Чл.1 Фондация ЖАХЕСТ- Академия по здравни грижи (Фондация/та) в качеството си на администратор на лични данни по смисъла на чл. 4, ал. 7 от Регламент (ЕС) 2016/679 осъществява дейността по събиране, обработване и съхранение на лични данни в съответствие с Регламент (ЕС) 2016/679 и Закона за защита на личните данни.
Чл.2 Фондацията е юридическо лице с нестопанска цел, определена за извършване на дейност в обществена полза, вписана в Търговския регистър и регистъра ЮЛНЦ към Агенцията по вписванията с ЕИК 207268266 и със седалище и адрес на управление: гр. София, ж.к. Обеля2, бл. 231, вх. Г. ет. 2, ап.86,, тел 0893855300,
email: jahest.academy@gmail.com, интернет страница: http://www.jahest.com
ОТГОВОРНИК ПО ЗАЩИТА НА ЛИЧНИТЕ ДАННИ:
Чл.3 Име:Анжела Милетиева Найденова Адрес за кореспонденция: гр. София, ж.к. Обеля2, бл. 231, вх. Г. ет. 2, ап.86 Телефон: 0893855300 e-mail: anzelamiletieva@gmail.com
ПРИНЦИПИ НА ОБРАБОТВАНЕ НА ДАННИ:
Чл.4 Законосъобразност, добросъвестност, прозрачност по отношение на субекта на данни; ограничение на данните; свеждане на данните до минимум; точност; времево ограничаване на съхранението; цялостност и поверителност; отчетност.
Чл.5 Фондацията обработва данните на своите клиенти и служители в съответствие с тези принципи за защита на личните данни, носи отговорност и е в състояние да докаже спазването на произтичащите от тях изисквания за администратор на данни.
ЦЕЛИ И ПРАВНИ ОСНОВАНИЯ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ:
Чл.6 Фондация ЖАХЕСТ-Академия по здравни грижи събира и обработва лични данни на:
∙ Свои служители и доброволци;
∙ Физически и юридически лица, партньори и донори на организацията
∙ Клиенти на социалните услуги, които управлява;
∙ Бенифициенти на проектите, които изпълнява.
Чл.7 Фондацията обработва и съхранява лични данни, предоставени лично от субекта на данните във връзка със спазването на законовите задължения на администратора.
Чл.8 Фондацията обработва лични данни, предоставени лично от субектите на лични данни, в случаите, когато субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели, когато обработването е необходимо на база на договорни изисквания или за целите на легитимните интереси на администратора.
Чл.9 Фондация ЖАХЕСТ-Академия по здравни грижи обработва и съхранява лични данни, които не са получени от клиента в качеството на субект на данните, а са представени от други органи и институции във връзка с предоставянето на конкретни услуги или изпълнение на конкретно договорно задължение.
Чл.10 Фондацията събира и обработва лични данни за следните цели:
∙ За целите на управлението на човешките ресурси се обработват лични данни на кандидати за работа, настоящи и бивши служители на Фондацията, с цел изпълнение на законови задължения от страна на администратора по трудово-правните правоотношения;
∙ Изпълнението на нормативно установени задължения, произтичащи от законови задължения вменени на администратора съгласно българското законодателство;
∙ Обработване и съхранение на лични данни при сключване на споразумения за сътрудничество и договори с донори на финансови и материални ресурси за изпълнение на различни здравно-социални или образователни услуги;
∙ Изпълнение на договор за предоставяне на услуги, по които субекта на данни е страна;
∙ Идентифициране на физически лица във връзка с предоставянето на дарения, бенифициенти по проекти, участници в обучения, изследвания, проучвания и събития на Фондацията;
∙ За извършване на административни услуги, по искане на субектите на данни.
∙ За целите на легитимни интереси на администратора или на трета страна със съгласието на субекта на данните.
КАТЕГОРИИ ЛИЧНИ ДАННИ, КОИТО ФОНДАЦИЯТА ОБРАБОТВА
Чл.11 В зависимост от целта, Фондацията събира, обработва и съхранява следните категории лични данни:
Категория „обикновени данни“: имена; ЕГН; данни на документи за самоличност, месторождение, телефон за връзка, електронна поща; данни относно семейно положение на лицето (брак, развод, вдовство, съжителство на семейни начала, брой членове на семейството, деца до 20-годишна възраст) и др.; трудов, служебен и осигурителен стаж; данни относно гражданско-правен статус – свидетелство за съдимост и др.
Категория специални (чувствителни): данни за здравословното състояние – физиологично, психическо и психологическо състояние на лицето, данни за социалния статус и социалната идентичност на лицето. Данни, разкриващи етническа, религиозна принадлежност или принадлежност към уязвима група. Събраните данни се използват за посочените по-горе цели и се предоставят на трети лица само в случаите:
∙ Когато това е предвидено в закон. Такива са случаите, в които се предоставят данни на държавни публични институции и контролни органи.
∙ При предоставяне на изискуема отчетна документация към финансиращ орган.
СЪГЛАСИЕ
Чл.12 Фондация ЖАХЕСТ-Академия по здравни грижи събира и обработва лични данни при предоставянето на социални услуги на базата на договори за предоставяне на социални услуги. Предоставянето на социалната услуга на клиентите се извършва на базата на договор с клиента. Когато субектът на данни подписва договор, съгласие не е необходимо, защото данните му се събират на друго законово основание.
Чл.13 Фондация ЖАХЕСТ-Академия по здравни грижи събира и обработва лични данни при включване на клиенти в развитийни дейности и програми, предоставяни на базата на договорни отношения с финансиращи институции и донорски организации. По силата на тези договорни отношения Фондацията е задължена да събира и обработва лични данни. В тези случай, клиентите включени в програмите подписват информационна карта за обработване на лични данни. Когато се събират и обработват лични данни на деца информационната карта за обработване на лични данни се подписва от упражняващите родителските права (родители, настойници и т. н.). Това изискване се прилага за деца на възраст под 16 години.
Чл.14 Фондация ЖАХЕСТ-Академия по здравни грижи събира и обработва лични данни при предоставянето на административно обслужване и предоставянето на допълнителни дейност на клиенти. В тези случаи трябва да се получи изрично писмено съгласие за обработване на лични данни на субектите на данни, освен ако не съществува алтернативно законно основание за обработването им.
СЪХРАНЕНИЕ И УНИЩОЖАВАНЕ НА ЛИЧНИ ДАННИ
Чл.15 Обработваните лични данни се съхраняват и унищожават спрямо процедурата за съхранение и унищожение на лични данни. Във връзка с изпълнение на по-горе описаните дейности и задължения се обработват само изискуемите лични данни, които се съхраняват в определените в нормативните актове срокове.
Чл.16 Фондацията осигурява подходящи технически и организационни мерки за защита на личните данни, които са „поверителна информация” и служителите й са обвързани с пазенето й, подписвайки нарочна декларация за поверителност.
Чл.17 Като администратор на лични данни Фондацията прилага съвкупност от мерки, за да защити личните данни от загуба, нерегламентиран достъп, злоупотреба, разкриване, промяна или унищожаване. По изключение е възможно, лични данни да бъдат разкрити и предоставени на трети лица, когато това е предвидено в нормативен акт.
Чл.18 Лични данни се събират, обработват и съхраняват в съответните законно изискуеми регистри в централния офис на организацията. Достъп до регистрите с лични данни и работа с тях имат служители и длъжностни лица, съобразно възложени им по длъжностна характеристика правомощия.
РАЗКРИВАНЕ НА ЛИЧНИ ДАННИ
Чл.19 Фондацията като администратор на лични данни има право да разкрие обработваните лични данни само на следните категории лица:
∙ Физически лица, за които се отнасят данните;
∙ Лица, за които правото на достъп е законово установено;
∙ Лица, за които правото произтича по силата на договор.
ПРАВА НА СУБЕКТА НА ДАННИ ПРЕД АДМИНИСТРАТОРА НА ЛИЧНИ ДАННИ
Чл.20 При първоначално събиране на данни, субекта на данни има правото на информираност за идентифициране на Фондацията, като администратор на лични данни, което включва координати за връзка, координати на длъжностното лице по защита на личните данни; целите на обработването, правното основание, получателите на личните данни, допълнителна информация – срок за съхраняване на данните, съществуване на правото на достъп, коригиране или изтриване на лични данни или ограничаване на обработването им, задължителния или доброволен характер на предоставянето на лични данни, право на отказ за предоставяне на лични данни и последиците от това, право на жалба до Комисия за защита на личните данни като надзорен орган.
Чл.21 Информацията може да се предостави в писмена, устна форма или с електронни средства по договаряне, в разбираема и ясна форма, особено ако информацията е насочена към деца.
Чл.22 В случаите когато при предоставяне правото на достъп на субекта на данни могат да се разкрият лични данни и за трето лице, администраторът е длъжен да предостави частичен достъп до тях, без да разкрива данни за третото лице.
КОРИГИРАНЕ
Чл.23 Субекта на данни има право да поиска Фондацията да коригира неточни лични данни в разумен срок или да допълни непълни такива.
ИЗТРИВАНЕ
Чл.24 Изтриването е право на заличаване на лични данни, обработването на които не отговаря на регламентираните изисквания или е с отпаднало правно основание (изтекъл срок на съхранение, оттеглено съгласие, изпълнена първоначална цел, за която са били събирани данните и др.).
Чл.25 Изтриването е невъзможно ако за администратора на лични данни Фондацията съществува:
∙ правно задължение, което изисква обработването на данните,
∙ данните са необходими за изпълнение на задача от обществен интерес;
∙ данните са събрани или обработени при упражняването на официални правомощия, които са предоставени на администратора;
∙ архивиране за цели в обществен интерес, научни или исторически изследвания или статистически цели.
ОГРАНИЧАВАНЕ НА ОБРАБОТВАНЕТО
Чл.26 Ограничаване на обработването на лични данни е възможно при наличие на законови основания – оспорване точността на личните данни, когато обработването е неправомерно, при възражение срещу обработването им и други правни основания.
ПРЕНОСИМОСТ НА ДАННИТЕ
Чл.27 Субектът на данни има право да получи личните данни, които го засягат и които той е предоставил, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор, когато обработването на данните се извършва по автоматизиран начин или обработването е основано на съгласие или на договорно задължение.
Чл.28 Това право не се отнася до обработването, необходимо за изпълнение на задача от обществен интерес или при упражняването на официалните правомощия, които са предоставени на администратора.
ВЪЗРАЖЕНИЕ
Чл.29 Субектът на данните има право на възражение срещу обработването на лични данни, отнасящи се до него. В тези случаи, до изясняване на спора администраторът прекратява обработването на личните данни, освен ако не са налице законови основания за обработването.
СЪОБЩАВАНЕ ЗА НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ
Чл.30 При вероятност за нарушена сигурност на данните, в разумен срок Фондацията е длъжна да уведоми субекта на данните за нарушението.
ЗАЩИТА
Чл.31 В случай, че правото на защита на личните данни е било нарушено в конкретна ситуация, субектът на данните има право на защита по административен ред пред Комисия за защита на личните данни https://www.cpdp.bg/ или по съдебен ред пред съответния административен съд.
Чл.32 Правата, произтичащи от защита на личните данни може да бъдат осъществени чрез подаване на изрично писмено заявление до длъжностното лице по защита на личните данни на Фондацията, съдържащо минимум следната информация: име, адрес, данни за идентифициране на ползвателя на услуга, описание на конкретното искане, предпочитана форма за предоставяне на информацията, подпис, дата на подаване на заявлението и адрес за кореспонденция.
Чл.33 Заявление за упражняване на право по защита на лични данни може да бъде подадено до Фондацията по следния начин:
∙ по електронен път на имейл адреса на длъжностното лице по защита на личните данни: anzelamiletieva@gmail.com
∙ по електронен път на имейл адресa на организацията: jahest.academy@gmail.com
∙ по пощата на адрес: гр. София, ж.к. Обеля2, бл. 231, вх. Г. ет. 2, ап.86
Чл.34 Администраторът на лични данни ще предостави на субекта на данни информация относно действията, предприети във връзка с искането за упражняване на правата в срок от един месец. Цялата процедура по упражняване на права на физическо лице във връзка с личните им данни е безплатна за лицето.
Чл.35 С цел избягване на злоупотреби, при подаване на заявление от упълномощено лице, към заявлението се прилага нотариално заверено пълномощно. Когато данните, предмет на заявлението не съществуват или предоставянето им е забранено със закон, на заявителя се отказва достъп до тях.
ПОСЛЕДИЦИ ОТ ОТКАЗ ЗА ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ
Чл.36 Изрично съгласие на физически лица, чиито данни се обработват не е необходимо, ако администраторът разполага с правно основание за обработка на лични данни. Такива основания са:
∙ Нормативно установено задължение във връзка с изискванията на трудовото, данъчното и социално-осигурително законодателство
∙ Закона за задълженията и договорите
∙ Закона за счетоводство.
Чл.37 В случай на отказ от доброволно предоставяне на искани лични данни, Фондацията няма да бъде в състояние да изпълни свои нормативно или договорно установени задължения, включително да не бъде в състояние да предостави услуги и/или включи в дейности по проекти на отказващия да предостави личните си данни субект.
ИЗПОЛЗВАНИ ТЕРМИНИ И ДЕФИНИЦИИ
Чл.38 По смисъла на настоящата Политика:
„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер или чрез един или повече специфични признаци.
„Обработване на лични данни“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
„Администратор на лични данни“ е Фондация ЖАХЕСТ-Академия по здравни грижи, който сам или съвместно/чрез възлагане на друго лице обработва лични данни.
„Регистър с лични данни“ е всяка структурирана съвкупност от лични данни, достъпна по определени критерии, съгласно Вътрешните правила на Фондацията, която може да бъде централизирана или децентрализирана и е разпределена на функционален принцип.
Настоящата политика е изготвена с цел информираност на субектите на данни, като същата може да бъде актуализирана, изменяна и допълвана в бъдеще, когато обстоятелствата го налагат.
ДЕКЛАРАЦИЯ
Ръководството на Фондация ЖАХЕСТ-Академия по здравни грижи се ангажира да осигури съответствие със законодателството на ЕС и държавите-членки по отношение на обработването на личните данни и защитата на „правата и свободите“ на лицата, чиито лични данни Фондацията събира и обработва съгласно Общия регламент за защита на данните (Регламент (ЕС) 2016/679). Тази политика се прилага за обработващите лични данни и всички служители на Фондацията.
Всяко нарушение на Общия регламент ще бъде разглеждано като нарушение на трудовата дисциплина, а в случай, че има предположение за извършено престъпление, въпросът ще се предостави за разглеждане в най-кратък възможен срок на съответните държавни органи за ангажиране на наказателна отговорност.
Настоящата политика се отнася до всички дейности по обработването на лични данни, включително тези, които се извършват относно лични данни на клиенти, служители, доставчици и партньори и всякакви други лични данни, които Фондацията обработва от различни източници. Трети страни, които работят с или за Фондацията, в т.ч. партньори, външни доставчици, клиенти и др., както и които имат или могат да имат достъп до личните данни на администратора, са длъжни да се запознаят и съобразят с тази политика.
Администраторът е длъжен да сключи споразумение за поверителност на данните с всяка трета страна, на която предоставя достъп до личните данни, обработвани от него.