ВЪТРЕШНИ ПРАВИЛА
на СЧЕТОВОДНА КЪЩА М ЕООД
за мерките за защита на личните данни съгласно Регламент 2016/679
I. Общи положения
Чл. 1. (1) Счетоводна къща М ЕООД, наричана по-долу само „СКМ“, е юридическо лице и е регистрирана по Закона за регистър БУЛСТАТ с БУЛСТАТ: 130885095.
(2) Счетоводна къща М ЕООД е със седалище в гр. София и адрес на управление: гр. София, бул. „Академик Иван Евстатиев Гешов“ № 104, вх.А, ет.4, офис 6.
(3) Като юридическо лице, възникнало по силата на закона, СКМ осъществява и дейностите, предвидени в Закона за счетоводството, Закона за независимия финансов одит, Данъчно-осигурителен и процесуален кодекс и други нормативни актове.
(4) СКМ обработва лични данни във връзка със своята дейност и сама определя целите и средствата за обработването им. В този случай СКМ действа като администратор на лични данни.
(5) В случаите, в които СКМ обработва лични данни за цели, определени самостоятелно от трето лице, СКМ има положението на обработващ лични данни (оператор на лични данни), ако целите са определени от лицето, което е възложило обработването.
Чл. 2. Настоящите Вътрешни правила на СКМ уреждат организацията на обработване и защитата на лични данни на работниците/служителите, включително и на кандидатите за работа в СКМ, на контрагентите и партньорите на СКМ, както и на всички други групи физически лица, с които СКМ влиза в отношения при осъществяването на дейността си.
Чл. 3. (1) „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни”); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци.
(2) „Обработване на лични данни“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни записване, организиране, структуриране, съхранение, адаптиране или промяна, консултиране, употреба, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
(3) „Регистър с лични данни“ представлява всеки структуриран набор от лични данни, независимо от неговия вид и носител, достъпът до които се осъществява съгласно определени критерии.
Чл. 4. (1) СКМ е администратор на лични данни по смисъла на чл. 4, т. 7 от Общия регламент относно защитата на данните (ЕС) 2016/679.
(2) Като администратор на лични данни, при обработването на лични данни СКМ спазва принципите за защита на личните данни, предвидени в Общия регламент относно защитата на данните (ЕС) 2016/679 и законодателството на Европейския съюз и Република България.
Чл. 5. (1) Принципите за защита на личните данни са:
- Законосъобразност, добросъвестност и прозрачност – обработване при наличие на законово основание, при полагане на дължимата грижа и при информиране на субекта на данни;
- Ограничение на целите – събиране на данни за конкретни, изрично указани и легитимни цели и забрана за по-нататъшно обработване по начин, несъвместим с тези цели;
- Свеждане на данните до минимум – данните да са подходящи, свързани със и ограничени до необходимото във връзка с целите на обработването;
- Точност – поддържане в актуален вид и предприемане на всички разумни мерки за гарантиране на своевременно изтриване или коригиране на неточни данни, при отчитане на целите на обработването;
- Ограничение на съхранението – данните да се обработват за период с минимална продължителност съгласно целите. Съхраняване за по-дълги срокове е допустимо при условие, че са приложени подходящи технически и организационни мерки;
- Цялостност и поверителност – обработване по начин, който гарантира подходящо ниво на сигурност на личните данни, като се прилагат подходящи технически или организационни мерки;
- Отчетност – администраторът носи отговорност и трябва да е в състояние да докаже спазването на всички принципи, свързани с обработването на лични данни.
(2) Ако конкретната цел или цели, за които се обработват лични данни от СКМ, не изискват или вече не изискват идентифициране на субекта на данните, СКМ не е задължена да поддържа, да се сдобие или да обработи допълнителна информация за да идентифицира субекта на данните, с единствена цел да докаже изпълнението на изискванията на Регламент 2016/679.
Чл. 6. СКМ организира и предприема мерки за защита на личните данни от случайно или незаконно унищожаване, от неправомерен достъп, от изменение или разпространение както и от други незаконни форми на обработване на лични данни. Предприеманите мерки са съобразени със съвременните технологични достижения и рисковете, свързани с естеството на данните, които трябва да бъдат защитени.
Чл. 7. СКМ прилага адекватна защита на личните данни, която включва:
- Физическа защита;
- Персонална защита;
- Документална защита;
- Защита на автоматизирани информационни системи и мрежи;
- Криптографска защита – при необходимост.
Чл. 8. (1) Личните данни се събират за конкретни, точно определени от закона цели, обработват се законосъобразно и добросъвестно с конкретна цел пряко свързана с изпълнение на законовите задължения и/или нормалната бизнес дейност на СКМ и не могат да се обработват допълнително по начин, несъвместим с тези цели.
(2) Личните данни се съхраняват на хартиен, технически и/или електронен носител, само за времето, необходимо за изпълнение на правомощия, правни задължения на СКМ и/или нормалното му функциониране.
(3) Личните данни се съхраняват не по-дълго от колкото е необходимо, за да се осъществи целта, за която са били събрани или до изтичане на определения в действащото законодателство срок.
(4) Документите, съдържащи лични данни, сроковете за съхранение на които са изтекли и не са необходими за нормалното функциониране на СКМ или за установяването, упражняването или защитата на правни претенции, се унищожават по подходящ и сигурен начин (напр. нарязване, електронно изтриване и други подходящи за целта методи, съобразени с физическия носител на данните).
(5) Достъпът до регистрите с лични данни е ограничен и се предоставя само на упълномощените служители, в съответствие с принципа на „Необходимост да знае”.
Чл. 9. Когато не са налице хипотезите на чл. 6, пар. 1, б. „б“ – „ е“ от Регламент 2016/679, физическите лица, чиито лични данни се обработват от СКМ, подписват декларация за съгласие по образец (Приложение № 1).
Чл. 10. (1) Право на достъп до регистрите с лични данни има управителя и оторизираните служители на СКМ, съобразно възложените им от закона правомощия, както и обработващи лични данни, на които администраторът е възложил обработването на данни от съответния регистър при условията на чл. 28 от Общия регламент относно защитата на данните.
(2) Служителите носят отговорност за осигуряване и гарантиране на регламентиран достъп до служебните помещения и опазване на регистрите, съдържащи лични данни за което подписват декларация за поверителност по образец (Приложение № 2). Всяко умишлено нарушение на правилата и ограниченията за достъп до личните данни от персонала може да бъде основание за налагане на дисциплинарни санкции по отношение на съответните служители.
(3) Длъжностните лица нямат право да разпространяват информация за личните данни, станали им известни при и по повод изпълнение на служебните им задължения.
Чл. 11. (1) Документите, по които работата е приключила, се архивират.
(2) Трайното съхраняване за нуждите на архивирането на документи, съдържащи лични данни, се извършва на хартиен носител в помещения на СКМ за срокове, съобразени с действащото законодателство. Помещенията където се съхраняват архивите са оборудвани с пожарогасители. Сградата където се помещава СКМ има 24 часова жива охрана, а помещенията с архивите задължително се заключват.
(3) Документите на електронен носител се съхраняват на специализиран сървър. Архивиране на документите на технически носител се извършва автоматично с оглед запазване на информацията за съответните лица в съответните законови срокове в актуален вид и с цел осигуряване на възможност за възстановяване, в случай на погиване на основния носител/система. Архивните копия се съхраняват на отделно устройство.
(4) Достъп до архивираните документи, съдържащи лични данни, имат единствено оторизираните лица на СКМ съобразно възложените им от закона правомощия.
Чл. 12. (1) С оглед защита на хартиените, техническите и информационните ресурси всички служители са длъжни да спазват правилата за противопожарна безопасност.
(2) Служителите преминават задължителен инструктаж за запознаване с правилата за Противопожарна безопасност веднъж годишно. За проведения инструктаж се съставя Протокол по образец, съгласно Приложение № 3.
Чл. 13. (1) При регистриране на неправомерен достъп до информационните масиви за лични данни, или при друг инцидент, нарушаващ сигурността на личните данни, служителят, констатирал това нарушение/инцидент, незабавно докладва за това на Управителя. Уведомяването за инцидент се извършва писмено, по електронен път или по друг начин, който позволява да се установи извършването му и да се спази изискването за уведомяване на Комисията за защита на личните данни в срок от 72 часа от узнаването за инцидента.
(2) Процесът по докладване и управление на инциденти задължително включва регистрирането на инцидента, времето на установяването му, лицето, което го докладва, лицето, на което е бил докладван, последствията от него и мерките за отстраняването му.
Чл. 14. (1) След постигане целта на обработване на личните данни, съдържащи се в поддържаните от СКМ регистри, и изтичане на съответния срок, личните данни се унищожават при спазване на процедурите предвидени в приложимите нормативни актове и в настоящите Вътрешни правила.
(2) В случаите, в които се налага унищожаване на носител на лични данни, СКМ прилага необходимите действия за заличаването на личните данни по начин, изключващ възстановяване данните и злоупотреба с тях, като:
- Личните данни, съхранявани на електронен носител и сървъри, се унищожават чрез трайно изтриване;
- Документите на хартиен носител, съдържащи данни, се унищожават чрез нарязване.
(3) За извършеното унищожаване на лични данни и носители на лични данни се съставя Протокол, подписан от съответния служител съгласно образец, представляващ Приложение № 4.
Чл. 15. Всеки правен субект, на когото СКМ обработва лични данни по възлагане следва да подпише споразумение или договор за обработка на данни по образец съгласно Приложение № 5, включващо клаузите по чл. 28, пар. 2-4 от Общия регламент относно защитата на данните.
Чл. 16. Третите страни получават достъп до лични данни, обработвани в СКМ, при наличие на законово основание за обработването на лични данни (напр. съд, прокуратура, НАП, НОИ, МВР и др.п.).
II. Мерки по осигуряване на защита на личните данни
Чл. 17. Физическата защита в СКМ се осигурява чрез набор от приложими технически и организационни мерки за предотвратяване на нерегламентиран достъп и защита на сградата и помещенията, в които се извършват дейности по обработване на лични данни.
Чл. 18. Като помещения, в които ще се обработват лични данни, се определят всички помещения, в които с оглед нормалното протичане на работния процес, се събират, обработват и съхраняват лични данни. Достъпът до тях е физически ограничен и контролиран – само за служители с оглед изпълнение на служебните им задължения и ако мястото им на работа позволява достъп до съответното помещение и съответния регистър с лични данни. В тези помещения достъп на външни лица не се допуска.
Чл. 19. Използваните технически средства за физическа защита на личните данни в СКМ са съобразени с действащото законодателство и нивото на въздействие на тези данни. Всички физически зони с хартиени и електронни записи са ограничени само за служители, които трябва да имат достъп чрез принципа „Необходимост да знае” с оглед изпълнението на работните им задължения.
Чл. 20. Достъпът до системите, обработващи по електронен способ лични данни, е ограничен чрез уникални потребителски идентификатори и пароли, а електронните носители, включително сървър, са защитени по адекватен начин.
Чл. 21. Основните технически мерки за физическа защита в СКМ включват:
- използване на физическа охрана на територията на сградата 24 часа;
- блиндирана входна врата на офиса;
- използване на професионални ключалки и заключващи механизми;
- шкафове;
- оборудване на помещенията с пожарогасителни средства.
Чл. 22. (1). Основните мерки за персонална защита на личните данни, приложими в СКМ, са:
- Задължение на служителите да се запознаят с нормативната уредба в областта на защитата на лични данни и настоящите Вътрешни правила;
- Забрана за споделяне на критична информация (идентификатори, пароли за достъп и др.п..) между персонала и всякакви други лица, които са неоторизирани;
- Деклариране на съгласие за поемане на задължение за неразпространение на личните данни.
Чл. 23. Основните мерки за документална защита на личните данни, са:
На хартиен носител се съхраняват всички лични данни, които изискват попълването им върху определени бланкови документи и/или формуляри, свързани с изпълнение на изисквания на действащото законодателство или пряко свързани с осъществяването на нормалната дейност на СКМ, сключване на договори, изпълнение на договори, упражняване на предвидени в закона права и установени от закона задължения;
Чл. 24. (1) Защитата на сървъра и вътрешната мрежа в СКМ включва набор от приложими технически и организационни мерки за предотвратяване на нерегламентиран достъп до системите и/или мрежите, в които се създават, обработват и съхраняват лични данни.
(2) Основните мерки за защита включват:
- Идентификация и автентификация чрез използване на уникални потребителски акаунти и пароли за всяко лице, осъществяващо достъп до мрежата и ресурсите на СКМ. Прилагането на тази мярка е с цел да се регламентират нива на достъп и да се въведе достъп, съобразен с принципа „Необходимост да знае”;
- Управление на регистрите, съобразено с ограничаване на достъпа до съответния регистър единствено до лица, които са пряко натоварени и/или служебно ангажирани с неговото водене, поддръжка и обработка;
(3) Достъп до вътрешната мрежа имат единствено служителите и/или специално упълномощени от Управителя на СКМ лица. Достъпът до мрежата и обработваните лични данни се предоставя с оглед изпълнение на техните преки служебни задължения и е съобразен с принципа „Необходимо да знае“. Минимално изискваното ниво на сигурност за достъп до вътрешните мрежи изисква идентифициране с уникално потребителско име и парола.
(4) Отговорностите, свързани с осъществяване на администрация на достъпа, са възложени на лица с необходимата квалификация. Те са задължени да предприемат адекватни мерки за минимализиране на риска от неоторизиран (физически и/или отдалечен) достъп до мрежите на СКМ, вкл. и чрез използване на защитни стени и други адекватни мерки и инструменти. В отговорностите са включени и дейности, свързани с одобряване на инсталирането на всички устройства, технологии и софтуер за достъп до мрежата, включително суичове, рутери, безжични точки за достъп, точки за достъп до мрежата, интернет връзки, връзки към външни мрежи и други устройства, технологии и софтуер, които могат да позволят достъп до вътрешните мрежи на СКМ.
(5) Защитата от зловреден софтуер включва:
- Използването на стандартни конфигурации за всяка компютърна и/или мрежова платформа, като системният, а при възможност и приложният, софтуер се контролира, инсталира и поддържа от оторизирана от Ръководството на СКМ ИТ фирма. Забранено е инсталирането на софтуерни продукти без изричното одобрение на ИТ фирмата на СКМ.
- Използване на вградената функционалност на операционната система и/или хардуера, които се настройват единствено от ИТ фирмата на СКМ. Всяка промяна и/или деактивация на системите за защита от неоторизирани лица е забранена.
- Активиране на автоматична защита и сканиране за зловреден софтуер и обновяване на антивирусни дефиниции. Забранено е потребителите да отказват автоматични софтуерни процеси, които актуализират вирусните дефиниции.
- Забрана за пренос на данни от заразени компютри. При съмнение или установяване на заразяване на компютърна система работещият с нея е задължен да уведоми Ръководството на СКМ и да преустанови всякакви действия за работа и/или изпращане на информация от заразения компютър (чрез външни носители, електронна поща и/или други способи за електронна обмяна на информация). До премахване на зловредния софтуер заразеният компютър следва да бъде незабавно изолиран от вътрешната мрежа.
(6) Политиката по създаване и поддържане на резервни копия за възстановяване регламентира:
- Основната цел на архивирането е свързана с предотвратяване на загуба на информация, свързана с лични данни, която би затруднила нормалното функциониране на СКМ и нарушаване на законовите изисквания.
- Информацията се архивира по подходящ способ на носител, извън сървъра и позволява пълното възстановяване на данните, в случай на погиване на техния основен носител
- Архивирането се извършва автоматично на предварително зададен интервал.
- Срокът за съхраняване на отделните архивни масиви е съобразен с действащото законодателство.
(7) Отдалечен достъп до вътрешната мрежа на СКМ не е разрешен.
Чл. 25. (1) По отношение на личните данни се прилагат и мерки, свързани с криптографска защита на данните чрез стандартните криптографски възможности на операционните системи, на програмите за управление на бази данни и на специализирания софтуер Transcend Elite когато това е необходимо.
(2) Криптирането се използва и за защита на личните данни, които се предават от СКМ по електронен път към НАП, НОИ и др. подобни учреждения когато това се изисква.
III. Базисни правила и мерки за осигуряване на защита на личните данни при компютърна обработка
Чл. 26. (1) Компютърен достъп през локалната мрежа към файлове, съдържащи лични данни, се осъществява само от длъжностни лица с регламентирани права, единствено от тяхното физическо работно място, от специално определения за целта компютър и след идентификация чрез име и парола към системата. При приключване на работното време служителите изключват локалния си компютър.
(2) СКМ прилага адекватни мерки за технически и административен контрол (ограничаване на IP, MAC адрес, физическа локация, уникално потребителско име и парола, настройка на всички работни станции в режим „автоматично заключване на екрана“ при липса на активност повече от 1 минута), като по този начин гарантира, че само упълномощени служители получават достъп до данните за изпълнение на възложените им функции.
(3) Идентификацията на оторизираните лица за работа с лични данни задължително включва и идентификация чрез уникален потребителски акаунт, който съдържа име и парола на потребителя, права за достъп до системата и ползване на нейните ресурси.
(4) Потребителският акаунт се заключва след три неуспешни опита за регистрация в системата, а неговото отключване може да бъде извършено само от оторизираната ИТ фирма.
(5) С цел повишаване сигурността на достъпа до информация служителите задължително променят използваните от тях пароли на определен от СКМ период, не по-дълъг от 3 месеца. В случай на отпадане на основанието за достъп до лични данни правата на съответните лица се преустановяват (вкл. и чрез изтриване на акаунта).
(6) Системите, обработващи и/или съхраняващи лични данни, включват система за контрол, регистрираща следните действия в журнал (log) за одит: опити за влизане и ефективно влизане и излизане от системата, действията на потребителите в процеса на всяка работна сесия, смяна на пароли.
Чл. 27. (1) Използваният хардуер за съхранение и обработване на лични данни отговаря на съвременните изисквания и позволява възможности за архивиране и възстановяване на данните и работното състояние на средата.
(2) При необходимост от ремонт на компютърната техника, предоставянето ѝ на сервизната организация се извършва без устройствата, на които се съхраняват лични данни.
Чл. 28. (1) В СКМ се използва единствено софтуер с уредени авторски права. Инсталирането и/или използването на всякакъв друг тип софтуер с неуредени авторски права е забранено. Софтуерът се актуализира от фирмите доставчици регулярно и отговаря на съвременните изисквания за надеждност.
(2) На служебните компютри се използва само софтуер, който е инсталиран от оторизирано от Ръководството на СКМ лице или ИТ фирмата на СКМ. Забранено е самоволното инсталиране на всякакъв друг вид софтуер.
(3) При внедряване на нов програмен продукт за обработване на лични данни се тестват и проверяват възможностите на продукта с оглед спазване изискванията на Регламент 2016/679, Закона за защита на личните данни и осигуряване максималната защита на данните от неправомерен достъп, загубване, повреждане или унищожаване.
Чл. 29. Служителите, на които е възложено да подписват служебна кореспонденция с квалифициран електронен подпис (КЕП), нямат право да предоставят издадения им КЕП на трети лица, респ. да споделят своя PIN с трети лица.
IV. Поддържани регистри с лични данни и тяхното управление
Чл. 30. Поддържаните от СКМ регистри с лични данни са:
- Регистър „Служители и Персонал“, в който се вписват следните видове лични данни:
- Физическа идентичност – имена, ЕГН, номер на лична карта, дата и място на издаване, валидност, адрес, телефон за връзка;
- Социална идентичност – данни относно образование и допълнителна квалификация свързани и изискуеми с заеманата длъжност и професионална биография;
- Семейна идентичност – данни относно семейното положение на лицето във връзка с изпълнение на законовите изисквания;
- Икономическа идентичност – информация за номер на банкова сметка;
- Лични данни относно съдебното минало на лицето – свидетелство за съдимост в зависимост от длъжността;
- Данни за здравословно състояние – медицинско свидетeлство, данни, съдържащи се в болнични листове, представяни от самите служители като субекти на данните, решения на ТЕЛК/НЕЛК и др.п.
- Регистър “Контрагенти и партньори“, в който се вписват следните видове лични данни:
- Физическа идентичност – имена, ЕГН, номер на лична карта, дата и място на издаване, валидност, телефон за връзка на управителя или представляващия Конрагента/Партньора;
- Икономическа идентичност – информация за номер на банкова сметка ако това се изисква (напр. при ЕТ).
- Регистър „Клиенти, с които СКМ е в преддоговорни отношения“, в който се вписват следните видове лични данни:
- Физическа идентичност – имена, адрес, телефон за връзка с управителя или представляващия Клиента;
- Икономическа идентичност – не се изисква.
Чл. 31. За обработване на данните от регистрите по чл. 30, СКМ води Регистър на дейностите по обработка по образец, съгласно Приложение № 6.
V. Права и задължения на лицата, обработващи лични данни
Чл. 32. (1) СКМ няма задължение за определяне на Длъжностно лице по защита на данните. Тази дейност се осъществява от Управителя на СКМ.
(2) Управителя на СКМ в ролята му на длъжностно лице по защита на данните има следните правомощия и задължения:
- осигурява водене на регистрите, съгласно предвидените мерки за гарантиране на адекватна защита;
- следи за спазването на конкретните мерки за защита и контрол на достъпа;
- осъществява връзка с Комисията за защита на личните данни когато това се налага;
- осигурява необходимите технически ресурси за обработка на личните данни;
- утвърждава и при необходимост актуализира настоящите Правила.
Чл. 33. Служителите на СКМ са длъжни:
- да обработват лични данни законосъобразно и добросъвестно и в съответствие с настоящите Правила;
- да използват личните данни, до които имат достъп само за целите, за които се събират и да не ги обработват допълнително по начин несъвместим с тези цели;
- да заличават или коригират личните данни, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
- да поддържат личните данни във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват.
Чл. 34. (1) За неспазването на разпоредбите на настоящите Вътрешни правила служителите носят дисциплинарна отговорност.
(2) Ако в резултат на действията на съответен служител по обработване на лични данни са произтекли вреди за СКМ или за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство.
VІ. Допълнителни разпоредби
Чл. 35. Всички служители на СКМ са длъжни да се запознаят с настоящите Вътрешни правила и да ги спазват ежедневно при изпълняване на заемната от тях длъжност и възложената им работа.
Чл. 36. (1) За всички неуредени в настоящите Вътрешни правила въпроси, са приложими разпоредбите на Общия регламент относно защитата на данните (ЕС) 2016/679, приложимото право на Европейския съюз и законодателството на Република България относно защитата на личните данни,.
(2) Приложение към настоящите Вътрешни правила са образци на следните документи, съставяни при и по повод обработката на лични данни:
– Приложение № 1 – Декларация-съгласие за обработка на лични данни (която се подписва, когато обработването се извършва на друго основание, извън предвидените в чл. 6 от Регламент 2016/679);
– Приложение № 2 – Декларация за поверителност ;
– Приложение № 3 – образец Протокол за задължителен инструктаж за запознаване с правилата за Противопожарна безопасност;
– Приложение № 4 – образец на Протокол за унищожаване на лични данни и носители на лични данни.
– Приложение № 5 – Споразумение/договор за обработка на данни;
– Приложение № 6 – Регистър на дейностите по обработка;
Чл. 37. Настоящите вътрешни правила са приети на 22.05.2018 г.