Политика за защита на личните данни
на
Фондация „Гутенберг 3.0“
Структура и съдържание на ПолитикатаСъдържание:
I. ВЪВЕДЕНИЕ
II. ОСНОВНИ ЗАДЪЛЖЕНИЯ
III. ДАННИ НА ДЕЦА
IV. СПОДЕЛЯНЕ НА ДАННИ
V. МЕРКИ ЗА ЗАЩИТА
VI. НАРУШЕНИЕ НА СИГУРНОСТТА НА ДАННИТЕ
VII. АНАЛИЗ НА РИСКА, ЗАЩИТА НА ДАННИТЕ ОТ ЕТАПА НА ПРОЕКТИРАНЕ И ПО ПОДРАЗБИРАНЕ
VIII. ПРАВА НА СУБЕКТИТЕ НА ДАННИ ПО РЕГЛАМЕНТА
IX. ОБУЧЕНИЯ НА СЛУЖИТЕЛИ
I. Въведение
Чл. 1. (1) Фондация „Гутенберг 3.0“ (наричана по-долу още „Фондацията“ или „Организацията“) е неправителствена организация, създател и собственик на електронната платформа „Книговище.бг“ (с интернет адрес: https://www.knigovishte.bg/), целяща стимулиране на функционалната грамотност сред децата.
(2) За постигането на посочената в предходната алинея цел и във връзка с функционирането на електронната платформа „Книговище.бг“ (наричана по-долу за краткост „Платформата“), Фондацията събира и обработва лични данни в качеството й на самостоятелен „администратор“ или на „съвместен администратор“ (в случаите, в които, за постигането на горепосочената цел, Организацията събира и обработва данни съвместно с друг администратор).
(3) Настоящата политика (наричана по-долу още „Политиката“) урежда задълженията и принципните положения, които Фондацията спазва при обработване на лични данни.
(4) Специфичните права и задължения, които възникват в случаите на „съвместни администратори“ се уреждат с отделен договор/споразумение между страните, така че да се реализира фактическото спазване на задълженията на Организацията и правата на субектите на данни по Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година, относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (наричан по-долу за краткост „Регламентът/-а“).
Чл. 2. Тази политика е изготвена в съответствие с изискванията на Регламента, Закона за защита на личните данни (наричан по-долу за краткост „ЗЗЛД“) и останалото приложимо и действащо законодателство в областта на защитата на личните данни.
Чл. 3. (1) Политиката е задължителна и се прилага спрямо всички, на които им е разрешен достъп до Платформата за целта на изпълнение на конкретна задача/функция. Това могат да бъдат създателите на Платформата, всички служители на Фондацията на трудов договор, както и спрямо всички лица (изпълнители), ангажирани от нея по граждански договор.
(2) При нарушаване на описаните в нея правила служителите могат да бъдат санкционирани дисциплинарно, както и да им бъде търсена (регресна) отговорност за нанесени вреди на Организацията в резултат на неспазване на задълженията от тяхна страна.
Чл. 4. Цялостният контрол по спазването на настоящата политика и свързаните с нея политики, процедури, правила, вътрешни инструкции и други се осъществява от изпълнителния директор на Фондация Гутенберг 3.0..
Чл. 5. Политиката се преглежда и актуализира редовно и в случай на необходимост, но не по-малко от веднъж годишно.
Чл. 6. Основните принципи, които Фондацията спазва винаги при събирането и обработването на лични данни от нейна страна са:
а) „Законосъобразност, добросъвестност и прозрачност“;
б) „Ограничение на целите“;
в) „Свеждане на данните до минимум (минимизиране на данните)“;
г) „Точност“ (и актуалност) на данните;
д) „Ограничение на съхранението“;
е) „Цялостност и поверителност“;
ж) „Отчетност“
Чл. 7. (1) Фондацията събира и обработва лични данни само при наличие на валидно правно основание по чл. 6 от Регламента (принципът на „Законосъобразност, добросъвестност“).
(2) Конкретните правни основания за събиране и обработване на лични данни се проверяват и документират в Регистър по чл. 30 от Регламента (Приложение 2 - Регистър по чл. 30 от Регламент (ЕС) 2016/679).
(3) Регистърът по чл. 30, пар. 1 от Регламента се поддържа в хартиен и в електронен вариант и се актуализира от изпълнителния директор на Фондация “Гутенберг 3.0”.
Чл. 8. Когато има основание за събиране на лични данни на правно основание „съгласие“, Организацията спазва всички изискуеми елементи на съгласието, а именно: то да е изрично и конкретно дадено, да е дадено свободно, информирано, да може лесно да се оттегли (също толкова лесно, колкото е дадено).
Чл. 9. В случаите на обработване на лични данни на деца под 14-годишна възраст, при което обработване приложимото правно основание е „съгласие“, Фондацията изисква предоставянето на съгласието за обработване на данните на детето да се извършва от страна на носещия родителска отговорност за детето (родител/настойник).
Чл. 10. При обработване на лични данни на основание „легитимен интерес“, във всеки един конкретен случай Фондацията извършва тест (балансиращ) за правата и свободите на засегнатите физически лица.
Чл. 11. (1) Фондацията спазва изискването на Регламента за прозрачност (принципът на „Прозрачност“), като дава информация на физическите лица, чиито данни обработва, посредством ясни, разбираеми Уведомления за поверителност, публикувани на интернет адреса на Платформата (Приложения 8 – 10: Уведомление за поверителност за родители; Уведомление за поверителност за деца между 14- и 18-годишна възраст; Уведомление за поверителност за учители).
(2) Уведомлението за поверителност, насочено към децата между 14- и 18-годишна възраст (Приложение 9), е съобразено със спецификата на тази аудитория, актуализира се при необходимост, а нивото на неговата разбираемост се проверява редовно.
Чл. 12. Фондацията събира личните данни за конкретни, изрично указани и легитимни цели и не ги обработва по-нататък по начин, който е несъвместим с тези цели (принципът на „Ограничение на целите“). Фондацията определя целите, за които се използват личните данни и ограничава обработването им в рамките на необходимото за постигане на тези цели. В случай на необходимост от използване на данните за вторични цели (други цели извън първоначалните), се извършва преценка за съвместимостта на новите с първоначалните цели.
Чл. 13. Организацията не събира и съхранява други лични данни извън строго необходимите, подходящите и свързани с целта, за която се събират (принципът на „Свеждане на данните до минимум“).
Чл. 14. Фондацията въвежда разумни мерки за гарантиране на точността и поддържането на актуалността при необходимост на администрираните от нея лични данни, в това число мерки, които да позволят навременно идентифициране и изтриване на личните данни, които са в повече или чиито срокове са изтекли, както и коригирането на неточните лични данни (принципът на „Точност“ (и актуалност) на данните).
Чл. 15. Личните данни следва да бъдат съхранявани за период, не по-дълъг от необходимото за целите, за които се събират, както и се въвеждат мерки (там, където е необходимо), които не позволяват идентифицирането на субекта на данни за срок по-дълъг от необходимото (принципът на „Ограничение на съхранението“).
Чл. 16. Личните данни се обработват по начин, който осигурява подходящо ниво на сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане. Дружеството прилага подходящи технически и организационни мерки, за да запази цялостта и поверителността на данните във всеки един момент (принципът на „Цялостност и поверителност“).
Чл. 17. Фондацията носи отговорност и следва да може да докаже спазването на всички принципи на Регламента, изброени дотук (принципът на „Отчетност“).
III. Данни за деца
Чл. 18. Относно данните на деца под 14-годишна възраст:
1. Данни за деца под 14-годишна възраст се събират и обработват само ако се предоставят от носещия родителска отговорност за детето (родител/настойник).
2. Данни на деца под 14-годишна възраст могат да се събират и чрез учителите на съответните деца, които учители си регистрират учителски профил на Платформата.
3. Учителите на съответните деца сключват с Фондацията Анекс 1 към Условията за използване на онлайн платформата Книговище.бг ведно с Приложения 1 и 2 , като, по силатата на споразумението, учителите се ангажират да уведомяват родителите/настойниците и там, където е необходимо, да събират съгласието на родителите/настойниците за участието на детето на Платформата (за регистрацията на профил на дете на Платформата).
4. Учител, неподписал споразумението по предходната точка, няма право да регистрира профил на Платформата дете под 14-годишна възраст.
Чл. 19. Относно данните на деца между 14- и 18-годишна възраст:
1. Данните за деца между 14- и 18-годишна възраст се предоставят самостоятелно от децата, чрез създаване на профил на Платформата от самите тях.
2. Регистрираният профил на дете между 14- и 18-годишна възраст се управлява самостоятелно от детето.
IV. Споделяне на данни
Чл. 20. (1) Организацията може да споделя данни с външни лица само в регламентираните от закона/нормативните актове случаи, както и в резултат на възлагане на дейности от страна на Фондацията на външни лица (в качеството им на „обработващи“ или в случай на „самостоятелни администратори“), за което сключва писмени споразумения и уведомява физическите лиа за основните постигнати договорености.
(2) Фондацията се ангажира винаги да избира само надеждни външни лица за доставчици на услуги и при техния подбор да изисква гаранции, доказателства (под формата на сертификати, асоцииране към кодекси или чрез други релевантни писмени документи) за надеждността на доставчиците.
Чл. 21. (1) С външните физически и юридически лица, с които Фондацията влиза в договорни отношения и/или които могат да имат достъп до лични данни и които се явяват (по смисъла на Регламента) в ролята на „обработващ“ за нея, Фондацията поставя изисквания и дава задължителни инструкции, вкл. но не само, чрез индивидуално писмено споразумение с всяко едно от тези лица.
(2) Споразуменията, които Организацията сключва в случаите по предходната алинея, са с формата и съдържанието, изискуеми по чл. 28 от Регламента (Приложение 6 - Образец на споразумение/договор с обработващ).
Чл. 22. Неспазването на принципите, изискванията и задълженията за защита на личните данни от страна на външните лица може да доведе до прекратяване на бизнес и договорни взаимоотношения с тях.
V. Мерки за защита
Чл. 23. (1) Фондацията прилага строги организационни и технически мерки с цел защита на обработваните лични данни от случайно или неправомерно унищожаване, загуба, промяна, неправомерно разкриване или достъп.
(2) Прилагат се следните (но не само) мерки за защита:
1. достъпът до данните е ограничен на принципа „необходимост да знае“, като всеки един служител или лице с разрешен достъп (например, създателите на Платформата) достъпва Платформата/системата посредством индивидуален профил;
2. служителите се задължават в писмена форма да спазват описаните тук правила;
3. поддържането, наблюдението на сигурността на Платформата, прилагането на подходящи мерки, вкл. управлението на профили, както и извършването на редовни проверки на сигурността на Платформата, се възлага на външно лице, което разполага с квалифицирани експерти в областта на информационната сигурност.
(3) Лицето по т. 3 от предходната алинея се задължава да наблюдава сигурността на Платформата чрез подходящи мерки и средства. В случай на настъпил инцидент или съмнение за инцидент, това лице уведомява незабавно ръководството на Фондацията, но в срок не по-дълъг от 2 часа от установяване.
(4) Възлагането на дейността по т. 3 от предходната алинея се извършва с писмен договор, в който договор се уреждат задълженията на лицето, както и се уреждат взаимоотношенията според изискванията на чл. 28 от Регламента.
VI. Нарушение на сигурността на данните
Чл. 24. (1) В случай на инцидент или съмнение за инцидент, водещ до нарушение на сигурността на личните данни, служителите са длъжни незабавно (но не по-късно от края на същия ден) да уведомят изпълнителния директор, отговорен за контрола по спазването на настоящата политика.
(2) В случай на инцидент, водещ до нарушение на сигурността на личните данни, нарушението се отбелязва в нарочен регистър (Приложение 11 – Регистър на нарушенията на сигурността на данните).
(3) В случай на инцидент, водещ до нарушение на сигурността на личните данни, което е вероятно да породи риск за правата и свободите на физическите лица, Фондацията уведомява Комисия за защита на личните данни (КЗЛД) без ненужно забавяне, но не по-късно от 72 часа от узнаване за нарушението. За уведомяването се използваПриложение 12 – Формуляр/образец за уведомяване на надзорния орган в случай на нарушение на сигурността.
(4) Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Фондацията, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни. За съобщаването се използва Приложение 13 - Формуляр за съобщение до субектите на данни в случай на нарушение на сигурността.
VII. Анализ на риска, защита на данните от етапа на проектиране и по подразбиране
Чл. 25. (1) Фондацията е възприела подход, базиран на риска и защита на данните от етапа на проектиране.
(2) Основният източник на събиране на данни е Платформата, чрез която Фондацията реализира целта си.
(3) Платформата е изработена/актуализирана и се поддържа в съответствие с изискванията за защита на данните от етапа на проектиране и по подразбиране.
Чл. 26. За всяка нова дейност и/или когато е налице изискване/задължение за Фондацията да извърши оценка на въздействието върху защитата на данните, анализът на риска и оценката се извършват с помощта на ръководството по Приложение 5 (Процедура и формуляр).
VIII. Права на субектите на данни по Регламента
Чл. 27. (1) Освен политиката си на предоставяне на прозрачна информация, Фондацията спазва всички други приложими изисквания при постъпило искане за упражняване на право от страна на физическо лице.
(2) Исканията могат да бъдат подадени само през индивидуалния профил на съответния потребител.
(3) При забравена парола, лицето следва процедурата за възстановяване, след което подава искане.
(4) Други физически лица, които искат да упражняват техни права по Регламента, но нямат активен профил на Платформата, могат да подават писмени искания към Фондацията, използвайки Приложение 4 - Образец на формуляр за искане на субект на данни.
(5) Всяко получено искане от физическо лице се обработва в срок не по-дълъг от 1 месец. В случай на извънредни обстоятелства, Фондацията удължава този срок, като изпраща предварителна информация на физическото лице за наличието на това обстоятелство.
(6) Исканията на физическите лица се обработват от служител, определен с нарочна заповед.
(7) Исканията от физически лица, подадени по този раздел, се входират в нарочен регистър (Приложение 3 - Регистър на исканията на субекти на данни). Заедно с входирането на искането се съхранява и документ (на хартиен или електронен носител), доказващ спазването на процедурата.
IХ. Обучения на служители
Чл. 28. На учредителите и на служителите на Фондацията е проведено първоначално обучение във връзка със защитата на личните данни и Регламента.
Чл. 29. Заедно с това, на служителите е проведен инструктаж за приетите политики, процедури, вътрешни инструкции и правила от Фондацията във връзка със защитата на личните данни, както и обучение за дигитална хигиена.
Чл. 30. (1) Фондацията периодично и при необходимост провежда/организира обучения, поддържащи знанията на учредителите и на служителите в сферата на защитата на личните данни.
(2) При изготвяне на график за предстоящи обучения, вкл. на график за регулярна проверка и актуализиране на политиките, процедурите и др. документи, свързани със защитата на личните данни (с оглед съответствие с Регламента), се използва формуляра от Приложение 11 (График за обучение на служители и за регулярна проверка и актуализиране).
Администратор на лични данни: Фондация „Гутенберг 3.0“, ЕИК: 205143716
Политиката за защита на личните данни е последно актуализирана на 17.3.2020 г.