Политика за защита на личните данни
Сдружение „Българско дружество за защита на птиците“, ЕИК 121244539 (наричано по-долу „БДЗП“) е въвело мерки за създаване на гаранции за защита на личните данни в съответствие с изискванията на Регламент (ЕС) 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните или накратко „ОРЗД“) и другите приложимите нормативни актове на Европейския съюз („ЕС“) и на Република България.
Настоящата Политика за защита на личните данни („Политиката”) осигурява рамка от общи правила и принципи за защита на личните данни, които да служат като ръководство за конкретните уведомления, политики и процедури, предназначени да се постигне изискуемото от закона ниво на съответствие. Настоящата Политика се прилага за обработването на Личните данни от БДЗП на всеки Субект на данните
- Определения
Следните термини имат посоченото по-долу значение:
„Администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за Обработването на Лични данни.
„Обработващ“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която Обработва Лични данни от името на Администратора.
„Субект на данни“ означава член, представител, служител, нещатен сътрудник, сътрудник-доброволец или друго физическо лице, чийто Лични данни обработва БДЗП.
„Лични данни“ означава всички данни, отнасящи се до Субект на данни, включително всяка информация за физическо лице, която може да доведе до неговото идентифициране, включително (но не само) име, адрес, телефонен номер, адрес на електронна поща, лична информация за здравето, биометричен идентификатор, номер на банкова сметка или на банкова карта.
„Обработване“ означава всяка операция или съвкупност от операции, извършвана/и с Лични данни или набор от Лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
„Специални категории лични данни“ означава всякакви Лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации и такива, свързани със здравето или сексуалния живот.
„Длъжностно лице по защита на данните“ („ДЛЗД“) означава лице (служител или външен консултант), определено от БДЗП да изпълнява функциите на ДЛЗД по силата на задължителни изисквания на приложимото законодателство или доброволно, по инициатива на БДЗП, за да служи като единна точка за координация и контакт във връзка с приложение на изискванията на ОРЗД. ДЛЗД отговаря за задачите, посочени в ОРЗД, включително наблюдение на съответствието на БДЗП с ОРЗД или другите приложими нормативни актове за защита на лични данни, информиране и съветване на членовете, служителите и сътрудниците на БДЗП, предоставяне на съвети относно оценките на въздействието върху защитата на данните и действие като контактно звено по въпроси, свързани с обработването на Лични данни от страна на БДЗП.
„Надзорен орган“ означава Комисията за защита на личните данни на Република България или друг надзорен орган, учреден в държава членка на ЕС или Европейското икономическо пространство.
- Основни принципи
БДЗП обработва Личните данни отговорно и в съответствие с правата на Субектите на данни и изискванията приложимите нормативни актове, като поема ангажимент да поддържа адекватни процедури и системи за защита, необходими за Обработването на Лични данни по законен и отговорен начин.
В съответствие с и в изпълнение на регулаторните изисквания, Личните данни са:
- Обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на Субекта на данни („законосъобразност, добросъвестност и прозрачност“).
- Събирани за конкретни, изрично указани и легитимни цели и не се Обработват по-нататък по начин, несъвместим с тези цели („ограничение на целите“).
- Подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се Обработват („свеждане на данните до минимум“).
- Точни и, при необходимост, се поддържат в актуален вид, като се имат предвид целите, за които те се Обработват („точност“).
- Съхранявани във форма, която да позволява идентифицирането на Субекта на данните за период, не по-дълъг от необходимото за позволените цели („ограничение на съхранението“).
- Обработвани по начин, който гарантира подходящо ниво на сигурност на Личните данни, включително защита срещу неразрешено или незаконосъобразно Обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“).
- БДЗП носи отговорност и е в състояние на докаже спазването на горните принципи („отчетност).
- Законосъобразност на обработването
Личните данни се обработват само ако:
- Субектът на данни е дал валидно и информирано съгласие за една или повече конкретни цели;
- Обработването е необходимо за изпълнението на договор, по който Субектът на данните е страна, или за предприемане на стъпки по искане на Субекта на данните преди сключването на договор;
- Обработването е необходимо за спазването на законово задължение;
- Обработването е необходимо, за да бъдат защитени жизненоважните интереси на Субекта на данните; или
- Обработването е необходимо за целите на легитимните интереси на БДЗП или на трето лице, на което са разкрити данните, освен ако легитимните интереси и/или основните права и свободи на Субекта на данните имат преимущество пред такива интереси.
Специалните категории Лични данни се Обработват при получаване на конкретно изрично съгласие или ако се прилага някое от предвидените от ОРЗД изключения, и по-специално когато:
- Обработването е необходимо за изпълнение на задълженията и упражняването на правата на БДЗП и/или на Субекта на данни по силата на приложимото трудово и социално-осигурително законодателство;
- Обработването е необходимо за да бъдат защитени жизненоважните интереси на Субекта на данни;
- Обработването е необходимо за установяване, упражняване или защита на правни претенции;
- Обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи.
- Информираност на Субекта на данни
БДЗП предприема необходимите мерки, за да предостави на Субектите на данни всяка информация и всякаква комуникация, която се отнася до Обработването, във връзка с реализация на правата на Субектите на данни, съгласно ОРЗД и другите приложими нормативни актове за защита на данните, в кратка, прозрачна, разбираема и лесно достъпна форма, използвайки ясен и прост език. Информацията се предоставя писмено или чрез други средства, включително, когато е целесъобразно, чрез електронни средства.
Като минимум, БДЗП предоставя на Субекта на данни следната информация:
- данните, които идентифицират Администратора, отговарящ за Обработването на Личните данни и координатите за връзка с него;
- координатите за връзка с ДЛЗД, когато е приложимо;
- целите на Обработването;
- получателите или категориите получатели на Лични данни;
- когато е приложимо, намерението на Администратора да прехвърли Личните данни на трета държава, както и наличието или отсъствието на подходящо ниво на защита в случай на прехвърляне на данни; и
- наличието на правата на Субектите на данни във връзка с Обработването на техните Лични данни.
Когато БДЗП възнамерява да Обработва Лични данни за цел, различна от тази, за която първоначално са събрани, БДЗП се задължава да уведоми предварително Субекта на данните за всяко допълнително Обработване, като посочи съответната цел и предостави всякаква друга необходима информация.
- Сигурност на данните
Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на Субектите на данни, БДЗП ще прилага и поддържа подходящи технически и организационни мерки за осигуряване на съобразено с този риск на обработването ниво на сигурност. По-специално, БДЗП ще прилага и поддържа подходящи мерки за защита на Личните данни от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни. Тези мерки обикновено (но не задължително винаги) включват: (а) способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за Обработване; (б) псевдонимизация и/или криптиране на Личните данни; (в) способност за своевременно възстановяване на наличността и достъпа до Личните данни в случай на физически или технически инцидент и (г) редовно изпитване, преценяване и (пре)оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на Обработването.
- Реагиране при нарушения на сигурността на данните
БДЗП се задължава своевременно отразява нарушенията или инцидентите във връзка със сигурността на Личните данни, както и да прилага и поддържа подходящи планове за реагиране при нарушения на сигурността на Личните данни.
- Отговорности
Всички представители, длъжностни лица, служители и нещатни сътрудници на БДЗП са длъжни да спазват приложимите нормативни актове за защита на данните и са отговорни за познаването на законите и подзаконовите актове, приложими към техните длъжности.
Всички представители, длъжностни лица, служители и нещатни сътрудници на БДЗП са длъжни да потърсят съвет и консултация от ДЛЗД или от друго упълномощено от ръководството лице, или от одобрения външен консултант на БДЗП във всяка ситуация, която поражда съмнения или въпроси относно приложимите нормативни актове за защита на данните.
Всеки представител, длъжностно лице, служител или нещатен сътрудник на БДЗП, който нарушава настоящата Политика или който разпорежда или съзнателно позволява на подчинен да наруши настоящата Политика, носи отговорност и подлежи на подходящи дисциплинарни действия, включително устни или писмени предупреждения, потенциално прекратяване на трудовото или друго договорно правоотношение, съгласно приложимото законодателство.
- Срок за съхранение на Лични данни
Личните данни трябва да се съхраняват само за времето, необходимо за извършване на обработката, за която са събрани. Това важи както за електронни, така и за не електронни лични данни. Това се разпростира също така и върху резервните копия и копията, направени на преносими носители.
Като Администратор БДЗП обработва Лични данни за период с минимална продължителност съгласно целите за Обработване и предвиденото в действащото законодателство в съответствие с принципа за ограничение на съхранението.
За срок от 50 години се съхраняват данните, свързани с трудовоправни и осигурителни отношения. Данните от регистрите на членовете се съхраняват за срок от 10 години след прекратяване на членството, а останалите данни се съхраняват за срок между 2 месеца и 5 години, според вида на данните, определящи законовото задължение за обработването, включително съхраняването им.
- Категории получатели на данни извън БДЗП
БДЗП няма да разкрива Лични данни на трети лица и получатели, освен ако не е налице законово основание за получаване на данните или данните не са общодостъпни поради включването им в публичен регистър.
Извън случаите на общодостъпност на данните, включени в публичен регистър, получатели на данни съобразно конкретния случай могат да бъдат:
- Държавни органи и органи, натоварени с публични функции, в рамките на техните правомощия (Национална агенция по приходите, Национален осигурителен институт, Изпълнителна агенция „Главна инспекция по труда“, Министерство на вътрешните работи, Прокуратура и други подобни);
- Банки за нуждите на извършвани плащания на възнаграждения и разноски;
- Институции и агенции на ЕС, както и други международни организации, във връзка с отчитане работа по проекти, финансирани от тези организации, в случай че Субекта на данни участва в работата по съответния проект;
- Куриерски фирми и пощенски оператори – за нуждите на осъществяване на кореспонденция със Субекти на данни.
- Права на Субектите на данни.
Всеки Субект на данни има следните права във връзка със защитата на своите Лични данни:
- да отправи запитване до БДЗП дали негови Лични данни се обработват и ако това е така, да получи копие от Обработваните от БДЗП Лични данни, както и информация относно целта, за която се Обработват, за какъв срок ще бъдат Обработвани, на кого са разкрити или ще бъдат разкрити (право на достъп, съгласно чл. 15 от ОРЗД);
- да поиска корекция на неточност в Личните му данни или допълване на непълни негови Лични данни при допусната техническа грешка или неточност (право на коригиране, съгласно чл. 16 от ОРЗД);
- да поиска от БДЗП да изтрие свързани с него Лични данни, за които не съществува законово основание за Обработване, по отношение на които Субекта на данни е оттеглил съгласието си за Обработване или срещу чието Обработване изрично и с основание е възразил (право на изтриване, право „да бъдеш забравен“, съгласно чл. 17 от ОРЗД;
- да поиска от БДЗП да ограничи Обработването на Личните му данни (т.е. Личните му данни да продължат да бъдат съхранявани от БДЗП, без обаче да бъдат Обработвани по друг начин), когато точността на Личните данни или правомерността на Обработването се оспорва от Субекта на данни, или когато БДЗП не се нуждае повече от тях, но Субекта на данни изисква Личните данни да бъдат съхранени с цел защита на негови правни претенции (право на ограничаване на обработването, съгласно чл. 18 от ОРЗД);
- да поиска от БДЗП да му предостави Личните данни, които го засягат, в структуриран, широко използван и пригоден за машинно четене формат (право на преносимост на данните, съгласно чл. 20 от ОРЗД);
- право на възражение (съгласно чл. 21 от ОРЗД); и
- право на жалба до Комисията за защита на личните данни (с адрес в гр. София 1592, бул. „Проф. Цветан Лазаров” № 2 или в интернет на адрес www.cpdp.bg) в случай че счита, че е налице нарушение на приложимо законодателство във връзка с Личните му данни (съгласно чл. 77 от ОРЗД).
Правото на достъп от страна на Субектите на данни следва да се реализира в срок не по-дълъг от 30 дни. Поради това от съществено значение е предоставяне на исканията за достъп до данни към ДЗЛД в най-кратък срок след тяхното получаване, независимо кой служител на БДЗП ги е получил.
Всеки Субект на данни може да упражни горните права чрез писмено заявление до БДЗП, в което следва да посочи конкретно своето искане. Искания може да бъдат изпращани по пощата до седалището на БДЗП на адрес: гр. София, ж.к. Яворов, бл. 71, вх. 4, ет. 1, ап. 1, или по имейл до: .
В заявлението следва да се посочи необходимите данни за индивидуализация на съответните лица и адрес за обратна връзка, описание на искането и предпочитана форма за предоставяне на информацията. Заявлението следва да бъде подписано и да има дата на подаване. При подаване на заявлението от упълномощено лице към заявлението се прилага и нотариално заверено пълномощно.
Настоящата Политика е в сила от 25 май 2018 г. и може да бъде периодично преработвана и изменяна от БДЗП, за което ще бъде предоставено подходящо уведомление.