П О Л И Т И К А
за защита на личните данни на 79. СУ „Индира Ганди“,
съгласно Регламент (ЕС) 2016/679 и Закона за защита на личните данни (ЗЗЛД).
Длъжностно лицеПО ЗЗЛД: Светлана Добринова Борисова
тел: 0889 47 15 75 , mail: denis.1997@abv.bg
79.СУ„Индира Ганди“,като администратор на лични данни, обработва само законно събрани лични данни, необходими за конкретни, точно определени и законни цели – обучение, възпитание и социализация на ученика , нормативно установени в чл. 3 на ЗПУО и чл.9 на Наредба № 8/11.08.2016 г. на МОН за информацията и документите за системата на предучилищното и училищно образование
Училището спазва принципа за забрана на обработване на специални категории данни съгласно чл. 5, ал. 1 от ЗЗЛД (разкриване на расов или етнически произход; разкриване на политически, религиозни или философски убеждения; членство в политически партии или организации; сдружения с религиозни, философски, политически или синдикални цели; лични данни, които се отнасят до здравето, сексуалния живот или до човешкия геном)
С каква цел обработваме личните данни и на какви правни основания?
Училището обработва личните данни само за целите, за които са събрани, и не ги използва за други цели. Тези цели са изцяло свързани с организиране на учебния процес, подпомагане на обучението, издаване на документи, отговарящи на държавните изисквания.
Като образователна институция ние имаме законово задължение да поддържаме Регистър за подлежащи на обучение, дневници, лични дела, да издаваме ученическа книжка, уверение, академична справка, удостоверение за завършен клас или етап на образование,свидетелства за основно образование и дипломи за средно образование. Тези документи имат задължителни атрибути и по закон съдържат по-голям набор от лични данни като: ЕГН, дата и място на раждане, постоянен адрес, снимка и др.
Имаме законовото задължение да обработваме Ваши лични данни при кандидатстване и получаване на стипендии.
Вашите данни като адрес, телефонен номер и електронната поща, са необходими за комуникацията на училището със семейството на ученика.
Училището има задължение да осигурява сигурността и безопасността на територията на училището, което включва и заснемането на изображения чрез системата за видеонаблюдение. При необходимост ще бъдем длъжни да споделим тази информация с правоохранителните органи.
При никакви обстоятелства училището няма да разкрива информация или данни, които:
• биха причинили вреда на детето
- биха посочвали, че детето е или е било обект на злоупотреба или има риск от това, освен когато разкриването не би било в най-добрия интерес на детето
биха позволили друго лице да бъде идентифицирано, освен ако лицето е служител на училището или лицето не е дало съгласие, или е разумно в обстоятелствата да се разкрие информацията без съгласието. Изключението от разкриването не се прилага, ако информацията може да бъде редактирана така, че името или идентификационните данни на лицето да бъдат премахнати
• биха били под формата на справка, дадена на друго училище или друго място за обучение и обучение, потенциалния работодател на детето или друго лице
Какви са нашите задължения като администратор на лични данни?
- да защитаваме личните данни чрез подходящи мерки за сигурност;
- да уведомяваме органите за нарушения на сигурността на личните данни;
- да документираме обработването на личните данни;
- да водим подробни записи за дейностите по обработка на данните и получаване на съгласие
Колко дълго съхраняваме личните Ви данни?
Вашите лични данни се съхраняват за различни периоди от време, но само толкова дълго, колкото е необходимо за постигане на целите, за които сме ги събрали. Сроковете за съхранение на архиви с лични данни са определени със Закона за държавния архив, Закона за счетоводството. След изтичане на този срок личните данни се унищожават по определения ред.
Най-дългият срок за съхранение на лични данни е свързан със законовото ни задължение да издаваме дубликати на свидетелства за основно образование и дипломи за средно образование. Срокът за съхранение на данните, съдържащи се в тях е 50 г. Данните се съхраняват в училищния архив при строги правила и ограничен достъп и ги използваме само при заявление за издаване на дубликат.
На кого предоставяме личните данни ?
79.СУ„Индира Ганди“ има законово задължение да предоставя личните данни на:
- РУО и МОН
- За изпълнение на дейности на НОИ, НАП и МВР при определени условия за предотвратяване на измама или престъпление
- Съдебни органи, контролни органи, органи на местното самоуправление.
Какви права имат лицата субект на лични данни?
- Информираност (във връзка с обработването на личните му данни от администратора);
- Достъп до собствените си лични данни;
- Коригиране (ако данните са неточни);
- Изтриване на личните данни (право „да бъдеш забравен“);
- Ограничаване на обработването от страна на администратора;
- Преносимост на личните данни между отделните администратори;
- Възражение спрямо обработването на негови лични данни;
- Право на защита по съдебен или административен ред, в случай, че правата на субекта на данни са били нарушени.
Защитени ли са личните данни?
Правим най-доброто, за да защитим поверените ни лични данни, прилагаме строги процедури и мерки за сигурност, за да предотвратим неупълномощен достъп. Данните, които събираме, се съхраняват на хартиен носител и в електронен вид.
Хартиените носители са с ограничен достъп, изрично и персонално разрешен от администратора за определени служебни лица и се съхраняват в помещения и на места, които са под режим на заключване и оборудвани със сигнално-охранителна техника.
Личните данни на електронни носители се съхраняват и трансферират само криптирани.
УТВЪРЖАВАМ!
Сашка Георгиева
Директор на
- СУ „Индира Ганди”
ВЪТРЕШНИ ПРАВИЛА
ЗА МЕРКИТЕ И СРЕДСТВАТА ЗА ОБРАБОТВАНЕ И ЗАЩИТА НА ЛИЧНИ ДАННИ НА
- СРЕДНО УЧИЛИЩЕ „ИНДИРА ГАНДИ”
Чл. 1. (1) С тези вътрешни правила се уреждат редът и условията за набиране, обработване, актуализация, съхраняване, предоставяне, трансфер и унищожаване на личните данни, както и мерките и средствата за тяхната защита.
(2) Настоящите правила се издават на основание Регламент (ЕС) 2016/679 и Закона за защита на личните данни (ЗЗЛД).
(3) Правилата се утвърждават, допълват, изменят и отменят от Директора на 79.СУ„Индира Ганди“ – администратор на лични данни.
(4) Администраторът предоставя достъп до обработваните от него лични данни на физическите лица и на трети лица съобразно Регламент (ЕС) 2016/679 на ЕС и ЗЗЛд.
ЦЕЛИ И ОБХВАТ НА ПРАВИЛАТА
Чл. 2. Настоящите Правила имат за цел да регламентират:
(1) механизмите за набиране, обработване, актуализация, съхраняване, предоставяне, трансфер и унищожаване на личните данни;
(2) задълженията на Администратора, лицата обработващи лични данни, длъжностното лице по защита на лични данни и тяхната отговорност при неизпълнение на тези задължения;
(3) правилата за разпределение на личните данни и групирането им в регистри и Правилата за работа с личните данни;
(4) необходимите технически и организационни мерки за защита личните данни от неправомерно обработване (случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни).
Чл. 3. Правилата са задължителни за всички лица имащи достъп до личните данни, обработвани за нуждите на администратора.
ПРЕДНАЗНАЧЕНИЕ И ВИДОВЕ РЕГИСТРИ
Чл. 4. (1) В изпълнение на дейностите си Институцията поддържа регистри на лични данни.
- вътрешноведомствени регистри, които съдържат информация и се поддържат с цел обслужване дейностите по управление на персонала, счетоводната отчетност и деловодното обслужване:
1.1. Регистър „Счетоводство“
1.2. Регистър „Човешки ресурси“
1.3. Регистър „Трудови договори“
1.4. Регистър „Болнични листове“
- оперативни регистри, в които се набира, съхранява и обработва информация, необходима за целите на изпълнение на законови задължения на администратора:
2.1. Регистър на „Трудови злополуки“
2.2. Регистър на „Видеонаблюдение“
2.3. Регистър на „Външни посетители“
- регистри, които обслужват задължения за регистрация/вписване на информация:
3.1. Регистър „Деловодство“
3.2. Регистър „Ученици“
3.3. Регистър „Контрагенти и партньори“
(2) Подробно описание на регистрите, включително категории физически лица, за които се обработват лични данни, групи обработвани данни, източници и средства за събирането им, форма за водене на регистъра, ред за съхраняване и унищожаване на информационни носители, служители, обработващи лични данни, техническите ресурси, прилагани за обработване на данните в електронните регистри и други се съдържа в Приложенията, неразделна част от настоящите Вътрешни правила.
(3) Създаването на нови регистри и извършването на промени се извършва със заповед на Директора на Администратора.
Форми на водене на регистъра
Чл. 5. (1) Формите на водене на регистрите биват на хартиен и технически носител.
- Водене на регистър на хартиен носител:
1.1. Форма на организация и съхраняване на личните данни – писмена (документална);
1.2. Местонахождение на картотечния шкаф – канцелария, счетоводство и дирекция
(2) Носител (форма) за предоставяне на данните от физическите лица – заявление
Личните данни от лицата се подават на администратора на лични данни и оправомощеното лице, назначено за обработването им – обработващ лични данни, на основание нормативно задължение във всички случаи, когато е необходимо;
- Достъп до личните данни – такъв има само обработващият лични данни.
(3) Водене на регистър на технически носител:
- Форма на организация и съхраняване на личните данни – личните данни се съхраняват на твърд диск, на изолиран компютър;
- Местонахождение на компютъра – на персоналния компютър на счетоводителя, техническия секретар, касиер-домакин и директор
- Достъп до личните данни и защита – достъп до операционната система, съдържаща файлове за обработка на лични данни, има само обработващият лични данни чрез парола за отваряне на тези файлове, както и длъжностното лице по защита на личните данни посредством делегирани му права и задължения от администратора на лични данни.
Групи данни в регистъра
Чл. 6. (1) В зависимост от нормативното основание за събирането и предназначението им в регистрите се набират, обработва и съхраняват лични данни относно:
- физическата идентичност на лицата – имена, ЕГН, номер на документ за самоличност, дата и място на издаването му, адрес, месторождение, телефони за контакт;
- семейна идентичност на лицата – семейно положение, брой членове на семейството, родствени връзки и др.;
- образование – вид на образованието, място, номер и дата на издаването на дипломата, допълнителна квалификация и др.;
- трудова дейност – професионална биография, дни в осигуряване, осигурителен доход, основание за осигуряване, осигурени социални рискове, трудови договори, осигурители и други;
- медицински данни – здраве статус, медицински диагнози и заключения на медицинската експертиза на временната и трайна неработоспособност;
- други лични данни – осигурителен доход, трудови възнаграждения, парични обезщетения, статус на лицето (осъждано/неосъждано/реабилитирано) и други.
(2) Личните данни в регистрите се събират от администратора на лични данни на хартиен или електронен носител.
Задължения на лицето, отговарящо за водене и съхраняване на данните в регистрите
Чл. 7. Задълженията на лицето, отговарящо за водене и съхраняване на данните в регистъра (оправомощеното лице) включват набиране, обработване, актуализация и съхраняване на лични данни.
Периодично архивиране
Чл. 8. Архивиране на личните данни на технически носител се извършва периодично всяка учебна година от обработващия лични данни, с оглед запазване на информацията за съответните лица в актуален вид.
Контрол при обработване на личните данни
Чл. 9. Контролът върху дейностите по обработка на лични данни се осъществява от лицето по защита на личните данни, определено от администратора. За 79. СУ„Индира Ганди“ това е Възкресия Пиперова – РН ИКТ.
Актуализация на лични данни
Чл. 10. (1) Актуализация на лични данни представлява допълнение или изменение на съществуваща информация в дружеството. Актуализация на лични данни се извършва:
- по искане на лицето, за което се отнасят личните данни, когато то е установило, че е налице грешка или непълнота в тях, и удостовери това с документ;
- по инициатива на обработващия лични данни – при наличие на документ, даващ основание за актуализация;
- при установена грешка при обработката на личните данни
(2) При актуализация на лични данни в досието на съответното лице се отразяват регистрационния номер на документа, източник на данните за актуализацията, дата на актуализацията. Актуализацията се извършва от лицето, обработващо личните данни.
ДОСТЪП ДО ЛИЧНИ ДАННИ
ОСИГУРЯВАНЕ НА ДОСТЪП НА ЛИЦАТА ДО ЛИЧНИТЕ ИМ ДАННИ
Чл. 11. (1) Всяко физическо лице, както и служителите в училището, има право на достъп до отнасящите се до него лични данни, обработвани от администратора.
(2) В случаите, когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, администраторът предоставя на съответното физическо лице достъп само за частта от данните, отнасяща се него.
(3) При упражняване на правото си на достъп физическото лице има право по всяко време да поиска от администратора на лични данни:
- потвърждение за това, дали отнасящи се до него данни се обработват, информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват;
- съобщение до него в разбираема форма, съдържащо личните му данни, които се обработват, както и всяка налична информация за техния източник.
При смърт на физическото лице право на достъп до личните му данни имат неговите наследници.
Чл. 12. (1) Правото на достъп се осъществява с писмена молба до администратора на лични данни.
(2) Молбата може да бъде отправена и по електронен път по реда на Закона за електронния документ и електронния подпис.
(3) Молбата по ал. 1 се отправя лично от физическото лице или от изрично упълномощено от него лице чрез нотариално заверено пълномощно.
Чл. 13. (1) Молбата по чл. 12 съдържа:
- трите имена, ЕГН/ЛНЧ/, адрес за контакт и телефон на заявителя;
- описание на искането;
- предпочитана форма за предоставяне на достъп до личните данни;
- подпис, дата на подаване на заявлението и адрес за кореспонденция.
(2) При подаване на молба от упълномощено лице, към същата се прилага и нотариално завереното пълномощно.
(3) При приемане на молбата, техническо лице извършва регистрация на същата в деловодната система на администратора.
Чл. 14. (1) Физическото лице може да поиска копие на обработваните лични данни на предпочитан носител или предоставянето им по електронен път, освен в случаите, когато това е забранено от закон.
(2) Администраторът на лични данни е длъжен да се съобрази с предпочитаната от молителя форма на предоставяне на информацията по чл. 11, ал. 3.
(3) Администраторът на лични данни предоставя исканата информация във форма, различна от заявената, когато:
- за исканата форма няма техническа възможност;
- исканата форма е свързана с необосновано увеличаване на разходите по предоставянето.
Чл. 15. (1) Администраторът на лични данни или изрично оправомощено от него лице разглежда молбата по чл. 11 и се произнася в 14-дневен срок от нейното постъпване.
(2) Срокът по ал. 1 може да бъде удължен от администратора до 30 дни в случаите, когато обективно се изисква по-дълъг срок за събирането на всички искани данни и това сериозно затруднява дейността на администратора.
(3) С решението си администраторът предоставя пълна или частична информация на заявителя или мотивирано отказва предоставянето й.
Чл. 16. Право на достъп до данните в поддържаните от администратора регистри на лични данни имат служителите в 79.СУ„Индира Ганди“ – администратори на базите данни, служителите, на които е възложено приемането и обработването на лични данни върху хартиен и електронен носител (обработващите лични данни), както и служителите, за които служебните им функции налагат такъв достъп.
Чл. 17. Служителите в 79.СУ„Индира Ганди“ с оторизиран достъп до лични данни са длъжни да обработват същите законосъобразно и добросъвестно, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели, както и да ги поддържат във вид, който им позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които се обработват.
ДОСТЪП НА ТРЕТИ ЛИЦА ДО РЕГИСТРИТЕ СЪДЪРЖАЩИ ЛИЧНИ ДАННИ
Чл. 18. (1) Достъп до обработваните от администратора лични данни имат лицата, за които същия произтича от законово или договорно основание, както и органи по надзора или на съдебната власт (Комисия за финансов надзор, съд, прокуратура, следствени органи и др.). Достъпът на тези органи до личните данни на лицата е правомерен.
(2) Не се изисква съгласие на лицето, ако обработването на неговите лични данни се извършва само от или под контрола на компетентен държавен орган за лични данни, свързани с извършване на престъпления, на административни нарушения и на непозволени увреждания. На такива лица се осигурява достъп до личните данни, като при необходимост им се осигуряват съответни условия за работа в помещение на училището.
(3) Правомерен е и достъпът на ревизиращите държавни органи, надлежно легитимирали се със съответни документи – писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп до кадровите досиета на персонала или клиентите.
(4) Решението си за предоставяне или отказване достъп до лични данни за съответното лице администраторът съобщава на третите лица в 30-дневен срок от подаване на молбата, респ. искането.
ВИДОВЕ ЗАЩИТА НА ЛИЧНИ ДАННИ
Чл. 19. (1) За обезпечаване на адекватна защита на регистрите с лични данни администраторът определя лице/лица по защита на личните данни.
(2) Лицето/лицата по защита на личните данни има следните правомощия:
- осигурява организация по водене на регистрите и мерки за гарантиране на адекватна защита;
- следи за спазването на конкретните мерки за защита и контрол на достъпа съобразно спецификата на водените регистри;
- осъществява контрол по спазване на изискванията по защита на регистрите;
- специфицира техническите ресурси, прилагани за обработване на личните
данни;
- подпомага установяването на обстоятелства, свързани с нарушаване на защитата на регистрите;
- в случай на установяване на нарушение на сигурността на личните данни, лицето по защита на личните данни уведомява в спешен порядък администратора на лични данни. Настъпилото събитие поражда задължение за администратора на лични данни в рамките на 72 часа от установяване на нарушението незабавно да уведоми КЗЛД за нарушаване сигурността на личните данни в детска градина/училище
- поддържа връзка с Комисията за защита на личните данни (КЗЛД) относно предприетите мерки и средства за защита на регистрите;
- контролира спазването на правата на потребителите във връзка с регистрите и програмно-техническите ресурси за тяхната обработка;
- периодично информира персонала по въпросите на защитата на личните данни;
- следи за спазване на организационните процедури за обработване на личните данни и провежда периодичен контрол за спазване на изискванията по защита на данните и при открити нередности взема мерки за тяхното отстраняване.
Чл. 20. (1) С цел недопускането на неправомерен достъп, както и всички други незаконни форми на обработване на личните данни, администраторът организира и предприема мерки, съобразени със съвременните технологични постижения и рисковете, свързани с естеството на данните, които трябва да бъдат защитени.
(2) Видове защита:
- Физическа защита на личните данни представлява система от технически и организационни мерки за предотвратяване на нерегламентиран достъп до сгради, помещения и съоръжения, в които се обработват лични данни.
- Персонална защита представлява система от организационни мерки спрямо физическите лица, които обработват лични данни по указание на администратора.
- Документална защита представлява система от организационни мерки при обработването на лични данни на хартиен носител.
- Защита на автоматизираните информационни системи и/или мрежи представлява система от технически и организационни мерки за защита от незаконни форми на обработване на личните данни.
- Псевдонимизация чрез употребата на технически и организационни мерки.
- Мерките на различните видове защита се определят съгласно приложение № 6 от настоящите Правила.
Чл. 21 (1) Всяко лице, желаещо да внесе документ съдържащ лични данни, предоставя същия в деловодството на 79.СУ „Индира Ганди“
Лицето приемащо документа е задължено да запознае вносителя на документите с правата му на субект на лични данни, както и с Вътрешните правила за тяхната обработка. Преди приемането му, вносителят попълва съответна Декларация по образец предоставена му от лицето приемащо документите за деклариране на предоставените лични данни и основанието, на което те се предоставят и ще се ползват. Лицето, приемащо документите има право да изиска от субекта на лични данни документа, доказващ истинността на предоставените лични данни, а при наличие на предвидена в закона възможност, да снима копие от този документ и да го приложи към декларацията.
(2) Внесените документи с лични данни се докладват на Директора, който ги разпределя на лицата обработващи съответните лични данни.
(3) Лицата обработващи личните данни са задължени да предоставят личните данни в съответствие с разпореждането на Директора на Администратора.
(4) Лични данни се предоставят на трети лица само чрез Директора на Администратора.
(5) При предоставяне на личните данни за ползване то трети лица, те попълват декларация за задължението си да обработват личните данни съгласно Регламент 2016/679 и ЗЗЛД.
МЕРКИ ЗА ЗАЩИТА ПРИ ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ
Чл. 22. (1) Правилата за защита при обработване на лични данни регламентират технически мерки, които:
- отхвърлят достъпа на неоторизирани лица до оборудването за обработка на данни – контрол на достъпа до оборудване;
- предотвратяват неоторизираното четене, копиране, промяна или унищожаване на информационни носители – контрол на информационните носители;
- предотвратяват неоторизираното добавяне, въвеждане, преглеждане, промяна или заличаване на съхранени лични данни – контрол по съхраняването;
- предотвратяват използването му от неоторизирани лица, използващи комуникационно оборудване за данни – контрол на потребителите;
- гарантират, че лицата, които са оторизирани да ползват система за автоматизирана обработка на данни, имат достъп само до данните, включени в обхвата на техния достъп – контрол на достъпа до данни;
- осигуряват възможността за проверка и установяване до кои органи са били или могат да бъдат изпратени или предоставени личните данни чрез използване на комуникационно оборудване за данни – контрол на комуникациите;
- осигуряват възможност за последваща проверка и установяване какви лични данни са въведени в системите за автоматизирана обработка на данни, кога и от кого са въведени данните – контрол на въвеждане;
- предотвратяват неоторизирано четене, копиране, промяна или изтриване на лични данни при трансфер на лични данни или превозване на носители на данни – контрол при транспортиране;
- осигуряване на възможност инсталираните системи да могат да се възстановят в случаи на прекъсване на функционирането – възстановяване;
- осигуряват правилното функциониране на системата, докладване на появата на грешки във функциите (надеждност) и гарантират, че съхранените данни не могат да бъдат повредени чрез неправилно функциониране на системата – интегритет.
Чл. 23. (1) Служителят/ите, обработващ/и лични данни, взема/т мерки за гарантиране на надеждност при обработването, като осъществява/т технически и организационни мерки за защита на личните данни.
(2) При автоматичната обработка на лични данни се осъществяват технически мерки за защита срещу:
- неоторизирано четене, възпроизвеждане, промяна или премахване на носителя на данните;
- неоторизирано въвеждане, промяна или заличаване на съхранени лични
данни;
- неоторизирано използване на системите за лични данни чрез средства за пренос на данни;
- неоторизиран достъп до лични данни.
ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ОБРАБОТВАНИТЕ ЛИЧНИ ДАННИ
Чл. 24. (1). Оценката на въздействието е процес за определяне нивата на въздействие върху конкретно физическо лице или група физически лица в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица при нарушаване на поверителността, цялостността или наличността на личните данни.
(2) Оценката на въздействието се извършва периодично на всеки две години или при промяна на характера на обработваните лични данни и броя на засегнатите физически лица.
Чл. 25. При оценката на въздействието администраторът отчита характера на обработваните лични данни, както следва:
- систематизиране и оценка на лични аспекти, свързани с дадено физическо лице (профилиране), за анализиране или прогнозиране, по-специално на неговото икономическо положение, местоположение, лични предпочитания, надеждност или поведение и др.
- данни, които разкриват расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели, или данни, които се отнасят до здравето, сексуалния живот или до човешкия геном;
- лични данни чрез създаване на видеозапис от видеонаблюдение на публично достъпни райони;
- лични данни в широкомащабни регистри на лични данни;
- данни, чието обработване съгласно решение на Комисията за защита на личните данни застрашава правата и законните интереси на физическите лица.
НИВА НА ВЪЗДЕЙСТВИЕ
Чл. 26. Определят се следните нива на въздействие:
- „Изключително високо” – в случаите, когато неправомерното обработване на лични данни би могло да доведе до възникване на значителни вреди или кражба на самоличност на особено голяма група физически лица или трайни здравословни увреждания или смърт на група физически лица;
- „Високо” – в случаите, когато неправомерното обработване на лични данни би могло да доведе до възникване на значителни вреди или кражба на самоличност на голяма група физически лица или лица, заемащи висши държавни длъжности, или трайни здравословни увреждания или смърт на отделно физическо лице;
- „Средно” – в случаите, когато неправомерното обработване на лични данни би могло да създаде опасност от засягане на интереси, разкриващи расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели, здравословното състояние, сексуалния живот или човешкия геном на отделно физическо лице или група физически лица;
- Ниско” – в случаите, когато неправомерното обработване на лични данни би застрашило неприкосновеността на личността и личния живот на отделно физическо лице или група физически лица.
Чл. 27. (1) Администраторът извършва оценка на въздействие за всички поддържани регистри .
(2) Всеки отделен регистър се оценява по критериите поверителност, цялостност и наличност.
(3) Най-високото ниво на въздействие, определено по всеки от критериите по ал. 2, определя нивото на въздействие на съответния регистър.
Чл. 28. В зависимост от нивото на въздействие се определя и съответно ниво на защита.
Чл. 29. (1) Нивата на защита са ниско, средно, високо и изключително високо.
(2) Нивата на защита са, както следва:
- при ниско ниво на въздействие – ниско ниво на защита;
- при средно ниво на въздействие – средно ниво на защита;
- при високо ниво на въздействие – високо ниво на защита;
- при изключително високо ниво на въздействие – изключително високо ниво на защита.
ПРОЦЕДУРИ ЗА ДОКЛАДВАНЕ И УПРАВЛЕНИЕ ПРИ ИНЦИДЕНТИ
Чл. 30. (1) При възникване и установяване на инцидент и/или нерегламентиран достъп, свързан с нарушаване защитата или загуба на лични данни, незабавно се докладва на лицето по защита на личните данни в 79.СУ„Индира Ганди“
(2) За инцидентите се води регистър, в който задължително се вписват предполагаемото време или период на възникване, времето на установяване, времето на докладване и името на служителя, извършил доклада.
(3) След анализ от лицето по защита на личните данни, в регистъра се записват последствията от инцидента и мерките, които са предприети за отстраняването им.
(4) В случаите на необходимост от възстановяване на данни, процедурата се изпълнява след писменото разрешение на лицето по защита на личните данни, като това се отразява в регистър по архивиране и възстановяване на данни.
(5) В случаите на компрометиране на парола, тя се подменя с нова, като събитието се отразява в регистъра за инциденти.
ОТГОВОРНОСТ
Чл. 31. За неизпълнение на задълженията, вменени на съответните оправомощени лица по тези Правила, по ЗЗЛД и по Регламент (ЕС) 2016/679, се налагат дисциплинарни наказания по Кодекса на труда, а когато неизпълнението на съответното задължение е констатирано и установено от надлежен орган – предвиденото в ЗЗЛД административно наказание, ако такава отговорност се предвижда по закон.
Чл. 32. (1) За вреди, причинени в резултат на незаконосъобразно обработване на лични данни от служители в 79.СУ„Индира Ганди“, засегнатите лица могат да търсят отговорност от виновните лица по реда на общото гражданско законодателство или наказателна отговорност, ако извършеното представлява престъпление.
(2) Ако в резултат на незаконосъобразно обработване на лични данни, включително незаконното им разкриване или разпространение, са причинени щети на администратора на лични данни, на виновните лица се търси имуществена отговорност по Кодекса на труда .
Настоящите правила са утвърдени на 31 май 2018 година.
За всички неуредени случаи се прилагат разпоредбите на Регламент 2016/679, ЗЗЛД и разпорежданията на Директора на образователната институция- администратор на лични данни.