Политика за защита на личните данни в Министерство на електронното управление
Данни за администратора
Министерството на електронното управление (МЕУ) провежда държавната политика в областта на електронното управление, информационното общество и информационните технологии, и мрежовата и информационната сигурност. Министерството на електронното управление се представлява от министъра на електронното управление.
МЕУ е юридическо лице със седалище и адрес на управление: ул. "Ген. Йосиф В. Гурко" №6, София 1000, Е-mail: mail@egov.government.bg, телефон: +359 2 9492040.
МЕУ е Администратор на лични данни по смисъла чл. 4, т. 7 на Общия Регламент относно защитата на данните (ЕС) 2016/679.
Личните данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Личните данни се събират за конкретни, точно определени и законни цели, обработват се законосъобразно и добросъвестно и не могат да се обработват допълнително по начин, несъвместим с тези цели.
Обработването на лични данни е всяка операция или съвкупност от операции, които се извършват с лични данни чрез автоматизирани или други средства, като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
Достъпът до лични данни в МЕУ се осъществява при прилагане на принципа необходимост да се знае”. Право на достъп до субектите на лични данни имат само лицата, които:
- а) обработват данни в изпълнение на служебните си задължения съгласно акта/договора и/или длъжностната характеристика за съответната длъжност;
- б) са оправомощени чрез изричен акт на министъра на електронното управление;
- в) изпълняват сключени с МЕУ договори/споразумения.
Достъп до личните данни се предоставя след запознаване на лицата с нормативната уредба в областта на защитата на личните данни. Служителите с право на достъп лица подписват Декларация за поверителност на личните данни.
Принципи на обработване на личните данни
Министерството на електронното управление обработва лични данни при стриктно спазване на принципите, посочени в чл. 5 на Регламента, както следва:
- Законосъобразност, добросъвестност и прозрачност;
- Ограничение на целите;
- Свеждане на данните до минимум;
- Точност;
- Ограничение на съхранението;
- Цялостност и защита;
- Отчетност.
Технически и организационни мерки за защита на данните
В качеството на Администратор на лични данни, Министерство на електронното управление прилага подходящи технически и организационни мерки, за да осигури законосъобразното обработване на лични данни и управление на рисковете, при спазване на принципите и изискванията на нормативна уредба относно обработката и защитата на личните данни на физическите лица и за гарантиране на високо ниво на сигурност.
Мерките основно включват развитие на способности на МЕУ за:
- гарантиране на постоянна защита, цялостност, наличност и устойчивост на системите за сигурност и управление на информацията;
- своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
- редовно изпитване, анализ и оценка на ефективността на техническите и организационните мерки с цел да се гарантира сигурността на обработването.
Предаване на лични данни на трети държави или международни организации
МЕУ не предава обработваните лични данни на трети държави или международни организации. Ако се наложи предаване на лични данни на трета държави или международна организация, Администраторът (чрез ДЛЗД) проверява дали третата държава или международната организация осигурява адекватно ниво на защита на личните данни и дали има решение на Европейската комисия в тази посока. Предаването се извършва само и единствено при спазване на законовите разпоредби на Регламента и Закона за защита на личните данни.
Правно основание за обработване на лични данни
а) чл. 6, пар. 1, буква „б“ на Регламента – обработването е необходимо за изпълнение на акт/договор, по който субектът на данни е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор (т. нар. преддоговорни отношения);
б) чл. 6, пар. 1, буква „в“ на Регламента – обработването е необходимо за спазване на законово задължение, което се прилага спрямо Администратора;
в) чл. 6, пар. 1, буква „е“ на Регламента – обработването е необходимо за целите на легитимните интереси на Администратора;
г) чл. 9, пар. 2, буква „з“ на Регламента – обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи.
Информацията, която съдържа лични данни на физически лица – субекти на данни се обработва в Министерството на електронното управление за следните основни дейности и цели:
- управление на човешките ресурси;
- подаване на декларации по Закона за противодействие на корупцията и за отнемане на незаконно придобитото имущество (ЗПКОНПИ);
- финансово-счетоводна дейност;
- обществени поръчки, преддоговорни и договорни отношения с контрагенти;
- управление на програми и проекти;
- искания по Закона за достъп до обществена информация (ЗДОИ);
- видеонаблюдение;
- обработване на лични данни на посетители;
- жалби, сигнали, административни услуги и други искания;
- упражняване на правата по смисъла на Регламент (ЕС) 2016/679 пред МЕУ, в качеството му на администратор на лични данни;
- обработване на лични данни на деца;
- осъществяване на контролни функции от МЕУ, свързани със Закона за електронното управление, Закона за киберсигурност, Закона за достъп до обществена информация, Закона за достъп до пространствени данни и на подзаконовите нормативни актове по прилагането им;
- регистър на нарушения на Регламент (ЕС) 2016/679 и ЗЗЛД;
- уведомления за нарушения за сигурността на данните.
Вашите права като субекти на данни
Министерството на електронното управление - Администратор на лични данни, спазва правата на физическите лица, субекти на лични данни, съгласно Глава ІІІ от Регламента.
Право на информираност, (чл. 14 на Регламента)
Администраторът предприема необходимите мерки за предоставяне на субектите на данни на всякаква информация и комуникация, която се отнася до обработването, в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език, предоставена устно, писмено или чрез електронни средства.
- Писмено, Администраторът информира служителите на МЕУ, чрез „Уведомление на служителите в качеството им на субекти на данни“.
- На сайта на МЕУ, Администраторът публикува „Уведомление на контрагенти в качеството им на субекти на данни.“
Право на достъп на субектите на данни (чл. 15 на Регламента)
Субектите на данни (служителите, кандидатите за работа, контрагентите на МЕУ и др.) имат право да получат от Администратора потвърждение дали обработва техни лични данни, и ако това е така, да получат достъп до данните и следната информация: целите на обработването; категориите лични данни, които се обработват; получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни; срокът, за който данните се съхраняват, или критериите, чрез които срокът се определя; правото на жалба до КЗЛД; информация за източника на личните данни, когато те не се събират от субекта на данните.
Право на коригиране (чл. 16 на Регламента)
Субектът на данни има право да поиска от Администратора да коригира или да допълни личните данни с цел актуалност на информацията, свързана с него.
Право на изтриване - „право да бъдеш забравен“ (чл. 17 на Регламента).
Субектът на данни има право да поиска от Администратора изтриване на свързаните с него лични данни, а Администраторът има задължението да изтрие, без ненужно забавяне личните данни, когато е приложимо някое от следните основания: изтекли са законоустановените срокове за обработване на личните данни, предмет на искането за упражняване на това право; личните данни повече не са необходими за целите, за които са били обработвани; субектът на данните оттегля своето съгласие, ако само на основа на него се осъществява обработването; личните данни са били обработени незаконосъобразно; субектът е направил възражение срещу обработването и заааконовите основания, на които се позовава Администраторът, нямат преимущество пред интересите на субекта на данните.
Право на ограничаване на обработването (чл. 18 на Регламента)
Субектът на данните има право да изиска от Администратора ограничаване на обработването, когато е приложимо едно от обстоятелствата по-долу, както следва: точността на данните се оспорва от субекта на данните. В този случай ограничаването на обработването е за срок, който да позволи на Администратора да провери точността на данните; обработването е неправомерно, но субектът на данните не желае те да бъдат изтрити, а временно да се прекрати тяхното обработване; Администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за упражняването на правни претенции.
Право на преносимост на данните (чл. 20 на Регламента)
Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратора, в структуриран и пригоден за машинно четене формат и може да прехвърли тези данни на друг Администратор.
Право на възражение (чл. 21 на Регламента)
Субектът на данните има право да възрази срещу обработването на личните му данни, в случай че успее да докаже, че в процеса на това обработване е налице предимство на неговите интереси пред тези на Администратора. Администраторът прекратява обработването на личните данни, освен ако не докаже съществуването на убедителни законови основания за това обработване.
Субектът на данните осъществява конкретно свое право чрез подаване до Администратора на „Заявление за упражняване на права от субект на данни“.
Администраторът аргументирано може да откаже на субект на данни изпълнение на негово искане за упражняване на право по смисъла на Регламента, когато това искане засяга следните въпроси: национална сигурност, отбрана и обществена сигурност; предотвратяването, разследването, разкриването или наказателното преследване на престъпления; важни цели от широк обществен интерес – обществено здраве и социална сигурност, парични, бюджетни и данъчни въпроси; защита на независимостта на съдебната власт; защита на правата и свободите на други лица; изпълнението на гражданскоправни искове.
Права при автоматизирано вземане на индивидуални решения, включително профилиране (чл. 22 на Регламента)
Субектът има право да не бъде обект на автоматизирано решение, основаващо се единствено на автоматизирано обработване (т.е. обработване без човешка намеса), включително профилиране по смисъла на Регламента, което поражда правни последствия за субекта или по подобен начин го засяга в значителна степен, освен ако не са налице предвидените в Регламента основания за това и са предвидени подходящи гаранции за защита правата и свободите и легитимните интереси на субекта. Такива гаранции са най-малко правото на човешка намеса от страна на МЕУ, правото на субекта да изрази гледната си точка и да оспори решението.
Правата по Регламента може да се упражнят лично от субекта, или чрез изрично упълномощено лице (с нотариално заверено пълномощно), чрез подаване на писмено заявление. Заявлението следва да съдържа:
- пълното име и адрес на заявителя;
- описание на искането;
- предпочитана форма за комуникация и координати за връзка (телефон, адрес на електронна поща);
- подпис и дата на подаване.
При подаването на искане за упражняването на права по смисъла на Регламента пред МЕУ, е необходимо субектът да се идентифицира чрез представяне на:
- документ за самоличност (при подаване на искане на място в деловодството на МЕУ);
- чрез квалифициран електронен подпис
- заявление, изпратено по пощата с обратна разписка. В този случай заявлението следва да е нотариално заверено.
Отговор на заявлението ще бъде предоставен при спазване на приложимите срокове – до един календарен месец. Срокът може да бъде удължен с още два месеца, като се вземе предвид сложността и броя на исканията. В случай на необходимост от удължаване на срока, субектът ще бъде уведомен за същото, както и за причините, които налагат удължаването.
Право на жалба до надзорен орган
Всеки субект на данни има право да подаде жалба до надзорен орган по защита на личните данни, по-специално в държавата членка (на Европейския съюз/Европейското икономическо пространство) на обичайното си местопребиваване, мястото си на работа или мястото на предполагаемото нарушение, ако счита, че обработването на лични му данни нарушава разпоредбите на Регламента или на други приложими изисквания за защита на личните данни.
Надзорен орган в Република България
Надзорен орган в Република България е Комисията за защита на личните данни, адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, интернет страница: www.cpdp.bg
Длъжностно лице по защита на данните
За контакт с длъжностно лице по защита на личните данни на МЕУ, телефон: +359 2 949 2293, Е-mail: dpo@egov.government.bg; s.stamatov@egov.government.bg.
Уведомление на контрагентите на Министерството на електронното управление във връзка с обработване на личните им данни в качеството им на субекти на данни по смисъла на Регламент (ЕС) 2016/679
Министерството на електронното управление (МЕУ) е Администратор на лични данни. МЕУ отчита значението на конфиденциалността и защитата на личните данни на физическите лица и на физическите лица-представители на юридически лица, които се явяват наши доставчици на стоки и услуги (за краткост “контрагенти“). МЕУ се ангажира да обработва тези лични данни при спазване на приложимите законови изисквания и установените стандарти и принципи.
Може да се запознаете с пълния текст на уведомлението в прикачения документ: