ФОНДАЦИЯ „КОД: БЪЛГАРИЯ“ – ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ И СЪОТВЕТСТВИЕ С  GDPR

1. Въведение

ФОНДАЦИЯ „КОД: БЪЛГАРИЯ“ се стреми да гарантира поверителността, целостта и наличността на всички лични данни, които обработваме, в съответствие с Общия регламент за защита на данните (ОРЗД). Настоящата политика определя нашия ангажимент за защита на данните и индивидуалните права и задължения във връзка с личните данни.

2. Определения

2.1. „Лични данни“ означава всяка информация, свързана с идентифицирано или подлежащо на идентифициране физическо лице.

2.2. „Обработване“ означава всяка операция, извършвана с лични данни, като събиране, използване, съхранение, разкриване, промяна или унищожаване.

2.3. „Субект на данни“ е физическото лице, чиито лични данни се обработват.

3. Принципи на защита на данните

ФОНДАЦИЯ „КОД: БЪЛГАРИЯ“ се придържа към следните принципи за защита на данните:

3.1. Законосъобразност, справедливост и прозрачност: Ние обработваме лични данни законосъобразно, справедливо и прозрачно, като предоставяме подробна информация на субектите на данни за нашите дейности по обработване на данни.

3.2. Ограничаване на целта: Обработваме лични данни само за конкретни, изрично посочени и легитимни цели, като информираме субектите на данни за тези цели по време на събирането на данни.

3.3. Минимизиране на данните: Събираме само лични данни, които са адекватни, релевантни и необходими за целите, за които се обработват.

3.4. Точност: Ние поддържаме личните данни точни и актуални, като коригираме неточностите незабавно.

3.5. Ограничение на съхранението: Съхраняваме личните данни само толкова дълго, колкото е необходимо за изпълнение на целите, за които са събрани, или както се изисква от закона.

3.6. Съответствие и поверителност: Ние защитаваме личните данни от неразрешено или незаконно обработване, загуба, унищожаване или повреждане чрез прилагане на подходящи технически и организационни мерки.

4. Правно основание за обработване

4.1. Ние обработваме лични данни само когато имаме правно основание за това. Това включва:

4.2. Съгласие: Получили сме ясно, утвърдително съгласие от субекта на данните.

4.3. Договор: Обработката е необходима за изпълнение на договор.

4.4. Правно задължение: Обработката е необходима за изпълнение на правно задължение.

4.5. Законни интереси: Обработката е необходима за нашите легитимни интереси или тези на трета страна.

5. Права на субекта на данни

5.1. Ние зачитаме правата на субектите на данни, предвидени в ОРЗД, които включват правото на достъп, коригиране, изтриване, ограничаване на обработката, преносимост на данните и възражение срещу обработката. Исканията за упражняване на тези права могат да бъдат изпратени до нашето длъжностно лице по защита на данните.

6. Прехвърляне на данни

6.1.при прехвърляне на лични данни извън ЕС ние гарантираме спазването на разпоредбите на ОРЗД, като

Прехвърляне на данни в държави, признати от ЕС като предоставящи адекватно ниво на защита на данните.

Прилагане на подходящи предпазни мерки, като например стандартни договорни клаузи, одобрени от ЕС.

7. Длъжностно лице по защита на данните

Назначили сме Длъжностно лице по защита на данните (ДЛЗД), което отговаря за надзора на нашата стратегия за защита на данните и нейното изпълнение, за да се гарантира спазването на GDPR.

8. Уведомяване за нарушения

В случай на нарушение на сигурността на данните ще уведомим съответния надзорен орган в рамките на 72 часа, освен ако е малко вероятно нарушението да доведе до риск за правата и свободите на физическите лица. Субектите на данни ще бъдат уведомени без излишно забавяне, ако има вероятност нарушението да доведе до висок риск за техните права и свободи.

9. Обучение и осведоменост

Осигуряваме редовно обучение на всички членове на персонала, които обработват лични данни, като гарантираме, че те разбират своите отговорности във връзка със защитата на данните и спазването на GDPR.

10. Преглед на политиката

Настоящата политика ще бъде преразглеждана поне веднъж годишно или винаги, когато има значителна промяна в дейностите по обработване на данни или в съответното законодателство.

11. Контакти

Ако имате някакви въпроси или притеснения относно тази политика, моля, свържете се с нашия DPO на адрес dpo @ airbg.info.

12. Оценка и управление на изискванията и рисковете, свързани със защитата на личните данни

12.1. Идентифициране на изискванията за защита на личните данни

Първата ни стъпка е да идентифицираме изискванията за защита на личните данни, които се отнасят за ФОНДАЦИЯ „КОД: БЪЛГАРИЯ“. Това включва:

  • Разбиране на нормативните актове, като например Общия регламент относно защитата на данните (ОРЗД), и конкретните задължения, които те налагат.
  • Разпознаване на отрасловите стандарти или насоки, които могат да предоставят ориентир за практиките за защита на данните.
  • Идентифициране на договорни задължения, които могат да изискват специфични мерки за защита на данните.

12.2. Картографиране и класифициране на данни

Съществена част от управлението на изискванията за защита на личните данни е да знаем какви данни имаме, къде се намират, как се обработват и защо. Постигаме това чрез:

Картографиране на данните: Документираме всички потоци от данни в рамките на организацията, включително входове и изходи, прехвърляне на данни и интерфейси с трети страни.

Класификация на данните: Класифицираме личните данни въз основа на чувствителността и нивата на риск, за да осигурим подходящи мерки за защита.

12.3. Оценка на риска

Редовните оценки на риска за защита на данните са от решаващо значение за идентифициране на потенциалните рискове за личните данни. Тези оценки включват: 

12.3.1 Идентифициране на потенциалните рискове: Идентифицираме рискове, като например нарушения на сигурността на данните, загуба на данни или неоторизиран достъп до лични данни.

12.3.2 Оценка на рисковете: Оценяваме рисковете въз основа на вероятността за възникване и потенциалното въздействие върху лицето и организацията.

12.3.3 Приоритизиране на рисковете: Въз основа на оценката на рисковете приоритизираме рисковете, които изискват незабавно внимание.

12.4. Прилагане на стратегии за управление на риска

След като идентифицираме и приоритизираме рисковете, разработваме и прилагаме стратегии за управление на риска. Това включва: 

12.4.1 Намаляване на риска: Прилагаме необходимите мерки за минимизиране на идентифицираните рискове. Например, прилагане на силен контрол на достъпа, криптиране и редовни процедури за архивиране.

12.4.2 Прехвърляне на риска: В някои случаи можем да решим да прехвърлим риска, например чрез застраховка.

12.4.3 Приемане на риска: Ако рискът е от ниско ниво и разходите за ограничаването му надвишават потенциалното въздействие, можем да решим да приемем риска, като документираме решението си по съответния начин.

12.5. Разработване на политики и процедури

Разработваме и прилагаме политики и процедури за защита на данните, за да установим ясни насоки за това как трябва да се обработват личните данни в нашата организация.

12.6. Обучение и повишаване на осведомеността

Осигуряваме редовно обучение и сесии за повишаване на осведомеността, за да гарантираме, че всички служители разбират изискванията за защита на личните данни и своите отговорности.

12.7. Мониторинг и одит

Редовното наблюдение и одит на нашите дейности по обработване на данни гарантират постоянно спазване на изискванията за защита на личните данни. Ние проверяваме:

  • Съответствие с политиките и процедурите.
  • Дали мерките за управление на риска ефективно намаляват рисковете.
  • Доколко се спазват и улесняват правата на физическите лица.
  • Дали нарушенията на сигурността на данните се предотвратяват, откриват и управляват ефективно.

12.8. Непрекъснато подобрение

Непрекъснато подобряваме нашите практики за защита на данните въз основа на резултатите от мониторинга и одита, промените в законодателството и поуките, извлечени от всички инциденти с данни.

13. Оценка на въздействието върху защитата на данните (DPIA) е процес, въведен в Фондация „Код: България“ , предназначен да идентифицира и сведе до минимум рисковете за защита на данните при даден проект. DPIA се изисква, когато планирана или съществуваща операция по обработване „има вероятност да доведе до висок риск за правата и свободите на физическите лица“.

Нашите стъпки за извършване на DPIA:

13.1. Идентифициране и описание на операциите по обработване:

Първата стъпка е да се опишат операциите по обработване на данни, техните цели и методите за обработване на данни, които ще се използват. От съществено значение е да се определи обхватът на проекта и да се разбере какви лични данни ще бъдат включени.

13.2. Оценка на необходимостта и пропорционалността:

Оценете необходимостта от обработването на данните във връзка с целта. Това включва проверка дали обработването е ограничено до необходимото от гледна точка на използваните данни и обхвата на обработването. Тя включва и проверка дали могат да се използват по-малко натрапчиви средства.

13.3. Идентифициране и оценка на рисковете:

Идентифициране на потенциалните рискове за правата и свободите на субектите на данни. Важно е да се разгледа както вероятността, така и сериозността на всяко въздействие върху защитата на данните. Включваме потенциални рискове както от вътрешната, така и от външната страна на Фондация „Код: България“ .

13.4. Намаляване на рисковете:

За всеки идентифициран риск разработете мерки за намаляването му. Това може да включва например засилени мерки за сигурност, ограничения на достъпа до данни, анонимизиране на данните или получаване на изрично съгласие, когато е уместно.

13.5. Консултация с длъжностното лице по защита на данните (ДЛЗД):

ДЛЗД участва в целия процес на ОВЗД. Той предоставя експертни познания по въпроси, свързани със защитата на данните, и може да помогне за осигуряване на съответствие с ОРЗД.

13.6. Консултации със субектите на данни или техните представители:

Когато е целесъобразно, потърсете мнението на субектите на данни или на техните представители относно операцията по обработване. Това невинаги е задължително, но в някои случаи може да бъде полезно.

13.7. Редовен преглед:

ОВЗД не е само еднократно упражнение и тя редовно се преразглежда и актуализира, особено ако се променят естеството, обхватът, контекстът или целите на обработването.

13.8. Консултация с надзорния орган: В случай на необходимост, ако е необходимо, направете консултация с надзорния орган:

Ако DPIA идентифицира висок риск, който не може да бъде намален, трябва да се проведе консултация със съответния надзорен орган. Тази консултация трябва да се проведе преди обработката.

14. Права на физическите лица (субекти на данни), които са част от проектите на Фондация „Код: България“ .

14.1. Право на информиране:

Субектите на данни имат право да бъдат информирани за събирането и използването на техните лични данни. Това става чрез уведомление за поверителност, което е кратко, прозрачно, разбираемо, лесно достъпно и на ясен и прост език. Това известие за поверителност е изложено на нашия уебсайт и включва самоличността на Фондацията, целта за обработване, получателите на личните данни и други необходими подробности.

14.2. Право на достъп:

Субектите на данни имат право да получат потвърждение, че техните данни се обработват, достъп до личните си данни и друга допълнителна информация. Разполагаме със система за обработка на такива искания за достъп (известни също като искания за достъп на субекта или SAR).

14.3. Право на коригиране:

Субектите на данни имат право да поискат коригиране на неточни лични данни или попълване, ако те са непълни. Ние разполагаме със система за изменение и актуализиране на личните данни, които съхранява.

14.4. Право на изтриване (или „право да бъдеш забравен“): Лицата, чиито данни се обработват, имат право на изтриване:

Субектите на данни имат право да поискат личните им данни да бъдат изтрити при определени обстоятелства. Фондация „Код: България“ разполага с процедури за сигурно изтриване на данни, когато това бъде поискано.

14.5. Право на ограничаване на обработката:

Субектите на данни имат право да поискат ограничаване или потискане на техните лични данни при определени обстоятелства. Фондация „Код: България“ разполага с действащи системи за ограничаване на достъпа до определени данни при необходимост.

14.6. Право на преносимост на данните:

Субектите на данни имат право да получават и използват повторно своите лични данни в различни услуги. Данните се предоставят в структурирана, широко използвана и машинно-читаема форма. Фондация „Код: България“ е в състояние да удовлетвори тези искания.

14.7. Право на възражение:

Субектите на данни имат право да възразят срещу обработването на личните им данни при определени обстоятелства. 

14.8. Права във връзка с автоматизирано вземане на решения и профилиране:

Субектите на данни имат право да не бъдат обект на решение, основано единствено на автоматизирано обработване, включително профилиране, което има правно или подобно значимо въздействие. Ние допускаме човешка намеса в тези процеси.

Забележка към раздел 14: Процедурите в тази точка и нейните подраздели включват, но не се ограничават до това:

a. Получаване на искания: 

Разполагаме с ясен и леснодостъпен метод за подаване на искания за изтриване от физически лица. Това става чрез имейл адреса на ДЛЗД (dpo@airbg.bg), посочен в нашето уведомление за поверителност и политика за поверителност.

b. Идентифициране на исканията:

Нашият персонал е обучен да разпознава такива искания. Тези искания могат да дойдат под всякаква форма и не е необходимо в тях изрично да се споменава ОРЗД или правото на лицето.

c. Проверка на самоличността: 

Ние проверяваме самоличността на лицето, което подава искането. Това е важно, за да се предотвратят неразрешени изтривания. 

d. Оценка на заявката:

Не всички искания за изтриване трябва да бъдат изпълнени съгласно ОРЗД. Съществуват някои изключения, при които правото на изтриване не се прилага, като например когато обработването е необходимо за упражняване на правото на свобода на изразяване и информация, за спазване на правно задължение или за изпълнение на задача, осъществявана в обществен интерес или при упражняване на официални правомощия. Затова оценяваме всяко искане поотделно.

e. Намиране и изтриване на данните:

Когато решим, че искането е валидно, ние откриваме и изтриваме личните данни, които съхраняваме за лицето. В зависимост от това как се съхраняват Вашите данни, това може да включва изтриване на отделни записи или анонимизиране на данните, така че лицето да не може да бъде идентифицирано.

f. Информиране на трети страни:

Ако сме разкрили личните данни на трети страни, ние ги информираме за изтриването на личните данни, освен ако това е невъзможно или е свързано с непропорционални усилия.

g. Отговаряне на искането:

Информираме физическото лице, че данните му са били изтрити, или обясняваме защо не са били изтрити, ако правото на изтриване не се прилага. Правим това без неоправдано забавяне и в рамките на един месец от получаването на искането.

h. Съхраняване на записи:

Ние съхраняваме запис на искането и Вашия отговор за целите на отчетността. 

Важно е да се отбележи, че внедряването на система за обработка на тези искания включва както процедурни стъпки, така и технически възможности. Нашите системи за съхранение на данни позволяват окончателно изтриване на данни, а процедурите на нашата организация обхващат оценката и обработката на искания за изтриване.


Одобрение и дата на влизане в сила


Настоящата политика за спазване на GDPR е одобрена от Управителя и влиза в сила от 1 януари 2018 г.