Политика относно сигурността на данните

ПРАВИЛНИК ЗА ПРИЛАГАНЕ НА МЕРКИТЕ И СРЕДСТВАТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

ОБЩИ ПОЛОЖЕНИЯ
Чл. 1. Настоящата инструкция има за цел да регламентира:
– Механизмите за защита на личните данни, обработвани от администратора на лични данни – ГРАЦИЯ 97 ЕООД.
– Определяне на длъжностните лица, обработващи лични данни и/или лицата, които имат достъп до лични данни и работят под ръководството на обработващите лични данни, както и тяхната отговорност при неизпълнение на тези задължения, свързани с обработване и защита на лични данни, правата и задълженията им.
– Оценката на въздействието и определяне нивото на защита на регистрите с лични данни, подържани в ГРАЦИЯ 97 ЕООД.
– Необходимите технически и организационни мерки за защита на личните данни от неправомерно обработване (случайно или незаконно унищожаване, случайна загуба, неправомерен достъп, изменение или разпространение), както и от всички други незаконни форми на обработване на лични данни).
– Действия за защита при аварии, произшествия и бедствия.
– Правилата за предоставяне на лични данни на трети лица.
– Сроковете за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за заличаването им.
– Реда за унищожаване или предоставяне на данните на друг администратор. ИНДИВИДУАЛИЗИРАНЕ НА АДМИНИСТРАТОРА И ОБРАБОТВАЩИТЕ ЛИЧНИ ДАННИ
Чл. 2. (1) Индивидуализиране на администратора на лични данни.

– Фирма, правна форма: ГРАЦИЯ 97 ЕООД ;
– Седалище и адрес на управление: БЪЛГАРИЯ, гр. Казанлък, бл. 10, вх. А и адрес на управление: БЪЛГАРИЯ, гр. Казанлък, бл. 10, вх. А, ДДС номер : BG123741155.

(2) АЛД обработва личните данни самостоятелно и чрез възлагане на обработващ данни, по силата на договорни отношения.
(3) АЛД може да определи едно или повече лица с право на достъп до лични данни, които даотговарят за координиране и прилагане на мерките за защита.
(4) Достъпът до лични данни се осъществява само от лица, чиито служебни задължения или конкретно възложена задача налагат такъв достъп, при спазване на принципа „Необходимост да знае“ и след запознаване с нормативната уредба в областта на защитата на личните данни, политиката и ръководствата за защита на личните данни и опасностите за личните данни, обработвани от администратора, като за целта лицата подписват декларация за неразгласяване на лични данни, до които са получили достъп при и по повод изпълнение на задълженията си, която се съхранява в личното трудово досие на съответния служител.
(6) Всички лица, отговарят за спазването на ограниченията за достъп до личните данни и са персонално отговорни пред Управителя на фирмата за нарушаването на принципите за поверителност, цялостност и наличност на личните данни, освен в случаите на форсмажорни обстоятелства.
(7) Всяко физическо лице, чийто лични данни ще се обработват от администратора, следва да бъде уведомено за:
1. данните, които идентифицират администратора;
2. целите на обработването на личните данни;
3. категориите лични данни, отнасящи се до съответното физическо лице; 4. получателите или категориите получатели, на които могат да бъдат разкрити данните; 5. информация за правото на достъп и правото на коригиране на събраните данни.
(8) Когато личните данни не са получени от физическото лице, за което те се отнасят, ал. 7 не се прилага, ако:
1. обработването е за статистически, исторически или научни цели и предоставянето на данните по ал. 1 е невъзможно или изисква прекомерни усилия;
2. вписването или разкриването на данни са изрично предвидени в закон; 3. физическото лице, за което се отнасят данните, вече разполага с информацията по ал. 1;
4. е налице изрична забрана за това в закон.
Чл. 3. В ГРАЦИЯ 97 ЕООД се поддържат следните регистри с лични данни: Регистър „ПЕРСОНАЛ“.

РЕГИСТЪР „КЛИЕНТИ“
Чл. 13. В Регистър „КЛИЕНТИ“ се обработват лични данни на Контрагенти на ГРАЦИЯ 97 ЕООД, обслужвани по силата на договор, сключен на основание ТЗ, ЗЗД, във връзка със чл. 4 и чл. 6 от ЗСчет.
1. ФЛ: трите имена, адрес, телефонен номер
2. ЮЛ: фирма, ЕИК, седалище и адрес на управление, представително и начин на представляване;
3. Договори, допълнителни споразумения, протоколи за посещения, приемо-предавателни протоколи за извършена дейност, удостоверения и др.
Чл. 14. Основания за обработване
● Договор сключен на основание ТЗ, ЗЗД, във връзка със чл. 4 и чл. 6 от ЗСчет. За посочените действия от страна на ГРАЦИЯ 97 ЕООД Клиента трябва предварително да бъдe информиран.
● обработване на поръчки – приемане, валидиране, експедиране и фактуриране на същите; в случая се изисква предоставяне на лични данни, като име(на), телефонен номер, e-mail, адрес за получаване на пратките, IP адрес – местоположение;
● разрешаване на проблеми, свързани с анулирания на поръчки или всякакви други проблеми, свързани с поръчките, закупените стоки или услуги;
● връщане на продуктите в съответствие със законовите разпоредби;
● подпомагане, включително даване на отговори на Вашите въпроси във връзка с поръчките Ви или стоките и услугите на ГРАЦИЯ 97 ЕООД
● маркетингови цели – за да ви предоставим информация, която представлява интерес за вас, ние можем да използваме определени данни относно вашето поведение на купувач (например, разгледани продукти/ продукти, добавени към списъка с желани продукти/ закупени продукти). Ние винаги гарантираме, че това обработване се извършва при спазване на Вашите права и свободи, и че решенията, взети във връзка с тях не пораждат никакви правни последици за Вас и не Ви засягат по подобен начин в съществена степен.
Чл. 15. Технология на събиране и обработване на данните:
(1) Личните данни в регистър „КЛИЕНТИ“ се събират със започване на бизнес отношенията по силата на договор между ГРАЦИЯ 97 ЕООД и КЛИЕНТА. Събраните данни съдържат информация за КЛИЕНТА, както и информация, която е необходима за администриране на взаимоотношенията с него, включително и за извършване на плащания към ГРАЦИЯ 97 ЕООД.
(2) Личните данни, събирани от ГРАЦИЯ 97 ЕООД включват ограничено количество информация, необходима за връзка и управление на взаимоотношенията с КЛИЕНТА и тази информация се използва само за тези цели.
(3) Личните данни, които са свързани с Контрагента се съхраняват на хартиен и/или електронен носител, технически и/или защитен с парола електронен носител, достъпен за администратори и експерти по здраве и безопасност при работа. Достъп на други служители ще бъде разрешаван само със специално разрешение дадено от Управителя на фирмата на база принципа „Необходимост да знае”.
(4) Когато има необходимост от корекция или актуализация на данните за горния регистър, администратор от ГРАЦИЯ 97 ЕООД изисква от КЛИЕНТА коригирани или актуализирани данни.
(5) Във връзка с горното изискване всяка от страните по договора, определя лице за контакт – координатор по договора.
(6) В случаите посочени по-горе, служителите от Счетоводен отдел получават достъп до личните данни въз основа на принципа „Необходимост да знае”’, във връзка със следното: подготвяне на платежни документи необходими за извършване на банкови преводи за заплащане на дължими възнаграждения и изпълнение на други задължения установени със закон.
(7) Личните данни, които се съхраняват в Регистър „КЛИЕНТИ“ се съхраняват на хартиен, технически и/или електронен носител за времето, необходимо за управление на взаимоотношението с Възложителя и колкото е необходимо за счетоводните нужди на Администратора на личните данни и/или за изпълнение на правни задължения Управителя, но за не по-малко от 1 година. Данните се унищожават при изтичане на посочения период.
Личните данни събирани чрез сайт ГРАЦИЯ 97 ЕООД се изтриват автоматично след определен период от време – до 30 дни след получаването им. В случай, че искате сами да ги изтриете, моля свържете с нас и ние ще изтрием Вашите лични данни преди настъпването на автоматичния срок.

Чл. 16. (1) Данните на хартиен носител, технически и/или електронен носител, свързани с Възложителя се съхраняват по сигурен начин в ГРАЦИЯ 97 ЕООД в съответствие с принципите, посочени по-долу.
(2)ГРАЦИЯ 97 ЕООД, след прекратяване на договорните взаимоотношения с даден възложител може да предоставя данните от Регистър „КЛИЕНТИ“ на трети лица, действащи като обработващи лични данни от негово име за нуждите, описани в настоящия Правилник, в предвидените в закон случаи и при осигуряване на адекватно ниво на защита на основание чл. 17, ал. 1 от Наредба №3/25.01.2008 г. и Регламент (ЕС) 2016/679 на Европейския парламент и на съвета от 27 април 2016 г, относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО, след подадено писмено искане от тяхна страна.
Чл. 17. Защитата на личните данни в Регистър „КЛИЕНТИ“ се осигурява чрез мерките и средствата, предвидени в този Правилник.
Чл. 18. Осигурен пропускателен режим във ГРАЦИЯ 97 ЕООД:
(1) Документите от регистър „КЛИЕНТИ“ се помещават в помещение с инсталиран СОТ и необходимите пожарогасителни средства.
(2) Достъпът да работните места се осъществява, чрез код за достъп, известен на лица, определени със заповед на Управителя;
(3) Достъп до папките имат само собственика на дружеството, Управителя и изрично упълномощено от него лице.
(4) При производствена необходимост за достъп до работните места на Дружеството в извънработно време се разрешава само от Управителя, след предварително съгласуване.
ТЕХНОЛОГИЧНО ОПИСАНИЕ НА ПОДДЪРЖАНИТЕ РЕГИСТРИ
Чл. 19. Носители на данни:
ГРАЦИЯ 97 ЕООД съхранява категориите лични данни, съдържащи се в описаните регистри на хартиени и/или технически, и/или електронни носители при спазване на приложимото законодателство и необходимите мерки за защита.
Чл. 20. Срок на съхранение
Сроковете за съхранение по отделните регистри са както следва:
1. Регистър „ПЕРСОНАЛ” – 5 години;
2. Регистър „КЛИЕНТИ” – 1 година;
Чл. 21. Определяне на длъжностите, свързани с обработване и защита на лични данни, правата и задълженията им:
(1) Длъжностите, свързани с обработване и защита на лични данни, правата и задълженията им, определени в тази точка са приложими за регистрите, изброени в настоящия Правилник.
(2) Лицето по защита на личните данни е Управителят на фирмата или упълномощено от него лице, което отговаря за контрола върху достъпа и използването на личните данни.
(3) Управителят или упълномощеното от него лице имат следните правомощия:
1. осигурява организацията по водене на регистрите, съгласно предвидените мерки за гарантиране на адекватна защита;
2. следи за спазването на конкретните мерки за защита и контрол на достъпа, съобразно спецификата, оценката на въздействието и нивото на защита на водените регистри; 3. осъществява контрол по спазване на изискванията за защита на регистрите; 4. поддържа връзка с Комисията за защита на личните данни, относно предприетите мерки и средства за защита на регистрите;
5. специфицира техническите ресурси, прилагани за обработка на личните данни; 6. следи за спазване на организационните процедури за обработване на личните данни и за спазване на контролирания достъп до носителите на лични данни;
7. провежда периодичен контрол за спазване на изискванията по защита на данните и при открити нередности взема мерки за тяхното отстраняване.
Чл. 22. Достъп до личните данни, съхранявани в Регистрите имат само служителите на ГРАЦИЯ 97 ЕООД, на които такъв достъп е необходим за изпълнение на служебните им задължения, както и за изпълнение на бизнес цели, при стриктно спазване на принципа „Необходимост да знае“.
Чл. 23. Личните данни, обработвани от ГРАЦИЯ 97 ЕООД, са защитени от разкриване на трети лица. Трети лица не могат да имат достъп до такава информация, освен ако не съществува „Необходимост да знае” за такъв достъп. Разкриване на такава информация трябва да бъде
изрично разрешено от Управителя, като се предприемат подходящи мерки, които да осигурят спазването на законодателството в областта на личните данни, както и спазване на задължението за конфиденциалност (което се налага, чрез изискване от третата страна да подпише споразумение за поверителност) и обезопасяване предаването на всякакъв обмен на данни.
В зависимост от случая, ние предаваме или даваме достъп до някои от Вашите лични данни на следните категории получатели:
● доставчици на куриерски услуги;
Дружеството ни предоставя част от получените лични данни (име, телефонен номер, адрес за доставка) с основание изпълнение на договор на следното дружество, предоставящо куриерска услгуга за доставка на поръчани от потребители, по силата на Договор, сключен между ГРАЦИЯ 97 ЕООД и Дружеството:
За пратки на територията на Република България – ГРАЦИЯ 97 ЕООД;
● доставчици на маркетингови/ телемаркетингови услуги;
● доставчици на ИТ услуги;
● Ако сме задължени по закон, или ако това е необходимо за защита на законните ни интереси, можем да разкриваме определени лични данни и на публични органи;
Гарантираме, че достъпът до Вашите данни от частноправни субекти-трети страни се осъществява съгласно законовите разпоредби в областта на защитата на данните и поверителността на информацията, въз основа на договори, сключени с тях.
Чл. 24. Настоящият правилник е задължителен за всички служители ГРАЦИЯ 97 ЕООД, доколкото те участват в обработването на личните данни по горните регистри.
Чл. 25. Тези служители, на които е възложено обработването на лични данни от Регистрите са длъжни:
– да обработват личните данни законосъобразно и добросъвестно;
– да използват личните данни, до които имат достъп, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели;
– да актуализират регистрите с личните данни (при необходимост);
– да заличават или коригират личните данни, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
– да поддържат личните данни във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват;
– да спазват този Правилник, както и другите корпоративни правила.
ОЦЕНКА НА ВЪЗДЕЙСТВИЕ И ОПРЕДЕЛЯНЕ НА СЪОТВЕТНО НИВО НА ЗАЩИТА
Чл. 26. (1) В съответствие с чл. 11-14 от Наредба №1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, Администраторът оценява нивото на въздействие върху конкретните физически лица или групи физически липа, в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица при нарушаване на поверителността, цялостността или наличността на личните данни, както следва:
„Ниско” ниво на въздействие за регистър „ПЕРСОНАЛ“ и „КЛИЕНТИ“.
(2) В съответствие с чл. 14, ал. 4 от Наредбата нивото на въздействие е най-високото от определеното за всеки от регистрите от групата, съгласно Приложение № 2 от Наредбата или общо най-високото определено „ниско” ниво на въздействие.

Ниво на въздействие за групата от 2 регистъра ниско
(3) В съответствие с чл. 16 ал .2 от Наредбата, Администраторът определя нивата на защита както следва:
„Ниско” ниво на защита за регистър „ПЕРСОНАЛ“ и „КЛИЕНТИ“ или се определя общо най-високото ниво за групата съвместно обработвани регистри като „ниско” ниво на защита.
(4) В съответствие с чл. 11 ал. 3 от Наредбата, оценката на въздействието да се извършва периодично на всеки две години или при промяна на характера на обработваните лични данни и броя на засегнатите физически лица.
ВИДОВЕ ЗАЩИТА, ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ
Чл. 27. (1) Физическа защита на личните данни, съдържащи се в Регистрите по чл. 3 от настоящата инструкция.
Организационни мерки:
1. Определяне на зони с контролиран достъп; Всички физически зони с хартиени и електронни записи, се съхраняват и са ограничени само за служители, които трябва да имат достъп чрез принципа „Необходимост да знае”, с оглед изпълнението на работните им задължения. Всички записи и документи на хартиен носител, съдържащи лични данни, са в папка на съответната фирма и са в офис или шкаф, с ограничен достъп, достъпен само от упълномощен персонал.
2. Данните са защитени, чрез използването на средства за физически контрол на достъпа, като заключване на вратите. Електронни носители включително сървъри, са защитени по подобен начин.
3. Определяне на помещенията, в които ще се обработват лични данни. Личните данни се обработват в непублична част от помещенията, която е физически ограничена и достъпна само от служители, за които е необходимо да имат достъп с оглед на изпълнението на служебните им задължения.
4. Определяне на помещенията, в които ще се разполагат елементите на комуникационно-информационните системи за обработване на лични данни; Комуникационно-информационните системи, използвани за обработка на лични данни са отделени от зоните достъпни за клиенти, и са физически защитени, като достъпът е ограничен само до тези служители, които за изпълнение на служебните си задължения се нуждаят от такъв достъп до данните.
5. Определяне на организацията на физическия достъп: Физически достъп до зоните с ограничен достъп, включително и тези, в които са намират информационните системи (компютри, сървъри), е възможен само през заключени врати за достъп. Достъп се предоставя само на служителите, на които е пряко възложено това или на тези, на които той е необходим за изпълнение на служебните им задължения, след оторизация.
(2) Определяне на техническите средства за физическа защита
1. Технически мерки;
2. Ключалки;
3.Шкафове. Шкафове с ограничен достъп се намират счетоводен отдел и са физически заключени, с цел защита на регистрите с лични данни;
4. Оборудване на помещения;
5. Пожарогасителни средства.
(3) Персонална защита
1. Познаване на нормативната уредба в областта на защитата на лични данни се разглежда в обучителната програма, организирана от ГРАЦИЯ 97 ЕООД.
2. Споделяне на критична информация между персонала (например идентификатори, пароли за достъп и т.н.) е забранено от политиките и се разглежда в обучителната програма.
3. Обучение. Служителите трябва да преминат обучителната програма, непосредствено след наемането им и най-малко веднъж годишно.
4. Тренировка на персонала за реакция при събития, застрашаващи сигурността на данните се предоставя в обучителната програма. Служителите, незабавно уведомява прекия си ръководител, ако имат съмнение или е известна заплаха за сигурността.
Чл. 28. Личните данни се събират само с конкретна цел или до колкото е необходимо да се съобразят със законовите задължения на администратора на лични данни. Всеки тип данни се класифицира, в съответствие с неговото предназначение и характер, и се защитава в съответствие с изискванията, посочени по-горе.
Чл. 29. Регламентиране на достъпа до регистрите
1. Достъпът до регистрите е ограничен и се предоставя само на упълномощения персонал.
2. Контрол на достъпа до регистрите
– Управителят на ГРАЦИЯ 97 ЕООД и Счетоводителя или в ограничени случаи на други специално упълномощени лица, в съответствие с принципа на „Необходимост да знае“, за да изпълняват своите задължения.
Чл. 30. Определяне на срокове за съхранение на личните данни
Съхраняването на данни е в съответствие с целите, за които са събрани данни и законоустановения срок. Личните данни се съхраняват толкова дълго, колкото е необходимо, за да се осъществи целта, за която са били събрани или както се изисква от приложимото право.
Чл. 31. Правила за размножаване и разпространение на лични данни
Личните данни могат да бъдат копирани и разпространявани само ако е необходимо за юридически нужди, както и да бъдат предоставяни само на лица, на които са необходими във връзка с извършване на възложена работа. Служителите се обучават относно политиката срещу копиране и разпространение на записи, съдържащи лични данни. Неразрешеното копиране и разпространение е обект на официални санкции, в зависимост от тежестта на нарушението, включително прекратяване на трудовите взаимоотношения.
Чл. 32. Процедури за унищожаване
Документи на хартиен носител, които съдържат лични данни, се унищожават по сигурен начин, когато вече не са необходими чрез шредиране или чрез изгаряне. Всеки служител, който е в притежание на такива документи, е отговорен за сигурното унищожаване на документите. За всяко унищожаване се издава нарочна заповед от Управителя на ГРАЦИЯ 97 ЕООД и се съставя протокол.
Чл. 33. Защита на личните данни на електронен носител
1. Идентификация и автентификация
– Потребителски акаунти и пароли – с цел да се даде достъп, съобразен с принципа „Необходимост да знае“.
– Отговорност на целия персонал – членовете на персонала са лично отговорни за правилното използване на потребителските си акаунти и пароли.
– Създаване на потребителски акаунт – създаването на потребителски акаунт е задължение на системен/приложен администратор.
2. Даването на достъп до електронен регистър следва следният процес:
– Създаване на потребителски акаунт – всеки от мрежовите потребителски акаунти на член на екипа трябва да бъде поискан от ръководителя на екипа.
– Заявяване на достъп– всеки служител, чиито служебни задължения налагат достъп до един или повече електронни регистри, заявява такъв достъп на отговорното лице, а той от своя страна – на Управителя.
– Одобряване на достъпа – Управителя
– Създаване на акаунта – системен администратор, който администрира съответния регистър създават акаунт на служителя и го уведомява.
3.Регламент за прекратяване на достъпа до съответния регистър:
– Прекратяване на достъп до електронните регистри – след отпадане на необходимостта от достъпа, прекратяване на трудовите взаимоотношения.
Чл. 34. Управление на регистрите:
1. Главен счетоводителе отговорен за управлението на Регистър „ПЕРСОНАЛ“ и само ограничен брой служители могат да имат достъп до данните, съдържащи се в регистъра, в съответствие с принципа на „Необходимост да знае”. Служителите с достъп до този регистър се определятпри необходимост.
2. Управителя на ГРАЦИЯ 97 ЕООД е отговорен за управлението на Регистър „КЛИЕНТИ”. Служители, чиято позиция, изисква достъп до тези данни, разполагат с ограничен достъп до тях, съдържащи се в регистъра, в съответствие с принципа на „Необходимост да знае“.
Чл. 35. (1) Външни връзки/свързване – не са налични
Телекомуникации и отдалечен достъп:
1. Отдалечен достъп – Отдалечен достъп до вътрешни мрежи на ГРАЦИЯ 97 ЕООД е предоставен само на Управителя на ГРАЦИЯ 97 ЕООД и Главен счетоводител. Интернет достъп – ограничен със заповед от Управителя. Качването на информация в интернет пространството е абсолютно забранена.
2. Защита от вируси:
ГРАЦИЯ 97 ЕООД създава и поддържа стандартни и сигурни конфигурации за всяка компютърна и мрежова платформа, с която оперира. Софтуерът, създаден за нуждите на личните здравни досиета на служители, по силата на договорни отношения се контролира и се поддържа от оторизирани лица. Сканиране за компютърни вируси се извършва с лицензиран антивирусен
софтуер. Скринингът се извършва периодично от системните администратори. При наличие на заразен компютър незабавно се изолира от системата до отстраняване на проблема.
3. Поддържане/експлоатация;
Периодично се провежда оценка на сигурността със заповед на Управителя.
4. Копия/резервни копия за възстановяване;
Архивиране на информацията – Информацията, съдържаща лични данни се архивира в съответствие със стандартите за архивиране на данни.
5. Физическа среда/обкръжение;
Физически контрол- заключени врати, поддържане на подходяща температура и осигурени пожарогасителни средства са осигурени за защита на ИТ оборудването от неоторизиран достъп и контрол на риска от повреда и унищожаване.
Чл. 36. Процедури за унищожаване/заличаване/изтриване на носители:
1. Данни, които вече не са необходими за целите на ГРАЦИЯ 97 ЕООД, в съответствие с разпоредбите на чл. 25, ал. 1, т. 1 от ЗЗЛД и чл. 17, параграф 1, буква (а) от Регламент (ЕС) 2016/679, трябва да бъдат унищожени по безопасен начин чрез средства, като шредиране, изгаряне или постоянно заличаване от електронните средства. Когато трета страна е ангажирана със съответен договор да провежда безопасни процеси по унищожаване от името на АЛД, третата страна трябва да бъде вписана като АЛД в публичния регистър на КЗЛД и/или да обработва данните в стоветствие с Регламент (ЕС) 2016/679, а за извършеното унищожаване на документи с лични данни трябва да се изиска надлежен протокол.
2. План при извънредни ситуации – План за възстановяване при извънредни ситуации се поддържа за приложения, които боравят с важна информация за ГРАЦИЯ 97 ЕООД, включително съдържаща лични данни, за да се осигури наличието на тази информация. Отговорност на ИТ е предоставянето на план за действие в извънредни ситуации, в случай на отказ на системата. Плановете за действие в извънредни ситуации трябва да бъдат адекватно развити, да се актуализират редовно и да се проверяват периодично. 3. Криптографска защита
Криптирането се използва за защита на личните данни, които се предават от ГРАЦИЯ 97 ЕООД по електронен път, когато такива данни се предават извън логическия или физическия контрол на АЛД, в съответствие с определеното „ниско” ниво на защита.

САНКЦИИ И ОТГОВОРНОСТ ПРИ НАРУШАВАНЕ НА ПРАВИЛАТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ.
Чл. 37. Всяко виновно нарушение на правилата и ограниченията за достъп до личните данни от персонала на ГРАЦИЯ 97 ЕООД може да бъде основание за налагане на дисциплинарни санкции, включително и уволнение.
ПРАВО НА ДОСТЪП НА ЛИЦАТА, ЧИИТО ЛИЧНИ ДАННИ СЕ ОБРАБОТВАТ Чл. 38. (1) Всяко физическо лице има право на достъп до отнасящи се за него лични данни.

(2) Правото на достъп се осъществява с писмено заявление до Управителя (Приложение № 2). Заявлението се отправя лично от физическото лице или от изрично упълномощено от него лице чрез нотариално заверено пълномощно.
(3) Заявлението съдържа:
– име, адрес и други данни за идентифициране на съответното физическо лице; – описание на искането;
– предпочитана форма за предоставяне на информацията;
– подпис, дата на подаване на заявлението и адрес за кореспонденция.
(4) При подаване на заявление от упълномощено лице, към заявлението се прилага и нотариално завереното пълномощно.
(5) Информацията може да бъде предоставена под формата на устна или писмена справка или на преглед на данните от съответното физическо лице или от изрично упълномощено от него друго лице. Физическото лице може да поиска копие от обработваните лични данни на предпочитан носител или предоставяне по електронен път, освен в случаите, когато това е забранено от закон. АЛД е длъжен да се съобрази с предпочитаната от заявителя форма на предоставяне на информацията.
Чл. 39. (1) Управителят или упълномощено от него лице разглежда заявлението за предоставяне на пълна или частична информация и се произнася в 14-дневен срок от неговото подаване.
(2) Управителят или упълномощено от него лице отказва достъп до лични данни, когато те не съществуват или предоставянето им е забранено със закон.
(3) В случаите, когато при осъществяване правото на достъп на физическото лице, могат да се разкрият лични данни и за трето лице, Управителят е длъжен да предостави на съответното физическо лице достъп до частта от тях, отнасяща се само за него.
ДЕЙСТВИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ ПРИ АВАРИИ, ПРОИЗШЕСТВИЯ И БЕДСТВИЯ (ПОЖАР, НАВОДНЕНИЕ И ДР.).
Чл. 40. Следват се процедурите за управление по време на такова събитие за защита на физическите и информационни активи, включително ангажиране на допълнителна сигурност на помещенията и възстановяване на личните данни и други данни на ГРАЦИЯ 97 ЕООД чрез извършване на редовно архивиране.
ПЕРИОДИЧНИ ПРЕГЛЕДИ ОТНОСНО НЕОБХОДИМОСТТА ОТ ОБРАБОТВАНЕ НА ДАННИТЕ, КАКТО И ЗА ЗАЛИЧАВАНЕТО ИМ.
Чл. 41. Периодични прегледи се извършват от определените със заповед на Управителя лица, след което се изготвя доклад за унищожаване или прехвърляне на личните данни, съгласно чл.25 от Закона за защита на личните данни и Регламент (ЕС) 2016/679 от 27 април 2016г.
ИЗПЪЛНЕНИЕ НА ЗАДЪЛЖЕНИЯТА ПО ЧЛ. 25 ОТ ЗАКОНА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ.
Чл. 42. След постигане целта на обработване на личните данни или преди прехвърлянето на контрола върху обработването, личните данни съдържащи се в Регистрите по чл. 3 следва да бъдат унищожени или прехвърлени на друг администратор на лични данни, съобразно изискванията на Закона за защита на личните данни, Регламент (ЕС) 2016/679 от 27 април 2016 г. и при спазване на процедурата по чл.36.
ДОПЪЛНИТЕЛНИ РАЗПОРЕДБИ
● 1. По смисъла на настоящата инструкция:
– „Администратор на лични данни” е ГРАЦИЯ 97 ЕООД, с код по БУЛСТАТ: ГРАЦИЯ 97 ЕООД; със седалище и адрес на управление: ГРАЦИЯ 97 ЕООД, магазин;
– „Обработващ лични данни” е физическо или юридическо лице, държавен орган или орган на местно самоуправление, който обработва лични данни от името на Администратора на лични данни.
– „Обработване на лични данни” е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.
– „Регистър на лични данни” е всяка структурирана съвкупност от лични данни, достъпна по определени критерии, централизирана, децентрализирана или разпределена на функционален или географски принцип.
– „Наредбата” е Наредба № 1 от 30.01.2013 г. за минимално ниво на технически и организационни мерки и допустимия вид защита на личните данни.
– Регламент (ЕС) 2016/679 е Регламент (ЕС) 2016/679 на Европейския парламент и на съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободно движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защита на данните);
ПРЕХОДНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
● 2. По отношение на обработването и защитата на личните данни всички вътрешни процедури от документооборота на ГРАЦИЯ 97 ЕООД трябва да бъдат в съответствие с разпоредбите на ЗЗЛД, Регламент (ЕС) 2016/679 от 27 април 2016 г., Закон за счетоводството, ДОПК, настоящият правилник и приложимото законодателство в Република България.
● 3. Правилникът е задължителен за всички служители и други лица, наети на граждански договори от ГРАЦИЯ 97 ЕООД и са длъжни да я спазват.
● 4. Контрол по изпълнението на настоящата инструкция се осъществява от Управителя на ГРАЦИЯ 97 ЕООД и от упълномощените от него длъжностни лица.
● 5. Изменения и допълнения на тази инструкция се правят по реда на издаването и утвърждаването й.
● 6. Тази инструкция се приема на основание чл.9, параграф 2 от Регламент (ЕС) 2016/679 от 27 април 2016 г., чл. 23, ал.4 от Закона за защита на личните данни, във връзка с чл. 19, т. 2 от Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни от Закона за защита на личните данни и влиза в сила от датата на утвърждаването ѝ.