2018-07-04 20:08:26

Политика за защита на личните данни

Политика за защита на личните данни на Фондация „Нашите недоносени деца"

Общи положения и определения

Фондация „Нашите недоносени деца" (ФННД) е юридическо лице с нестопанска цел, определена за извършване на дейност в обществена полза, вписана в Търговския регистър и регистър на ЮЛНЦ към Агенцията по вписванията с ЕИК 176312861 и със седалище и адрес на управление в гр. София, ул. Майор Димитър Думбалаков 38, тел.: 0887 545 446, е-mail: office@premature-bg.com, интернет страница: http://www.premature-bg.com

„Лични данни" означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни"); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

„Обработване" на лични данни означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

„Администратор" на лични данни е Фондация "Нашите недоносени деца".

„Регистър с лични данни" е всяка структурирана съвкупност от лични данни, достъпна по определени критерии, съгласно Вътрешните правила на Фондация "Нашите недоносени деца".

„Получател" означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не.

„Трета страна" означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни.

Настоящата Политика за защита на личните данни има за цел да уреди събирането, обработването и съхраняването на лични данни в съответствие с правните изисквания на Закона за защита на личните данни и подзаконовите му актове и Общия регламент относно защитата на данните (ЕС) 2016/679 ("GDPR").

Настоящата инструкция регламентира:

1. Механизмите за водене, поддържане и защита на регистрите, съхраняващи лични данни във Фондация "Нашите недоносени деца".
2. Видовете регистри, които се водят във Фондация "Нашите недоносени деца" и тяхното общо и технологично описание.
3. Правата и задълженията на лицата, обработващи лични данни и/или лицата, които имат достъп до лични данни и работят под ръководството на обработващите лични данни, тяхната отговорност при неизпълнение на тези задължения.
4. Необходимите технически и организационни мерки за защита на личните данни.
5. Реда за упражняване на контрол при обработването на лични данни от служителите на Фондация "Нашите недоносени деца".
6. Оценка на въздействие и определяне нивото на защита.
7. Предоставяне на данни на трети лица – основание, цел, категории лични данни.

Политиката се утвърждава, допълва, изменя или отменя със заповед на Председателя на Фондация "Нашите недоносени деца" - Николина Николова Сирнишка-Костова.

II. Видове субекти на лични данни, чиито данни се обработват от Фондация "Нашите недоносени деца"

Данни на субекти Дарители физически лица (даряващи материални дарения), които подписват договор за дарение с Фондация "Нашите недоносени деца" - три имена; ЕГН или личен номер на чужденец; адрес;
Данни на субекти Дарители физически лица (даряващи услуга или други нематериални дарения), които подписват договор за дарение на услуга с Фондация "Нашите недоносени деца" - три имена; ЕГН или личен номер на чужденец; адрес;
Данни за субекти Партньори, извършващи дейност на Граждански договор (Специалисти) - три имена; ЕГН или личен номер на чужденец; адрес;
Данни за субекти Доброволци, които даряват труда си - три имена; ЕГН или личен номер на чужденец; адрес
Данни на субекти, които кандидатстват за работа на имейл на office@premature-bg.com - три имена; ЕГН или личен номер на чужденец, адреси, телефон, имейл, образование, трудов опит и квалификации.
Данни на субекти, които сключват трудов или граждански договор - три имена; ЕГН или личен номер на чужденец, данни от документ за самоличност, адреси, образование, банкова сметка, други, предоставени от субекта.
Данни на субекти, които участват в провеждани от Фондация "Нашите недоносени деца" рекламни кампании, томболи, игри в интернет или на определено за целта място, независимо дали участието в тях е обвързано с покупка или не. Фондацията получава и обработва личните данни на тези субекти, които обичайно включват: име, фамилия, населено място, адрес за кореспонденция, имейл адрес, телефонен номер.
Данни на субекти, които не са страна по договор, но които по тяхна инициатива предоставят на Фондацията си лични данни, заявления, жалби, сигнали и др. под. – три имена, ЕГН, адрес, телефон, имейл адрес – съгласно предоставеното от субекта.
Данни на субекти – Партньори - три имена; ЕГН или личен номер на чужденец, адрес, телефон, банкова сметка.
Данни на субекти Анкетирани, които се включват в Анкети (анонимни или не) - три имена, телефон, електронна поща
Данни на субекти Клиенти, които записват час за консултация със специалист или са включени в различни социални програми на Фондацията - три имена; ЕГН или личен номер на чужденец, адрес, телефон, имейл адрес; документи удостоверяващи доход, медицински документи; копие от лична карта

III. Категории лични данни, които се обработват от "Фондация нашите недоносени деца"
Физическа идентичност – име, ЕГН/ЛНЧ, номер на лична карта, дата и място на издаване, адрес, месторождение, телефони за връзка, един или повече специфични признаци и други;
Семейната идентичност – семейно положение (наличие на брак, развод, брой членове на семейството, в т.ч. деца до 18 години), родствени връзки и др.;
Образование – вид на образованието, място, номер и дата на издаване на дипломата, допълнителна квалификация. Предоставят се от лицата на основание нормативно задължение във всички случаи, когато е необходимо;
Допълнителна квалификация – данните се представят от лицата на основание нормативно задължение във всички случаи, когато е необходимо;
Трудова дейност – професионална биография – данните се представят от лицата на основание нормативно задължение във всички случаи, когато е необходимо;
Медицински данни – физиологично, психическо и психологично състояние на лицата. Данните са от значение при заемане на длъжности и изпълнение на функции, изискващи особено висока степен на отговорност, пряка ангажираност и непосредствен досег с хора, в това число от рискови групи;
Икономическа идентичност – финансово състояние;
Други – етнос, лични данни относно гражданско-правния статус на лицата, необходими за длъжностите, свързани с материална отговорност. Предоставят се на основание нормативно задължение.

IV. Цел на обработване на личните данни

Обработване на личните данни е допустимо в следните случаи:

Когато е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни
Физическото лице, за което се отнасят данните, е дало своето изрично съгласие
Когато обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор, предприети по искане на лицето.
Когато обработването е необходимо за целите на легитимните интереси на администратора или на трета страна
Когато обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице
Обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес
Обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните

Фондация "Нашите недоносени деца" обработва лични данни за следните Цели:

Обработване на лични данни на Дарители физически лица на материални и нематериални дарения с цел подписване на договор за Дарение и идентифициране на дарителя
Обработването на лични данни на кандидати за работа се извършва с цел оценка на възможността за сключване на трудов или граждански договор.
Обработването на лични данни на субектите, участващи в провеждани рекламни активности - кампании, томболи, игри, е с цел участието им в съответната рекламна активност, а на печелившите/победителите - с цел уведомяването им за резултата и предоставянето на същия. Част от личните данни и снимки на участниците от съответната рекламна активност се публикуват на Facebook и интернет страницата на Фондация "Нашите недоносени деца" и Семеен център "Малки чудеса" с рекламна цел.
Данни на субекти, които не са страна по договор, но които по тяхна инициатива предоставят на Фондацията си лични данни, заявления, жалби, сигнали и др., се обработват с цел проверка, изпълнение и отговор на съответното запитване/искане.
Данни на субекти – партньори на администратора, се обработват с цел сключване, изпълнение и прекратяване на договор за възлагане на работа/ извършване на услуга.
Данни за субекти Доброволци, които даряват труда си, се обработват с цел сключване на договора за доброволчество в рамките на дадена кампания.
Данни на субекти Анкетирани, се обработват с цел събиране на мнение и обобщаването в статистика, статия или друг материал.
Данни на субекти Клиенти, се обработват с цел записване на час за консултация със специалист на територията на Семеен център "Малки чудеса" или включването им в различни социални програми на Фондацията.
Данни на субекти – Партньори, се обработват с цел уреждане на различни по вид договорни отношения.
Освен за горепосочените специфични цели, обработването на лични данни се извършва и в изпълнение на нормативно-установени задължения на администратора, произтичащи от законовите изисквания, регламентиращи дейностите на Фондация в обществена полза с нестопанска цел, финансово-счетоводната дейност, дейностите по превенция на изпирането на пари и финансиране на тероризма, за целите на пенсионна, здравна и социално осигурителна дейност, дейността по управление на човешките ресурси.

V. Срокове за обработка и съхранение на личните данни

Продължителността на съхранение на личните Ви данни зависи от целите на обработването, за които са събрани.
Фондация "Нашите недоносени деца" по правило, прекратява използването на вашите лични данни, за целите, свързани с договорното правоотношение, след прекратяване на договора, но не ги изтрива преди изтичане на пет години от прекратяването на договора или до окончателно уреждане на всички финансови задължения и изтичане на нормативно определените задължения за съхраняване на данните, като: задължения по Закона за счетоводството за съхранение и обработка на счетоводни данни (11 години), изтичане на определените в Закона за задълженията и договорите давностни срокове за предявяване на претенции (5 години), задължения за предоставяне на информация на съда, компетентни държавни органи и др., основания, предвидени в действащото законодателство (5 години), съхранява регистри на всички жалби и молби, за които се прилага това условие, както и отговорите до тях за срок от 2 (две) години. Срокът, за който личните данни се съхраняват, е ограничен до строг минимум.

VI Права на Субекта на данни

Право на достъп – всеки субект на лични данни има право да получи от Администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до тях.
Право на коригиране - субектът на данни има право да поиска да коригира лични данни, свързани с него.
Право на изтриване - субектът на данни има правото да поиска от Администратора изтриване на свързаните с него лични данни, когато е приложимо някое от посочените по-долу основания: личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин; субектът на данните оттегля своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването; субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество; личните данни са били обработвани незаконосъобразно; личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо администратора.
Право на ограничаване на обработването - субектът на данните има право да изиска от Администратора ограничаване на обработването, когато се прилага едно от следното: точността на личните данни се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на личните данни; обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им; администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции; субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на Администратора имат преимущество пред интересите на субекта на данните.
Право на преносимост на данните - Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратор, в структуриран и широко използван и пригоден за машинно четене формат.
Информиране – всеки получател за всяко извършено коригиране, изтриване или ограничаване обработването на отнасящите се до него лични данни ще бъде информиран за извършената корекция, освен ако това е невъзможно или изисква полагането на значителни усилия от страна на Администратора.
Право на възражение - Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
Автоматизирано вземане на индивидуални решения, включително профилиране - Субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен. В случай че субектът на данни е обект на профилиране и автоматично вземане на решение, същият има право да оспори решението, да изрази позицията си и да поиска човешка намеса.

Наред с тези права, потребителят има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, в случаите, в които обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на оператора или обработването е необходимо за целите на легитимните интереси на оператора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на потребителя, които изискват защита на личните данни, по-специално когато потребителят е дете.

VII Ред за упражняване на правата

Редът за упражняване на правото на достъп, правото на изтриване, коригиране или ограничаване на обработването е чрез подаването на писмено искане до Фондация "Нашите недоносени деца" изпратено на адреса на Фондацията или имейла на Фондацията. Администраторът предоставя на потребителя информация относно действията, предприети във връзка с искането, без ненужно забавяне и във всички случаи в срок от 30 календарни дни от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията. Администраторът информира потребителя за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Когато потребителят подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако потребителят не е поискал друго. Ако администраторъ