ВАРНЕНСКИ СВОБОДЕН УНИВЕРСИТЕТ
“ЧЕРНОРИЗЕЦ ХРАБЪР”
Варна, 2016 г.
Раздел І
ОБЩИ ПОЛОЖЕНИЯ
Чл. 1. Варненският свободен университет е юридическо лице със седалище и адрес на управление: гр. Варна, кк “Чайка“. Университетът, представляван от Президент, е администратор на лични данни по смисъла на чл. 3, ал. 1 от Закона за защита на личните данни и е вписан в регистъра на администраторите на лични данни и на водените от тях регистри на личните данни по чл. 10, ал. 1, т. 2 от ЗЗЛД с уникален идентификационен номер 142224.
Чл. 2. Настоящата инструкция регламентира воденето, поддържането и защитата на регистрите с лични данни, съществуващи в Университета; задълженията на длъжностните лица; имащи достъп и обработващи лични данни, и тяхната отговорност при неизпълнение на тези задължения; необходимите мерки за защита на личните данни, обработвани в Университета, от случайно или незаконно унищожаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни, а също така и достъпа до тези данни.
Чл. 3. Настоящата инструкция се приема на основание чл. 23, ал. 4 от ЗЗЛД и чл. 19, т. 2 от Наредба № 1 на КЗЛД от 30.01.2013 г. за минимално ниво на технически и организационни мерки и допустимия вид защита на личните данни.
Чл. 4. (1) Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци, свързани с неговата физическа, физиологична, генетична, психическа, психологическа, икономическа, културна или социална идентичност.
(2) Принципите за защита на личните данни са:
– Принцип на ограниченото събиране – събирането на лични данни трябва да бъде в рамките на необходимото. Информацията се събира по законен и обективен начин;
– Принцип на ограниченото използване, разкриване и съхраняване – личните данни не трябва да се използват за цели, различни от тези, за които са били събирани, освен със съгласието на лицето или в случаите, изрично предвидени в закона. Личните данни трябва да се съхраняват само толкова време, колкото е необходимо за изпълнението на тези цели;
– Принцип на прецизност – личните данни трябва да са прецизни, точни, пълни и актуални, доколкото това е необходимо за целите, за които се използват;
– Принцип на сигурността и опазването – личните данни трябва да са защитени с мерки за сигурност, съответстващи на чувствителността на информацията.
Чл. 5. (1) Администраторът на лични данни (АЛД) определя вида на обработваните данни, целите и начините на обработване и защита на личните данни.
(2) Администраторът на лични данни обработва личните данни самостоятелно или чрез възлагане на обработващ данните.
Чл. 6. (1) Обработващи личните данни са длъжностни лица, които обработват – актуализират, записват, изменят, организират, складират, поддържат, употребяват, съхраняват, архивират и т. н., личните данни в поддържаните във ВСУ регистри от името и за сметка на администратора на лични данни.
(2) Обработващите лични данни се определят със заповед на АЛД – Президента на ВСУ.
Раздел II
ВИДОВЕ РЕГИСТРИ, ПОДДЪРЖАНИ ВЪВ ВСУ. ОЦЕНКА НА ВЪЗДЕЙСТВИЕ И ОПРЕДЕЛЯНЕ
НА НИВО НА ЗАЩИТА
Чл. 7. Регистър на лични данни е всяка структурирана съвкупност от лични данни, достъпна по определени критерии.
Чл. 8. Във ВСУ се водят и поддържат следните регистри:
1. „Студенти, докторанти и курсисти”;
Чл. 9. (1) В регистър “Студенти, докторанти и курсисти” се събират, обработват и съхраняват всички лични данни, които са необходими на администратора за създаване, поддържане и прекратяване на правните взаимоотношения на ВСУ с кандидат-студенти, кандидат-докторанти, кандидат-курсисти и приетите студенти, докторанти и курсисти.
1. Данни за идентичност на физическите лица: три имена, ЕГН, номер на лична карта или друг документ за самоличност, дата и място на издаване, дата и място на раждане, актуален постоянен адрес, настоящ адрес, телефон за връзка и т. н.
Данните са необходими за идентификация на лицето, както и за изпълнение на задължения, записани в нормативен акт.
2. Данни за социална идентичност: вид и степен на образованието, място, дата и номер на издадените документи, удостоверяващи съответната образователна степен, допълнителна професионална квалификация или правоспособност (специализации, курсове, семинарни форми и т. н.), място, дата и номер на издадените документи, удостоверяващи допълнително придобитите знания и умения, текущ студентски статус и т. н. Данните са необходими за определяне на достигната степен на образование и за изпълнение на задъл-жения, записани в нормативен акт.
3. Данни за икономическа идентичност: данни за банкова сметка (при необходимост). Данните са необходими за счетоводни цели, за изпълнение на задължения, записани в нормативен акт.
4. Данни за здравословно състояние: здравословен статус, психологически статус (медицинско свидетелство). Данните са необходими за за изпълнение на задължения, записани в нормативен акт.
(3) Нормативното основание за обработване на данните от регистъра са Законът за висшето образование и подзаконовите нормативни актове към него, Законът за развитие на академичния състав в Р България и Правилникът за прилагането му, Наредба № 1 за учебната дейност и др. вътрешно-нормативни актове, свързани с нейното прилагане, Наредба № 12 за придобиване на образователна и научна степен „доктор“ и научна степен „доктор на науките“, Законът за професионалното образование и обучение, Правилникът за функциониране на ЦПО и др.
(4) Технология на събиране, обработване и съхранение:
1. Личните данни в този регистър се набират при подаване на документи за кандидатстване и записване на студенти, докторанти и курсисти и по време на обучителния процес.
2. Личните данни в регистъра се събират директно от лицата, като същите биват информирани от нуждата за тяхното събиране, за категорията лични данни, които се събират, причината за тяхното обработване, получателите или категориите получатели, на които данните могат да бъдат разкрити, задължителния или доброволен характер на съхраняването на данни и последиците, ако същите не бъдат предоставени, както и за правото на достъп и правото да се поправят данните, ако същите са неправилни.
3. При необходимост от корекция или актуализация лицето, за което се отнасят данните, може да предостави правилните и актуализирани данни директно или чрез свързване онлайн или по телефон.
4. Обработването на лични данни се извършва на хартиен и технически носител при средно ниво на защитата им.
5. При повишаване на нивото на чувствителност на информацията, произтичащо от изменение в нейния вид или в рисковете при обработването й, администраторът на лични данни има право да определи друго ниво на защита за регистъра.
6. Данните се обработват във Фронт-офиса, катедрите към факултетите, Технологичния институт, Института за обучение на докторанти, Филиал Смолян, Центъра за професионално обучение.
7. Обработващи лични данни, отговорни за поддръжката и актуалното състояние на водените регистри, са служителите, заемащи следните длъжности:
8. Достъп до регистрите и право да работят с лични данни под ръководството на обработващите лични данни имат определени със заповед на Президента длъжностни лица.
9. Електронният пренос на личните данни се осъществява при осигуряване на защита – програма за защита на системата от външни лица, актуализирана антивирусна и антидостъп защита, както и виртуална частна мрежа за дистанционен достъп, в съответствие с приложимото законодателство, за да може Университетът да изпълнява законовите си задължения, и за други нужди, посочени в тази инструкция.
10. Личните данни в регистъра се съхраняват на хартиен и електронен носител само за времето, необходимо за управ-ление на взаимоотношението със студента, докторанта и курсиста, колкото е необходимо за изпълнение на правните задължения на администратора. Данните се унищожават при изтичане на посочения период.
11. Трайно съхраняване на лични данни се извършва на хартиен носител в помещения, определени за архив. Срокът на съхранение на данните от регистъра е постоянен.
12. Помещенията, определени за архив, са оборудвани с пожарогасители и задължително се заключват.
13. Достъп до тях имат само оторизирани служители съгласно задълженията им, произтичащи от длъжностните им характеристики.
14. В случаите, когато се налага унищожаване на носител на лични данни, операторът по подходящ начин извършва необходимите действия за неговото заличаване по начин, изключващ възстановяване на данните и злоупотреба с тях.
15. Описаните в раздел III мерки за защита на данните са съотносими за този регистър.
16. Срокът за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и от заличаването им е 2 (две) години.
(5) Оценка на нивото на въздействие и ниво на защита на регистъра:
1. Администраторът оценява следното ниво на въздействие:
Име на регистъра | Ниво на въздействие | |||
Поверителност | Цялостност | Наличност | Общо за регистъра | |
„Студенти, докторанти и курсисти“ | средно | средно | средно | средно |
2. Нивото на защита на личните данни съгласно Наредба № 1 от 30.01.2013 г. на КЗЛД за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни е средно.
Чл. 10. (1) В регистър “Персонал” се събират, обработват и съхраняват всички лични данни, които са необходими на администратора за уреждане на законосъобразното учредяване, изменение и прекратяване на трудовите и граждански правоотношения и на финансовите взаимоотношения на работодателя и наетите лица.
(2) Категории лични данни и цели на обработването:
1. Данни за идентичност на физическите лица: три имена, ЕГН, номер на лична карта или друг документ за самоличност, дата и място на издаване, дата и място на раждане, актуален постоянен адрес, настоящ адрес, телефон за връзка, имейл и т. н.
Личните данни са необходими за идентификация на лицето и за осигурителни, данъчни и административни цели.
2. Данни за социална идентичност:
– вид и степен на образованието, място, дата и номер на издадените документи (дипломи), удостоверяващи съответната образователна степен, допълнителна професионална квалификация или правоспособност (специализации, курсове, семинарни форми и т. н.), място, дата и номер на издадените документи, удостоверяващи допълнително придобитите знания и умения, текущ учебен статус и успех и т. н. Данните са необходими с оглед спазване на нормативни или установени с щатното разписание на длъжностите изисквания за заемане, респ. за освобождаване на длъжности от лицата, както и за други свързани с управлението на човешките ресурси цели, като участие на служителите в програми за допълнително обучение/квалификация и професионално развитие;
– трудовата дейност: трудов стаж, професионална биография, бивши работодатели, референции от предишни работодатели, ако е необходимо подобно потвърждаване на усвоените знания и умения, заемани длъжности (позиции), изпълнявани функции, проекти (национални, международни) и т.н. Данните са от значение при избора на подходящо за съответната длъжност лице, както и за други, свързани с управлението на човешките ресурси цели, като участие на служителите в програми за допълнително обучение/квалификация и професионално развитие.
3. Данни за икономическа идентичност: банкови сметки, взаимоотношения с финансови институции, когато има такава информация. Данните са необходими за изплащане на възнагражденията по трудови и граждански договори.
4. Данни за здравния статус: медицински свидетелства за започване на работа, решения на ТЕЛК, болнични листи, характеризиращи здравословния статус, психическото състояние, работоспособността, временната или трайната неработоспособност и т. н. Данните са от значение при заемане на длъжности и изпълнение на функции по трудови правоотношения, изискващи висока степен на отговорност, пряка ангажираност и непосредствен досег с хора, както и при необходимост от съобразяване на условията на труд със специфичното здравословно състояние на лицето и в случаите, в които това се изисква от действащото законодателство.
5. Данни за обществения статус: синдикална принадлежност на работниците и служителите, етническа принадлежност, гражданскоправен статус, съдимост и др. Данните са от значение за изпълняване на функции по трудовите правоотношения.
6. Семейната идентичност: семейно положение, наличие на брак, развод, брой на членовете на семейството, деца, възраст на децата и дата на раждане, адрес, трудова и учебна заетост на членовете на семейството и т. н.
(3) Нормативното основание за обработване на данните от регистъра са Кодексът на труда, Кодексът за социалното осигуряване, Законът за счетоводството, Законът за данъците върху доходите на физическите лица и други и свързаните с тях подзаконови нормативни актове.
(4) Технология на събиране, обработване и съхранение:
1. Личните данни в тези регистри се набират както при подаване на документи за постъпване на работа, така и в процеса на съществуването на правоотношението между Университета и наетите лица. Личните данни се съдържат в следните оригинали или копия на документи:
– копие на документи за самоличност при декларирано съгласие на лицето, чиито данни се обработват;
– копие на дипломи за завършено образование и допълнителни квалификационни курсове, академични справки, уверения за текущ учебен статус и успех, дипломи за придобити научни звания и степени, документи, удостоверяващи придобита правоспособност, грамоти и удостоверения за участие в квалификационни курсове, специализации и семинари, други сертификати и дипломи;
– платежни фишове, сметки за изплатени суми, декларации по КСО, ЗЗО и ЗДДФЛ, декларации за банкови сметки и др.;
– трудова, осигурителна книжка, УП-3, професионална биография на служителя, референции и препоръки, предоставени от предишни работодатели, длъжностни характеристики на заемани преди това длъжности;
– медицински удостоверения, констатиращи хронични и/или професионални заболявания;
– декларации, удостоверения и други документи, които удостоверяват факти във връзка с обществения статус на служителите, свидетелства за съдимост.
2. Регистрите се водят на хартиен и на технически носител.
3. Формата на организация и съхраняване на личните данни е писмена (документална), съхраняват се в папки (трудови досиета) за всеки работник или служител. Досиетата се подреждат в специален картотечен, oгнеупорен шкаф със заключване в отдел „Човешки ресурси“.
4. Подаването на заявление за назначаване става на хартиен носител. След одобрение на заявлението за постъпване на лицето, за оформяне възникването на валидно трудово правоотношение при спазване правилата на подбор, обработ-ващият личните данни (инспектор в отдел “Човешки ресурси“) изготвя проект за трудов договор.
5. Изготвеният трудов договор на технически носител остава в отделен файл на компютъра в отдел „Човешки ресурси“, като достъп до него има само обработващият лични данни.
6. След подписването на трудовия договор екземпляр от него заедно с останалите носители на лични данни се подрежда в трудово досие, което се съхранява съответно в картотечния шкаф със заключване в отдел „Човешки ресурси“. След подписването на гражданския договор екземпляр от него остава на съхранение във Фронт-офиса (за преподаватели на хонорар) и в Института за обучение на докторанти (за преподаватели, участвали в научни журита).
7. Картотечните шкафове се намират в помещение, пред-назначено за самостоятелна работа на служител, на когото е възложено да обработва лични данни. Ведомостите се съхраняват в метална каса в помещение с видеонаблюдение във Финансово-счетоводния отдел.
8. Обработващи лични данни, отговорни за поддръжката и актуалното състояние на регистъра, са служителите, заемащи следните длъжности:
– главен счетоводител;
– зам.-гл. счетоводител;
– ръководител-тдел “Човешки ресурси”.
9. Достъп до регистрите и право да работят с лични данни под ръководството на обработващите лични данни имат определени със заповед на Президента длъжностни лица.
1.0 При изготвяне на ведомости за заплати или щатно разписание на персонала личните данни се въвеждат на твърд диск, на изолиран компютър. Компютърът е свързан в локална мрежа, но със защитен достъп до личните данни, който е непосредствен само от страна на оператора на лични данни. Софтуерните продукти са адаптирани към специфичните нужди на администратора на лични данни.
11. Компютрите се намират в помещения, предназначени за самостоятелна работа на служители, на които със заповед е възложено да бъдат обработващи лични данни.
12. Достъп до операционната система, съдържаща файлове за обработка на лични данни, има само обработващият лични данни чрез парола за отваряне на тези файлове, известна единствено на него, а в негово отсъствие – на служителя, определен като негов заместник съгласно длъжностната характеристика. Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поддържане на антивирусни програми, периодично архивиране на данните на магнитен носител.
13. Освен посочените лица и при посочените случаи достъп до лични данни има и счетоводителят, изготвящ разплащателни документи, свързани с преводи на възнагражденията на лицата, наети по трудови правоотношения и граждански договори по банков път.
14. При необходимост от поправка на лични данни лицата предоставят такива на обработващия лични данни по негово искане на основание нормативно задължение.
15. Пренос на личните данни от регистъра по електронен път се извършва при осигуряване на необходимото ниво на защита в съответствие с действащото законодателство с цел осъществяване на законовите задължения на Университета.
16. Описаните в раздел III мерки за защита на данните са съотносими за този регистър.
17. Архивиране на личните данни на технически носител се извършва периодично от обработващия лични данни с оглед запазване на информацията за съответните лица в актуален вид.
18. Архивните копия се създават от служители, натоварени да обработват в компютърен файл лични данни, съхранявани на подходящи носители, чрез които може да се осъществи възстановяването.
19. Трайно съхраняване на лични данни се извършва на хартиен носител в помещения, определени за архив. Срокът на съхранение на данните от регистрите е 50 (петдесет) години.
20. При регистриране на неправомерен достъп до информационните масиви за лични данни служителят, констатирал това нарушение, докладва писмено за инцидента на прекия си ръководител.
21. Процедурата по докладване и управление на инциденти задължително включва регистрирането на инцидента, времето на установяването му, лицето, което го докладва, лицето, на което е бил докладван, последствията от него и мерките за отстраняването му.
22. Срокът за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и от заличаването им е 2 (две) години.
(5) Оценка на нивото на въздействие и ниво на защита на регистъра:
1. Администраторът оценява следното ниво на въздействие:
Име на регистъра | Ниво на въздействие | |||
Поверителност | Цялостност | Наличност | Общо за регистъра | |
“Персонал“ | средно | средно | средно | средно |
2. Нивото на защита на личните данни съгласно Наредба № 1 е средно.
Чл. 11. (1) В регистър “ВИДЕОНАБЛЮДЕНИЕ“ се събират, обработват и съхраняват лични данни на студенти, преподаватели и служители и посетителите в сградата на Университета.
1. В регистъра се обработват и съхраняват лични данни относно физическата идентичност, която включва видеообраз.
(3) Нормативното основание за водене на регистъра е Законът за частната охранителна дейност.
(4) Технология на събиране, обработване и съхранение:
1. Регистърът се попълва с данни от автоматично дено-нощно видеонаблюдение (видеообраз) за движението на служителите и посетителите към подходите на сградата на Университета. Видеонаблюдението се осъществява от външна охранителна фирма посредством инсталирани външни и вътрешни камери.
2. Обработващи лични данни, отговорни за поддръжката и актуалното състояние на регистъра, са служителите от външната охранителна фирма, на която Университетът е възложил осъществяването на охраната.
3. Право на достъп до данните в регистъра имат:
а) лицата, за които се отнасят данните в регистъра, по тяхно изрично искане;
б) обработващите лични данни;
в) държавни органи, надлежно легитимирали се с документи – писмени разпореждания на съответния орган, в които се посочват основанието и имената на лицата, на които е необходимо да се осигури достъп до личните данни.
4. Данните в регистъра се предоставят доброволно от лицата при влизането им в сградата на Университета. На входовете на сградата са поставени информационни табла за уведомяване на гражданите за използването на технически средства за наблюдение и контрол съгласно чл. 30, ал. 2 и ал. 4 от ЗЧОД.
5. Защитата на личните данни, които се обработват във „Видеонаблюдение”, се осигурява чрез мерките, предвидени в раздел III от тази инструкция.
6. Данните от регистъра не могат да бъдат предавани по електронен път.
7. Личните данни в регистъра се съхраняват за периода, необходим за изпълнение на правните нужди на администрацията, съобразно категорията лични данни и целите за обработката им. Личните данни не се съхраняват по-дълго, отколкото е необходимо за защитата на законовите интереси на Университета. Видеокадрите се съхраняват 15 календарни дни. Унищожаването се осъществява автоматично.
8. Срокът за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и от заличаването им е 2 (две) години.
(5) Оценка на нивото на въздействие и ниво на защита на регистъра:
1. Администраторът оценява следното ниво на въздей-ствие:
Име на регистъра | Ниво на въздействие | |||
Поверителност | Цялостност | Наличност | Общо за регистъра | |
“Видеонаблюдение“ | ниско | ниско | ниско | ниско |
2. Нивото на защита на личните данни съгласно Наредба № 1 е ниско.
Чл. 12. (1) В регистър “КОНТРАГЕНТИ“ се набират и съхраняват лични данни на физически лица и/или физически лица, представляващи юридически лица – доставчици, клиенти и други.
(2) Категории лични данни и цели на обработването:
1. Данни за идентичност на физическите лица: три имена; ЕГН; номер на лична карта; дата и място на издаване; адрес; телефонен номер; имейл. Данните са необходими за идентификация на лицето, за осъществяване на кореспонден-ция с контрагента и за счетоводни цели.
2. Данни за икономическа идентичност: данни за банкова сметка. Данните са необходими за счетоводни цели.
(3) Нормативното основание за обработване на данните от регистъра са Законът за задълженията и договорите; Търговският закон, Законът за данъка върху добавената стойност и др. нормативни актове в съответствие с действащото законодателство.
(4) Технология на събиране, обработване и съхранение:
1. Източниците, от които се събират данните, са: от физическите лица, за които се отнасят, от публични регистри и от интернет.
2. Формата на организация и съхраняване на личните данни е писмена (документална), събират се в папки, които се съхраняват в специален шкаф със заключване в кабинет на вицепрезидент и Финансово-счетоводния отдел.
3. Обработващи лични данни, отговорни за поддръжката и актуалното състояние на регистъра са служителите, заемащи следните длъжности :
– вицепрезидент;
– директор по организацията на битовото обслужване на преподаватели, студенти и служители;
– директор на Филиал Смолян;
– главен счетоводител;
– зам.-гл. счетоводител.
4. Достъп до регистъра и право да работят с личните данни от него под ръководството на обработващите лични данни имат служителите от Финансово-счетоводния отдел.
5. Право на достъп до данните в регистъра имат:
а) лицата, за които се отнасят данните в регистъра, по тяхно изрично искане;
б) обработващите лични данни;
в) държавни органи, надлежно легитимирали се с документи – писмени разпореждания на съответния орган, в които се посочват основанието, имената на лицата, на които е необходимо да се осигури достъп до личните данни.
6. Личните данни се съдържат в следните оригинали или копия на документи: фактури, договор за изпълнение на конкретната дейност и др.
7. Обработването на лични данни се извършва на хартиен и електронен носител.
8. Описаните в раздел III мерки за защита на данните са съотносими за този регистър.
9. Срокът за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и от заличаването им е 2 (две) години.
10. Личните данни в регистъра се съхраняват на хартиен и технически носител само за времето, необходимо за управ-ление на взаимоотношението със съответния контрагент, колкото е необходимо за изпълнение на правните задължения на администратора. Данните биват унищожавани при изтичане на определения период.
11. Трайно съхраняване на лични данни се извършва на хартиен носител в помещения, определени за архив. Максималният срок на съхранение на данните от регистъра е 10 (десет) години.
(5) Оценка на нивото на въздействие и ниво на защита на регистъра:
1. Администраторът оценява следното ниво на въздействие на регистъра:
Име на регистъра | Ниво на въздействие | |||
Поверителност | Цялостност | Наличност | Общо за регистъра | |
„Контрагенти” | ниско | ниско | ниско | ниско |
2. Обработването на лични данни се извършва при ниско ниво на защитата им.
3. При повишаване на нивото на чувствителност на информацията, произтичащо от изменение в нейния вид или в рисковете при обработването й, администраторът на лични данни има право да определи друго ниво на защита за регистъра.
Чл. 13. (1) В регистър “ПРОПУСКАТЕЛЕН РЕЖИМ“ се набират и съхраняват лични данни на посетители в сградата на Университета.
(2) Категории лични данни и цели на обработването:
1. Данни за идентичност на физическите лица: три имена; ЕГН; номер на лична карта; дата и място на издаване. Данните са необходими за идентификация на лицето.
(3) Нормативното основание за обработване на данните от регистъра са Законът за частната охранителна дейност и Наредба № 10 за вътрешния трудов ред и сигурност във ВСУ.
(4) Технология на събиране, обработване и съхранение:
1. Източниците, от които се събират данните, са: физическите лица, за които се отнасят.
2. Данните в регистъра се предоставят доброволно от лицата при влизането им в сградата на Университета.
3. Обработващи лични данни, отговорни за поддръжката и актуалното състояние на регистъра са служителите от външната охранителна фирма, на която Университетът е възложил осъществяването на охранителната дейност.
4. Обработването на лични данни се извършва на хартиен носител.
5. Достъп до регистъра и право да работят с лични данни под ръководството на обработващите лични данни имат определени със заповед на Президента длъжностни лица.
6. Категориите лица, на които личните данни могат да бъдат разкривани, са физическите лица, за които се отнасят данните, и други лица, ако е предвидено в нормативен акт.
7. Защитата на личните данни, които се обработват в регистър „Пропускателен режим“, се осигурява чрез мерките, предвидени в раздел III от тази инструкция.
8. Право на достъп до данните в регистъра имат:
а) лицата, за които се отнасят данните в регистъра, по тяхно изрично искане;
б) обработващите лични данни;
в) държавни органи, надлежно легитимирали се с документи – писмени разпореждания на съответния орган, в които се посочват основанието и имената на лицата, на които е необходимо да се осигури достъп до личните данни.
9. Данните от регистъра не могат да бъдат предавани по електронен път.
10. Описаните в раздел III мерки за защита на данните са съотносими за този регистър.
11. Личните данни в регистъра се съхраняват за периода, необходим за изпълнение на правните нужди на администрацията, съобразно категорията лични данни и целите за обработката им. Личните данни се съхраняват не по-дълго, отколкото е необходимо за защитата на законовите интереси на Университета.
12. Трайно съхраняване на лични данни се извършва на хартиен носител в помещението на охраната на Университета. Максималният срок на съхранение на данните от регистъра е 1 (една) година.
(5) Оценка на нивото на въздействие и ниво на защита на регистъра:
1. Администраторът оценява следното нивото на въздействие на регистъра:
Име на регистъра | Ниво на въздействие | |||
Поверителност | Наличност | Общо за регистъра | ||
„Пропускателен режим режим” | ниско | ниско | ниско | ниско |
2. Нивото на защита на личните данни съгласно Наредба № 1 от 30.01.2013 г. на КЗЛД за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни е ниско.
Раздел ІІI
ВИДОВЕ ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Чл. 14. Физическата защита е система от мерки по защита на сградите и помещенията, в които се създават, обработват и съхраняват лични данни и контрола върху достъпа до тях.
(1) Организационни мерки:
1. Определяне на зони с контролиран достъп:
• Всички физически зони с хартиени и електронни записи са ограничени само за служители, които трябва да имат достъп чрез принципа „Необходимост да знае” с оглед изпълнението на служебните им задължения. Всички записи и документи на хартиен носител, съдържащи лични данни, са в шкафове, които са заключени в кабинети с ограничен достъп, предоставен само на упълномощен персонал.
• Данните са защитени чрез използването на средства за физически контрол на достъпа, като заключване на вратите. Достъпът до системите, или „електронните” зони, е ограничен чрез уникални потребителски идентификатори и пароли. Всички помещения, в които се съхраняват данни на хартиен носител, се намират в зони с ограничен достъп и са защитени чрез заключване на вратите и шкафовете. Електронни носители, включително сървъри, са защитени по подобен начин – в зони с контрол на достъпа. Обектът и неговите помещения са защитени с 24-часова физическа охрана и СОТ.
• Определят се помещенията, в които ще се обработват лични данни. Личните данни се обработват в непублична част от помещенията, физически ограничена и достъпна само за служители, за които е необходимо да имат достъп с оглед на изпълнението на служебните им задължения.
• Определят се помещенията, в които ще се разполагат елементите на комуникационно-информационните системи за обработване на лични данни.
Комуникационно-информационните системи, използвани за обработка на лични данни, са физически защитени, като достъпът е ограничен само до тези служители, които за изпълнение на служебните си задължения се нуждаят от такъв достъп до данните.
2. Определяне на организацията на физическия достъп.
• Физически достъп до зоните в обекта с ограничен достъп, включително и до тези, в които се намират информационните системи, е възможен само през заключени врати. Достъп се предоставя единствено на служителите, на които той е необходим за изпълнение на служебните им задължения.
(2) Определяне на техническите средства за физическа защита:
• Използват се ключалки, за да се осигури защита на зоните, в които се съхраняват лични данни. Тези зони са достъпни само чрез ключ. Документите, съдържащи лични данни, се съхраняват в заключени картотеки, като всички са в зоните с ограничен достъп на обекта, както е описано по-горе.
• Шкафовете с ограничен достъп са физически заключени с цел защита на регистрите с лични данни.
• Помещенията, в които се съхраняват лични данни, са защитени чрез заключване на вратите и/или заключване на шкафовете. Заключените врати са достъпни чрез ключ за достъп от оторизирания персонал.
• Помещенията се оборудват с пожарогасителни средства в съответствие със закона.
Чл. 15. Персонална защита:
1. Задължително запознаване на служителите с нормативната уредба в областта на защитата на лични данни и настоящата инструкция срещу подпис (Приложение № 3).
2. Съгласие за поемане на задължение за неразпространение на личните данни.
Чл. 16. Документална защита:
1. Определяне на регистрите, които ще се поддържат на хартиен носител – всички водени регистри в Университета се поддържат и на хартиен носител (с изключение на регистър “Видеонаблюдение“).
2. Определяне на условията за обработване на лични данни. Личните данни се събират само с конкретна цел, за да подкрепят законовите задължения на администратора на лични данни. Всеки тип данни се класифицира в съответствие с тяхното предназначение и характер. Те са защитени в съответствие с изискванията, посочени по-горе, а именно: записи на хартиен носител се съхраняват в заключени шкафове и се намират в зоните с ограничен достъп.
3. Регламентиране на достъпа до регистрите. Достъпът до регистрите е ограничен и се предоставя само на упълномощените служители в съответствие с принципа „Необходимост да знае”.
4. Контрол на достъпа до регистрите. Достъпът на персонала или в ограничени случаи на други специално упълномощени лица, е в съответствие с принципа „Необходимост да знае”. Този достъп се ограничава само до конкретни, минимално необходими данни, нужни на служителя, за да изпълнява задълженията си.
5. Определяне на срокове за съхранение на личните данни. Съхраняването на данни е в съответствие с целите, за които са събраните данни, и законоустановения срок. Личните данни се съхраняват толкова дълго, колкото е необходимо, за да се осъществи целта, за която са били събрани, или както се изисква от приложимото право. След изтичането на определения срок данните трябва да бъдат унищожени по безопасен начин.
6. Правила за размножаване и разпространение на лични данни. Личните данни могат да бъдат копирани и разпространявани само ако е необходимо за юридически нужди, както и да бъдат предоставяни само на лица, на които са необходими във връзка с извършване на възложена работа. Служителите са обучени относно политиката срещу копиране и разпространение на записи, съдържащи лични данни. Неразрешено копиране и разпространение е обект на официални санкции в зависимост от тежестта на деянието.
7. Процедури за унищожаване. Документи на хартиен носител, които съдържат лични данни, биват унищожавани по сигурен начин, когато вече не са необходими за правни цели, чрез нарязване или чрез изгаряне. Унищожаването се извършва с протокол, съставен от Експертната комисия по документация (назначена със заповед на Президента) и завеждащия архивохранилище.
Чл. 17. Защита на автоматизираните информационни системи и/или мрежи:
1. Идентификация и автентификация:
• Потребителски акаунти и пароли. С цел да се въведе достъп, съобразен с принципа „Необходимост да знае”, в потребителските информационни системи се прилагат уникални потребителски акаунти и лични пароли за всеки потребител с акаунт за достъп до мрежата.
2.Отговорност на целия персонал:
• Членовете на персонала са лично отговорни за правилното използване на техните потребителски акаунти и пароли.
• Забранено е споделяне на критична информация между персонала (например идентификатори, пароли за достъп и т.н.).
• Забранено е използването на чужди идентификатори за достъп до електронните регистри независимо от начина на узнаването им.
3. Външни връзки/свързване:
• Мрежови определения. Всички вътрешни мрежи на администратора, включително локални мрежи и телекомуникационни връзки от точка до точка, се определят като вътрешни мрежи на администратора. Всички безжични мрежи, интернет, интернет връзки, мрежови връзки с трети страни, мрежови сегменти на хостинг системи на трети страни, които не са под административния контрол на администратора, или всякакви мрежи, които не са под административния контрол на администратора, се определят като обществени мрежи;
• Достъп до Мрежата. IT специалистите на администратора:
– контролират достъпа до вътрешната мрежа на администратора,
– одобряват инсталирането на всички устройства за достъп до мрежата и технологиите, включително суичове, рутери, безжични точки за достъп, точки за достъп до мрежата, интернет връзки, връзки към външни мрежи и други устройства или технологии, които могат да позволят достъп до вътрешните мрежи на администратора,
– одобряват инсталирането на всеки софтуерен продукт (независимо дали е платен или безплатен) на персоналните компютри на персонала; забранено е самоволното инсталиране на какъвто и да е софтуер или включването на мрежови устройства във вътрешната мрежа на администратора без изричното одобрение на IT специалистите,
– Администраторът има правото да одобрява или отхвърля всеки друг достъп до вътрешните мрежи.
• Текуща мрежова документация. IT специалистите поддържат актуална документация за мрежите на администратора, включително, но не само, за мрежовите топологии, стандарти на конфигурацията на устройството, описи на устройствата, ведомствени стандарти и други документи.
• Мрежови защитни стени. Всички вътрешни мрежи на администратора са изолирани от всякакви обществени мрежи чрез използване на устройство „защитна стена”. Всички входящи интернет връзки на вътрешните мрежи на администратора са изолирани чрез използването на персонална и централизирана защитна стена. Защитните стени по подразбиране отказват целия трафик, освен изрично одобрения трафик.
• Вътрешни мрежови връзки. Хардуерът на администратора, който съхранява информация, съдържаща лични данни и който е постоянно или периодично свързан с компютърни мрежи, има система за контрол на достъпа, базирана на парола. Независимо от мрежовите връзки всяка самостоятелна хардуерна обработка на такава информация използва централизирана система за контрол на достъпа, базирана на парола.
• Външни мрежови връзки. Всички входящи връзки към хардуера на администратора от външни мрежи са защитени с одобрена система за контрол на достъпа, базирана на парола, и с мрежова защитна стена. Когато се използват компютри с хардуер на администратора, членовете на персонала на администратора не трябва да установяват неразрешени връзки с обществени мрежи, включително интернет услуги.
4. Телекомуникации и отдалечен достъп:
• Отдалечен достъп. Отдалечен достъп до вътрешни мрежи на администратора може да бъде предоставен за оторизирани нужди, при поискване и с разрешение на Президента на Университета или оторизираните от него за това лица. Процедурите за отдалечен достъп и инструментите за такъв достъп отговарят на всички политики за сигурност. Всеки отдалечен достъп, осъществен чрез обществена мрежа като Интернет или безжична мрежа, използва криптиращи технологии, като Virtual Private Network.
• Интернет достъп. На членовете на персонала може да бъде предоставен достъп до интернет, за да изпълняват служебните си задължения, но индивидуалният достъп може да бъде прекратен по всяко време по преценка на IT специалистите. Цялата информация, получена чрез интернет, е под съмнение, докато не бъде потвърдена от надеждни източници. Членовете на персонала не трябва да предоставят информация относно администратора, независимо дали съдържа или не лични данни, на каквато и да е публично достъпна компютърна система като интернет, освен ако това е било одобрено от Президента на Университета или оторизираните от него за това лица.
5. Защита от вируси:
• IT специалистите на администратора създават и поддържат стандартни и сигурни конфигурации за всяка компютърна и мрежова платформа, с която той оперира. Системният софтуер се контролира и се поддържа от оторизиран персонал по сигурността на информационните технологии, който осигурява непрекъснатата му работа и сигурност. Оторизираният персонал използва само стандартни и базови конфигурации за защита на операционни системи, защитни стени, рутери, мрежови устройства и софтуер, които трябва да се документират и съхраняват за всяка компютърна платформа, с която администраторът оперира.
Стандартните и базови конфигурации за защита трябва да бъдат одобрени от системния администратор:
• Сканиране на компютърни вируси. Хардуерът на администратора работи и се актуализира с версии на одобрен антивирусен софтуер скрининг и вирусните подписи на компютрите са активирани.
На потребителите се забранява да отказват автоматични софтуерни процеси, които актуализират вирусните подписи.
Потребителите използват антивирусния софтуер скрининг, за да сканират всички софтуери и файлове с данни, идващи от или до трети страни. Членовете на персонала не трябва да избягват или да изключват сканиране на процесите, които биха могли да предотвратят предаването на компютърни вируси. Флопи дискове и други носители, използвани от заразен компютър, не трябва да се използват на друг компютър, докато вирусът не бъде успешно премахнат. Потребителите на заразени компютри, трябва незабавно да уведомят IT специалистите и заразеният компютър трябва да бъде незабавно изолиран от вътрешните мрежи.
Антивирусните логове се съхраняват в продължение на най-малко 7 (седем) дни.
6. Поддържане/експлоатация:
• Оценка на сигурността и тестване. IT специалистите на администратора периодично провеждат оценки на сигурността, уязвимостта и тестове за проникване в системи и мрежи. Комисия, назначена със заповед на Президента на Университета, трябва да провежда годишни оценки за сигурността на информацията и/или неприкосновеността на личните данни. Членовете на персонала не трябва да придобиват, притежават, търгуват или използват хардуерни или софтуерни инструменти, които биха могли да бъдат използвани, за да се компрометира сигурността на информационните системи. Примери за такива инструменти са тези, които поразяват софтуера за защита на авторските права, разкриване на тайни пароли, идентифициране на уязвимост в сигурността или дешифриране на криптирани файлове. Забранено е на членовете на персонала, с изключение на оторизираните IT специалисти, да използват хардуер или софтуер, който отдалечено наблюдава трафика в мрежа или опериращ компютър. Неоторизираното използване на такива инструменти може да доведе до дисциплинарни санкции.
7. Копия/резервни копия за възстановяване:
• Архивиране на информацията: целта е да поддържа наличността на информацията. Информацията, съдържаща лични данни, се архивира в съответствие със стандартите за архивиране на данни. Архивирането се извършва централизирано и автоматично, като до помещенията, където се намират сървърите, достъпът е ограничен само за оторизиран персонал.
Всички архиви, съдържащи поверителна и/или служебна информация, се съхраняват с физически контрол на достъпа и се инвентаризират минимум веднъж на тримесечие.
8. Физическа среда/обкръжение:
• За защита на IT оборудването от неоторизиран достъп и контрол на риска от повреда и унищожаване са осигурени физически контрол, включително заключени врати, поддържане на подходяща температура и нива на влажност, и наличие на пожароизвестителна/пожарогасителна система.
9. Персонална защита:
• Осигурени са охранителни услуги в помещенията за защита на физическата среда от нарушители.
10. Процедури за унищожаване/заличаване/изтриване на носители:
• Данни, които вече не са необходими за юридически цели, се унищожават по безопасен начин чрез средства, като нарязване, изгаряне или постоянно заличаване от електронните средства.
11. План при извънредни ситуации:
• План за възстановяване при извънредни ситуации се поддържа за приложения, които боравят с важна информация, включително съдържаща лични данни, за да се осигури наличието на тази информация. Разработени са резервни планове за възстановяване при извънредни ситуации при различни сценарии (например поразяване от криптовируси, повреда на електронни носители, повреда на сървър и др.). Отговорност на IT специалистите е предоставянето на план за действие в извънредни ситуации в случай на отказ на системата. Плановете за действие в извънредни ситуации се актуализират редовно и периодично се проверяват.
Чл. 18. Криптографска защита:
1. Стандартни криптографски възможности на операционните системи:
• Използва се стандартна технология, вградена в операционната ситема, включително симетрично криптиращи тех-нологии. Криптирането се използва за защита на личните данни, които се предават от администратора на лични данни по електронен път или на преносими носители.
2. Стандартни криптографски възможности на системите за управление на бази данни:
• Използва се стандартна технология, вградена в операционната ситема, включително симетрично криптиращи технологии. Криптирането се използва за защита на личните данни, които се предават от администратора на лични данни по електронен път.
3. Стандартни криптографски възможности на комуникационното оборудване:
• Използва се стандартна технология, вградена в операционната ситема, включително симетрично криптиращи технологии. Криптирането се използва за защита на личните данни, които се предават от администратора на лични данни по електронен път.
Раздел IV
ПРАВА И ЗАДЪЛЖЕНИЯ НА ЛИЦАТА, ОБРАБОТВАЩИ ЛИЧНИ ДАННИ
Чл. 19. Право на достъп до регистрите с лични данни имат само оторизираните длъжностни лица, определени със заповед на Президента.
Чл. 20. (1) Обработващият личните данни има следните задължения:
1. Да събира, обработва и съхранява личните данни в регистър при строго съблюдаване и спазване изискванията на ЗЗЛД.
2. Да информира по описания в инструкцията начин всяко физическо лице, чиито лични данни се предоставят за обра-ботка във водените регистри.
3. Да обезпечи попълването от лицата на необходимите при информирането им документи, както и да реализира правото на достъп на лицата до личните им данни в регистрите.
4. Да взаимодейства с останалите обработващи при събирането, обработването, съхранението и архивирането на личните данни по начин, който гарантира прилагането на ЗЗЛД.
5. В срок да разглежда всяко подадено заявление и да проверява законосъобразността на поисканата информация,
6. Да съставя отказ или удостоверение за предоставяне на поисканата информация и да връчва на лицето поисканата и/или предоставената информация.
(2) Всички лични данни, които стават достъпни на обработващия при или по повод изпълнение на неговите задължения, са служебна (фирмена) тайна.
(3) Служителите носят отговорност за осигуряване и гарантиране на регламентиран достъп до служебните помещения и опазване на регистрите, съдържащи лични данни. Всяко умишлено нарушение на правилата и ограниченията за достъп до личните данни от персонала може да бъде основание за налагане на дисциплинарни санкции.
(4) Обработващият не може да разпространява под каквато и да е форма и пред когото и да е факти и сведения, които представляват лични данни по смисъла на ЗЗЛД и са узнати от него при или по повод изпълнението на задълженията му, за целта попълва декларация (Приложение №1към настоящата инструкция).
(5) Обработващият данните носи отговорност пред адми-нистратора и съответното физическо лице за причинени в резултат на неправомерни действия или бездействия имуществени и неимуществени вреди. Вредите са пряка и непосредствена последица от действията на обработващия или на определените от него оператори.
(6) За вредите, причинени на трети лица от действията или бездействията на обработващия, администраторът отговаря солидарно с него.
(7) С нарочна заповед Президентът на ВСУ, в качеството си на администратор, може да определя правото на достъп и работа с лични данни и на други длъжностни лица под ръководството на обработващите лични данни, като се изисква същите да подпишат декларация за обработка на данни и задължения за поверителност. (Приложение № 1)
Чл. 21. (1) В случай, че по силата на вътрешните правила се налага на администратора да пренася документи, съдържащи лични данни, то това става чрез предаване на куриер или изпращане с препоръчано писмо с обратна разписка или чрез други правни способи, които обезпечават надлежна защита.
(2) Документите, съдържащи лични данни, се пренасят в запечатани пликове. Поставянето в плика и неговото запечатване се прави лично от длъжностното лице, което има достъп до съответните данни.
(3) Отварянето на плика, съдържащ лични данни, се прави от длъжностното лице, което има достъп до тях.
(4) Забранява се поставянето, запечатването на пликовете, както и тяхното отваряне, да се прави от лица, които нямат законно основание на достъп до съответните лични данни.
Раздел V
ИНФОРМИРАНЕ НА ЛИЦАТА, ЧИИТО ЛИЧНИ ДАННИ СЕ СЪБИРАТ ВЪВ ВОДЕНИТЕ РЕГИСТРИ
ВЪВ ВСУ
Чл. 22. (1) Администраторът има задължение да информира всяко едно лице преди да събере неговите лични данни относно определени обстоятелства, както следва:
1. обстоятелството, че данните, които то предоставя, представляват лични данни по смисъла на ЗЗЛД;
2. доброволния или задължителния характер на предоставянето на личните данни и последиците при отказ за предоставянето им;
3. целите на обработване на личните данни;
4. право на достъп на лицето до личните му данни;
5. право на лицето да коригира личните си данни.
Чл. 23. (1) Задължението за информиране се реализира от обработващия лични данни от името на администратора.
(2) Информирането представлява уведомяване на лицата, че доброволно предоставените от тях данни ще бъдат съхранявани и използвани по законовия ред, предвиден в правните норми.
(3) Преди да предостави своите лични данни всеки кандидат-студент, студент, кандидат-докторант, кандидат-курсист, докторант и курсист декларира чрез специален запис в документите, които попълва (състезателен картон, именник, докторантски договор), че предоставя доброволно данните си.
(4) Лицата, постъпващи на работа по трудов договор, попълват писмена декларация по утвърден образец (Приложение № 2 ).
(5) Декларираното съгласие се прилага и пази в личното трудово или студентско/докторантско/курсистко досие.
Раздел VI
ДОСТЪП ДО ЛИЧНИ ДАННИ
Чл. 24. (1) Всяко лице, чиито лични данни се намират във водените регистри, има право на достъп до тях.
Чл. 25. (1) Лицето, което иска достъп, може да го направи лично чрез подаване на заявление.
(2) Заявлението трябва да е в писмена форма и да съдържа:
1. Името, адреса и други данни, които са необходими, за да може да се идентифицира съответното лице.
2. Описание на информацията, която иска да получи.
3. Предпочетената форма за предоставяне на достъпа до личните данни.
4. Подпис, дата на подаване на заявлението и адрес за кореспонденция.
(3) Забранява се предоставянето на достъп без заявление, попълнено по надлежен начин.
Чл. 26. Лицето има право да посочи всяка една от следните форми на достъп до личните си данни:
– устна справка;
– писмена справка;
– лично запознаване с документите;
– копие на документи, в които се съдържат личните данни.
Чл. 27. (1) Лицето, което иска достъп, има право да подаде заявлението чрез пълномощник. Пълномощникът задължително представя нотариално заверено пълномощно.
(2) Забранява се достъп до лични данни в случай че към заявлението няма приложено нотариално заверено пълномощно.
Чл. 28. (1) Достъп до личните данни в поддържаните регистри имат всички държавни или обществени органи, които по силата на специален нормативен акт имат право на такъв достъп.
(2) Такива органи са: Националният осигурителен институт, Националната агенция по приходите, Изпълнителна агенция „Главна инспекция по труда“, органите на следствието, прокуратурата, съда и други, упоменати със закон.
(3) Администраторът е длъжен да осигурява поискания от държавните органи и в кръга на техните компетентности достъп до личните данни в регистрите, без да се иска съгласието от страна на техния титуляр.
Чл. 29. (1) Заявленията за достъп до личните данни в поддържаните във ВСУ регистри се подават в деловодството на университета.
(2) Всяко заявление се завежда и получава входящ номер.
Чл. 30. (1) След завеждането на заявлението в регистъра се проверява неговата допустимост и законосъобразността на поискания достъп.
(2) Администраторът е длъжен:
а) да провери дали подаденото заявление отговаря на формалните законови изисквания;
б) да провери дали подаденото заявление отговаря на материалните законови изисквания;
в) да прецени дали е спазена процедурно поисканата форма на достъп и/или ще предостави данните под друга форма по своя преценка.
Чл. 31. (1) Администраторът е длъжен да предостави исканите лични данни.
Чл. 32. (1) В случай че се установи, че администраторът няма право да предоставя поисканата информация, се съставя отказ.
(2) Отказът на поискания достъп трябва да бъде в писмена форма, да съдържа правните основания и начините за обжалване.
ДОПЪЛНИТЕЛНИ РАЗПОРЕДБИ
§ 1. По смисъла на тази инструкция:
1. „Регистър на лични данни“ е всяка структурирана съвкупност от лични данни, достъпна по определени критерии, централизирана, децентрализирана или разпределена на функционален или географски принцип.
2. „Обработващ лични данни“ е физическо или юридическо лице, държавен орган или орган на местно самоуправление, който обработва лични данни от името на администратора на лични данни.
3. “Обработване на лични данни” е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване на данните. Обработването на лични данни се състои и в осигуряване на достъп до определена информация само за лица, чиито служебни задължения или конкретно възложени задачи налагат такъв достъп.
4. „Предоставяне на лични данни“ са действия по цялостно или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната или извън нея.
5. “Оценка на въздействие” е процес за определяне нивата на въздействие върху конкретно физическо лице или група физически лица в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица при нарушаване на поверителността, целостността или наличността на личните данни.
6. “Ниво на защита” е степен на организация на обработката на личните данни в зависимост от рисковете и вида им.
7. “Инцидент” е непредвидимо обстоятелство, което би могло да засегне сигурността на личните данни.
ПРЕХОДНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
§ 1. Всички служители на Университета са длъжни срещу подпис да се запознаят с инструкцията и да я спазват.
§ 2. Контролът по изпълнение на Инструкцията се възлага на Президента на ВСУ, в качеството му на администратор, или на упълномощени от него длъжностни лица.
§ 3. Настоящата инструкция е приета на заседание на Академичния съвет (АС) с Протокол № 6/21.03.2008 г., изменена и допълнена с решения на АС – Протокол № 9/04.05.2012 г., Протокол № 1/19.09.2013 г. и Протокол № 4/25.11.2016 г.
Приложение № 1
ДЕКЛАРАЦИЯ
Долуподписаният (ата) ...................................................................
...........................................................................................................
(име, презиме, фамилия)
ЕГН......................................... от гр. ............................................... община ......................................, област ........................................, ж.к. ..........................................., ул. ................................................, № ........, бл. ......, вх. ......., ап. ........., тел. ....................................., притежаващ(а) л.к. №.........................., издадена на ..................... от .............................. гр. ......................................, назначен(а) на длъжност ....................................... към ..........................................
(наименование на звеното)
ДЕКЛАРИРАМ:
Известно ми е, че личните данни на учащи и персонала са служебна информация и съм запознат(а) със заповед № ..............................., като се задължавам да я спазвам.
Дата ...................... Декларатор: .......................
Варна
Приложение № 2
Долуподписаният (ата) ...................................................................
...........................................................................................................
(име, презиме, фамилия)
ЕГН......................................... от гр. ............................................... община ......................................, област ........................................, ж.к. ..........................................., ул. ................................................, № ........, бл. ......, вх. ......., ап. ........., тел. ....................................., притежаващ(а) л.к. №.........................., издадена на ..................... от .............................. гр. ......................................, назначен(а) на длъжност ....................................... към ..........................................
(наименование на звеното)
Декларирам, че съм информиран(а) относно следните обстоятелства:
1) Всички предоставени от мен данни, съхраняващи се в трудовото ми досие, са лични данни по смисъла на ЗЗЛД и като такива попадат под специален режим на защита;
2) По силата на ЗЗЛД имам право на достъп до тези документи, в които се съдържат моите лични данни, и право да искам извършване на корекция в моите лични данни при спазване на вътрешните правила на работодателя.
3) Работодателят поема задължение да обработва, използва и съхранява личните ми данни само и единствено във връзка с реализиране на правата и задълженията по трудовото правоотношение, като гарантира опазването им от случайно или незаконно унищожаване, неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.
4) Заявявам, че изцяло доброволно сега и за в бъдеще предоставям личните си данни, за да бъдат използвани за реализиране на моите права по трудовото ми правоотношение с ВАРНЕНСКИЯ СВОБОДЕН УНИВЕРСИТЕТ „ЧЕРНОРИЗЕЦ ХРАБЪР”, и разрешавам предоставянето на личните ми данни на държавни органи, институции или на трети лица, за да се реализират посочените по-горе мои права при пълно спазване на ЗЗЛД.
Дата: .............................. Декларатор: ......................
Приложение № 3
СПИСЪК НА СЛУЖИТЕЛИТЕ, ЗАПОЗНАТИ
С НАСТОЯЩАТА ИНСТРУКЦИЯ
1. ……………………..……………………… Подпис …………
2. ……………………..……………………… Подпис …………
3. ……………………..……………………… Подпис …………
4. ……………………..……………………… Подпис …………
5. ……………………..……………………… Подпис …………
6. ……………………..……………………… Подпис …………
7. ……………………..……………………… Подпис …………
8. ……………………..……………………… Подпис …………
9. ……………………..……………………… Подпис …………
10. ……………………..……………………… Подпис …………