Вие сте тук: Начало Декларация за поверителност

Декларация за поверителност

 Правно-организационни и технически решения в АГЕНЦИЯ ЗА ЯДРЕНО РЕГУЛИРАНЕ при обработка и защита на личните данни
/Политика за поверителност/
Тази политика влиза в сила, считано от 01.01.2018 г.

Нашите възгледи за поверителността на личните данни
   АГЕНЦИЯ ЗА ЯДРЕНО РЕГУЛИРАНЕ, със седалище и адрес на управление: гр. София, бул. „Шипченски проход“ № 69, представлявана от председателя Лъчезар Костов (по-нататък в изложението, за краткост – АЯР) приема, че когато събираме и обработваме информация за физическо лице, трябва да го направим отговорно, с дължимата грижа за личната неприкосновеност, спазвайки законите за защита на данните и принципите на поверителност.
   АГЕНЦИЯ ЗА ЯДРЕНО РЕГУЛИРАНЕ е независим специализиран орган на изпълнителната власт и има компетентност, определена със Закона за безопасно използване на ядрената енергия (ЗБИЯЕ).
   Тази политика за поверителност ("Политика") описва основните видове лична информация, която събираме в рамките на организацията, как се обработва и разкрива тази информация, както и задълженията ни към лицата, чиито данни обработваме. Политиката обяснява по принцип как се стремим да спазваме законите и регламентите за поверителност на данните, включително, но не само Регламент (EU) 2016/679 (Общ регламент за защита на личните данни/GDPR).
   Агенцията за ядрено регулиране в качеството й на администратор на лични данни, е въвела вътрешни политики (инструкции), процедури и програми за обучение, предназначени да осигурят спазването на тези закони. Нашите политики, процедури и програми за обучение се актуализират редовно и се управляват от екип от професионалисти в областта на неприкосновеността на личния живот.

Какви категории лични данни събира и обработва АЯР и за какви цели?
   Лични данни на физически лица, преминали специализирани обучения и получили сертификат/лиценз/разрешително по смисъла на Закон за безопасно използване на ядрената енергия, Наредба за реда за издаване на лицензи и разрешения за безопасно използване на ядрената енергия, Наредба № 32 от 2005 г. за условията и реда за извършване на индивидуален дозиметричен контрол на лица, работещи с източници на йонизиращи лъчения /ИЙЛ/ и Наредба № 29 от 2005 г. за здравни норми и изисквания при работа в среда на йонизиращи лъчения.
   Лицата, получили сертификат/лиценз/разрешително по смисъла на горните актове, се вписват от АЯР в поддържаните от нея регистри, а именно: Регистър за издадените лицензи и разрешения, Регистър на удостоверенията за правоспособност за работа в ядрена среда и източници на йонизиращи лъчения, Регистър „Индивидуален дозиметричен контрол на инспекторите в АЯР“.
   Регистрите са публични, според предвиденото в закона.
   Агенцията за ядрено регулиране събира и обработва личните данни на лицата, получили сертификат/лиценз/разрешително, в съдържание: три имена, дата на раждане, място на раждане, адрес по лична карта, длъжност, месторабота, квалификация, данни за завършено образование, длъжността характеристика, трудов стаж, данни за контакт.
Агенцията за ядрено регулиране събира и обработва тези лични данни за целите на задължителното поддържане на регистрите, за счетоводни цели, за законови цели – такива предвидени в законови норми (наказателно преследване, предхождащите го действия по разследване и т.н.).
   Данните на лицата, получили сертификат/лиценз/разрешително, са събрани директно от АЯР или от обработващ за АЯР, каквито се явяват обучителните центрове, на които последната е възложила провеждането на квалификационните обучения и тренинги. Преди събирането на данните – без значение от АЯР или от обработващ, субектът на личните данни бива надлежно уведомен за целите на обработка, начините на защита, сроковете на обработка, правата по отношение на личните данни и начините за упражняването им и др.

   Агенцията за ядрено регулиране не събира лични данни за финансово състояние, банкова информация, информация за здравното състояние (медицински данни), информация за сексуални, политически и религиозни интереси, биометрични данни и/или други категории (чувствителни) данни. Също така, не събира копия на лични документи. Това би било в ексцес с оглед целите, за които се събират и обработват данни и лицата се умоляват да не предоставят на АЯР такава информация. В случай, че го сторят, АЯР незабавно ще заличи данните в ексцес и няма да съхранява копие от тях под никаква форма.

   Лични данни на служители и на кандидати за работа.
   Агенцията за ядрено регулиране събира информация от кандидатите за работа, вкл. лични данни – имена, местоживеене, възраст, данни за образование и професионален опит. Тези данни се събират за целите на подбор на кадри. Агенцията би обработила данните за целите на проверка на съдебно минало, единствено, ако това е предвидено в изричен законов текст, който касае позицията, за която кандидатства лицето.
Веднъж назначен, АЯР ще обработва личните данни на служителя за целите на управление и администриране на човешките ресурси в организацията – степен на изпълнение на работата, ведомости за трудово възнаграждение, данъчни и осигурителни цели.
Агенцията за ядрено регулиране обработва за подобни цели и данните на консултантите си – физически лица, с които са сключени граждански договори (в случай, че има такива).

   ОГРАНИЧЕНИЯ ПРИ ИЗПОЛЗВАНЕ НА ВЪТРЕШНОВЕДОМСТВЕНИ РЕСУРСИ
   Мониторинг на достъпа до интернет и служебните електронни пощи
   Ограничаване ползването на интернет на работното място

   В качеството си на работодател, АЯР има право да се разпорежда с компютърните системи и интернет свързаността на работните места, както намери за удачно и при спазване принципа за неприкосновенност на личността. В тази връзка работодателят може да забрани достъпа до определени сайтове – например социални медии (Facebook, Twitter, G+) или приложения (Skype). Случай, че има такова ограничение, то ще бъде уредено в съответните Вътрешни правила при работодателя и служителят е длъжен да съблюдава забраната, когато тя е надлежно доведена до неговото знание. Затова по отношение ползването на интернет, служителите се считат информирани за условията, при които е позволено ползването на интернет за лични нужни, както и за типа материали и страници, които не са разрешени за посещение или употреба. Служителите следва да са наясно и със системите за мониторинг и контрол, които се използват от работодателя.
   В знак на превенция, работодателят предприема технически мерки, непозволяващи достъп до сайтове, определени от АЯР.

   Работодателят не достъпва и не чете лични електронни писма на служители
   Личната електронна комуникация представлява лична кореспонденция и нейната тайна е неприкосновена, доколкото със съдебно решение не е постановено противното. Агенцията не нарушава неприкосновеността на кореспонденцията и не чете лични електронни писма на служителите.
   Работодателят има право да достъпва и чете служебни имейли, без разрешение на съответния служител, след като забрани използването на съответния имейл за лични цели.
   С цел АЯР да защити своите права и интереси и да осигури ефикасно протичане на работния процес и да се предпази от евентуални незаконни действия на своите служители, работодателят АЯР има право да достъпва и чете служебни имейли, без разрешение на съответния служител. При извършването на тези проверки обаче, АЯР винаги търси баланс между интереса си на работодател и правото на неприкосновеност на личния живот на служителите. При осъществяване на проверки трябва да съществува конкретна, изрична и законна цел, за която те се извършват, придобитата информация да е пропорционална на целта, за която е събрана и служителите имат право на достъп до събраната информацията, която ги засяга.
   Ако планира да следи или чете кореспонденцията на служителите си със служебен характер, работодателят АЯР първо ще забрани използването на съответния имейл за лични цели, защото в противен случай рискува да наруши конституционно гарантираните права на служителя чрез разкриване на съдържанието на личната му кореспонденция. Подобни разпоредби могат да се разпишат във вътрешните правила на работодателя.

   Системи за следене и контрол на служебните автомобили
   Агенцията за ядрено регулиране има право да инсталира системи за наблюдение и контрол на служебните автомобили, ако разполага с такива, без съгласието на служителя, само когато това се налага от естеството на извършваната работа и от предохранителни мерки.
   При използване на тези системи, работодателят уведомява водача на превозното средство за монтирането на същите и ползването им. В случай, че такива системи са монтирани в служебните автомобили, то това е уредено с вътрешни правила, а данните се обработват единствено за регламентираните в тях цели. Възможността за употреба на служебното ПС за лични нужди също ще бъде регулирана във вътрешните правила на работодателя. Той няма право да използва проследяващи устройства в този случай, освен ако не докаже правната необходимост за това (например, при кражба на автомобила).

   Въвеждане на системи за контрол на достъпа до помещението с лични данни. Работно време и трудова дисциплина
   Пропускателният режим и сигурността на помещенията с лични данни в АЯР се осъществява чрез инженерни, физически и технически средства и служители. Помещенията с лични данни са зони с ограничен, контролиран достъп. Достъпът до тези места се осъществява с персонални, магнитни, безконтактни карти.
   Активирането/деактивирането и контрола по използването на безконтактните карти, осигуряващи преминаването през техническите средства за контрол на достъпа, се осъществява само от оторизирани за тази цел лица. Предоставянето на посетителски карти става след записване на същите в нарочен дневник.
   Строителни и ремонтни работи в зоните с ограничен достъп се допускат само с придружител.
Всеки служител има право на свободен достъп до своето работно място в рамките на установеното работно време, както и в извънработно време.
   С прекратяването на трудовото правоотношение със служителя, той придобива статута на външно лице и има право на достъп до помещенията при спазване на установения за външни лица пропускателен режим.
   Достъпът на външни лица в АЯР става при следния ред:
• в работно време - при предварително насрочени срещи, външните лица се допускат в сградата след потвърждение от служителя, с когото имат среща. Когато външният посетител изпълнява контролна функция, той се придружава от съответното длъжностно лице при извършване на тази си функция. Куриерите се допускат само в сградата на АЯР след потвърждение на служителя – получател на пратката.
• в извънработно време пропускането на външни лица в помещенията на АЯР става само с придружител. Пратки се приемат/предават, без куриерите да се допускат в сградата.
Забранено е допускането на външни посетители, които не могат да обявят лицето, което търсят, както и лица, разпространяващи/рекламиращи литература, услуги, пособия и други, без знанието на председателя на АЯР. Забранено е влизането на лица с неадекватно поведение – употребили алкохол и/или упойващи вещества и лица във видимо нездраво психично състояние (вкл. и служители).
   В извънработно време пратки от частни лица се приемат само след запитване по телефона от страна на рецепциониста/охраната до съответния получател, и получено от него потвърждение, че пратката може да бъде приета. Пратката се записва в книгата за пратки, както и името на предаващия.
   При извънредни ситуации (стихийни бедствия, пожари и др.) рецепционистите/охранителите са длъжни да изпълняват наредбите, правилниците и инструкциите, приети за действие в такива ситуации.

   Видеонаблюдение
   Агенцията за ядрено регулиране осъществява видеонаблюдение за целите на контрол на достъпа, опазване на здравето, сигурността и спокойствието на служителите си и за предотвратяване на незаконосъобразен/злоумишлен достъп. Ето защо, осъществяваното видеонаблюдение се счита такова в интерес на служителите, в интерес на АЯР, а също и за целите на евентуално мотивирано искане от страна на компетентните органи.
   Видеонаблюдението се осъществява в общите части в и към сградата, както и на входа на сектор „Секретно деловодство“.
Записите се пазят на собствен на АЯР сървър, за период от един месец, след който записите се заличават автоматично. В едномесечния срок на съхранение, записите от видеонаблюдениято могат да бъдат предоставени единствено на компетентен орган, след отправено законосъобразно искане.

   Разкриване на лични данни
   Лични данни могат да бъдат разкрити от страна на АЯР единствено при обоснована нужда – законов текст, законов интерес на субекта или предварително дадено негово съгласие. Агенцията за ядрено регулиране публикува за общодостъпна справка ограничен обем от лични данни на лицата, получили сертификат/разрешително, на основание изричен законов текст. Извън тази хипотеза, АЯР може да предостави данни на застраховател (данни на служители), на служба „Трудова медицина“ (данни на служители) и на надлежни органи и институции, след получено редовно искане за информация. При всички случаи на предоставяне, съответното физическо лице ще бъде предварително и надлежно уведомено, освен ако по закон това не необходимо.
   Вътре в агенцията, достъп до лични данни (както на служителите, така на лицата, вписани в регистрите – и то тази част от данните, които не са публично достъпни и не са свободно достъпни) имат само оторизирани лица, надлежно подготвени за работа с лични данни.
Агенцията за ядрено регулиране не търгува и не продава бази данни, вкл. анонимизирани или псевдонимизирани данни, по никакъв повод и за никакви цели, вкл. статистически.
Обучителните центрове, на които АЯР е възложила провеждането на специализирани обучения и тренинги (действащи като „обработващ на лични данни“ по отношение на администратора АЯР), подписват споразумения за поверителност, като по този начин се ангажират да събират и обработват само лична информация в съответствие с целите на обученията и лицензиране на лицата и да прилагат подходящи организационни и технически мерки за сигурност.

   Трансфер на лични данни (разкриване пред лица извън страната)
   Агенцията за ядрено регулиране извършва трансфер на лични данни извън пределите на страната, на основание закон. Агенцията предоставя справки за лицензираните специалисти за работа с ядрена енергия на международни организации, като: Международна агенция за атомна енергия във Виена, Европейската комисия и други международни регулиращи органи.
За тези трансфери, субектите на лични данни са уведомени предварително.

   Уведомяване и Съгласие
   В момента на събирането на данните, АЯР (или нейн обработващ) уведомява лицата по ясен и непротиворечив начин как точно информацията за тях ще бъде обработена, разкрита, съхранявана и заличена; какви права имат по отношение на защитата на личните данни или съгласно тази Политика. Това уведомление е изцяло съобразено с изискванията на Регламента и цели спазването му в максимална степен, включително, но не само принципа за прозрачност и законосъобразност при обработката на личните данни на лицата. Уведомяването се извършва лично.
   Агенцията за ядрено регулиране гарантира, че физическите лица могат да упражняват всички свои права по отношение на личните данни, обработвани от организацията, включително, но не само правото на достъп, актуализиране и коригиране, право на прехвърляне на данните, право на временно спиране на обработването и изтриване на данни и изобщо всичко, предвидено в закон. Агенцията ще положи максимални усилия да разгледа и уважи искането на лицето. Евентуален отказ от страна на Агенцията би бил възможен единствено на законово основание (когато законов текст забранява заличаване на данните, например).
   В случаите, когато това се изисква от закона, а също и като израз на добра практика, АЯР може да поиска съгласието на физическото лице да събира, използва и разкрива данните му за конкретно определени цели.

   Актуалност на данните. Срокове на съхранение
   Нашата политика за поверителност предвижда всяко лице, чиито данни сме събрали, да разполага с пълните възможности да заяви коригиране и актуализиране на данните.
   Правото да бъдеш забравен също е сред предвидените в политиката ни на поверителност и всяко лице може да заяви заличаване на данните си.
Агенцията за ядрено регулиране извършва заличаване на личните данни незабавно след отпадане на основанието за обработка и съхранение, след преценка на специалните законови изисквания.

   Сигурност и защита на данните
   Агенцията за ядрено регулиране поддържа цялостна политика за информационна сигурност с максимален акцент върху техническите и организационни мерки за сигурност, които защитават личната информация от неоторизиран достъп или загуба. В съответствие с регулаторните изисквания, АЯР поддържа също така и практика за справяне при нарушаване на сигурността, свързано със защитата на личните данни, включително извършване на всички необходими уведомления на лица или надзорния орган.

   Лични данни на малолетни и непълнолетни лица
   АЯР не събира и не обработва данни на малолетни и непълнолетни лица, по никакъв начин и за никакви цели.

   Запитвания, сигнали, жалби и искания за упражняване на права
   Всякаква комуникация, питания, сигнали, жалби и искания за упражняване на права по отношение на личните данни следва да бъдат адресирани до седалището на Агенцията за ядрено регулиране в гр. София, бул.“Шипченски проход“ №69, на вниманието на нашето лице по защита на личните данни: Десислава Кирилова Петкова, GSM 0882641457, тел. 029406845, електронен адрес: d.asparuhova@bnra.bg.
   Правен статус на тази Политика. Промени и действие
   Тази Попилитика за поверителност не е договор и няма обвързващо действие. Агенцията за ядрено регулиране си запазва правото да актуализира Политиката (например – при промяна на законодателството по отношение на личните данни).

 

Действия към документ