на зам. управителя по търговски въпроси и специалиста „информационна обработка на данни“.
§ 4. Настоящите правила се издават на основание Регламент ЕС2016/679 и извършен Одитен доклад от 15.05.2018г. за извършена проверка по спазване на правилата за защита на личните данни и оценка на въздействие на Регламент ЕС 2016/679 върху дейността на „МЕДИНА МЕД” ООД.
§ 5. Правилата са приети с решение на управителя на дружеството от 25.05.2018г. и влизат в сила от датата на приемането им.
§ 6. Изменения и допълнения на тези правила се правят от управителя на дружеството.
§ 7. Копие от Правилата са на разположение на служителите и клиентите в административната сграда на дружеството и в изнесените сервизни центрове
§ 8. Копие от Правилата да се публикува в интернет страницата на дружеството.
Настоящите Вътрешни правила са в сила от 25.05.2018 г.