ЗА СПРАВКИ: 0700 300 29   

ЗА ОПЛАКВАНИЯ : 0893 646890

Notice

Раздел IV

Организационни мерки

 

Чл.9. (1)За защита на сигурността на личните данни Администраторът:

 1.Със своя Заповед определя длъжностно лице по защита на данните в „С.Г.ГРУП” ЕАД;

          2.Извършва оценка на въздействието върху защитата на данните;

          3.Задължава всички служители, които обработват лични данни да спазват изискванията за поверителност на личните данни, до които имат достъп, съгласно правилата на ОРЗД, настоящата Политика и отговорностите на „С.Г.ГРУП” ЕАД като администратор на лични данни.

(2)    Администраторът организира обучение на персонала за обработване на лични и чувствителни лични данни и за извършване на оценка на въздействието върху защитата на данните в отделните административни звена на „С.Г.ГРУП” ЕАД.

(3)    При оценяването на подходящите организационни мерки ДЛЗД взема предвид следното:

  1. Нивата на подходящо обучение на служителите в „С.Г.ГРУП” ЕАД;
  2. Идентификация на дисциплинарни мерки за нарушения по отношение на обработването на данни;
  3. Редовна проверка на персонала за спазване на съответните стандарти за сигурност,
  4. Контрол на физическия достъп до електронни и хартиено базирани записи.
  5. Спазване на правилото за „чисто работно място“;
  6. Начина на съхраняване на данните от служителите;
  7. Ограничаване използването от служители на лични устройства на работното място.

 

Чл. 10. (1) „С.Г.ГРУП” ЕАД изисква гаранции от трети лица - обработващи лични данни, че са в състояние да осигурят необходимата защита на личните данни;

(2) При влизане в договорни отношения с обработващите лични данни се включват договорни клаузи, според които обработващите лични данни трябва да гарантират, че предоставят достатъчни технически и организационни мерки за защита на сигурността и поверителността на личните данни и ще действат според указанията на администратора.

Раздел V

Технически мерки

 

Чл. 11.(1) Техническите мерки за защита на лични или чувствителни лични данни включват:

  1. Класифициране на данни;
  2. Предотвратяване на загуба на данни;
  3. Криптиране;
  4. Получаване на изрично съгласие за всяка конкретна цел;
  5. Ограничения при пренос на данни и въвеждане на технологии, които позволяват на субектите на данни да упражняват своите права за достъп;
  6. Коригиране и заличаване на лични данни;
  7. Начини на защита с парола;

8.  Автоматично заключване при не използване на работните станции в мрежата;

9. Премахване/ограничаване на права на достъп за USB и други преносими носители с памет;

         10. Антивирусен софтуер и защитни стени за блокиране на зловреден софтуер;

         11.Защитата на преносими устройства, които напускат помещенията на организацията, като лаптопи и други;

         12.Осигуряване сигурността на локалните и широкообхватните мрежи;

         13.Осигуряване на технологии за подобряване на поверителността;

         14.Внедряване на подходящи услуги за съхранение и споделяне на облак, когато активно блокират или обезкуражават използването на неоторизирани услуги и отговарят за правата за достъп, коригиране и заличаване на субектите на данни, определени от ОРЗД;

         15.Активно наблюдение на действията за споделяне, за да се сведе до минимум вероятността от нарушаване на данните.

(2) Всички служители, оправомощени да обработват лични данни, са длъжни да спазват следните мерки за защита на данните:

         1.На хартиен носител:

а)  Личните данни на хартиен носител се съхраняват в специални помещения, или заключени каси/шкаф, в зависимост от вида на данните, при спазване на специални мерки за достъп до помещението;

б)  Когато личните данни трябва да бъдат прехвърлени на хартиен носител, те трябва да бъдат предадени директно на получателя срещу подпис или изпратени с препоръчана поща с обратна разписка;

в)  Когато някоя лична информация трябва да бъде заличена по някаква причина (включително когато са направени копия, които вече не са необходими), тя се унищожава като се нарязва на шредер, след което се изхвърля;

          2.На електронен носител съгласно правила, определени в Политиката за информационна сигурност на информационни системи в „С.Г.ГРУП” ЕАД и съпътстващите я документи, утвърдени от Изпълнителният Директор. Техническите мерки се прилагат и за защита на личните данни.

Чл. 12. Неспазването на техническите и организационни мерки за защита на данните и останалите вътрешни актове, свързани със защита на данните, е основание за търсене на дисциплинарна отговорност от виновните служители.

 

 

                      Раздел VI

Документиране на дейностите по обработване.

Регистър на обработванията на данни

 

Чл. 13. (1) В „С.Г.ГРУП” ЕАД се поддържа Регистър на дейностите по обработванията на данни, достъпът до който се осъществява на функционален принцип;

(2)   Регистърът по ал. 1 съдържа следната информация:

1. Името и координатите за връзка на администратора и ДЛЗД;

  1. Целите на обработването;
  2. Описание на категориите субекти на данни и на категориите лични данни;

4. Категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;

5. Когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, както е посочено в член 49, параграф 1, буква „б“, документация за подходящите гаранции;

  1. Предвидените срокове за изтриване на различните категории данни;
  2. Общо описание на техническите и организационни мерки за сигурност.

(3)  При нововъзникнала дейност по обработка на лични данни административното звено, което извършва обработването, следва да уведоми ДЛЗД, като представи необходимата информация по ал. 2.

 

Чл. 14. Служителите на администратора, които обработват лични данни от негово име, осигуряват сигурността при обработването и съхраняването на данните от тяхна страна, включително гарантират, че няма да разкриват данните на трети страни, освен ако администраторът не е дал такива права на тази трета страна за достъп до данните.

 

Чл. 15. При обработката на данни чрез видеонаблюдение, при което се извършва запис чрез технически средства за видеонаблюдение, се спазват Правилата за извършване на видеонаблюдение в обектите на администратора.

                    Раздел VII

Профилиране

 

Чл. 16. (1) Профилирането е автоматизирано обработване на лични данни с цел оценяване на определени лични аспекти, свързани с дадено лице, включително за анализиране или прогнозиране на поведението му, изпълнение на професионалните му задължения, икономическото му състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение.

(2) В случай, че администраторът използва лични данни за целите на профилирането, следва да са изпълнени следните условия:

  1. Да бъде предоставена ясна информация, поясняваща профилирането, включително значението и вероятните последици.
  2. да се използват подходящи статистически или математически процедури;
  3. да се въведат технически и организационни мерки, необходими за минимизиране на риска от грешки, за да се позволи лесното им отстраняване и да се предотврати дискриминационното въздействие.

Раздел VIII

Разкриване на данни

 

Чл. 17.(1) Личните данни не се разкриват на неупълномощени трети страни, което включва членове на семейството, приятели, държавни органи, ако има основателно съмнение, че не се изискват по установения ред. Всички служители трябва да следят дали искането от трета страна за разкриване на лични данни за друго лице е свързано или не с нуждите на дейността, извършвана от администратора.

(2)   Всички искания от трети страни за предоставяне на данни трябва да бъдат подкрепени с подходяща документация и всички такива разкривания на данни трябва да бъдат координирани с ДЛЗД, което да даде становище.

(3)   В качеството си на орган по назначаването Изпълнителния Директор предоставя лични данни на определени кредитни институции (банки) във връзка с изплащането на дължимите възнаграждения на служителите и/или изпълнители по граждански договори. В тези случаи личните данни включват трите имена и единен граждански номер и служат за идентификация на лицето, в чиято полза се извършва плащането.

(4)  Във връзка с използването на куриерски услуги - приемане, пренасяне, доставка и адресиране на пратки до физически лица, „С.Г.ГРУП” ЕАД посочва следните данни: две имена, адрес, област, наименование на населеното място и пощенски код.

(5)   Личните данни се предоставят на компетентните органи при и по повод упражняване на техните властови правомощия.

Раздел IX

Преносимост

 

Чл. 18. (1) „С.Г.ГРУП” ЕАД отговаря за прехвърлянето на данните без затруднения и гарантира, че те се предават със съответното ниво на комуникационна сигурност.

(2)   Субектите на данни имат право да поискат:

1.Копие от личните данни, които са предоставили на „С.Г.ГРУП” ЕАД;

          2.„С.Г.ГРУП” ЕАД да прехвърли тези данни на

друг администратор посочен от субекта, без възпрепятстване;

(3)   Преносимост се прилага само за тези данни, за които:

  1. Субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;
  2. Обработването им е било необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
  3. Обработването им е било извършено по автоматизиран начин;
  4. „С.Г.ГРУП” ЕАД е получило информация за субекта на данни от друг администратор, който е решил да упражни правото си на преносимост, като в тези случаи „С.Г.ГРУП” ЕАД се явява администратор по отношение на новоприетите данни.

 

          Чл. 19. (1) „С.Г.ГРУП” ЕАД приема и съхранява само данните, които са необходими и относими към определена дейност. „С.Г.ГРУП” ЕАД не приема и не обработва лични данни „по подразбиране", дори когато са получени от друг администратор след искане за прехвърлянето им. както и не съхранява всички получени данни.

(2) Ако получените данни съдържат данни за трети лица, „С.Г.ГРУП” ЕАД съхранява данните под контрола на субекта заявител. Тези данни се обработват само за определената цел.

 

Чл. 20. При постъпване на искане за предаване или за прехвърляне на лични данни към друг администратор „С.Г.ГРУП” ЕАД обработва искането на субекта при спазване на следните правила:

  1. Всяко постъпило искане незабавно се изпраща на ДЛЗД, който проверява за ясни и неоспорими доказателства за самоличността на субекта на данни под формата на лични документи, клиентски номер, електронна карта или друг еднозначен идентификатор;
  2. ДЛЗД проверява дали посочените от субекта данни са получени на основание съгласие, изпълнение на законово правомощие или функция, или договор и дали са обработени по автоматизиран начин. Ако не са изпълнени тези изисквания, „С.Г.ГРУП” ЕАД има право да откаже да удовлетвори искането;
  3. Когато исканите данни засягат трето лице/а, ДЛЗД преценява дали предаването на данни на друг администратор на лични данни би навредило на правата и свободите на други субекти на данни;
  4. ДЛЗД извършва проверка дали подготвените за предаване/ прехвърляне лични данни са само и точно тези, които субектът на данни е поискал да бъдат предадени, респ. прехвърлени;
  5. Поисканата информация се предоставя на субекта на данни в структуриран, широко използван и машинно четим формат, който позволява ефективно повторно използване на данните;
  6. При предаване на данните на друг администратор на данни „С.Г.ГРУП” ЕАД ги препраща в оперативно съвместим формат. В случай, че са налице технически пречки, които възпрепятстват директното им прехвърляне, „С.Г.ГРУП” ЕАД съобщава тези пречки на субекта на данните;
  7. „С.Г.ГРУП” ЕАД предоставя исканата информация в рамките на един месец от датата на заявката. Ако заявката е сложна, „С.Г.ГРУП” ЕАД може да удължи тази времева рамка максимум до три месеца от датата на предявяването й. „С.Г.ГРУП” ЕАД информира субекта на данни за причините за забавянето чрез имейл, телефон и др. в рамките на един месец от първоначалното искане;

8. ДЛЗД поддържа записи за исканията за прехвърляне на данни в Регистъра на исканията, включително всички, свързани с преносимостта дати.

Раздел X

Съхраняване и унищожаване на лични данни

 

Чл. 21. При съхранение на лични данни „С.Г.ГРУП” ЕАД:

  1. Прилага основния принцип за съхранение на лични данни в минимален обем и за срок не по-дълъг от необходимото или определеното от закона за съответните категории данни;
  2. Осигурява тяхната сигурност и надеждност и изискванията на съответния закон;
  3. Заличава личните данни след изтичането на съответния срок;
  4. Може да запази лични данни за по-дълъг от съответния срок до окончателното приключване на възникнал правен спор или производство, налагащо запазване на данни, и/или по искане на компетентен орган.

 

Чл. 22. (1) Лични данни в „С.Г.ГРУП” ЕАД се съхраняват при спазване на Вътрешните правила за организацията на хартиения и електронния документооборот и контрола по изпълнение на задачите в „С.Г.ГРУП” ЕАД и се унищожават при спазване на Вътрешните правила на архива на „С.Г.ГРУП” ЕАД:

  1. По искане на субекта на лични данни, когато то е прието за основателно;
  2. По предложение на ръководителите на административни звена, в които се събират или обработват лични данни, когато се прецени, че е отпаднала нуждата от обработване и съхранение.

(2) При унищожаване на лични данни от „С.Г.ГРУП” ЕАД:

       1.Всяка календарна година със заповед на Изпълнителният Директор се определя състав на комисия, която да извършва анализ на личните данни в „С.Г.ГРУП” ЕАД от гледна точка на сроковете за съхраняването им;

       2.В състава на комисията се включва поне един представител от административните звена, които събират и обработват лични данни;

       3.При необходимост от унищожаването на лични данни се изготвя предложение до Изпълнителният Директор, което се съгласува с ДЗЛД и ръководителите на административни звена, в които се събират или обработват лични данни;

        4.След резолюция на Изпълнителният Директор, личните данни се унищожават като се изготвя протокол, който съдържа:

а)  Вида на личните данни;

б)  Водещото звено, в което са обработвани или съхранявани личните данни;

в)  Вида на обработката на лични данни (за какво са събрани и обработвани);

г)  Броя на унищожените записи с лични данни;

д)  Трите имена на субектите с унищожени лични данни.

(2)   Унищожаването на данни се извършва по следните начини:

  1. При данни на хартиен носител - чрез нарязване в специални машини за унищожаване на документи - шредер, в които се унищожат както оригиналните документи, така и копията към тях;
  2. При данни на електронните носители - чрез изтриване както в системата, в която се съхраняват или мястото им на файловия сървър на „С.Г.ГРУП” ЕАД, така и в архивните копия, които са направени от дирекция „Информационни системи“.

(3)   След изготвяне на протокола от комисията, същия се представя на Изпълнителния Директор за утвърждаване и се предава на ДЛЗД за съхранение.

Web Analytics
Web Analytics