ИНСТРУКЦИЯ за защита на личните данни
  

1.1. Настоящата инструкция е изготвена в съответствие изискванията на Закона за защита на личните данни, Общия регламент за защита на данните (Регламент (ЕС) 2016 / 679) и изискванията за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.
1.2. ГЛОБЪЛ СТАФ ООД обработва само законно събрани лични данни, необходими за конкретни, точно определени и законни цели.

1.3. ГЛОБЪЛ СТАФ ООД поддържа личните данни във вида и формата, които позволяват идентифициране самоличността на физическите лица за срок не по-дълъг от необходимия за изпълнение на целите, за които личните данни се обработват при спазване на правните задължения в Република България и Европейския Съюз.

2. Целите на инструкцията

Настоящата инструкция има за цел да регламентира:
2.1. Механизмите за водене, поддържане и защита на регистрите, съхраняващи лични данни в ГЛОБЪЛ СТАФ ООД от случайно или незаконно унищожаване, от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.
2.2. Видовете регистри, които се водят в ГЛОБЪЛ СТАФ ООД и тяхното общо и технологично описание.
2.3. Правата и задълженията на длъжностните лица, обработващи лични данни и/или лицата, които имат достъп до лични данни и работят под ръководството на обработващите лични данни, тяхната отговорност при неизпълнение на тези задължения.
2.4. Необходимите технически и организационни мерки за защита на личните данни и процедури за докладване, управляване и реагиране при инциденти.
2.5. Оценка на въздействието и определяне нивото на защита.
2.6. Предоставяне на данни на трети лица – основание, цел, категории лични данни.

3. Вид на обработваните лични данни

Регистрите в които се набират и съхраняват лични данни са за работници, служители, клиенти и партньори, с които ГЛОБЪЛ СТАФ ООД има служебни, трудови и други правоотношения при изпълнение на нормативно установени задължения.
Категориите лични данни в регистрите, които се отнасят до физическите лица могат да бъдат:

3.1. Относно физическата идентичност на лицата
- имена и лични данни (ЕГН, номер на лична карта, дата и място на издаване, адрес, месторождение, телефони за връзка и др.).
3.2. Относно социална идентичност на лицата
- данни относно семейното положение на лицето, деца;
- данни относно образованието и допълнителната квалификация;
- професионална биография.
3.3. Медицински данни
- данни относно физиологичното, психическо и психологическо състояние на физическото лице (свидетелства на предварителен медицински преглед, решения на ЛКК, ТЕЛК, НЕЛК, болнични листи и други).
3.4. Данни относно икономическа идентичност

- данни относно финансовото състояние на физическото лице, участието и/или притежаването на дялове или ценни книжа в дружества и др.

4. Основания за обработване на личните данни

4.1. Обработването е необходимо за действия, предприети по искане на физическото лице, предхождащи сключването на договор и последващото изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна.
4.2. Обработването е необходимо за изпълнение на нормативните изисквания на Кодекса на труда, Кодекса за социално осигуряване, Закона за счетоводството, Закона за здравословни и безопасни условия на труд и др.

4.3. Обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните.
4.4. Обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес. 4.5. Обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните.

4.6. Обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.

5. Средства за обработване на личните данни

Личните данни в регистрите се набират от администратора на лични данни, респективно обработващия лични данни чрез устно интервю и/или на хартиен и/или електронен носител.
5.1. Съгласно нормативните актове конкретни лични данни могат да се събират, изготвят и съхраняват на хартиен носител, формата на организация и съхраняване на личните данни е писмена (документална). 5.2. При възможност личните данни се събират, изготвят и съхраняват на технически носител, формата на организация и съхраняване на личните данни е въвеждане на твърд диск, на персонален компютър. При работа с данните се използват софтуерни продукти, които са адаптирани към специфичните нужди на администратора на лични данни.

6. Процедура по водене и съхраняване на личните данни

6.1. Личните данни се събират при постъпване и по време на изпълнение на работа по трудово, служебно или друго правоотношение на дадено физическо лице. Лицето се информира за необходимостта от набиране на лични данни и целите, за които ще бъдат използвани чрез Уведомление за обработка на лични данни и изразява своето съгласие или несъгласие в Информирано съгласие за обработка на лични данни.

6.2. Документите, съдържащи лични данни заедно с приложенията към тях се обработват в регистри от обработващия лични данни на съответния носител (хартиен, технически).
6.3. Хартиеният носител се подрежда в кадрови досиета или специални папки и се представя за валидиране чрез подписи на съответните длъжностни лица и физически лица.

6.4. Набраните данни на технически носител остават на сървъри, предназначени за съхранение на базите с лични данни, а в случаите, когато се обработват на компютри извън мрежата на администратора - в отделни файлове на компютъра, като достъп до тях има само обработващия лични данни чрез съответните потребителски имена и пароли.

6.5. Всички физически лица имат право на достъп до личните си данни, за което подават писмено Заявление за достъп до съхранявани и обработвани лични данни до администратора. ГЛОБЪЛ СТАФ ООД разглежда заявлението и се произнася по него в срок от един месец (съгласно параграф 59 от Регламент 2016 / 679) от подаване на Заявлението. Решението се съобщава писмено на заявителя лично

срещу подпис или по пощата с обратна разписка. Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение.

6.6. Достъп до личните данни има администратора на лични данни, отговорното лице по защита на личните данни и длъжностните лица, пряко ангажирани с оформяне, обработване и проверка законосъобразността на документите. Длъжностните лица подписват декларация за неразгласяване на лични данни, до които са получили достъп при и по повод изпълнение на задълженията си. Администраторът на лични данни може да предостави данни на трети лица при спазване на изискванията на ЗЗЛД и Общия регламент за защита на данните (Регламент 2016 / 679). При предоставяне на данни, копия от документите се заверяват с подпис и печат на администратора, за да се гарантира тяхната достоверност. Администраторът на лични данни информира засегнатото лице за предоставянето на негови лични данни на трети лица, освен в случаите когато има изрична забрана за това от съдебната власт или закон.

6.7. За неизпълнение на задълженията, вменени на съответните длъжностни лица по тази инструкция и по Закона за защита на личните данни, се налагат дисциплинарни наказания по Кодекса на труда. Ако в резултат на действията на съответното длъжностно лице по обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред.

6.8. Архивиране на личните данни се извършва веднъж годишно от обработващия лични данни и/или лицето, действащо под негово или на администратора ръководство при обработване лични данни с оглед запазване на информацията за съответните лица в актуален вид.
6.9. Личните данни се съхраняват в съответствие с изискванията на действащото законодателство в Република България, в случаите когато няма законово изискване за съхранение на данни,ГЛОБЪЛ СТАФ ООД изтрива и унищожава съхраняваната информация веднага след изпълнение на предвидените цели за обработка.

6.10. След постигане целта на обработване на личните данни или преди преустановяване на обработването на личните данни администраторът е длъжен да ги унищожи или прехвърли на друг администратор.

7. Оценката на въздействие и определянето на съответното ниво на защита са описани в Приложение No 1, неразделна част от настоящата инструкция.

8. Действия за защита при аварии, произшествия и бедствия
ГЛОБЪЛ СТАФ ООД предприема превантивни действия при защита на личните данни в случай на настъпили природни бедствия. Изпълняват се основните задължения по Плана за защита при бедствия и аварии. При настъпили критични ситуации, правилото е спасяване на човешки животи и последващи действия за опазване и защита на личните данни. Конкретни действия при настъпили бедствени ситуации: - защита от пожари – при установяване на пожар, се започва незабавно гасене със собствени средства (пожарогасители) и се уведомяват съответните органи.
- защита от наводнения - предприемат се незабавни действия по ограничаване на разпространението, както и се изпомпва водата или загребва със собствени подръчни средства.

9. За целите на инструкцията понятията имат следното значение
9.1. Лични данни са всяка информация, отнасяща се до физическо лице (клиент, партньор, служител, работник), което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.

9.2. Обработване на лични данни е всяко действие или съвкупност от действия, които администратора извършва по отношение на личните данни с автоматични или неавтоматични средства (събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване и др.).

9.3. Администратор на лични данни е ГЛОБЪЛ СТАФ ООД, който самостоятелно или чрез възлагане на друго лице обработва лични данни.
9.4. Регистър на лични данни е структурирана съвкупност от лични данни, достъпна по определени критерии съобразно вътрешните документи на ГЛОБЪЛ СТАФ ООД, която може да бъде централизирана и децентрализирана и е разпределена на функционален принцип.

9.5. Съгласие на физическо лице е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани.