Обща информация

           От 25 май 2018 г. влиза в сила нов регламент за защита на личните данни (General Data Protection Regulation), приет от Европейския съюз. Регламентът има за цел да гарантира защитата на данните на физическите лица от всички държави членки на ЕС и да уеднакви регулациите за тяхната обработка.

           В качеството си на администратор на лични данни по предоставяне на образователни услуги, „Частно основно училище „Класик“ ООД  отговаря на всички изисквания на новата регулация, като събира единствено данни на лицата дотолкова, доколкото са необходими за предоставянето на услугата и ги пази отговорно и законосъобразно.

Информация относно Администратора на лични данни
Наименование „Частно основно училище „Класик“ ЕООД
Седалище и адрес на управление: гр. Пловдив, 4000, район Централен, ул. „Лейди Странгфорд“ № 7
Данни за кореспонденция: гр. Пловдив, 4000, район Централен, ул. „Лейди Странгфорд“ № 7
E-mail: classic@classicschool.org; info-1690907@edu.mon.bg
Телефон.: 032/625220; 0888310251
Уеб сайт: www.classicschool.org

Информация относно длъжностното лице по защита на личните данни
Наименование: Полина Игнатова
Седалище и адрес на управление: гр. Пловдив, 4000, район Централен, ул. „Лейди Странгфорд“ № 7
Телефон: 032/625220; 0888310251

E-mail: classic@classicschool.org; info-1690907@edu.mon.bg

Информация относно компетентния надзорен орган
Наименование: Комисия за защита на личните данни
Седалище и адрес на управление: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Данни за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Телефон:02 915 3 518
Email: kzld@government.bg, kzld@cpdp.bg
Уеб сайт: www.cpdp.bg

ЧАСТНО  ОСНОВНО  УЧИЛИЩЕ  „КЛАСИК“ ООД

гр. Пловдив, ул. „Лейди Странгфорд“ № 7, тел.032/625220,classic@classicschool.org  

 

Утвърдил:

Милена Миланова

Директор
 
ВЪТРЕШНИ ПРАВИЛА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ НА ЧОУ „КЛАСИК“ ООД

 

Глава първа 

ОБЩИ РАЗПОРЕДБИ

Чл. 1. ЧОУ „Класик“ ООД е юридическо лице с настоящ адрес: ул. „Лейди Странгфорд“ № 7, гр. Пловдив, с основен предмет на дейност образование и образователни услуги. 

Чл. 2. (1) Тези вътрешни правила уреждат условията и реда за практическото прилагане на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни (Общ регламент относно защита на данните) и Закона за защита на личните данни.

 (2) При прилагането им ще се спазват и прилагат и Общите методически указания за прилагане наРегламент (EC) 2016/679 (Общ регламент относно защитата на данните/ GDPR), в т.ч. и във връзка с обмена наданни между Министерството на образованието и науката (МОН) и прилежащите  му централни  и  регионални  структури  и образователни институции съгласно писмо № 9105-219/28.06.2018 г. на МОН и чл. 9 от Наредба № 8/11.08.2016 г. за информацията и документите за системата на предучилищното и училищното образование.

Чл. 3. Вътрешните правила за защита на личните данни, регламентират:

1. правните основания за обработване на лични данни;  

2. категориите лични данни;  

3. категориите субекти/физически лица на които ще се обработват лични данни и категориите получатели;

            4. задълженията на администратора и обработващите лични данни; 

           5. правата на субекта на данни – политика за защита на личните данни;

6. регистъра на дейностите по обработването на лични данни в ЧОУ „Класик“ ООД; 

7. техническите и организационни мерки за сигурност;

8. процедура  за уведомяване за нарушения на сигурността на личните данни;

9. документиране и отчетност.

Чл. 4. „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“) по чл. 2 от ЗЗЛД и чл. 4, т.1 Определения на Регламент (ЕС) 2016/679.

Чл. 5. Събирането, обработването, съхраняването и използването на лични данни в училище ще става при спазване на принципите залегнали в чл. 5  на Регламента за:

Законосъобразност, въз основа на конкретно правно основание;

Добросъвестност, обработването  на лични данни трябва да съответства на определена  цел;

Прозрачност, информацията да се предоставя в „кратка, прозрачна, разбираема и леснодостъпна форма“;

Свеждане на данните до минимум, ограничаване на обработването им до необходимото във връзка сцелите, за които се обработват;

Точност, данните следва да бъдат поддържани в актуален вид, по методика за актуализиране при обработване им;

Ограничение на съхранението, училището ще спазва установените срокове за съхранение на даннитеи няма да ги съхранява за срок по-дълъг от необходимото, при отпадане на основанието, данните ще бъдатзаличени;

Отчетност, е насочен към доказване, документиране и спазването на всички гореизброени принципи.

Чл. 6. (1) Личните данни на субекти/физически лица в ЧОУ „Класик“ ООД ще се обработва с автоматични или неавтоматични средства.

(2) Събираните лични данни ще се съхраняват във хартиен вид и/или на електронен носител, само за времето, необходимо за изпълнение на правни задължения на училището. 

Глава втора 

ПРАВНИ ОСНОВАНИЯ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ 

Чл. 7. (1) Всеки процес по обработване на лични данни съответства на конкретна цел с конкретно правнооснование.

(2)  Правните основания за обработване на лични данни на субекти/физически лица са: 

1. действащите към момента нормативни разпоредби за системата на предучилищното и  училищното образование и други юридически актове;

2. законово задължение за администратора;

3. сключване или изпълнение на договор;

1. Съгласие при спазване на условията на чл. 7 и чл. 8 от Регламент 2016/679 и др.

Чл. 8. (1) Съгласието е част от правните основания за обработване на лични данни по  чл. 6, параграф 1 от Регламент 2016/679 и е:

1. свободно изразено/декларация; 

2. конкретно – отделно съгласие за всяка конкретно определена цел, а когато е относимо и за конкретна категория лични данни;

3. информирано – дадено на основата на пълна, точна и лесно разбираема информация; 

4. недвусмислено – не се извлича или предполага на основата на други изявления или действия на лицето.

Чл. 9. (1) Съгласието за ползването на лични данни на деца/ученици се извършва:

1. за малолетните, вместо тях и от тяхно име от техните родители/настойници; 

2. за непълнолетните – от учениците със съгласието на техните родители/настойници;

3. за пълнолетните – от самите ученици.

(2) Мълчанието на субекта/физическото лице не  се приеме за съгласие – само изрично изявление или ясно потвърждаващо действие.

 (3) Училището не събира декларации за съгласие от физическите лица за дейност по обработване, закоято е налице правно основание.

Глава трета 

КАТЕГОРИИ ЛИЧНИ ДАННИ

Чл. 10. (1) Категориите лични данни които се обработват в ЧОУ „Класик“ ООД са:

(2)  „Обикновени“ лични данни – имена, адрес, лична карта, електронна поща, номер на банкова сметка, IP адрес и т.н.

(3) Единен граждански номер (ЕГН) 

(4) Специални (чувствителни) лични данни – данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни, биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация.

Глава четвърта 

КАТЕГОРИИ ФИЗИЧЕСКИ ЛИЦА НА КОИТО СЕ ОБРАБОТВАТ ЛИЧНИ ДАННИ И КАТЕГОРИИ ПОЛУЧАТЕЛИ

Чл. 11. (1) Категориите субекти/физически лица, на които училището ще събира,  обработва и съхранява лични данни са:

1. персонал – педагогически специалисти, непедагогически персонал и лица кандидатстващи за работа;
2. деца в задължителна предучилищна възраст – подготвителна група(5/6 годишни)
3. ученици от I до VII клас;
4. родители;
5. посетители.

Чл. 12. (1) Събираните и обработвани лични данни ще се ползват за законово определени цели, като:

1. трудови правоотношения;
2. образователен/учебен процес;

3. участие в екскурзии с учебна цел, състезания, фестивали, конференции,  олимпиади др.;

4. изпълнение на проекти.

 Чл. 13. (1) Личните данни на персонала, учениците, родителите, посетителите, събирани, обработвани и съхранявани в училище се предоставят за служебно ползване на: 

1. Министерство на образованието и науката(МОН);
2. Националният инспекторат по образованието(НИО);
3. Регионалното управление по образованието(РУО);
4. Органите на местното самоуправление – община;

5. Други публични органи - Национална агенция за приходите, Национален осигурителен институт, Министерство на вътрешните работи, съдебни органи, контролни органи т.н.

Чл. 14. (1) Обмена на данни между/с публични органи се извършва съобразно предвидените законови разпоредби.

(2) Когато обработването се извършва въз основа на договор, тези отношения се уреждат чрез анекс или допълнително споразумение към договора (договори за видеонаблюдение, договори със застрахователни дружества, договори с лица, поддържащи информационни системи и прочие).

(3) В договорите или анекс към тях, с изпълнителите се посочва ясно и дали/какви процеси пообработване на данни ще бъдат извършени.

Чл. 15. Личните данни се съхраняват и използват в сроковете определени в Наредба № 8/11.08.2016 г. за информацията и документите за системата на предучилищното и училищното образование и другите действащи нормативни разпоредби.

Глава пета

 ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА И ОБРАБОТВАЩИТЕ ЛИЧНИ ДАННИ

Чл. 16. (1) Администратор на лични данни е директорът на училището или друго лице определено от него със заповед.

 (2) Администраторът на лични данни носи отговорност за спазването на изискванията за защита на личните данни.

(3) Директорът на училището определя със заповед лицата за обработващи лични данни.

Чл. 17. (1)  Обработващите лични данни са физически лица, които обработват лични данни от името на администратора, по негово нареждане(заповед) или възлагане в длъжностната им характеристика.

(2) Обработващите лични данни са длъжни да:

 1. информират администратора винаги, за всякакви планирани промени, за включване или замяна на други обработващи данни;

            2. не използват личните данните за други цели, които не влизат в нормативните им задължения, освен законово задължение;

            3. използват личните данни, със съгласието на субекта/физическото лице на които обработва данните,  ако не е налице законово задължение.

(3) Личните данни на физическите лица се обработват и съхраняват в хартиен вид и на електронен носител. При ръчното обработване на личните данни, обработващите данни са длъжни да спазват мерките за сигурност, за да се предотврати непозволен достъп или разкриване, промяна, унищожаване или случайна загуба.

Чл. 18. (1)  Администраторът и обработващите лични данни, обработват данните в съответствие с принципите заложени в чл. 5, ал. 2 на Регламент 2016/679 и  доказват това с отчетност.

(2) Спазват всички установени правила и норми за защита на личните данни и носят солидарна отговорност за причинени вреди.

            (3) Не разкриват личните данни на субекта на трети лица. Не носят отговорност ако субектът сам е оповестил публично личните си данни на трети лица.

            (4) Поддържат Регистъра на дейностите по обработване на лични данни.

            (5) Прилагат подходящи технически и организационни мерки за осигуряване на сигурност и защита на данните.

            (6) Уведомяват надзорния орган и субекта на данни в случай на нарушаване на сигурността на личните данни, както и документират всяко нарушение на сигурността на личните данни, в т. ч. фактите, свързани с нарушението, последиците от него, предприетите действия за справяне с нарушението.

Глава шеста

 ПРАВА НА СУБЕКТА НА ДАННИ – ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

Чл. 19. (1) Правата на субектите(физическите лица), чиито данни се обработват са определени в чл.12-14 от Регламента

(2) На лицата в системата на предучилищното и училищното образование – деца/ученици, родители, педагогически специалисти, непедагогически персонал, посетители, кандидати за работа външни изпълнители и др., училището предоставя ясна, кратка, разбираема и лесно достъпна информация, че личните им данни ще бъдат обработвани законосъобразно, добросъвестно и прозрачно съгласно Регламента и ЗЗЛД

(3) Лицата(субектите) на лични данни  се информират за: 

            1. категориите лични данни, които им се обработват;

            2. целите на обработването, за което личните данни са предназначени;

             3. правното основание за обработването;

            4. последиците при отказ да  предоставят данни си;

            5. предоставянето на данните им на трети лица и/или публични органи за служебно ползване, като държавни, общински и съдебни органи, синдикални организации, организации от структурата на образованието и други;

            6. срокът, за който ще се съхраняват личните им данни, а ако това е невъзможно - критериите, използвани за определяне на този срок;

           7. достъп до собствените си лични данни;

           8. коригиране (ако данните са неточни);

           9. изтриване на личните данни (правото „да бъдеш забравен“);

          10. да оттеглят съгласието си за ползването на личните им данни толкова лесно, колкото са го дали;         

           11. правото на жалба до надзорен орган - КЗЛД, съда или Работният комитет към ЕП ва ЕС.

Чл. 20. На сайта на училището се публикува  обобщена, кратка и разбираема информация относно:

1. идентифициране на училището – наименование и начин за контакт, включително: адрес, електронна поща, телефон и т.н.;

2. какви категории лични данни се събират и за какви цели се обработват;

3. срока за съхранение на данните;

4. конкретните права на субектите на данни по ЗЗЛД.

Чл. 21. (1) Достъп до лични данни се предоставя, съгласно закона за достъп до информацията, след подаване на заявление. 

(2) Разглеждането и отговарянето става в едномесечен срок от подаване на заявлението.

 (3) Информацията се представя под формата на:

1. писмена справка;

2. преглед на данните от самото лице; 

3. предоставяне на исканата информация на  електронен носител. 

 (4) Администраторът се задължава да уведоми и публичните органи, на които е предоставил данните за служебно ползване, че субектът е поискал тяхното заличаване, или че е поискал достъп до тях и техни копия. 

Глава седма

РЕГИСТЪР НА ДЕЙНОСТИТЕ ПО ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

Чл. 22. (1) В училище  се води и редовно актуализира  Регистър на дейностите по обработване на лични данни

(2) Регистъра  се поддържа в хартиен вид и на  електронен носител. Достъп  до него  се предоставя при  поискване от Комисията за защита на личните данни.  

 (3) Събирането, обработването и съхраняването на лични данни в документите в регистъра става на хартиен и/или електронен носител по централизиран и/или разпределен способ в помещения - архив, съобразено с посочените мерки за защита и нивото на въздействие.

Чл. 23. (1) Право на достъп до документите от регистъра с лични данни имат само оторизираните длъжностни лица. 

(2) Определените длъжностни лица носят отговорност за осигуряване и гарантиране на регламентиран достъп до служебните помещения и опазване на регистъра, съдържащ документи с лични данни.

 (3) Всяко умишлено нарушение на правилата и ограниченията за достъп до личните данни от персонала може да бъде основание за налагане на дисциплинарни санкции.

(4) Длъжностните лица нямат право да разпространяват информация за личните данни, станали им известни при изпълнение на служебните им задължения. 

Чл. 24.  Училището събира, ползва и поддържа лични данни в: 

1. Национална електронна информационна система за предучилищното и училищното образование(НЕИСПУО) на ниво училище;
2. електронни дневници на ниво училище на ПГ и от I до VII клас;

3.   трудови правоотношения;

4      финансиране;

1. входяща и изходяща кореспонденция;
2. пропускателен режим;
3. видеонаблюдение.

Чл. 25. В НЕИСПУО се набират и съхраняват лични данни за дейността на училището, на персонала(педагогически и непедагогически), ученици и родители им, като:

 1.  общи, ЕГН и специални лични данни;

 2. личните данни се събират, обработват и съхраняват от обработващ данни;

3. нивото на въздействие по отношение на критериите за поверителност, цялостност, наличност е от „ниско ниво“ до „високо ниво“.

Чл. 26. В електронните дневници се набират и съхраняват лични данни за ученици, учители,  родители им, като:

 1.  общи, ЕГН и специални лични данни;

 2. личните данни се събират, обработват и съхраняват от класните ръководители;

3. нивото на въздействие по отношение на критериите за поверителност, цялостност, наличност е „високо ниво“

Чл. 27. В трудови правоотношения се събират, обработват и съхраняват лични данни на физически лица, назначени по трудово правоотношение и/или и по закона за задълженията и договорите, кандидатстващи за работа, като:

1. общи, ЕГН и специални лични данни;

2. предназначението на събираните данни е свързано с:

 а) индивидуализиране на трудовите правоотношения;

 б) дейностите, свързани със сключване, изменение и прекратяване на трудовите правоотношения, изготвяне на договори, допълнителни споразумения, заповеди, документи, удостоверяващи трудовия стаж, доходите от трудови правоотношения и по граждански договори, служебни бележки, справки, удостоверения и др.; 

  3. нивото на въздействие на регистъра по отношение на критериите за поверителност, цялостност, наличност е „високо ниво“.

 Чл. 28. Във „финансиране“ се събират, обработват и съхраняват лични данни на персонала и учениците, съобразно разпоредбите на КТ, КСО, Законът за счетоводството, Законът за данъците върху доходите на физическите лица и приложимото законодателство в областта на финансовото право, като: 

1. съдържа общи лични данни; 

2. предназначението на събираните лични данни е свързано с:

а)  заплати на персонала;

б) други възнаграждения.

3. нивото на въздействие по отношение на критериите за поверителност, цялостност, наличност е „средно ниво“.

 Чл. 29. Във „входяща и изходяща кореспонденция“ се събират, обработват и съхраняват лични данни, с цел регистриране на входяща и изходяща кореспонденция, които:

 1. съдържат общи, ЕГН и специални лични данни;

 2. личните данни се събират, обработват и съхраняват от обработващ данни, определен със заповед на директора на училището;

 3. нивото на въздействие по отношение на критериите за поверителност, цялостност, наличност е от „средно ниво“ до „високо ниво“. 

Чл. 30. В „пропускателен режим“ се набират и съхраняват лични данни на физически лица, съгласно Закона за частната охранителна дейност, посещаващи сградата на училището през учебен ден, като:

 1. съдържа общо описание – физическа идентичност; 

2. нивото на въздействие по отношение на критериите за поверителност е „ниско ниво“ .

 Чл. 31. Във „видеонаблюдение“ се записват и обработват лични данни, в резултат на които се извършвазапис чрез техническите средства за видеонаблюдение. Видеозаписите съдържат лични данни, които спомагат за идентифицирането на конкретни дейности - провеждането на изпити и НВО в IV и VII клас, като:

1. категориите физически лица, на които се обработват лични данни, са ученици, учители, квестори, комисия и служители в сградата на училището; 

2. данните се попълват от автоматично видеонаблюдение(видеообраз) за движението на учениците, квесторите, комисията, служителите в сградата на училището; 

3. нивото на въздействие по отношение на критериите за поверителност е „средно ниво“;

4. лични данни се съхраняват в паметта на дивиара за срок от 1 месец. При необходимост записите могат да бъдат свалени на външен носител; 

5. след постигане целите по предходната алинея личните данни се унищожават, чрез изтриване; 

6. при извършване на видеонаблюдение на входове и изходи, общи и други помещения на училището се поставят информационни табели, на видно място, с надпис, че се извършва видеонаблюдение.

Чл. 32. (1) Личните данни се събират, обработват и съхраняват в документи в хартиен вид и/или на електронен носител.

(2) Достъп до събираните лични данни от училището имат и – МОН, РУО- Пловдив, община-Пловдив(район Централен), НОИ, НАП, МВР и др. за изпълнение на техните задължения, предвидени в съответните законови и подзаконови нормативни актове. 

(3) Документите с лични данни се съхраняват до осъществяване на целите, за които се обработват, но не по-късно от сроковете регламентирани в приложение в Наредба № 8/11.08.2016 г. за информацията и документите в предучилищното и училищното образование и други законови и подзаконови нормативни актове.

 (4) След изтичането на срока за съхранение по предходната алинея документите с лични данни се съхраняват в архива на училището  при спазване на закона за националния архивен фонд или се унищожават, за което се изготвя акт/протокол за унищожаване на документи с изтекъл срок на съхранение.

(5) Достъпът до данните от регистрите и разкриването на личните данни се осъществява при условията и по реда на Закона за защита на личните данни и Регламент 2016/679

Глава осма 

ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА ЗАЩИТА НА ДАННИТЕ

Чл. 33. Училището прилага организационни и технически мерки за сигурност, чрез:

1. физическа защита; 

2. персонална защита; 

3. документална защита; 

4. защита на автоматизирани информационни системи и/или мрежи;

Чл. 34. Техническите мерки за сигурност включват:

 1. използване на шкафове с ключалки, метални каси и обособено помещение за архив;

2. защитата на електронните данни от неправомерен достъп се осъществява посредством поддържане на антивирусни програми, периодично архивиране на външен носител, както и чрез поддържане на информацията и на хартиен носител.

Чл. 35. (1)  Организационните мерки за сигурност включват определяне на помещенията, в които ще се обработват лични данни и са разположени комуникационно-информационните системи за обработване на лични данни, като физическия достъп е ограничен само за служители с оглед изпълнение на служебните им задължения.

(2) Достъп се предоставя само на служителите, на които той е необходим, за изпълнение на служебните им задължения. Достъпът до системите, обработващи по електронен способ лични данни е ограничен чрез уникални потребителски идентификатори и пароли, а електронните носители, са защитени по адекватен начин, в зони с контрол на достъпа. 

Чл. 36. Техническите и организационните мерки включват и:  

1. криптиране на личните данни;

2. гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

3. водене на записи (log files) на дейностите по обработване на данни в системите за автоматизирано обработване; 

            4. своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;

5. сътрудничество с надзорния орган за защита на личните данни при изпълнение на задълженията, произтичащи от Общия регламент – КЗЛД;

6. обучение на служители и др. ;

            7. уведомяване на надзорния орган и субекта на данни в случай на нарушаване на сигурността на личните данни.

             Чл. 37. (1)  Ползването на информацията в НЕИСПУО ще се осъществява чрез служебен достъп.

 (2) Видът и обхватът на информацията, достъпна чрез служебен или публичен достъп, се определя със заповед на министъра на образованието и науката  

(3) Служебният достъп осигурява дейността на институциите, на МОН, на РУО,  на НИО и на съответните първостепенни разпоредители с бюджет. 

 (4) Публичният достъп осигурява информираност на гражданите, юридическите лица и държавните органи по отношение на системата на училищното образование и се осъществява чрез интернет страницата на МОН, РУО, училището при спазване на Закона за защита на личните данни, Регламент 2016/679,  Закона за достъп до обществена информация

Глава девета 

ПРОЦЕДУРА ЗА УВЕДОМЯВАНЕ ЗА НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ

Чл. 38. (1) При нарушение в сигурността на данните администраторът следва да уведоми надзорният орган (КЗЛД) за това нарушение и  субектите на данни.

(2) При регистриране на неправомерен достъп до информационните масиви за лични данни, лицето, констатирало това нарушение, писмено уведомява директорът на училището и управителният съвет на ЧОУ „Класик“ ООД. 

(3) Процесът по докладване и управление на инциденти задължително включва регистрирането на инцидента, времето на установяването му, лицето, което го докладва последствията от него и мерките за отстраняването му.

(4) Училището, в случай на нарушение на сигурността на личните данни:

1.  прилага плана за действие в случай на нарушение на сигурността на личните данни, до 3 часа;

2. определя отговорен служител/екип за реакция при нарушение на сигурността на личните данни, инструктаж на персонала, др.;

3. създава вътрешна организация за своевременно уведомяване на КЗЛД в срок до 72 часа от узнаването за нарушението. 

Чл. 39. (1) Единственият надзорен орган по защита на личните данни в Република България е Комисията за защита на личните данни. 

(2) Като такъв Комисията ще осъществява контрол за спазването на изискванията на ЗЗЛД и Регламент 2016/679 на ЕП.

(3) В рамките на своите правомощия Комисията има право да разглежда жалби от физически лица, да извършва проверки на администратора и обработващи лични данни, да издава становища, задължителни предписания и имуществени санкции.

Глава десета 

ДОКУМЕНТИРАНЕ И ОТЧЕТНОСТ 

Чл. 40. (1) Училището извършва оценка на въздействието върху защитата на данните при наличие на висок риск за правата и свободите на физическите лица съгласно чл. 35 от Регламента.

 (2) Оценката на въздействието върху защитата на данните се извършва и когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица.

Чл. 41. В съответствие с принципа на отчетност, администраторът е длъжен: 

1. да прилага на практика принципите по чл. 5, ал. 2 за защита на личните данни, съгласно Регламента;

2. да удостовери и докаже, че обработването на лични данни съответства на тези принципи. 

Чл. 42. (1). Дейностите по документиране и отчетност обхващат мерки и стъпки по създаване, приемане, редовно актуализиране, запознаване и разпространение на:

              1. регистър на дейностите по обработване съгласно;

  2.  вътрешните правила за защита на лични данни;

     3. план за действие в случай на нарушение на сигурността на личните данни;

(2) Други документи (на електронен или хартиен носител), като заповеди, политики, образци назаявления, искания, протоколи, декларации и други подобни, дали предоставянето на данните е задължително,или е изцяло доброволно, както и информационни бюлетини за упражняване правата на субектите на данни и др.

 

ДОПЪЛНИТЕЛНИ РАЗПОРЕДБИ

§ 1. Настоящите Вътрешни правила са изготвени във връзка  с Регламент 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година(Общ регламент относно защитата на данните), Закон за защита на личните данни (ЗЗЛД) и Общите методически указания за прилагане на Регламент (EC) 2016/679(Общ регламент относно защитата на данните/ GDPR), в т.ч. и във връзка с обмена на данни междуМинистерството на образованието и науката (МОН) и прилежащите  му централни  и  регионални  структури  и образователни институции съгласно писмо № 9105-219/28.06.2018 г. на МОН.

§ 2. Настоящите Вътрешни правила  влизат в сила от датата на утвърждаването им.

§ 3. Настоящите вътрешни правила са утвърдени със заповед № РД 11-18/18.10.2024 г. на директора на училището

 

ЧАСТНО  ОСНОВНО  УЧИЛИЩЕ  „КЛАСИК“ ООД    

гр. Пловдив, ул. „Лейди Странгфорд“ № 7, тел.032/625220,classic@classicschool.org       

Утвърдил:

Милена Миланова

Директор

 

РЕГИСТЪР НА ДЕЙНОСТИТЕ ПО ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

Цели на обработването:

Образователен процес/учебен процес

Административен процес - трудови правоотношения, административно-стопанска дейност финансово-счетоводна дейност и други

Други законово определени цели

Изпълнението на дейностите по реализирането на образователната и административна дейност ще се отчита чрез създаването, воденето, обработването и съхраняването на информацията и документите в:

Електронен архив /електронен носител – НЕИСПУО, ИСОУД, електронен дневник, електронен портал за провеждане на НВО, ДЗИ и др.

Хартиен архив/в хартиен вид

Категории субекти на данни	Категории лични данни	Дейности/Документи за които ще се обработват лични данни	Нормативно основание  за обработване	Срок за изтриване на различните категории данни/ Категории получатели
Достъп – служебен достъп, публичен достъп, личен достъп
1.     НЕИСПУО – персонал ученици родители ОС, УС	общи ЕГН специални	Модул „Институции"	Наредба № 8/11.08.2016 г. за информацията и документите за предучилищното и училищното образование	РУО МОН община
		Модул „Документи за дейността на институцията"
		Модул „Деца и ученици"
		Документи за децата и учениците		5 години
2. Персонал
педагогически специалисти   непедагогически персонал	общи ЕГН специални	Трудови договори -  справки, декларации, сл. бележки други	КТ, КСО, НОИ, НАП........ Наредба № 4 за документите, които са необходими за сключване на трудов договор	РУО, МОН, община 50 години
	общи  ЕГН	Списък Образец № 1	Наредба № 8/11.08.2016 г. Модул „Институции“	5 години
	общи	Регистриране контролната дейност на директора/заместник-директора	Книга за контролната дейност и КП
	общи ЕГН	Заповеди за дейността на училището	Книга за регистриране на заповедите	20 години
физически лица	общи ЕГН	Кандидати за работа/подбор за персонал	КТ, обяви - БТ, РУО(документи за кандидатстване)	30 дни след назначаване
3. Финансиране	общи  ЕГН		Закон за счетоводството Наредба за финансиране на институциите в системата на ПУО	РУО МОН община
		Ведомости за заплати	Чл. 12 от закона за счетоводството	50 години
		Поименно разписание на длъжностите	Наредба 15/22.07.2019 г. на МОН	До промяна
		Заповеди за лекторски, отпуски, сл. бележки за доход, обезщетения	Наредба № 4/20.04.2017 г. за нормиране и заплащане на труда, НОИ, НАП	5 г. след напускане на лицето
4. Деца/Ученици	общи ЕГН специални		Наредба № 8/11.08.2016 г. НЕИСПУО Електронни дневници - ПГ; I-VIIклас	РУО МОН община
		Раздел II „Данни за паралелката/групата“	Списък Образец № 1	5 години
		Информация за образователната дейност в една паралелка/група за една учебна година	електронни дневници – ПГ и от Iдо VII клас
		Преместване на ученици от I до VII клас	Писма, заповеди, УП, НЕИСПУО, ЛОД, Наредба № 10/01.09.2016 г.	До напускане на училище
		Признаване на завършен клас/етап в чужда държава от I до VI клас	Наредба № 11/01.09.20216 г.	До напускане или завършване
	общи ЕГН	Регистрационна книга за издадените документи за завършена степен на образование - регистриране на издадените документи	НЕИСПУО Приложение № 2 към чл. 7, т. 2 от Наредба № 8/11.08.2016 г.	50 години
		Регистрационна книга за издадените дубликати на документи за завършена степен на образование
		Регистрационна книга за издадените удостоверения- регистриране на удостоверения за: задължително предучилищно образование; завършен клас; завършен начален етап на основно образование
		Регистрационна книга за издадените дубликати на удостоверения
	общи ЕГН специални	Издаване на всички документи Удостоверение за: задължително предучилищно образование; завършен първи клас; завършен клас от началния етап на основно образование (втори/трети); завършен начален етап на основно образование; преместване; за завършен клас Свидетелство за основно образование	Приложение № 4 към чл. 31 от Наредба № 8/11.08.2016 г.
	общи	Провеждане на изпити	Протокол за дежурство при провеждане на писмен изпит с ном. № 3-82	5 години
		Допускане до изпити за промяна на оценка	Протокол с ном. № 3-79А	50 години
		Резултат на ученика, определен от изпитната комисия за проведен писмен, устен или практически изпит	Протоколи с ном. № 3-80
	общи ЕГН специални	Информация за ученика от постъпването му до завършване на основно образование или отписване от училище	ЛОД/НЕИСПУО приложение № 3към чл. 7, т.3 от Наредба № 8/11.08.2016 г.	50 години
		Училищен план-прием и по чл. 10 от ЗПУО	ЗПУО, Наредба 10/01.09.2016 г.	1 година
		Здравни картони, медицински бележки, решения на ЛК	Съгласие Закон за здравето	До напускане
5. Родители	Общи			РУО МОН  общини др.
		Информация за образователната дейност в една паралелка/група за една учебна година	Електронен дневник	5 години
		Договори, декларации за разширена и допълнителна подготовка, СД, съгласие за участие в екскурзии, лагери, клубове, ЗИ и др.		1 година
6. Входяща и изходяща кореспонденция			Наредба № 8/11.08.2016 г.	РУО МОН община и др.
	Общи  ЕГН Специални	За регистриране на входяща и на изходяща кореспонденция	Дневник за входяща кореспонденция	10 години
			Дневник за изходяща кореспонденция
7. Пропускателен режим	Общи	Регистриране на посетителите в училище за всеки учебен ден	Съгласие Закон за частната охранителна дейност
8. Видеонаблюдение	Общи	Обработване на лични данни, в резултат накойто се извършва запис чрез техническитесредства за видеонаблюдение при провеждане на изпити, НВО, охранителна цел	Съгласие  Записи Наредба № 11/01.09.2016 г. за оценяване на резултатите от обучението на учениците	от 1 месец до 1 година
9. Други	Общи	Външни услуги	Договори за възлагане

 

Регистъра на дейностите по обработване на личните данни се актуализира при промяна на обстоятелствата

Регистъра  ще се поддържа в хартиен вид и на електронен носител

Регистъра е утвърдени със заповед № РД 11-18/18.10.2024 г. на директора на училището

Обща информация

От 25 май 2018г. влиза в сила нов регламент за защита на личните данни (General Data Protection Regulation), приет от Европейския съюз. Регламентът има за цел да гарантира защитата на данните на физическите лица от всички държави членки на ЕС и да уеднакви регулациите за тяхната обработка.
В качеството си на администратор на лични данни по предоставяне на обраователни услуги, „Частно основно училище „Класик““ ЕООД и/или „Частна профилирана гимназия „Класик“ ЕООД отговаря на всички изисквания на новата регулация, като събира единствено данни на лицата дотолкова, доколкото са необходими за предоставянето на услугата и ги пази отговорно и законосъобразно.

Информация относно Администратора на лични данни

Наименование „Частно основно училище „Класик““ ЕООД;
ЕИК/БУЛСТАТ :160068327;
Седалище и адрес на управление: гр. Пловдив, 4000, район Централен, ул. „Лейди Странгфорд“ №7;
Адрес за упражняване на дейността: гр. Пловдив, 4000, район Централен, ул. „Лейди Странгфорд“ №7;
Данни за кореспонденция: гр. Пловдив, 4000, район Централен, ул. „Лейди Странгфорд“ №7;
E-mail:classic@classicschool.org;
Телефон.: 032/625220; 0888310251;
Уеб сайт: www.classicschool.org
и/или
Наименование „Частна профилирана гимназия „Класик“ ЕООД
ЕИК/БУЛСТАТ : 201789287
Седалище и адрес на управление: гр. Пловдив, 4000, район Централен, ул. „Лейди Странгфорд“ №7
Адрес за упражняване на дейността: гр. Пловдив, 4000, район Централен, ул. „Лейди Странгфорд“ №7
Данни за кореспонденция: гр. Пловдив, 4000, район Централен, ул. „Лейди Странгфорд“ №7
E-mail:classic@classicschool.org
Телефон.: 032/625220; 0888310251
Уеб сайт: www.classicschool.org


Информация относно длъжностното лице по защита на личните данни

Наименование: Диляна Ангелова
ЕИК/БУЛСТАТ : 160068327
Седалище и адрес на управление: гр. Пловдив, 4000, район Централен, ул. „Лейди Странгфорд“ №7
Седалище и адрес на управление: гр. Пловдив, 4000, район Централен, ул. „Лейди Странгфорд“ №7
Данни за кореспонденция: гр. Пловдив, 4000, район Централен, ул. „Лейди Странгфорд“ №7
Телефон: 0888310251
Email: classic@classicschool.org
Информация относно компетентния надзорен орган
Наименование: Комисия за защита на личните данни
Седалище и адрес на управление: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Данни за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Телефон:02 915 3 518
Email: kzld@government.bg, kzld@cpdp.bg
Уеб сайт: www.cpdp.bg


Дефиниции:

За целите на настоящата политика за поверителност въвеждаме дефиниция на следните понятия:
„Платформа“ - касае виртуална платформа, собственост на Училището, която обхваща сайтовете: www.classicschool.org; www.classicschool.edupage.org;
„Уебсайт“ – сайта на училището;
Училище/ училища/ - касае „Частно основно училище „Класик““ЕООД и/или „Частна профилирана гимназия „Класик“ ЕООД


Обхват и съгласие:

Като приемете нашата Политика за защита на личните данни, Вие се съгласявате да събираме и обработваме Ваши лични данни за целите и по начините описани по-долу. Посещавайки и използвайки страницата и платформата на училищата, Вие декларирате, че сте прочели, разбрали съдържанието и се съгласявате с настоящата Политика. Следва да знаете, че периодично можем да изменяме и актуализираме настоящата политика, като в горната част на тази страница е упомената датата на последната актуализация на документа, което е и актуалната му версия.
Предоставянето на лични данни е доброволно. В случай че не желаете да ни предоставите личните Ви данни, същите няма да могат да се използват за определени услуги. В резултат, няма да можете да използвате услугите предоставени от нас.


Основание за събиране, обработване и съхраняване на Вашите лични данни

Ние събираме, съхраняваме и използваме данни по силата на:

• Договор за обучение, който подписвате за всяка учебна година
• Закон – когато данните са необходими, за да изпълним наше законово задължение
• Легитимен интерес – за да отговорим на Вашите очаквания и да Ви осигурим възможност за информиран избор на услугите
• Съгласие – когато по Ваше желание ни предоставяте лични данни при организиране и провеждане на уебинари, събития, обучения, изпълнение на проекти и др.

„Частно основно училище „Класик““ЕООД и/или „Частна профилирана гимназия „Класик“ ЕООД е администратор на лични данни по отношение на Вашите данни като определя целите и средствата на обработването.

Цели и принципи при събирането, обработването и съхраняването на Вашите лични данни

Данни на лицата от системата на образованието се използват за следните цели:

• индивидуализация на страна по договора;
• създаване на профил в електронната ни платформа;
• апликационна форма за записване на ученик в училищата;
• счетоводни цели;
• статистически цели;
• защита на информационната сигурност;
• обезпечаване на изпълнението на договора за предоставяне на съответната услуга;
• изпращане на информационни съобщения;
• подобряване и индивидуализиране на услугата чрез предлагане на оферти за събития, други продукти и услуги;
• нормативно определени изисквания.

Основни принципи при обработване на лични данни

„Частно основно училище „Класик““ЕООД и/или „Частна профилирана гимназия „Класик“ ЕООД спазва следните принципи при обработката на лични данни:

• законосъобразност, добросъвестност и прозрачност;
• ограничение на целите на обработване;
• съотносимост с целите на обработката и свеждане до минимум на събираните данни;
• точност и актуалност на данните;
• ограничение на съхранението с оглед постигане на целите;
• цялостност и поверителност на обработването и гарантиране на подходящо ниво на сигурност на личните данни.

Правно основание за обработване на лични данни

1.Обработването на лични данни е правомерно само и доколкото е налице поне едно следните правни основания:

• Личните данни сте предоставили свободно, конкретно, информирано и недвусмислено съгласие за обработване на данните му за една или повече конкретни цели.
• В електронна среда съгласието може да се даде напр. чрез отбелязване с отметка, избиране на технически настройки или друго изявление или поведение на субекта на данните, което ясно показва, че той е съгласен с предложеното обработване на неговите лични данни. Извън електронна среда съгласието се дава в друг подходящ начин.
• Съгласието за обработване на данните може да бъде оттеглено по всяко време, без това да води до каквито и да е негативни последици за субекта на данните; При обработване на лични данни на дете съгласието се дава от носителя на родителска отговорност;

2. Обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключване на договор;
3. Обработването е необходимо за спазването на законово задължение, което се прилага спрямо училищата;
4.Обработването е необходимо за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице.
5. Обработването е необходимо за целите на легитимните интереси на училищата или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално, когато субектът на данните е дете.


Длъжностно лице по защита на данните

Длъжностното лице по защита на данните има следните основни правомощия:

1. Контролира спазването на законовите изисквания и на Общите и Специалните правила за защита на личните данни;
2. Информира и съветва служителите, които извършват операции по обработване на данни, за техните задължения във връзка с обработването на данни; повишава осведомеността и обучава служителите, участващи в операциите по обработване;
3. Възлага отговорности и извършва одити;
4. Действа като лице за контакт за субектите на данни, които могат да се обърнат към Длъжностното лице по защита на данните по всички въпроси, свързани с обработването на данните им и за упражняване на техните права. Действа като лице за контакт за Комисията за защита на личните данни и сътрудничи с нея;
5. Участва в извършването на оценка на въздействието; съобразява рисковете, свързани с операциите по обработване, отчитайки естеството, обхвата, контекста и целите на обработването;
6. Длъжностното лице по защита на данните спазва поверителност при изпълнение на своите задължения.

Лични данни

„Частно основно училище „Класик““ЕООД и/или „Частна профилирана гимназия „Класик“ ЕООД обработват следните категории лични данни:

1. Лични данни на родител/настойник: име, идентификационне номер, дата и място на раждане, гражданство; демографски характеристики – пол, възраст, местоживеене; данни за контакт, адрес, стационарен/ мобилен номер, служебен номер, електронна поща.
2. Личните данни на ученика: име, идентификационен номер, дата и място на раждане, гражданство; демографски характеристики – пол, възраст, местоживеене; данни за физическа идентичност – лицеви изображения, глас, почеркови признаци; здравно – профилактичен талон на детето във връзка с Наредба 3/27.04.2000 за здравните кабинети в детските заведения и училищата.
3. Лични данни на служители -име, идентификационне номер, дата и място на раждане, гражданство; демографски характеристики – пол, възраст, местоживеене; данни за контакт, адрес, стационарен/ мобилен номер, медицинско свидетелство и свидетелство за пригодност, степен на образование.
4. Училищата не събират и не обработва лични данни, които се отнасят за расов или етнически произход; разкриват политически, религиозни или философски убеждения, или членство в синдикални организации; данни за сексуалния живот или сексуалната ориентация.

Цели и основания за събиране и обработване на лични данни.

„Частно основно училище „Класик““ЕООД и/или „Частна профилирана гимназия „Класик“ ЕООД извършват следните операции с личните данни за следните цели:

• регистрация на ученик и родител/настойник за целите на договор за обучение;
• сключване и изпълнение на търговска сделка с клиент или партньор – целта на тази операция е сключване и изпълнение на договор с търговски партньор или клиент и неговото администриране;
• регистрация в електронна платформа на сайта на училището;
• изпращане на информационни съобщения, които се отнасят до подобрения или промени в услугите;издаване на фактура на физическо лице.

2. Основания за събиране на данни: подписване на Договор за обучение и заплащане на услугата - чл. 6, ал. 1, б. (б) GDPR), МОН; закон за договорите

Срок на съхранение на личните данни

1. Личните данни се съхраняват в следните срокове:

• пази личните данни по силата на приложимото законодателство за съответния предвиден срок;
• докато данните са необходими за упражняване на права или изпълнение
• на задължения на училищата;
• съхранява личните данни на участници в процедури по подбор на персонала
• не повече от три години;
• в случай на правен спор, за който данните могат да имат значение
• до приключване на спора с влязло в сила съдебно решение;
• до три месеца когато данните са подадени с цел искане на подписване на договор, но не по-късно от 15.08. на настоящата година;
• в срока на договора когато данните се обработват на основание сключен договор;
• до оттегляне на съгласието, когато данните се обработват на основание дадено съгласие;
• до постигане на правото и /или отпадане на интереса, когато данните се обработват за защита на реализиране на права и интереси на училищата, които имат особено преимущество пред интересите на физическите лица.

2. След изтичане на посочените срокове, ако не е налице друго основание за обработване на данните, те ще бъдат изтрити. В случай, че срокът за съхранение на данните е необходимо да бъде удължен с оглед изпълнение на целите, изпълнение на договора, с оглед легитимни интереси на училищата или друго.
Предаване на вашите лични данни за обработване
Някои данни по силата на нормативно задължение се предоставят на административни органи съобразно тяхната компетентност (напр. МОН и др.). Когато предоставяме данни на други организации и лица – наши партньори, външни консултанти и т.н., тези лица поемат съответни правни ангажименти за защита на данните чрез договорни клаузи, декларации за поверителност и др.


Лица, на които се предоставят личните ви данни

„Частно основно училище „Класик““ЕООД и/или „Частна профилирана гимназия „Класик“ ЕООД, което обработва Вашите данни като администратор и предава необходимата информация за целите на МОН, РУО на МОН, Админ софт, НАП – Декларация Образец 3 и РЗИ.

Права при събирането, обработването и съхранението на личните ви данни 

1.Съгласно европейското законодателство Вие имате право да:

• оттеглите съгласието за обработване на личните Ви данни и няма друго правно основание за обработването.
• изисквате потвърждение дали се обработват лични му данни;
• искате информация, отнасяща се до събирането, обработването и съхранението на личните му данни или исквате,
• получите копие от обработваните лични данни в подходяща форма.
• извършвате коригиране или попълнете на неточни или непълни или променени лични данни след писмено искане до училищата.
• да поискате изтриване на свързаните с Вас лични данни, а училището има задължение да ги изтрие без ненужно забавяне, когато личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
• възразявате срещу обработването на лични данни, включително за целите на директния маркетинг и няма законни основания за обработването, които да имат преимущество;
• с цел спазване на правно задължение по правото на ЕС или правото на държава членка, което се прилага спрямо училищата или личните данни са били събрани във връзка с предлагането на услуги на информационното общество.

2. Училищата не са длъжни да изтрият личните данни, ако ги съхранява и обработва:

• за упражняване на правото на свобода на изразяването и правото на информация;
• за спазване на правно задължение, което изисква обработване, предвидено в правото на ЕС или правото на държавата членка, което се прилага спрямо Администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са му предоставени;
• не изтрива данните, които има законово задължение да съхранява, включително за защита по повод отправени срещу него съдебни претенции или доказване на свои права;
• по причини от обществен интерес в областта на общественото здраве;
• за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели;
• за установяването, упражняването или защитата на правни претенции.
• за да се упражни правото на „забравяне“, се подава искане и се удостоверява самоличност и идентичност с лицето.

3. Имате право да изисквате да се ограничи обработването на данни, когато:

• оспорвате точността на личните данни, за срок, който позволява да се провери
• точността на личните данни;
• обработването е неправомерно и използването им може да бъде ограничено;
• училищата не се нуждаят повече от личните данни за целите на обработването,
• но се изискват за установяването, упражняването или защитата на правни
• претенции;
• възразявате срещу обработването в очакване на проверка дали законните основания на училищата имат преимущество .

4. По всяко време могат да се изтеглят данните, които се съхраняват обработват когато технически е осъществимо,
5. Личните Ви данни могат да се се прехвърлят директно към посочен друг администратор.
6. Вие можете да поискате от „Частно основно училище „Класик““ЕООД и/или „Частна профилирана гимназия „Класик“ ЕООД да Ви информира относно всички получатели, на които личните данни, за които е поискано коригиране, изтриване или ограничаване на обработването, са били разкрити. Училището може да откаже да предостави тази информация, ако това би било невъзможно или изисква несъразмерно големи усилия.
7. Вие можете да възразите по всяко време срещу обработването на лични данни, които се отнасят до Вас, включително ако се обработват за целите на профилиране или директен маркетинг.

Вашите права при нарушение на сигурността на личните ви данни

Ако„Частно основно училище „Класик““ЕООД и/или „Частна профилирана гимназия „Класик“ ЕООД установи нарушение на сигурността на личните Ви данни, което може да породи висок риск за Вашите права и свободи, ние Ви уведомяваме без ненужно забавяне за нарушението, както и за мерките, които са предприети или предстои да бъдат предприети. Задължението отпада, ако:
са предприети подходящи технически и организационни мерки за защита по
отношение на данните, засегнати от нарушението на сигурността;
са взети впоследствие мерки, които гарантират, че нарушението няма да
доведе до висок риск за правата Ви; уведомяването би изисквало непропорционални усилия.
Лица, на които се предоставят личните ви данни
„Частно основно училище „Класик““ЕООД и/или „Частна профилирана гимназия „Класик“ ЕООД което обработва Вашите данни като администратор предава необходимата информация за целите на РУО на МОН, Админ софт, НАП – Декларация Образец 3 и РЗИ.

Сигурност и поверителност при обработване на личните данни

Ние използваме всички подходящи технически и организационни мерки за защита на личните данни, които осигуряват ниво на защита, съответстващо на риска, като прилагаме най-добрите практики. Осигуряваме различни видове защита: персонална, документална, физическа, защита на информационните системи, криптографска. Всяка от тези видове защита се сътои от различни конкретни мерки. Обособяване на отделни помещения, в които се съхраняват данните, специално оборудване, заключване, регламентиране и контрол на достъпа, вход чрез идентификация в информационните системи, правила за размножаване и разпространение – това са само част от мерките, които прилагаме, за да защитим данните по най-добрия начин. Важно е да знаете, че Вашите данни са добре защитени, включително чрез строго разписана процедура за действие в случай на потенциален риск за тях.

Ниво на въздействие и ниво на защита

С помощта на Длъжностното лице по защита на данните периодично се проверява вида на обработванит лични данни и характера на операциите по обработване. В зависимост от резултатите от проверката разделят операциите по обработване на данните в две категории, в зависимост от рисковете за правата и свободите на субектите, които произтичат от тях, както следва:

• операции по обработване с ниско ниво на въздействие и
• операции по обработване със средно ниво на въздействие;

В зависимост от установеното ниво на въздействие, по отношение на съответните данни се прилага и подходящо ниво на защита:

• лични данни, за които се прилага ниско ниво на защита;
• лични данни, за които се прилага средно ниво на защита;

Ако при проверката се установи, че дадена операция по обработване води до висок риск за правата на субектите на данни, напр. поради това, че при нея се прилагат нови техологични разрешения, и при положение, че „Частно основно училище „Класик““ЕООД и/или „Частна профилирана гимназия „Класик“ ЕООД не може да ограничи този риск с подходящи мерки от гледна точка на налични технологии и разходи за прилагане, преди съответната операция по обработване на ще се осъществи консултация с Комисията за защита на личните данни.

Технически и организационни мерки при ниско ниво на защита:

1. Конкретизация на мерките, включително чрез определяне на отговорни лица за тяхното прилагане, се извършва чрез вътрешни заповеди.

• физическа защита - данните се обработват в служебните помещения или в помещения с ограничен достъп; елементите на комуникационно-информационните системи се разполагат в служебните помещения или в помещения с ограничен достъп; помещенията, в които се съхраняват данните, се заключват, когато в тях няма лица, които да упражняват надзор; документите с лични данни се съхраняват в обособени шкафове; достъп до данните се предоставя само на лицата, на които това е необходимо, за да осигурят законосъобразното им обработване;осигуряват се подходящи пожарогасителни средства и оборудване на помещенията.
• персонална защита - на лицата, които участват в операции по обработване на данни, се разясняват нормативната уредба в областта на защита на данните; тези лица се запознават със и приемат Общите правила за обработване на данните на „Частно основно училище „Класик““ЕООД и/или „Частна профилирана гимназия „Класик“ ЕООД и Специалните правила за обработване на данните на отделните членове; разясняват им се опасностите, свързани с обработването на лични данни; лицата, които участват в операции по обработване на данни, поемат задължение за неразпространение на личните данни.
• документална защита - всеки служител води отделни регистри за обработваните от него лични данни; всеки служител определя регистрите, които поддържа на хартиен носител; достъпът до регистрите се предоставя само на лицата, на които това е необходимо, за да осигурят законосъобразното обработване на данните; служителите са длъжни да не допускат нерегламентиран достъп до документи, с които те работят, и които съдържат лични данни; личните данни се съхраняват в сроковете, определени от администратора; след изтичането на сроковете за съхранение на данните, те се унищожават съобразно процедурите на администратора.
• защита на автоматизираните информационни системи и/или мрежи се осигурява като на лицата, които участват в операции по обработване на данни с автоматизирани средства, се разясняват начинът на действие на системите и рисковете при обработване на лични данни с тях; достъп до данните имат само лицата, на които това е необходимо за законосъобразното обработване на данните; лицата получават достъп до системите след идентифициране и автентификация; достъпът до данните се осъществява на различни нива (спазва се принципът need-to-know); предовтратява се неоправомощени достъп и обработване на данните, включително при тяхното предаване; водят се записи (логове) за събиране, промяна, справки, разкриване, включително предаване, комбиниране и изтриване; записите за извършена справка или разкриване дават възможност за установяване на основанието, датата и часа на такива операции и доколкото е възможно – идентификацията на лицето, което е направило справка или е разкрило лични данни, както и данни, идентифициращи получателите на тези лични данни; оборудването и носителите на информация са защитени и достъпът до тях е ограничен; използват се защитени връзки между информационните ситеми; прилага се подходяща защита от компютърни вируси;
• създават се и се поддържат резервни електронни копия за възстановяване на данните; осигурява се възможност за възстановяване на системите в случай на технически отказ; осигурява се докладване за появили се функционални дефекти; не се допуска увреждане на съхраняваните лични данни вследствие на неправилно функциониране на системите; сроковете за съхранение на данните при обработване с автоматизирани средства съответстват на сроковете, приложими за данни на хартиен носител.

Технически и организационни мерки при средно ниво на защита:

1. Физическа защита:

• прилагат се всички мерки за физическа защита при ниско ниво на защита;
• определят се зоните с контролиран достъп, в които се обработват данните;
• определят се конкретни способи за физическа защита;

2. Персонална защита:

• прилагат се всички мерки за персонална защита при ниско ниво на защита;
• лицата, които участват в операции по обработване на данни участват в подходящи обучения, включително такива за реакция при нарушения на сигурността на личните данни;
• лицата, които участват в операции по обработване на лични данни, споделят критичната информация, която е необходима за защита на данните;

3. Документална защита:

• прилагат се всички мерки за документална защита при ниско ниво на защита;
• достъп до регистрите се предоставя само на определени лица;
• не могат да се правят копия от данните или такива копия да се разпространяват без разрешението на лице, на което е предоставен достъп до данните;

4. Защита на автоматизираните информационни системи и/или мрежи

• прилагат се всички мерки за защита на автоматизираните информационни системи и/или мрежи при ниско ниво на защита;
• елементите на информационните системи се поставят в помещения с ограничен достъп;
• води се отчетност за поддържането и експлоатацията на елементите на информационните системи;

5. Криптографска защита:

• прилагат се стандартните криптографски възможности на операционните системи;
• прилагат се стандартите криптографски възможности на системите за управление на базите данни;
• прилагат се стандартните криптографски възможности на комуникационното оборудване.

Процедури за унищожаване на лични данни

След изтичането на сроковете за съхранение или когато по друга причина е отпаднало основанието за обработване на данните, те се унищожават по сигурен начин. Хартиените носители на данни се унищожават с шредер. Данните на електронни носители се унищожават по начин, който не допуска тяхното възстановяване. Подлежащите на унищожаване данни се пазят в поверителност, включително в процеса на унищожаване, освен ако са взети други мерки за защита на правата и свободите на лицата, до които данните се отнасят. Във всички случаи се прилагат добрите практики за съответния случай, които да осигурят необратимо заличаване на данните;

Стратегия при нарушение на сигурността на личните данни

Това е нарушение, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни. За видове нарушения се приемат:

• нарушение на поверителността – осъществен е неправомерен или неразрешен достъп до данните;
• нарушение на наличността - не може да бъде осъществен достъп до данните, въпреки че те следва да бъдат обработвани;
• нарушение на целостността – данните са променени по неправомерен или неразрешен начин;

1. Вътрешно докладване. Всеки, на когото стане известно, че е възникнало нарушение на сигурността на личните данни, обработвани от УЧИЛИЩАТА, е длъжен незабавно да съобщи за това на Длъжностното лице по защита на данните. Съобщението трябва да включва точна информация, доколкото такава е известна на лицето, което докладва, за вида на нарушението, за това колко лица са засегнати, кога е установено нарушението, както и за името на докладващия и негови координати за връзка. Данните за нарушението не се разгласяват на други лица, освен ако в противен случай би се задълбочило нарушението или би се затруднило преодоляването на неговите последици.
Длъжностното лице по защита на данните незабавно извършва предварителна проверка по съобщението и установява, доколкото обстоятелствата позволяват това, дали е възникнало нарушение на сигурността на личните данни, какъв е неговият вид и колко и кои са засегнатите лица. Веднага след това Длъжностното лице по защита на данните докладва за полученото съобщение и за резултатите от извършената предварителна проверка на ръководството.
Длъжностното лице предприема мерките в първия възможен момент.

Разследване и оценка на риска. План за действие

Длъжностното лице по защита на данните, извършва внимателна преценка и анализ на обстоятелствата, свързани с нарушението, и риска от него за правата и свободите на физическите лица. При необходимост за целта се ангажират и други (вкл. външни) специалисти. Изработва се план за бързо ограничаване и преустановяване действието на нарушението и справяне с неговите последици. Целите на плана се степенуват по важност: защита правата и свободите на засегнатите от нарушението физически лица, включително недопускане задълбочаване на нарушението; недопускане да бъдат засегнати правата и свободите на други физически лица; възстановяване на състоянието на личните данни каквото е било преди възникване на нарушението; предотвратяване или ограничаване на материалните вреди. Ако нарушението е възникнало при обработващ данните, незабавно се уведомява и администраторът на данните и се създава нужната координация за действие.

Необходимост от уведомяване на КЗЛД за нарушението

В случай че нарушението на сигурността на личните данни създава вероятност от риск за правата и свободите на физическите лица, чиито данни са засегнати, Длъжностното лице по защита на данните организира уведомяването на Комисията за защита на личните данни (КЗЛД) за нарушението. Длъжностното лице уведомява КЗЛД за нарушението, ако счита това за необходимо за защита правата и свободите на субектите на данни, независимо от становището на ръководството по този въпрос. Уведомяването на КЗЛД следва да се извърши без ненужно забавяне и когато това е осъществимо – не по-късно от 72 часа след първоначалното узнаване на нарушението. Уведомяването на КЗЛД съдържа:

• общо описание на нарушението на сигурността на личните данни;
• описание на категориите и приблизителният брой на засегнатите лица и на категориите и приблизителния брой на засегнатите записи на лични данни;
• името и координатите за връзка с Длъжностното лице по защита на личните данни;
• описание на евентуалните последици от нарушението на сигурността на личните данни;
• описание на предприетите или предложените мерки за справяне с нарушението, включително мерки за намаляване на евентуалните неблагоприятни последици.

Когато няма възможност цялата информация за нарушението да бъде предоставена в цялост на КЗЛД, тя се дава поетапно без неоснователно забавяне.
Уведомяването на КЗЛД се извършва от администратора на данните.

Уведомяване на засегнатите физически лица за нарушението

Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Длъжностното лице по защита на данните, без ненужно забавяне и при спазване на приложимото законодателство, уведомява засегнатите физически лица. Длъжностното лице организира уведомяването на засегнатите физически лица за нарушението, ако счита това за необходимо за защита на техните права и свободи, независимо от становището на ръководството по този въпрос.
Уведомяването става без неоснователно забавяне и съдържа следната информация:

• общо описание на нарушението на сигурността на личните данни;
• евентуалните последици от нарушението;
• предприетите мерки за справяне с нарушението;
• името и координатите за връзка с Длъжностното лице по защита на личните данни;
• какви действия могат самите субекти на данните да предприемат за защита на правата си.

Към уведомяване на физическите лица може да не се пристъпва, ако са предприети подходящи технически и организационни мерки, които да защитават в достатъчна степен правата им или ако са взети мерки, които да гарантират, че вече няма вероятност да се осъществи високият риск за техните права и свободи.

Документиране на нарушенията

Можете да упражните всичките си права относно защита на Вашите лични данни . Можете да отправите исканията си във всякаква форма, която съдържа изявление за това и Ви идентифицира като притежател на данните, които се завеждат в регистър на нарушенията на сигурността на личните данни, възникнали при нейните членове, в който се съдържа следната информация:
дата на установяване на нарушението; описание на нарушението - източник,
вид и мащаб на засегнатите данни, причина; описание на извършените уведомявания на КЗЛД, евентуално и на засегнатите лица; предприетите мерки за предотвратяване и ограничаване на последиците за субектите; предприети мерки за ограничаване на възможността от последващи нарушения на сигурността.

Други разпоредби

В случай на нарушаване на правата Ви съгласно горепосоченото или приложимото законодателство за защита на личните данни, имате право да подадете жалба до Комисията за защита на личните данни, както следва:
Наименование: Комисия за защита на личните данни
Седалище и адрес на управление: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Данни за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Телефон:02 915 3 518
Email: kzld@government.bg, kzld@cpdp.bg
Уеб сайт: www.cpdp.bg
Можете да упражните всичките си права относно защита на Вашите лични данни . Можете да отправите исканията си във всякаква форма, която съдържа изявление за това и Ви идентифицира като притежател на данните.
Може да се пристъпи към публично съобщение за нарушението, което се координира с КЗЛД.