Правила за механизма на обработване и защита на лични данни на ип "авс финанс " ад I. Правно основание



Дата15.01.2018
Размер145.57 Kb.
Размер145.57 Kb.


правила

за МЕХАНИЗМА НА ОБРАБОТВАНЕ И ЗАЩИТА НА ЛИЧНИ ДАННИ

НА ИП "АВС ФИНАНС " АД
I. Правно основание

Чл. 1. Настоящата инструкция се издава на основание чл. 23, ал. 4 и чл. 24, ал. 4 от Закона за защита на личните данни ("ЗЗЛД").
II. Цели и обхват на инструкцията

Цели

Чл. 2. Настоящата инструкция има за цел да регламентира:

(1) механизмите на водене, поддържане и защита на регистър "Служители" ,регистър „Акционери” и регистър "Клиенти", съхраняващ лични данни за персонала, зает по трудови или граждански правоотношения и клиентите на дружеството;

(2) задълженията на оправомощените лица, обработващи лични данни и тяхната отговорност при неизпълнение на тези задължения;

(3) необходимите технически и организационни мерки за защита личните данни на посочените по-горе лица от неправомерно обработване (случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни).



Обхват

Чл. 3. Инструкцията е задължителна за целия персонал, имащ достъп до лични данни в регистрите „Служители”, „Акционери” и „Клиенти”.


  1. Предназначение на регистрите

Набиране и съхраняване на лични данни

Чл. 4. (1) Регистърът набира и съхранява лични данни на служителите и изпълнителите по граждански договори в дружеството по време на дейността им по изпълнение на тези договори с оглед:

1. индивидуализиране на трудовите и гражданските правоотношения;

2. изпълнение на нормативните изисквания на Кодекса на труда, Кодекса за социално осигуряване, Закона за счетоводството, Закона за държавния архив и др.;

3. използване на събраните данни за съответните лица за служебни цели:



  • за всички дейности, свързани със съществуване, изменение и прекратяване на трудовите и граждански правоотношения – за изготвяне на всякакви документи на лицата в тази връзка договори, допълнителни споразумения, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения и др. подобни;

  • за установяване на връзка с лицето по телефон, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията му по трудови или граждански договори;

  • за водене на счетоводна отчетност относно възнагражденията на посочените по-горе лица по трудови и граждански договори;

(2) Регистърът набира и съхранява лични данни на клиентите на дружеството с цел осъществяване на търговската дейност на последното.

Форми на водене на регистъра

Чл. 5. (1) На хартиен носител:

1. Форма на организация и съхраняване на личните данни - писмена (документална), съхраняват се в папки (кадрови досиета) за всеки служител или наето по граждански договор лице, както и за всеки клиент. Кадровите досиета се подреждат в специален картотечен шкаф със заключване;

2. Местонахождение на картотечния шкаф - може да бъде поставен в помещение, предназначено за самостоятелна работа на обработващия/оператора на лични данни или в общо помещение за работа с изпълняващи други дейности;

3. Носител (форма) за предоставяне на данните от физическите лица - личните данни за всяко лице от посочения по-горе кръг от лица се набират в изпълнение на нормативно задължение - разпоредбите на Кодекса на труда и подзаконовите нормативни актове за прилагането му, Кодекса за социално осигуряване, Закона за счетоводството и други чрез: устно интервю с лицето (при постъпване или в процеса на работа, съответно при преговори с клиента), хартиен носител - писмени документи - молби, заявления за постъпване/извършване на работа по трудово или гражданско правоотношение, договорни отношения с клиенти, за изменение или прекратяване на тези отношения, по текущи въпроси в процеса на работа, подадени от лицето, както и от външни източници (от съдебни, финансови, осигурителни, данъчни и други институции в изпълнение на нормативни изисквания). Личните данни от лицата се подават на администратора на лични данни и оправомощеното лице, назначено за обработването им - обработващ/оператор на лични данни, на основание нормативно задължение във всички случаи, когато е необходимо;

4. Достъп до личните данни - такъв има само обработващият/операторът на лични данни. Възможността за предоставяне другиму достъп до личните данни при обработката им е ограничена и изрично регламентирана по-долу в чл. 6 "Задължения на обработващия/оператора на лични данни";

(2) На технически носител:

1 Форма на организация и съхраняване на личните данни - личните данни се съхраняват на твърд диск, на изолиран компютър. Компютърът е свързан в локална мрежа, но със защитен достъп до личните данни, който е непосредствен само от страна на оператора на лични данни. При работа с данните се използват софтуерни продукти по обработка на данните относно възнагражденията на персонала и клиентите, в това число основни и допълнителни възнаграждения, данъчни и други (вноски по заеми, запори и пр.) задължения, трудов стаж, присъствени и неприсъствени дни и други подобни. Софтуерните продукти са адаптирани към специфичните нужди на администратора на лични данни;

2. Местонахождение на компютъра - в изолирано помещение за самостоятелна работа на оператора на лични данни по регистъра, а когато не е налице организационно-техническа възможност за това, компютърът може да бъде поставен в общо помещение за работа на обработващия лични данни с изпълняващи други дейности;

3. Достъп до личните данни и защита - достъп до операционната система, съдържаща файлове за обработка на лични данни, има само обработващият/операторът на лични данни чрез парола за отваряне на тези файлове (свързаните с възнагражденията), известна на него, а в негово отсъствие - на временно упълномощено от него лице. Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поддържане на антивирусни програми, периодично архивиране на данните на отделни дискети, както и чрез поддържане на информацията на хартиен носител.

Групи данни в регистъра

Чл. 6. (1) Относно физическата идентичност на лицата - имена и данни по лична карта (ЕГН, номер на лична карта, дата и място на издаване, адрес, месторождение, телефони за връзка и др.);

(2) Относно семейна идентичност на лицата (важи само за регистър "Служители") - семейно положение - наличие на брак, развод, брой членове на семейството, в това число деца до 18 години - данните са необходими при установяване правата на лицата за получаване на семейни добавки за деца до 18 години, за начисляване на съответни удръжки от трудовото възнаграждение на дадено лице на основание присъдена издръжка, като критерий при подбор на служителите и други подобни;

(3) Образование (важи само за регистър "Служители")


  • вид на образованието, място, номер и дата на издаване на дипломата - данните са необходими с оглед спазване нормативни или установени със щатното разписание на длъжностите изисквания за заемане, респ. за освобождаване на длъжности от лицата. Предоставят се от лицата на основание нормативно задължение във всички случаи, когато е необходимо;

  • допълнителна квалификация - данните са необходими с оглед спазване нормативни или установени със щатното разписание на длъжностите изисквания за заемане, респ. за освобождаване на длъжности от лицата. Предоставят се от лицата на основание нормативно задължение във всички случаи, когато е необходимо;

(4) Трудова дейност (важи само за регистър "Служители") - професионална биография - данните са от значение при избора на подходящо за съответната длъжност лице. Предоставят се на основание нормативно задължение във всички случаи, когато е необходимо;

(5) Други - лични данни относно гражданско-правния статус на лицата, необходими за длъжностите, свързани с материална отговорност, като свидетелство за съдимост. Предоставят се на основание нормативно задължение.



Задължения на лицето, отговарящо за водене и съхраняване на данните в регистъра

Чл. 7. Задълженията на лицето, отговарящо за водене и съхраняване на данните в регистъра (оправомощеното лице) включват набиране, обработване, актуализация и съхраняване на лични данни, както следва:

1. Личните данни в регистър "Служители" се набират при постъпване/възлагане на работа по трудово или гражданско правоотношение на дадено лице чрез устно интервю и/или на хартиен носител;

2. Личните данни в регистър "Клиенти" се набират при воденето на преговори и съответно възлагане на поръчки от съответния клиент и подписване на договор. За необходимостта от набиране на лични данни и целите, за които ще бъдат използвани, операторът на лични данни информира лицето;

3. Обработване - обикновено личните данни се предоставят на представляващия администратора на лични данни чрез устно интервю и/или на хартиен носител. След одобрение на молбата за постъпване/възлагане на работа на лицето и/или съответно сключване на договор с клиент(като основен хартиен носител на лични данни), всички документи, съдържащи лични данни, заедно с приложенията към тях, се предават на обработващия/оператора на лични данни за оформяне възникването на валидно трудово или гражданско правоотношение чрез изготвяне на трудов или граждански договор на технически и хартиен носител. Изготвеният договор на технически носител остава в отделен файл на компютъра, като достъп до него има само обработващият/операторът на лични данни. Хартиеният носител се подрежда в кадрово досие на клиента или постъпващото на работа лице заедно с останалите му документи се подрежда в кадрово досие, съответно в картотечния шкаф със заключване, а препис от съответния договор - се връчва на клиента или постъпващия на работа;

4. Освен посочените лица и при посочените случаи, ограничен достъп до лични данни има счетоводителят при обработване лични данни на лицата относно изготвяне на разплащателни документи, свързани с преводи на дължими суми на клиенти и/или възнагражденията на лицата, наети по трудови и граждански правоотношения в дружеството по банков път;

5. При необходимост от поправка на личните данни, лицата предоставят такива на обработващия/оператора на лични данни по негово искане на основание нормативно задължение.

Актуализация на лични данни

Чл. 8. (1) Актуализация на лични данни представлява допълнение или изменение на съществуваща информация в дружеството. Актуализация на лични данни се извършва:



  • по искане на лицето, за което се отнасят личните данни, когато то е установило, че е налице грешка или непълнота в тях, и удостовери това с документ;

  • по инициатива на обработващия лични данни - при наличие на документ, даващ основание за актуализация;

  • при установена грешка при обработката на личните данни от страна на ИП „АВС ФИНАНС” АД;

(2) При актуализация на лични данни в досието на съответното лице се отразяват регистрационния номер на документа, източник на данните за актуализацията, дата на актуализацията. Актуализацията се извършва от лицето, обработващо личните данни.

Мерки за защита при обработване на личните данни

Чл. 9. (1) Правилата за защита при обработване на лични данни регламентират технически мерки, които:

  • отхвърлят достъпа на неоторизирани лица до оборудването за обработка на данни - контрол на достъпа до оборудване;

  • предотвратяват неоторизираното четене, копиране, промяна или унищожаване на информационни носители - контрол на информационните носители;

  • предотвратяват неоторизираното добавяне, въвеждане, преглеждане, промяна или заличаване на съхранени лични данни - контрол по съхраняването;

  • предотвратяват използването му от неоторизирани лица, използващи комуникационно оборудване за данни - контрол на потребителите;

  • гарантират, че лицата, които са оторизирани да ползват система за автоматизирана обработка на данни, имат достъп само до данните, включени в обхвата на техния достъп - контрол на достъпа до данни;

  • осигуряват възможността за проверка и установяване до кои органи са били или могат да бъдат изпратени или предоставени личните данни чрез използване на комуникационно оборудване за данни - контрол на комуникациите;

  • осигуряват възможност за последваща проверка и установяване какви лични данни са въведени в системите за автоматизирана обработка на данни, кога и от кого са въведени данните - контрол на въвеждане;

  • предотвратяват неоторизирано четене, копиране, промяна или изтриване на лични данни при трансфер на лични данни или превозване на носители на данни - контрол при транспортиране;

  • осигуряване на възможност инсталираните системи да могат да се възстановят в случаи на прекъсване на функционирането - възстановяване;

  • осигуряват правилното функциониране на системата, докладване на появата на грешки във функциите (надеждност) и гарантират, че съхранените данни не могат да бъдат повредени чрез неправилно функциониране на системата - интегритет.

Служителите, обработващи лични данни, вземат мерки за гарантиране на надеждност при обработването, като осъществяват технически и организационни мерки за защита на личните данни.

(2) При автоматичната обработка на лични данни се осъществяват технически мерки за защита срещу:



  • неоторизирано четене, възпроизвеждане, промяна или премахване на носителя на данните;

  • неоторизирано въвеждане, промяна или заличаване на съхранени лични данни;

  • неоторизирано използване на системите за лични данни чрез средства за пренос на данни;

  • неоторизиран достъп до лични данни.

Осигуряване на достъп на лицата до личните им данни

Чл. 10. (1) Заетите по трудови и граждански правоотношения, както и клиентите имат право на достъп до личните си данни, за което подават писмено заявление до обработващия/оператора на лични данни, в това число и по електронен път лично или чрез упълномощено лице. Подаването на заявление е безплатно.

(2) Заявлението съдържа име на лицето и други данни, които го идентифицират - ЕГН, длъжност, месторабота, описание на искането, предпочитана форма за предоставяне достъпа до лични данни, подпис, дата и адрес на кореспонденцията; пълномощно - когато заявлението се подава от упълномощено лице. Заявлението се завежда в общия входящ регистър на администратора.

(3) Достъп до данните на лицето се осигурява под формата на:

1. устна справка;

2. писмена справка;

3. преглед на данните от самото лице или упълномощено от него такова;

4. предоставяне на копие от исканата информация.

(4) При подаване на искане за осигуряване на достъп представляващият администратора разглежда заявлението за достъп или разпорежда на обработващия/оператора на лични данни да осигури искания от лицето достъп в предпочитаната от заявителя форма. Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на подаване на искането, съответно 30-дневен, когато е необходимо повече време за събиране личните данни на лицето с оглед възможни затруднения в дейността на администратора. Решението се съобщава писмено на заявителя лично срещу подпис или по пощата с обратна разписка. Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение. Отказът за предоставяне достъп може се обжалва от лицето пред посочения в писмото орган и срок.

(5) Достъп до личните данни на лицата, съдържащи се на технически носител има само обработващият/операторът на лични данни, а в негово отсъствие и когато тези данни се отнасят до възнагражденията на лицата, достъп до тях има временно упълномощено от обработващият/операторът на лични данни лице, комуто е известна паролата за достъп до файловете.

Правомерен достъп на оправомощените лица до кадровите досиета на персонала и клиентите

Чл. 11. Освен на оператора на лични данни, правомерен е достъпът и на лицата, пряко ангажирани с оформяне и проверка законосъобразността на документите на лицата – изпълнителни директори, главен счетоводител, завеждащ "Личен състав", ръководителите на отделните отдели, които осъществяват работа за клиентите, както и на лицата, осъществяващи технически счетоводни операции по обработка на документите, свързани с плащането на задължения по договори с клиентите и възнагражденията на персонала - счетоводител. Операторът на лични данни им осигурява достъп при поискване от тяхна страна.

Правомерен достъп на трети лица до кадровите досиета на персонала и клиентите

Чл. 12. (1) Кадровото досие на лицето не се изнася извън сградата на администратора. Никое оправомощено или трето лице няма право на достъп до кадровите досиета на персонала и клиентите на дружеството, освен ако същото е изисквано по надлежен път от органи на надзора или на съдебната власт (Комисия за финансов надзор, съд, прокуратура, следствени органи и др.). Достъпът на тези органи до личните данни на лицата е правомерен.

(2) Надлежен е начинът, при който съответният орган е изискал кадрово досие или данни, съдържащи се в него, писмено с изрично искане, отправено до Съвета на директорите на дружеството. В подобни случаи на заявителя се предоставя копие от съдържащите се в кадровото досие документи, заверени с подпис на оператора на лични данни и печат на дружеството. За идентичността на предоставените копия от документи с оригиналите им отговорност носи операторът. В подобни случаи и ако в писменото искане на съответния орган не се съдържа изрична забрана за разгласяване, операторът на лични данни е длъжен да информира лицето, но не и да препятства работата на надлежните органи.

(3) Не се изисква съгласие на лицето, ако обработването на неговите лични данни се извършва само от или под контрола на компетентен държавен орган за лични данни, свързани с извършване на престъпления, на административни нарушения и на непозволени увреждания. На такива лица се осигурява достъп до личните данни, като при необходимост им се осигуряват съответни условия за работа в помещение на дружеството.

(4) Правомерен е и достъпът на ревизиращите държавни органи, надлежно легитимирали се със съответни документи - писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп до кадровите досиета на персонала или клиентите.

(5) При промени в статута на дружеството (преобразуване, ликвидация и други), налагащи прехвърляне на регистрите за лични данни от дружеството на друг администратор на лични данни, предаването на регистъра се извършва след разрешение на Комисията за защита на лични данни.

(6) Решението си за предоставяне или отказване достъп до лични данни за съответното лице администраторът съобщава на третите лица в 30-дневен срок от подаване на молбата, респ. искането.

(7) При внедряване на нов програмен продукт за обработване на лични данни се извършва предварителна проверка на възможностите на продукта с оглед спазване изискванията на ЗЗЛД и осигуряване максималната им защита от неправомерен достъп, загубване, повреждане или унищожаване.

(8) За неизпълнение на задълженията, вменени на съответните оправомощени лица по тази инструкция и по ЗЗЛД, се налагат дисциплинарни наказания по Кодекса на труда, а когато неизпълнението на съответното задължение е констатирано и установено от надлежен орган - предвиденото в ЗЗЛД административно наказание - глоба.



Чл. 13. Адресът, на който се приемат молби за достъп и предоставяне на лични данни от регистрите на ИП „АВС ФИНАНС” АД АД е както следва: гр. София бул. "Тодор Александров" №141, или на електронен адрес: info@abc-finance.eu.

Периодично архивиране

Чл. 14. Архивиране на личните данни на технически носител се извършва периодично на всеки един месец от обработващия/оператора на лични данни с оглед запазване на информацията за съответните лица в актуален вид. Същото се извършва на дискети, достъп до които има само обработващият/операторът на лични данни.

Контрол при обработване на личните данни

Чл. 15. Контролът върху дейностите по обработка на лични данни в ИП „АВС ФИНАНС” АД се осъществява от заемащ длъжността Ръководител отдел „Нормативно съответствие”.
IV. Допълнителни разпоредби

По смисъла на настоящата инструкция:

§1. "Администратор на лични данни е ИП „АВС ФИНАНС АД ", гр. София;

§2. "Оператор на лични данни" е физическо лице, избирано и назначавано от Съвета на директорите на дружеството, като ограничени функции по обработката на лични данни при условия и ред, посочени по-горе, имат и други оправомощени лица на администратора, когато временно и изрично са упълномощени от оператора на лични данни за това.

§3. „Обработване на лични данни" е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.

§4. Настоящата инструкция подлежи на утвърждаване от изпълнителния директор на ИП „АВС ФИНАНС” АД, гр. София и всички служители на дружеството следва да бъдат запознати с нея.


УТВЪРЖДАВАМ:

Николай Петев

изпълнителен директор




Сподели с приятели:


©zdrasti.info 2017
отнасят до администрацията

    Начална страница