Вътрешни правила за мерките за защита на личните данни съгласно Регламент 2016/679 на адвокат Виктория Пенчева Досева, вписана към Софийска Адвокатска колегия
I. Общи положения
Чл. 1. (1) Адвокат Виктория Пенчева Досева, наричана по-долу само „адвоката“ е физическо лице, вписано като адвокат към Софийска Адвокатска колегия и е регистрирана по Закона за регистър БУЛСТАТ.
(2) Адвокатът е с адрес на кантора: гр.София, ж.к. Младост 2, бл. 207В, вх.1, ет.2, ап.9.
(3) Като физическо лице, вписано като адвокат към Софийска Адвокатка колегия, адвокатът осъществява дейността си, предвидена в Закона за адвокатурата, Закона за правната помощ и други нормативни актове, възлагащи правомощия на адвокатите.
(4) Адвокатът обработва лични данни във връзка със своята дейност и сам определя целите и средствата за обработването им. В този случай, адвокатът действа като администратор на лични данни.
Чл. 2. Настоящите Вътрешни правила на адвоката уреждат организацията на обработване и защитата на лични данни на контрагентите и партньорите на адвоката, на клиентите на адвоката, както и на всички други групи физически лица, с които адвокатът влиза в отношения при осъществяването на правомощията и дейността си.
Чл. 3. (1) „Лични данни“ означава всяка информация, свързана с идентифициране на физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни”); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
(2) „Обработване на лични данни“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
(3) „Регистър с лични данни“ представлява всеки структуриран набор от лични данни, независимо от неговия вид и носител, достъпът до които се осъществява съгласно определени критерии.
Чл. 4. (1) Адвокатът е администратор на лични данни по смисъла на чл. 4 от Общия регламент относно защитата на данните (ЕС) 2016/679.
(2) Като администратор на лични данни, при обработването на лични данни адвокатът спазва принципите за защита на личните данни, предвидени в Общия регламент относно защитата на данните (ЕС) 2016/679 и законодателството на Европейския съюз и Република България.
Чл. 5. (1) Принципите за защита на личните данни са:
Законосъобразност, добросъвестност и прозрачност – обработване при наличие на законово основание, при полагане на дължимата грижа и при информиране на субекта на данни;
Ограничение на целите – събиране на данни за конкретни, изрично указани и легитимни цели и забрана за по-нататъшно обработване по начин, несъвместим с тези цели;
Свеждане на данните до минимум – данните да са подходящи, свързани със и ограничени до необходимото във връзка с целите на обработването;
Точност – поддържане в актуален вид и предприемане на всички разумни мерки за гарантиране на своевременно изтриване или коригиране на неточни данни, при отчитане на целите на обработването;
Ограничаване на съхранението – чл.47 ал.1 от Закона за адвокатурата „Адвокатът или адвокатът от Европейския съюз е длъжен да пази книжата по делата, по които е бил повереник или защитник, в продължение на 5 години от приключването им;
Цялостност и поверителност – обработване по начин, който гарантира подходящо ниво на сигурност на личните данни, като се прилагат подходящи технически или организационни мерки;
Отчетност – администраторът носи отговорност и трябва да е в състояние да докаже спазването на всички принципи, свързани с обработването на лични данни.
Чл. 6. Адвокатът организира и предприема мерки за защита на личните данни от случайно или незаконно унищожаване, от неправомерен достъп, от изменение или разпространение както и от други незаконни форми на обработване на лични данни. Предприеманите мерки са съобразени със съвременните технологични достижения и рисковете, свързани с естеството на данните, които трябва да бъдат защитени.
Чл. 7. Адвокатът прилага адекватна защита на личните данни, която включва:
- Физическа защита;
- Персонална защита;
- Документална защита;
- Защита на автоматизирани информационни системи и мрежи;
Чл. 8. (1) Личните данни се събират за конкретни, точно определени от закона цели, обработват се законосъобразно и добросъвестно и не могат да се обработват допълнително по начин, несъвместим с тези цели
(2) Личните данни се съхраняват на хартиен, технически и/или електронен носител за времето, необходимо за изпълнение на правомощията и се пазят в продължение на 5 години от приключването на делата, съгласно чл.47 от закона за адвокатурата;
(3) Събирането, обработването и съхраняването на лични данни в регистрите на адвоката се извършва на хартиен, технически и/или електронен носител.
Чл. 9. Когато не са налице хипотезите на чл. 6, пар. 1 от Регламент 2016/679, физическите лица, чиито лични данни се обработват от адвоката, подписват формуляр за изрично съгласие за обработка на данни.
Чл. 10. (1) Право на достъп до регистрите с лични данни има само адвокатът, съобразно възложените му от закона правомощия.
Чл. 11. (1) Документите и преписките, по които работата е приключила, се архивират.
(2) Трайното съхраняване за нуждите на архивирането на документи, съдържащи лични данни, се извършва на хартиен и електронен носител, за срокове, съобразени с действащото законодателство.
(3) Документите на електронен носител се съхраняват на компютърни системи и/или външни носители на информация. Достъп до архивите имат само адвокатът.
Чл. 12. При регистриране на неправомерен достъп до информационните масиви за лични данни, или при друг инцидент, нарушаващ сигурността на личните данни, адвокатът, констатирал това нарушение/инцидент уведомява за инцидента Комисията за защита на личните данни.
Чл. 14. (1) При повишаване на нивото на чувствителност на информацията, произтичащо от изменение в нейния вид или в рисковете при обработването й, адвокатът може да определи допълнителни мерки за защита на информацията от съответния регистър на лични данни.
Чл. 15. (1) След постигане целта на обработване на личните данни и изтичане на съответните срокове за съхранение, предвидени в българското законодателство, личните данни, съдържащи се в поддържаните от адвоката регистри, следва да бъдат унищожени при спазване на процедурите, предвидени в приложимите нормативни актове и в настоящите Вътрешни правила.
(2) В случаите, в които се налага унищожаване на носител на лични данни, адвокатът прилага необходимите действия за заличаването на личните данни по начин, изключващ възстановяване данните и злоупотреба с тях, като:
- Личните данни, съхранявани на електронен носител и сървъри, се унищожават чрез трайно изтриване, вкл. презаписването на електронните средства или физическо унищожаване на носителите;
- Документите на хартиен носител, съдържащи данни, се унищожават чрез нарязване.
Чл. 16. Достъп на лица до лични данни се предоставя единствено, ако те имат право на такъв достъп, съгласно действащото законодателство, след подаване на заявление, респ. искане за достъп на информация, и след тяхното легитимиране.
II. Мерки по осигуряване на защита на личните данни
Чл. 17. Физическата защита при адвоката се осигурява чрез набор от приложими технически и организационни мерки за предотвратяване на нерегламентиран достъп и защита на сградите и помещенията, в които се извършват дейности по обработване на лични данни.
Чл. 18. (1). Основните организационни мерки за физическа защита при адвоката включват:
- определяне на помещенията, в които ще се обработват лични данни;
- определяне на помещенията, в които ще се разполагат елементите на комуникационно-информационните системи за обработване на лични данни,
- определяне на организацията на физическия достъп;
(2) Комуникационно-информационните системи, използвани за обработка на лични данни, се разполагат в специални физически защитени помещения или защитени шкафове.
Чл. 19. Основните технически мерки за физическа защита адвоката включват:
- Използване на ключалки и заключващи механизми;
- шкафове.
Чл. 20. Основните мерки за документална защита на личните данни, са:
- Определяне на регистрите, които ще се поддържат на хартиен носител – на хартиен носител се съхраняват всички лични данни, които изискват попълването им върху определени бланкови документи и/или формуляри, свързани с изпълнение на изисквания на действащото законодателство или пряко свързани с осъществяването на нормалната дейност на адвоката, сключване на договори, изпълнение на договори, упражняване на предвидени в закона права и установени от закона задължения, процесуално представителство и др.;
- Определяне на условията за обработване на лични данни – личните данни се събират и обработват само с конкретна цел, пряко свързана с изпълнение на законовите и договорни задължения на адвоката, а начинът на тяхното съхранение се съобразява със специфичните нужди за обработка и физическия носител на данните;
- Регламентиране на достъпа до регистрите с лични данни – достъпът до регистрите с лични данни е ограничен и се предоставя само на адвоката;
- Определяне на срокове за съхранение – личните данни се съхраняват не по-дълго от колкото е необходимо, за да се осъществи целта, за която са били събрани и до изтичане на определения в действащото законодателство срок.
- Процедури за унищожаване: Документите, съдържащи лични данни, сроковете за съхранение на които са изтекли, се унищожават по подходящ и сигурен начин (напр. изгаряне, нарязване, електронно изтриване и други подходящи за целта методи, съобразени с физическия носител на данните).
Чл. 21. Защитата на компютърните системи при адвоката включва набор от приложими технически и организационни мерки за предотвратяване на нерегламентиран достъп до системите и/или мрежите, в които се създават, обработват и съхраняват лични данни.
- регламентиране на достъпа до вътрешната мрежа: Достъп до вътрешната мрежа има единствено адвоката. Минимално изискваното ниво на сигурност за достъп до вътрешните мрежи изисква идентифициране с уникално потребителско име и парола.
- активиране на автоматична защита и сканиране за зловреден софтуер и обновяване на антивирусни дефиниции.
- забрана за пренос на данни от заразени компютри. При съмнение или установяване на заразяване на компютърна система работещият с нея адвокат е задължен да преустанови действия за работа и/или изпращане на информация от заразения компютър (чрез външни носители, електронна поща и/или други способи за електронна обмяна на информация) до премахване на зловредния софтуер.
- създаване и поддържане на резервни копия за възстановяване.
III. Базисни правила и мерки за осигуряване на защита на личните данни при компютърна обработка
Чл. 22. Компютърен достъп през локалната мрежа към файлове, съдържащи лични данни, се осъществява само от адвоката.
Чл. 23. Използваният хардуер за съхранение и обработване на лични данни отговаря на съвременните изисквания и позволява гарантиране на разумна степен на устойчивост, възможности за архивиране и възстановяване на данните и работното състояние на средата.
IV. Права и задължения на обработващия лични данни адвокат
Чл. 24. Адвокатът е длъжен:
- да обработва лични данни законосъобразно и добросъвестно;
- да използва личните данни, до които има достъп, съобразно целите, за които се събират, и да не ги обработва допълнително по начин, несъвместим с тези цели;
- да актуализира при необходимост регистрите на личните данни;
- да заличава или коригира личните данни, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
- да поддържа личните данни във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват и сроковете, предвидени в закона.
V. Допълнителни разпоредби
Чл. 25. (1) За всички неуредени в настоящите Вътрешни правила въпроси, са приложими разпоредбите на Общия регламент относно защитата на данните (ЕС) 2016/679, приложимото право на Европейския съюз и законодателството на Република България относно защитата на личните данни.
Настоящите вътрешни правила са приети от адвоката на 06.08.2020г.