Политика за защита на личните данни в НВУ „Васил Левски”

  1. ОБЩИ ПОЛОЖЕНИЯ
Предмет на Политиката е защитата на личните данни, обработвани в НВУ „Васил Левски” (наричана по-нататък за краткост ПОЛИТИКАTA) и дефиниране на основните параметри за ефективно прилагане на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година, относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива.
С цел поддържане на добрата репутация на НВУ „Васил Левски” и гарантиране на съответствие със законодателството на Република България (РБ) и Общия регламент за защита на личните данни - Регламент (ЕС) 2016/679 (ОРЗЛД), Администраторът на лични данни, изпълнява задълженията си, при спазването на принципите на законосъобразност, прозрачност и конфиденциалност при обработването на личните данни. Администраторът прилага организационни и технически мерки за обезпечаване необходимото ниво на защита на процесите по обработването им.
Настоящата политика има за цел:
  • ефективно прилагане на законодателството на Република България, ОРЗЛД в областта на обработването на лични данни (ЛД) на субектите на данни.
  • да определи основните категории лични данни обработвани от Администратора, целите, способите и принципите на обработване на лични данни, правата и задълженията на Администратора при обработването на лични данни, правата на субекта на лични данни (СЛД), а също така включва и списък с организационните и технически мерки използвани с цел осигуряване на защитата на личните данни.
  • да опише концепцията на Администратора при обработване на личните данни.
  1. ПРАВНО ОСНОВАНИЕ ЗА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ
Правото на Администратора за обработването на лични данни се определя от следните нормативни и административни актове:
  • Закон за отбраната и въоръжените сили на Република България;
  • Правилник за прилагане на Закона за отбраната и въоръжените сили на Република България;
  • Закон за резерва на въоръжените сили на Република България;
  • Закон за Военната полиция;
  • Правилник за прилагане на Закона за Военната полиция;
  • Кодекс на труда;
  • Кодекс за социално осигуряване;
  • Закона за счетоводството;
  • Закон за достъп до обществена информация;
  • Кодекси, постановления, закони и наредби свързани със здравеопазването;
  • Закон за висшето образование и подзаконови актове;
  • Закон за обществените поръчки;
  • Закон за защита на класифицираната информация, правилника и наредбите за неговото прилагане;
  • Закон за държавната собственост;
  • Закон за авторското право и сродните му права;
  • Закон за Националния архивен фонд;
  • Правилник за прилагане на закона за държавната собственост;
  • Закон за противодействие на корупцията и за отнемане на незаконно придобитото имущество;
  • Конвенция на Съвета на Европа за защита на лицата при автоматизираната обработка на лични данни;
  • Наредбата за военния отчет на български граждани и техника за мирно и военно време;
  • Наредбата за условията и реда за провеждане на мобилизация;
  • Наредбата за отсрочване на запасни и техника-запас от повикване във въоръжените сили при мобилизация;
  • Наредбата за условията и реда за разкриване и осигуряване дейността на курсове по начална и/или специална военна подготовка във висшите училища и за подготовката на учениците от средните училища.
  • Заповеди, правилници, наредби, инструкции и други нормативни актове, даващи указания за обработване на лични данни от Администраторите.
  1. ЦЕЛИ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ
Администраторът обработва лични данни основно за следните цели:
  • Национална сигурност и отбрана;
  • Изпълнение на изискванията на указаните в точка 2 нормативните актове;
  • Изпълнение на задълженията по трудови и служебни правоотношения, договори с гражданско-правен характер, договори с контрагенти, международни договори и споразумения по тяхното прилагане;
  • Осъществяване на информационната политика на Министерството на отбраната;
  • Опазване на реда и сигурността в и на НВУ „Васил Левски”.
  1. КАТЕГОРИИ НА ОБРАБОТВАНИТЕ ЛИЧНИ ДАННИ, ИЗТОЧНИЦИ ЗА ПОЛУЧАВАНЕ И СРОКОВЕ ЗА СЪХРАНЕНИЕ
В информационните системи за лични данни, се обработват следните категории лични данни:
  • Лични данни на служителите - източник на личните данни е субекта на данни;
  • Лични данни на контрагенти - източник на личните данни е субекта на данни;
  • Лични данни на посетители - източник на личните данни е субекта на данни;
  • Лични данни на кандидати за работа - източник на личните данни е субекта на данни;
  • Лични данни на граждани ползващи услугите на НВУ - източник на личните данни е субекта на данни;
  • Лични данни на резервисти и запасни - източник на личните данни е субекта на данни;
  • Лични данни на лица под 16 години - източник на личните данни са родители или упълномощено от тях лице;
  • Лични данни за здравословното състояние на субектите - източници са субекта на лични данни или трети юридически лица;
  • Лични данни на обучаеми - източници са субекта и/или контрагенти;
  • Лични данни събрани от публични и информационни регистри или от други източници, предоставени директно от субекта на данни и/или от трети страни/лица.
Личните данни се класифицират в 4 категории, според последиците и неблагоприятното въздействие за субекта на данни:
КАТЕГОРИЯ 1 (К1) - генетични лични данни и лични данни, отнасящи се до расов или етнически произход, политически възгледи, религиозни и философски убеждения, здравословно състояние, интимен живот, сексуална ориентация и др. (специални категории ЛД).
КАТЕГОРИЯ 2 (К2) - лични данни позволяващи идентифицирането на субекта на лични данни и получаването на допълнителна информация за него, с изкл. на лични данни от К1 и лични данни, свързани с присъди и нарушения.
КАТЕГОРИЯ 3 (К3) - лични данни позволяващи идентифицирането на субекта на лични данни.
КАТЕГОРИЯ 4 (К4) - обезличени и/или общодостъпни лични данни.
Сроковете за съхранение на личните данни са указани във Вътрешни правила за обработване на лични данни или са съгласно обявените от Администратора Номенклатури на делата и сроковете за съхранение.
  1. ОСНОВНИ ПРИНЦИПИ И СПОСОБИ НА ОБРАБОТВАНЕТО, ПРЕДАВАНЕТО И СЪХРАНЯВАНЕТО НА ЛИЧНИ ДАННИ
Администраторът в своята дейност, се задължават да спазват следните основни принципи при обработка на лични данни:
  • Субектът на данните се информира предварително за обработването на неговите лични данни;
  • Личните данни се събират за конкретни, точно определени и законни цели и не се обработват допълнително по начин, несъвместим с тези цели;
  • Личните данни съответстват на целите, за които се събират;
  • Личните данни трябва да са точни и при необходимост да се актуализират;
  • Личните данни се заличават или коригират, когато се установи, че са неточни или не съответстват на целите, за които се обработват;
  • Личните данни се поддържат във вид, който позволява идентифициране на съответните физически лица за период, не по-дълъг от необходимия, за целите, за които тези данни се обработват.
Администраторът не обработва специални категории лични данни, освен в случаи свързани с националната сигурност и отбрана, и единствено ако обработването е необходимо за спазването на законово/правно задължение, което се прилага спрямо някой от тях.
Администраторът не предава лични данни на трети държави или международни организации, освен в някои случаи свързани с националната сигурност и отбрана и/или обработването е необходимо за спазването на законово/правно задължение, което се прилага спрямо тях.
Администраторът при изпълнение на своите законови задължения и правомощия може да създават общодостъпни източници на лични данни (справочници, телефонни указатели, списъци и др.). Тези данни могат да включват например: име, презиме, фамилия, звание, длъжност, служебен телефон, служебен електронен адрес. Обработването на тези данни е само за нуждите на Администратора и неговите служители.
Администраторът не предоставя правото за обработка или самата обработка на лични данни, от негово име, на трети лица или страни на основата на договор.
Обработването на лични данни се извършва, съгласно следните способи:
  • Неавтоматизирано обработване на лични данни;
  • Автоматизирано обработване на лични данни;
  • Смесена обработка на лични данни.
  1. ПРЕДАВАНЕ НА ЛИЧНИ ДАННИ НА „ТРЕТА СТРАНА/ЛИЦЕ”
В изпълнение на националното законодателство и за постигане целите на обработката, както и в интерес на субекта на данни, Администраторът в хода на своята дейност предават законно изискуеми лични данни на следните организации:
  • Национална агенция по приходите;
  • Национален осигурителен институт;
  • Министерство на отбраната;
  • Министерство на вътрешните работи;
  • Министерство на образованието и науката;
  • Държавна агенция за национална сигурност;
  • Държавна комисия по сигурността на информацията;
  • Частни пенсионни фондове;
  • Частни и Държавни съдебни изпълнители;
  • Съдилища и прокуратура;
  • Контролиращи органи на държавната и местната власт;
  • Застрахователни компании, банки и кредитни институции;
  • Инспекция по труда;
  • На трети страни или международни организации, само при наличие на договорни взаимоотношения.
  1. МЕРКИ ЗА ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ
Администраторът при обработването на лични данни прилага всички необходими законови, организационни и технически мерки за защитата им от неправомерен или случаен достъп, унищожаване, изменение, блокиране, копиране, предоставяне, предаване и други неправомерни действия.
Осигуряването защитата на лични данни се постига, основно със следните способи:
  • назначаване на длъжностно лице по защита на данните;
  • осъществяването на вътрешен контрол и одит за съответствието на обработването на личните данни;
  • запознаване на непосредствено обработващите лични данни с нормативната уредба и изискванията за защита на личните данни;
  • определяне на нивото на риска при обработването на лични данни в информационните системи;
  • прилагане на адекватни организационни и технически мерки за осигуряване на защитата на личните данни при обработването им в информационните системи, в зависимост от категорията лични данни (К1-К4);
  • оценка на ефективността на приложените мерки за защита на личните данни;
  • отчет и контрол на електронните носители на лични данни;
  • откриване на пробиви за несанкциониран достъп до личните данни и прилагане на мерки за подобряване на защитата;
  • установяване на правила за достъп до лични данни, обработвани в информационните системи, както и регистрация и отчет на всички дейности, извършвани с личните данни в информационните системи;
  • контрол на прилаганите мерки за осигуряване на защитата на личните данни и нивото на защита на информационните системи за обработка на лични данни;
  • провеждане на обучение и инструктажи по защитата на личните данни, на служителите, извършващи обработка на лични данни.
  1. ПРАВА НА СУБЕКТА НА ЛИЧНИ ДАННИ
Субектът на лични данни има право да получава информация от Администратора, дали се обработват лични данни, свързани с него, в т. ч. целите на обработването, категориите лични данни, получателите на лични данни, предвидените срокове за съхранение, предават ли се данни на трети държави и/или международни организации.
Субектът на лични данни има право на коригиране, изтриване („правото да бъдеш забравен“), ограничаване на обработването на личните данни, в случай че те са непълни, остарели, неточни, незаконно придобити или не отговарят на обявените цели на обработване.
Субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране.
Правото на субекта на данни на достъп до своите лични данни може да бъде ограничено, в съответствие с националното законодателство, в това число и в следните частни случаи:
  • ако личните данни се обработват в резултат на оперативно-следствени дейности, контра-разузнавателни и разузнавателни дейности изпълнявани за целите на отбраната на страната и/или националната сигурност;
  • обработката на лични данни се извършва от органите, осъществяващи задържане на субекта на лични данни по подозрение в извършване на престъпление, или предявяване към субекта на лични данни на обвинение по престъпление, или прилагане върху субекта на лични данни на мерки за задържане до предявяване на обвинение, с изключение на предвидените в законодателството на Република България случаи, когато се допуска запознаването на заподозрения или обвиняемия с такива данни;
  • ако обработването на лични данни се извършва съгласно законодателството за противодействие на корупцията и за отнемане на незаконно придобитото имущество, и/или за мерките срещу финансирането на тероризма;
  • когато достъпа на субекта на лични данни до неговите лични данни нарушава правата и законните интереси на трети лица.
Предоставянето на достъп до информацията за обработването на личните данни на субекта на данни е безплатно, като Администраторът си запазва правото да наложи административна такса, в случай на повторяемост или прекомерност на исканията.
Субектът на данните има право по всяко време и на основания, свързани с неговата конкретна ситуация на възражения срещу обработване на личните му данни. Администраторът е длъжен да разглежда заявленията, жалбите, подадени от субекта на данни, щателно да разследва фактите свързани с нарушението и да предприема всички необходими мерки за незабавното им отстраняване, наказване на виновните лица и решаване на спорните и конфликтни ситуации извън съда.
Субектът на данни има право да обжалва действията или бездействието на Администратора, като се обръща към Надзорния орган по защита на личните данни, посочен в точка 9.
  1. НАДЗОРЕН ОРГАН
Надзорен орган е Комисията за защита на личните данни, телефон за връзка: 02 / 915 35 18, адрес: гр. София, 1592, бул. „Проф. Цветан Лазаров“ № 2.
  1. ЗАКОНОСЪОБРАЗНОСТ, ПРИЛОЖИМОСТ И АКТУАЛНОСТ
Тази политика е разработена от работна група назначена от Началника на НВУ „Васил Левски”.
Всички въпроси по защита на личните данни, възникнали между субекта на данни и съответния Администратор ще се решават в дух на сътрудничество и разбирателство.
В случай, че субектът на лични данни счете, че Администраторът нарушава правата му при обработването на личните му данни, той може да подаде жалба пред надзорния орган или да търси правата си по съдебен ред.
При възникване на съдебни спорове между съответния Администратор и субекта на лични данни, същите ще се решават съгласно приложимото законодателство в областта на защита на личните данни.
Началникът на НВУ „Васил Левски” запазва правото си да преразглежда и при необходимост да актуализира, изменя, променя, допълва и отменя настоящата ПОЛИТИКА по всяко време в бъдеще и когато обстоятелствата го налагат.