Политиката е приета съобразно:
– вероятността и тежестта на риска за правата и свободите на физическите лица, чиито лични данни се обработват;
– необходимите и подходящи технически и организационни мерки;
– постиженията на техническия прогрес и разумните разходи за защита,
с оглед на естеството, обхвата, контекста и целта на обработваните лични данни.
Политиката се основава на следните принципи:
– законосъобразност и добросъвестност при обработка на лични данни;
– прозрачност – всяка информация да бъде в кратка, разбираема и лесно достъпна форма и да се използват ясни и недвусмислени формулировки;
– ограничаване на целите, за които се събират лични данни, до тези, които са реално нужни за дейността;
– свеждане до минимум на събираните за дейността лични данни;
– точност и актуалност на обработваните лични данни;
– минимален достъп до лични данни;
– контролиран и проследим достъп до лични данни;
– минимален срок за съхранение;
– надеждно съхранение;
– отчетност за доказване спазването на Регламента.
Политиката се подчинява на следните права на физическите лица:
– право на информираност за какво се обработват лични данни;
– право на достъп до личните данни;
– право на коригиране;
– право на изтриване (правото ”да бъдеш забравен”);
– право на ограничаване на обработването;
– право на информираност за действия в резултат на искане за коригиране, изтриване или ограничаване на обработването;
– право на преносимост на данните;
– право на възражение срещу обработване на лични данни;
– право да не са обект на автоматично вземане на решение, включващо профилиране.
I. ПРИНЦИПИ ПРИ ОБРАБОТКА НА ЛИЧНИ ДАННИ
Спазване разпоредбите на Регламента
Чл.1.1. Политиката на ЦКОДУХЗ – гр. Дебелец, в т.ч. приложимите към нея Процедури (Оперативни документи, Регистри и Списъци), има за цел да осигури спазването на разпоредбите на Регламента.
Лични данни се събират и обработват законосъобразно и добросъвестно
Чл.1.2. ЦКОДУХЗ – гр. Дебелец събира и обработва лични данни законосъобразно, добросъвестно и в съответствие с принципите и правата на физическите лица във връзка с обработването на техните лични данни.
Личните данни се обработват прозрачно
Чл.1.3. ЦКОДУХЗ – гр. Дебелец осигурява прозрачност в комуникацията за събираните и обработваните лични данни като информацията за това е в кратка, прозрачна, разбираема и лесно достъпна форма, и се използват ясни и недвусмислени формулировки
Лични данни се събират и обработват само за определени цели
Чл.1.4. ЦКОДУХЗ – гр. Дебелец обработва лични данни на физически лица само в следните случаи:
1. обработването е необходимо за спазване на законово задължение на ЦКОДУХЗ – гр. Дебелец;
2. обработването е необходимо за изпълнение на договор (в т.ч. поръчка) ЦКОДУХЗ – гр. Дебелец, по който физическо лице е страна, или за предприемане на стъпки по искане от физическо лице преди сключване на договор, когато е нужна неговата идентификация;
3. физическо лице е дало своето недвусмислено съгласие за разбираема и прозрачно дефинирана цел от страна на ЦКОДУХЗ – гр. Дебелец, за която е нужно обработване на неговите лични данни;
4. обработването е необходимо, за да бъдат защитени жизнено важни интереси на физическото лице, чиито лични данни се обработват или на друго физическо лице;
5. обработването е необходимо за целите на легитимните интереси на ЦКОДУХЗ – гр. Дебелец или на трета страна, съгласно разпоредбите на Регламента;
6. другите случаи, предвидени в Регламента.
Не се събират и обработват ненужни за дейността лични данни
Чл.1.5. ЦКОДУХЗ – гр. Дебелец не събира и не обработва лични данни на физически лица, които надхвърлят неговите задължения по закон или неговите нужди за правене на бизнес.
Събрани лични данни се обработват за други цели само след съгласие на лицата
Чл.1.6. Във всички случаи, когато е необходимо събрани и обработвани лични данни на физически лица да се използват за цели различни от първоначалните, ЦКОДУХЗ – гр. Дебелец уведомява съответните физически лица, иска тяхното съгласие и пристъпва към обработка на техните лични данни за други цели, само след тяхното изрично съгласие.
За обработка се събират минимално необходимите лични данни
Чл.1.7. ЦКОДУХЗ – гр. Дебелец събира и обработва само минимум необходимите лични данни на физически лица, които:
1. са предвидени в закон;
2. са нужни за изпълняване на договор;
3. са нужни за изпълняване на целите, за които се събират.
Обработвани лични данни са точни и актуални
Чл.1.8. ЦКОДУХЗ – гр. Дебелец осигурява обработването личните данни на физически лица да се извършва с максимална точност и по възможност винаги в актуалност.
Личните данни се обработват от минимум необходимия брой лица
Чл.1.9. ЦКОДУХЗ – гр. Дебелец осигурява достъпът и обработката на личните данни на физически лица да се извършва от минимално необходимия брой лица (оператори), които имат нужната компетентност за тяхната обработка и нужната ангажираност за тяхното опазване.
Личните данни се съхраняват за минимално необходимото време
Чл.1.10. ЦКОДУХЗ – гр. Дебелец съхранява лични данни за минимално необходимото време:
1. нужно по закон;
2. нужно да се изпълни договор (в т.ч. поръчка) и отговорността по него;
3. нужно да се изпълни целта, за която данните са събрани и обработени; или
4. до поискване от физическо лицето за тяхното изтриване,
след което те се унищожават без излишно забавяне.
Във всички случаи ЦКОДУХЗ – гр. Дебелец осигурява поне веднъж годишно да се прави преглед на събираните и обработваните лични данни и тези от тях, които попадат в някоя от горните хипотези се изтриват без излишно забавяне.
II. ПРАВИЛА ЗА ОБРАБОТКА НА ЛИЧНИ ДАННИ
Личните данни се обработват с необходимите нива и мерки за защита
Чл.2.1. ЦКОДУХЗ – гр. Дебелец осигурява необходимите нива на физическа, организационна и технологична защита с оглед на:
1. естеството, обхвата, контекста и целта на обработваните лични данни;
2. вероятността, нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработваните лични данни;
3. своите финансови и организационни възможности.
ЦКОДУХЗ – гр. Дебелец осигурява и всички необходими мерки за своевременно възстановяване на събирани и обработени лични данни при тяхна загуба в резултат на случайни, злонамерени или форсмажорни събития.
Личните данни се обработват с контролиран и проследим достъп
Чл.2.2. ЦКОДУХЗ – гр. Дебелец осигурява необходимите и подходящи технически, организационни и технологични мерки за контролиран и проследим достъп до личните данни на физически лица.
Личните данни се обработват с нужната отчетност за спазване на Регламента
Чл.2.3. ЦКОДУХЗ – гр. Дебелец осигурява необходимата отчетност и регистри, за да е в състояние да докаже, че разпоредбите на Регламента са спазени.
Спазване правата на физическите лица, чиито лични данни се обработват
Чл.2.4. ЦКОДУХЗ – гр. Дебелец осигурява спазването правата на физическите лица, чиито лични данни се събират и обработват, което включва:
1. право на информираност за обработка на лични данни;
2. право на достъп до личните данни – с какви данни се разполага;
3. право на коригиране на неточни лични данни;
4. право на изтриване на лични данни – правото ”да бъдеш забравен”;
5. право на ограничаване на обработваните лични данни;
6. правото на информираност за действия в резултат на искане за коригиране, из-триване или ограничаване на обработването на лични данни;
7. право на преносимост на данните;
8. право на възражение срещу обработване на лични данни;
9. право да не са обект на автоматично вземане на решение, включващо профили-ране.
III. ЗАДЪЛЖЕНИЯ НА РЪКОВОДСТВОТО
Периодична оценка на нивата на въздействие при нарушаване на сигурността
Чл.3.1. ЦКОДУХЗ – гр. Дебелец прави периодичен преглед на нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработвани техни лични данни, с оглед предприетите нива и мерки за защита на лични данни да съответстват на тези нива и тежест на риска.
Периодичен преглед на адекватността на нивата и мерките за защита
Чл.3.2. ЦКОДУХЗ – гр. Дебелец прави периодичен преглед на адекватността на нивата и ефективността на прилаганите мерки за защита на обработваните лични данни, с оглед на тяхното съответствие с нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработвани техни лични данни.
Изборът на подизпълнители, обработващи лични данни, да отговаря на Регламента
Чл.3.3. За случаите, в които обработка на лични данни се възлага на подизпълнител, обработващ лични данни, ЦКОДУХЗ – гр. Дебелец осигурява неговият избор да се основава на достатъчни гаранции, предоставени от обработващия личните данни (подизпълнителя), за прилагане на Регламента, в т.ч. сключването на договор с подробно разписани предмет, срок, начин на обработка на личните данни, задълженията и отговорностите на обработващия в тази връзка.
Обработката на лични данни се извършва само по начина указан от Администратора
Чл.3.4. Когато лични данни се обработват в качеството на обработващ, това се извършва само по начина, който е указан от Администратора на личните данни.
Длъжностно лице по защита на личните данни
Чл.3.5. ЦКОДУХЗ – гр. Дебелец определя Длъжностно лице по защитата на личните данни, което:
– притежава нужната компетентност;
– разполага с нужните подкрепа, ресурси и достъп;
– се ползва с независимост;
– е в състояние да изпълни своите задачи за защита на личните данни.
Спазване на Кодекс за поведение
Чл.3.6. Ако Комисията за защита на личните данни одобри Кодекс за поведение за бранша или индустрията, в която ЦКОДУХЗ – гр. Дебелец работи, то се ангажира да приеме този Кодекс за поведение и да преработи в съответствие с него Политиката, в т.ч. приложимите към нея Процедури (Оперативни документи, Регистри и Списъци).
Всяко нарушение на сигурността на личните данни се документира
Чл.3.7. Всяко нарушение на сигурността на събираните и обработваните лични данни се документира и в срок до 72 часа от узнаването се уведомява Комисията за защита на личните данни, освен ако нарушаването в сигурността на личните данни няма да предизвика риск за правата и свободите на засегнатите физически лица.
Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физически лица, ЦКОДУХЗ – гр. Дебелец без ненужно забавяне съобщава това на засегнатите физически лица.
Обучения на персонала, отговорен за обработка на лични данни
Чл.3.8. ЦКОДУХЗ – гр. Дебелец осигурява необходимите встъпителни и периодични обучения на своя персонал, който е отговорен за обработката на лични данни на физически лица, но не по-малко при постъпване на работа и поне два пъти годишно.
Обучението се провежда по план съобразно правата на достъп до лични данни, целите за тяхната обработка на лични данни, начина за тяхното обработване и ползване, и всичко друго, което е приложимо.
Всяко обучение се документира по подходящ начин.
Лицата, обработващи лични данни поемат ангажимент за поверителност
Чл.3.9. ЦКОДУХЗ – гр. Дебелец осигурява лицата, на които е възложена обработката на лични данни на физически лица да поемат ангажимент за поверителност, който може да бъде оформен в договора за възлагане на работата или с нарочна декларация.
Всички служители и външни доставчици с достъп до лични данни са отговорни
Чл.3.10. Политиката, в т.ч. приложимите към нея Процедури (Оперативни документи, Регистри и Списъци), се прилагат за всички служители на ЦКОДУХЗ – гр. Дебелец, както и за всички външни доставчици, които имат достъп и/или са опериращи с лични данни, които ЦКОДУХЗ – гр. Дебелец администрира или обработва.
Всички изброени лица носят отговорност за спазването на Политиката, в т.ч. приложимите към нея Процедури (Оперативни документи, Регистри и Списъци).
Всяко нарушение при обработка на лични данни се санкционира
Чл.3.11. Всяко нарушение на Политиката, в т.ч. приложимите към нея Процедури (Оперативни документи, Регистри и Списъци), се разглежда, като нарушение на трудовата дисциплина, правото на ЕС и гражданското законодателство на Република България, в т.ч. се разглежда и като престъпление, ако деянието се санкционира от Наказателния Кодекс.
Видеонаблюдение
Чл.3.12. На територията на ЦКОДУХЗ – гр. Дебелец се осъществява видеонаблюдение за следните цели:
1. Охрана на имуществото на ЦКОДУХЗ – гр. Дебелец, в съответствие със Закона за частната охранителна дейност (ЗЧОД);
Видеонаблюдението се извършва на основание легитимните интереси на ЦКОДУХЗ – гр. Дебелец – опазване на имуществото и осъществяване на основаната дейност. Пропусквателният режим в ЦКОДУХЗ – гр. Дебелец и района около него се контролира от денонощно 24 часово видеонаблюдение на входовете. Осъществява се от 5 камери за видеонаблюдение. Записите на камерите се преглеждат от определено със заповед лице и са със срок на запазване 15 дни. Записите от камерите се поддържат в регистър на записите и се съхраняват за срок 15 дни, след което се унищожават в съответствие с изискванията на ЗЧОД и процедурата за Унищожаване на лични данни.
При осъществяване на видеонаблюдението ЦКОДУХЗ – гр. Дебелец информира субектите на данни, като за целта се поставят информационни табели на местата, в които се извършва видеонаблюдение.
Записите от камерите се поддържат в регистър на записите и се съхраняват за срок от два месеца, след което се унищожават в съответствие с изискванията на ЗЧОД и процедурата за Унищожаване на лични данни.
IV. ПРЕДМЕТ И ОРГАНИЗАЦИЯ НА ДЕЙНОСТТА
Предмет на дейност:
• ЦКОДУХЗ – град Дебелец е юридическо лице на бюджетна издръжка за специфични функции. Второстепенен разпоредител с бюджет принципал Министерство на здравеопазването. ЦКОДУХЗ – град Дебелец е регламентиран като лечебно заведение на основание чл.5, ал.1, чл.10 т.4а, чл. 27а, ал.4 и чл.35, ал.3, т.1 от Закона за лечебните заведения с Постановление №30 на Министерския съвет от 1 февруари 2021г., ДВ Бр. 10 от 2021г. Дейността на ЦКОДУХЗ – град Дебелец се осъществява при спазване на Стандартите за качество на оказваната медицинска помощ и осигуряване защита на правата на децата. Основните дейности в ЦКОДУХЗ – гр.Дебелец са съобразно Правилник за устройството и дейността на центровете за комплексно обслужване на деца с увреждания и хронични заболявания на МЗ от 15.11.2016 година /ДВ бр.89 от 15.11.2016/ и Наредба № 7 от 03.11.2016 година / ДВ бр. 58 от 2016г./ за утвърждаване на медицински стандарт „Педиатрия”.
Център за комплексно обслужване на деца с увреждания и хронични заболявания е лечебно заведение, в което медицински и други специалисти осъществяват:
1. подкрепа на семействата на деца с увреждания и хронични заболявания за назначаване и провеждане на ранна диагностика, диагностика, лечение и медицинска и психосоциална рехабилитация;
2. осигуряване на посещения от медицински специалисти за оказване на специфични грижи за деца с увреждания и тежки хронични заболявания, отглеждани в семейна среда и в социална услуга резидентен тип;
3. работа с родители – консултации, обучение, групи за взаимопомощ в Център за подкрепа на родители и семейства.
Административен офис:
• град Дебелец, улица „Патриарх Евтимий Търновски“ № 49, община Велико Търново;
V. ОБРАБОТВАНИ ЛИЧНИ ДАННИ
Обработвани лични данни в качеството на Администратор:
• на служители;
• на деца с увреждания и хронични заболявания и медико-социални проблеми;
Обработваните лични данни се получават:
• Лично от субектите на данни;
• Чрез посредник / представител (Дирекция „Социално подпомагане“ и/или Родител / Настойник на Лицето)
Обработват се следните чувствителни лични данни:
• Биометрични данни на деца с хронични заболявания и медико-социални Проблеми;
• Данни за расов или етнически произход на деца с хронични заболявания и медико- социални проблеми
• Данни за здравословното състояние на деца с хронични заболявания и медико-социални проблеми
• Данни за здравословното състояние на служители
• Данни за присъди и нарушения, съдържащи се в Свидетелство за съдимост.
VI. ЦЕЛИ ЗА ОБРАБОТКА НА ЛИЧНИ ДАННИ
Лични данни в ЦКОДУХЗ – гр. Дебелец се обработват за следните цели:
• за сключване, изпълнение и прекратяване на трудови договори и изчисляване работните заплати и обезщетения на служители;
• за Предоставяне на социални и медицински услуги и поддържане история на здравния и социалния статус на деца с увреждания и хронични заболявания и медико-социални проблеми;
VII. НИВО НА ВЪЗДЕЙСТВИЕ ПРИ НАРУШЕНА СИГУРНОСТ
Оценката за нивото на въздействие и тежестта на риска за правата и свободите на физическите лица при нарушаване на сигурността на обработваните лични данни в ЦКОДУХЗ-гр.Дебелец, за различните групи лични данни, е както следва:
• за служители – средно ниво
• за деца с увреждания и хронични заболявания и медико-социални проблеми – средно ниво
VIII. НИВО НА ЗАЩИТА ПРИ ОБРАБОТКА НА ЛД
В следствие на оценката за нивото на въздействие и тежестта на риска за правата и свободите на физическите лица при нарушаване на сигурността, нивото на защита при обработка на лични данни в ЦКОДУХЗ-гр.Дебелец, за различните групи лични данни, е както следва:
• за служители – средно ниво на защита
• за деца с увреждания и хронични заболявания и медико-социални проблеми – средно ниво на защита
IX. ПОЛЗВАНЕ НА ПОДИЗПЪЛНИТЕЛИ ЗА ОБРАБОТКА
Към датата на създаване на настоящата Политика в ЦКОДУХЗ-гр.Дебелец не се използват подизпълнители за обработка на лични данни на физически лица.
X. ПОДДЪРЖАНИ РЕГИСТРИ С ЛИЧНИ ДАННИ
ЦКОДУХЗ-гр.Дебелец поддържа следните Регистри с лични данни:
• Регистър на персонала за целите на изчисляването на работни заплати и обезщетения;
• Регистър на деца с увреждания и хронични заболявания и медико-социални проблеми.
XI. ПОЛУЧАТЕЛИ НА ЛИЧНИ ДАННИ
Лични Данни се предават на следните получатели:
• Национална агенция за приходите – във връзка със: сключени трудови договори; дължими данъци върху доходите, социални и здравни осигуровки; дължими обезщетения; про-верки и ревизии;
• Национален осигурителен институт – във връзка със: социални и здравни осигуровки; дължими обезщетения; проверки и ревизии;
• Банки, съгласно договор за банково обслужване с ЦКОДУХЗ-гр.Дебелец – във връзка с изплащане на възнагражденията;
• Служба за трудова медицина, съгласно договор с ЦКОДУХЗ-гр.Дебелец – във връзка с изпълнение на законови задължения на ЦКОДУХЗ-гр.Дебелец по ЗЗБУТ;
• Застрахователи, съгласно договор с ЦКОДУХЗ-гр.Дебелец или негови служители – във връзка със здравни, рентни или други застраховки;
• Главна инспекция по труда, НОИ и МВР – във връзка с трудови злополуки;
• Други държавни и общински органи и/или институции – във връзка със законови задължения към тях или във връзка със законови искания от тях за информация, която съдържа лични данни.
XII. РЕГИСТРИ ЗА ДЕЙНОСТИ ПО ОБРАБОТКА
Поддържат се следните регистри за дейностите по обработване на лични данни:
• Регистър по дейностите на обработка в качеството на Администратор;
ХIII. ДЕФИНИЦИИ НА ПО-ВАЖНИ ТЕРМИНИ
ЛИЧНИ ДАННИ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано (субект на данни); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
РЕГИСТЪР С ЛИЧНИ ДАННИ означава всеки структуриран набор от лични данни, достъпът до който се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.
АДМИНИСТРАТОР НА ЛИЧНИ ДАННИ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.
ОБРАБОТВАЩ НА ЛИЧНИ ДАННИ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратор на лични данни.
ПОЛУЧАТЕЛ НА ЛИЧНИ ДАННИ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не.
СЪГЛАСИЕ НА СУБЕКТ НА ДАННИ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.
НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИ ДАННИ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
ДАННИ ЗА ЗДРАВОСЛОВНОТО СЪСТОЯНИЕ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние.
СПЕЦИАЛНИ КАТЕГОРИИ (ЧУВСТВИТЕЛНИ) ЛИЧНИ ДАННИ означава лични данни, свързани с расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации, генетични, биометрични или данни за здравословно състояние, данни за сексуалния живот или сексуалната ориентация на физическо лице.
ПРОФИЛИРАНЕ означава всяка форма на автоматизирано обработване на лични данни, из-разяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местопо-ложение или движение.
НИВА НА ВЪЗДЕЙСТВИЕ при нарушена сигурност на лични данни:
Ниско – в случаите, когато неправомерното обработване на лични данни би застрашило неприкосновеността на личността и личния живот на отделно физическо лице или група физически лица.
Средно – в случаите, когато неправомерното обработване на лични данни би могло да създаде опасност от засягане на интереси, разкриващи расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели, здравословното състояние, сексуалния живот или човешкия геном на отделно физическо лице или група физически лица.
Високо – в случаите, когато неправомерното обработване на лични данни би могло да доведе до възникване на значителни вреди или кражба на самоличност на голяма група физически лица или лица, заемащи висши държавни длъжности, или трайни здравословни увреждания или смърт на отделно физическо лице.
Изключително Високо – в случаите, когато неправомерното обработване на лични данни би могло да доведе до възникване на значителни вреди или кражба на самоличност на особено голяма група физически лица или трайни здравословни увреждания или смърт на група физически лица.
ГРУПА ФИЗИЧЕСКИ ЛИЦА е съвкупност от 3 (три) или повече физически лица. ГОЛЯМА ГРУПА ФИЗИЧЕСКИ ЛИЦА е съвкупност от физически лица, чийто брой надхвърля 10 000 (десет хиляди).
ОСОБЕНО ГОЛЯМА ГРУПА ФИЗИЧЕСКИ ЛИЦА е съвкупност от физически лица, чийто брой надхвърля 1 000 000 (един милион).
ШИРОКОМАЩАБНИ РЕГИСТРИ НА ЛИЧНИ ДАННИ са разпределени масиви с лични данни, чието управление не може да бъде осъществено със стандартните средства за управление на база данни.
ХIV. ПРИЛОЖИМИ ПРОЦЕДУРИ И ДОКУМЕНТИ
Във връзка с изпълнение на Политиката, ЦКОДУХЗ – гр. Дебелец поддържа и прилага следните Процедури, в т.ч. Оперативни документи, Регистри и Списъци към тях, и Формуляри.
Чл.14.1. ПРОЦЕДУРИ, в т.ч. Оперативни документи, Регистри и Списъци към тях:
1. Подбор на Персонал
2. Обработка на възнаграждения от Администратор със следните Оперативни документи, Регистри и Списъци към нея:
• Регистър на трудовите договори
• Регистър на издадените трудови книжки
• Регистър на болничните листа
• Регистър за начален инструктаж
• Структура, предназначение и получатели на данните във ведомост за възнаграждения
3. Обработка на Лични данни, свързани с взаимоотношения с деца с увреждания и хронични заболявания и медико-социални проблеми със следните оперативни документи, Регистри и Списъци към нея:
• Регистър пациенти
• Списък на Лицата, Отговорни за Взаимоотношенията с Пациенти
4. Управление на исканията, свързани с обработка на лични данни със следните Оперативни документи, Регистри и Списъци към нея:
• Форма за искане на субекта на данните
• Регистър за дадени Справки и Уведомления за извършени Действия
5. Избор на подизпълнител, обработващ лични данни
6. Оценка за въздействието при нарушаване сигурността на личните данни със следните Оперативни документи, Регистри и Списъци към нея:
• Протокол от оценка за въздействието при нарушаване на сигурността
7. Мерки за защита на лични данни
8. Унищожаване на лични данни със следните Оперативни документи, Регистри и Списъци към нея:
• Протокол за унищожени лични данни
• Регистър на протоколите за унищожаване на лични данни
9. Действия при нарушаване сигурността на лични данни със следните Оперативни документи, Регистри и Списъци към нея:
• Регистър за нарушенията на сигурността на лични данни
10. Длъжностно лице по защита на лични данни със следните Оперативни документи, Регистри и Списъци към нея:
• Длъжностна характеристика
• Препоръчителни клаузи за договора с лицето
11. Регистър на дейностите по обработка в роля на Администратор със следните Оперативни документи, Регистри и Списъци към нея:
• Регистър на дейностите по обработка в роля Администратор
Чл.14.2. ОБРАЗЦИ
1. Декларация за информираност
2. Декларация за поверителност
3. План за обучение
4. Протокол от обучение
ХV. ПОДДЪРЖАНЕ АКТУАЛНОСТ НА ПОЛИТИКАТА
Политиката, в т.ч. процедурите и документите към тях, ще се поддържат актуални
чл.15.1. Когато ЦКОДУХЗ – гр. Дебелец промени:
– предметът си на дейност;
– съществено своя размер – увеличи/намали своя персонал и/или приходи;
– организацията си на дейността;
– използваната сградна инфраструктура и/или броя на локациите на дейността;
– използваната технологична инфраструктура;
– целите, за които се събират лични данни;
– вида на събираните лични данни;
– многократно обема на събирани и обработвани лични данни;
то своевременно ще преоцени, преразгледа и актуализира Политиката, в т.ч. приложимите към нея Процедури (Оперативни документи, Регистри и Списъци).
Политиката, се преглежда за актуалност поне веднъж годишно
Чл.15.2. Независимо дали има промени или не в някои от горните обстоятелства, Политиката, в т.ч. приложимите към нея Процедури (Оперативни документи, Регистри и Списъци), се преглежда за актуалност във връзка със законодателни промени или навлезли нови добри практики, минимум веднъж годишно.
Актуализация на оценката за нивото на въздействие при нарушаване на сигурност
Чл.15.3. ЦКОДУХЗ – гр. Дебелец веднъж годишно прави актуализация на оценката за нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на на-рушаване на сигурността на обработвани техни лични данни, и ако се установи, че нивата и тежестта на риска са се повишили, без ненужно забавяне, се предприемат мерки за въвеждане на съответстващото им ниво на мерки за защита.
Преглед на Адекватността и Прилагането на Мерките за Защита
Чл.15.4. ЦКОДУХЗ – гр. Дебелец прави ежегоден преглед на:
1. адекватността на нивата на мерките за защита, с оглед на нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на наруша-ване на сигурността на обработваните техни лични данни;
2. прилагането и ефективността на одобрените мерки за защита, и ако се установи, че се налага завишаване нивата на защита или че се налагат подоб-рения в прилаганите мерки за защита, без ненужно забавяне, се предприема необходимото за тяхното завишаване и подобрение.
Приемане и влизане в сила на промени в Политиката и Процедурите към нея
Чл.15.5. Всяка промяна в Политиката, в т.ч. приложимите към нея Процедури (Оперативни документи, Регистри и Списъци), се извършва с нарочна заповед на Директора на ЦКОДУХЗ – гр. Дебелец и влиза незабавно в сила.
За всички засегнати от промяна лица се провежда обучение във връзка с промяната до десет работни дни от влизането и в сила.