ОБЩИНА МОНТАНА

Република България



Политика за защита на личните данни

ИНСТРУКЦИЯ 

за мерките за защита на личните данни, събирани, обработвани,
съхранявани и предоставяни от община Монтана

Глава първа
ОБЩИ ПОЛОЖЕНИЯ

Чл. 1. Настоящата инструкция урежда организацията и вътрешния ред на община Монтана, като администратор на лични данни, както и нивото на технически и организационни мерки при обработване на лични данни и допустимия вид защита и цели защита на интересите на клиентите - физически и юридически лица, както и на служителите на община Монтана от незаконосъобразно и недобросъвестно обработване на личните им данни.

Чл. 2. Община Монтана с БУЛСТАТ 000320872, гр. Монтана, ул. „Извора” 1, като орган на местното самоуправление е администратор на лични данни, съгласно чл. 3 от Закона за защита на личните данни.

Чл.3. (1) Настоящата инструкция регламентира:

  1. Механизмите за водене, поддържане и защита на регистрите, съхраняващи лични данни в община Монтана с цел гарантиране на неприкосновеността на личността и личния живот, чрез осигуряване на защита на данните за физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.
  2. Видовете регистри, които се водят в община Монтана и тяхното общо и технологично описание.
  3. Правата и задълженията на длъжностните лица, обработващи лични данни и/или лицата, които имат достъп до лични данни и работят под ръководството на обработващите лични данни, тяхната отговорност при неизпълнение на тези задължения.
  4. Необходимите технически и организационни мерки за защита на личните данни, съдържащи се в регистрите от неправомерно обработване (случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни).
  5. Процедури за докладване, управляване и реагиране при инциденти. Организацията и реда за упражняване на контрол при обработването на лични данни от служителите на община Монтана
  6. Оценка на въздействие и определяне ниво на защита.
  7. Предоставяне на данни на трети лица - основание, цел, категории лични данни.
  1. Инструкцията се утвърждава, допълва, изменя или отменя със заповед на кмета на община Монтана.

Чл.4. (1) Община Монтана обработва само законно събрани лични данни, необходими за конкретни, точно определени и законни цели. Личните данни, които община Монтана събира и обработва следва да бъдат точни и при необходимост да се актуализират. Личните данни се заличават или коригират, когато се установи, че са неточни или несъответстващи на целите, за които се обработват.

  1. Община Монтана поддържа личните данни във вида и формата, които позволяват идентифициране самоличността на физическите лица за срок не по-дълъг от необходимия за изпълнение на целите, за които личните данни се обработват.

Глава втора

ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

Чл.5. (1) Община Монтана поддържа вътрешен ред като администратор на лични данни, като осигурява технически и организационни мерки за защита.

  1. Всички служители на община Монтана при встъпване в длъжност приемат да спазват конфиденциалност по отношение на базите данни с клиенти на община Монтана в т. ч. лични данни, както и да не разгласяват данни и информация, станали им известни при и по повод изпълнение на служебните им задължения.
  2. Обработката на личните данни се състои и в осигуряване на достъпа до определена информация само за лица, чиито служебни задължения или конкретно възложена задача налагат такъв достъп.

Чл. 6. (1) Администраторът възлага обработването на личните данни на негови служители (обработващи). Обработването се възлага на повече от един обработващ данните, съобразно спецификата на изпълняваните от тях служебни функции и с цел разграничаване на конкретните им задължения.

(2) Обработващите лични данни, действат само по указание на администратора, освен ако в закон не е предвидено друго.

Чл. 7. (1) Личните данни в регистрите се набират от администратора на лични данни, респективно обработващият лични данни чрез устно интервю и/или на хартиен и/или електронен носител.

  1. За необходимостта от набиране на лични данни и целите, за които ще бъдат използвани, обработващият лични данни информира лицето.
  2. След одобрение на документите, съдържащи лични данни от ресорния ръководител, същите заедно с приложенията към тях се обработват в регистрите от обработващия лични данни и се съхраняват в дискови масиви. 
  3. Набраните данни на технически носител остават на сървъри, предназначени за съхранение на базите с лични данни, а в случаите, когато се обработват на компютри извън мрежата на администратора - в отделни файлове на компютъра, като достъп до тях има само обработващият лични данни чрез съответните потребителски имена и пароли.
  4. Хартиеният носител се подрежда в кадрови досиета или специални папки и се представя за проверка законосъобразността на изготвения документ и валидирането му чрез подписи на съответните длъжностни лица - кмет, заместник-кмет, секретар, директор на дирекция.
  5. При необходимост от поправка на личните данни, лицата предоставят такива на обработващия лични данни по негово искане на основание нормативно задължение.
  6. За достоверността на предоставените копия от регистри, съдържащи лични данни, отговорност носи обработващият лични данни.

           Чл. 8 (1)Съгласието за обработване на лични данни на физическото лице е свободно изразим, конкретен и осъзнат акт за желанието му, относно обработване на отнасящите се за него лични данни. Когато дава това свое съгласие, физическото лице трябва да е убедено, че неговите данни ще бъдат използвани изключително и само с оглед на целите, определени в българското законодателство. В случаите, при които предоставянето на данни е задължение по закон, служителите в община Монтана следва да информират лицето за последиците при евентуален отказ от негова страна. Физическото лице има право по всяко време на обработване да поиска блокиране, унищожаване и изтриване на събрани за него лични данни, в случаите, когато оспорва тяхната точност или обработването им е незаконосъобразно. Служителите в община Монтана са длъжни да гарантират това право на физическото лице.

         (2) Физическите лица имат право на достъп до отнасящи се за тях лични данни, по всяко време на обработване, без забавяне, в законоустановения срок, безплатно и в предпочитаната от тях форма. Достъпът до личните данни на физическо лице се разрешава за потвърждаване на целта на обработването им, информиране относно категориите лични данни, които се обработват за него, както и за категориите получатели, на които те могат да бъдат предоставени.

 

Глава трета

ОБЩО ОПИСАНИЕ НА ПОДДЪРЖАНИТЕ РЕГИСТРИ В ОБЩИНА МОНТАНА

Чл. 9. (1) Регистрите в които се набират и съхраняват лични данни са за:

  1. физически лица в Република България
  2. служителите по трудово и служебно правоотношение в общинска администрация Монтана;

(2) Категориите лични данни в регистрите, които се отнасят се до физическите лица могат да бъдат:

Физическа идентичност - име, ЕГН/ЛНЧ, данни за лична карта/паспорт, адрес, месторождение, телефони за връзка, един или повече специфични признаци и други;

Семейна идентичност - семейно положение (наличие на брак, развод, брой членове на семейството, в т.ч. деца до 18 години), родствени връзки и др.;

Образование - вид на образованието, място, номер и дата на издаване на дипломата, допълнителна квалификация. Предоставят се от лицата на основание нормативно задължение във всички случаи, когато е необходимо;

Допълнителна квалификация - данните се предоставят от лицата на основание нормативно задължение във всички случаи, когато е необходимо;

Трудова дейност - професионална биография - данните се предоставят от лицата на основание нормативно задължение във всички случаи, когато е необходимо;

Медицински данни - физиологично, психическо и психологично състояние на лицата. Данните са от значение при заемане на длъжности и изпълнение на функции, изискващи особено висока степен на отговорност, пряка ангажираност и непосредствен досег с хора, в това число от рискови групи;

Икономическа идентичност - имотно състояние, финансово състояние, участие и/или притежаване на дялове или ценни книжа в дружества и др.;

Други - лични данни относно гражданско-правния статус на лицата, необходими за длъжностите, свързани с материална отговорност. Предоставят се на основание нормативно задължение.

  1. Видовете регистри, поддържани в община Монтана, категориите лични данни в тях; технологичното описание - носители на данни, технология на обработване, срок на съхранение, нива на защита и мерки са описани в Приложение № 1, представляващо неразделна част от настоящата Инструкция.

Глава четвърта

ДЛЪЖНОСТИ, СВЪРЗАНИ С ОБРАБОТВАНЕ И ЗАЩИТА НА ЛИЧНИ ДАННИ.

ПРАВА И ЗАДЪЛЖЕНИЯ

Чл. 10. (1) Служителите от община Монтана са длъжни да спазват и изпълняват тази инструкция, в съответствие с длъжностните им характеристики.

Чл. 11. (1) Със заповед на кмета на общината се определят лицата по защита на информацията.

(2) Лицето по защита на информация има следните правомощия:

  1. осигурява организацията по водене на регистрите, съгласно предвидените мерки за гарантиране на адекватна защита;
  2. следи за спазването на конкретните мерки за защита и контрол на достъпа съобразно, спецификата на водените регистри;
  3. осъществява контрол по спазване на изискванията за защита на регистрите;
  4. поддържа връзка с Комисията за защита на личните данни относно предприетите мерки и средства за защита на регистрите и подадените заявления за предоставяне на лични данни;
  5. контролира спазването на правата на потребителите във връзка с регистрите и програмно- техническите ресурси за тяхната обработка;
  6. специфицира техническите ресурси, прилагани за обработка на личните данни;
  7. следи за спазване на организационната процедура за обработване на личните данни, включваща време, място и ред при обработване, като чрез регистрация на всички извършени действия с регистрите в компютърната среда.
  8. определя ред за съхраняване и унищожаване на информационни носители;
  9. определя ред при задаване, използване и промяна на пароли, както и действията в случай на узнаване на парола и/или криптографски ключ;
  10. определя правила за провеждане на редовна профилактика на компютърните и комуникационните средства, включваща и проверка за вируси, за нелегално инсталиран софтуер, на целостта на базата данни, както и архивиране на данни, актуализиране на системната информация и др.;
  11. провежда периодичен контрол за спазване на изискванията по защита на данните и при открити нередности взема мерки за тяхното отстраняване.

Чл.12. (1) Със заповед Кмета на общината определя обработващите лични данни за различните видове регистри.

(2) Обработващите лични данни се задължават:

  1. да обработват лични данни законосъобразно и добросъвестно;
  2. да използват личните данни, до които имат достъп, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели;
  3. да актуализират регистрите на личните данни (при необходимост);
  4. да заличават или коригират личните данни, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
  5. да поддържат личните данни във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват;
  6. да не допускат неоторизирани лица в помещенията, в които се съхраняват данните.

Чл. 13. (1) За обработване на регистри, съдържащи лични данни служителят подписва декларация, че е запознат със Закона за защита на личните данни и с настоящата Инструкция за защитата на личните данни, които се обработват от него.

  1. Декларацията по ал. 1 се предоставя от служител „Човешки ресурси“ и след попълване от страна на лицето се съхранява в личното му досие.
  2. За неизпълнение на задълженията, вменени на съответните длъжностни лица по тази Инструкция и по Закона за защита на личните данни, се налагат дисциплинарни наказания по Кодекса на труда, Закона за държавния служител и други специализирани закони, а когато неизпълнението на съответното задължение е констатирано и установено от компетентен орган, предвиденото в Закона за защита на личните данни административно наказание - глоба. Ако в резултат действията на съответното длъжностно лице по обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако стореното представлява по-тежко деяние, за което се предвижда наказателна отговорност.

Чл. 14. (1) Администраторът предоставя лични данни в изпълнение на нормативно установени задължения и в случаи, свързани с опазване на обществения ред.

  1. Лични данни се предоставят служебно между дирекциите/отделите в общината след обосновано искане, от ръководителя на съответната дирекция.
  2. Достъп до лични данни на лицата, съдържащи се на технически носител имат само определеният със заповед на Кмета на общината обработващ лични данни, който чрез парола има достъп до информацията и до съответния компютър.

          (4) Освен на обработващият лични данни, правомерен е и достъпът на длъжностните лица, пряко ангажирани с оформянето и проверка законосъобразността на документите на лицата - заместник-кмет, секретар, директори на дирекции, вътрешни одитори, началници на отдели, отговарящи за съответния ресор, в който се водят регистрите. Обработващият лични данни е длъжен да им осигури достъп при поискване от тяхна страна.

     

Глава пета

ОЦЕНКА НА ВЪЗДЕЙСТВИЕ

Чл. 15. Оценка на въздействие е процес за определяне нивата на въздействие върху конкретно физическо лице или група физически лица, в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица при нарушаване на поверителността, целостността или наличността на личните данни.

Чл. 16. Нивата на защита на поддържаните от община Монтана регистри са посочени в Приложение № 1.

 

Глава шеста

ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ

Чл. 17. Община Монтана предприема следните мерки за защита на личните данни - технически и организационни:

т. 1. програмно-технически - надеждна и защитена идентификация и

автентификация на лицата, които обработват лични данни в електронен вид чрез пароли за достъп и определени потребителски права за работа с данните; поддържане на електронен архив и редовно архивиране на информационните бази, съдържащи лични данни; поддържане на операционните системи в актуално състояние; поддържане на антивирусни програми в актуално състояние; ползване на електронен подпис.

т.2. физически - система от мерки по защита на сградите, помещенията и съоръженията, в които се създават, обработват и съхраняват лични данни и контрола върху достъпа до тях: личните данни се съхраняват в специализирани помещения или в зони с ограничен достъп, достъпни само чрез идентификация с електронни служебни карти.

т.3. организационни и административни - регламентирани с правила и заповеди на кмета на община Монтана;

т. 4. нормативни, предвидени в законови и подзаконови нормативни актове.

 

Глава седма

ДЕЙСТВИЯ ЗА ЗАЩИТА ПРИ АВАРИИ, ПРОИЗШЕСТВИЯ И БЕДСТВИЯ

Чл. 18. (1) Община Монтана предприема превантивни действия при защита на личните данни в случай на настъпили природни бедствия. Изпълняват се основните задължения по плана на община Монтана за защита при бедствия със специализираните си части за действия при наводнения, пожари, земетресения, свлачищни процеси, терористичен акт или други инциденти, застрашаващи живота и здравето на хората. При настъпили критични ситуации, правилото е спасяване на човешки животи и последващи действия за опазване и защита на личните данни.

(2) Конкретни действия при настъпили бедствени ситуации:

т.1. защита от пожари - при задействане на пожароизвестителната система и установяване на пожар, се започва незабавно гасене със собствени средства /пожарогасители/ и уведомяване на съответните органи; Евакуация на служители и посетители от сградата. Като превантивна мярка за опазване на личните данни, същите е необходимо да се съхраняват в метални шкафове.

т. 2. защита от наводнения - предприемат се незабавни действия по ограничаване на разпространението, както и се изпомпва водата или загребва със собствени подръчни средства; евакуират се служители и посетители. Като превантивна мярка за опазване на личните данни, същите е необходимо да се съхраняват в метални шкафове.

т. 3. при други възможни критични ситуации, служителите работещите с лични данни е необходимо да прилагат по-горе цитираната превантивна мярка.

 

Глава осма

ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ЛИЦА

Чл. 19. (1) Лични данни се предоставят на трети лица само след получаване на писмено съгласие от лицето, за което се отнасят данните, освен в случаите, свързани с опазване на обществения ред и сигурността.

  1. При неполучаване на съгласие от лицето или при изричен отказ да се даде съгласие, данните не се предоставят.
  2. Не се изисква съгласие на лицето, ако обработването на неговите лични данни се извършва само от или под контрола на компетентен държавен орган за лични данни, свързани с извършване на престъпления, на административни нарушения и на непозволени увреждания.
  3. Решението си за предоставяне или отказване достъп до лични данни за съответното лице администраторът съобщава на третото лице в 30 - дневен срок от подаване на искането.

Чл. 20. (1) Регистрите, съдържащи лични данни не се изнасят извън сградата на администратора. Никое длъжностно лице или трето лице няма право на достъп до регистрите с лични данни, освен ако данни от същите не са изискани по надлежен път от органи на съдебната власт (съд, прокуратура, следствени органи). В такива случаи достъпът е правомерен.

  1. Правомерен е и достъпът на ревизиращите държавни органи, надлежно легитимирали се със съответни документи - писмени разпореждания на съответния орган, в който се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп до лични данни.
  2. Съдебен орган може да изиска лични данни, съдържащи се в регистри, писмено с изрично искане, отправено до кмета на общината. В подобни случаи, на органите на съдебната власт, се предоставя копие от съдържащите се в регистрите лични данни, заверени с подписа на обработващия лични данни и печат на общината. За идентичността на предоставените копия от документи с оригиналите им, отговорност носи обработващият лични данни. В подобни случаи и ако в писменото искане на съдебния орган не се съдържа изрична забрана за разгласяване, обработващият лични данни е длъжен да информира лицето, но не и да възпрепятства работата на съответните органи.

 

Глава девета

СЪХРАНЯВАНЕ И УНИЩОЖАВАНЕ НА ЛИЧНИ ДАННИ

Чл. 21. Лични данни на физическите и юридическите лица, получени за целите, за които се обработват, се съхраняват съгласно сроковете приети с Номенклатурата на делата със сроковете за тяхното съхранение на община Монтана.

Чл.22. След постигане целите по предходния член личните данни на физическите и юридическите лица се унищожават физически, чрез машинно нарязване или се предават за изгаряне, за което надеждно се изготвят протоколи за унищожаване.

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

§ 1. Настоящата инструкция се издава на основание чл. 23, ал. 4 от Закона за защита на личните данни и чл. 19 т. 2 от Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.

§ 2. Контрол по изпълнението на инструкцията се възлага на Секретаря на община Монтана.

§ 3. Настоящата инструкция е приета със Заповед № 2071 от 04.10.2017 г. на кмета на община Монтана и влиза в сила от 04.10.2017 г.

ЗЛАТКО ЖИВКОВ –
Кмет на община Монтана