Политика за поверителност

ИНСТРУКЦИЯ
за мерките за защита на личните данни
на „Ай Пи Груп 21“ ООД

I. ОБЩИ ПОЛОЖЕНИЯ
    Чл. 1. Настоящата Инструкция се издава на основание чл. 23, ал. 4 от Закона за защита на личните данни ("ЗЗЛД") и чл. 19, т. 2 от Наредба № 1 от 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.
Чл. 2. „Ай Пи Груп 21“ ООД, ЕИК 131306537 със седалище и адрес на управление: гр. София 1504, район Оборище, ул. Тракия № 35, офис 2 (“Дружеството“), е регистрирано като адиминистратор на лични данни по смисъла на чл. 3, ал. 1 от ЗЗЛД и е вписано в регистъра на администраторите на лични данни и на водените от тях регистри на личните данни по чл. 10, ал. 1, т. 2 от ЗЗЛД с идентификационен № 427252.
Чл. 3. (1) Настоящата Инструкция урежда реда за събирането, съхранението, обработването и защитата на личните данни на клиентите на Дружеството.
    (2) Инструкцията е задължителна за всички служители на Дружеството, които имат достъп до лични данни в регистър „Клиенти“.

II. ОПИСАНИЕ НА ПОДДЪРЖАНИТЕ РЕГИСТРИ
    Чл. 4. Дружеството поддържа следните регистри в електронен вид:
        1. регистър на клиентите – „Клиенти“;
Чл. 5. (1) В регистър „Клиенти“ се набират и съхраняват личните данни на клиенти на Дружеството с цел осъществяване на търговската дейност на последното.
    (2) Личните данни на клиенти на Дружеството се събират във връзка с обработване на направени поръчки за доставка на стоки и издаване на фактури.
    (3) Клиентите предоставят личните си данни, като използват уеб базираната платформа на Дружеството (www.pastel.bg), в която се регистрират лично.
    (4) Съхранението на личните данни е в електронен вид и се извършва в посочената в предходната алинея платформа.

III. ОПРЕДЕЛЯНЕ НА ДЛЪЖНОСТИТЕ, СВЪРЗАНИ С ОБРАБОТВАНЕ И ЗАЩИТА НА ЛИЧНИ ДАННИ, ПРАВАТА И ЗАДЪЛЖЕНИЯТА ИМ
Чл. 6. Длъжностите, свързани с обработването и защитата на лични данни от регистър „Клиенти“, са следните:
1. Управителят на Дружеството;
2. Администраторът на платформата www.pastel.bg;
Чл. 7. (1) Управителят на Дружеството има следните права и задължения:
    1. определя политиката за защита на личните данни в организацията;
    2. приема инструкция по чл. 23, ал. 4 от ЗЗЛД;
3. осигурява организацията по водене на регистрите, съгласно предвидените мерки за гарантиране на адекватна защита;
4. прилага конкретни мерки за защита съобразно спецификата на водените регистри;
5. осъществява контрол по спазване на изискванията за защита на регистрите, установява обстоятелства, свързани с нарушаване на тяхната защита, и предприема мерки за тяхното отстраняване;
6. актуализира поддържаните регистри с лични данни;
7. извършва периодична оценка на въздействието;
8. оказва съдействие при осъществяване на контролните функции на Комисията за защита на личните данни;
9. определя ред за съхраняване и унищожаване на информационни носители;
10. определя ред при задаване, използване и промяна на пароли, както и действията в случай на узнаване на парола;
11. определя правила за провеждане на редовна профилактика на компютърните и комуникационните средства, включваща проверка за вируси, за нелегално инсталиран софтуер, на целостта на базата данни, както и архивиране на данни, актуализиране на системната информация и др.;
12. провежда периодичен контрол за спазване на изискванията по защита на данните и при открити нередности взема мерки за тяхното отстраняване;
    (2) Правата и задълженията, свързвани с обработване и защита на личните данни, на администратора на платформата www.pastel.bg се уреждат с писмен договор или със заповед на управителя на Дружеството.
 
IV. ОЦЕНКА НА ВЪЗДЕЙСТВИЕ И ОПРЕДЕЛЯНЕ НА СЪОТВЕТНО НИВО НА ЗАЩИТА
Чл. 8. (1) За определяне на адекватното ниво на техническите и организационните мерки и допустимия вид защита Дружеството извършва оценка на въздействието върху обработваните от него лични данни.
(2) Оценката на въздействието се извършва периодично на всеки две години или при промяна на характера на обработваните лични данни и броя на засегнатите физически лица.
(3) Определеното ниво на въздействие е ниско, което предполага ниско ниво на защита.
Оценка на нивото на въздействие на регистър „Клиенти“
    НИВО НА ВЪЗДЕЙСТВИЕ
    поверителност    цялостност    наличност    общо за регистъра
1. Регистър „Клиенти“    ниско    ниско    ниско    ниско

V. МЕРКИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Чл. 9. (1) Физическа защита се осигурява чрез набор от технически и организационни мерки за предотвратяване на нерегламентиран достъп и защита до сгради, помещения и съоръжения, в които се обработват и съхраняват лични данни.
 (2) Личните данни от регистъра се обработват в помещенията на упълномощените лица по чл. 6 от настоящата Инструкция.
(3) Помещенията, в които се обработват лични данни от регистъра са защитени чрез заключване на вратите, сигнално-охранителна система и пожарогасителни средства в сградата.
(4) Физически достъп се предоставя само на управителя на Дружеството и администратора на платформата www.pastel.bg.
(5) Външни лица нямат достъп до помещенията, в които се обработват лични данни от регистъра.
Чл. 10. (1) Персонална защита представлява система от организационни мерки спрямо физическите лица, които обработват лични данни по указание на администратора.
(2) За персоналната защита на личните данни се предприемат следните мерки:
1. Лицата, обработващи лични данни се запознават със ЗЗЛД, Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, с настоящата Инструкция, политиката и ръководствата за защита на личните данни и опасностите за личните данни, обработвани от администратора.  
2. Лицата, обработващи лични данни, задължително подписват декларация на основание чл. 7, ал. 5 от Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, с която поемат задължение за неразпространение на лични данни, станали им известни във връзка и по време на изпълнение на служебните им задължения. Декларацията се съхранява в досието на всеки служител.
Чл. 11. (1) Документалната защита представлява система от организационни мерки при обработването на лични данни на хартиен носител.
(2) Регистър „Клиенти“ се поддържа само в електронен вид и не се предвижда поддържането му на хартиен носител.
Чл. 12. (1) За защитата на автоматизирани информационни системи и мрежи са взети следните мерки:
1. Личните данни са защитени чрез избиране от всеки клиент на персонално потребителско име и парола.
2. Паролата за достъп е персонална и в случай на компрометиране на парола, тя се подменя с нова.
3. Управлението на регистрите се извършва единствено от управителя на Дружеството и администратора на платформата www.pastel.bg.
    4. Защитата на външните връзки се осъществява чрез код за достъп.
5. Осигурява се антивирусен софтуер с включено автоматично обновяване и постоянно сканиране.
6. Предвижда се създаване на резервни копия за възстановяване на личните данни.
7. Уеб базираната платформа www.pastel.bg се явява носител на информацията на лични данни.
8. Сроковете за съхранение на личните данни се определят в съответствие с постигане целите на Дружеството.
    9. Процедури за унищожаване/заличаване/изтриване на носителите.

VI. ДЕЙСТВИЯ ЗА ЗАЩИТА ПРИ АВАРИИ, ПРОИЗШЕСТВИЯ И БЕДСТВИЯ
Чл. 13. (1) Дружеството предприема превантивни действия при защита на личните данни в случай на настъпили природни бедствия или други критични ситуации, като правилото е спасяване на човешки животи и последващи действия за опазване и защита на личните данни.
(2) Конкретни действия при настъпили бедствени ситуации:
1. защита от пожари -  при задействане на пожароизвестителната система и установяване на пожар, се започва незабавно гасене със собствени средства /пожарогасители/и уведомяване на съответните органи;
2. защита от наводнения - предприемат се незабавни действия по ограничаване на разпространението, както и се изпомпва водата или загребва със собствени подръчни средства;
(3) При възникване и установяване на инцидент веднага се докладва на лицето, отговорно за защитата на личните данни.
(4) За инцидентите се води дневник, в който задължително се вписват предполагаемото време или период на възникване, времето на  установяване, времето на докладване и името на лицето, извършило доклада.
(5) След анализ на инцидента, упълномощено лице вписва в дневника последствията от инцидента и мерките, които са предприети за отстраняването им.
(6) В случаите на необходимост от възстановяване на данни, процедурата се изпълнява след писменото разрешение на лицето по защитата на личните данни, като това се отразява в дневника по архивиране и възстановяване на данни.

VII. ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ЛИЦА
    Чл. 14. Данни от регистъра могат да бъдат предоставяни на държавни институции с оглед изпълнение на нормативно задължение (НОИ, НАП, КЗЛД, МВР, съд, прокуратура, следствени органи и др.) и при спазване на чл. 2, ал. 2 от ЗЗЛД.

VIII. СРОК ЗА ПРОВЕЖДАНЕ НА ПЕРИОДИЧНИ ПРЕГЛЕДИ
    Чл. 15. Ежегодно, до 31 март на всяка календарна година се прави периодичен преглед и преценка необходимостта от заличаване на данни, които не са необходими за дейността на Дружеството.

IX. УНИЩОЖАВАНЕ НА ЛИЧНИ ДАННИ
    Чл. 16. (1) Личните данни, получени за целите, за които се обработват, се съхраняват върху платформата www.pastel.bg.
    (2) След постигане целите на Дружеството личните данни се унищожават чрез изтриване, включително и на резервните копия, от горепосочената платформа.

Х. ПРЕХОДНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
§1. Всички служители на Дружеството са длъжни срещу подпис да се запознаят с инструкцията и да я спазват.
§2. Инструкцията се издава на основание чл. 23, ал. 4 от Закона за защита на личните данни и Наредба No 1/30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид на защита на личните данни, издадена от Комисията за защита на личните данни.
§3. За всички неуредени в настоящата инструкция въпроси са приложими разпоредбите на Закона за защита на личните данни, Наредба No 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни и действащото приложимо законодателство на Р. България.
§4. Инструкцията е утвърдена със Заповед No 0001 от 21.03.2017 година.



Утвърждавам:___________________
        (Иван Пенчев - Управител)