Политика за защита на личните данни

ВЪТРЕШНА ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
ФОНД ЗА УСТОЙЧИВО ГРАДСКО РАЗВИТИЕ ЕАД


1. Въведение

„ФОНД ЗА УСТОЙЧИВО ГРАДСКО РАЗВИТИЕ” ЕАД, ЕИК 202033232 (по-долу само ФУГР) е администратор на лични данни съобразно разпоредбите на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и Закона за защита на личните данни.

Защитата на личната информация през целият процес на нейната обработка е важен приоритет за ФУГР. За осъществяване на своята дейност фонда се нуждае от събиране и обработване на лични данни. Това се отнася до лични данни на служителите, наети по трудово или друг вид правоотношение, клиенти, доставчици и други субекти, с които ФУГР има отношения.

Настоящата политика определя правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни, правата на субектите на лични данни, както и правилата по отношение на свободното движение на лични данни. Политиката описва начините на събиране, обработване, съхраняване, разкриване и унищожаване на личните данни.

Правилата на Общия регламент за защита на личните данни и на Закона за защита на личните данни имат предимство пред тези правила в случай на неяснота и се прилагат независимо дали са възпроизведени в тази политика.

2. Цел

ФУГР се ангажира да защитава личните данни, които придобива в контекста на своята дейност, като прилага действащата нормативна база относно обработката на личните данни и поддържа репутацията си като опазва данните на своите клиенти, доставчици, служители и други субекти на данни.

Настоящата политика е разработена, за да се въведе надеждна сигурност, че за личните данни, които ФУГР събира и обработва, е осигурено високо ниво на защита и исканията на субекта на личните данни се обработват ефективно и ефикасно в съответствие с условията на Общия регламент относно защитата на данните (Регламент (ЕС) 2016/679) за упражняване на правата на субекта на личните данни.

3. Обхват

Настоящата политика за защита на личните данни се прилага по отношение на:

  • служителите на трудов договор;
  • лицата, наети по друг вид правоотношение;
  • кандидатстващите за работа;
  • всички клиенти;
  • доставчици и други субекти, имащи договорни и/или друг вид отношения с ФУГР.

Съгласно Общия регламент за защита на личните данни „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице („субект на данни“). Субект на данни, е лице, което може да бъде идентифицирано, пряко или непряко, чрез идентификатор като име, идентификационен номер, данни за местонахождение или по един или повече признаци, специфични за физическата, физиологичната, икономическата, културната или социална идентичност на това физическо лице.

Политиката се прилага за всички данни, които се отнасят до идентифицируеми субекти на данни, включително, но не само:

  • Информация за идентификация и контакт – имена, единен граждански номер, номер на лична карта, дата на издаване и валидност, адрес, еmail адреси, телефонен номер.
  • Биографична информация – дата на раждане, място на раждане, държава на раждане, националност, семейно положение, брой деца, име и фамилия на съпруг/съпруга и дете/деца, пол, дата на раждане, място на раждане, държава на раждане, националност, ЕГН, история на предходните работни места, състояща се от начална и крайна дата на трудови отношения, име на работодател, длъжност, сфера, държава и подробности за образованието като начална и крайна дата на образованието, институция, сертификат, държава, продължителност на обучението.
  • Информация за заплащане - данни, свързани с трудови и социалноосигурителни правоотношения, банкови сметки, данни относно имуществено и данъчно състояние.
  • Преглед на представянето и оценка на служителя – информация, свързана с периодичния преглед на представянето на служителите.
  • Чувствителни лични данни - данни относно здравното състояние на служителите.

4. Регистри

ФУГР поддържа следните регистри на лични данни и обработва следните категории лични данни:

  • Персонал - съдържа данни за лицата, наети на трудови, или извънтрудови правоотношения, включително в отпуск по болест, или за отглеждане на дете информация за идентификация и контакт; биографична информация; информация за заплащане; преглед на представянето и оценка на служителя; чувствителни лични данни.
  • Клиенти - съдържа данни за физическите лица, представители на кредитополучатели, като три имена, ЕГН, телефон и адрес. Данните се предоставят от клиентите при сключване на договор и при необходимост в хода на администриране на кредита. Те се въвеждат в договори, вписване на залози, кореспонденция и др.
  • Доставчици – съдържа данни за физическите лица представители на доставчици, като три имена, телефон и адрес. Данните се предоставят от доставчиците при сключване на договор. Въвеждат се в договори, фактури, кореспонденция и др.
  • Потенциални служители - съдържа данни за лицата, които са кандидатствали по обяви за работа – информация за идентификация и контакт и биографична информация.
  • Потенциални клиенти - съдържа данни за физическите лица, представители на кредитополучатели, като три имена, ЕГН, телефон и адрес.

5. Отговорности

Всеки работещ за ФУГР и извършващ дейности, включващи обработката на лични данни, носи отговорност за събирането, съхраняването и обработването на личните данни в съответствие с Регламента и приложимото национално законодателство.

Следните лица имат основни задължения за спазването на Регламента:

  • Изпълнителният директор на ФУГР отговаря за осигуряването на условия, в това число финансови и организационни за постигане на съответствие с Регламента и тези правила,
  • включително за:
    • Неразпространение на лични данни между служители във ФУГР, включително чрез препращане на имейли;
    • Изтриване на лични данни в предвидените случаи.

Изпълнителният директор определя лице за контакт по въпросите, свързани със събираните лични данни и тяхната защита, което е свързващо звено между субекта на данни, в случай на отправено искане от негова страна и съответните служители, които обработват личните данни на съответния субект. Това лице е лицето за контакт с Комисията за защита на личните данни.

Обработването на личните данни е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

  • субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;
  • обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
  • обработването е необходимо за спазването на законово задължение, което се прилага спрямо ФУГР;
  • обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на ФУГР;
  • обработването е необходимо за целите на легитимните интереси на ФУГР или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

Изпълнението на условията се документира чрез подписване на декларация – съгласие или по силата на сключен договор.

Изпълнителният директор и съставителят на годишния финансов отчет на дружеството имат достъп до всички регистри, картотеки и компютърни бази данни.

Достъп до регистър Персонал и регистър Потенциални служители има Звено за „Вътрешен одит“ на ФЛАГ, съставителят на годишния финансов отчет и Изпълнителният директор.

Достъп до регистър Клиенти имат Директор дирекция, експерти Кредитиране, експерти Проекти, офис мениджър на ФУГР и Звено за „Вътрешен одит“ на ФЛАГ.

Достъп до регистър Доставчици имат съставителят на годишния финансов отчет, офис мениджъра на ФУГР и Звено за „Вътрешен одит“ на ФЛАГ. Достъп до личните данни, обработвани от ФУГР, при спазване на всички нормативни изисквания за предоставянето им за обработване или съвместното им обработване за конкретни цели и в конкретен обем, имат следните категории трети лица:

  • дружествата/физическите лица, обслужващи ФУГР по договори за правно обслужване, поддръжка на компютърните системи на дружеството и управляващата банка; счетоводно обслужване и човешки ресурси; съхранение на архивирани документи на ФУГР, както и други трети лица, ангажирани от ФУГР за подпомагане на дейността си;
  • Съдружници и/или партньори на ФУГР от сдружения или други форми на организация за предоставяне на общи услуги, в които ФУГР участва с оглед осъществяване на дейността си.

Дружествата/физическите лица предоставящи външни услуги на ФУГР, както и съдружниците и/или партньорите на ФУГР на които ФУГР предоставя за обработване лични данни и/или с които ФУГР обработва съвместно лични данни, са задължени да спазват Общия регламент за поверителност и непредоставяне на личните данни на трети лица, като за целта се изпълняват всички нормативни изисквания във връзка с предоставяне на обработването на лични данни или за съвместно обработване на личните данни.

6. Задължения на служителите

Служителите, които се нуждаят от съответната информация за изпълняване на служебните си задължения имат достъп до съответните лични данни. Данните не се споделят с останалите служители, освен ако това е необходимо за изпълнение на задълженията им. Служителите трябва да съблюдават сигурността на данните, като вземат предпазни мерки.

Служителите във ФУГР не разкриват лични данни на неоторизирани лица, включително на други служители във ФУГР.

Отговорните лица във ФУГР могат да коригират и актуализират личните данни, които обработват, след уведомяване от субекта.

Данни, основанието за чието събиране е отпаднало и срокът за съхранението им, ако такъв е предвиден, е изтекъл, се унищожават с протокол за заличаване чрез специално назначена комисия.

7. Съхранение

Настоящите правила се прилагат за защита на всички лични данни, независимо от начина на съхранение. Данните на хартиен носител се съхраняват на място с ограничен достъп. Служителите във ФУГР са отговорни да не оставят документите без надзор.

Данните, съхранявани на електронен носител, са защитени от неоторизиран достъп, хакерски атаки или неволно изтриване чрез стандартни и сигурни конфигурации и защити на операционната система, рутери и мрежови устройства и редовно архивиране на данните и създаване на защитени резервни копия. За защита на данните е инсталирана антивирусна програма и се извършва периодична профилактика на софтуера. За подсигуряване на максимална защита се използват два отделни сървъра – за обща информация и система за обработване на данни за предоставяне на кредити с права на достъп на потребителите. Сървърите са подсигурени с допълнителна защита срещу неоторизиран достъп от външни потребители. Помещението, в което се намират сървърите е обезопасено и с контролиран достъп.

Данните, съхранявани на външен носител се изтриват след прехвърлянето им на хард диск. Лични данни не се съхраняват директно на мобилни устройства.

При получаване лични данни на електронна поща на служител, служителят запазва получените файлове на защитен сървър или папка на твърд диск, защитен с парола, след което изтрива съответното електронно съобщение. В случай че запазването на защитен сървър е невъзможно, получените имейли се разпечатват, след което се изтриват.

Личните данни се съхраняват за срокове както следва:

  • Ведомости за заплати, трудови договори, заповеди за назначаване, заповеди за преназначаване и други, свързани с трудовите правоотношения, фишове за изплатени възнаграждения и други документи за осигуряване на осигурителен стаж - 50 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят;
  • Атестации и оценки, данни за проведени обучения на служители – до 6 месеца след прекратяване на трудовото правоотношение;
  • Счетоводни регистри и финансови отчети – 10 години или в съответствие със законовите изисквания;
  • Договори за доставка на стоки и услуги – до 5 години след приключване на договора;
  • Договори за финансиране и съпътстващите документи – до 10 години след погасяване на кредита
  • Данни за потенциални кандидати за работа, с които не е осъществен контакт – до 3 години след изтичане на срока за набиране на кандидатури;
  • Документи за идентифициране на клиенти по Закона за мерките срещу изпиране на пари и клиентски досиета – 5 години;

ФУГР извършва ежегоден преглед на данните, които съхранява. Всички данни с отпаднало основание за обработване се унищожават от специално назначена за целта комисия.

8. Използване на данните

Личните данни се използват за изпълнение на точно и ясно определени цели и при съблюдаване на приложимите нормативни изисквания и всички правила и политики относно личните данни.

Личните данни се използват, така че да се минимизират рисковете от загуба, повреждане или изтичане. Служителите на ФУГР не съхраняват копия на лични данни на личния си компютър, без да е налице основание за това или не повече от 30 дни от отпадане на основанието за обработка на личните данни.

ФУГР предприема мерки за поддържане на актуалността на данните и тяхната точност. Служителите се стараят да поддържат актуалността на данните.

ФУГР улеснява субектите на данни сами да коригират и актуализират предоставените лични данни чрез писмена заявка. Данните се актуализират и когато се установи и потвърди неточност.

Всяко лице, което е субект на лични данни, обработвани от ФУГР, има право:

  • Да научи каква информация за него съхранява ФУГР, от какъв източник е тя, как се използва и на кого се предоставя;
  • Да бъде информирано как ФУГР изпълнява задълженията си по Общия регламент.

Лицето, субект на лични данни има право да отправи искане за достъп до данни.

Това искане се отправя на следния адрес office@flag-bg.com и се завежда в регистър на Искания за достъп. Исканията по електронна поща се представят под формата на документ, подписан с електронен подпис или чрез сканирано искане в свободна форма, подписано саморъчно от лицето.

Определеното от Изпълнителния директор на ФУГР лице за контакт по въпросите, свързани със събираните лични данни и тяхната защита отговаря на искания за достъп до данни в срок от един месец.

Когато представители на ФУГР събират лични данни, лицето, субект на лични данни подписва Декларация – съгласие за доброволно предоставяне на лични данни в случай, че основанието за събиране на лични данни е съгласие на субекта на данни или Декларация - уведомление. С всяка една от посочените декларации ФУГР предоставя на субекта на лични данни идентифициращи данни за ФУГР; координатите на лицето за контакт по въпросите, свързани със събираните лични данни и тяхната защита, целите на обработването, за което личните данни са предназначени, правното основание за обработването и получателите или категориите получатели на личните данни, на които ФУГР ще предостави личните данни. При получаване на личните данни ФУГР също така предоставя и допълнителна информация относно срока, за който събраните данни ще бъдат съхранявани; за правата на субекта на данни, посочени изчерпателно по-долу; правото да се оттегли съгласието, когато съгласието на субекта на данни е единствено основание за обработването; право на жалба до падзорен орган; дали предоставянето на данните е задължително или договорно изискване, или изискване, необходимо за сключване на данните, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако данните не бъдат предоставени; съществуване на автоматизирано вземане на решения, включително профилиране – ако е приложимо.

9. Права на субекта на данни

Субектът на данни има следните права:

  • Достъп на субекта: всеки субект на данни има право на достъп до данните, които ФУГР обработва за него
  • Корекция или актуализиране: всеки субект на данни може да поиска от ФУГР да поправи неточни лични данни. В случай, че е необходима корекция, лицето за контакт по въпросите, свързани със събираните лични данни и тяхната защита, предава искането до съответните заинтересовани структури за извършване на корекцията.
  • Заличаване (право „да бъдеш забравен”): всеки субект на данни може да поиска от ФУГР да заличи негови лични данни при някои обстоятелства, изброени в чл. 17 от Общия регламент.
  • Оттегляне на съгласие: всеки субект на данни може да оттегли съгласия за обработка, които са предоставили на ФУГР и да забрани по-нататъшната обработка, ако няма друго основание, на което ФУГР може да обработва съответните лични данни.
  • Ограничение: всеки субект на данни може да изисква определени лични данни да се маркират като ограничени, което ще ограничи обработката им при определени обстоятелства. Лицето за контакт по въпросите, свързани със събираните лични данни и тяхната защита предава искането до съответните заинтересовани структури за изпълнение.
  • Преносимост: всеки субект на данни може да поиска предаване на личните данни на субекта, които ФУГР поддържа, на субекта на данните или ако това е технически осъществимо – да поиска пряко прехвърляне на личните данни към трета страна по електронен път. Лицето за контакт по въпросите, свързани със събираните лични данни и тяхната защита поддържа контакт с всички заинтересовани страни, да събере и трансформира данните в структуриран и машинно четим формат. Впоследствие той предава данните на субекта или изпраща данните на третата страна, като гарантира поверителността и целостта на личните данни, когато това е технически осъществимо. 
  • Подаване на жалба: всеки субект на данни може да подаде жалба относно обработката на личните данни от ФУГР до Комисия за защита на личните данни.
  • Право на възражение: всеки субект на данни има право на възражение срещу обработване на лични данни от ФУГР при наличието на обстоятелствата, посочени в чл. 21 от Общия Регламент

Всички получени заявления, независимо от типа на техния комуникационен канал, се насочват към лицето за контакт по въпросите, свързани със събираните лични данни и тяхната защита,. Лицето за контакт по въпросите, свързани със събираните лични данни и тяхната защита, идентифицира субекта на личните данни и отговаря за завеждането и проследяването на заявлението, за да осигури своевременното му обработване.

За всеки тип искане трябва да бъде налице следната информация:

  • Документ за самоличност на лицето, за което се отнасят данните;
  • Тип на искането (достъп, корекция, заличаване, др.);
  • Канал на заявлението;
  • Заявен канал за отговор, в случай че субектът на личните данни поиска конкретен канал за комуникация;
  • Специфични подробности за искането;
  • Причини, поради които искането е оценено като прекомерно или необосновано, ако това е приложимо;
  • Дата на завеждане;
  • Дата на проверка на самоличността;
  • Дата на издаване на отговора;
  • Канал за отговор.

Лицето за контакт по въпросите, свързани със събираните лични данни и тяхната защита, отговаря на исканията за корекция, изтриване и преносимост на данни най-късно в рамките на един месец или посочва причините, ако тези искания не могат да бъдат удовлетворени.

ФУГР може да откаже изтриване на данни в следните случаи:

  • ако е необходимо за упражняване на правото на свобода на изразяване на мнение и правото на информация.
  • за спазване на правно задължение, за изпълнение на задача от обществен интерес или при изпълнение на официални функции.
  • по причини от публичен интерес, за целите на архивирането в обществен интерес или за статистически цели.
  • за установяване, упражняване или защита на правни искове.

При отправено искане за ограничаване на обработването, ФУГР не изтрива личните данни. Методите за ограничаване на обработването на лични данни включват временно преместване на избраните лични данни в друга система за обработване и прекратяване на достъпа на ползвателите до тях. Лицето за контакт по въпросите, свързани със събираните лични данни и тяхната защита, отбелязва в съответния регистър когато обработването на лични данни е ограничено.

Когато субектът на данни оттегли съгласието си, това не се отнася за операциите по обработване на лични данни, извършени до момента.

Когато е постъпило възражение срещу обработване на лични данни на основание защита на обществен (публичен) интерес или в защита на легитимен интерес, ФУГР прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

В случаите, когато постъпи искане от правителствени или други органи за разкриване на лични данни, това искане се изпраща на лицето за контакт по въпросите, свързани със събираните лични данни и тяхната защита, за преценка на неговата законосъобразност и изпълнение.

ФУГР може да разкрива лични данни на трети лица и/или да предоставя за обработка лични данни на трети лица в изпълнение на свои нормативно определени задължения. Всяко разкриване/предоставяне за обработка на лични данни се извършва при съблюдаването на всички законови изисквания.

10. Уведомяване за нарушение на сигурността на личните данни

ФУГР, чрез лицето за контакт по въпросите, свързани със събираните лични данни и тяхната защита,, уведомява Комисията за защита на личните данни за настъпило нарушение в сигурността на личните данни, както и при разкриване на лични данни в резултат на грешка или действие на вътрешен потребител.

Уведомяването се извършва в срок от 72 часа след узнаването, като последното се документира по подходящ начин.

Уведомлението съдържа:

  • описание на естеството на нарушението, включително, ако е възможно, категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични
    данни;
  • посочване на името и координатите за връзка с лицето за контакт по въпросите, свързани със събираните лични данни и тяхната защита, или на друго лице за контакт;
  • описание на евентуалните последици от нарушението на сигурността на личните данни;
  • описание на предприетите или предложените от ФУГР мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни
    последици.

Ако нарушението на сигурността на данните представлява висок риск за засегнатите лица, те също биват информирани, освен ако не са въведени ефективни технически и организационни мерки за защита или други мерки (например криптиране). Ако лицата не могат да бъдат идентифицирани или това е свързано с непропорционални усилия, уведомяването става чрез съобщение на уебстраницата на ФУГР.

ФУГР не уведомява засегнатите субекти на данни, в случай че Комисията за защита на личните данни (КЗЛД) е приела, че ФУГР е предприел предхождащи подходящи технологични мерки за защита на сигурността на личните данни – обект на нарушението.

ФУГР събира лични данни, чието предоставяне има задължителен характер.

Отказът от предоставяне на такива лични данни може да затрудни и/или възпрепятства ФУГР от сключване на договор и/или изпълнение на свое договорно или нормативно задължение.

По изключение ФУГР може да събира лични данни с доброволен характер.

Събирането на такива лични данни се осъществява при изрично, писмено и доброволно съгласие на субекта на личните данни.

Приемането на настоящата Вътрешна политика се довежда до знанието на всички служители на ФУГР и други заинтересовани лица и е на тяхно разположение при офис мениджъра на Фонда. Вътрешната политика се предоставя за запознаване и на всяко друго заинтересовано лице, чиито данни се събират и обработват от ФУГР след поискване от негова страна.

Приложение: Декларация – съгласие за доброволно предоставяне на лични данни

Вътрешната политика за защита на личните данни на „Фонд за устойчиво градско развитие“ ЕАД може да изтеглите от тук.

София 1000, ул. "6-ти септември" 1, ет. 4
(вход срещу градинката „Кристал”)

Виж на картата office@jessicasofia.com +359 2 988 23 10
LinkedIn Facebook
Европейски фонд за регионално развитие (ЕФРР) Фонд на фондовете Оперативна програма Региони в растеж
Политика за защита на личните данни Авторско право © 2023 Фонд за устойчиво градско развитие. Всички права запазени.