ИНСТРУКЦИЯ за обработване на лични данни и защитата им от незаконни форми на обработване в регистър "Клиенти", воден във фирма "Ей Ви Си България" ЕООД
I. ОБЩИ ПОЛОЖЕНИЯ
Чл.1. Настоящият правилник има за цел да регламентира:
1.1. Воденето, поддържането и защитата на регистър " Клиенти ", съхраняващ лични данни на клиенти във фирма Ей Ви Си България" ЕООД.
1.2. Задълженията на длъжностните лица, обработващи лични данни и тяхната отговорност при неизпълнение на тези задължения.
1.3. Необходимите технически и организационни мерки за защита личните данни на посочените по-горе лица от неправомерно обработване (случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни).
ІI. ПРЕДНАЗНАЧеНИЕ НА РЕГИСТЪРА
Чл.2. Регистърът набира и съхранява лични данни от клиенти на фирма Ей Ви Си България" ЕООД по време на дейността им по изпълнение на договори, с оглед:
2.1. За установяване на връзка с лицето по телефон, за изпращане на кореспонденция, отнасяща се до изпълнение на поръчки, които са постъпили в онлайн магазин на фирмата.
2.2. За водене на счетоводна отчетност.
ІІІ. ВОДЕНЕ НА РЕГИСТЪРА
Чл.3. Регистърът се води на електронен носител.
3.1. При водене на регистъра на технически носител, личните данни се въвеждат на твърд диск, на изолиран компютър.
3.2. Компютърът е със защитен достъп чрез парола за достъп до личните данни, който е непосредствен само от страна на обработващите на лични данни. При работа с данните се използват софтуерни продукти по обработка на данните.
3.3. Достъп до операционната система, съдържаща файлове за обработка на лични данни, имат само обработващите на лични данни чрез парола за отваряне на тези файлове. Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поддържане на високотехнологични антивирусни програми и периодично архивиране на данните.
ІV. ЛИЧНИ ДАННИ, СЪХРАНЯВАНИ В РЕГИСТЪРА
Чл.4. В регистъра се поддържат следните видове данни:
4.1. Физическа идентичност – имена, адрес, телефон и ЕГН.
V. НАБИРАНЕ, ОБРАБОТВАНЕ И СЪХРАНЯВАНЕ НА ЛИЧНИ ДАННИ
Чл.5. Личните данни в регистър "Клиенти" се набират чрез постъпване на поръчки в онлайн магазин на фирмата, от дадено лице, което е клиент в изпълнение на Общи условия.
Чл.6. Във всички случаи, лицата, чиито данни подлежат на обработка в регистъра, подават необходимите лични данни на администратора /длъжностното лице/, назначено за обработването им - обработващ на лични данни.
Чл.7. За необходимостта от набиране на лични данни и целите, за които ще бъдат използвани, длъжностното лице / общаботващ на личните данни информира лицето.
Чл.8. При необходимост от поправка на личните данни, лицата предоставят такива на длъжностното лице /обработващ на лични данни по негово искане на основание нормативно задължение.
VІ. ДОСТЪП НА ЛИЦАТА ДО ЛИЧНИТЕ ИМ ДАННИ
Чл.9. Достъп до данните на лицето се осигурява под формата на:
9.1. устна справка;
9.2. писмена справка;
9.3. преглед на данните от самото лице или упълномощено от него такова;
9.4. предоставяне на копие от исканата информация.
Чл.10. При подаване искане за осигуряване на достъп, представляващият администратора разглежда заявлението за достъп или разпорежда на обработващия на лични данни да осигури искания от лицето достъп в предпочитаната от заявителя форма. Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на подаване на искането. Решението се съобщава писмено на заявителя, лично срещу подпис или по пощата с обратна разписка. Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение. Отказът за предоставяне достъп може се обжалва от лицето пред посочения в писмото орган и срок.
Чл.11. Достъп до личните данни на лицата, съдържащи се на технически носител, имат само обработващите на лични данни с паролата за достъп до файловете.
Чл.12. Освен на длъжностните лица Обработващи лични данни, правомерен е достъпът и на длъжностните лица, пряко ангажирани с оформяне и проверка законосъобразността на документите на лицата – управител, главен счетоводител, както и на лицата, осъществяващи технически счетоводни операции по обработка на документите. Обработващите на лични данни са длъжни да им осигурят достъп при поискване от тяхна страна.
VІІ. ДОСТЪП НА ТРЕТИ ЛИЦА ДО РЕГИСТЪР „КЛИЕНТИ”"
Чл.13. Информацията от регистър "Клиенти" не се изнася извън сградата на администратора. Никое длъжностно или трето лице няма право на достъп до регистър "Клиенти" на фирма "Ей Ви Си България” ЕООД, освен ако същото е изисквано по надлежен път от органи на съдебната власт (съд, прокуратура, следствени органи). Достъпът на тези органи до личните данни на лицата е правомерен.
Чл.14. (1) Не се изисква съгласие на лицето, ако обработването на неговите лични данни се извършва само от или под контрола на компетентен държавен орган за лични данни, свързани с извършване на престъпления, на административни нарушения и на непозволени увреждания. На такива лица се осигурява достъп до личните данни, като при необходимост им се осигуряват съответни условия за работа в помещение на дружеството.
(2) Правомерен е и достъпът на ревизиращите държавни органи, надлежно легитимирали се със съответни документи – писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп до данни в регистър „Клиенти”.
(3) При промени в статута на дружеството (преобразуване, ликвидация и други), налагащи прехвърляне на регистрите за лични данни от дружеството на друг администратор на лични данни, предаването на регистъра се извършва след разрешение на Комисията за защита на лични данни и съгласно посочения по-горе ред за внасяне на съответното искане.
Чл.15. Решението си за предоставяне или отказване достъп до лични данни за съответното лице администраторът съобщава на третите лица в 30-дневен срок от подаване на молбата, респ. искането.
Чл.16. При внедряване на нов програмен продукт за обработване на лични данни следва да се съставя нарочна комисия по тестване и проверка възможностите на продукта с оглед спазване изискванията на Закона за защита на личните данни и осигуряване максималната им защита от неправомерен достъп, загубване, повреждане или унищожаване.
Чл.17. За неизпълнение на задълженията, вменени на съответните длъжностни лица по този правилник и по Закона за защита на личните данни, се налагат дисциплинарни наказания по Кодекса на труда, а когато неизпълнението на съответното задължение е констатирано и установено от надлежен орган – предвиденото в Закона за защита на личните данни административно наказание – глоба. Ако в резултат действията на съответното длъжностно лице по обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако стореното представлява по-тежко деяние, за което се предвижда наказателна отговорност.
Чл.18. Архивиране на личните данни на технически носител се извършва периодично на всеки 30 (дни) от обработващия на лични данни с оглед запазване на информацията за съответните лица в актуален вид. Същото се извършва на дискети, достъп до които има само обработващият на лични данни.
VІІІ. ДОПЪЛНИТЕЛНА РАЗПОРЕДБА
За целите на настоящия правилник:
§ 1. "Администратор на лични данни" е "Ей Ви Си България" ЕООД
§ 2. "Обработващ на лични данни" са следните длъжностни лица:
- Управител
- Гл. счетоводител
§ 3. Настоящият правилник се издава на основание чл. 24, ал. 4 от Закона за защита на личните данни.
§ 4. Настоящият правилник влиза в сила от 24.03.2016 г. и след като всички длъжностни лица, за които създава субективни права и задължения се запознаят с неговото съдържание срещу подпис.
§ 5. Копие от Правилника е на разположение за сведение и изпълнение.