МЕРКИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

gdpr 11

Чл. 11. Ние се отнасяме сериозно към защитата на Вашите данни и сме въвели подходящи физически и технически мерки за защита на информацията, която събираме във връзка с Услугите. Имайте предвид обаче, че въпреки адекватните стъпки за защита на информацията за Вас, няма уеб сайт, интернет връзка, компютърна система или безжична връзка, които да са напълно защитени.

Технически мерки (1) Всички помещения, в които се съхраняват и обработват лични данни, са с контрол на достъпа. Възможните технически средства за контрол на достъпа са:

– охрана на помещенията;

– устройства за разпознаване чрез магнитна карта и/или ключ;

– наблюдение с видеокамери в коридорите;

– политика на допускане на външни лица до помещенията на фирмата само с придружител от персонала на фирмата.

(2) Помещенията на фирмата са надеждно обезопасени посредством противопожарни мерки съгласно българското законодателство.

Чл. 12. Мерки за документална защита  (1) Фирмата установява процедури по обработване на лични данни, регламентиране на достъпа до данните, процедури по унищожаване и срокове за съхранение, подробно разписани в тези Правила. За отделни категории данни може да се предвиди псевдонимизиране по предложение на Администратора, отговорен за личните данни.

(2) Размножаването и разпространението на документи или файлове, съдържащи лични данни, се извършва само и единствено от упълномощени служители при възникнала необходимост.

Чл. 13. Персонални мерки на защита (1) Преди заемане на съответната длъжност лицата, които осъществяват защита и обработване на личните данни:

– поемат задължение за неразпространение на личните данни, до които имат достъп;

– се запознават с нормативната база, вътрешните правила и политики на фирмата относно защитата на личните данни;

– преминават обучение за реакция при събития, застрашаващи сигурността на данните;

– са инструктирани за опасностите за личните данни, които се обработват от дружеството;

– се задължават да не споделят критична информация помежду си и с външни лица, освен по установения с тези Правила ред.

(2) При постъпване на работа всички служители преминават обучение за реакция при събития, застрашаващи сигурността на данните, и обучение относно задълженията на фирмата, свързани с обработката на лични данни, и мерките за защита на данните, които следва да предприемат в процеса на работа. Последващи обучения и тренировки на персонала се провеждат периодично, за да се гарантира познаване на нормативната уредба, потенциалните рискове за сигурността на данните и мерките за намаляването им.

Чл. 14. Мерки за защита на автоматизирани информационни системи и криптографска защита (1) Достъп до операционната система, съдържаща файлове с лични данни, имат само лица, чиито служебни задължения или конкретно възложена задача налагат такъв достъп. Достъпът се осъществява чрез парола.

(2) Електронните бази данни са защитени посредством логически средства за защита, като антивирусна програма, която се обновява автоматично, защитни стени (firewalls) и др.

(3) Архивиране на личните данни на технически носител се извършва периодично с оглед съхранение на информацията.

Чл. 15. (1) Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване, извършени умишлено от лице или в случай на технически неизправности, аварии, произшествия, бедствия и др., се осигурява посредством:

– въвеждане на пароли за компютрите, чрез които се предоставя достъп до личните данни, и файловете, които съдържат лични данни;

– антивирусни програми, проверки за нелегално инсталиран софтуер;

– периодични проверки на целостта на базата данни и актуализиране на системната информация, поддържане на системата за достъп до данните;

– периодично архивиране на данните на технически носители, поддържане на информацията на хартиен носител (архивни копия).

(2) Ако има назначено лицето, отговорно за личните данни, то е необходимо то да докладва периодично на ръководството на фирмата предприетите мерки за гарантиране нивото на сигурност при обработване на лични данни.

Чл. 16. (1) В случай, че нарушението на сигурността създава вероятност от риск за правата и свободите на физическите лица, чиито данни са засегнати, Администраторът, отговорен за личните данни, организира уведомяването на КЗЛД.

(2) Уведомяването на КЗЛД следва да се извърши без ненужно забавяне и когато това е осъществимо – не по-късно от 72 часа след първоначалното узнаване на нарушението.

(3) Уведомлението до КЗЛД съдържа следната информация:

(а) описание на нарушението на сигурността; категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;

(б) името и координатите за връзка на Лицето, отговорно за личните данни;

(в) описание на евентуалните последици от нарушението на сигурността;

(г) описание на предприетите или предложените мерки за справяне с нарушението на сигурността, включително мерки за намаляване на евентуалните неблагоприятни последици.

(4) Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Администраторът, отговорен за личните данни, без ненужно забавяне и при спазване на приложимото законодателство уведомява засегнатите физически лица.

Чл. 17. (1) Администраторът води регистър на нарушенията на сигурността, който съдържа следната информация:

(а) дата на установяване на нарушението;

(б) описание на нарушението – източник, вид и мащаб на засегнатите данни, причина за нарушението (ако е приложимо);

(в) описание на извършените уведомявания: уведомяване на КЗЛД и засегнатите лица, ако е било извършено;

(г) предприети мерки за предотвратяване и ограничаване на негативни последици за субектите на данни и за Фирмата;

(д) предприети мерки за ограничаване на възможността от последващи нарушения на сигурността.

(2) Регистърът се води в електронен формат от Администраторът, отговорен за личните данни.



Posted 13.06.2018 by Nadia in category "Uncategorized