Раздел I. Цел
1. Настоящият документ предоставя общ преглед на изискванията за защита на данните, спазвани от Начално училище „Васил Друмев“ в качеството му на администратор на данни по смисъла на Регламент (ЕС) 2016/679 на ЕП и на Съвета от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните - GDPR), наричан по-долу за краткост ОРЗД.
2. Политиката за лични данни се прилага в отношенията между Начално училище „Васил Друмев“ от една страна като администратор на лични данни и от друга – субектите, чиито данни администраторът обработва. Политиката се отнася за всички лични данни, обработвани от/за целите на институцията, независимо от това къде и как се съхраняват.
3. Политиката има за цел да информира субектите на лични данни за техните права съгласно чл. 12 и следващите от ОРЗД.
4. Въпроси относно политиката могат да бъдат отправяни към длъжностното лице по защита на данните – Станислава Николаева Чолакова-Ставровска, адрес: гр. Пазарджик, ул. Завоя на Черна 15, тел. +359885710119, e-mail: stavrovska@abv.bg.
5. Термините, употребени в настоящата Политика, имат смисъла и значението, придадени им съгласно законодателство за защита на данните, освен ако друго не е изрично предвидено. В настоящата политика към ОРЗД, Закона за защита на личните данните (ЗЗЛД) и другите нормативни актове в тази сфера, се реферира като "законодателство за защита на данните".
Раздел II. Принципи
6. Начално училище „Васил Друмев“ се ангажира да осигури защита на правата и свободите на субектите по отношение на обработката на техните лични данни.
7. Администраторът спазва следните принципи при събиране, обработване и съхраняване на лични данни:
• Личните данни се обработват законосъобразно, добросъвестно и по прозрачен начин.
• Личните данни, събирани за конкретни, изрично указани и легитимни цели, не се обработват по-нататък по начин, несъвместим с тези цели.
• Личните данни следва да са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“).
• Личните данни следва да са точни и при необходимост да бъдат поддържани в актуален вид („точност“).
• Личните данни следва да са съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни („ограничение на съхранението“).
• Прилагат се подходящи технически или организационни мерки срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане („цялостност и поверителност“).
Раздел III. Категории лични данни и основания за обработването им
8. Администраторът - за изпълнение на задълженията си, установени в нормативни актове и за изпълнение на договорните си задължения по трудови правоотношения - събира лични данни на своите служители, а именно: общи персонални данни; данни за контакт; данни за пенсионни, осигурителни и данъчни права и задължения (вкл. ползване на отпуски); данни за синдикална принадлежност; финансови данни (вкл. изплатена сума, банкова сметка, допълнително материално стимулиране); данни за образование, квалификация, професионален опит; данни за изпълнение на трудовите задължения (оценка на изпълнението; повишаване на квалификацията и др.); данни за здравословното състояние. Непредоставянето на посочените данни е пречка за встъпване в трудови/служебни правоотношения с администратора.
9. Администраторът - за изпълнение на задълженията си, установени в нормативни актове и за изпълнение на договорните си задължения по трудови правоотношения - може да събира и данни за своите служители, предоставени от трети лица. Такива са данните за финансови задължения на служител, когато частен или държавен съдебен изпълнител ги е предоставил на администратора във връзка със запорно съобщение; данните във връзка с професионалната квалификация и опит на служител, когато е участвал в семинари, курсове или друга форма на обучение, организирана от работодателя, но извършвана от трето лице.
10. Администраторът – за изпълнение на задълженията си, установени в нормативни актове и за целите на сключване на договор - събира лични данни на кандидатите за работа в институцията, а именно: общи персонални данни; данни за контакт; данни за образование, квалификация, професионален опит. Непредоставянето на посочените данни е пречка за встъпване в трудови/служебни правоотношения с администратора.
11. Администраторът - за изпълнение на задълженията си, установени в нормативни актове - събира лични данни на учениците и родителите/настойниците, а именно: персонални данни; данни за контакт; данни за присъствия, отсъствия, успех, положени изпити; стипендии; данни за здравословното състояние.
12. Администраторът – за целите на сключване на договор и за изпълнение на договорните си задължения - събира лични данни за лицата и организациите, с които е установил договорни правоотношения, а именно: общи персонални/търговски данни; данни за контакт.
13. Администраторът е изградил система за видеонаблюдение в помещенията за общо ползване в сградата и в двора на училището, чрез която събира лични данни – снимки и видео материали за присъстващите в сградата или двора лица, в това число за изброените по-горе субекти на данни.
14. Администраторът поддържа уебсайт, достъпен на www.drumevpz.bg, за правилното функциониране на който използва бисквитки (cookies). Бисквитките са технология, предоставяща информация във връзка с посещението и поведението на определен потребител на уебсайта. Информацията, която е събрана, може да касае идентификацията на потребителя посредством айпи адрес или потребителски профил; вида устройство, чрез което потребителят е осъществил достъп до уебсайта, браузъра и запаметените за него настройки или други данни. Събраната чрез бисквитките информация би могла да представлява лични данни по смисъла на ОРЗД. Поради това администраторът е утвърдил Политика за бисквитките, предоставяща допълнителни насоки за потребителя във връзка с правата му по повод събраните с бисквитки данни. Политиката е достъпна на уебсайта.
15. Администраторът събира изброените лични данни на поне едно от следните основания: законово задължение; договорно задължение; преддоговорни отношения; съгласие на лицето; легитимен интерес на администратора или изпълнение на задача от обществен интерес; защита на жизненоважни интереси на субекта на данните или друго лице.
16. Администраторът води регистър на дейностите по обработването на лични данни, в който изрично посочва категориите лични данни, които обработва, субектите на тези данни, получателите, основанието за обработването им, целта, периода на съхранение и приложимите за обработването им технически и организационни мерки.
17. Администраторът не използва личните данни във връзка с и не извършва автоматизирано вземане на решения, в това число и профилиране.
Раздел IV. Получатели на данни
18. Администраторът може да предостави лични данни на субектите на данни на:
• държавни институции и органи с властнически правомощия, когато законодателството предвижда такова задължение;
• търговски партньори, когато изпълнението на договорните задължения го изисква;
• служители на администратора и лица, заети по граждански договор, които обработват лични данни в съответствие с възложените им служебни/трудови функции съгласно длъжностна характеристика и трудов договор.
19. Персоналните данни за учениците няма да бъдат разкривани на трети лица без съгласието на родителя на детето, освен ако това е задължително по закон или е в най-добрия интерес на детето. Без съгласието на родителя данните могат да бъдат разкривани на трети страни като: други училища – ако един ученик се прехвърля в друго училище; изпитни комисии; полиция, съдилища; социални работници и агенции; образователни органи; здравни служби и други държавни органи, когато нормативен акт предвижда това.
20. Администраторът може да предостави лични данни на страни извън Европейския съюз, както и на международни организации само при спазване на изискванията на глава V от ОРЗД и приложимите международни споразумения между Европейския съюз и трети страни.
Раздел V. Права на субектите на данни
21. Субектите на данни имат следните права по отношение събраните за тях данни:
• право на достъп;
• право на коригиране;
• право на изтриване (при определени обстоятелства) – правото „да бъдеш забравен“;
• правото за ограничаване на обработването;
• право на преносимост (при определени обстоятелства);
• правото за възражение, включително срещу директен маркетинг;
• правото да се изисква човешка намеса с оглед на автоматизирани процеси, включително профилиране;
• право да оттеглят съгласието си за обработване и съхраняване на данните, когато същите са събрани и обработвани само на това основание. Това право може да бъде упражнено по всяко време, като упражняването му не засяга законността на обработването преди оттегляне на съгласието.
22. Субектите на данни могат да упражнят посочените права чрез подаване на писмено заявление до администратора на адрес: гр. Пазарджик, ул. Завоя на Черна № 15 или на електронна поща nu_vasildrumev@abv.bg. Ние ще отговорим на Вашето запитване в рамките на 30 дни.
23. Субектите на данни имат правото да подадат жалба до надзорния орган, ако считат, че данните им са незаконосъобразно събрани, обработвани и/или съхранявани. Надзорен орган е Комисията за защита на личните данни, адрес: гр. София 1592, бул. „Проф. Цветан Лазаров“ № 2.
Раздел VI. Гаранции и мерки за сигурност
24. Личните данни се съхраняват само за времето, необходимо за извършване на обработката, за която са събрани и в никакъв случай извън законоустановените срокове за съхраняването им. Когато данните са събрани в резултат на съгласие на субекта, администраторът обработва и съхранява тези данни до оттегляне съгласието на субекта.
25. Администраторът въвежда подходящи технически и организационни мерки (ТОМ), за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с ОРЗД, като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица. Техническите и организационните мерки следва да допринесат за защита на данните на етапа на проектирането и по подразбиране.
26. Администраторът изрично предвижда минимално необходимите реквизити при сключване на споразумения с обработващи данни, така че да се постигне ниво на защита не по-ниско от прилаганото от самата институция.
27. Администраторът гарантира, че служителите и лицата, заети по граждански договори в институцията, познават и стриктно спазват политиката за защита на личните данни, както и техническите и организационни мерки на администратора за осигуряване защита на личните данни.