Глава 3 – Организационни и техически мерки за защита на сигурността на личните данни

Раздел IV

Организационни мерки

Чл.9. (1)За защита на сигурността на личните данни Администраторът:

  1. Със своя Заповед определя длъжностно лице по защита на данните в „ИНОВАТИВНИ ФИНАНСИ“ ООД;
  2. Извършва оценка на въздействието върху защитата на данните;
  3. Задължава всички служители, които обработват лични данни да спазват изискванията за поверителност на личните данни, до които имат достъп, съгласно правилата на ОРЗД, настоящата Политика и отговорностите на „ИНОВАТИВНИ ФИНАНСИ“ ООД  като администратор на лични данни.

(2)    Администраторът организира обучение на персонала за обработване на лични и чувствителни лични данни и за извършване на оценка на въздействието върху защитата на данните в отделните административни звена на „ИНОВАТИВНИ ФИНАНСИ“ ООД.

(3)    При оценяването на подходящите организационни мерки ДЛЗД взема предвид следното:

  1. Нивата на подходящо обучение на служителите „ИНОВАТИВНИ ФИНАНСИ“ ООД;
  2. Идентификация на дисциплинарни мерки за нарушения по отношение на обработването на данни;
  3. Редовна проверка на персонала за спазване на съответните стандарти за сигурност,
  4. Контрол на физическия достъп до електронни и хартиено базирани записи.
  5. Спазване на правилото за „чисто работно място“;
  6. Начина на съхраняване на данните от служителите;
  7. Ограничаване използването от служители на лични устройства на работното място.

Чл. 10. (1) „ИНОВАТИВНИ ФИНАНСИ“ ООД  изисква гаранции от трети лица – обработващи лични данни, че са в състояние да осигурят необходимата защита на личните данни;

(2) При влизане в договорни отношения с обработващите лични данни се включват договорни клаузи, според които обработващите лични данни трябва да гарантират, че предоставят достатъчни технически и организационни мерки за защита на сигурността и поверителността на личните данни и ще действат според указанията на администратора.

Раздел V

Технически мерки

Чл. 11.(1) Техническите мерки за защита на лични или чувствителни лични данни включват:

  1. Класифициране на данни;
  2. Предотвратяване на загуба на данни;
  3. Криптиране;
  4. Получаване на изрично съгласие за всяка конкретна цел;
  5. Ограничения при пренос на данни и въвеждане на технологии, които позволяват на субектите на данни да упражняват своите права за достъп;
  6. Коригиране и заличаване на лични данни;
  7. Начини на защита с парола;
  8. Автоматично заключване при не използване на работните станции в мрежата;
  9. Премахване/ограничаване на права на достъп за USB и други преносими носители с памет;
  10. Антивирусен софтуер и защитни стени за блокиране на зловреден софтуер;
  11. Защитата на преносими устройства, които напускат помещенията на организацията, като лаптопи и други;
  12. Осигуряване сигурността на локалните и широкообхватните мрежи;
  13. Осигуряване на технологии за подобряване на поверителността;
  14. Внедряване на подходящи услуги за съхранение и споделяне на облак, когато активно блокират или обезкуражават използването на неоторизирани услуги и отговарят за правата за достъп, коригиране и заличаване на субектите на данни, определени от ОРЗД;
  15. Активно наблюдение на действията за споделяне, за да се сведе до минимум вероятността от нарушаване на данните.

(2) Всички служители, оправомощени да обработват лични данни, са длъжни да спазват следните мерки за защита на данните:

  1. На хартиен носител:

а)  Личните данни на хартиен носител се съхраняват в специални помещения, или заключени каси/шкаф, в зависимост от вида на данните, при спазване на специални мерки за достъп до помещението;

б)  Когато личните данни трябва да бъдат прехвърлени на хартиен носител, те трябва да бъдат предадени директно на получателя срещу подпис или изпратени с препоръчана поща с обратна разписка;

в)  Когато някоя лична информация трябва да бъде заличена по някаква причина (включително когато са направени копия, които вече не са необходими), тя се унищожава като се нарязва на шредер, след което се изхвърля;

2. На електронен носител съгласно правила, определени в Политиката за информационна сигурност на информационни системи в „ИНОВАТИВНИ ФИНАНСИ“ ООД и съпътстващите я документи, утвърдени от Управителя. Техническите мерки се прилагат и за защита на личните данни.

Чл. 12. Неспазването на техническите и организационни мерки за защита на данните и останалите вътрешни актове, свързани със защита на данните, е основание за търсене на дисциплинарна отговорност от виновните служители.

Раздел VI

Документиране на дейностите по обработване. Регистър на обработванията на данни

Чл. 13. (1) В „ИНОВАТИВНИ ФИНАНСИ“ ООД се поддържа Регистър на дейностите по обработванията на данни, достъпът до който се осъществява на функционален принцип;

(2) Регистърът по ал. 1 съдържа следната информация:

  1. Името и координатите за връзка на администратора и ДЛЗД;
  2. Целите на обработването;
  3. Описание на категориите субекти на данни и на категориите лични данни;
  4. Категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;
  5. Когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, както е посочено в член 49, параграф 1, буква „б“, документация за подходящите гаранции;
  6. Предвидените срокове за изтриване на различните категории данни;
  7. Общо описание на техническите и организационни мерки за сигурност.

(3) При нововъзникнала дейност по обработка на лични данни административното звено, което извършва обработването, следва да уведоми ДЛЗД, като представи необходимата информация по ал. 2.

Чл. 14. Служителите на администратора, които обработват лични данни от негово име, осигуряват сигурността при обработването и съхраняването на данните от тяхна страна, включително гарантират, че няма да разкриват данните на трети страни, освен ако администраторът не е дал такива права на тази трета страна за достъп до данните.

Чл. 15. При обработката на данни чрез видеонаблюдение, при което се извършва запис чрез технически средства за видеонаблюдение, се спазват Правилата за извършване на видеонаблюдение в обектите на администратора.

Раздел VII

Профилиране

Чл. 16. (1) Профилирането е автоматизирано обработване на лични данни с цел оценяване на определени лични аспекти, свързани с дадено лице, включително за анализиране или прогнозиране на поведението му, изпълнение на професионалните му задължения, икономическото му състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение.

(2) В случай, че администраторът използва лични данни за целите на профилирането, следва да са изпълнени следните условия:

  1. Да бъде предоставена ясна информация, поясняваща профилирането, включително значението и вероятните последици.
  2. да се използват подходящи статистически или математически процедури;
  3. да се въведат технически и организационни мерки, необходими за минимизиране на риска от грешки, за да се позволи лесното им отстраняване и да се предотврати дискриминационното въздействие.

Раздел VIII

Разкриване на данни

Чл. 17.(1) Личните данни не се разкриват на неупълномощени трети страни, което включва членове на семейството, приятели, държавни органи, ако има основателно съмнение, че не се изискват по установения ред. Всички служители трябва да следят дали искането от трета страна за разкриване на лични данни за друго лице е свързано или не с нуждите на дейността, извършвана от администратора.

(2)   Всички искания от трети страни за предоставяне на данни трябва да бъдат подкрепени с подходяща документация и всички такива разкривания на данни трябва да бъдат координирани с ДЛЗД, което да даде становище.

(3)   В качеството си на орган по назначаването Управителя предоставя лични данни на определени кредитни институции (банки) във връзка с изплащането на дължимите възнаграждения на служителите и/или изпълнители по граждански договори. В тези случаи личните данни включват трите имена и единен граждански номер и служат за идентификация на лицето, в чиято полза се извършва плащането.

(4)  Във връзка с използването на куриерски услуги – приемане, пренасяне, доставка и адресиране на пратки до физически лица, „ИНОВАТИВНИ ФИНАНСИ“ ООД посочва следните данни: две имена, адрес, област, наименование на населеното място и пощенски код.

(5)   Личните данни се предоставят на компетентните органи при и по повод упражняване на техните властови правомощия.

Раздел IX

Преносимост

Чл. 18. (1) „ИНОВАТИВНИ ФИНАНСИ“ ООД  отговаря за прехвърлянето на данните без затруднения и гарантира, че те се предават със съответното ниво на комуникационна сигурност.

(2)   Субектите на данни имат право да поискат:

  1. Копие от личните данни, които са предоставили на „ИНОВАТИВНИ ФИНАНСИ“ ООД;
  2. “ИНОВАТИВНИ ФИНАНСИ“ ООД  да прехвърли тези данни на друг администратор посочен от субекта, без възпрепятстване;

(3)   Преносимост се прилага само за тези данни, за които:

  1. Субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;
  2. Обработването им е било необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
  3. Обработването им е било извършено по автоматизиран начин;
  4. „ИНОВАТИВНИ ФИНАНСИ“ ООД е получило информация за субекта на данни от друг администратор, който е решил да упражни правото си на преносимост, като в тези случаи „ИНОВАТИВНИ ФИНАНСИ“ ООД  се явява администратор по отношение на новоприетите данни.

          Чл. 19. (1) “ИНОВАТИВНИ ФИНАНСИ“ ООД  приема и съхранява само данните, които са необходими и относими към определена дейност. „ИНОВАТИВНИ ФИНАНСИ“ ООД не приема и не обработва лични данни „по подразбиране”, дори когато са получени от друг администратор след искане за прехвърлянето им. както и не съхранява всички получени данни.

(2) Ако получените данни съдържат данни за трети лица, „ИНОВАТИВНИ ФИНАНСИ“ ООД  съхранява данните под контрола на субекта заявител. Тези данни се обработват само за определената цел.

Чл. 20. При постъпване на искане за предаване или за прехвърляне на лични данни към друг администратор „ИНОВАТИВНИ ФИНАНСИ“ ООД  обработва искането на субекта при спазване на следните правила:

  1. Всяко постъпило искане незабавно се изпраща на ДЛЗД, който проверява за ясни и неоспорими доказателства за самоличността на субекта на данни под формата на лични документи, клиентски номер, електронна карта или друг еднозначен идентификатор;
  2. ДЛЗД проверява дали посочените от субекта данни са получени на основание съгласие, изпълнение на законово правомощие или функция, или договор и дали са обработени по автоматизиран начин. Ако не са изпълнени тези изисквания, „ИНОВАТИВНИ ФИНАНСИ“ ООД  има право да откаже да удовлетвори искането;
  3. Когато исканите данни засягат трето лице/а, ДЛЗД преценява дали предаването на данни на друг администратор на лични данни би навредило на правата и свободите на други субекти на данни;
  4. ДЛЗД извършва проверка дали подготвените за предаване/ прехвърляне лични данни са само и точно тези, които субектът на данни е поискал да бъдат предадени, респ. прехвърлени;
  5. Поисканата информация се предоставя на субекта на данни в структуриран, широко използван и машинно четим формат, който позволява ефективно повторно използване на данните;
  6. При предаване на данните на друг администратор на данни „ИНОВАТИВНИ ФИНАНСИ“ ООД ги препраща в оперативно съвместим формат. В случай, че са налице технически пречки, които възпрепятстват директното им прехвърляне, „ИНОВАТИВНИ ФИНАНСИ“ ООД съобщава тези пречки на субекта на данните;
  7. „ИНОВАТИВНИ ФИНАНСИ“ ООД  предоставя исканата информация в рамките на един месец от датата на заявката. Ако заявката е сложна, „ИНОВАТИВНИ ФИНАНСИ“ ООД може да удължи тази времева рамка максимум до три месеца от датата на предявяването й. „ИНОВАТИВНИ ФИНАНСИ“ ООД информира субекта на данни за причините за забавянето чрез имейл, телефон и др. в рамките на един месец от първоначалното искане;
  8. ДЛЗД поддържа записи за исканията за прехвърляне на данни в Регистъра на исканията, включително всички, свързани с преносимостта дати.

Раздел X

Съхраняване и унищожаване на лични данни

Чл. 21. При съхранение на лични данни „ИНОВАТИВНИ ФИНАНСИ“ ООД:

  1. Прилага основния принцип за съхранение на лични данни в минимален обем и за срок не по-дълъг от необходимото или определеното от закона за съответните категории данни;
  2. Осигурява тяхната сигурност и надеждност и изискванията на съответния закон;
  3. Заличава личните данни след изтичането на съответния срок;
  4. Може да запази лични данни за по-дълъг от съответния срок до окончателното приключване на възникнал правен спор или производство, налагащо запазване на данни, и/или по искане на компетентен орган.

Чл. 22. (1) Лични данни в „ИНОВАТИВНИ ФИНАНСИ“ ООД се съхраняват при спазване на Вътрешните правила за организацията на хартиения и електронния документооборот и контрола по изпълнение на задачите в „ИНОВАТИВНИ ФИНАНСИ“ ООД и се унищожават при спазване на Вътрешните правила на архива на “ИНОВАТИВНИ ФИНАНСИ“ ООД:

  1. По искане на субекта на лични данни, когато то е прието за основателно;
  2. По предложение на ръководителите на административни звена, в които се събират или обработват лични данни, когато се прецени, че е отпаднала нуждата от обработване и съхранение.

(2) При унищожаване на лични данни от „ИНОВАТИВНИ ФИНАНСИ“ ООД:

  1. Всяка календарна година със заповед на Управител се определя състав на комисия, която да извършва анализ на личните данни в „ИНОВАТИВНИ ФИНАНСИ“ ООД от гледна точка на сроковете за съхраняването им;
  2. В състава на комисията се включва поне един представител от административните звена, които събират и обработват лични данни;
  3. При необходимост от унищожаването на лични данни се изготвя предложение до Управителя, което се съгласува с ДЗЛД и ръководителите на административни звена, в които се събират или обработват лични данни;
  4. След резолюция на Управителя, личните данни се унищожават като се изготвя протокол, който съдържа:

а) Вида на личните данни;

б)  Водещото звено, в което са обработвани или съхранявани личните данни;

в)  Вида на обработката на лични данни (за какво са събрани и обработвани);

г)  Броя на унищожените записи с лични данни;

д)  Трите имена на субектите с унищожени лични данни.

(3)   Унищожаването на данни се извършва по следните начини:

  1. При данни на хартиен носител – чрез нарязване в специални машини за унищожаване на документи – шредер, в които се унищожат както оригиналните документи, така и копията към тях;
  2. При данни на електронните носители – чрез изтриване както в системата, в която се съхраняват или мястото им на файловия сървър на „ИНОВАТИВНИ ФИНАНСИ“ ООД, така и в архивните копия, които са направени от отдел IT.

(4)   След изготвяне на протокола от комисията, същия се представя на Управителя за утвърждаване и се предава на ДЛЗД за съхранение.