Директива за защита на личните данни
Директива на сдружение „Работилница за бъдеще - България“,
– защита на личните данни
§ 1 Значение, цел, достъпност
(1) Тази директива на Сдружение „Работилница за бъдеще - България“, наричано от тук нататък накратко „сдружение“ е задължителна база за законосъобразната и устойчива защита на личните данни.
(2) Целта на тази директива е да бъдат опазени и защитени основни права и свободи на засегнатите, особено тяхното право за защита на личните данни.
(3) Тази директива на сдружението трябва да е достъпна за всички членове на сдружението по всяко време.
§ 2 Обхват на валидност/ Приложно поле
(1) Тази директива на сдружението важи лично за всички членове на сдружението, боравещи с лични данни.
(3) Нарежданията и забраните на тази директива важат за всякакви видове обработка на лични данни, назвисимо дали те стават по електронен път или са на хартиен носител. Освен това се отнася до всички засегнати (симпатизанти, посетители на събития).
§ 3 Определение на понятията
(1) Лични данни означава всякаква информация, която се отнася до идентифицирани или подлежащи на идентифициране лица (засегнати). Например името на лице за контакт може да доведе до изводи за реалното лице, точно както и неговия имейл адрес. Достатъчно е съответната информация да е свързана с името на засегнатия или независимо от това да бъде установена взаимосвързаност. Освен това може да бъде идентифициранa определена личност, когато тази информация може да бъде свързана с някакво допълнително познаване на факти, например регистрационен номер на кола. Снимки, видео и аудиозаписи също могат да представляват лични данни.
(2) Особен вид лични данни са тези данни, от които може да се почерпи информация за расова и етническа принадлежност, политически възгледи, религиозна принадлежност и друг вид светоглед, както и принадлежността към определен синдикат. С подобен характер са също генните и биометричните данни, здравните данни и информации за сексуалния живот или съответно за сексуалната ориентация на определен човек.
(3) За обработка се смята всяко действие, осъществено с или без помощта на автоматичен метод или всяка поредица от действия, свързани с личните данни, като например събирането, синтезирането, организацията, подреждането, запазването, напасването и променянето, разчитането и допитването, използването, разкриването чрез предаване, преработка или друга форма на предоставяне, изравняването и свързването, ограничаването, изтриването и унищожението.
(4) Ограничение на обработката е маркирането на запазените лични данни с цел ограничаване на бъдещето обработване.
(5) Псевдонимизирането представлява обработката на личните данни по такъв начин, при който личните данни без разглеждането на допълнителна информация не могат да бъдат съотнесени към определена личност, тъй като тези допълнителни информации се запазват на отделно място и подлежат на технически организационни действия, които гарантират, че личните данни не могат да бъдат отнесени към вече идентифицирано или подлежащо на идентификация физическо лице.
(6) Администратор е физическото или юридическо лице, държавен орган, институция или друго място, което самостоятелно или заедно в други определя целта и средствата за обработката на личните данни.
(7) Обработващ личните данни е физическо или юридическо лице, държавен орган, институция или друго място, което обработва лични данни по поръчка на администратора.
(8) Получател е физическото или юридическо лице, държавен орган, институция или друго място, на което биват разкрити лични данни, независмо от това, дали е трета страна или не.
(9) Трета страна е физическото или юридическо лице, държавен орган, институция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под пряко ръководство на администратора или обработващия лични данни имат право да обработват личните данни.
(10) Съгласие на засегнатия е всяко заявяване на желание, което е станало на базата на добра информираност и по недвусмислен начин, под формата на заявление или друго еднозначно действие, с което засегнатия дава да се разбере, че е съгласен с обработката на свързаните с него лични данни.
§ 4 Особени категории лични данни
Особените категории лични данни могат по правило да се събират, обработват и използват със съгласието на засегнатото лице или по изключение при изрично законово основание. Освен това трябва да се предприемат допълнителни технически и организационни мерки (например заключване при транспорт, даване на минимални права), за да се организира добра защита за тези особени лични данни.
§ 5 Обработка на лични данни
(1) Обработката на лични данни е принципно забранено освен ако определена законова норма не разреши експлицитно боравенето с лични данни. Според ОРЗЛД личните данни трябва да бъдат обработвани при следните обстоятелства:
- при съществуващ договор със засегнатото лице,
- в рамките на преддоговорни мерки по запитване на засегнатото лице и при разработване на договор със засегнатото лице,
- в случай, когато засегнатото лице е разрешило.
(2) Личните данни се използват в сдружението единствено и само за съхранение и обработка на официални документи на сдружението, за информиране за дейността, инициативите и бъдещи събития на Сдружение с нестопанска цел „Работилница за бъдеще - България“, в случай, че е заявено ясно такова желание от засегнатото лице.
§ 6 Организация на защита на данните
(1) Сдружението назначава длъжностно лице по защита на личните данни. Можете да го откриете на . Длъжностното лице по защита на личните данни консултира и обучава председателя и другите отговорни лица за опазване на лични данни в сдружението във връзка със задълженията им за защита на личните данни и също така е отговорен за комуникацията с надзорния орган.
(2) Длъжностното лице по защита на личните данни е независимо. То изпълнява своите функции на база експертните си познания в областта на законодателството и практиките в областта на защита на личните данни. Длъжностното лице по защита на данните осведомява непосредствено ръководството на сдружението.
(3) Достъп до личните данни имат изпълняващите следните функции: секретар, счетоводител, координатор. Всички тези лица подписват специална декларация, с която се задължават да опазват личните данни според изискванията на ОРЗЛД и тази Директива
(4) Останалите членове на сдружението трябва да подкрепят длъжностнотo лице по защита на личните данни при изпълнението на неговите задължения.
(5) Съхранението на личните данни става по следните начини:
-
Личните данни, които се намират на хартиен формат се пазят в папки, достъп до които имат само упоменатите в 6 (3) лица.
-
Личните данни в електронен формат се съхраняват на компютри и външни дискове, които не са свързани с интернет. До тях имат достъп само описаните в 6 (3) лица. Достъпът до тях е защитен чрез пароли, известни само на тези лица.
(5) Протоколите от срещи, събирания и работни срещи на сдружението се формулират по начин, който не включва по никакъв начин споделянeто на лични данни и не противоречи на настоящата директива.
(5) Членовете и симпатизаните ще бъдат информирани поетапно и многократно за правилата за защита на личните данни на сдружението чрез разпространение на тази директива в електронен и печатен формат чрез всички възможни средства за комуникация (например лично по време на общи събрания и работни срещи, по имейл).
(3) В случай, че е възможно, е добре въобще да не се състои обработката на лични данни. Псевдонимизираното и анонимното обработване на данни е за предпочитане.
(4) Промяната на предварително определените цел и причина за използването на личните данни, е допустимо извън изразеното съгласие на засегнатото лице само тогава, когато целта на последващото обработване на данните е съгласувано с първоначалната цел. В този случай трябва да бъдат взети под внимание разумните очаквания на засегнатото лице спрямо подобно последващо обработване на личните данни, вида на използваните данни, последствията за засегнатото лице, както и възможностите за криптиране и псевдонимизиране.
(5) Личните данни се събират и обработват законосъобразно, добросъвестно и прозрачно при спазване на следните принципи:
1. Субектът на данните се информира предварително за обработването на неговите лични данни;
2. Личните данни се събират за конкретни, точно определени законни цели и не се обработват допълнително по начин, несъвместим с тези цели;
3. Личните данни съответстват на целите, за които се събират;
4. Личните данни трябва да са точни и при необходимост да се актуализират;
5. Личните данни се заличават или коригират, когато се установи, че са неточни или не съответстват на целите, за които се обработват;
6. Личните данни се поддържат във вид, който позволява идентифициране на съответните физически лица за период, не по-дълъг от необходимия, за целите, за които тези данни се обработват.
(6) Ако личните данни се предоставят от трета страна, то засегнатото лице трябва да бъде информирано допълнително и обширно според чл. 14 ОРЗЛД за боравенето с личните му данни. Това важи и за промяна на целта и причина за ползване на личните данни.
§ 7 Препредаване на лични данни
(1) Предаването на лични данни на трета страна може да се случи само на законово основание или със съгласието на засегнатото лице.
§ 8 Външни доставчици на услуги
(1) В случай, че външни доставчици получат достъп до лични данни, длъжностното лице по защита на личните данни трябва да бъде информирано предварително.
§ 9 Минимизиране на данните, Privacy by Desgin/Privacy by Default
(1) Обработката на личните данни трябва да се стреми към това да се събират, обработват и използват колкото се може по-малко лични данни, отнасящи се до едно определено лице („Минимизиране на данните“). Особено личните данни трябва да се анализират и псевдонимизират, доколкото това е възможно с оглед на целта на използване. Например в рамките на статистически анализ на определени данни няма да е необходимо да се знае и да се използва пълното име на засегнатото лице. Вместо това съответната информация може да бъде заменена с някаква случайна стойност, която може също да гарантира различаването на разполагаемата информация.
(2) На подобен принцип трябва да се избира и оформя също така системата за обработка на данни. Защитата на личните данни от самото начало трябва да се интегрира в спецификите и архитектурата на системата за обработка на данни. Така ще може да се улесни спазването на принципите за защита на личното пространство и защитата на данните, като в случая от особено значение е принципът за минимизиране на данните.
§ 10 Права на засегнатите
(1) Засегнатите лица имат право на информация за запазените от сдружението свързани с тях лични данни.
(2) При обработката на искания трябва да се установи недвузначно идентичността на засегнатото лице. При обосновани съмнения в идентичността могат да се изискат допълнителни данни от заявяващия искане.
(3) Споделянето на информация става по писмен път, освен ако засегнатото лице не е подавал искането за информация по електронен път. Даването на информация става чрез прикачване на копие с данните на засегнатото лице, които включват, освен данните за самото лице, данни и за получателя и за целта на използването на информацията, както и други изисквания от закона информация според
Чл. 15 ОРЗЛД. Така засегнатото лице ще може да придобие ясна представа за обработката на личните му данни и ще може да прецени доколко това се случва в съгласие със закона. При желание на засегнатото лице данните трябва да могат да бъдат предоставени в структуриран, общоприет, пригоден за машинно четене формат.
(4) Засегнатите лица имат право да поискат коригиране на личните си данни, когато тези се окажат неправилни. Освен това могат да поискат попълването на непълни лични данни.
(5) Засегнатите лица имат правото на изтриване на техните лични данни при следните обстоятелства:
-
личните данни повече не са необходими за целите, за които са били събрани или обработвани,
-
засегнато лице оттегля своето съгласие и липсва друго правно основание за обработването им,
-
личните данни са били обработвани незаконосъобразно
-
става въпрос за лични данни с особен характер, чиято правилност не може да бъде доказана, или е налице друго правно задължения за изтриване на данните.
В случай, че съществува задължение за изтриване на данните, а преди това те са били направени обществено достояние, то другите отговорни за обработката на данните трябва да бъдат информирани за желанието на засегнатото лице за изтриване на данните му. Това засяга всички копия от неговите данни, както и всички линкове, в които те се намират.
(6) Засегнатото лице може да изиска ограничаване на обработване на личните му данни, случай че:
- точността на личните данни е спорна, но само за срок, който позволява на съответния отдел на администратора да провери точността на данните,
- обработката на данните е неправомерна, но засегнатото лице не желае личните му данни да бъдат изтрити, а изисква вместо това ограничаване на използването им, или
- администраторът не се нуждае повече от личните данни за целите на обработването, но засегнатото лице ги изисква за установяването, упражняването или защитата на правни претенции или
- когато засегнатото лице възрази срещу обработката поради извънредна ситуация и съответния отдел все още е зает с проверката на възражението.
(7) Засегнатото лице трябва най-късно в рамките на един месец да бъде информирано за предприетите мерки, които са последвали в следствие на неговото искане.
(8) Длъжностното лице по защита на данните е на разположение за консултиране относно зачитането на правата на засегнатото лице.
§ 11 Искане на информация от трета страна чрез засегнатото лице
Ако трета страна изисква информация за засегнатото лице, например членове на партньорска организация, предаването на информация е допустимо само в следните случаи:
- страната, предоставяща информация, може да докаже правомерен интерес за това, или
- определено законова норма задължава да бъде извършено това действие,
- идентичността на изискващия информация е недвусмислено изяснена.
§ 12 Списък на обработващите дейности
(1) Сдружението трябва да води списък с всички видове обработка на информация.
(2) Сдружението представя списъка при запитване от страна на надзорните органи. Отговорен за това в случая е длъжностното лице по защита на лични данни при получено съгласие от ръководството на сдружението.
§ 13 Обучение
Членове, които имат постоянен достъп до лични данни, събират такива данни или развиват системи за обработката на такива данни, трябва да бъдат обучени по подходящ начин за спазване на изискванията за защита на личните данни. Длъжностното лице по защита на личните данни решава под каква форма и по каква програма ще се провеждат обученията.
§ 16 Оплаквания
(1) Всяко засегнато лице има право да се оплаче от обработването на неговите лични данни, ако счита, че по някакъв начин са засегнати правата му. Освен това заетите лица могат да предяват иск за нарушаване на директивата на сдружението по всяко време.
(2) Оплакването по ал. 1 се подава пред длъжностното лице по защита на личните данни, който представлява външна независима и неподлежаща на наблюдение инстанция.
§ 17 Наличност, Конфиденциалност и цялост на данните
(1) В зависимост от вида, обхвата, обстоятелствата и целта на обработката, както от вероятността от настъпване на рисково събитие за всеки процес следва да се изработи документирано заключение относно необходимостта от мерки за сигурност с оглед анализ на риска за засегнатото лице.
(2) Лични данни, събрани са с различна цел, трябва да се съхраняват и обработва поотделно. Разделянето на данните трябва да се подсигури чрез подходящи технически и организационни мерки.
§18. Оценка на въздействието
(1) Оценка на въздействието се извършва, когато това се изисква съгласно приложимото законодателство и с оглед на риска за физическите лица и естеството на обработка на лични данни, извършвана от Дружеството. Оценка на въздействието се извършва за високорискови дейности по обработване.
(2) Оценка на въздействието е необходимо при всяко въвеждане на ключова система или смяна на бизнес програма, която е свързана с обработване на лични данни, включително:
- първоначалното въвеждане на нови технологии или прехода към нови технологии;
- автоматизирано обработване, включително профилиране или автоматизирано вземане на решения;
- обработване на чувствителни лични данни в голям мащаб;
- мащабно, систематично наблюдение на публично обществена зона.
(3) За оценката се съставя протокол, който се предоставя при поискване от страна на КЗЛД.
§ 19 Нарушения на сигурността
(1) Лицата, идентифицирали признаци на нарушение на сигурността на данните, са длъжни да докладват незабавно на Председателя НА СДРУЖЕНИЕТО, като му предоставят цялата налична информация.
(2) Председателят на сдружението извършва незабавно проверка по подадения сигнал, като се опитва да установи дали е осъществено нарушение на сигурността и кои данни са засегнати.
(3) След съгласуване с ръководството на сдружението, Председателят предприема мерки за предотвратяване или намаляване последиците от пробива и възможностите за възстановяване на данните.
(4) При спешност, когато съгласуване с ръководството би забавило реакцията и би нанесло големи щети, Председателят може по своя преценка да предприеме мерки за предотвратяване или намаляване последиците от нарушението на сигурността. В този случай той уведомява незабавно Длъжностното лице по защита на личните данни и ръководството за предприетите мерки и съобразява последващи действия с получените инструкции.
(5) В случай че нарушението на сигурността създава вероятност от риск за правата и свободите на физическите лица, чиито данни са засегнати, и след одобрение от ръководството на сдружението, Длъжностното лице по защита на личните данни, организира уведомяването на КЗЛД.
(6) Уведомяването на КЗЛД следва да се извърши без ненужно забавяне и когато това е осъществимо – не по-късно от 72 часа след първоначалното узнаване на нарушението.
(7) Уведомлението до КЗЛД съдържа следната информация:
(а) описание на нарушението на сигурността; категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;
(б) името и координатите за връзка на Длъжностното лице по защита на личните данни;
(в) описание на евентуалните последици от нарушението на сигурността;
(г) описание на предприетите или предложените мерки за справяне с нарушението на сигурността, включително мерки за намаляване на евентуалните неблагоприятни последици.
(8) Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Длъжностното лице по защита на личните данни, без ненужно забавяне и при спазване на приложимото законодателство уведомява засегнатите физически лица.
(9) В Дружеството се води регистър на нарушенията на сигурността, който съдържа следната информация:
(а) дата на установяване на нарушението;
(б) описание на нарушението – източник, вид и мащаб на засегнатите данни, причина за нарушението (ако е приложимо);
(в) описание на извършените уведомявания: уведомяване на КЗЛД и засегнатите лица, ако е било извършено;
(г) предприети мерки за предотвратяване и ограничаване на негативни последици за субектите на данни и за Дружеството;
(д) предприети мерки за ограничаване на възможността от последващи нарушения на сигурността.
(2) Регистърът се води в електронен формат, като нарушенията на сигурността се попълват от Председателя.
§ 20 Гаранция за отчетност
(1) Спазването на насоките на тази директива трябва по всяко време да бъде доказана. В този случай трябва да се внимава особено за прозрачността и възпроизведимостта на предприетите мерки, така например при свързаната документация.
§ 22 Актуализация на директивата; Възпроизведимост.
(1) В рамките на бъдещото развитие на правото за защита на личните данни, както във връзка с технологични и организационни промени, тази директива ще бъде проверявана редовно с цел напасване и допълване.
(2) Промените в тази директива са действителни дори, когато не е спазена форма. Заетите лица и наетите на отговорни длъжности трябва непосредствено и по подходящ начин да бъдат информирани за променените изисквания.
H.E. Detlef Lingemann was born in 1954 in Düsseldorf, Germany. He studied law in the Universities of Bonn, London and Strasbourg, before entering the diplomatic service. His first foreign post was in Moscow in the early 1980s. From 1986 to 1989 he was Deputy Head of Mission in Mali. From 1995 to 2000 he headed the press department of the German embassy in the USA in Washington DC. From 2006 to 2008 Mr. Lingemann was Permanent Representative of the German ambassador in Moscow. From 2011 to 2014, he served as an Ambassador to the Czech Republic. He was part of the economic division in the department of the foreign ministry in Germany. Since August 8, 2014 H.E. Detlef Lingemann is an Ambassador in Bulgaria.
Ирина Георгиева Бокова е български политик и дипломат, генерален директор на ЮНЕСКО, заместник-министър (1996 – 1997) на външните работи от БСП в правителството на Жан Виденов, посланик във Франция и Монако и постоянен представител в ЮНЕСКО.
Ирина Бокова е кандидат за генерален директор на ООН.
Източник:
ПУБЛИЧНА ЛЕКЦИЯ НА Г-ЖА ИРИНА БОКОВА
На 21 май 2016 г-жа Ирина Бокова изнесе публична лекция на тема “ЮНЕСКО на световната политическа сцена - приоритети" по време на отворена среща в Община Варна.
Резюме на публичната лекция на г-жа Ирина Бокова – генерален директор на ЮНЕСКО
По покана на господин Иван Станчов, съучредител на Работилница за бъдеще България и патрон на проекта „Бъдещето на България“, госпожа Ирина Бокова изнесе публична лекция пред широка аудиторията от активни граждани, академици, представители на местната власт, почетни консули. Събитието се състоя на 21.05.2016 от 10:30 в зала "Пленарна" на Община Варна. То бе организирано съвместно от Работилница за бъдеще България, Община Варна и Атлантически клуб - България.
Взаимосвързаност на локалното и глобалното развитие
В рамките на публичната лекция и дискусията на тема „ЮНЕСКО на световната политическа сцена - приоритети“, госпожа Ирина Бокова няколко пъти показа, по какъв начин важните местни и глобални теми на устойчивото развитие са свързани помежду си.
В тази светлина тя оцени накратко дейността на Работилница за бъдеще България, емиграцията от страната ни, реализацията на български специалисти в чужбина.
o Работилница за бъдеще България
Госпожа Ирина Бокова започна своята лекция, правейки паралел между дейността на ЮНЕСКО и целите, които Работилница за бъдеще България си е поставила. Според нея, организацията-домакин е отправила поглед към развитието не само на България, но и на света като цяло. В този контекст тя обърна особено внимание на намирането на творчески решения за наболели обществени проблеми, както и на насърчаването на младите към конструктивен диалог с местната и централна власт.
o Емиграцията
В рамките на дискусията госпожа Бокова бе запитана, какво според нея би могло да задържи младите хора в България. Тя използва този повод, за да покаже, че процесът на емиграция е тема от световен мащаб. При това основният движещ фактор не са материалните блага, а напротив – стремежът към по-добра професионална и личностна реализация, или както тя самата се изрази: "Аз мисля, че проблемът с изтичането на мозъци от развиващи се към по-развити страни е световен проблем, той не касае само нашата страна. И основното, което привлича младите е точно възможността за развитие, те не мислят много за материалните облаги в този момент, искат да имат кариерно развитие, да имат някаква кауза".
o Равнопоставеност на различните нации на международния пазар
Друг въпрос, развълнувал публиката и госпожа Ирина Бокова бе темата за отношението към българските специалисти на международния пазар на труда. Арх. Надя Стаматова даде конкретен пример за дискриминация на хора с нейното образование спрямо колеги, завършили в престижни университет на Запад. В отговор на това, госпожа Бокова разказа за ситуации, в които самата тя е ставала жертва на подценяване заради страната, от която произлиза. Г-жа Бокова обясни, как чрез умела аргументация, както и демонстрирайки професионалните си умения, тя е преодоляла пречки от дискриминативен характер в кариерата си.
Част от изказването и по темата бяха думите: "Ние трябва да престанем да мислим, че сме малка страна, в Европа ние сме една нормална страна, има много по-малки от нас страни по население, не бива да имаме комплекс. Трябва да смятаме, че ние можем толкова, колкото могат и другите. Да - изпитваме трудности, да - нашето социално-икономическо развитие не е такова, каквото си мислехме, че ще бъде, вярно че кризата от преди 7-8 години ни удари много лошо, да - това е ситуацията, да - трябва да търсим начини за по-ускорено развитие, всички тези въпроси са на дневен ред. Но от там нататък не мисля, че ние трябва сами да се унижаваме и да не се дооценяваме"
Реализацията на жените в световните организации
Друга важна тема, възникнала в самия край на дискусията, бе свързана с ролята на жените в политиката и световните влиятелни организации, работещи в тази сфера. Г-жа Бокова констатира със съжаление, че в последните години дискриминацията на „слабия пол“ при назначаването на лидерски позиции става по-осезаема за сметка на периода на подобрение преди това.
Потенциалът на културната сфера от икономическа гледна точка
Г-жа Ирина Бокова представи културния сектор в световен план като една от най-бързо развиващите се индустрии. Тя подчерта, че този сектор осигурява 29 милиона работни места – повече от автомобилната индустрия. „Културата е най-бързо развиващата се индустрия и най -хубавото е, че това са работни места, които не могат да бъдат изнасяни, те са много добре имплантирани по места. Мисля, че България има много голям потенциал в тази посока" , допълни госпожа Бокова.
Образованието, културата и тяхната роля в световното устойчиво развитие
Госпожа Ирина Бокова засегна редица други важни теми, като например ролята на ЕС за България, екстремизма и тероризма. При всички тях тя показа, че културата и образованието са от ключово значение за устойчивото развитие. Само чрез тях темите и проблемите в която и да е сфера могат да бъдат добре разбрани, а това е базата, на която могат да се търсят добри дългосрочни решения.
Специално благодарим на медията Черно Море, за подробното отразяване на събитието. То беше използвано и като материал за създаване на това резюме.
Гледайте видеото от публичната лекция на тук.
Нейният пълен текст можете да прочетете тук.
