Политика за поверителност

I.

Основни разпоредби

1. Предметът на настоящата директива е да регулира защитата и обработката на лични данни при дейности, извършвани от упълномощени лица на работодателя, който е дружеството ELLMAN, s.r.o., Маскат 732/23,
Lozorno 900 55, ID №: 35 949 309 (наричан по-долу „Оператор“).

 

2. За целите на настоящата директива упълномощено лице означава служител на администратора, който при изпълнение на професионалните си дейности обработва лични данни на субекти на данни (наричано по-долу „упълномощено лице“).

 

II.

Общи задължения

1. Личните данни трябва да бъдат адекватно защитени във всички случаи, когато се обработват в рамките на организацията. 

2. Упълномощено лице може да обработва лични данни само при условие, че това е необходимо за изпълнението на неговите/нейните работни дейности или въз основа на индивидуално писмено разрешение от Администратора. 

3. Упълномощеното лице е длъжно да пази поверителността на личните данни, с които влиза в контакт при изпълнение на професионалната си дейност или дейност, произтичаща от възложената му задача. 

4. Задължението за поверителност продължава и след прекратяване на трудовото правоотношение с упълномощеното лице. 

5. Упълномощеното лице може да борави само с лични данни, които са необходими за изпълнението на работата му или на дейностите, произтичащи от упълномощаването. 

6. Упълномощеното лице може да извършва само операции с лични данни, които са необходими за изпълнението на неговата работа или на дейността, произтичаща от разрешението. 

7. Упълномощеното лице не може да получава информация, свързана с лични данни, извън обхвата на своята работна дейност или задача. 

8. Упълномощеното лице гарантира, че при изпълнението на работните си дейности или на дейностите, произтичащи от неговия мандат, няма да се стигне до изтичане на обработвани лични данни или до нарушаване на сигурността на операциите по обработване.

9. Забранено е да се посочва рожденият номер в договори, сключени с физическо лице.

 10. Забранено е да се публикуват снимки и други дейности от работното място в лични профили в социалните мрежи. 

11. Снимките, направени на частни устройства, се съхраняват от упълномощеното лице на определеното от оператора устройство и незабавно се премахват (изтриват) от неговото/нейното частно устройство.

III.

Събиране на лични данни

1. Личните данни на администратора се съхраняват и архивират в собствена база данни с външно съхранение. 

2. Достъпът до базата данни се осъществява от упълномощеното лице чрез индивидуален софтуер, който е достъпен на всеки фирмен компютър на Оператора. 

3. Всяко упълномощено лице има свое собствено име за достъп и парола, необходими за достъп до софтуера на администратора, а базата данни му предоставя само личните данни на субектите на данни в рамките на неговата/нейната работна дейност или назначение. 

4. Ако упълномощеното лице се нуждае от достъп до лични данни в по-голям обем от наличните в базата данни, то е длъжно да поиска индивидуално писмено съгласие от Администратора на данни за получаване на такива данни при поискване. 

5. Писменото съгласие се дава от Администратора при поискване и само до степента, необходима за изпълнение на целта на упълномощеното лице. 

6. След това упълномощеното лице представя писмено съгласие на ръководителя на отдела за информационни технологии, който предоставя личните данни само в рамките на съгласието, дадено от администратора. 

7. Упълномощеното лице няма право да разкрива получените лични данни на други лица.

8. Упълномощеното лице няма право да предоставя данните си за достъп до софтуера на администратора на други лица.

9. Упълномощеното лице няма право да използва софтуера на Оператора за свои собствени цели.

 

IV.

Използване на интернет

1. Използването на интернет услуги от упълномощени лица е предназначено за изпълнение на служебни задачи.

2. Използването на интернет трябва да се съобразява с поверителността на предаваната информация.

3. Оторизираното лице трябва да спазва следните принципи при достъп до интернет:

a. използват достъпа до интернет главно в съответствие с работата си/функцията си,

b. следвайте съобщенията на антивирусната програма,

c. да не осъществявате достъп до непознати уебсайтове с непроверено съдържание, освен ако това не е необходимо за изпълнението на вашата работа/функция,

d. да не използват пароли, които се използват за достъп до вътрешни информационни системи, за достъп до публични интернет услуги.

 

V.

Електронна поща

  1. Електронната поща се използва за вътрешна и външна комуникация.

  2. Упълномощеното лице е длъжно да изпраща масово имейли под формата на скрити имейл адреси (скрито копие), така че отделните адресати да не знаят имейл адреса на други субекти на данни - адресати.

  3. Забранено е да се изпращат лични данни на субектите на данни в отворени имейли или в отворен прикачен файл. Прикачените файлове трябва да бъдат криптирани. Паролата трябва да минава през друг канал за комуникация, напр. sms или телефон. Ако това не е възможно, паролата трябва да се изпрати в отделен имейл.

  4.  В случай на прекратяване на трудово или друго правоотношение с упълномощено лице операторът прекратява използването на имейл адреса на упълномощеното лице в срок от 30 дни от прекратяването на правоотношението.

 

VI.
Лична сигурност

  1. При прекратяване на трудово или друго правоотношение (напр. прекратяване на длъжността изпълнителен директор) упълномощеното лице (служител, изпълнителен директор...) е длъжно да предаде работната програма, включително досиетата, всички назначени инвентарни единици, заетите книги и ключове.

  2. Всички упълномощени лица трябва да бъдат инструктирани за основните принципи за сигурност, преди да получат достъп до информационната система на администратора и целите на обработката. Инструктажът се провежда от отговорното лице. Доказателствата за инструктажа се съхраняват в личното досие на служителя

  3. На упълномощеното лице може да бъде предоставено техническо устройство (напр. служебен мобилен телефон, лаптоп), чието получаване упълномощеното лице потвърждава при получаването на устройството. При връщане на устройството упълномощеното лице има право да поиска разписка.

VII.

Физическа сигурност

1. Информационните технологии (компютри, лаптопи и др.) трябва да се поставят в заключващи се помещения. Помещението, в което се намира ИТ оборудването, трябва да се заключва, когато упълномощеното лице го напуска. Когато упълномощеното лице приключи работа, то трябва да:

a. изключете личния си компютър или излезте от него,

b. Заключвайте шкафове, съдържащи лични данни (ако шкафовете могат да се заключват).

 

VIII.

Управление на ключове и карти за достъп

 

  1. На правоимащото лице се дава един ключ от вратата на  

          помещението, в което той/тя ще извършва своята работна дейност/функция.

2. Всяко изгубване на ключа за офиса трябва да бъде докладвано незабавно по електронна поща от упълномощеното лице. 

   на вашия ръководител и на отговорното лице.

3. Ключовете са отговорност на лицето, на което са възложени. За ключовете отговаря упълномощеното лице        

  да предаде на своя началник в случай на прекратяване на трудовото или друго правоотношение..

 

IX.

Други мерки

1. Упълномощеното лице (служител, управител) е длъжно да заключи стаята и да вземе ключа със себе си, когато напуска стаята, ако в стаята няма друго упълномощено лице.

2. Преди да напусне стаята, упълномощеното лице е длъжно да провери дали прозорците в стаята му са затворени.

3. Упълномощеното лице няма право да променя настройките на антивирусната програма или да деактивира антивирусната програма на резидента без одобрението на ръководителя на ИТ отдела.

4. Всяко подозрително, необичайно поведение или неизправност на компютъра трябва да се докладва незабавно на ръководителя на ИТ отдела.

5. Упълномощеното лице няма право произволно да инсталира компютърни програми от носители на информация или от интернет. То може да инсталира програми само с разрешението на своя ръководител след предварителна консултация с ръководителя на ИТ отдела.

6. Всяко упълномощено лице трябва да има парола за удостоверяване на самоличността си и да пази тази парола в тайна. Упълномощеното лице не може да разкрива своята парола за автентификация. Паролата не трябва да се записва и да се съхранява на видимо или лесно достъпно място. Упълномощеното лице носи отговорност за неразрешено разкриване на паролата си на друго лице и съответно за злоупотреба с нея и за причинени вреди.

7. Упълномощеното лице не трябва да позволява на лице, което не е упълномощено, да работи с компютъра.

8. Ако на един компютър работят повече от едно лице, упълномощеното лице трябва да влезе в системата със своето потребителско име и парола, след като упълномощеното лице, което преди това е работило на този компютър, е излязло от системата.

 

X.

Нарушаване на сигурността

1. В случай на нарушение на сигурността на личните данни упълномощеното лице е длъжно незабавно да информира за това своя ръководител и ръководителя на ИТ отдела. 

2. Упълномощеното лице е длъжно да преустанови дейността си и не трябва да предприема никакви действия, които биха могли да доведат до повишен риск за сигурността на личните данни. 

3. От упълномощеното лице се изисква да състави протокол с пълни подробности за обхвата: 

a. за какви лични данни става въпрос, 

b. когато е разбрала за нарушението на сигурността, 

c. какъв пробив в сигурността е настъпил,

d. как е разбрала за това нарушение,

e. какви мерки е предприела.

4. Упълномощеното лице предава протокола на ръководителя на отдела по информационни технологии. 

5. Ръководителят на отдела за информационни технологии уведомява оператора за естеството и степента на нарушението на сигурността веднага след като се запознае с тази информация. 

6. Ръководителят на ИТ отдела е длъжен да положи всички усилия, за да предотврати по-нататъшни нарушения на сигурността при обработката на лични данни, и е длъжен да отстрани проблемите във възможно най-кратък срок.

7. Упълномощеното лице може да извършва работните си дейности само с одобрението на ръководителя на ИТ отдела, който потвърждава, че изпълнението на работните дейности не представлява риск за сигурността на личните данни. 

8. Ръководителят на ИТ отдела е длъжен да изготви протокол, който включва:

a. вида на личните данни, чиято защита е била нарушена, 

b. произхода и формата на смущението, 

c. степента на смущенията и очакваното ниво на риска, 

d. мерките, които са били предприети за коригиране на ситуацията, 

e. мерките, които са взети за гарантиране на сигурността на личните данни.

9. Ръководителят на отдел "Информационни технологии" предава своите протоколи и протоколите на упълномощеното лице на оператора. 

XI.

Обработване на подадени данни от субекти на данни

 

1. Исканията и възраженията на субектите на данни се обработват от лицето, на което това е делегирано (наричано по-долу „отговорно лице“). 

2. При получаване на искане, възражение или жалба от субект на данни (наричано по-долу „подаване“) отговорното лице информира субекта на данни за получаването му и за по-нататъшните действия, които трябва да бъдат предприети. 

3. Отговорното лице оценява подадената от субекта на данни информация най-късно в рамките на 30 дни от получаването ѝ. 

4. Ако оценката на подадената информация изисква повече време, отговорното лице е длъжно да се свърже с Администратора и да информира съответно субектите на данни. 

5. След като оцени подадената информация, отговорното лице надлежно информира съответните лица в рамките на горепосочения срок.

 

XII. 

Работа от дома 

 

  1. Когато работите от вкъщи, трябва да използвате работни устройства (лаптопи и настолни компютри).

  2. Ако това не е възможно, когато работите от вкъщи и използвате собствени устройства, трябва да използвате само препоръчаните от работодателя антивирусни програми, решения, базирани на облак, и да настроите автоматични актуализации за програмите, които използвате. 

  3. Когато работите от вкъщи, трябва да работите с активирана VPN (виртуална частна мрежа) или друго защитено приложение, одобрено от работодателя ви. 

  4. Забранено е отварянето на документи или програми, съдържащи лични данни или други чувствителни данни, без активирана VPN услуга. 

  5. Устройствата (лаптопи или настолни компютри), които се използват при работа от дома, не трябва да се оставят отключени в отсъствието на упълномощено лице (дори когато оставяте устройството за кратък период от време, то трябва да бъде приспано).

  6. Когато работите от вкъщи, трябва да спазвате одобрената система за пароли и да заключвате всяко оборудване, което се използва по време на работа, когато отсъствате.

  7. Само одобрени решения, базирани на облак, и комуникационни приложения могат да се използват за онлайн съхранение на документи, съдържащи лични данни, и за изпращане на документи, съдържащи лични данни.

  8. Когато работите от вкъщи, не използвайте (ако е възможно) лични имейл адреси или телефонни номера.

  9. Когато работите от вкъщи, е забранено да използвате публично достъпни средства за комуникация (WhatsApp, Facebook и др.), за да общувате или да изпращате или предавате документи, съдържащи лични данни.

  10. Забранено е да се работи с устройства, чрез които се обработват лични данни, на обществени места и трябва да се внимава да се спазват общите мерки за сигурност, за да се предпазят устройствата от кражба или копиране на съдържанието им (по-специално да не се оставят устройствата без надзор в присъствието на непознати лица или ако устройствата трябва да се носят на обществени места, например в багажника на автомобил).

  11. В случай на инциденти, свързани със сигурността, упълномощеното лице трябва незабавно да се свърже с работодателя и отговорното лице.

 

XIII.

Общи, преходни и заключителни разпоредби

1. Настоящата директива влиза в сила на 01.10.2021 г.

2. Настоящата директива е задължителна за всички упълномощени лица на администратора.

В Lozorno на 01.06.2025 г.

  

  

 
×