ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ НА ЛИЧНИТЕ ДАННИ НА ЧАСТЕН ПРОФЕСИОНАЛЕН КОЛЕЖ „БОГОЯ“
Утвърдена със Заповед № 020 – 010 / 28.05.2018/ г.
ПОЛИТИКА НА ЧПК „БОГОЯ“ ООД, ОТНОСНО СЪБИРАНЕТО,
ОБРАБОТВАНЕТО И СЪХРАНЯВАНЕТО НА ЛИЧНИ ДАННИ НА
ФИЗИЧЕСКИ ЛИЦА
Във връзка с влизането в сила на Общ регламент за защита на личните данни GDPR (Регламент 2016 / 679), и предстоящото влизане в сила на Закона за изменение и допълнение на Закона за защита на личните данни, ЧПК „Богоя“ се явява администратор на лични данни, както по отношение на данните за служителите – обучаващи и обучаваните в Колежа лица, така и по отношение на служителите и членовете на изпитните комисии.
ЧПК „Богоя“ създава и поддържа регистри, относно:
- личните данни на служителите (на трудово правоотношение);
- личните данни на служителита (на граждански договор);
- личните данни на обучаващите се лица;
- издадените документи на обучените лица: свидетелства за професионална квалификация; Данните в публичните регистри са на базата информацията, подадена от
субектите на лични данни, и въведена от обработващите лични данни служители на ЧПК „Богоя“ в документацията (ИС).
ДАННИ ЗА ОБУЧАВАЩАТА ОРГАНИЗАЦИЯ.
Наименование:Частен професионален колеж „Богоя“ ООД.
Седалище и адрес на управление, кореспондентски адрес:
гр. Варна 9000, бул. „Генерал Колев“ №92, вх.2, ет.1.
Данни за контакт: 052/ 61 30 71, www.bogoia.net, bogoia_institut@abv.bg
Вписан в ЕЕТР с ЕИК:
ВИДОВЕ ЛИЧНИ ДАННИ, ОБРАБОТВАНИ В КОЛЕЖА, И ЗА КАКВИ ЦЕЛИ.
ЧПК „Богоя“ събира и обработва следните лични данни:
- Данни за обучаванот лице: лични данни (ЕГН, трите имена, данни от личната карта, образование, квалификация, регистрационни номера на дипломи, адрес, телефон, електронна поща, подпис, facebook) и чувствителни лични данни (здравословно състояние).
- Данни за проведеното обучение – форма, предмети / модули,
продължителност, оценки от държавните изпити по теория и практика на специалността, дати на провеждане на ДИ, имената на преподавателите и членовете на комисията;
- Данни за издадения документ: вид на докумета, регистрационен номер и дата на издаване и фалричен номер (за документите с фабричана номерация);
- Сканирано копие на издаденият документ от Колежа, сканирано копие на медицински документ, доказващ, че професията, по която е обучението, не е противопоказна;
- Сканирано копие на документ, доказващ образованието на обучавания; Обработването на данните на обучаваните лица в ЧПК „Богоя“ се състои в „преглед“ и „съхранение“.
СРОК ЗА СЪХРАНЕНИЕ
С оглед на регистъра, свидителствата могат да бъдат определени като „документи с дългосрочно справочно значение“ за физическите лица. Регистърът с издадените свидетелства е източник за доказване на професионална квалификация. Съгласно вътрешният правилник на Колежа, регистърът на документите, издадени от институцията е със срок „постоянен“.
Личните данни се събират, обработват и съхраняват със следните цели:
- Сключване на Договор за обучение в Колежа, изготвяне на Личен картон и Протоколи от изпитни сесии (трите имена, данни от личната карта, образование, квалификация, регистрационни номера на дипломи, адрес, телефон, електронна поща, подпис, facebook);
- Установяване на здравословното състояние, в пред вид възможността лицето да упражнява избраната за обучение професия (имена, ЕГН, здравословно състояние);
- Издаване на документи: Свидетелство за професионална квалификация по образец на МОН (имена, ЕГН, професия/специалност, подпис, данни от СПК – дисциплини, хорариум и оценки);
- За покупка на услуги, Колежът издава фактури, проследява плащания по банков път, осчетоводява данъчната документация, декларира приходи и разходи и начислено и платено ДДС (имена, ЕГН, адрес, подпис);
- За рекламиране на свои продукти/услуги Колежът изпраща маркетингова информация – бюлетини, оферти (имена, ел.поща, телефон);
- За провеждане на конкурси, участие в тренинги, уъркшоп, семинари, пленери, летни акадимии, творчески работилници, фотозаснемане, видеозаснемане с рекламна цел (имена, ел. поща, телефон, снимки, видео филми и клипове);
- За провеждането на обучения, участието в конкурси, тренинги, семинари, пленери, летни акадимии, творчески работилници и заплащането на такси, Колежът издава фактури, проследява плащания по банков или касов път, осчетоводява данъчната документация, декларира приходи и разходи и начислено и платено ДДС (имена, ЕГН, адрес, подпис);
- Сключване, изпълнение и данъчно отчитане на трудови договори с физически лица (трите имена, ЕГН, постоянен адрес, п. код, подпис, данни от личната карта, номер на банкова сметка, образование, квалификация, трудов стаж, професионален опит, телефон, ел. поща, здравословно състояние);
- Сключване, изпълнение и данъчно отчитане на граждански договори с физически лица (трите имена, ЕГН, постоянен адрес, п. код, подпис, данни от личната карта, номер на банкова сметка, образование, квалификация, телефон, ел. поща);
КАТЕГОРИИ ПОЛУЧАТЕЛИ НА ЛИЧНИ ДАННИ, КОИТО КОЛЕЖЪТ ПРЕДАВА ИЗВЪН ДРУЖЕСТВОТО, И ЗА КАКВИ ЦЕЛИ:
Данните по Раздел.ІІ, т.4, т.7 и т.9, се предават на счетоводна фирма, НАП. Данните по Раздел.ІІ, т.8, се предават на счетоводна фирма, НАП и НОИ. Данните по Раздел.ІІ, т.5, се предават на платформа за масово изпращане на електронни съобщения, до която достъпът е защитен с потребителско име и парола.
Данните по Раздел.ІІ, т.6, се съхраняват в облачното пространство на Колежа, до което достъпът е защитен с потребителско име и парола.
ІV. СРОК ЗА СЪХРАНЕНИЕ НА ДАННИТЕ:
Данните по Раздел ІІ, т.1 и т.3 се съхраняват и обработват 1/2 години, в зависимост от периода на обучение. Същите данни се съхраняват без да се обработват 50 години, съгласно законодателството на Република България.
Данните по Раздел ІІ, т.2 се съхраняват и обработват 1/2 години, в зависимост от периода на обучение.
Данните по Раздел ІІ, т.4 и т.7 се съхраняват 15 години.
Данните по Раздел ІІ, т.5 и т.6 се съхраняват съобразно волята на субекта на ЛД, в срок от даването на съгласие до писменото подаване на заявление от лицето за заличаване, забравяне или пренасяне на ЛД.
Данните по Раздел ІІ, т.8 и т.9 се съхраняват 50 години, съгласно законодателството на Република България.
ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ – ЗАДЪЛЖИТЕЛНО ПО НОРМАТИВНА УРЕДБА ИЛИ ДОГОВОРНО ИЗИСКВАНЕ.
- Предоставянето на данните по Раздел ІІ, т.1 се изискват по закон, както и по договорно изискване на Колежа, с цел комуникация със субекта и събилане на данни за придобитите знания, умения и компетентности на лицето. Ако данните не бъдат предоставени от субекта, Колежът има право да не изпълни задълженията си по т.1.
- Предоставянето на данните по Раздел ІІ, т.2 се изискват по закон, както и по договорно изискване на Колежа, с цел включване на лицето в обучение по избраната специалност, съобразно здравословното му състояние. Ако данните не бъдат предоставени от субекта, Колежът има право да не включи кандидата в обучението.
- Предоставянето на данните по Раздел ІІ, т.3 се изискват по закон, както и по договорно изискване на Колежа, с цел издаване на документ на МОН. Ако данните не бъдат предоставени от субекта, Колежът има право да не издаде документа.
- Предоставянето на данните по Раздел ІІ, т.4 се изискват по закон, както и по договорно изискване на Колежа, с цел издаване на фактура. Ако данните не бъдат предоставени от субекта, Колежът има право да не издаде счетоводен документ.
- Предоставянето на данните по Раздел ІІ, т.5 не е изискване по закон и не е изискване на Колежа. Предоставянето на ЛД е по желание на субекта, след получено неговосъгласие. Ако данните не бъдат предоставени от субекта, Колежът има право да не информира субекта, относно провеждането на рекламни кампании и други маркетингови събития.
- Предоставянето на данните по Раздел ІІ, т.6 не е изискване по закон, но е изискване на Колежа, с цел организирането на събитията по т.6. ЛД се предоставят след дадено съгласие от субекта. Ако данните не бъдат
предоставени от субекта, Колежът има право да не включи субекта в организираните дейности.
- Предоставянето на данните по Раздел ІІ, т.7 се изискват по закон, както и по изискване на Колежа, с цел издаване на фактура. Ако данните не бъдат предоставени от субекта, Колежът има право да не издаде счетоводен документ.
- Предоставянето на данните по Раздел ІІ, т.8 се изискват по закон, както и по договорно изискване на Колежа, с цел сключване, изпълнение и данъчно отчитане на трудови договори с физически лица. Ако данните не бъдат предоставени от субекта, Колежът има право да не изпълни задълженията си по т.8.
- Предоставянето на данните по Раздел ІІ, т.9 се изискват по закон, както и по договорно изискване на Колежа, с цел сключване, изпълнение и данъчно отчитане на граждански договори с физически лица. Ако данните не бъдат предоставени от субекта, Колежът има право да не изпълни задълженията си по
т.9.
VІ. ПОСЛЕДИЦИ ОТ ОТКАЗ ЗА ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ
Изрично съгласие на физическите лица, чиито данни се обработват не е необходимо, тъй като Колежът разполага с правно основание за обработката на данни на обучаваните лица (чл.40 б от ЗПОО).
Предоставяните на Колежа лични данни от обучавание лица са съобразени със спецификата услугите, които ЧПК предлага, свързани с издавания документ и изискванията към обучаваните лица и имат задължителен характер. В случай на отказ от доброволно предоставяне на изисканите ЛД, Колежът няма да бъд ев състояние да запише обучаваното лице в курс в съответствие с изискванията на ЗПОО и няма да може да мусе издаде документ за придобита квалификация.
VІІ. АВТОМАТИЗИРАНО ВЗЕМАНЕ НА РЕШЕНИЯ, ВКЛЮЧИТЕЛНО ПРОФИЛИРАНЕ НА ФИЗИЧЕСКИТЕ ЛИЦА.
Автоматичното вземане на решение и профилирането не е приложимо за Колежа. Дружеството не събира, съхранява или обработва ЛД с тази цел.
VІІІ. КОНКРЕТНИ ПРАВА НА СУБЕКТИТЕ НА ДАННИ И РЕД ЗА УПРАЖНЯВАНЕТО ИМ.
- Право на коригиране или допълване на неточни или непълни ЛД.
- Право на „изтриване“ (право да бъдеш „забравен“) на ЛД, които се обработват незаконно или с отпаднало правно основание (изтекъл срок на съхранение, оттеглено съгласие, изпълнена първоначална цел, за която са били събрани и др.).
- Право на ограничаване на обработването – при наличие на правен спор между Колежа и субекта на ЛД до неговото решаване и/или за установяването, упражняването или защитата на правни претенции.
- Право на преносимост на ЛД – ако се обработват по автоматизиран начин на основание съгласие или договор. за целта ЛД се предават в структуриран, широко използван и пригоден за машинно чертане формат. Ако е техническо осъществимо, прехвърлянето наданните може да стане пряко от един администратор към друг. Правото на преносимост обхваща само данни, предоставени лично от субекта на данни, генерирани и събрани от неговата дейност.
- Право на възраждане по всяко време и на основания, свързани с конкретната ситуация на лицето, при условие, че не съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или съдебен процес.
- Заявленията, съдържащи искания от физически лица за упражнаявне на правата им като субекти на лични данни, се приемат в офиса на Колежа, като се разглеждат в едномесечен срок. Заявления, кото не са изготвени и подадени според изискванията на ЗЗЛД, няма да бъдат разглеждани.
ІХ. ЗАЩИТА НА ДАННИТЕ НА ФИЗИЧЕСКИТЕ ЛИЦА В ЧПК „БОГОЯ“.
За защита на текущите данни в електронен вид и регистрите са предвидени следните мерки:
- Достъп до информацията с парола за всеки служител.
- Локалните компютри са в отделна локална мрежа.
- Антивирусни програми.
- Периодично се извършват проверки за целостта на базата данни и актуализиране на системната информация.
- С оглед съхранение на информацията, периодично се извършва архивиране на данните на външен електронен носител.
- Паролите и потребителските имена на служителите не може да се преотстъпват. При напускане на служител се закрива потребителското му
име незабавно.
За защита на архивните данни са предвидени следните мерки:
- Достъп до архивните данни с парола за всеки служител.
За защита на съдържащото се в ел. пощи на Колежа са предвидени следните мерки:
- Достъп до мейлите с отделно потребителско име и парола.
- Всички електронни пощи и фейсбук профили на физическите лица, декларирали съгласие, са публични.
За защита на данните в интернет-сайта на „Богоя“ (българска версия).
- В интернет-сайта не се предоставят ЛД на физически лица, както и он-лайн документи, съдържащи лични данни.
- Предоставянето на фотоснимки и видеоклипове, свързани с дейностите на Колежа, се осъществява с декларираното съгласие на физическите лица.
- Управлението на съдържанието на сайта се осъществява с потребителско име и палола на упълномощен служител.
- Всички електронни адреси, публикувани в интернет-сайта, са публични.
Защита на данните на хартиен носител.
- Съхраняването на досиетата на служителите се осъществява в заключени шкафове.
- Съхраняването на досиетата на обучаваните лица се осъществява в заключени шкафове.
- Всички останали архивни досиета се съхраняват в архив в шкафове, достъп до който има директора на институцията.
ПРАВА НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ.
Право на информиране.
Субектите на данни имат право да бъдат информирани, относно възможността за контакти с ЧПК „Богоя“ като администратор на данни, длъжностното лице по защита на данните, целите на обработването на ЛД, правното основание за обработването им, получателите на ЛД, срокът на съхранение на ЛД, съществуването на право да се изиска от АЛД достъп до коригиране или изтиане на ЛД, или право дасе направи възражение срещу обработването, както и правото на преносимост на данните.
Право на жалба до надзорен орган: КЗЛД е единственият надзорен орган в Република България, отговорен за защитата на основните права и свободи на физическите лица във връзка с обработването и улесняване свободното движение на ЛД в рамките на ЕС.
Подване на жалби до КЗЛД:
гр. София 1592, бул. „Цветан Лазаров“ №2 тел. 02 915 3580, факс 02 915 3525; e-mail: kzld@cpdp.bg
Website: http://www.cpdp.bg
Комисията може да сизира съда за нарушаване на Регламент (ЕС) 2016/679. Всеки субект на данни може да обжалва действия и актове на администратора и обработващия по съдебен ред пред съответния административен съд или пред Върховния административен съд по общите правила за подсъдност, при нарушаване на правата му по Регламент (ЕС) 2016/679 и ЗЗЛД.
Право на достъп.
Субектът на данни има право да получи от ЧПК „Богоя“ като администратор на ЛД, потвърждение дали се обработват негови ЛД, и ако е така, да получи достъп до тях. За целта е необходимо подаване на заявление от субекта на ЛД. Колежът трябва да предостави на субекта информация в срок от един месец от получаване на заявлението.
Право на коригиране.
Субектът на данни има право да поиска от Колежа да коригира без забавяне неточните ЛД, свързани с него.
Право на изтриване („право да бъдеш забравен“).
Субектът на данни има правото да поиска от Колежа да бъдат изтрити свързаните с него ЛД без ненужното забавяне. Това право може да бъде упражнено при наличие на някои от следните основания:
- личните данни не са необходими повече за целите, за които са били събирани или обработвани;
- субектът на данните оттегля своето съгласие, върху което се основава обработването на данните (ако това е единственото правно основание);
- субектът на данните възразява срещу обработването и няма законни основания за обработването;
- личните данни са били обработвани незаконно;
- личните данни са били събрани във връзка с предлагането на услуги на информационното общество;
Следва да се отбележи, че „правото да бъдеш забравен“ не е абсолютно право.
Искането за изтриване може да не бъде уважено, доколкото обработването на данни е необходимо:
- за упражняване на правота на свобода на изразяване и правото на информация;
- за установяването, упражняването или защитата на правни пратенции;
Независимо дали искането на сбекта на ЛД е уважено или не, АЛД има задължението да го уведоми за всяко извършено действие.
Право на ограничаване на обработването.
Субектът на ЛД има право да изиска от Колежа ограничаване на
обработаването, когато:
точността на ЛД се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на личните данни;
б) обработването е неправомерно, но субектът на данните не желае ЛД да бъдат изтрити, а изисква вместо това ограничаване на използването им;
в) администраторът не се нуждае повече от ЛД за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
г) субектът на данните е възразил срещу обработването съгласно член 21, параграф 1 в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.
Право на преносимост на данните.
Субектите на данни имат възможност да поискат и да получат личните данни,
които ги засягат и които те са предоставили на администратор в структуриран, широко използван и пригоден за машинно четене формат, като имат правото да прехвърлят тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са били първоначално предоставени.
Правото на преносимост се упражнява, когато данните са били обработвани на база на съгласие или на договорно задължение и същите се обработват по автоматизиран начин. И в този случай, подобно на правото на достъп, администраторът е длъжен да предостави информацията в съответния формат без забавяне, но не по-късно от 1 месец.
Право на възражение.
Субектите на данни имат право да възразят срещу обработването на личните им данни по всяко време, като тяхното искане следва да бъде уважено при липса на пречки и законови ограничения.
Правото на възражение може да не бъде уважено, ако Колежа докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции, както и ако обработването е необходимо за изпълнението на задача, осъществявана по причини от публичен интерес.
ХІ. РЕД ЗА УПРАЖНЯВАНЕ НА ПРАВА
Физическите лица, упражняват правата си, като подават писмено заявление до Колежа , съдържащо минимум следната информация:
- име, адрес и други данни за идентифициране на съответното физическо лице;
- описание на искането;
- предпочитана форма за предоставяне на информацията;
- подпис, дата на подаване на заявлението и адрес за кореспонденция. Подаването на заявление е безплатно.
ХІІ. ИЗПОЛЗВАНИ ТЕРМИНИ И ДЕФИНИЦИИ.
„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
„Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
„Регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип; Регистърът с издадени от ЦПО документи на обучаваните лица се явява по смисъла на това определение «регистър с лични данни»
„Администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни. Центровете за професионално обучение се явяват администратори на личните данни на обучаваните в тях лица или НАПОО като собственик на Информационната система на НАПОО, в която се публикуват лични данни на обучаваните в ЦПО лица се явява също «администратор»
„Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
«Получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Граждани, институции и др., които правят проверка на издаваните от ЦПО документи в регистъра на НАПОО по идентификатор (регистрационен номер на документа или ЕГН се явяват «получатели»
„Трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни. Агенция по заетостта се явява «трета страна».
„Надзорен орган“ Комисията за защита на личните данни е българският надзорен орган, отговорен за защита основните права и свободи на физическите лица във връзка с обработването и улесняване свободното движение на личните данни в рамките на Европейския съюз.
12