Бюлетин

Newsletter


Запишете се или потвърдете абонамента си за нашия бюлетин, за да получавате информация за организирани от нас обучения, събития и инициативи, чрез формата ни за контакт.

В съответствие с изискванията на българския Закон за защита на личните данни и Общия регламент на ЕС относно защитата на данните, бихме искали да получим съгласието Ви да обработваме личните Ви данни, за да може да Ви предлагаме обучения и услуги, съобразно Вашите потребности.

Чрез формуляра за контакт Вие можете по всяко време: ​

- да заявите желанието си за получаване на информация от нас и да дадете разрешение за ползване на Ваши лични данни са такава цел,

- да поискате информация за притежавани от нас лични данни и начина им на използване,

- да заявите изтриване и промяна на притежавани от нас лични данни, отнасящи се до Вас. ​

Получените от Вас лични данни вследствие на настоящото запитване ще бъдат запазени в базата ни данни и ще се счита за ясно и недвусмислено заявено от Вас желание за това.

ИЗПРАЩАЙКИ НАСТОЯЩОТО ЗАПИТВАНЕ, ВИЕ АВТОМАТИЧНО ПОТВЪРЖДАВАТЕ, ЧЕ СТЕ ПРОЧЕЛИ И СТЕ СЪГЛАСНИ С УСЛОВИЯТА ЗА ЗАЩИТА НА ЛИЧНИ ДАННИ, описани в Директивата за защита на личните данни на "Сдружение за международен културен мениджмънт Морско синьо".

Директива за защита на личните данни

§ 1 Значение, цел, достъпност ​
(1) Тази директива на "Сдружение за международен културен мениджмънт Морско синьо“, наричано от тук нататък накратко „сдружение“ е задължителна база за законосъобразната и устойчива защита на личните данни.
(2) Целта на тази директива е да бъдат опазени и защитени основни права и свободи на засегнатите, особено тяхното право за защита на личните данни.
(3) Тази директива на сдружението трябва да е достъпна за всички членове на сдружението и засегнати от дейността му лица по всяко време.

§ 2 Обхват на валидност/ Приложно поле ​
(1) Тази директива на сдружението важи лично за всички членове на сдружението, боравещи с лични данни.
(2) Нарежданията и забраните на тази директива важат за всякакви видове обработка на лични данни, назвисимо дали те стават по електронен път или са на хартиен носител. Освен това се отнася до всички засегнати (участници в оргранизираните от нас курсове, семинари, фотосесии, симпатизанти, посетители на събития).

§ 3 Определение на понятията ​
(1) Лични данни означава всякаква информация, която се отнася до идентифицирани или подлежащи на идентифициране лица (засегнати). Например името на лице за контакт може да доведе до изводи за реалното лице, точно както и неговия имейл адрес. Достатъчно е съответната информация да е свързана с името на засегнатия или независимо от това да бъде установена взаимосвързаност. Освен това може да бъде идентифициранa определена личност, когато тази информация може да бъде свързана с някакво допълнително познаване на факти, например регистрационен номер на кола. Снимки, видео и аудиозаписи също могат да представляват лични данни.
(2) Особен вид лични данни са тези данни, от които може да се почерпи информация за расова и етническа принадлежност, политически възгледи, религиозна принадлежност и друг вид светоглед, както и принадлежността към определен синдикат. С подобен характер са също генните и биометричните данни, здравните данни и информации за сексуалния живот или съответно за сексуалната ориентация на определен човек.
(3) За обработка се смята всяко действие, осъществено с или без помощта на автоматичен метод или всяка поредица от действия, свързани с личните данни, като например събирането, синтезирането, организацията, подреждането, запазването, напасването и променянето, разчитането и допитването, използването, разкриването чрез предаване, преработка или друга форма на предоставяне, изравняването и свързването, ограничаването, изтриването и унищожението.
(4) Ограничение на обработката е маркирането на запазените лични данни с цел ограничаване на бъдещето обработване.
(5) Псевдонимизирането представлява обработката на личните данни по такъв начин, при който личните данни без разглеждането на допълнителна информация не могат да бъдат съотнесени към определена личност, тъй като тези допълнителни информации се запазват на отделно място и подлежат на технически организационни действия, които гарантират, че личните данни не могат да бъдат отнесени към вече идентифицирано или подлежащо на идентификация физическо лице
(6) Администратор е физическото или юридическо лице, държавен орган, институция или друго място, което самостоятелно или заедно в други определя целта и средствата за обработката на личните данни.
(7) Обработващ личните данни е физическо или юридическо лице, държавен орган, институция или друго място, което обработва лични данни по поръчка на администратора.
(8) Получател е физическото или юридическо лице, държавен орган, институция или друго място, на което биват разкрити лични данни, независмо от това, дали е трета страна или не.
(9) Трета страна е физическото или юридическо лице, държавен орган, институция или дру орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под пряко ръководство на администратора или обработващия лични данни имат право да обработват личните данни.
(10) Съгласие на засегнатия е всяко заявяване на желяние, което е станало на базата на добра информираност и по недвусмислен начин, под формата на заявление или друго еднозначно дейнствие, с което засегнатия дава да се разбере, че е съгласен с обработката на свързаните с него лични данни.

§ 4 Организация на защита на данните ​
(1) Сдружението назначава длъжностно лице по защита на личните данни. Можете да го откриете на association@sea-blue.org. Длъжностното лице по защита на личните данни консултира и обучава ръководството на предприятието във връзка с задълженията му за защита на личните данни и също така е отговорен за комуникацията с наблюдаващите органи. Определени процеси ще бъдат контролирани на случаен принцип, по методи, ориентирани спрямо риска и на определени подходящи времеви периоди.
(2) Длъжностното лице по защита на личните данни е независимо. То изпълнява своите функции на база експертните си познания в областта на законодателството и практиките в областта на защита на личните данни Длъжностното лице по защита на данните осведомява непосредствено ръководството на предприятието.
(3) Останалите членове на сдружението трябва да подкрепят длъжностнот лице по защита на личните данни при изпълнението на неговите задължения. ​

§ 5 Обработка на лични данни ​
(1) Обработката на лични данни е принципно забранено освен ако определена законова норма не разреши експлицитно боравенето с лични данни. Според ОРЗЛД личните данни трябва да бъдат обработвани при следните обстоятелства: - при съществуващ договор със засегнатото лице, - в рамките на преддоговорни мерки по запитване на засегнатото лице и при разработване на договор със засегнатото лице. - в случай, когато засегнатото лице е разрешило.
(2) Личните данни трябва да се обработват с цел, която е предварително определена, еднозначна и легитимна. Поддържането на база данни без конкретна цел, като например запазването с цел използването при евентуална бъдеща необходимост е недопустимо.
(3) В случай, че е възможно, е добре въобще да не се състои обработката на лични данни. Псевдонимизираното и анонимното обработване на данни е за предпочитане.
(4) Промяната на предварително определените на цел и причина за използването на личните данни, е допустимо извън изразеното съгласие на засегнатото лице само тогава, когато целта на последващото обработване на данните е съгласувано с първоначалната цел. В този случай трябва да бъдат взети под внимание разумните очаквания на засегнатото лице спрямо подобно последващо обработване на личните данни, вида на използваните данни, последствията за засегнатото лице, както и възможностите за криптиране и псевдонимизиране.
(5) Засегнатото лице трябва да бъде информирано обширно при взимането на неговите лични данни за обхвата на неговите данни. Информацията трябва да съдържа целта, информация за това, за какво ще бъде ползвана информацията, идентификацията на отговорното място, получателя на личните данни, както и всички други необходими информации според чл. 13 от ОРЗЛД. Информацията трябва да бъде описана на разбираем език и в достъпна форма.
(6) Ако личните данни не се вземат от засегнатото лице, а например се набавят от определено предприятие, то засегнатото лице трябва да бъде информирано допълнително и обширно според чл. 14 ОРЗЛД за боравенето с личните му данни. Това важи и за промяна на целта и причина за ползване на личните данни.
(7) Личните данни трябва да са верни и по възможност - актуални. Обхвата на събираните и обработвани личните данни трябва да е съобразено и необходимо от гледна точка на целта на използването. За прилагането на това изискване следва да се установят определени процеси. Наличните данни трябва да се проверяват регулярно за изрядност, необходимост и актуалност.

§ 6 Особени категории лични данни ​
Особените категории лични данни могатпо правило да се събират, обработват и използват със съгласието на засегнатото лице или по изключение при изрично законово основание. Освен това трябва да се предприемат допълнителни технически и организационни мерки (например заключване при транспорт, даване на минимални права), за да се организира добра защита за тези особени лични данни. ​

§ 7 Препредаване на лични данни ​
(1) Предаването на лични данни на трета страна може да се случи само на законово основание или със съгласието на засегнатата личност. ​

§ 8 Външни доставчици на услуги ​
(1) В случай, че външни доставчици получат достъп до лични данни, длъжностното лице по защита на личните данни трябва да бъде информирано предварително. ​

§ 9 Минимизиране на данните, Privacy by Desgin/Privacy by Default ​
(1) Обработката на личните данни трябва да се стреми към това да се събират, обработват и използват колкото се може по-малко лични данни, отнасящи се до едно определено лице („Минимизиране на данните“). Особено личните данни трябва да се анализират и псевдонимизират, доколкото това е възможно с оглед на целта на използване. Например в рамките на статистически анализ на определени данни няма да е необходимо да се знае и да се използва пълното име на засегнатото лице. Вместо това съответната информация може да бъде заменена с някаква случайна стойност, която може също да гарантира различаването на разполагаемата информация.
(2) На подобен принцип трябва да се избира и оформя също така системата за обработка на данни. Защитата на личните данни от самото начало трябва да се интегрира в спецификите и архитектурата на системата за обработка на данни. Така ще може да се улесни спазването на принципите за защита на личното пространство и защитата на данните, акто в случая от особено значение е принципа за минимизиране на данните.

§ 10 Права на засегнатите ​
(1) Засегнатите лица имат право на информация за запазените от сдружението свързани с тях лични данни.
(2) При обработката на искания трябва да се установи недвузначно идентичността на засегнатото лице. При обосновани съмнения в идентичността могат да се изискат допълнителни данни от заявяващия искане.
(3) Споделянето на информация става по писмен път, освен ако засегнатото лице не е подавал искането за информация по електронен път. Даването на информация става чрез прикачване на копие с данните на засегнатото лице, които включват, освен данните за самото лице, данни и за получателя и за целта на използването на информацията, както и други изисквания от закона информация според Art. 15 DS-GVO. Така засегнатото ще може да придобие ясна представа за обработката на личните му данни и ще може да прецени доколко това се случва в съгласие със закона. При желание на засегнатото лице данните трябва да могат да бъдат предоставени в структуриран, общоприет, пригоден за машинно четене формат. Отговорният за това IT- отдел определя предвидения за това формат.
(4) Засегнатите лица имат право да поискат коригиране на личните си данни, когато тези се окажат неправилни. Освен това могат да поискат попълването на непълни лични данни.
(5) Засегнатите лица имат правото на изтриване на техните лични данни при следните обстоятелства: личните данни повече не са необходими за целите, за които са били събрани или обработвани, засегнато лице оттегля своето съгласие и липсва друго правно основание за обработването им, личните данни са били обработвани незаконосъобразно става въпрос за лични данни с особен характер, чиято правилност не може да бъде доказана, или е налице друго правно задължения за изтриване на данните. В случай, че съществува задължение за изтриване на данните, а преди това те са били направени обществено достояние, то другите отговорни за обработката на данните трябва да бъдат информирани за желанието на засегнатото лице за изтриване на данните му. Това засяга всички копия от неговите данни, както и всички линкове, в които те се намират.
(6) Засегнатото лице може да изиска ограничаване на обработване на личните му данни, случай че: - точността на личните данни е спорна, но само за срок, който позволява на съответния отдел на администратора да провери точността на данните, - обработката на данните е неправомерна, но засегнатото лице не желае личните му данни да бъдат изтрити, а изисква вместо това ограничаване на използването им, или - администраторът не се нуждае повече от личните данни за целите на обработването, но засегнатото лице ги изисква за установяването, упражняването или защитата на правни претенции или - когато засегнатото лице възрази срещу обработката поради извънредна ситуация и съответния отдел все още е зает с проверката на възражението.
(7) Засегнатото лице трябва най-късно в рамките на един месец да бъде информирано за предприетите мерки, които са последвали в следствие на неговото искане.
(8) Длъжностното лице по защита на данните е на разположение за консултиране относно зачитането на правата на застегнатото лице.

§ 11 Искане на информация от трета страна чрез засегнатото лице ​
Ако трета страна изисква информация за засегнатото лице, например членове на партньорска организация, предаването на информация е допустимо само в следните случаи: - страната, предоставяща информация,може да докаже правомерен интерес за това, или - определено законова норма задължава да бъде извършено това действие, - идентичността на изискващия информация е недвусмислено изяснена. ​

§ 12 Списък на обработващите дейности ​
(1) Сдружението трябва да води списък с всички видове обработка на информация. Всеки отдел трябва да определи отговорно лице, което да документира всички необходими информации за действията на съответния отдел според законовите уредби, описани в чл. 30 ОРЗЛД Длъжностното лице по защита на личните данни може да бъде включено като консултант по отношение на законово изисканите информации. (2) Сдружението представя списъка при запитване от страна на надзорните органи. Отговорен за това в случая е длъжностното лице по защита на лични данни при получено съгласие от ръководството на предприятието. ​

§ 13 Обучение ​
Членове, които имат постоянен достъп до лични данни, събират такива данни или развиват системи за обработката на такива данни, трябва да бъдат обучени по подходящ начин за спазване на изискванията за защита на личните данни. Длъжностното лице по защита на личните данни решава под каква форма и по каква програма ще се провеждат обученията. ​

§ 14 Пазене в тайна на личните данни Поверителност на личните данни ​
(1) На членовете на сдружението е забранено да събират, обработват и използват неправомерно лични данни. Преди да приемат своята длъжност, те трябва да се задължат да обработват конфиденциално личните данни. Задължаването става чрез ръководството на предприятието и с използването на предвидения за това формуляр.
(2) Членове на сдружението със задължение на запазване на тайната (например тайната на далекосъобщенията според § 88 TKG) трябва да бъдат задължавани затова допълнително по писмен път от ръководството на фирмата.

§ 15 Оплаквания ​
(1) Всяко засегнато лице има право да се оплаче от обработването на неговите лични данни, ако счита, че по някакъв начин сазасегнати правата му. Освен това заетите лица могат да предяват иск за нарушаване на директивата на сдружението по всяко време.
(2) Оплакването по ал. 1 се подава преддлъжностното лице по защита на личните данни, който представлява външна независима и неподлежаща на наблюдение инстанция. ​

§ 16 Наличност, Конфиденциалност и цялост на данните ​
(1) В зависимост от вида, обхвата, обстоятелствата и целта на обработката, както от вероятността от настъпване на рисково събитие за всеки процес следва да се изработи документирано заключение относно необходимостта от мерки за сигурност с оглед анализ на риска за засегнатото лице.
(2) Лични данни, събрани са с различна цел, трябва да се съхраняват и обработва поотделно. Разделянето на данните трябва да се подсигури чрез подходящи технически и организационни мерки. ​

§ 17 Преценяване на последствията от защитата на личните данни/ ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ЗАЩИТАТА НА ДАННИТЕ ​
(1) Всеки член, боравещ с лични данни следва да проведе преценка на последствията от защитата на личните данни за процеси, които са в рамките на неговия обхват на отговорност случай, че се очаква засилен риск за правата и свободите на засегнатите лица поради обработката на данните. Преценката на последствията от защитата на личните данни съдържа всички законово изисквания описание в чл. 35 ал. 7 ОРЗЛД. (2) Длъжностното лице по защита на лични данни консултира всички боравещи с лични данни при провеждането на преценката на последствията от защитата на личните данни, както и във връзка с въпроса, кога обработките водят до засилен риск за засегнатите лица. ​

§ 18 Нарушаване на защитата на данните („Пробив при данните“) ​
(1) В случай, че данни биват предоставени неправомерно на трета страна, длъжностното лице трябва да бъде информиран незабавно.
(2) Съобщението трябва да включва всички относими към събитието и необходими за установяване на фактие информации, особено получателя на данните, засегнатите лица, както и вида и обхвата на прехвърлените данни.
(3) Евентуално възникналото задължение за информиране на надзорния орган се осъществява само от длъжностното лице по защита на личните данни. Засегнатите лица биват информирани чрез ръководството на сдружението, в този процес длъжностното лице по защита на личните данни бива в включено като консултант. ​

§ 19 Последствия от нарушаването ​
Нарушаването на директивата в следствие на небрежност или целенасочени действия може да доведе след себе си забрава за изпълнение на определени функиции в сдружението или изключване от него. Освен това има е възможно налагането на наказателни санкции и възникването на гражданскоправна отговорност,като например възстановяване на щети. ​

§ 20 Гаранция за отчетност ​
(1) Спазването на насоките на тази директива трябва по всяко време да бъде доказана. В този случай трябва да се внимава особено за прозрачността и възпроизведимостта на предприетите мерки, така например при свързаната документация.

§ 21 Актуализация на директивата; Възпроизведимост.
(1) В рамките на бъдещото развитие на правото за защита на личните данни, както във връзка с технологични и организационни промени, тази директива ще бъде проверявана редовно с цел напасване и допълване.
(2) Промените в тази директива са действителни дори, когато не е спазена форма. Заетите лица и наетите на отговорни длъжности трябва непосредствено и по подходящ начин да бъдат информирани за променените изисквания.