ДОБРЕ ДОШЛИ В ОФИЦИАЛНИЯТ САЙТ НА
ПОН-ПЕТ 07:00 - 18:00

Телефон

 0301 | 697-43

ПОЩА

info-2100104@edu.mon.bg

Е–ДНЕВНИК

На 25 май тази година влиза в сила Общият регламент относнозащитата на данните (GDRP) (Регламент (ЕС) 2016/679 на Европейскияпарламент и на Съвета от 27 април 2016 година), с който се хармонизиратправилата за защита на личните данни в държавите-членки.Общият регламент за защита на данните цели да предостави по-голямконтрол на физическите лица относно обработката на личните им данни, даповиши сигурността на данните, както и да предпази субектите, в случаи нанарушения на поверителността или целостта на данните им.Общият регламент за защита на данните:Въвежда нови стандарти за съгласието, като правно основание заобработка на данни, укрепва и създава нови права на субектите и предвиждазавишени задължения при обработването на данни.Въвежда нови задължения за работодателите – за отчетност,поддържане на регистри, оценката на риска и др.Създава една общо-приложима рамка – държавите членки не самотрябва да го прилагат такъв, какъвто е, без никакви отклонения, но и той щеима абсолютно директно приложение. Т.е. след 25 май 2018 всяко еднофизическо лице може да се позове директно на Регламента за защита наличните данни.

1. ЗАПОЗНАВАНЕ С НОВИТЕ НОРМАТИВНИ ИЗИСКВАНИЯ ВОБЛАСТТА НА ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ1.1. Определяне на служители или екип, които да отговарят запривеждане на дейността на ДГ/училището – администратор и обработващлични данни, в съответствие с новите нормативни изисквания в областта назащитата на личните данни;

1.2. Нормативни документи които трябва да познаваме:Регламент 2016/679 (Общ регламент относно защитата на данните),Закон за защита на личните данни (ЗЗЛД) и подзаконовите актове поприлагането му, ръководствата и насоките на Комисията за защита наличните данни (КЗЛД) и Работната група по чл. 29 (след 25.05.2018 г. –наЕвропейския комитет по защита на данните).

2. ВЪТРЕШЕН АНАЛИЗ НА ДЕЙНОСТИТЕ ПО ОБРАБОТВАНЕ НАЛИЧНИ ДАННИ

2.1. Какви категории лични данни и на какви категории физически лица(независимо от тяхното гражданство) се обработват:Категории лични данни• „обикновени“ лични данни – имена, адрес, електронна поща, IPадрес и т.н.• единен граждански номер• специални (чувствителни) лични данни – данни, разкриващи расовили етнически произход, политически възгледи, религиозни или философскиубеждения или членство в синдикални организации, генетични данни,биометрични данни, данни за здравословното състояние или данни засексуалния живот или сексуалната ориентация.Категории физически лица в ДГ/училище на които ще обработваме личниданниПерсонал – педагогически и непедагогически персоналДеца от 2/3 до 7 години, до постъпването им в 1 класУченици от 1 до 12 класЛица навършили 16 години Родители, Посетители

2.2. За какви конкретни цели се събират, съхраняват и обработватличните данни в ДГ/училище – образователен процес, трудови отношения,счетоводство, законово определени цели – Наредба № 8/11.08.2016 г. заинформацията и документите за системата на предучилищното и училищнотообразование/НЕИСПУО/ и т.н.).

2.3. На кого се предоставят или разкриват личните данни извънДГ/училището:• на публични органи – Национална агенция за приходите, Националеносигурителен институт, Министерство на вътрешните работи, Министерствона образованието и науката, съдебни органи, контролни органи, органи наместното самоуправление т.н.• на обработващ лични данни (физическо или юридическо лице, коетообработва личните данни от името на администратора и по негово нарежданеили възлагане)

2.5. Колко време се съхраняват личните данни в ДГ/училището и как еопределен този срок –Наредба № 8/11.08.2016 г. за информацията и документите всистемата на ПУО

2.6. Какви мерки за сигурност се прилагат за защита на даннитеПрилагане на подходящи технически и организационни мерки заосигуряване на сигурност на данните. В регламента са посочени и конкретнитехнически и организационни мерки за сигурност, като: Псевдонимизация Криптиране Гарантиране на постоянна поверителност, цялостност, наличност иустойчивост на системите и услугите за обработване Своевременно възстановяване на наличността и достъпа до личнитеданни в случай на физически или технически инцидент

3. ОПРЕДЕЛНЕ НА ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ

3.1. Задължение да определи Длъжностно лице по защита на даннитеима администратора на лични данни (директорът на ДГ, училището, ЦПЛР):• публичен орган/ДГ, училище, ЦПЛР…/

3.2. Определяне на Длъжностно лице по защита на данните по един отследните алтернативни начини:• назначаване на служител в ДГ/училище;• съвместяване с друга длъжност (без конфликт на интереси);• по граждански договор с външно за ДГ/училището/ЦПЛР физическолице.

3.3. Квалификация на длъжностното лице по защита на данните:Да има експертни познания в областта на защитата на данните -законодателство и практика – по чл. 28 от Общия регламент за защита наданните

3.4. Обучение на длъжностното лице по защита на данните:• първоначално• текущо(Препоръчително е да се определи Длъжностно лице по защита наданните преди да се премине към следващите стъпки.)

4. УПРАВЛЕНИЕ НА РИСКА ПО ОТНОШЕНИЕ НА ЗАЩИТАТА НАЛИЧНИТЕ ДАННИ

4.1. Извършване на оценка на риска на основата на:• естеството, обхвата, контекста и целите на обработването• възможните рискове за правата и свободите на физическите лица итяхната вероятност и тежест• последиците за правата и свободите на физическите лица.

4.2. Извършване на оценка на въздействието върху защитата наличните данни при наличие на висок риск (напр. в резултат на профилиране,мащабно обработване на специални (чувствителни) лични данни,систематично мащабно наблюдение на публично достъпна зона, новитехнологии и др.).

4.3. Задължителна предварителна консултация с КЗЛД, ако оценката навъздействието върху защитата на данните покаже, че обработването щепороди висок риск, ако не се предприемат ефективни мерки заограничаването му.

4.4. Избор на подходящи технически и организационни мерки, за даможе да се гарантира и докаже спазване на Регламент 2016/679 и ЗЗЛД.Възможни подходящи мерки могат да бъдат:• псевдонимизация на личните данни;• криптиране на личните данни;• гарантиране на постоянна поверителност, цялостност, наличност иустойчивост на системите и услугите за обработване;• водене на записи (log files) на дейностите по обработване на данни всистемите за автоматизирано обработване;• обучение на служители и др.

4.5. Предприемане на мерки за защита на данните на етапа напроектирането и по подразбиране:• на етапа на проектирането: въвеждане както към момента наопределянето на средствата за обработване, така и към момента на самотообработване, на подходящи технически и организационни мерки, които саразработени с оглед на ефективното прилагане на принципите за защита наданните, например свеждане на данните до минимум, и интегриране нанеобходимите гаранции в процеса на обработване;• по подразбиране: въвеждане на подходящи технически иорганизационни мерки, за да се гарантира, че по подразбиране се обработватсамо лични данни, които са необходими за всяка конкретна цел наобработването. Това задължение се отнася до обема на събраните личниданни, степента на обработването, периода на съхраняването им и тяхнатадостъпност. По-специално, подобни мерки гарантират, че по подразбиранебез намеса от страна на физическото лице личните данни не са достъпни занеограничен брой физически лица.

4.6. Евентуално присъединяване към кодекси за поведение и/ илисертифициране (незадължително).

5. ПРИЕМАНЕ НА ПЛАН ЗА ДЕЙСТВИЕ ЗА ВЪВЕЖДАНЕ НАОПРЕДЕЛЕНИТЕ ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ

5.1. Определяне на отговорник и екип.

5.2. Определяне на срокове и етапи за изпълнение.

5.3. Осигуряване на необходими финансови, технически и човешкиресурси.

6. ПРЕГЛЕД НА ПРАВНИТЕ ОСНОВАНИЯ ЗА ОБРАБОТВАНЕ НАЛИЧНИ ДАННИ, ВКЛЮЧИТЕЛНО ВЪЗ ОСНОВА НА СЪГЛАСИЕ НАЛИЦАТА

6.1. Преглед на използваните до момента алтернативни правниоснования за обработване на лични данни:• съгласие –Условия за даване на съгласие по чл. 7 Условия, приложими за съгласие на дете във връзка суслугите на информационното общество по чл. 8 от Общия регламент• сключване или изпълнение на договор• законово задължение за администратора• защита на жизненоважни интереси на субекта на данните или на другофизическо лице• изпълнение на задача от обществен интерес или упражняването наофициални правомощия, предоставени на администратора

6.2. Преценка дали е законосъобразно и целесъобразно обработванетона лични данни – да е на основание единствено съгласието на лицето. В тозислучай администраторът следва да е в състояние да докаже, че съгласието е:• свободно изразено – не дадено под натиск или заплаха отнеблагоприятни последици (напр. по-висока цена на услуга);• конкретно – отделно съгласие за всяка конкретно определена цел, акогато е относимо и за конкретна категория лични данни;• информирано – дадено на основата на пълна, точна и лесноразбираема информация;• недвусмислено – не се извлича или предполага на основата на другиизявления или действия на лицето;• изрично изявление или ясно потвърждаващо действие –мълчанието на лицето вече не може да се приеме за съгласие.

6.3. Документиране на съгласието с цел доказване пред Комисията зазащита на личните данни и съда (декларации и др.).

6.4. Осигуряване на практическа възможност на субекта на данните даоттегли по всяко време съгласието си толкова лесно, колкото го е дал.

6.5. В случай на пряко предлагане на услуги на информационнотообщество на дете под 16 години – избор на процедура и/ или технология заудостоверяване, че съгласието е дадено или разрешено от носещияродителска отговорност за детето. (Когато е налице правно основание заобработване на лични данни, различно от съгласието, напр. нормативнозадължение или договор, администраторът не следва да дублира товаоснование и със съгласие на лицето).

7. ИНФОРМИРАНОСТ НА СУБЕКТИТЕ НА ДАННИТЕ ИПРОЗРАЧНОСТ НА ОБРАБОТВАНЕТО

7.1. Предоставяне на обобщена, кратка и разбираема информация чрезинтернет сайта на ДГ/училището/ЦПЛР или по друг достъпен за субектите наданни начин относно:• идентифициране на ДГ/училището – наименование и начин законтакт, включително с Длъжностното лице по защита на данните (адрес,електронна поща, телефон и т.н.)• какви категории лични данни се събират и за какви цели се обработват• срока за съхранение на данните• съществуването на конкретни права на субектите на данните (право надостъп, коригиране или изтриване на лични данни, ограничаване наобработването, възражение срещу обработването, преносимост на данните) иреда за упражняването им• правото на субектите на данни да подадат жалба до КЗЛД или до съда• дали предоставянето на лични данни е задължително по закон илидоговорно изискване, както и евентуалните последствия, ако тези данни небъдат предоставени

7.2. Информиране по подходящ начин на педагогическия инепедагогически персонал, на децата, учениците и техните родители, лицатанавършили 16 години, продължаващи образованието си, в случай, че:• се извършва видеонаблюдение в ДГ/училището/ЦПЛР;• следи средствата за електронна комуникация на работното място,предоставени от ДГ/училището (интернет, телефон, мобилен телефон), с целпредотвратяване на злоупотреби.

8. ПРАВА НА СУБЕКТИТЕ НА ДАННИ

8.1. Познаване от страна на администратора и неговите служители направата, които Регламент 2016/679 предоставя на лицата право на достъп доличните данни, свързани с лицето, които се обработват от ДГ/училището• право на коригиране или допълване на неточни или непълни личниданни• право на изтриване („право да бъдеш забравен“) на лични данни,които се обработват незаконосъобразно или с отпаднало правно основание(изтекъл срок на съхранение, оттеглено съгласие, изпълнена първоначалнацел, за която са били събрани и др.)• право на ограничаване на обработването – при наличие на правенспор…• право на преносимост на данните – ако се обработват поавтоматизиран начин на основание съгласие или договор• право на възражение – по всяко време и на основания, свързани сконкретната ситуация на лицето, при условие, че не съществуват убедителнизаконови основания за обработването…

8.2. Разписване на вътрешни процедури за приемане, разглеждане иотговаряне в едномесечен срок на искания от физически лица заупражняване на правата им като субекти на лични данни и създаване наорганизация за прилагането им на практика9. УВЕДОМЯВАНЕ ЗА НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕДАННИ9.1. Приемане на вътрешна процедура и/или план за действие в случайна нарушение на сигурността на личните данни.

9.2. Определяне на отговорен служител/екип за реакция при нарушениена сигурността на личните данни, инструктаж на персонала, др.

9.3. Създаване на вътрешна организация за своевременно уведомяванена КЗЛД в срок до 72 часа от узнаването за нарушението.

10. ДОКУМЕНТИРАНЕ И ОТЧЕТНОСТВ съответствие с принципа на отчетност всеки администратор едлъжен:- да прилага на практика принципите за защита на личните данни,съгласно Регламент 2016/679и- да удостовери и докаже, че обработването на лични данни съответствана тези принципи.Дейностите по документиране и отчетност обхващат, катоминимум, следните мерки и стъпки:

10.1. Създаване и редовно актуализиране на вътрешен регистър надейностите по обработване на лични данни в ДГ/училището/ЦПЛР съсследната информация:• името и координатите за връзка на администратора и, когато това еприложимо, на длъжностното лице по защита на данните, ако има такива;• целите на обработването;• описание на категориите субекти на данни и на категориите личниданни;• категориите получатели, пред които са или ще бъдат разкрити личнитеданни;• предвидените срокове за изтриване на различните категории данни;• общо описание на техническите и организационни мерки засигурност.

10.2. Приемане на вътрешна инструкция/правила/процедури/ политиказа защита на личните данни в ДГ/училище/ЦПЛР

10.3. План за действие за въвеждане на технически и организационнимерки10.4. Други – заповеди, декларации, заявления….

 

План за действие
Заповед защита на лични данни