УТВЪРЖДАВАМ: ……./П/.............

ДАНИЕЛА РАЙЧЕВА

КМЕТ НА СО РАЙОН „НОВИ ИСКЪР“

Утвърдена със Заповед РНИ20-РД09-392/16.11.2020 г.

ПОЛИТИКА

за поверителност на личните данни в Район „Нови Искър“ – Столична община

 Раздел първи: Общи положения                                                                                      

I. Основни сведения.

1. Район „Нови Искър“ – Столична община (за краткост „Район“) е Администратор на лични данни по смисъла на Общия Регламент относно защитата на данните (ЕС) 2016/679 (за краткост „Регламент“).

Районът е орган на местното самоуправление, който осъществява своята дейност съгласно Закона за местното самоуправление и местната власт.

Районът се представлява от неговия кмет Даниела Райчева.

Длъжностно лице по защита на данните е Иван Костадинов, тел. 0887 648 639, e-mail: gdpr@novi-iskar.bg.

Административната сграда на Района е на адрес: гр. Нови Искър, ул. „Искърско дефиле“ №121, тел. 02 991 7230, web site: novi-iskar.bg; e-mail: info@novi-iskar.bg.

На територията на Района има дванадесет кметства в селата: Балша, Житен, Доброславци, Войняговци, Кубратово, Локорско, Кътина, Мировяне, Негован, Подгумер, Световрачене и Чепинци.

Към 01.10.2020 г. общият брой на гражданите на района е около 27 000.

ІI. Принципи на обработване на личните данни.

Районът обработва лични данни въз основа на принципите, посочени в чл. 5 от Регламента, а именно:

1. Законосъобразност, добросъвестност и прозрачност;
2. Ограничение на целите;
3. Свеждане на данните до минимум;
4. Точност;
5. Ограничение на съхранението;
6. Цялостност и поверителност;
7. Отчетност.

III.   Права на субектите на данни.

Районът, като Администратор на лични данни, се задължава да спазва правата на физическите лица, субекти на лични данни, съгласно чл. 14 – 22 на Регламента:

1.  Право на информираност и право на достъп на субекта на данните. Право на информираност (чл. 14 на Регламента):

Администраторът предприема необходимите мерки за предоставяне на субектите на данни на всякаква информация и комуникация, която се отнася до обработването, в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен език, предоставена устно, писмено или чрез електронни средства. Такава информация се предоставя, когато Администраторът се е уверил в самоличността на физическото лице.

Право на достъп на субектите на данни до техни лични данни (чл. 15 на Регламента).

а).субектите на данни (гражданите, служителите, кандидатите за работа, контрагентите на Района и др.) имат право да получат от Администратора потвърждение дали обработва техни лични данни и, ако това е така, да получат достъп до тези данни.

б). на субекта на данни се предоставя копие от личните данни, които са в процес на обработване. Полученото копие е със заличени лични данни на други лица и със заличена конфиденциална информация на Администратора.

1. 2.  Право на коригиране и право на изтриване Право на коригиране (чл. 16 на Регламента).

Субектът на данни има право да поиска от Администратора да коригира или да допълни с цел актуалност на информацията личните данни, свързани с него.

Право на изтриване („право да бъдеш забравен“) (чл. 17 на Регламента).

Субектът на данни има право да поиска от Администратора изтриване на свързаните с него лични данни, а Администраторът има задължението да изтрие, без ненужно забавяне, личните данни, когато е приложимо някое от основания, посочени в Регламента.

1. 3.  Право на ограничаване на обработването (чл. 18 на Регламента).

Субектът на данните има право да изиска от Администратора ограничаване на обработването, когато е приложимо някое от обстоятелствата, посочени в Регламента.

1. 4.  Право на преносимост на данните (чл. 20 на Регламента).

Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратора, в структуриран и пригоден за машинно четене формат и може да прехвърли тези данни на друг Администратор.

1. 5.  Право на възражение (чл. 21 на Регламента).

Субектът на данните има право да възрази срещу обработването на личните му данни, в случай че успее да докаже, че в процеса на това обработване е налице предимство  на неговите интереси пред тези на Администратора. Администраторът прекратява обработването на личните данни, освен ако не докаже съществуването на убедителни законови основания за това обработване.

6.  Осъществяване на правата на субекта на данни.

а). субектът на данните осъществява конкретно свое право чрез подаване до Администратора на заявление на хартиен носител. Заявлението трябва да съдържа имена на лицето и данни, които го индивидуализират, описание на искането, предпочитана форма на предоставянето на достъпа до лични данни, подпис, дата и адрес за кореспонденция.

Заявлението се отправя лично от физическото лице, за което се отнасят личните данни, или от лице, изрично упълномощено от субекта на данните. Администраторът трябва надеждно да идентифицира лицето, подаващо заявлението, респективно да установи валидността на пълномощното, преди да пристъпи към обработване на искането на субекта на данни за упражняване на права.

б). Администраторът разглежда заявлението в определените от Регламента срокове и информира субекта на данните за резултата от обработването на неговото искане за упражняване на права.

Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение. Отказът за предоставяне на достъп до лични данни може да се обжалва от заявителя пред посочения в отказа орган и срок.

в). ограничения.

Правата на субекта на данни не са абсолютно задължителни за Администратора на лични данни. Администраторът аргументирано ще откаже на субект на данни изпълнение на негово искане за упражняване на право по смисъла на Регламента, когато това искане засяга въпроси, като: национална сигурност, отбрана и обществена сигурност; предотвратяването, резследването, разкриването или наказателното преследване на престъпления; важни цели от широк обществен интерес; защита на независимостта на съдебната власт; защита на правата и свободите на други лица и изпълнението на гражданскоправни искове.

IV.   Технически и организационни мерки за защита на данните.

Район „Нови Искър“ прилага подходящи технически и организационни мерки за гарантиране на високо ниво на сигурност за личните данни, които обработва. Мерките са подробно отразени в разработените за целта политики и процедури, насочени към изпълнение на изискванията на Регламента. При разработването им са взети предвид достиженията на техническия прогрес, разходите за прилагане им и естеството, обхватът, контекстът и целите на обработването.

При изпълнението на настоящата Политика се вземат предвид свързаните с обработването рискове, по-специално тези за случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп лични данни, които са или са били предмет на обработване.

V.    Регистри.

В изпълнение на изискванията на Регламента Районът поддържа в електронен формат следните Регистри:

1. Регистър на дейностите по обработване – в изпълнение на чл. 30, параграф 1 на Регламента;
2. Регистър на нарушенията на сигурността на личните данни в Администратора.
   1. Регистър на Заявленията  на субекти   на данни    във връзка с упражняване на

права.

 Раздел втори: Дейности по обработване на лични данни                                                                                     

1.                  В изпълнение на своята дейност Районът обработва лични данни в рамките на следните процеси:

1.1  Обработване на лични данни във връзка с функциите на Администратора като орган на местното самоуправление. Район „Нови Искър“ обработва различни категории лични данни на гражданите на Района и на други лица в зависимост от обстоятелствата, свързани с изпълняваните административни дейности и услуги, включително в изпълнение на Закона за гражданската регистрация.

Субекти на лични данни са гражданите на Района. В определени случаи субекти на данни могат да бъдат и граждани, които не са регистрирани в Района – основно при изпълнение на административни процедури, в които страна се явяват такива лица.

Категориите лични данни на гражданите на Района в качеството им на субекти на данни, тяхното съхранение, достъпът до тях и категориите обработване са в зависимост от конкретните обстоятелства, при които гражданите влизат в отношения с Района в качеството му на Администратор на лични данни.

1.2  Обработване на лични данни за целите на трудовите правоотношения.

Субекти на лични данни са служителите на различни длъжности, назначени по служебно или трудово правоотношение в администрацията на Района и кметствата на неговата територия.

Категориите лични данни, които Администраторът (Районът) обработва на персонала, са данни на физически лица, необходими за целите на сключване и изпълнение на трудовите правоотношения в нормативно определен обем, съобразно минимално необходимото съдържание.

Администраторът на лични данни (Районът) обработва лични данни на кандидати за работа единствено за целите на подбор и назначаване на персонал. Районът обработва лични данни на кандидатите за работа в минимален обем – CV, мотивационно писмо и данни за контакт (телефон и имейл). В случай че с кандидата не се сключи трудов договор, представените документи във връзка с кандидатстването се унищожават в срок до шест месеца след приключване на конкурсната процедура или се връщат на кандидата във вида, в който са подадени.

1.3    Обработване на лични данни за целите на деловите отношения с външни доставчици на Района.

Администраторът обработва лични данни във връзка с деловите си отношения с неговите външни доставчици на стоки и услуги.

Личните данни се събират от Администратора в процеса на развитие на преддоговорните взаимоотношения (включително в изпълнение на Закона за обществените поръчки), сключването и изпълнението на договорите с външните доставчици.

Субекти на лични данни са физическите лица, личните данни на които се съдържат в документите (договори, споразумения, протоколи на комисии по Закона за обществените поръчки, приемо-предавателни протоколи, първични счетоводни документи и др.), с които се уреждат деловите отношения Района с доставчиците.

Категориите лични данни на доставчици, които Администраторът обработва, са с обем и съдържание, които са минимално необходими за целите на деловите отношения: данни по лична карта, служебна позиция, данни за контакт и банкова информация (само в случаите, когато външният доставчик е физическо лице).

1.4   Обработване на лични данни на заявители по Закона за достъп до обществена информация.

Районът обработва лични данни във връзка с изпълнение на законовите задължения като субект на Закона за достъп до обществена информация (ЗДОИ).

Субекти на данни са физическите лица, подали заявление за достъп  до обществена информация; трети физически лица, чиито лични данни се съдържат в документите от значение за упражняване на правото за достъп до обществена информация; служители на Района, чиито лични данни се съдържат в документите, които следва да бъдат предоставени във връзка със заявление за достъп до обществена информация.

Категориите лични данни, които Администраторът обработва в изпълнение на ЗДОИ са следните: три имена, подписи, адрес за кореспонденция (за заявителите по ЗДОИ), длъжност (за служителите на Района).

1.5  Обработване на лични данни на жалбоподатели.

Районът обработва лични данни на жалбоподатели в случаите, когато негови граждани упражняват правото си да подават жалби срещу дейността на районната администрация.

Субекти на данни са: граждани на Района, които се явяват жалбоподатели, и трети лица (включително служители на Района), чиито лични данни се съдържат в документите, свързани с подадената жалба.

Категории данни: три имена, подписи, адрес за кореспонденция (за жалбоподателите) и др. данни съобразно подадената жалба, включително длъжност (за служителите на Района).

1.6  Видеонаблюдение.

Администраторът обработва лични данни на физически лица във връзка с осъществяване на видеонаблюдение с цел охрана, за предотвратяване на противоправни посегателства върху обекти и лица, както и за гарантиране на техните права и законни интереси на територията на Района.

Субекти на лични данни са физическите лица, чиито образи, представляващи лични данни, се съдържат в записите от инсталираните видеокамери – граждани, служители на Района, контрагенти и посетители на гр. Нови Искър и на тези от кметствата, в които има изградено видеонаблюдение.

Участъците от територията на Района, в които се осъществява видеонаблюдение, са обозначени с информационни табели.

2.          Законосъобразност на обработването на личните данни:

Районът обработва лични данни на основания, които са посочени в:

2.1  Чл. 6, параграф 1 на Регламента, букви:

-   „б“ - изпълнение на договор, по който Администраторът и субектът на данни са

страни;

-   „в“     - спазване     на     законово     задължение,    което     се прилага                  спрямо

Администратора;