Вътрешни правила за защита на личните данни

УТВЪРДИЛ:
КМЕТ НА 
ОБЩИНА ВЕТОВО

Георги Георгиев

22.05.2018 г.

 

ВЪТРЕШНИ ПРАВИЛА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ В ОБЩИНА ВЕТОВО

I.Общи положения

Чл. 1.(1) Настоящите  Вътрешни правила  са разработени в съответствие с изискванията на Регламент (ЕС) 2016/679, на Европейския парламент и на Съвета от 27 април 2016год, относно защита на физическите лица, във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защита на данните).

(2)Настоящите правила определят минималното ниво на техническите и организационни мерки за защита на личните данни при тяхното получаване, обработване и съхраняване в поддържаните регистри от община Ветово и нейните структури звена .

Принципи при обработване на лични данни

Чл. 2. При обработването на лични данни в община Ветово се спазват следните принципи:

  1. законосъобразност, добросъвестност и прозрачност;
  2. ограничение на целите;
  3. свеждане на данните до минимум;
  4. точност;
  5. ограничение на съхранението;
  6. цялостност и поверителност;
  7. отчетност.

ІІ. Администратор и регистри с лични данни

Индивидуализиране на администратора на лични данни

Чл. 3. (1) Администратор на лични данни е община Ветово, със седалище и адрес на управление: гр. Ветово, ул. „Трети март“ №2. Адресът за кореспонденция и контакт е гр. Ветово, ул. „Трети март“ № 2, тел. 08161 2253, e-mail: vetovo@abv.bg.   http//:www.vetovo.com

(2) В община Ветово  се обработват лични данни във връзка със спазване на законови задължения и изпълнение решенията на Общински съвет – Ветово, като ръководството на общината определя целите и средствата за обработването им, при спазване на относимите нормативни актове

(3) Личните данни се обработват самостоятелно от администратора на лични данни и чрез възлагане на обработващи лични данни.

(4) Обработващите лични данни са описани в Приложение № 1 към настоящите Правила;

(5) Кметът на община Ветово определя длъжностно лице по защита на данните, което да отговаря за координиране и прилагане на мерките за защита на личните данни.

Условия за достъп до лични данни

Чл. 4. Достъпът до лични данни се осъществява само от лица, чиито служебни задължения или конкретно възложена задача налагат такъв достъп, при спазване на принципа „Необходимост да знае” и след запознаване с нормативната уредба в областта на защитата на личните данни, политиката за защита на личните данни и опасностите за личните данни, обработвани от администратора.

Какви лични данни за потребителите обработваме?

Чл. 5 (1) Община Ветово обработва различни видове лични данни, в зависимост от типа на услугите, които се предоставят на потребителите.

1.1. Община Ветово обработва следните категории лични данни за своите потребители:
• обикновени данни:

–  имена;

– ЕГН/ЛНЧ;

– документ за самоличност № и дата на издаване;

– адрес;

– електронна поща;

– IP адрес;

– телефон;

– факс;

– упълномощаване;.

– собственост;

  • данни за комуникация с потребителите;

1.2. Община Ветово обработва следните категории лични данни за своите служители:

  • обикновени данни:

– имена;

– ЕГН;

– документ за самоличност № и дата на издаване;

– адрес;

– телефон;

– собственост;

– образование;

– доходи;

– банкови сметки;

1.3.Община Ветово обработва следните категории лични данни за потребителите на социални услуги:

  • обикновени данни:

– имена;

– ЕГН;

– документ за самоличност № и дата на издаване;

– адрес;

– телефон;

– образование;

– доходи;

– банкови сметки;

– данни за съпруг/а или лице с което съжителства на съпружески начала /родствени връзки/;

  • чувствителни данни:

– данни за здравословно състояние /медицински документи и др./;

– принадлежност към групи в неравностойно положение;

  • данни за комуникация с потребителите

1.4. Община Ветово обработва следните категории лични данни за сключени договори с изпълнители

  • данни, които се предоставят при сключването на договор;
    • данни за договорите;
  • данни за задълженията;
  • данни за плащанията;

Как обработваме лични данни за потребителите?

Чл. 6 (1) Обработваме данни на потребителите, за да осигурим, че предоставяните административни услуги съответстват на предвиденото в законодателството на България.

За да можем да изпълняваме задълженията си по предоставяне на административни услуги на потребители е необходимо да обработваме личните им данни. Благодарение именно на тях община Ветово идентифицира потребителя на услуга като правоимащ.

(2) Обработваме данни на потребителите за целите на обслужването на клиенти.

Обработваме лични данни на нашите потребители, за да можем да им предоставяме качествени и навременни административни услуги, в това число, но не само, при обработка на потребителски предложения, заявления, молби, запитвания и/или жалби. Видът и обемът на личните данни, които обработваме в такива случаи, зависят от естеството и съдържанието на съответното предложение, заявление, молба, запитване и/или жалба.

(3) Обработваме лични данни на изпълнители, когато е необходимо, да упражняваме правата си по сключени с тях договори.

Договорите, които община Ветово сключва със своите изпълнители, пораждат права и за двете страни. Както община Ветово, така и изпълнителите, се ползват от тези права, за да задоволят свои интереси. Редът и условията за упражняването им са регламентирани в самите договори, а понякога произтичат пряко от приложимото законодателство. За да упражни правата си спрямо изпълнителите е необходимо община Ветово да обработва определени лични данни за тях.

(4) Обработваме лични данни на потребители, когато е необходимо за събиране на неплатени суми по сключени договори.

Когато даден изпълнител не заплаща дължимите към община Ветово суми съгласно уговореното в сключения договор, община Ветово има право да потърси плащане по извънсъдебен или по съдебен ред. За тази цел е необходимо да бъдат обработени следните данни за изпълнителя: основни данни, данни за договорите, данни за задълженията и данни за плащанията. При извършване на процеса по извънсъдебно събиране на задължения община Ветово може да се възползва от услугите на трети лица (компании за събиране на дългове), на които могат да бъдат разкрити гореописаните данни. Данни за ЕГН се разкриват на такива компании само след получено съгласие от изпълнителя. При извършване на съдебно събиране на задължения, община Ветово може да се възползва от услугите на адвокати и/или адвокатски кантори, на които могат да бъдат разкрити гореописаните данни, в това число данни за ЕГН.

Чл. 7 (1) В определени случаи приложимото национално и европейско законодателство изисква от община Ветово да обработва лични данни за неговите потребители за определени цели, по определен начин и/или за определен срок. По-долу са посочени основните случаи, при които община Ветово обработва лични данни, за да изпълни свои нормативни задължения.

(2)Обработваме лични данни, когато съгласно приложимото законодателство сме длъжни да предоставяме информация на компетентни органи

Законодателството на Република България изисква от община Ветово да съхранява определени лични данни за потребителите за определен срок. При наличието на установени със закон предпоставки, тези лични данни, обработвани от община Ветово, следва да бъдат предоставяни на компетентните органи.

(3) Обработваме лични данни на потребителите, когато съгласно приложимото законодателство сме длъжни да оказваме съдействие на компетентни държавни органи при взаимодействие и извършването на проверки от тях

При предоставянето на услуги и сключване на договори община Ветово е обект на взаимодействие и контрол от страна на различни държавни органи – напр. Комисия за защита на конкуренцията (КЗК), Комисия за защита на потребителите (КЗП), Комисия за защита на личните данни /КЗЛД/, Комисията за противодействие на корупцията и отнемане на незаконно придобитото имущество /КПКОНПИ/, Национална агенция за приходите (НАП), Национален осигурителен институт /НОИ/ и други. В хода на осъществяване на това взаимодействие и контрол тези органи разполагат с правомощието да извършват проверки, както и да изискват от община Ветово да предоставя намиращи се у него документи и информация. Възможно е изисканите документи и информация да съдържат лични данни на потребителите на услуги и изпълнители по договори.

(4)Обработваме лични данни, тъй като съгласно приложимото законодателство сме длъжни да осигурим сигурността на нашата мрежа и информационни системи (в това число личните данни на нашите потребители)

С цел предотвратяване, установяване, разследване и/или разрешаване на: (а) уязвимости и/или пробиви в сигурността; или (б) нарушения на сигурността на лични данни, се налага в определени случаи да обработваме лични данни на потребителите.

(5)Обработваме лични данни, за да изпълняваме задължения, произтичащи от счетоводното и данъчното законодателство

Данъчното и счетоводното законодателство в Република България изискват от община Ветово да съставя определена счетоводна и търговска информация, включително да съхранява за определен срок тази информация, както и всякакви други сведения и документи от значение за данъчното облагане.

При изпълнение на това задължение съответната информация и документи, които съдържат и лични данни на потребителите, се съхраняват от община Ветово за срокове, предвидени в съответните закони. Тези срокове са с голяма продължителност.

(6)Обработваме лични данни при извършването на вътрешни анализи с цел подобряване на услугите на общината, както и за разработване на нови такива

За да разберем нуждите на нашите потребители, за да подобрим и доразвием нашите услуги, както и за да повишим качеството на обслужването на клиенти, обработваме лични данни.

Обработваме лични данни на наши потребители и с цел извършването на оценка на представянето на общинските служители.

(7)Обработваме лични данни, когато това е необходимо за уреждането на правни спорове.

Понякога, за да упражни свои права или законни интереси, е възможно да се наложи община Ветово да обработи лични данни на определени потребители, клиенти или изпълнители за да отправи извънсъдебна претенция или да заведе дело срещу:
• трети лица, от които община Ветово е получило лични данни за съответните потребители в съответствие с настоящата Политика за личните данни; или
• трети лица, на които община Ветово е разкрило лични данни за съответните потребители в съответствие с настоящата Политика за личните данни,

Съответно, възможно горепосочените лица, а и самите потребители, да отправят извънсъдебна претенция или да заведат дело срещу община Ветово. В такива случаи е възможно да се наложи община Ветово да обработи лични данни на определени потребители, за да може да бъде организирана и проведена защитата по съответната претенция или дело (по този начин община Ветово цели да се предпази от неправомерни посегателства срещу своето имущество и/или репутация).

Видът и обемът на обработваните лични данни зависят от естеството на отправените извънсъдебни претенции или заведените дела.

Права на физическите лица при обработване на отнасящи се за тях лични данни

Чл. 8. (1) Всяко физическо лице, чийто лични данни ще се обработват от Община Ветово, следва да бъде уведомено за:

  1. данните, които идентифицират община Ветово;
  2. целите на обработването на личните данни и правното основание за обработването;
  3. категориите лични данни, отнасящи се до съответното физическо лице;
  4. получателите или категориите получатели, на които могат да бъдат разкрити данните;
  5. срока за съхранение на личните данни;
  6. информация за правото на достъп и правото на коригиране, изтриване или ограничаване на обработването на събраните данни, правото на възражение и правото на преносимост при условията на Регламент (ЕС) 2016/679 – Общия регламент относно защитата на данните;
  7. право на оттегляне на съгласието по всяко време, когато обработването на личните данни се основава на съгласие на лицето;
  8. правото на жалба до Комисията за защита на личните данни;
  9. източника на данните;
  10. съществуване на автоматизирано вземане на решения, включително профилиране.

(2) Информацията по ал. 1 се обявява на видно място в общината и  на официалната интернет страница на общината.

(3) Служителите на община Ветово попълват декларация за информираност и съгласие за обработване на лични данни за целите на трудовото/служебното правоотношение. Декларацията се съхранява в досието на всеки служител от служба „Човешки ресурси“.

(4) Алинея 1 не се прилага, когато:

  1. обработването е за статистически, исторически или научни цели и предоставянето на данните по ал. 1 е невъзможно или изисква прекомерни усилия;
  2. вписването или разкриването на данни са изрично предвидени в закон;
  3. физическото лице, за което се отнасят данните, вече разполага с информацията по ал. 1;
  4. е налице изрична забрана за това в закон.

(5) Достъп на лица до личните им данни се предоставя, след подаване на писмено заявление до кмета на община Ветово в 30-дневен срок от подаване на заявлението.

Поддържани регистри на лични данни

Чл. 9. (1) Общо описание на всеки регистър, категории лични данни, основание за обработване, носителите на данни, технология на обработване, срока за съхраняване, оценка на въздействието и определяне съответното ниво на защита, длъжностните лица, които работят с данните са описани в Приложение № 2.

(2) Нивото на въздействие на регистрите е определено по следните критерии:

  1. поверителност;
  2. цялостност;
  3. наличност.

Технически и организационни мерки за защита на личните данни

Чл. 10 (1) Физическата защита на личните данни се осъществява при спазване на следните мерки:

  1. Достъпът на външни лица в сградата на община Ветово е ограничен с пропускателен режим. На входа на административната сграда има жива охрана и видеонаблюдение.
  2. Извън работното време на община Ветово, сградата се заключва. Осигурено е 24 часово дежурство от Общинския съвет за сигурност.
  3. Личните данни се обработват в Центъра за административно обслужване /ЦАО/ и кабинетите на служителите.
  4. Работните места в ЦАО са организирани по подходящ начин за временното съхраняване на документи на хартиен носител, съдържащи лични данни, скрити от потребителите на услуги.
  5. Всички документи на хартиен носител, съдържащи лични данни, се съхраняват в шкафове, единствено в кабинетите на служителите, които са упълномощени да работят с тях.
  6. Помещенията, в които се обработват лични данни са оборудвани със заключване на вратите и пожарогасителни средства.
  7. Външни лица имат достъп до помещенията, в които се обработват лични данни, само в присъствието на упълномощени служители.

(2) Персоналната защита на личните данни се осъществява при спазване на следните мерки:

  1. Лицата, обработващи лични данни, се запознават с Регламент (ЕС) 2016/679, ЗЗЛД, Политиката, настоящите Вътрешни правила, Номенклатурата на делата за срокове за съхраняване в Община Ветово.
  2. Споделяне на критична информация между служителите (като идентификатори, пароли за достъп и т.н.) е забранено.
  3. Служителите, на които е възложено да подписват служебна кореспонденция с универсален електронен подпис /УЕП/, нямат право да предоставят издадения им УЕП на трети лица.

(3) Документалната защита на обработваните лични данни се осъществява при спазване на следните мерки:

  1. Лични данни в община Ветово постъпват основно на хартиен носител (заявления, искания, в едно с изискуемите нормативно документи), а отделни дейности по обработване на данните налагат поддържане на данни в електронен вид.
  2. Обработването на личните данни се извършва в рамките на работното време на общината.
  3. Достъп до регистрите имат лицата, съгласно Приложение № 1 в съответствие с принципа „Необходимост да се знае”.
  4. Личните данни се събират само с конкретна цел, в съответствие с нормативните изисквания към община Ветово. Данните се класифицират в съответствие с тяхното предназначение и характер и се съхраняват шкафове в зоните с ограничен достъп.
  5. Всеки ръководител на структурно звено е отговорен за контрола на достъпа до регистрите, които се поддържат в звеното.
  6. Архивирането на документи се извършва при спазване на Вътрешните правила за дейността на учрежденския архив, които са съгласувани с Държавен архив – Русе. Ръководителите на структурни звена отговарят за предаването на документите за съхраняване в учрежденския архив с приемо-предавателен протокол по образец. 7.Личните данни могат да бъдат размножавани и разпространявани от упълномощените служители само ако е необходимо за изпълнение на служебни задължения или ако са изискани по надлежния ред от държавни органи или упълномощени лица.
  7. Временните документи от регистъра, които са на хартиен носител и съдържат лични данни, се унищожават само чрез специално устройство (шредер).

(4) Защитата на автоматизирани информационни системи и мрежи се осъществява при спазване на следните мерки:

  1. При работа с данните от регистрите се използват съответните софтуерни продукти за обработване. Данните се въвеждат в база данни и се съхраняват на сървър. Всеки упълномощен служител има личен профил (потребителско име и парола), с определени съобразно задълженията му права и нива на достъп. Дефинирани са и уникални потребителски имена и пароли за стартиране на операционната система на всеки един компютър.
  2. Администраторът създава и поддържа стандартни и сигурни конфигурации за всяка компютърна и мрежова платформа, с която оперира, което включва стандартни и базови конфигурации за защита на операционната система, защитни стени, рутери и мрежови устройства. За защита на данните е инсталирана антивирусна програма и се извършва периодична профилактика на софтуера и системните файлове.
  3. Ръководителят на структурното звено е отговорен за управлението на регистрите в съответното звено. Само съответните лицата, посочени в Приложение № 2 имат достъп до регистрите.
  4. За всички компютърни конфигурации, сървъри и комуникационни средства, от които зависи правилното поддържане на базите данни, са осигурени непрекъсваеми токозахранващи устройства (UPS).
  5. Помещенията, в които са разположени компютърни и комуникационни средства се заключват
  6. Организационни мерки за гарантиране нивото на сигурност:

а) Забранено е използването на преносими лични носители на данни.

б) Работните компютърни конфигурации, както и цялата IT инфраструктура, включително и достъпът до интернет, се използват единствено за служебни цели.

в) При ремонт на компютърна техника, на която се съхраняват лични данни, предоставянето й на сервизната организация се извършва без устройствата, на които се съхраняват лични данни.

  1. Разрешава се осъществяването на отдалечен достъп до данни от регистрите единствено на софтуерните фирми, които са обработващ лични данни за община Ветово и при спазване на строга конфедициалност, заложена в договорните отношения.

(5) Криптографската защита при предаване на данни по електронен път или на преносими технически носители се осъществява чрез използване на стандартни технологии за криптиране на данните, както и използване на електронен подпис.

Действия за защита при аварии, произшествия и бедствия

Чл. 11. (1) При възникване и установяване на инцидент, веднага се докладва на длъжностното лице за защитата на личните данни.

(2) За инцидентите се води дневник, в който задължително се вписват предполагаемото време или период на възникване, времето на установяване, времето на докладване и името на служителя, извършил доклада. След анализ на инцидента, упълномощено лице вписва в дневника последствията от инцидента и мерките, които са предприети за отстраняването им.

Предоставяне на лични данни на трети лица

Чл. 12 (1) Данни от регистрите могат да бъдат предоставяни на държавни институции с оглед изпълнение на нормативно задължение (НОИ, НАП, МВР и т.н.).

(2) В качеството си на работодател, община Ветово предоставя лични данни и на определени кредитни институции (банки) във връзка с изплащането на дължимите възнаграждения на служители и изпълнители по граждански договори.  Личните данни, които се предоставят са: три имена и единен граждански номер и се предоставят с цел идентификация на лицето, в чиято полза се извършва плащането. Това се налага, с оглед изискванията на кредитните институции във връзка с извършваните от тях банкови преводи.

(3) Във връзка с използването на пощенски и куриерски услуги – приемане, пренасяне и доставка и адресиране на пратките до физически лица деловодителите посочват следните данни: три имена, адрес, област, пощенски код и наименование на населеното място.

Срок за провеждане на периодични прегледи относно необходимостта от обработване/заличаване на данните

Чл. 13 Всеки ръководител на структурно звено трябва да извършва ежегодни проверки на личните данни от регистрите, които се водят в звеното с оглед преценка на необходимостта от тяхното обработване, предаване за съхраняване в учрежденския архив и съответно ако е отпаднало задължението за обработване – за заличаването им.

Ред за преустановяване обработването на лични данни

Чл. 14 (1) След изтичане на срока за съхранение на данните Постоянно действащата експертна комисия (назначена със заповед на кмета на общината) определя кои документи подлежат на унищожение и мястото на извършване на процедурата.

(2) Унищожаване се осъществява от служители, упълномощени с изричен писмен акт на Кмета на общината и след уведомяване на Длъжностното лице по защита на данните. Унищожаването се извършва посредством няколко начина, определени в зависимост от наличните към момента на унищожението технически възможности за Община Ветово, а именно: чрез разрязване с помощта на машина – шредер или чрез изгаряне, или разрушаване (отваряне) на корпуса на носителя на данни.

(3) За извършеното унищожаване на лични данни и носители на лични данни се съставя Протокол, подписан от служителите по ал. 2, съгласно образец, представляващ Приложение № 3.

(4) В случай на прехвърляне на данните на друг администратор е необходимо да се уведоми КЗЛД, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването и се съставят съответно приемо-предавателни протоколи.

ДОПЪЛНИТЕЛНИ РАЗПОРЕДБИ

  • 1. По смисъла на тези вътрешни правила:

„Лични данни“ са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци“.

„Администратор на лични данни” е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.) Община Ветово, представлявана от Кмета на Общината, е „Администратор на лични данни” .

„Длъжностно лице по защита на данните“ – е служител на Общината, натоварен с консултативни функции в областта на защитата на личните данни, надзор по спазването на регламента в организацията на администратора и повишаването на осведомеността и обучението на персонала.

„Обработващ лични данни” са длъжностни лица от Общинска администрация –Ветово, определени със Заповед от Кмета на Общината.

„Обработване на лични данни“ е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.

„Регистър на лични данни“ е всяка структурирана съвкупност от лични данни, достъпна по определени критерии, централизирана, децентрализирана или разпределена на функционален или географски принцип.

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

  • Настоящите правила се издават на основание чл. 23, ал. 4 от Закона за защита на личните данни и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г., обн. в Официален вестник на Европейския съюз на 4 май 2016 г., относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни в ЕС.
  • 2. Неразделна част от настоящите правила е „Политика за защита на личните данни“ в Община Ветово
  • За допуснати нарушения по настоящите правила, виновните длъжностни лица носят дисциплинарна отговорност, освен ако деянието не представлява престъпление.
  • За неуредените в тази вътрешни правила въпроси се прилагат разпоредбите на действащата нормативна уредба.
  • 5. Контролът по прилагането и спазването на тези правила се осъществява от Секретаря на Община Ветово.
  • Настоящите вътрешни правила са утвърдени със заповед № 235/ 22.05.2018 г. и влизат в сила 25.05.2018 г.

Приложение № 1 Обработващи лични данни в община Ветово.

Приложение № 2 Описание на водените регистри в община Ветово.

Приложение № 3 Протокол за унищожаване на лични данни.