събота 13, юли 2024г.
Наименование:

Политика за защита на личните данни в Основно училище "Христо Ботев" с. Остров, съгласно Общия регламент за защита на личните данни (Регламент (ЕС) 2016/679)


Описание:

Основно училище „Христо Ботев“ с. Остров, общ. Оряхово, обл. Враца

ул. „Г. Димитров“ №16, тел.: 09175/2331, e-mail: info-601113@edu.mon.bg, web: www.oy-ostrov.eu 

 

Утвърждавам:

ЛИДИЯ НИКОЛОВА

Директор

(Заповед № 507 / 13.09.2023 г.)

 

 

ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

Данни за администратора

Администратор

Основно училище „Христо Ботев“

Адрес

с. Остров, общ. Оряхово, обл. Враца, ул. „Г. Димитров“ №16

Е-mail

info-601113@edu.mon.bg 

Телефон

09175/2331

 

Раздел I. Цел

1. Настоящият документ предоставя общ преглед на изискванията за защита на данните и насочва към по-подробни указания, ако е необходимо.

2. Въпроси относно политиката могат да бъдат отправяни на e-mail адрес на образователната институция: info-601113@edu.mon.bg 

Раздел II. Основания

3. Общият регламент за защита на данните (ОРЗД), който е директно приложим в законодателството на България и може да е/е допълнен чрез Закона за защита на личните данните (ЗЗЛД) и други нормативни актове, установява рамка от права и задължения, предназначени да защитават личните данни. В настоящата политика към тях се реферира като "законодателство за защита на данните".

4. Принципите са следните:

  4.1. Личните данни се обработват законосъобразно, добросъвестно и по прозрачен начин.

  4.2. Личните данни, събирани за конкретни, изрично указани и легитимни цели, не се обработват по-нататък по начин, несъвместим с тези цели.

  4.3. Личните данни следва да са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“).

  4.4. Личните данни следва да са точни и при необходимост да бъдат поддържани в актуален вид („точност“).

  4.5. Личните данни следва да са съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни („ограничение на съхранението“).

  4.6. Прилагат се подходящи технически или организационни мерки срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане („цялостност и поверителност“).

5. ОРЗД задава определени права на субектите на данни, свързани с техните лични данни, които са:

  • правото за възражение, включително срещу директен маркетинг;
  • правото за ограничаване на обработването;
  • право на коригиране;
  • право на достъп;
  • право на изтриване (при определени обстоятелства) – правото „да бъдеш забравен“;
  • право на преносимост (при определени обстоятелства);
  • правото да се изисква човешка намеса с оглед на автоматизирани процеси, включително профилиране.

6. Условията, при които личните данни могат да бъдат прехвърлени в страни извън Европейското икономическо пространство, са определени в ОРЗД. Те включват адекватност, подходящи гаранции, обвързващи корпоративни договори и изрично съгласие, наред с другите.

7. Дефиниране на „лични данни“ и „специални категории лични данни“ (чувствителни данни), съгласно ОРЗД:

  7.1 „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

  7.2. „Специални категории лични данни“ са лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние.

8. Всяка обработка на лични данни следва да почива на поне едно законово основание, съгласно ОРЗД. Възможните основания са (чл. 6 от ОРЗД): договор, законово задължение, жизненоважни интереси, обществен интерес, легитимен интерес и съгласие. Данните за специалните категории изискват по-специално законово основание (чл. 9 от ОРЗД). Тази законова основа се посочва в Регистър на дейностите по обработването. Служител, който не е сигурен какво правно основание се отнася до личните данни, които възнамерява да обработва, трябва да потърси съвет от Длъжностното лице по защита на личните данни.

Раздел III. Политика и насоки

9. Основно училище „Христо Ботев“ с. Остров се ангажира с политика за защита на правата и свободите на лицата по отношение на обработката на техните лични данни.

10. Настоящата Политика и допълнителните насоки към нея, се отнасят за всички лични данни, обработвани за целите на училището, независимо от това къде и как се съхраняват.

Раздел IV. Приложение на политиката

11. Основно училище „Христо Ботев“ с. Остров обработва лична информация за служители, ученици, родители, и други (страни по договори на училището), определени като субекти на данни в законодателството за защита на данните. Тези данни трябва да се обработват само в съответствие със законодателството за защита на данните, което е и цел на настоящата политика.

12. Всяко нарушение на тази Политика може да доведе до това училището като администратор на данни (и в някои случаи физическите лица, работещи за нея) да наруши законодателството за защита на данните и да носи отговорност за последиците от такова нарушение.

13. Директорът на училището отговаря за спазването законодателството за защита на данните. Всички служители – счетоводител, административен персонал, трябва да са прочели и разбрали тази политика преди да имат достъп до лични на данни, обработвани от училището.

14. Отговорност на всички ползватели на лични данни в училището е да гарантират сигурността на личните данни. Личните данни не трябва да се разкриват на никое неупълномощено лице под каквато и да е форма, случайно или по друг начин.

15. Всяко нарушение или неспазване на настоящата Политика, особено всяко преднамерено разкриване на лични данни на неупълномощена страна, може да доведе до дисциплинарни или други подходящи действия.

16. Училището периодично проверява спазването на законодателството за защита на данните и политиката и при необходимост актуализира своите насоки в тази област.

17. Всеки неоторизиран достъп до или разкриване на лични данни или други нарушения на сигурността на данните трябва да бъде докладван съгласно Инструкция за действие при пробив в сигурността на личните данни веднага след установяването им или при наличието на основателно подозрение за настъпило нарушение.

18. Служителят, отговорен за „човешките ресурси“ отговаря за това всички служители в институцията да бъдат информирани за задълженията си съгласно законодателството за защита на данните, включително тяхното обучение и инструктаж.

19. Съвети и подкрепа във връзка със законодателството за защита на данните се предоставят от определения служител за защита на личните данни (СЗЛД) или назначеното длъжностно лице за защита на личните данни (ДЛЗЛД).

20. ДЛЗЛД докладва на директора на училището.

 

Раздел V. Достъп до данни

21. Правото на достъп от страна на субектите на данни следва да се реализира в определен срок от 30 дни. Поради това от съществено значение е предоставяне на исканията за достъп до данни към СЗД/ДЛЗЛД във възможно най-кратък срок след тяхното получаване, независимо от това, по какъв начин точно е постъпило искането в институцията и до кого е било подадено.

Раздел VI. Съхраняване на данни

22. Личните данни се съхраняват само за времето, необходимо за извършване на обработката, за която са събрани. Това важи както за електронни, така и за не електронни лични данни. Това се разпростира също така и върху резервните копия и копията, направени на преносими носители.

Раздел VII. Трансфер на данни

23. Всеки трансфер на данни, включително използването на облачни услуги, извън ЕИП следва да бъде предварително съгласуван със СЗД/ДЛЗЛД с оглед изискването в ОРЗД за предприемането на определени мерки.

Раздел VIII. Регистър на дейностите по обработването

24. Регистърът на дейностите по обработването се използва, за да се отговори на изискванията за съхранение на данни в законодателството за защита на данните (Приложение I).

25. Отговарящите за отделните организационни и оперативни дейности, които формират целите на обработваната информация, осигурят създаването и поддържането на актуалността на информацията в регистъра.

26. Всяка година се извършва преглед на актуалността.

27. ДЛЗЛД гарантира, че притежателите на информационни активи получават подходяща помощ за поддържане на регистъра.

Раздел IX. Технически и организационни мерки за защита на данните

28. Училището въвежда подходящи технически и организационни мерки (ТОМ), за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с ОРЗД, като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица.

29. Техническите и организационните мерки следва да допринесат за защита на данните на етапа на проектирането и по подразбиране. Същите са посочени в Инструкция за техническите и организационни мерки на училището във връзка с обработването на лични данни.

30. В техническите и организационните мерки институцията изрично предвижда минимално необходимите реквизити при сключване на споразумения с обработващи данни, така че да се постигне ниво на защита не по-ниско от прилаганото от самото училище.

Раздел X. Съответствие, свеждане до знание и дисциплинарни процедури

31. Нарушаването на поверителността на личните данни е и нарушение на законодателството за защита на данните и може да доведе до наказателен или граждански иск срещу училището. Следователно всички обработващи лични данни в него, трябва да се придържат към политиката за защита на личните данни и политиките, които допринасят за нейното изпълнение.

32. Всички настоящи служители и други упълномощени потребители биват информирани за наличието на тази политика и наличието на съпътстващи политики, процедури, инструкции и насоки.

33. Всички служители подписват Декларация за поверителност (Приложение II).

34. Всяко нарушение на сигурността ще бъде разгледано в съответствие с правила на институцията и съответните дисциплинарни политики.

 

Приложения:

      - Приложение №1.1 - Регистър на дейности по обработване на лични данни (администратор)

      - Приложение №1.2 - Регистър на категории дейности по обработването (обобщаващ) 

      - Приложение №2.1 - Регистър на лицата, обработващи лични данни

      - Приложение №2.2 - Списък на лица, които обработват лични данни



Прикачен файл: zaschita_na_lichnite_danni.rar