Утвърдил:
Борислава Ролева
Управител на „ЕМ ЕС – СЕРТ България“ ООД
Утвърдил:
Веселин Панайотов
Ръководител на ОССУ към „ЕМ ЕС – СЕРТ България“ ООД
В сила от 25.05.2023 г.
ПОЛИТИКА
ЗА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
НА „ЕМ ЕС – СЕРТ България“ ООД
Настоящата Политика е разработена с цел осигуряване защита и сигурност на личните данни, обработвани от „ЕМ ЕС – СЕРТ България“ ООД, включително и от Органа за сертификация на системи за управление към „ЕМ ЕС – СЕРТ България“ ООД (ОССУ), чрез собствения и оценяващия му персонал, както и с цел да бъдат информирани субектите на данни относно предприетите мерки по защита на личните им данни в изпълнение на изискванията и в съответствие с Общия регламент за защита на данните /Регламент (ЕС) № 2016/679/, Закона за защита на личните данни и вътрешните правила за обработване на лични данни на „ЕМ ЕС – СЕРТ България“ ООД и ОССУ към „ЕМ ЕС – СЕРТ България“ ООД.
„ЕМ ЕС – СЕРТ България“ ООД е юридическо лице, с ЕИК 201167755 и с адрес на управление: гр. София, ул. Димитър Петков № 64, вх. В, ет. 3, ап. 8, представлявано от Управител, тел.: 02 / 483 9714 , e-mail: office@mscert-bg.com
ОССУ към „ЕМ ЕС – СЕРТ България“ ООД (ОССУ) е в структурата на „ЕМ ЕС – СЕРТ България“ ООД и е акредитиран от Изпълнителна агенция „Българска служба за акредитация“ (ИА БСА), рег.№ 3 ОСС от 30.06.2016 г., представлявано от Ръководител на ОССУ.
Политиката включва следната информация:
- Лични данни, обработвани от „ЕМ ЕС – СЕРТ България“ ООД и ОССУ.
- Принципи и мерки за защита на личните данни.
- Цели за обработване на лични данни от „ЕМ ЕС – СЕРТ България“ ООД и ОССУ.
- Основание за обработване на личните данни от „ЕМ ЕС – СЕРТ България“ ООД и ОССУ.
- Права на субектите на данни, при обработване на данни от „ЕМ ЕС – СЕРТ България“ ООД и ОССУ.
- Съхранение на личните данни.
- Инвентаризация.
- Предоставяне на лични данни.
- Обучение.
- Длъжностно лице по защита на личните данни.
Използвани термини и дефиниции.
Лични данни е всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, икономическата, културната или социална идентичност на това лице.
Обработване на лични данни е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
Регистър на лични данни е всеки структуриран набор от лични данни, достъпът до който се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.
Специални категории лични данни – лични данни, разкриващи етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации и обработването на генетични данни, биометричните данни за уникално идентифициране на физическо лице, данни отнасящи се до здравето или данни относно сексуалния живот на физическо лице или сексуална ориентация.
Администратор e всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, Администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.
Обработващ лични данни е физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на Администратора.
Субект на данните e всяко живо физическо лице, което е предмет на личните данни съхранявани от Администратора.
Съгласие на субекта на данните e всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.
Нарушение на сигурността на лични данни – нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
Получател – физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването.
Трета страна e всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, Администратора, обработващия лични данни и лицата, които под прякото ръководство на Администратора или на обработващия лични данни имат право да обработват личните данни.
-
Лични данни, обработвани от „ЕМ ЕС – СЕРТ България“ ООД и ОССУ.
„ЕМ ЕС – СЕРТ България“ ООД и ОССУ обработва лични данни, предоставени от физически лица (субекти на данни), за които се отнасят данните, с цел подготовка и сключване на договори.
„ЕМ ЕС – СЕРТ България“ ООД и ОССУ обработва лични данни, предоставени от лица – клиенти на ОССУ, които сертифицира, във връзка с идентификацията на съответното юридическо лице, както и неговия временен и постоянен персонал.
„ЕМ ЕС – СЕРТ България“ ООД и ОССУ обработва лични данни, предоставени му от собствения и външния оценяващ персонал на ОССУ, членовете на Комисията на заинтересованите страни за гарантиране на безпристрастност, Комисията по възражения и жалби, както и на кандидати за работа като собствен, външен оценяващ персонал или членове на Комисията на заинтересованите страни за гарантиране на безпристрастност и Комисията по възражения и жалби.
„ЕМ ЕС – СЕРТ България“ ООД обработва лични данни, предоставени му от служителите му по трудови, граждански или други договори и провоотношения, както и на кандидатите за работа на такива позиции.
„ЕМ ЕС – СЕРТ БЪЛГАРИЯ“ ООД и ОССУ обработват лични данни, които не са предоставени от субекта на данни, за който се отнасят, а са предоставени от трето (юридическо) лице във връзка с конкретна услуга – съответното лице заявило сертификация и/или надзорни одити за оценяване на съответствието при съответното дружество, в изпълнение на изискванията на конкретни процедури за сертификация от обхвата на ОССУ. Третото лице, предоставило данните, се задължава да представи на субекта на данни, съгласно чл. 14, параграф 1, подточка. а) от Регламент (ЕС) № 2016/679:, информация относно:
- администратора на данни – „ЕМ ЕС – СЕРТ България“ ООД и ОССУ, и координати за връзка както с Управителят, представляващ дружеството, така и с Ръководителят на ОССУ и длъжностното лице по защита на личните данни;
- целите, за които се обработват личните данни;
- съответните категории лични данни;
- получателите или категориите получатели, ако има такива;
- сроковете за съхранение на личните данни;
- източника на личните данни;
- и да информира субекта на данни относно:
- правото на субекта на данни да поиска личните му данни да бъдат коригирани без ненужно забавяне от администратора;
- правото на субекта на данни на достъп до личните данни;
- правото на субекта на данни на преносимост, в случай че е приложимо;
- правото на субекта на данни „да бъде забравен“ без ненужно забавяне;
- правото на субекта на данни да подаде жалба до компетентен надзорен орган;
- правото на субекта на данни на възражение.
Примери относно категориите данни, които не са получени от субекта на данни, и се обработват от „ЕМ ЕС – СЕРТ България“ ООД и ОССУ са:
- Физическа идентичност – име, ЕГН, данни от документ за самоличност, телефон, статут, адрес, месторабота на членовете на персонала на организациите при извършване на дейности от сертификация и др.
Информация за лични данни за ръководители и персонал на клиенти на ОССУ постъпва в „ЕМ ЕС – СЕРТ България“ ООД и ОССУ с попълнени документи, като:
- Ф 6.2 „Профил на клиента“;
- Ф 6.10 „Протокол от одит“;
- Ф 6.16 „Списък на участниците в одита“;
- Ф 6.20 „Основни данни“.
Категории лични данни, които „ЕМ ЕС – СЕРТ БЪЛГАРИЯ“ ООД и ОССУ обработват за осъществяване на своята дейност:
- Свързани с физическата идентичност на физическите лица – име, ЕГН, паспортни данни, адрес, телефон, е-mail, и др.;
- Свързани със социалната идентичност – образование, квалификации, трудова дейност, умения и др.;
- Други лични данни, които може да бъдат предоставени за получаването на услуги свързани със законовата и подзаконова нормативна рамка на международното, общностно и национално законодателство, процедурите на ОССУ, както и услуги по сертификация.
Обработваните лични данни са структурирани в следните регистри:
- Регистър „Собствен персонал“;
- Регистър „Външен оценяващ персонал“;
- Регистър „Досиета на клиенти“;
- Регистър „Комитет за безпристрастност, Комисия по жалби и възражения“;
- Регистър на дейностите по обработване;
- Счетоводни регистри и база данни.
-
Принципи и мерки за защита на личните данни.
При обработването на лични данни „ЕМ ЕС – СЕРТ България“ ООД и ОССУ се ръководи от следните принципи:
- Законосъобразност, добросъвестност и прозрачност – личните данни се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните.
- Ограничение на целите – личните данни се събират за конкретни, изрично указани и легитимни цели.
- Свеждане на данните до минимум – личните данни да са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват.
- Точност – личните данни да са точни и при необходимост да бъдат поддържани в актуален вид.
- Ограничение на съхранението – личните данни се обработват за период с минимална продължителност съгласно целите.
- Цялост и поверителност – личните данни се обработват по начин, гарантиращ подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.
Лични данни се съхраняват за период, необходим съгласно целите, за които те са събрани или за срок, установен в нормативен акт.
„ЕМ ЕС – СЕРТ България“ ООД и ОССУ използват административни и технически мерки за защита на личните данни, които обработват чрез своите служители или предоставят за обработване на трети лица – обработващи на лични данни. Тези мерки се изразяват в следното:
– Всички служители на „ЕМ ЕС – СЕРТ България“ ООД и ОССУ са отговорни за гарантирането на сигурността при съхранението на данните, които обработват, както и за това, че данните се съхраняват сигурно и не се разкриват при каквито и да било обстоятелства на трети лица, освен ако „ЕМ ЕС – СЕРТ България“ ООД не е предоставил такива права на тези трети лица въз основата на писмен договор или клауза за поверителност;
- Всички лични данни са достъпни само за тези служители/обработващи лични данни, в чиито задължения е включено обработването на конкретните данни, а достъпът се осъществява само в съответствие с Процедура за обработване на лични данни, съдържаща правила за контрол на достъпа.
- С цел осигуряване на достатъчна защита на обработваните лични данни, „ЕМ ЕС – СЕРТ България“ ООД и ОССУ използват и допълнителни технически мерки;
- „ЕМ ЕС – СЕРТ България“ ООД и ОССУ взема мерки, гарантиращи защитата на личната информация срещу случайно унищожаване или загуба;
- „ЕМ ЕС – СЕРТ България“ ООД и ОССУ предприема действия за възстановяване на наличността на лични данни след физически или технически инцидент. С оглед изпълнение на тези задължения, „ЕМ ЕС – СЕРТ България“ ООД и ОССУ осигурява необходимите технически средства (сървъри, компютърна мрежа и др.), за които се предприемат необходимите защитни мерки.
Административни и организационни мерки за защита на личните данни
„ЕМ ЕС – СЕРТ България“ ООД и ОССУ приема вътрешни правила, определящи мерките и реда за физически достъп и защита на личните данни, които са задължителни за всички служители, които извършват обработване на лични данни.
„ЕМ ЕС – СЕРТ България“ ООД определя защитени зони за съхраняване на физическите носители на лични данни, достъпът до които се определя съгласно процедура за обработване на личните данни.
„ЕМ ЕС – СЕРТ България“ ООД въвежда следните мерки за ограничаване на достъпа до физическите носители на данни – монтирани заключващи механизми с високо ниво на защита в офиса, включително заключване на шкафовете, в които се намират хартиените носители на създадените регистри.
„ЕМ ЕС – СЕРТ България“ ООД въвежда политика на „чистото бюро“, с която всички служители, които обработват лични данни се запознават и прилагат. Записите върху хартиен носител не трябва да се оставят там, където могат да бъдат достъпни за неоторизирани лица и не могат да бъдат изваждани от определените защитени помещения без изрично разрешение. Веднага щом хартиените документи вече не са необходими за текущата работа по обработване на лични данни, те следва да бъдат архивирани по съответния ред, а ако липсва основание за тяхното архивиране, следва да бъдат унищожени в съответствие със създадена за това процедура.
Личните данни могат да бъдат изтривани или унищожавани само в съответствие с приетите правила. Записите на хартиен носител, чийто срок за обработване е изтекъл, следва да бъдат нарязани (шредирани) и унищожени като „поверителни отпадъци“. Данните върху твърдите дискове на неизползвани персонални компютри трябва да бъдат изтрити или дисковете унищожени, съгласно въведените процедури.
Обработването на лични данни извън офиса на „ЕМ ЕС – СЕРТ България“ ООД се осъществява съгласно съответните процедурни правила и е допустимо с изрично писмено съгласие на Управителя или на Ръководителя на ОССУ.
-
Цел на обработване на личните данни.
„ЕМ ЕС – СЕРТ България“ ООД и ОССУ обработват лични данни за следните цели:
- идентифициране на физически лица, настоящи и бъдещи служители на „ЕМ ЕС – СЕРТ БЪЛГАРИЯ“ ООД и ОССУ, (обработването на данни е най-често вследствие на изпълнение на нормативно установени задължения на „ЕМ ЕС – СЕРТ България“ ООД, произтичащи от спецификата на изискванията на законодателството, регламентиращо дейността му, финансово-счетоводната дейност, пенсионна, здравна и социално-осигурителна дейност, дейността по управление на човешките ресурси, автоматичния обмен на информация в областта на данъчното облагане и други);
- идентифициране на контрагенти – лични данни на лица преди договор за услуга и настоящи клиенти (включително когато е дадено изрично съгласие или обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по искане на лицето);
- идентифициране на лица от представителния орган на юридическите лица;
- при извършване на проверка и предоставяне на отговор по отправено до „ЕМ ЕС – СЕРТ БЪЛГАРИЯ“ ООД и ОССУ запитване, сигнал или жалба;
- при изпълнение на нормативно установени задължения на „ЕМ ЕС – СЕРТ България“ ООД;
- при оценка на удовлетвореността от предоставените от „ЕМ ЕС – СЕРТ България“ ООД и ОССУ услуги, данни обработвани при попълване на Анкетни карти от сертифицираните организации.
-
Основание за обработване на лични данни от „ЕМ ЕС – СЕРТ България“ ООД и ОССУ.
„ЕМ ЕС – СЕРТ България“ ООД и ОССУ обработват лични данни законосъобразно, въз основа на определените правомощия със Закона за националната акредитация на органи за оценка на съответствието и в изпълнение на предвидените в чл. 6 от Регламент (ЕС) № 2016/679 основания:
- при наличие на свободно, информирано и изрично съгласие на субекта на данни за обработване на личните му данни за една или повече конкретни цели;
- при сключване или изпълнение на договор, по който субектът на данни е страна или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
- в изпълнение на нормативно установени задължения;
- за защита на жизненоважни интереси на физическото лице или легитимният интерес на „ЕМ ЕС – СЕРТ България“ ООД и ОССУ, при положение, че той не противоречи на законните интереси на физическото лице;
- при изпълнение на задачи от обществен интерес.
-
Права на субекта на данни, при обработване на данни от „ЕМ ЕС – СЕРТ България“ ООД и ОССУ.
Лицата, чиито данни се обработват от „ЕМ ЕС – СЕРТ България“ ООД и ОССУ, имат следните права:
- право да се изиска от „ЕМ ЕС – СЕРТ България“ ООД и ОССУ достъп до обработваните лични данни;
- право на коригиране или изтриване на лични данни или ограничаване на обработването на лични данни от „ЕМ ЕС – СЕРТ България“ ООД и ОССУ;
- право на оттегляне на даденото от субекта на данни съгласие по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;
- право да се изиска от „ЕМ ЕС – СЕРТ България“ ООД и ОССУ да ограничи съхранението на обработваните лични данни;
- право на възражение;
- право на жалба до надзорен орган;
- право на представителство.
Всеки субект на данни има право да изрази съгласие за обработване на личните му данни от Администратора.
Субектите на данни упражняват правата си, като подават писмено заявление до „ЕМ ЕС – СЕРТ България“ ООД и ОССУ, адресирано до Управителя на „ЕМ ЕС – СЕРТ България“ ООД и Ръководител на ОССУ, съдържащо минимум следната информация:
- име, адрес и други данни за идентифициране на субекта на данни;
- описание на искането;
- предпочитана форма на предоставяне на информацията;
- подпис, дата на подаване на заявлението и адрес за кореспонденция.
Информацията може да бъде предоставена под формата на:
- устна справка;
- писмена справка;
- преглед на данните от самото лице;
- предоставяне на исканата информация на технически и/или електронен носител.
„ЕМ ЕС – СЕРТ България“ ООД и ОССУ следва да отговорят на всяко отправено до тях заявление от субект на данни без излишно забавяне в срок до 30 дни от постъпване на заявлението.
-
Съхранение на личните данни.
Лични данни се съхраняват за период, необходим съгласно целите, за които те са събрани или за срок, установен в нормативен акт.
„ЕМ ЕС – СЕРТ България“ ООД и ОССУ не съхраняват лични данни във вид, който позволява идентифицирането на субектите за период, по-дълъг от необходимия за осъществяване на обработването, или за което е дадено съгласието на субекта на лични данни и с оглед на целите, за които са били събрани. Съхраняване на лични данни за по-дълъг период е допустимо и без изричното съгласие на субекта на данни, ако е предвидено в нормативен акт на вътрешното законодателство или на правото на Европейския съюз и приложимата нормативна рамка.
„ЕМ ЕС – СЕРТ България“ ООД и ОССУ може да съхранява данни за по-дълъг период от необходимия за извършване на обработването, за което е дадено съгласие и в случаите, когато личните данни ще бъдат обработвани за целите на архивиране в обществен интерес, научни или исторически изследвания и за статистически цели, и само при изпълнението на подходящи технически и организационни мерки за гарантиране на правата и свободите на субекта на данните.
Периодът за съхраняване на всяка категория лични данни, обособена в отделен регистър, се определя в приета процедура (Процедура за съхраняване и унищожаване на лични данни). В тази процедура са посочени критериите, използвани за определяне на периода на съхранение.
Личните данни ще бъдат унищожени съгласно принципа за гарантиране на подходящо ниво на сигурност. Спазването на процедурата е задължително с оглед гарантиране защитата срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане на данните, като се прилагат подходящи технически или организационни мерки.
-
Инвентаризация
„ЕМ ЕС – СЕРТ България“ ООД и ОССУ създават процес на инвентаризация на данните като част от своя подход за справяне с възможните рискове при обработване на събираните лични данни. При инвентаризацията на данните и при тяхното обработване се извършва оценка на въздействието на риска на личните данни от Администратора чрез методи за извършване на оценка на въздействието върху защитата на лични данни, като определянето на рисковете се прилага и по отношение на обработването, предприето от други организации от името на „ЕМ ЕС – СЕРТ България“ ООД. „ЕМ ЕС – СЕРТ БЪЛГАРИЯ“ ООД и ОССУ управлява всички рискове, идентифицирани в оценката на въздействието, с цел да се намали вероятността от несъответствие с правилата, въведени със ЗЗЛД. Когато вид обработване може да доведе до висок риск за правата и свободите на физическите лица, по-специално с използване на нови технологии и като се вземат предвид естеството, обхвата, контекста и целите на обработването, преди да се пристъпи към обработване, се извършва оценка на въздействието на предвидените операции по обработване върху защитата на личните данни. Една обща оценка на въздействието може да разглежда набор от подобни операции по обработване, които представляват подобни високи рискове.
Когато в резултат на Оценката на въздействието е ясно, че ще се обработват лични данни, които поради висок риск биха могли да причинят вреди на субектите на данни, решението дали обработването да продължи или не, при необходимост се предава за преглед от страна на Управителя на „ЕМ ЕС – СЕРТ България“ ООД и Ръководител на ОССУ.
В случай, че Управителят на „ЕМ ЕС – СЕРТ България“ ООД и Ръководител на ОССУ имат сериозни опасения или относно потенциалната вреда или опасност, или относно количеството на съответните данни, при необходимост изготвят доклад до надзорния орган /КЗЛД/.
Управителят на „ЕМ ЕС – СЕРТ България“ ООД и Ръководител на ОССУ правят периодичен преглед на първоначално инвентаризираните данни, преразглеждат вписаната информация в „Регистъра на дейностите по обработване (чл. 30 от GDPR)“ с оглед всякакви промени в дейностите на Администратора.
-
Предоставяне на лични данни на трети лица
„ЕМ ЕС – СЕРТ България“ ООД има право да разкрие обработваните лични данни само на следните изчерпателно изброени категории лица:
– физически лица, за които се отнасят данните;
– лица, за които правото на достъп е предвидено в нормативен акт или
– лица, за които правото произтича по силата на договор.
С цел предоставяне на услуги, „ЕМ ЕС – СЕРТ България“ ООД предоставя информация /необходими лични данни/ за изпълнението на поето договорно задължение към субекта на лични данни. „ЕМ ЕС – СЕРТ България“ ООД предоставя лични данни на трети страни въз основа на писмен договор. Тези трети страни нямат право да използват или разкриват данните извън целите, за които са им предоставени, освен когато това е необходимо за извършване на услуги от името на „ЕМ ЕС – СЕРТ България“ ООД или за съобразяване със законови изисквания. Целите за обработване на предоставените лични данни са изрично определени в писмения договор, въз основа на който данните са предоставени на третото лице. Третите лица (обработващи на лични данни) са задължени да осигурят необходимите технически и организационни мерки за защита на личните данни, предоставяни от „ЕМ ЕС – СЕРТ България“ ООД или по-големи.
„ЕМ ЕС – СЕРТ България“ ООД споделя получените лични данни с негови подизпълнители и съвместни партньори въз основа на изричен писмен договор. Тези лица могат да използват информацията за целите, описани в настоящата Политика за защита на личните данни. При предоставено изрично съгласие от субекта на лични данни, последните могат да бъдат споделени с трети страни въз основа на писмен договор.
„ЕМ ЕС – СЕРТ България“ ООД споделя лични данни с компетентни органи/ лица с оглед организиране защитата на законните си права и интереси при иницииране на заповедни, арбитражни, охранителни, искови и други производства.
„ЕМ ЕС – СЕРТ България“ ООД разкрива лични данни за субекти, чиито лични данни обработва, когато е задължен за това по закон, подзаконов нормативен акт, международен договор или акт на правото на Европейския съюз, или във връзка със съдебна процедура, в отговор на искане от държавни органи, (например правоприлагащи или разследващи органи), или при съмнение за сериозно и незаконосъобразно засягане законните права и интереси на субектите на правото.
-
Обучение
Като има предвид уредбата на защитата на личните данни на физически лица и засилените мерки за защита на личните данни, въведени с ОРЗД/ ЗЗЛД, „ЕМ ЕС – СЕРТ България“ ООД и ОССУ отчитат необходимостта от провеждане на първоначален и последващ инструктаж на своя персонал, в задълженията на който е включено обработването на лични данни на физически лица от името на „ЕМ ЕС – СЕРТ България“ ООД. Първоначалния и последващ инструктаж имат за цел да информират служителите относно установените правила и процедури за спазването на настоящата Политика и приложимата нормативна уредба в сферата на защита на личните данни, както и други въпроси, свързани със защитата на личните данни и неприкосновеността на личния живот. Чрез инструктажите на собствения и оценяващ персонал се цели постигане на тяхната осведоменост относно вече наличните или нововъзникнали изисквания относно защитата на личните данни, както и предприетите от „ЕМ ЕС – СЕРТ България“ ООД мерки в съответствие с тях.
-
Длъжностно лице по защита на личните данни.
Функциите на длъжностно лице по защита на данните, което да контролира спазването на изискванията на законодателството по защита на личните данни в „ЕМ ЕС – СЕРТ България“ ООД и ОССУ, се осъществяват от Управителя на „ЕМ ЕС – СЕРТ България“ ООД и Ръководителя на ОССУ. Можете да се свържете с тях, както следва: тел. +359 2 483 9714; e-mail: office@mscert-bg.com .
Управителят на „ЕМ ЕС – СЕРТ България“ ООД и Ръководителят на ОССУ следят за правилното разпределение на отговорностите на служителите във връзка със защитата на данните съобразно вътрешните правила и процедури за обработване на личните данни.
Управителят на „ЕМ ЕС – СЕРТ България“ ООД и Ръководителят на ОССУ следва да гарантират, че всички служители, които имат текущи задължения, свързани с лични данни и операции по обработване, както и тези с постоянен/редовен достъп до лични данни, показват съответствие с изискванията за защита на личните данни.
Служителите трябва да могат да докажат компетентност в разбирането си относно изискванията за съответствие с нормативните изисквания, и как те се прилагат в организацията на „ЕМ ЕС – СЕРТ България“ ООД.
Управителят на „ЕМ ЕС – СЕРТ България“ ООД и Ръководителят на ОССУ следва са осигурят тези служители да актуализират своите познания и да бъдат информирани за личните данни съгласно кръга на техните професионални задължения като осигурява актуална информация при промяна в нормативната уредба на защитата на личните данни или при промяна в предмета на дейност на „ЕМ ЕС – СЕРТ България“ ООД, както и при въвеждане на нови вътрешни процедури/ мерки за защита на личните данни.
Управителят на „ЕМ ЕС – СЕРТ България“ ООД и Ръководителят на ОССУ организират запознаване с информация на вътрешния и външния персонал относно значението на защитата на данните в изпълнението на преките им задължения, и в съответствие с ролята им в организацията.
Управителят на „ЕМ ЕС – СЕРТ България“ ООД и Ръководителят на ОССУ разработват програми за обучение и информиране както за целият личен състав, така и за всяка конкретна роля в организацията, която има отношение към обработването на лични данни.
Управителят на „ЕМ ЕС – СЕРТ България“ ООД и Ръководителят на ОССУ създават система за периодична проверка на осведомеността, както и за актуализиране на знанията на служителите във връзка с настъпили промени в изискванията по защита на данните.