МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов” 

1. ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

Данни за администратора

Раздел I. Цел

1. Настоящият документ предоставя общ преглед на изискванията за защита на данните и насочва към по-подробни указания, ако е необходимо.
2. Въпроси относно политиката могат да бъдат отправяни на e-mail адрес на МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов”: omg@omg-bg.com, както и на e-mail адрес на ДЛЗД: elitsasstoyanova@gmail.com 

Раздел II. Въведение

1. Регламент (ЕС) 2016/679 (Общ регламент за защита на данните) замества Директивата 95/46 / ЕО за защита на данните. Има пряко действие и предполага изменение в законодателството на страните – членки в областта на защитата на личните данни. Неговата цел е да защитава „правата и свободите“ на физическите лица и да се гарантира, че личните данни не се обработват без тяхно знание, и когато е възможно, че се обработва с тяхно съгласие.

Раздел III. Понятия

1. „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
2. „специални категории лични данни“ са лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице;
3. „Обработване“ – означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
4. „Администратор“ – всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
5. „Субект на данните“ – всяко живо физическо лице, което е предмет на личните данни съхранявани от Администратора.

Чл. 4 от ОРЗД посочва определенията за всяко от горните.

Раздел IV. Принципи за защита на данните

1. Цялата обработка на лични данни трябва да се извършва в съответствие с принципите за защита на данните, посочени в член 5 от Регламент (ЕС) 2016/679. Политиките и процедурите на МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов” имат за цел да гарантират спазването на тези принципи, а именно:
   1. Личните данни трябва да бъдат обработвани законосъобразно, добросъвестно и прозрачно. („законосъобразност, добросъвестност и прозрачност“)

Законосъобразно – да идентифицира законна основа, преди да може да обработва лични данни. Те често са посочени като „основания за обработване“, например „съгласие“.

Добросъвестно – за да може обработването да бъде добросъвестно, администраторът на данни трябва да предостави определена информация на субектите на данни, доколкото това е практически възможно. Това важи независимо дали личните данни са получени директно от субектите на данни или от други източници.

Регламент (ЕС) 2016/679 увеличава изискванията за това каква информация трябва да бъде на разположение на субектите на данни, която е обхваната от изискването за „прозрачност“.

Прозрачно – Общият регламент включва правила относно предоставяне на поверителна информация на субектите на данни в членове 12, 13 и 14 от ОРЗД. Те са подробни и конкретни, поставяйки акцента върху това, че известията за поверителност са разбираеми и достъпни. Информацията трябва да бъде съобщена на субекта на данните в разбираема форма, като се използва ясен и разбираем език.

1. Лични данни могат да се събират само за конкретни, изрично указани и законни цели.(„ограничение на целите“) 
2. Личните данни трябва да бъдат адекватни, релевантни, ограничени до това, което е необходимо за обработването им със съответната цел. („свеждане на данните до минимум“)
3. Личните данни трябва да бъдат точни и актуализирани във всеки един момент, и да са положени необходими усилия, за да е възможно незабавно (в рамките на възможните технически решения) изтриване или коригиране. („точност“)
4. Личните данни трябва да се съхраняват в такава форма, че субектът на данните може да бъде идентифициран само толкова дълго, колкото е необходимо за обработването. („ограничение на съхранението“)
5. Прилагат се подходящи технически или организационни мерки срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане. („цялостност и поверителност“)

Чл. 5 от ОРЗД посочва принципите, свързани с обработването на лични данни.

Раздел V. Права на субектите на данни

1. Общият регламент за защита на данните (ОРЗД) задава определени права на субектите на данни, свързани с техните лични данни, които са:

• право на информираност във връзка с обработването на личните му данни от администратора;
• право на достъп
• право на коригиране;
• право на изтриване (при определени обстоятелства) – правото „да бъдеш забравен“;
• правото за ограничаване на обработването;
• право на преносимост (при определени обстоятелства);
• правото за възражение спрямо обработването на негови лични данни;
• субектът на данни има право и да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен;
• правото на жалба до надзорен орган: субектът на данни има право на жалба до надзорен орган. Надзорен орган в Република България е Комисията за защита на личните данни, по смисъла на приложимото законодателство.

Чл.13-22 от ОРЗД уреждат подробно гореизброените права на субектите на данни.

Раздел VI. Основания за обработване

1. Всяка обработка на лични данни следва да почива на поне едно законово основание, съгласно ОРЗД. Възможните основания са (чл. 6 от ОРЗД): договор, законово задължение, жизненоважни интерес, обществен интерес, легитимен интерес и съгласие. Данните за специалните категории изискват по-специално законово основание (чл. 9 от ОРЗД). Тази законова основа се посочва в Регистър на дейностите по обработването. 

Чл. 6 от ОРЗД посочва основанията за законосъобразно обработване, а Чл. 9 от ОРЗДпредоставя информация относно обработването на специални категории лични данни.

Раздел VII. Политика и насоки

1. МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов” се ангажира с политика за защита на правата и свободите на лицата по отношение на обработката на техните лични данни.
2. Настоящата Политика и допълнителните насоки към нея, се отнасят за всички лични данни, обработвани за целите на МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов”, независимо от това къде и как се съхраняват.

Раздел VIII. Приложение на политиката

1. МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов” обработва лична информация за служители, ученици, родители и други, определени като субекти на данни в законодателството за защита на данните. Тези данни трябва да се обработват само в съответствие със законодателството за защита на данните, което е и цел на настоящата политика.
2. Всяко нарушение на тази Политика може да доведе до това МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов” като администратор на данни (и в някои случаи физическите лица, работещи за нея) да наруши законодателството за защита на данните и да носи отговорност за последиците от такова нарушение.
3. Ръководителите в МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов” отговарят за това тя да спазва законодателството за защита на данните. Всички служители в МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов”, които имат достъп до лични данни трябва да са прочели и разбрали тази политика преди да имат достъп до лични данни, обработвани от МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов”. 
4. Отговорност на всички служители в МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов, които имат достъп до лични данни е да гарантират сигурността на личните данни. Личните данни не трябва да се разкриват на никое неупълномощено лице под каквато и да е форма, случайно или по друг начин.
5. Всяко нарушение или неспазване на настоящата Политика, особено всяко преднамерено разкриване на лични данни на неупълномощена страна, може да доведе до дисциплинарни или други подходящи действия.
6. МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов” периодично проверява спазването на законодателството за защита на данните и политиката и при необходимост актуализира своите насоки в тази област.
7. Всеки неоторизиран достъп до или разкриване на лични данни или други нарушения на сигурността на данните трябва да бъде докладван съгласно Инструкция за действие при пробив в сигурността на личните данни веднага след установяването им или при наличието на основателно подозрение за настъпило нарушение.
8. Директорът или друго упълномощено от него лице отговаря за това всички служители в МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов” да бъдат информирани за задълженията си съгласно законодателството за защита на данните, включително тяхното обучение и инструктаж.
9. Съвети и подкрепа във връзка със законодателството за защита на данните се предоставят от назначеното длъжностно лице за защита на личните данни (ДЛЗД) – Елица Стоянова.
10. ДЛЗД докладва на ръководството на МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов”– директорът.

Раздел IX. Достъп до данни

1. Правото на достъп от страна на субектите на данни следва да се реализира в определен срок 1 месец. Поради това от съществено значение е предоставяне на исканията за достъп до данни към ДЛЗД във възможно най-кратък срок след тяхното получаване, независимо от това, по какъв начин точно е постъпило искането в МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов” и до кого е било подадено.

Раздел X. Съхраняване на данни

1. Личните данни се съхраняват само за времето, необходимо за извършване на обработката, за която са събрани. Това важи както за електронни, така и за не електронни лични данни. Това се разпростира също така и върху резервните копия и копията, направени на преносими носители. Сроковете за съхранение на отделните категории данни са определени в Регистъра на дейностите по обработване. МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов” не съхранява лични данни във вид, който позволява идентифицирането на субектите за по-дълъг период отколкото е необходимо, по отношение на целите, за които са били събрани данните. МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов” може да съхранява данни за по-дълги периоди единствено ако личните данни ще бъдат обработвани  за целите на архивиране, за цели в обществен интерес, научни или исторически изследвания и за статистически цели,  и само при изпълнението на подходящи технически и организационни мерки за гарантиране на правата и свободите на субекта на данните.

Раздел XI. Трансфер на данни

1. Всеки трансфер на данни, включително използването на облачни услуги, извън ЕИП следва да бъде предварително съгласуван с ДЛЗД с оглед изискването в ОРЗД за предприемането на определени мерки. Условията, при които личните данни могат да бъдат прехвърлени в страни извън Европейското икономическо пространство, са определени в ОРЗД. Те включват адекватност, подходящи гаранции, обвързващи корпоративни правила и изрично съгласие, наред с другите.

Раздел XII. Регистър на дейностите по обработването

1. Регистърът на дейностите по обработването се използва, за да се отговори на изискванията за съхранение на данни в законодателството за защита на данните (Приложение I).
2. Отговарящите за отделните организационни и оперативни дейности, които формират целите на обработваната информация, осигурят създаването и поддържането на актуалността на информацията в регистъра.
3. Всяка година те извършват преглед на актуалността.
4. ДЛЗД гарантира, че притежателите на информационни активи получават подходяща помощ за поддържане на регистъра.

Раздел XIII. Технически и организационни мерки за защита на данните

1. МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов” въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с ОРЗД, като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица.
2. Техническите и организационните мерки следва да допринесат за защита на данните на етапа на проектирането и по подразбиране. Същите са посочени в Инструкция за техническите и организационни мерки на МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов” във връзка с обработването на лични данни.
3. В техническите и организационните мерки МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов” изрично предвижда минимално необходимите реквизити при сключване на споразумения с обработващи данни, така че да се постигне ниво на защита не по-ниско от прилаганото от МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов”.

Раздел XIV. Спазване на принципа на отчетност

1. Регламент (ЕС) 2016/679 включва разпоредби, които насърчават отчетността и управляемостта и допълват изискванията за прозрачност. Принципът на отчетност в чл. 5, пар. 2 изисква от администратора да докаже, че спазва останалите принципите в ОРЗД и изрично заявява, че това е негова отговорност.
2. МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов” ще доказва спазването на принципите за защита на данните чрез прилагане на политики по защита на данните, внедряване на подходящи технически и организационни мерки, както и чрез приемане на техники по защита на данните на етапа на проектирането и защита на данните по подразбиране, процедура за уведомяване за нарушаване на лични данни и други.

Раздел XV. Съответствие, свеждане до знание и дисциплинарни процедури

1. Нарушаването на поверителността на личните данни е и нарушение на законодателството за защита на данните и може да доведе до наказателен или граждански иск срещу МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов”. Следователно всички обработващи лични данни в МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов” трябва да се придържат към политиката за защита на личните данни и политиките, които допринасят за нейното изпълнение.
2. Всички настоящи служители и други упълномощени лица, които имат достъп до лични данни биват информирани за наличието на тази политика и наличието на съпътстващи политики, процедури, образци, инструкции и насоки.
3. Всички служители подписват Декларация за поверителност (Приложение III).
4. Всяко нарушение на сигурността ще бъде разгледано в съответствие с правила на МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов” и съответните дисциплинарни политики.

Приложения

МАТЕМАТИЧЕСКА ГИМНАЗИЯ „Академик Кирил Попов”, гр.Пловдив