МНЕМОНИКА АД
ПРОЦЕДУРА ЗА ЗАЯВКА ЗА ДОСТЪП ДО ДАННИ НА СУБЕКТ
Версия 01 / 05.04.2019 г.
Съдържание
- ОБХВАТ, ПРЕДНАЗНАЧЕНИЕ И ПОЛЗВАТЕЛИ
- РЕФЕРЕНТНИ ДОКУМЕНТИ
- ЗАЯВКА ЗА ДОСТЪП ДО ДАННИ НА СУБЕКТ (“ЗДДС“)
- ПРАВАТА НА СУБЕКТИТЕ НА ДАННИ
- ИЗИСКВАНИЯ ЗА ВАЛИДНА ЗДДС
- ЗДСД ПРОЦЕС
- ИЗКЛЮЧЕНИЯ
- ОТКАЗ НА ЗАЯВКА ЗА ДОСТЪП ДО ДАННИ НА СУБЕКТ
- ОТГОВОРНОСТИ
- УПРАВЛЕНИЕ И СЪХРАНЕНИЕ НА ЗАПИСИ НА БАЗАТА НА ТОЗИ ДОКУМЕНТ
- ВАЛИДНОСТ И УПРАВЛЕНИЕ НА ДОКУМЕНТИ
- ПРИЛОЖЕНИЕ: БЛОК-СХЕМА НА ЗАЯВКАТА ЗА ДОСТЪП ДО ДАННИ НА СУБЕКТ
1. Обхват, предназначение и ползватели
Тази процедура определя основните характеристики, свързани с обработката или отговорите на искания за достъп до лични данни, направени от субектите на данни, техните представители или други заинтересовани страни. Тази процедура ще позволи на Мнемоника АД, (наричана по-долу “Дружеството”), да спазва законовите си задължения, да осигури по-добра грижа за клиентите, да подобри прозрачността, да даде възможност на отделните лица да потвърдят, че информацията, която се съхранява за тях, е точна, както и да повиши нивото на доверие на лицата относно информацията, която се води за тях.
Тази процедура се прилага широко във всички предприятия или дъщерни дружества, притежавани или експлоатирани от дружеството, но не засяга никакви държавни или местни закони или разпоредби, които иначе биха могли да бъдат приложими.
Тази процедура се прилага за служители, които обработват заявки за достъп на субекти на данни, като например Служителя по Защита на Данните.
2. Референтни Документи
- EU GDPR 2016/679 (Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. за защита на физическите лица при обработването на лични данни и за свободното движение на такива данни и за отмяна на Директива 95/46 / ЕО)
- Закон за защита на личните данни
3. Заявка за Достъп до Данни на Субект (“ЗДДС“)
Заявка за Достъп до Данни на Субект (ЗДДС) е всяко искане, направено от физическо лице или от законен представител на физическо лице за информация, държана от компанията относно това лице. Заявката за достъп до обект на данни предоставя право на субектите на данни да видят или прегледат своите лични данни, както и да поискат копия на данните.
Заявка за Достъп до Данни на Субект (ЗДДС) трябва да бъде направена в писмена форма. Като цяло, вербалните искания за информация от дадено лице, не се считат за ЗДДС. В случай, че официална заявка за достъп до данни за даден човек е направена устно на член на персонала на Дружеството, следва да се потърсят допълнителни указания от Служителя по защита на личните данни, който ще разгледа и одобри всички заявки за достъп до заявка за достъп до данни.
Заявката за достъп до обект на данни може да бъде направена по някой от следните начини: имейл, факс, пост, корпоративен уебсайт или друг метод. ЗДДС, направени онлайн, трябва да се третират като всякакви други заявки за достъп до данни за даден обект при получаване, макар че компанията няма да предоставя лични данни чрез социални медийни канали.
4. Правата на Субектите на Данни
Достъпа на субектите на данни включват следните права:
- Да знаят дали администратора на данни съхранява някакви лични данни за тях.
- Да получат описание на данните, съхранявани за тях и ако е допустимо и практично – копие от данните.
- Да бъдат информирани за предназначението/ята, за които данните се обработват и от къде са получени.
- Да бъдат информирани дали информацията се разкрива на някого, различен от първоначалния получател на данните и ако е така – самоличността на тези получатели.
- Право на преносимост на данни. Субектите на данни могат да поискат личните им данни да бъдат прехвърлени на тях или на трета страна в машинно четим формат (Word, PDF и т.н.). Тези искания обаче могат да бъдат изпълнени само ако въпросните данни са: 1) предоставени от субекта на данни на Дружеството; 2) се обработват автоматично и; 3) се обработват въз основа на съгласие или изпълнение на договор.
- Ако данните се използват за вземане на автоматизирани решения относно субекта на данните – да бъде информиран каква логика използва системата, за да вземе тези решения и да може да поиска човешка намеса.
Компанията трябва да даде отговор на субектите на данни, които искат достъп до техните данни, в рамките на 30 календарни дни от получаването на заявката за достъп до данни, освен ако местното законодателство не налага друго.
5. Изисквания за валидна ЗДДС
За да може своевременно да отговори на заявките за достъп до данни на субекта, субектът на данните трябва да:
- Изпрати заявката си, като използва формуляр Заявка за Достъп до Данни на Субект (ЗДДС).
- Да предостави на компанията достатъчно информация, за да потвърди самоличността си (за да се увери, че лицето, поискало информацията, е субектът на данните или неговият упълномощен представител).
Съгласно изключенията, посочени в настоящия документ, Дружеството ще предостави информация на субектите на данни, чиито искания са в писмен вид (или по друг начин изрично разрешен от местния закон) и са получени от лице, чиято самоличност може да бъде валидирана от Дружеството.
Дружеството обаче няма да предостави данни, ако идентифицирането и изтеглянето на информацията отнема прекалено много ресурси и време. Исканията е по-вероятно да бъдат успешни, когато са конкретни и насочени към определена информация.
Факторите, които могат да помогнат за стесняване на обхвата на търсенето, включват идентифициране на вероятния притежател на информацията (напр. чрез посочване на конкретен отдел), периодът, в който информацията е била генерирана или обработена (колкото по-стеснен е периодът, толкова по-вероятно е искането да бъде успешно) и конкретно за естеството на търсените данни (напр. копие на конкретен формуляр или записи по електронна поща от определен отдел).
6. ЗДСД Процес
6.1. Искане
При получаване на ЗДДС, Служителят по защита на личните данни ще потвърди искането. Заявителят може да бъде помолен да попълни формуляр Заявка за Достъп до Данни на Субект (ЗДДС), за да даде възможност на компанията да намери съответната информация.
6.2. Проверка на идентичността
Служителят по защита на личните данни трябва да проверява самоличността на всеки, който прави ЗДДС, за да се гарантира, че информацията се предоставя само на лицето, което има право на това. Ако заявителят на ЗДДС вече не е удостоверил самоличността си, то ще бъде помолен да предостави две форми на идентификация, една от които трябва да е идентификация на снимка, а другата потвърждение на адреса.
Ако заявителят не е субекта на данните, се изисква писмено потвърждение, че заявителят е упълномощен да действа от името на субекта на данните.
6.3. Информация за Заявка за Достъп до Данни на Субект
При получаване на необходимите документи лицето, което получава искането, предоставя на Служителя по защита на личните данни цялата необходима информация в подкрепа на ЗДСД. Когато служителят по защита на данните е удовлетворен от информацията, с която разполага по случая, представена от лицето, получило искането, служителят по защита на данните уведомява заявителя, че на неговата ЗДДС ще бъде отговорен в рамките на 30 календарни дни. 30-дневният срок започва да тече от датата, на която са получени необходимите документи. Заявителят ще бъде писмено информиран от Служителя по защита на личните данни, ако има отклонение от срока от 30 дни, поради настъпили извънредни събития.
6.4. Преглед на Информация
Служителят по защита на данните ще се свърже и ще поиска от съответния(те) отдел(и) изискваната информация, както е поискано в ЗДДС. Това може да включва и първоначална среща със съответния отдел, за да се премине към искането, ако е необходимо. Отделът, който съхранява информацията, трябва да върне изискваната информация до крайния срок, наложен от служителя за защита на данните и/или да бъде организирана нова среща с отдела за преглед на информацията. Служителят по защита на данните ще определи дали има информация, която може да бъде предмет на освобождаване и/или ако се изисква съгласие от трета страна.
Служителят по защита на данните трябва да гарантира, че информацията е прегледана/получена в определения краен срок, за да се гарантира, че не се нарушава срока от 30 календарни дни. Служителят по защита на личните данни ще поиска от съответния отдел да попълни „Формуляр за разкриване на данни“, за да документира спазването на изискването за 30 дни.
6.5. Отговор на Искането за Достъп
Служителят по защита на данните ще предостави финалния отговор заедно с информацията, получена от отдела(ите) и/или декларация, че Дружеството не притежава исканата информация или че се прилага изключение. Служителят по защита на данните ще гарантира, че писмения отговор ще бъде изпратен обратно на заявителя. Това ще бъде по електронна поща, освен ако заявителят не е посочил друг начин, по който желае да получи отговора (напр. стандартна поща). Дружеството ще предоставя информация само чрез защитени канали. Когато се изпращат хартиени копия на информация, те ще бъдат запечатани сигурно и изпратени с обратна разписка.
6.6. Архивиране
След като отговора бъде изпратен на заявителя, ЗДДС ще бъде считана за затворена и архивирана от служителя по защита на данните.
Процедурата е представена като диаграма в приложението към настоящия документ.
7. Изключения
Дадено лице няма право на достъп до информация, записана за друг, освен ако не е упълномощен представител или при родителска отговорност.
Дружеството не е задължено да отговаря на искания за информация, освен ако не е предоставена достатъчно подробна информация, която да позволи идентифицирането на местоположението на информацията и да се убеди в самоличността на субекта на данните, подаващ искането.
В общия случай, Дружеството не разкрива следният тип информация след получаването на Заявка за Достъп до Данни на Субект:
- Информация за други хора – Заявка за Достъп до Данни на Субект може да обхваща информация, която се отнася до физическо лице или физически лица, различно от субекта на данните. Достъпът до такива данни няма да бъде предоставен, освен ако участващите лица не дадат съгласието си за разкриването на техните данни.
- Повтарящи се искания – Когато подобна или идентична молба, по отношение на същия субект на данни е била изпълнена в скорошен разумен срок и когато няма значителна промяна в личните данни, съхранявани във връзка с въпросния субект на данни, всяко по-нататъшно искане, направено в рамките на шестмесечен период от първоначалното искане ще се счита за повторно искане и Дружеството няма да предостави допълнително копие на същите данни (при нормални обстоятелства).
- Обществено достъпна информация – Дружеството не е длъжно да предоставя копия на документи, които вече са обществено достояние.
- Мнения, дадени поверително или защитени от закона за авторското право – Дружеството не е длъжно да разкрива лични данни, съхранявани във връзка с даден субект на данните, което е под формата на мнение, дадено поверително или защитено от закона за авторското право.
- Привилегировани документи – Всяка привилегирована информация, притежавана от Дружеството, не трябва да бъде разкривана в отговор на ЗДДС. По принцип привилегированата информация включва всеки документ, който е поверителен (например директна комуникация между клиент и негов адвокат) и е създаден с цел получаване или предоставяне на правни съвети.
8. Отказ на Заявка за Достъп до Данни на Субект
Има ситуации, при които физическите лица нямат право да виждат информация, свързана с тях. Например:
- Ако информацията се съхранява само за целите на статистиката или научните изследвания и когато резултатите от статистическата работа или научните изследвания не са предоставени във форма, която идентифицира някое от участващите лица.
- Исканията, направени за други цели, които не са за защита на данните, могат да бъдат отхвърлени.
Ако отговорното лице откаже заявка за достъп до даден обект от името на компанията, причините за отхвърлянето трябва да бъдат ясно посочени в писмен вид. Всяко лице, неудовлетворено от резултата от заявката за достъп до него, има право да поиска от служителя по защита на данните да прегледа причините за отказа.
9. Отговорности
Цялостната отговорност за осигуряване на съответствието на ЗДДС се носи от служителя по защита на данните.
Ако Дружеството действа като администратор на данни към субекта на данните, който подава искането, ЗДДС ще бъде адресиран въз основа на разпоредбите на тази процедура.
Ако Дружеството действа като обработващ данни, служителят по защита на данните ще препрати искането до съответния администратор на данни, от чието име Дружеството обработва лични данни на субекта на данните, подаващ искането.
10. Управление и съхранение на записи на базата на този документ
Име на записа | Място на съхранение | Отговорник за съхранението | Контроли за защита на записите | Време за съхранение |
Заявка за Достъп до Данни на Субект | Защитен сървър | Служителят по Защита на Данните | Само упълномощени служители имат достъп по формулярите | 10 години |
Формуляр за Разкриване на Данни | Защитен сървър | Служителят по Защита на Данните | Само упълномощени служители имат достъп по формулярите | 10 години |
11. Валидност и управление на документи
Този документ е валиден от 05.04.2019 г.
Собственикът на този документ е ИД, той трябва да провери и ако е необходимо – да актуализира документа най-малко веднъж годишно.