УКАЗАНИЯ И ПРАВИЛА

 

ПРАВИЛА

ЗА СЪБИРАНЕ, ОБРАБОТВАНЕ, СЪХРАНЕНИЕ И ЗАЩИТА

НА ЛИЧНИ ДАННИ НА ГРАЖДАНИТЕ ПОДКРЕПИЛИ ИНИЦИАТИВАТА

„РЕФЕРЕНДУМ ЗА МИР И СУВЕРЕНИТЕТ“

ГЛАВА ПЪРВА

  1. ВЪВЕДЕНИЕ

Чл. 1. (1) С тези правила се уреждат редът и условията за събиране, обработване, съхраняване лични данни и тяхното предоставяне на компетентните държавни органи,  както и мерките и средствата за тяхната защита.

(2) Настоящите правила се издават на основание Регламент (ЕС) 2016/679 и Закона за защита на личните данни (33ЛД).

(3) Правилата се утвърждават, допълват, изменят и отменят от Инициативния комитет на „Референдум за Мир и Суверенитет“ – администратор на лични данни.

(4) Администраторът предоставя достъп до обработваните от него лични данни на физическите лица и на трети лица съобразно Регламент (ЕС) 2016/679 на ЕС и ЗЗЛД.

ГЛАВА ВТОРА

  1. ЦЕЛИ И ОБХВАТ НА ПРАВИЛАТА

Чл. 2. Настоящите Правила имат за цел да регламентират:

(1) механизмите за събиране, обработване, съхраняване, предоставяне и трансфер на личните данни;

(2) задълженията на Администратора, упълномощените лица обработващи лични данни и тяхната отговорност при неизпълнение на тези задължения;

(3) правилата за разпределение на личните данни и групирането им в структурират електронен вид за проверка от ГРАО и правилата за работа с личните данни;

(4) необходимите технически и организационни мерки за защита личните данни от неправомерно обработване (случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни).

Чл. 3. Правилата са задължителни за всички лица имащи достъп до личните данни, обработвани за нуждите на администратора.

ГЛАВА ТРЕТА

III. ПРЕДНАЗНАЧЕНИЕ И ВИДОВЕ РЕГИСТРИ

Чл. 4. (1) В изпълнение на дейността си Инициативния комитет на „Референдум за Мир и Суверенитет“ съставя регистър на лични данни електронна таблица в установения от ГРАО формат за структуриран електронен вид на подписката за подкрепа на инициативата за референдум.

  1. Временни регистри, които съдържат информация и сеподдържат с цел обслужване дейностите по управление на упълномощените лица и координаторите на подписката:

1.1. Регистър „Пълномощници“

1.2. Регистър „Координатори“

1.3. Регистър „Подписка“

  1. Оперативни регистри, в които се набира, съхранява и обработва информация, необходима за целите на изпълнение на законови задължения на администратора:

2.1 Регистрите набират и съхраняват лични данни с оглед на:

  1. Изпълняване целите на подписката на гражданска инициатива за произвеждане на референдум, съгласно изискванията на ЗПУГДВМС;
  2. Спазване на изикванията на ЗЗЛД;

(2) Подробно описание на регистрите включително групи обработвани данни, източници

и средства за събирането им, форма за водене на регистъра, ред за съхраняване

и унищожаване на информационни носители, упълномощени лица обработващи лични

данни, техническите ресурси прилагани за обработване на данните в

електронните регистри и други се съдържа в Приложенията, неразделна част от

настоящите Вътрешни правила.

(3) Създаването на нови регистри и извършването на промени се извършва

с решение на Администратора.

ФОРМИ НА ВОДЕНЕ НА РЕГИСТЪРА

Чл. 5. (1) Формите на водене на регистрите биват на хартиен и технически

носител.

  1. Водене на регистър на хартиен носител:

1.1. Форма на организация и съхраняване на личните данни – писмена (документална); в електронен вариант

1.3Личните данни от лицата се подават на администратора на лични данни и

оправомощеното лице, назначено за обработването им – обработващ лични

данни, на основание нормативно задължение във всички случаи, когато е

необходимо;

1.4 Достъп до личните данни – такъв има само обработващият лични данни.

(3) Водене на регистър на технически носител:

  1. Форма на организация и съхраняване на личните данни – личните данни се съхраняват на твърд диск, на изолиран компютър;
  2. Достъп до личните данни и защита – достъп до операционната система,

съдържаща файлове за обработка на лични данни, има само обработващият

лични данни чрез парола за отваряне на тези файлове, както и длъжностното

лице по защита на личните данни посредством делегирани му права и

задължения от администратора на лични данни.

ГРУПИ ДАННИ В РЕГИСТЪРА

Чл. 6. (1) В зависимост от нормативното основание за събирането и предназначението им в регистрите се набират, обработва и съхраняват лични данни относно:

  1. Идентификационни данни:
  • три имена;
  • единен граждански номер (ЕГН)/личен номер на чужденец;
  • постоянен адрес;
  1. Данни за контакт:
  • телефонен номер (мобилен и/или стационарен);
  • адрес на електронна поща.

(2) Личните данни в регистрите се събират от администратора на лични данни на хартиен или електронен носител.

ЗАДЪЛЖЕНИЯ НА ЛИЦЕТО, ОТГОВАРЯЩО ЗА ВОДЕНЕ И СЪХРАНЯВАНЕ НА

ДАННИТЕ В РЕГИСТРИТЕ

Чл. 7. Задълженията на лицето, отговарящо за водене и съхраняване на данните

в регистъра (оправомощеното лице) включват набиране, обработване,

актуализация и съхраняване на лични данни.

ПЕРИОДИЧНО АРХИВИРАНЕ

Чл. 8. Архивиране на личните данни на технически носител се извършва

периодично на седем дни от обработващия лични данни с оглед запазване

на информацията за съответните лица в актуален вид.

КОНТРОЛ ПРИ ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ

Чл. 9. Контролът върху дейностите по обработка на лични данни се осъществява от администратора на лични данни или упълномощено от него лице.

АКТУАЛИЗАЦИЯ НА ЛИЧНИ ДАННИ

Чл. 10. (1) Актуализация на лични данни представлява допълнение или изменение на съществуваща информация. Актуализация на лични данни се извършва:

  1. по искане на лицето, за което се отнасят личните данни, когато то е установило, че е налице грешка или непълнота в тях, и удостовери това с документ;
  2. по инициатива на обработващия лични данни – при наличие на документ, даващ основание за актуализация;
  3. при установена грешка при обработката на личните данни от страна на обработващия лични данни;

(2) При актуализация на лични данни в съответния регистър се отразяват регистрационния номер на документа, източник на данните за актуализацията, дата на актуализацията. Актуализацията се извършва от лицето, обработващо личните данни.

ГЛАВА ЧЕТВЪРТА

  1. ДОСТЪП ДО ЛИЧНИ ДАННИ

ОСИГУРЯВАНЕ НА ДОСТЪП НА ЛИЦАТА ДО ЛИЧНИТЕ ИМ ДАННИ

Чл. 11. (1) Всяко физическо лице, има право на достъп до отнасящите се до него лични данни,

обработвани от администратора.

(2) В случаите, когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, администраторът предоставя на съответното физическо лице достъп само за частта от данните, отнасяща се него.

(3) При упражняване на правото си на достъп физическото лице има право по всяко време да поиска от администратора на лични данни:

  1. потвърждение за това, дали отнасящи се до него данни се обработват, информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват;
  2. съобщение до него в разбираема форма, съдържащо личните му данни, които се обработват, както и всяка налична информация за техния източник.

(4) При смърт на физическото лице право на достъп до личните му данни имат неговите наследници.

Чл. 12. (1) Правото на достъп се осъществява с писмена молба до администратора на лични данни.

(2) Молбата може да бъде отправена и по електронен път по реда на Закона за електронния документ и електронния подпис.

(3) Молбата по ал. 1 се отправя лично от физическото лице или от изрично упълномощено от него лице чрез нотариално заверено пълномощно.

Чл. 13. (1) Молбата по чл. 12 съдържа:

  1. трите имена, ЕГН/ЛНЧ/, адрес за контакт и телефон на заявителя;
  2. описание на искането;
  3. предпочитана форма за предоставяне на достъп до личните данни;
  4. подпис, дата на подаване на заявлението и адрес за кореспонденция.

(2) При подаване на молба от упълномощено лице към същото се прилага и нотариално завереното пълномощно.

(3) При приемане на молбата, техническо лице извършва регистрация на същата в деловодната система на администратора.

Чл. 14. (1) Физическото лице може да поиска копие на обработваните лични данни на предпочитан носител или предоставянето им по електронен път, освен в случаите, когато това е забранено от закон.

(2) Администраторът на лични данни е длъжен да се съобрази с предпочитаната от молителя форма на предоставяне на информацията по чл. 11, ал. 3.

(3) Администраторът на лични данни предоставя исканата информация във форма, различна от заявената, когато:

  1. за исканата форма няма техническа възможност;
  2. исканата форма е свързана с необосновано увеличаване на разходите по предоставянето.

Чл. 15. (1) Администраторът на лични данни или изрично оправомощено от него лице разглежда молбата по чл. 11 и се произнася в 14-дневен срок от неговото постъпване.

(2) Срокът по ал. 1 може да бъде удължен от администратора до 30 дни в случаите, когато обективно се изисква по-дълъг срок за събирането на всички искани данни и това сериозно затруднява дейността на администратора.

(3) С решението си администраторът предоставя пълна или частична информация на заявителя или мотивирано отказва предоставянето й.

Чл. 16. Право на достъп до данните в поддържаните от администратора регистри на лични данни имат администратори на базите данни, на които е възложено приемането и  обработването на лични данни върху хартиен и електронен носител (обработващите лични данни.

Чл. 17. Упълномощените лица с оторизиран достъп до лични данни са длъжни да обработват същите законосъобразно и добросъвестно, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели, както и да ги поддържат във

вид, който им позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които се обработват.

  1. ДОСТЪП НА ТРЕТИ ЛИЦА ДО РЕГИСТРИТЕ СЪДЪРЖАЩИ ЛИЧНИ ДАННИ

Чл. 18. (1) Достъп до обработваните от администратора лични данни имат лицата, за които същия произтича от законово или договорно основание, както и органи по надзора или на съдебната власт (Комисия за защита на личните данни, съд, прокуратура, следствени органи и др.). Достъпът на тези органи до личните данни на лицата е правомерен.

(2) Не се изисква съгласие на лицето, ако обработването на неговите лични данни се извършва само от или под контрола на компетентен държавен орган за лични данни, свързани с извършване на престъпления, на административни нарушения и на непозволени увреждания. На такива лица се осигурява достъп до личните данни, като при необходимост им се осигуряват съответни условия за работа.

(3) Правомерен е и достъпът на държавни органи, надлежно легитимирали се със съответни документи – писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп.

(4) Решението си за предоставяне или отказване достъп до лични данни за съответното лице администраторът съобщава на третите лица в 30-дневен срок от подаване на молбата, респ. искането.

ГЛАВА ПЕТА

ВИДОВЕ ЗАЩИТА НА ЛИЧНИ ДАННИ

  1. ЛИЦАТА ПО ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

Чл. 19. (1) За обезпечаване на адекватна защита на регистрите е лични данни администраторът може да определи лице/лица по защита на личните данни.

(2) Лицето/лицата по защита на личните данни има следните правомощия:

  1. осигурява организация по водене на регистрите и мерки за гарантиране на адекватна защита;
  2. следи за спазването на конкретните мерки за защита и контрол на достъпа съобразно спецификата на водените регистри;
  3. осъществява контрол по спазване на изискванията по защита на регистрите;
  4. специфицира техническите ресурси, прилагани за обработване на личните данни;
  5. подпомага установяването на обстоятелства, свързани с нарушаване на защитата на регистрите;
  6. в случай на установяване на нарушение на сигурността на личните данни, лицето по защита на личните данни уведомява в спешен порядък администратора на лични данни. Настъпилото събитие поражда задължение за администратора на лични данни в рамките на 72 часа от установяване на нарушението незабавно да уведоми КЗЛД за нарушаване сигурността на личните данни;
  7. поддържа връзка е Комисията за защита на личните данни (КЗЛД) относно предприетите мерки и средства за защита на регистрите;
  8. контролира спазването на правата на потребителите във връзка с регистрите и програмно- техническите ресурси за тяхната обработка;
  9. периодично информира персонала по въпросите на защитата на личните данни;
  10. следи за спазване на организационните процедури за обработване на личните данни и провежда периодичен контрол за спазване на изискванията по защита на данните и при открити нередности взема мерки за тяхното отстраняване.

Чл. 20. (1) С цел недопускането на неправомерен достъп, както и всички други незаконни форми на обработване на личните данни, администраторът организира и предприема мерки, съобразени със съвременните технологични постижения и рисковете, свързани е естеството на данните, които трябва да бъдат защитени.

(2) Видове защита:

  1. Физическа защита на личните данни представлява система от технически и организационни мерки за предотвратяване на нерегламентиран достъп до сгради, помещения и съоръжения, в които се обработват лични данни.
  2. Персонална защита представлява система от организационни мерки спрямо физическите лица, които обработват лични данни по указание на администратора.
  3. Документална защита представлява система от организационни мерки при обработването на лични данни на хартиен носител.
  4. Защита на автоматизираните информационни системи и/или мрежи представлява система от технически и организационни мерки за защита от незаконни форми на обработване на личните данни.
  5. Псевдонимизация чрез употребата на технически и организационни мерки.

Чл. 21 (1) Всяко лице, желаещо да внесе документ съдържащ лични данни

предоставя същия на упълномощен представител на Инициативния комитет на „Референдум за Мир и Суверенитет“. Лицето, приемащо документа е задължено да запознае вносителят на документите с правата му на субект на лични данни, както и с Правила за тяхната обработка.

(2) Лицата, обработващи личните данни са задължени да предоставят

личните данни в съответствие с разпореждането на Инициативния комитет на „Референдум за Мир и Суверенитет“ – администратор на лични данни.

(3) Лични данни се предоставят на трети лица само Инициативния комитет на „Референдум за Мир и Суверенитет“ , като администратор на лични данни.

(4) Събраните лични данни не се предоставят под никаква форма на лица извън кръга на посочените в чл.18 от настоящите правила.

VII. МЕРКИ ЗА ЗАЩИТА ПРИ ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ

Чл. 22. (1) Правилата за защита при обработване на лични данни регламентират технически мерки, които:

  1. отхвърлят достъпа на неоторизирани лица до оборудването за обработка на данни – контрол на достъпа до оборудване;
  2. предотвратяват неоторизираното четене, копиране, промяна или унищожаване на информационни носители – контрол на информационните носители;
  3. предотвратяват неоторизираното добавяне, въвеждане, преглеждане, промяна или заличаване на съхранени лични данни – контрол по съхраняването;
  4. предотвратяват използването му от неоторизирани лица, използващи комуникационно оборудване за данни – контрол на потребителите;
  5. гарантират, че лицата, които са оторизирани да ползват система за автоматизирана обработка на данни, имат достъп само до данните, включени в обхвата на техния достъп – контрол на достъпа до данни;
  6. осигуряват възможността за проверка и установяване до кои органи са били или могат да бъдат изпратени или предоставени личните данни чрез използване на комуникационно оборудване за данни – контрол на комуникациите;
  7. осигуряват възможност за последваща проверка и установяване какви лични данни са въведени в системите за автоматизирана обработка на данни, кога и от кого са въведени данните – контрол на въвеждане;
  8. предотвратяват неоторизирано четене, копиране, промяна или изтриване на лични данни при трансфер на лични данни или превозване на носители на данни – контрол при транспортиране;
  9. осигуряване на възможност инсталираните системи да могат да се възстановят в случаи на прекъсване на функционирането – възстановяване;
  10. осигуряват правилното функциониране на системата, докладване на появата на грешки във функциите (надеждност) и гарантират, че съхранените данни не могат да бъдат повредени чрез неправилно функциониране на системата – интегритет.

Чл. 23. (1) Упълномощените лица, обработващи лични данни, вземат мерки за гарантиране

на надеждност при обработването, като осъществяват технически и организационни мерки за защита на личните данни.

(2) При автоматичната обработка на лични данни се осъществяват технически мерки за защита срещу:

  1. неоторизирано четене, възпроизвеждане, промяна или премахване на носителя на данните;
  2. неоторизирано въвеждане, промяна или заличаване на съхранени лични данни;
  3. неоторизирано използване на системите за лични данни чрез средства за пренос на данни;
  4. неоторизиран достъп до лични данни.

ГЛАВА ШЕСТА

VIII.ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ОБРАБОТВАНИТЕ ЛИЧНИ ДАННИ

Чл. 24. (1). Оценката на въздействието е процес за определяне нивата на въздействие върху конкретно физическо лице или група физически лица в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица при нарушаване на поверителността, цялостността или наличността на личните данни.

(2) Оценката на въздействието се извършва периодично на всеки две години или при промяна на характера на обработваните лични данни и броя на засегнатите физически лица.

Чл. 25. При оценката на въздействието администраторът отчита характера на обработваните лични данни, както следва:

  1. лични данни в широкомащабни регистри на лични данни;
  2. 2. данни, чието обработване съгласно решение на Комисията за защита на

личните данни застрашава правата и законните интереси на физическите лица.

  1. НИВА НА ВЪЗДЕЙСТВИЕ

Чл. 26. Определят се следните нива на въздействие:

  1. „Високо” – в случаите, когато неправомерното обработване на лични данни би могло да доведе до възникване на значителни вреди или кражба на самоличност на особено голяма група физически лица или трайни здравословни увреждания или смърт на група физически лица;
  2. „Средно” – в случаите, когато неправомерното обработване на лични данни би могло да създаде опасност от засягане на интереси, на отделно физическо лице или група физически лица;
  3. „Ниско” – в случаите, когато неправомерното обработване на лични данни би застрашило неприкосновеността на личността и личния живот на отделно физическо лице или група физически лица.

Чл. 27. (1) Администраторът извършва оценка на въздействие за всички поддържани регистри .

(2) Всеки отделен регистър се оценява по критериите поверителност, цялостност и наличност.

(3) Най-високото ниво на въздействие, определено по всеки от критериите по ал.2, определя нивото на въздействие на съответния регистър.

Чл. 28. В зависимост от нивото на въздействие се определя и съответно ниво на

защита.

Чл. 29. (1) Нивата на защита са ниско, средно, високо и изключително високо.

(2) Нивата на защита са, както следва:

  1. при ниско ниво на въздействие – ниско ниво на защита;
  2. при средно ниво на въздействие – средно ниво на защита;
  3. при високо ниво на въздействие – високо ниво на защита;

ГЛАВА СЕДМА

  1. ПРОЦЕДУРИ ЗА ДОКЛАДВАНЕ И УПРАВЛЕНИЕ ПРИ ИНЦИДЕНТИ

Чл. 30. (1) При възникване и установяване на инцидент и/или нерегламентиран достъп, свързан с нарушаване защитата или загуба на лични данни, незабавно се докладва на Директора на образователната институция – администратор на лични данни;

(2) За инцидентите се води регистър, в който задължително се вписват предполагаемото време или период на възникване, времето на установяване, времето на докладване и името на служителя, извършил доклада.

(3) След анализ от лицето по защита на личните данни, в регистъра се записват последствията от инцидента и мерките, които са предприети за отстраняването им.

(4) В случаите на необходимост от възстановяване на данни, процедурата се изпълнява след писменото разрешение на лицето по защита на личните данни, като това се отразява в регистър по архивиране и възстановяване на данни.

(5) В случаите на компрометиране на парола, тя се подменя е нова, като събитието се отразява в регистъра за инциденти.

  1. ОТГОВОРНОСТ

Чл. 31. За неизпълнение на задълженията, вменени на съответните оправомощени лица по тези Правила, по 33ЛД и по Регламент (ЕС) 2016/679, същите се докладват от администратора за констатация и установяване от надлежен орган за налагане на предвиденото в ЗЗЛД административно наказание, ако такава отговорност се предвижда по закон.

Чл. 32. (1) За вреди, причинени в резултат на незаконосъобразно обработване на

лични данни отупълномощени от Инициативния комитет на „Референдум за Мир и Суверенитет“ лица, засегнатите лица могат да търсят отговорност от виновните лица по реда на общото гражданско законодателство или наказателна отговорност, ако извършеното

представлява престъпление.

(2) Ако в резултат на незаконосъобразно обработване на лични данни, включително незаконното им разкриване или разпространение, са причинени щети на администратора на лични данни на виновните лица се търси имуществена отговорност по общия ред.

Настоящите правила са утвърдени на 20.04.2023 година.

За всички неуредени случаи се прилагат разпоредбите на Регламент 2016/679, ЗЗЛД и разпорежданията на Инициативния комитет на „Референдум за Мир и Суверенитет“ – администратор на лични данни.

 

Утвърдил: …………………..

Нако Стефанов – Председател на Инициативен комитет

За Референдум за Мир и Суверенитет

ДЕКЛАРАЦИЯ

 

                Подписаният/а ……………………………………… с ЕГН …………………………….. и адрес по лична карта …………………………………………………………………………………………………………………………………….. с настоящото

ДЕКЛАРИРАМ

Приемам да спазвам издадените от Инициативния комитет указания, инструкции и правила за събиране на подписи за подкрепа на инициативата „Референдум за мир и суверенитет“,

Задължавам се да спазвам установените от Инициативния комитет Правила за събиране, обработване, съхранение и защита на лични данни на гражданите подкрепили инициативата „Референдум за мир и суверенитет“, и указанията за събиране, съхранение, обработка и изпращане на физическите носители – бланките за подписката.

Декларирам, че съм запознат/а с обявените на официалната интернет страница на инициативата „Референдум за мир и суверенитет“  Указания, Инструкции и Правила за събиране, обработване, съхранение и защита на лични данни на гражданите подкрепили инициативата „Референдум за мир и суверенитет“, с URL https://referendum.народна-мрежа.бг/  както и с отговорността за нарушения на изискванията на ЗЗЛД и ЗПУГДВМС.

ДАТА:…………………..                                                                                    ДЕКЛАРАТОР:…………………………