
Политика, правила и процедури за защита на данните
ПОЛИТИКА, ПРАВИЛА И ПРОЦЕДУРИ ЗА ЗАЩИТА НА ДАННИТЕ
Ен Джи Би Консултинг ЕООД
ПОЛИТИКА И ПРОЦЕДУРИ ЗА ЗАЩИТА НА ДАННИТЕ
Ен Джи Би Консултинг ЕООД е дружество, което извършва търговска дейност.
Контекст и общ преглед
Ключови подробности
- Политиката е изготвена от: Милена Джонева
- Одобрена от ръководството на: 04.2018 г.
- Политиката влезе в сила на: 04.2018 г.
- Следваща дата на прегледа: 04.2019 г.
Въведение
Ен Джи Би Консултинг ЕООД, дружество, което извършва търговска дейност, събира и използва определена информация за отделни лица, в процеса на извършване на своята фирмена дейност.
Те могат да включват: ученици, студенти, преподаватели, клиенти, доставчици, контрагенти, служители и други хора, с които организацията има отношения или може да се наложи да се свърже.
Настоящата политика описва как тези лични данни трябва да се събират, обработват и съхраняват, за да се изпълнят стандартите на дружеството за защита на личните данни и за да се спази закона.
Защо съществува настоящата политика?
Настоящата политика за защита на личните данни гарантира, че Ен Джи Би Консултинг:
- спазва закона за защита на личните данни и добрата практика;
- защитава правата на персонала, клиентите и партньорите;
- знае как да съхранява и обработва данните на отделните лица;
- защитава себе си от рисковете от злоупотреба с данните.
Закон за защита на личните данни
Законът за защита на личните данни от 1988 г. описва как организациите, включително Ен Джи Би Консултинг ЕООД, трябва да събират, обработват и съхраняват лични данни.
Тези правила се прилагат независимо от това дали данните се съхраняват по електронен път, на хартиен носител или на други носители.
За да се спази закона, личните данни трябва да се събират и използват по справедлив начин, да се съхраняват безопасно и да не се оповестяват, ако законът забранява това.
Законът за защита на личните данни е подкрепен от осем важни принципа. Съгласно тях личните данни трябва:
- да се обработват по справедлив и законен начин;
- да бъдат получавани само за конкретни, законни цели:
- да бъдат подходящи и уместни и да не бъдат прекалено излишни;
- да бъдат точни и да се поддържат актуални;
- да не се съхраняват за период, по-дълъг от необходимия;
- да се обработват в съответствие с правата на субектите на данни;
- да бъдат защитени по подходящ начин;
- да не се прехвърлят извън Европейското икономическо пространство (ЕИП), освен ако тази страна или територия не гарантира подходящо ниво на защита.
Хора, рискове и отговорности
Обхват на политиката
Настоящите правила се прилагат за:
- Централното управление и всички бъдещи клонове на Ен Джи Би Консултинг ЕООД;
- местата, в които са постоянно базирани дистанционни работници;
- всички служители, стажанти и доброволци на Ен Джи Би Консултинг;
- всички изпълнители, доставчици и други лица, работещи от името на Ен Джи Би Консултинг.
Те се прилагат и за всички данни, които дружеството притежава за лица, които могат да бъдат идентифицирани, дори ако тези данни технически попадат извън Закона за защита на личните данни от 1998 г. Те могат да включват:
- имената на лицата;
- пощенски адреси;
- имейл адреси;
- телефонни номера;
- и всяка друга информация, свързана с лицата и / или тяхната дейност.
Рискове за защитата на данните
Настоящата политика помага да предпазва Ен Джи Би Консултинг ЕООД, от някои много реални рискове за сигурността на данните, включително:
Нарушения на поверителността. Например, информацията е предоставена по неподходящ начин.
Непредоставяне на възможност на избор. Например, всички лица трябва да могат свободно да избират как дружеството да използва данните, свързани с тях.
Накърняване на репутацията. Например, репутацията на дружеството може да бъде накърнена, ако хакери са получили успешно достъп до чувствителни данни.
Отговорности
Всеки, който работи за или с Ен Джи Би Консултинг, трябва да гарантира, че данните се събират, съхраняват и обработват по подходящ начин в съответствие с настоящата политика и принципите на защита на данните.
Тези хора обаче имат ключови области на отговорност:
Управителят на дружеството Милена Джонева трябва да гарантират, че Ен Джи Би Консултинг, изпълнява своите правни задължения.
Отговорникът по защита на данните Милена Джонева:
- предоставя регулярно на директора и екипа за управление на дружеството информация за отговорностите, рисковете и проблемите, свързани със защитата на данните;
- преглежда всички процедури за защита на данните и свързаните с тях политики в съответствие с договорения график;
- организира обучение и консултация относно защитата на данните за хората, попадащи в обхвата на настоящата политика;
- обработва въпросите за защита на данните, отправени от персонала и от други лица, попадащи в обхвата на настоящата политика;
- разглежда исканията на конкретни лица да видят данните, които Ен Джи Би Консултинг притежава за тях (наричани още „искания на субекта за достъп“);
- проверява и одобрява договори или споразумения с трети страни, които могат да обработват чувствителните данни на дружеството.
- гарантира, че всички системи, услуги и оборудване, използвани за съхраняване на данни, отговарят на признатите стандарти за сигурност;
- извършва редовни проверки и сканиране, за да се гарантира, че хардуерът и софтуерът за сигурност функционират правилно;
- извършва оценка на услугите на трети страни, които дружеството планира да използва, за да съхранява или обработва данни. Например услуги за изчисление в облак.
- одобрява всички изявления за защита на данните, приложени към съобщения като имейли и писма;
- когато е необходимо, работи с други служители, за да се гарантира, че маркетинговите инициативи спазват принципите за защита на данните.
Общи насоки за персонала
- Единствените лица, които имат достъп до данните, предмет на настоящата политика, са тези, които се нуждаят от тях в процеса на работа.
- Данните не трябва да се споделят неофициално. Когато се изисква достъп до поверителна информация, искане за достъп се отправя до Милена Джонева.
- Ен Джи Би Консултинг ЕООД, осигурява обучение за всички служители, за да им помогне да разберат своите отговорности при обработката на данни.
- Служителите трябва да гарантират сигурността на всички данни, като вземат разумни предпазни мерки и следват насоките, дадени по-долу.
- По-специално трябва да се използват сигурни пароли, които никога не се споделят.
- Лични данни не трябва да се разкриват на неупълномощени лица нито в рамките на дружеството, нито извън него.
- Данните трябва редовно да се преглеждат и актуализират, ако се установи, че са остарели. Ако вече не се изискват, те трябва да бъдат изтрити и унищожени.
- Служителите трябва да поискат помощ от своя пряк ръководител или от служителя по защита на данните, ако не са сигурни за определен аспект на защитата на данни.
Съхранение на данни
Настоящите правила описват как и къде трябва да се съхраняват данните по безопасен начин. Въпросите за безопасното съхранение на данни могат да бъдат отправяни към администратора на данни.
Когато данните се предоставят на хартиен носител, те трябва да се съхраняват на сигурно място, където неоторизирани лица не могат да имат достъп до тях.
Настоящите насоки важат и за данни, които обикновено се съхраняват по електронен път, но са отпечатани по някаква причина:
- Когато не се изисква, хартиеният носител или файловете трябва да се съхраняват в заключено чекмедже или шкаф за документи;
- Служителите трябва да се уверят, че хартиеният носител и разпечатките не са оставени там, където неоторизирани лица могат да имат достъп до тях, например върху принтера;
- Разпечатките на данните трябва да бъдат нарязани и унищожени, когато вече не са необходими.
Когато данните се съхраняват по електронен път, те трябва да бъдат защитени от достъп, случайно изтриване и злонамерени опити за хакерство:
- Данните трябва да бъдат защитени със сигурни пароли, които се променят редовно и никога не се споделят между служителите;
- Ако данните се съхраняват на сменяеми носители, те трябва да се държат заключени на сигурно място, когато не се използват;
- Данните трябва да се съхраняват само на определени устройства и сървъри и трябва да се качват само на одобрени „облачни“ услуги („cloud services“).
- Данните трябва да се архивират често. Тези резервни копия трябва да се тестват редовно в съответствие със стандартните процедури за архивиране на дружеството;
- Данните никога не трябва да се съхраняват директно в лаптопи или на други мобилни устройства като таблети или смартфони;
- Всички сървъри и компютри, съдържащи данни, трябва да бъдат защитени от одобрен софтуер и защитна стена.
Използване на данни и процеси
Ен Джи Би Консултинг трябва да гарантира, че лицата са наясно, че данните им се обработват и че те разбират:
- как се използват данните;
- как да упражняват правата си.
Личните данни не са от значение за Ен Джи Би Консултинг, освен във връзка с изпълнението на търговската дейност на дружеството. Въпреки това, в момента на отваряне на лични данни за достър за работа с тях, може да има най-голям риск от загуба, корупция или кражба:
- Когато работят с лични данни, служителите трябва да гарантират, че екранът на техните компютри винаги е заключен, когато е оставен без надзор;
- Личните данни не трябва да се споделят неофициално. По-специално, те никога не трябва да се изпращат по електронна поща, тъй като тази форма на комуникация не е сигурна;
- Данните трябва да бъдат шифровани, преди да бъдат прехвърлени по електронен път;
- Личните данни никога не трябва да се прехвърлят извън Европейското икономическо пространство;
- Служителите не трябва да съхраняват копия на лични данни на собствените си компютри; Винаги достъпвайте и актуализирайте централното копие на всички данни.
Видът и количеството на обработваните лични данни зависи от причината, поради която Ен Джи Би Консултинг ги обработва (използвана правна причина) и какво желае да направи с тях. Ние спазваме няколко ключови правила, включително:
- Личните данни трябва да се обработват по законосъобразен и прозрачен начин, като се гарантира справедливост спрямо лицата, чиито лични данни обработваме („законност, справедливост и прозрачност“).
- Трябва да имаме конкретни цели за обработка на данните и трябва да посочваме тези цели на лицата при събиране на техните лични данни. Ние не събираме лични данни за неопределени цели („ограничаване на целта“).
- Ние събираме и обработваме само личните данни, които са необходими за постигане на конкретната цел („минимизиране на данните“).
- Ние гарантираме, че личните данни са точни и актуални, като се вземат предвид целите, за които те се обработват, и коригираме същите, ако не са актуални („точност“).
- Ние не използваме допълнително личните данни за други цели, които не са съвместими с първоначалната цел на събирането.
- Ние гарантираме, че личните данни се съхраняват само за периода, необходим за постигане на целите, за които са събрани („ограничаване на съхранението“).
- Ние сме взели подходящи технически и организационни мерки, които гарантират сигурността на личните данни, включително защита срещу неразрешена или незаконна обработка и срещу случайна загуба, унищожаване или повреда, като използваме подходяща технология („цялост и поверителност“).
Точност на данните
Законът изисква от Ен Джи Би Консултинг, да вземе разумни мерки, за да гарантира, че данните се поддържат точни и актуални.
Всички служители, които работят с данни, трябва да вземат разумни мерки, за да се гарантира, че те се поддържат възможно най-точни и актуални.
- Данните се съхраняват на толкова малко на брой места, колкото е необходимо. Персоналът не трябва да създава ненужни допълнителни набори от данни.
- Персоналът трябва да използва всяка възможност, за да гарантира актуализирането на данните. Например, като потвърждава данните на клиента по време на обаждане.
- Ен Джи Би Консултинг, ще улесни субектите на данни да актуализират информацията, която дружеството притежава за тях. Например, чрез уеб сайта на дружеството.
- Данните трябва да бъдат актуализирани, когато са открити неточности. Например, ако клиентът вече не може да бъде открит на предоставения от него телефонен номер, тази информация трябва да бъде премахната от базата данни.
- Управителят трябва да гарантира, че маркетинговите бази данни се сверяват на всеки 6 месеца със списъците на отписалите се, за да се подсигури, че отписаните остават отстранени
Искания на субекта за достъп
Право на достъп: Лицата имат право да поискат – и ще получат отговор от Ен Джи Би Консултинг.
Всички лица, чиито лични данни се притежават от Ен Джи Би Консултинг, имат право:
- да попитат каква информация притежава за тях дружеството и защо;
- да попитат как да получат достъп до нея;
- да бъдат информирани как да я актуализират;
- да бъдат информирани как дружеството изпълнява задълженията си за защита на данните.
Ако дадено лице се свърже с дружеството и изиска тази информация, това се нарича искане на субекта за достъп.
Исканията на субекта за достъп трябва да бъдат изпратени по електронна поща и адресирани до администратора на данни на info@ngbconsult.com. Администраторът на данни може да предостави стандартен формуляр на искане, въпреки че лицата не са длъжни да го използват.
Лицата няма да бъдат таксувани за искания на субекта за достъп. Администраторът на данните полага оптимални усилия да предостави съответните данни в срок от 14 дни.
Администраторът на данни проверява винаги самоличността на всеки, който е представил искане на субекта за достъп, преди да предаде каквато и да е информация.
Разкриване на данни по други причини
При определени обстоятелства Законът за защита на личните данни позволява личните данни да бъдат разкривани на правоприлагащите органи без съгласието на субекта на данните.
При подобни обстоятелства, Ен Джи Би Консултинг ще разкрие исканите данни. Администраторът на данни обаче гарантира, че искането е легитимно, като търси помощ от съвета и от юрисконсултите на дружеството, когато това е необходимо.
Съответствие с Общия регламент относно защитата на данните
Общият регламент относно защитата на данните предоставя на гражданите на ЕС повече права и защита на личните им данни. Те включват:
- Право на информация: Ен Джи Би Консултинг трябва да предостави определена информация, като например уведомление за поверителност, и да наблегне на прозрачността по отношение на начина, по който дружествата използват лични данни.
- Право на достъп: Лицата имат право да поискат – и да получат отговор – ако дадена организация обработва техните данни. Тази информация трябва да бъде предоставена до голяма степен безплатно в рамките на един месец от датата на искането.
- Правото на коригиране: Ако данните на дадено лице са неправилни или непълни, то има право да коригира същите.
- Право „да бъде забравен“: Лицето има право да изиска премахването на личните му данни при конкретни обстоятелства.
- Право на ограничаване на обработването: При определени обстоятелства дадено лице може да блокира обработката на неговите лични данни.
- Право на преносимост на данните: Лицето може да получи данните си за собствена употреба когато пожелае.
- Право на възражение: Лицето може да възрази срещу използването на личните му данни за повечето цели.
За тази цел дружеството е изготвило декларация за поверителност, в която се посочва как се използват данните на лицата. Тя е достъпна на уеб сайта на дружеството – ТУК.