Директива на сдружение „Автономен Работнически Синдикат“,– защита на личните данни


 Директива на сдружение „Автономен Работнически Синдикат“,– защита на личните данни

 

  • 1 Значение, цел, достъпност

(1) Тази директива на Сдружение „Автономен Работнически Синдикат“,, наричано от тук нататък накратко „сдружение“е задължителна база за законосъобразната и устойчива защита на личните данни.

(2) Целта на тази директива е да бъдат опазени и защитени основни права и свободи на засегнатите, особено тяхното право за защита на личните данни.

(3) Тази директива на сдружението трябва да е достъпна за всички членове, на сдружението по всяко време.

  • 2 Обхват на валидност/ Приложно поле

(1) Тази директива на сдружението важи лично за всички членове на сдружението, боравещи с лични данни.

(3) Нарежданията и забраните на тази директива важат за всякакви видове обработка на лични данни, назвисимо дали те стават по електронен път или са на хартиен носител. Освен това се отнася до всички засегнати (симпатизанти, посетители на събития).

  • 3 Определение на понятията

(1) Лични данни означава всякаква информация, която се отнася до идентифицирани или подлежащи на идентифициране лица (засегнати). Например името на лице за контакт може да доведе до изводи за реалното лице, точно както и неговия имейл адрес. Достатъчно е съответната информация да е свързана с името на засегнатия или независимо от това да бъде установена взаимосвързаност. Освен това може да бъде идентифициранa определена личност, когато тази информация може да бъде свързана с някакво допълнително познаване на факти, например регистрационен номер на кола. Снимки, видео и аудиозаписи също могат да представляват лични данни.

(2) Особен вид лични данни са тези данни, от които може да се почерпи информация за расова и етническа принадлежност, политически възгледи, религиозна принадлежност и друг вид светоглед, както и принадлежността към определен синдикат. С подобен характер са също генните и биометричните данни, здравните данни и информации за сексуалния живот или съответно за сексуалната ориентация на определен човек.

(3) За обработка се смята всяко действие, осъществено с или без помощта на автоматичен метод или всяка поредица от действия, свързани с личните данни, като например събирането, синтезирането, организацията, подреждането, запазването, напасването и променянето, разчитането и допитването, използването, разкриването чрез предаване, преработка или друга форма на предоставяне, изравняването и свързването, ограничаването, изтриването и унищожението.

(4) Ограничение на обработката е маркирането на запазените лични данни с цел ограничаване на бъдещето обработване.

(5) Псевдонимизирането представлява обработката на личните данни по такъв начин, при който личните данни без разглеждането на допълнителна информация не могат да бъдат съотнесени към определена личност, тъй като тези допълнителни информации се запазват на отделно място и подлежат на технически организационни действия, които гарантират, че личните данни не могат да бъдат отнесени към вече  идентифицирано или подлежащо на идентификация физическо лице

(6) Администратор е физическото или юридическо лице, държавен орган, институция или друго място, което самостоятелно или заедно в други определя целта и средствата за обработката на личните данни.

(7) Обработващ личните данни е физическо или юридическо лице, държавен орган, институция или друго място, което обработва лични данни по поръчка на администратора.

(8) Получател е физическото или юридическо лице, държавен орган, институция или друго място, на което биват разкрити лични данни, независмо от това, дали е трета страна или не.

(9) Трета страна е физическото или юридическо лице, държавен орган, институция или дру орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под пряко ръководство на администратора или обработващия лични данни имат право да обработват личните данни.

(10) Съгласие на засегнатия е всяко заявяване на желяние, което е станало на базата на добра информираност и по недвусмислен начин, под формата на заявление или друго еднозначно дейнствие, с което засегнатия дава да се разбере, че е съгласен с обработката на свързаните с него лични данни.

  • 4 Особени категории лични данни

Особените категории лични данни могат по правило да се събират, обработват и използват със съгласието на засегнатото лице или по изключение при изрично законово основание. Освен това трябва да се предприемат допълнителни технически и организационни мерки (например заключване при транспорт, даване на минимални права), за да се организира добра защита за тези особени лични данни.

  • 5 Обработка на лични данни

(1) Обработката на лични данни е принципно забранено освен ако определена законова норма не разреши експлицитно боравенето с лични данни. Според ОРЗЛД личните данни трябва да бъдат обработвани при следните обстоятелства:

–   при съществуващ договор със засегнатото лице,

–  в рамките на преддоговорни мерки по запитване на засегнатото лице и при разработване на договор със засегнатото лице,

–   в случай, когато засегнатото лице е разрешило.

(2) Личните днни се използват в сдружението единствено и само за съхранение и обработка на официални документи на сдружението, за информиране за дейността, инициативите и бъдещи събития на Сдружение с нестопанска цел „Автономен Работнически Синдикат“,, в случай, че е заявано ясно такова желание от засегнатото лице .

  • 6 Организация на защита на данните

(1) Сдружението назначава длъжностно лице по защита на личните данни. Можете да го откриете на arsindikat@gmail.com. Длъжностното лице по защита на личните данни консултира и обучава председателя и другите отговорини лица за опазване на лични данни в сдружението във връзка със задълженията им за защита на личните данни и също така е отговорен за комуникацията с надзорния орган.

(3) Длъжностното лице по защита на личните данни е независимо. То изпълнява своите функции на база експертните си познания в областта на законодателството и практиките в областта на защита на личните данни. Длъжностното лице по защита на данните осведомява непосредствено ръководството на сдружението.

(4) Останалите членове на сдружението трябва да подкрепят длъжностнот лице по защита на личните данни при изпълнението на неговите задължения.

(5) (За синдиката) Достъп до личните данни имат изпълняващите следните функции: секретар, счетоводител, касиер, координатор. Всички тези лица подписват специална декларация, с която се задължават да опазват личните данни според изискванията на ОРЗЛД и тази Директива.

(6) Съхранението на личните данни става по следните начини:

  • Личните данни, които се намират на хартиен формат се пазят в папки, достъп до които имат само упоменатите в 6 (3) лица.
  • Личните данни в електронен формат се съхраняват на компютри и външни дискове, които не са свързани с интернет. До тях имат достъп само описаните в 6 (3) лица. Достъпът до тях е защитен чрез пароли, известни само на тези лица.

(4) Протоколите от срещи, събирания и работни срещи на сдружението се формулират по начин, който не включва по никакъв начин споделянто на лични данни и не противоречи на настоящата директива.

(5) Членовете и симпатизаните ще бъдат информирани поетапно и многократно за правилата за защита на личните данни на сдружението чрез разпространение на тази директива в електронен и печатен формат чрез всички възможни средства за комуникация (например лично по време на общи събрания и работни срещи,  по имейл).

(3) В случай, че е възможно, е добре въобще да не се състои обработката на лични данни. Псевдонимизираното и анонимното обработване на данни е за предпочитане.

(4) Промяната на предварително определените  цел и причина за използването на личните данни, е допустимо извън изразеното съгласие на засегнатото лице само тогава, когато целта на последващото обработване на данните е съгласувано с първоначалната цел. В този случай трябва да бъдат взети под внимание разумните очаквания на засегнатото лице спрямо подобно последващо обработване на личните данни, вида на използваните данни, последствията за засегнатото лице, както и възможностите за криптиране и псевдонимизиране.

(5) Личните данни се събират и обработват законосъобразно, добросъвестно и прозрачно при спазване на следните принципи:

  1. Субектът на данните се информира предварително за обработването на неговите лични данни;
  2. Личните данни се събират за конкретни, точно определени и законни цели и не се обработват допълнително по начин, несъвместим с тези цели;
  3. Личните данни съответстват на целите, за които се събират;
  4. Личните данни трябва да са точни и при необходимост да се актуализират;
  5. Личните данни се заличават или коригират, когато се установи, че са неточни или не съответстват на целите, за които се обработват;
  6. Личните данни се поддържат във вид, който позволява идентифициране на съответните физически лица за период, не по-дълъг от необходимия, за целите, за които тези данни се обработват.

(6) Ако личните данни се предоставят от трета страна, то засегнатото лице трябва да бъде информирано допълнително и обширно според чл. 14 ОРЗЛД за боравенето с личните му данни. Това важи и за промяна на целта и причина за ползване на личните данни.

  • 7 Препредаване на лични данни

(1) Предаването на лични данни на трета страна може да се случи само на законово основание или със съгласието на засегнатото лице

  • 8 Външни доставчици на услуги

(1) В случай, че външни доставчици получат достъп до лични данни, длъжностното лице по защита на личните данни трябва да бъде информирано предварително.

  • 9 Минимизиране на данните, Privacy by Desgin/Privacy by Default

(1) Обработката на личните данни трябва да се стреми към това да се събират, обработват и използват колкото се може по-малко лични данни, отнасящи се до едно определено лице („Минимизиране на данните“). Особено личните данни трябва да се анализират и псевдонимизират, доколкото това е възможно с оглед на целта на използване. Например в рамките на статистически анализ на определени данни няма да е необходимо да се знае и да се използва пълното име на засегнатото лице. Вместо това съответната информация може да бъде заменена с някаква случайна стойност, която може също да гарантира различаването на разполагаемата информация.

(2) На подобен принцип трябва да се избира и оформя също така системата за обработка на данни. Защитата на личните данни от самото начало трябва да се интегрира в спецификите и архитектурата на системата за обработка на данни. Така ще може да се улесни спазването на принципите за защита на личното пространство и защитата на данните, като в случая от особено значение е принципът за минимизиране на данните.

  • 10 Права на засегнатите

(1) Засегнатите лица имат право на информация за запазените от сдружението свързани с тях лични данни.

(2) При обработката на искания трябва да се установи недвузначно идентичността на засегнатото лице. При обосновани съмнения в идентичността могат да се изискат допълнителни данни от заявяващия искане.

(3) Споделянето на информация става по писмен път, освен ако засегнатото лице не е подавал искането за информация по електронен път. Даването на информация става чрез прикачване на копие с данните на засегнатото лице, които включват, освен данните за самото лице, данни и за получателя и за целта на използването на информацията, както и други изисквания от закона информация споредЧл.  15 ОРЗЛД. Така засегнатото лице ще може да придобие ясна представа за обработката на личните му данни и ще може да прецени доколко това се случва в съгласие със закона.  При желание на засегнатото лице данните трябва да могат да бъдат предоставени в структуриран, общоприет, пригоден за машинно четене формат.

(4) Засегнатите лица имат право да поискат коригиране на личните си данни, когато тези се окажат неправилни. Освен това могат да поискат попълването на непълни лични данни.

(5) Засегнатите лица имат правото на изтриване на техните лични данни при следните обстоятелства:

  • личните данни повече не са необходими за целите, за които са били събрани или обработвани,
  • засегнато лице оттегля своето съгласие и липсва друго правно основание за обработването им,
  • личните данни са били обработвани незаконосъобразно
  • става въпрос за лични данни с особен характер, чиято правилност не може да бъде доказана, или е налице друго правно задължения за изтриване на данните.

В случай, че съществува задължение за изтриване на данните, а преди това те са били направени обществено достояние, то другите отговорни за обработката на данните трябва да бъдат информирани за желанието на засегнатото лице за изтриване на данните му. Това засяга всички копия от неговите данни, както и всички линкове, в които те се намират.

(6) Засегнатото лице може да изиска ограничаване на обработване на личните му данни, случай че:

– точността на личните данни е спорна, но само за срок, който позволява на съответния отдел на администратора да провери точността на данните,

– обработката на данните е неправомерна, но засегнатото лице не желае личните му данни да бъдат изтрити, а изисква вместо това ограничаване на използването им, или

– администраторът не се нуждае повече от личните данни за целите на обработването, но засегнатото лице ги изисква за установяването, упражняването или защитата на правни претенции или

– когато засегнатото лице възрази срещу обработката поради извънредна ситуация и съответния отдел все още е зает с проверката на възражението.

(7) Засегнатото лице трябва най-късно в рамките на един месец да бъде информирано за предприетите мерки, които са последвали в следствие на неговото искане.

(8) Длъжностното лице по защита на данните е на разположение за консултиране относно зачитането на правата на застегнатото лице.

  • 11 Искане на информация от трета страна чрез засегнатото лице

Ако трета страна изисква информация за засегнатото лице, например членове на партньорска организация, предаването на информация е допустимо само в следните случаи:

– страната, предоставяща информация, може да докаже правомерен интерес за това, или

– определено законова норма задължава да бъде извършено това действие,

– идентичността на изискващия информация е недвусмислено изяснена.

  • 12 Списък на обработващите дейности

(1) Сдружението трябва да води списък с всички видове обработка на информация.

(2) Сдружението представя списъка при запитване от страна на надзорните органи. Отговорен за това в случая е длъжностното лице по защита на лични данни при получено съгласие от ръководството на сдружението.

  • 14 Обучение

Членове, които имат постоянен достъп до лични данни, събират такива данни или развиват системи за обработката на такива данни, трябва да бъдат обучени по подходящ начин за спазване на изискванията за защита на личните данни. Длъжностното лице по защита на личните данни решава под каква форма и по каква програма ще се провеждат обученията.

  • 15 Оплаквания

(1) Всяко засегнато лице има право да се оплаче от обработването на неговите лични данни, ако счита, че по някакъв начин са засегнати правата му. Освен това заетите лица могат да предяват иск за нарушаване на директивата на сдружението по всяко време.

(2) Оплакването по ал. 1 се подава пред длъжностното лице по защита на личните данни, който представлява външна независима и неподлежаща на наблюдение инстанция.

  • 18 Наличност, Конфиденциалност и цялост на данните

(1) В зависимост от вида, обхвата, обстоятелствата и целта на обработката, както от вероятността от настъпване на рисково събитие за всеки процес следва да се изработи документирано заключение относно необходимостта от мерки за сигурност с оглед анализ на риска за засегнатото лице.

(2) Лични данни, събрани са с различна цел, трябва да се съхраняват и обработва поотделно. Разделянето на данните трябва да се подсигури чрез подходящи технически и организационни мерки.

 

 

  • 19. Оценка на въздействието

 

(1) Оценка на въздействието се извършва, когато това се изисква съгласно приложимото законодателство и с оглед на риска за физическите лица и естеството на обработка на лични данни, извършвана от Дружеството. Оценка на въздействието се извършва за високорискови дейности по обработване.

(2) Оценка на въздействието е необходимо при всяко въвеждане на ключова система или смяна на бизнес програма, която е свързана с обработване на лични данни, включително:

– първоначалното въвеждане на нови технологии или прехода към нови технологии;

– автоматизирано обработване, включително профилиране или автоматизирано вземане на решения;

– обработване на чувствителни лични данни в голям мащаб;

– мащабно, систематично наблюдение на публично обществена зона.

(3) За оценката се съставя протокол, който се предоставя при поискване от страна на КЗЛД.

 

  • 20 Нарушения на сигурността

 

(1) Лицата, идентифицирали признаци на нарушение на сигурността на данните, са длъжни да докладват незабавно на Председателя НА СДРУЖЕНИЕТО, като му предоставят цялата налична информация.

(2) Председателят на сдружението извършва незабавно проверка по подадения сигнал, като се опитва да установи дали е осъществено нарушение на сигурността и кои данни са засегнати.

(3) След съгласуване с ръководството на сдружението, Председателят предприема мерки за предотвратяване или намаляване последиците от пробива и възможностите за възстановяване на данните.

(4) При спешност, когато съгласуване с ръководството би забавило реакцията и би нанесло големи щети, Председателят може по своя преценка да предприеме мерки за предотвратяване или намаляване последиците от нарушението на сигурността. В този случай той уведомява незабавно Длъжностното лице по защита на личните данни и ръководството за предприетите мерки и съобразява последващи действия с получените инструкции.

 

(5) В случай че нарушението на сигурността създава вероятност от риск за правата и свободите на физическите лица, чиито данни са засегнати, и след одобрение от ръководството на сдружението, Длъжностното лице по защита на личните данни, организира уведомяването на КЗЛД.

(6) Уведомяването на КЗЛД следва да се извърши без ненужно забавяне и когато това е осъществимо – не по-късно от 72 часа след първоначалното узнаване на нарушението.

(7) Уведомлението до КЗЛД съдържа следната информация:

(а) описание на нарушението на сигурността; категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;

(б) името и координатите за връзка на Длъжностното лице по защита на личните данни;

(в) описание на евентуалните последици от нарушението на сигурността;

(г) описание на предприетите или предложените мерки за справяне с нарушението на сигурността, включително мерки за намаляване на евентуалните неблагоприятни последици.

(8) Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Длъжностното лице по защита на личните данни, без ненужно забавяне и при спазване на приложимото законодателство уведомява засегнатите физически лица.

 

(9) В Дружеството се води регистър на нарушенията на сигурността, който съдържа следната информация:

(а) дата на установяване на нарушението;

(б) описание на нарушението – източник, вид и мащаб на засегнатите данни, причина за нарушението (ако е приложимо);

(в) описание на извършените уведомявания: уведомяване на КЗЛД и засегнатите лица, ако е било извършено;

(г) предприети мерки за предотвратяване и ограничаване на негативни последици за субектите на данни и за Дружеството;

(д) предприети мерки за ограничаване на възможността от последващи нарушения на сигурността.

(2) Регистърът се води в електронен формат, като нарушенията на сигурността се попълват от Председателя.

  • 21 Гаранция за отчетност

(1) Спазването на насоките на тази директива трябва по всяко време да бъде доказана. В този случай трябва да се внимава особено за прозрачността и възпроизведимостта на предприетите мерки, така например при свързаната документация.

  • 22 Актуализация на директивата; Възпроизведимост.

(1) В рамките на бъдещото развитие на правото за защита на личните данни, както във връзка с технологични и организационни промени, тази директива ще бъде проверявана редовно с цел напасване и допълване.

(2) Промените в тази директива са действителни дори, когато не е спазена форма. Заетите лица и наетите на отговорни длъжности трябва непосредствено и по подходящ начин да бъдат информирани за променените изисквания.

Print Friendly