ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Варненският свободен университет „Черноризец Храбър“ зачита неприкосновеността на личните данни на своите студенти, докторанти, служители и партньори. В тази връзка е създадена настоящата Политика за поверителност и защита на личните данни, която е изготвена и се основава на изискванията на Регламент (ЕС) 2016/679 на ЕС от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и действащото българско законодателство в областта на защитата на личните данни.
Всички изменения и допълнения в Политиката за поверителност и защита на личните данни ще бъдат прилагани само след публикуване на актуалното ѝ съдържание, достъпно на сайта на университета.
Целта на настоящия документ е да разясни каква лична информация обработваме, за какви цели я използваме и какви са правата Ви като субект на личните данни.
1. Данни за администратора и за контакт с него.
Варненският свободен университет „Черноризец Храбър“ е създаден през 1991 година, с решение на 37-то Народно събрание от 21.07.1995 г. и с това университетът получава статут на висше училище. В университета се провежда обучение в редовна, задочна и дистанционна форма на обучение за всички образователно-квалификационни степени, предвидени в Закона за висше образование - "бакалавър", "магистър" и "доктор".
ВСУ "Черноризец Храбър" има институционална акредитация от Националната агенция за оценяване и акредитация (НАОА) към Министерския съвет на Република България.
На 28 февруари 2016 г. университетът беше ресертифициран за пети път от Международната сертифицираща организация BUREAU VERITAS Certification в съответствие с международния стандарт ISO 9001:2015 и получи сертификати с акредитации от UKAS (Великобритания) и ANAB (САЩ) за срок от 3 години.
Варненски свободен университет е юридическо лице, представляван от Президент, и е администратор на лични данни по смисъла на чл. 3, ал.1 от Закона за защита на личните данни и е вписан в регистъра на администраторите на лични данни и на водените от тях регистри на личните данни по чл.10, ал.1, т.2 от ЗЗЛД с уникален идентификационен номер 142224.
ВСУ „Черноризец Храбър“ е администратор на личните данни, които се обработват при или по повод осъществяване на възложените от закона правомощия, като седалището и адресът на управление е:
Варненски свободен университет "Черноризец Храбър"
Варна, България, 9007, ул. „Янко Славчев“ 84.
Телефон: 052/355-106 http://www.vfu.bg/
2. Данни за контакт свързан със защита на личните данни.
При упражняване на вашите права свързани със защита на личните данни може да се свържете с нас на електронен адрес: dpo@vfu.bg, като в съобщението си следва да посочите необходимите данни за Вашата индивидуализация и контакт за обратна връзка.
Контролен орган по защита на личните данни в Република България е Комисия за защита на личните данни, която се намира на следния адрес:
гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Център за информация и контакти - тел. 02/91-53-518
Електронна поща: kzld@cpdp.bg
Интернет страница:
www.cpdp.bg
3. Основни дефиниции
Следните определения на термините, използвани в този документ, са
дефинирани в Общиярегламент относно защита на данните на Европейския съюз:
„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице илифизическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице,което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко илинепряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични зафизическата, физиологичната, генетичната, психическата, умствената, икономическата,културната или социална идентичност на това физическо лице.
„Администратор на данни“: физическо или юридическо лице, публичен орган, агенция или другаструктура, която сама или съвместно с други определя целите и средствата за обработването налични данни; когато целите и средствата за това обработване се определят от правото на Съюзаили правото на държава членка, администраторът или специалните критерии за неговотоопределяне могат да бъдат установени в правото на Съюза или в правото на държава членка
„Обработващият данни“: физическо или юридическо лице, публичен орган, агенция или другаструктура, която обработва лични данни от името на администратора
„Обработване“: всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране,структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба,разкриване чрез предаване, разпространяване или друг начин, по който данните ставатдостъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване
„ Регистър на лични данни“: структуриран набор от лични данни, достапът до които се осъществява съгласно определени критерии:
4. Основните п ринципи, свързани с обработването на личните данни са:
- Законосъобразност, добросъвестност и прозрачност – обработването на лични данни трябва да е законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните
- Ограничение на целите - трябва да бъдат събирани за конкретни, изрично указани и легитимни цели и да не се обработват по-нататък по начин, несъвместим с тези цели;
- Свеждане на данните до минимум - събираните лични данни трябва да са подходящи, свързани и ограничени до необходимото във връзка с целите, за които се обработват;
- Точност – данните трябва да са точни и при необходимост да бъдат поддържани в актуален вид, като се предприемат всички разумни мерки, с цел гарантиране своевременното изтриване или коригиране на неточни лични данни;
- Ограничение на съхранението – данните трябва да бъдат съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват;
- Цялостност и поверителност – данните трябва да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане.
5.Цели и основания за обработване на лични данни, категории обработвани данни.
Във ВСУ се водят и поддържат следните регистри:
В регистър “Студенти, докторанти и курсисти” се събират, обработват и съхраняват всички лични данни, които са необходими на администратора за създаване, поддържане и прекратяване на правните взаимоотношения на ВСУ с кандидат-студенти, кандидат-докторанти, кандидат-курсисти и приетите студенти, докторанти и курсисти.
Категории лични данни и цели на обработването.
- Данни за идентичност на физическите лица: три имена, ЕГН, номер на лична карта или друг документ за самоличност, дата и място на издаване, дата и място на раждане, актуален постоянен адрес, настоящ адрес, телефон, e-mail.
Данните са необходими за идентификация на лицето, както и за изпълнение на задължения, записани в нормативен акт.
- Данни за социална идентичност- вид и степен на образованието, място, дата и номер на издадените документи удостоверяващи съответната образователна степен, допълнителна професионална квалификация или правоспособност (специализации, курсове, семинарни форми и т. н.), място, дата и номер на издадените документи, удостоверяващи допълнително придобитите знания и умения, текущ студентски статус.
Данните са необходими за определяне на достигната степен на образование и за изпълнение на задължения, записани в нормативен акт.
- Данни за икономическа идентичност - Данни за банкова сметка (при необходимост). Данните са необходими за счетоводни цели, за изпълнение на задължения, записани в нормативен акт.
- Данни за здравословно състояние: здравословния статус(медицинско свидетелство).
Данните са необходими за изпълнение на задължения, записани в нормативен акт.
Нормативното основание за обработване на данните от регистъра е Закон за висшето образование и подзаконови нормативни актове към него, Закон за развитие на академичния състав в Р България и правилник за прилагането му, Наредба № 1 за учебната дейност и др. вътрешно-нормативни актове, свързани с нейното прилагане; Наредба № 12 за придобиване на образователна и научна степен „доктор“ и „доктор на науките“, Закон за професионалното образование и обучение, Правилник за функциониране на ЦПО.
В регистър “Персонал” се събират, обработват и съхраняват всички лични данни, които са необходими на администратора за уреждане на законосъобразното учредяване, изменение и прекратяване на трудовите и граждански правоотношения и на финансовите взаимоотношения на работодателя и наетите лица.
Категории лични данни и цели на обработването.
- Данни за идентичност на физическите лица: три имена, ЕГН, номер на лична карта или друг документ за самоличност, дата и място на издаване, дата и място на раждане, актуален постоянен адрес, настоящ адрес, телефон за връзка, имейл.
Личните данните са необходими за идентификация на лицето и за осигурителни, данъчни и административни цели.
- Данни за социална идентичност:
*вид и степен на образованието, място, дата и номер на издадените документи (дипломи), удостоверяващи съответната образователна степен, допълнителна професионална квалификация или правоспособност (специализации, курсове, семинарни форми и т. н.), място, дата и номер на издадените документи, удостоверяващи допълнително придобитите знания и умения, текущ учебен статус и успех. Данните са необходими с оглед спазване нормативни или установени с щатното разписание на длъжностите изисквания за заемане, респ. за освобождаване на длъжности от лицата, както и за други свързани с управлението на човешките ресурси цели, както участие на служителите в програми за допълнително обучение/квалификация и професионално развитие;
*трудовата дейност: трудов стаж, професионална биография, бивши работодатели, референции от предишни работодатели, ако е необходимо подобно потвърждаване на усвоените знания и умения, заемани длъжности (позиции), изпълнявани функции, проекти (национални, международни). Данните са от значение при избора на подходящо за съответната длъжност лице, както и за други свързани с управлението на човешките ресурси цели, като участие на служителите в програми за допълнително обучение/квалификация и професионално развитие.
- Данни за икономическа идентичност: банковите сметки, взаимоотношения с финансови институции, когато има такава информация. Данните са необходими за изплащане на възнагражденията по трудови и граждански договори.
- Данни за здравния статус: медицински свидетелства за започване на работа, решения на ТЕЛК, болнични листи, характеризиращи здравословния статус, работоспособността, временната или трайната неработоспособност. Данните са от значение при заемане на длъжности и изпълнение на функции по трудови правоотношения, изискващи висока степен на отговорност, пряка ангажираност и непосредствен досег с хора, както и при необходимост на съобразяване на условията на труд със специфичното здравословно състояние на лицето и в случаите, в които това се изисква от действащото законодателство.
- Данни за обществения статус: синдикална принадлежност на работниците и служителите, гражданскоправен статус, съдимост и др. Данните са от значение за изпълняване на функции по трудовите правоотношения.
- Семейната идентичност: семейно положение, брой на членовете на семейството, деца, възраст на децата и дата на раждане, адрес, трудова и учебна заетост на членовете на семейството.
Нормативното основание за обработване на данните от регистъра е Кодекса на труда, Кодекса за социалното осигуряване, Закона за счетоводството, Закона за данъците върху доходите на физическите лица и други и свързаните с тях подзаконови нормативни актове.
В регистър “Видеонаблюдение“ се събират, обработват и съхраняват лични данни на студенти, преподаватели и служители и посетителите в сградата на университета, с цел осигуряване на сигурността на същите. В регистъра се обработват и съхраняват лични данни относно физическата идентичност която включва видеообраз.
Нормативното основание за водене на регистъра е Закона за частната охранителна дейност.
В регистър “Контрагенти“ се набират и съхраняват лични данни на физически лица и/или физически лица , представляващи юридически лица - доставчици, клиенти и други.
Категории лични данни и цели на обработването.
- Данни за идентичност на физическите лица:- имена; ЕГН; номер на лична карта; дата и място на издаване; адрес; телефонен номер; имейл. Данните са необходими за идентификация на лицето, за осъществяване на кореспонденция с контрагента и за счетоводни цели.
- Данни за икономическа идентичност -данни за банкова сметка. Данните са необходими за счетоводни цели
Нормативното основание за обработване на данните от регистъра е Закона за задълженията и договорите; Търговския закон, Закона за данъка върху добавената стойност и др. нормативни актове в съответствие с действащото законодателство
В регистър “Пропускателен режим“ се набират и съхраняват лични данни на посетители в сградата на Университета, с цел осигуряване на сигурността
Категории лични данни и цели на обработването.
- Данни за идентичност на физическите лица: имена; ЕГН; номер на лична карта; дата и място на издаване. Данните са необходими за идентификация на лицето.
Нормативното основание за обработване на данните от регистъра е Закона за частната охранителна дейност , Наредба № 10 за вътрешния трудов ред и сигурност във ВСУ.
В регистър „Общежитие“ се набират и съхраняват лични данни на лицата отсядащи в сградата на общежитието
Категории лични данни и цели на обработването.
- Данни за идентичност на физическите лица: три имена, ЕГН, номер на лична карта или друг документ за самоличност, дата и място на издаване, дата и място на раждане, актуален постоянен адрес, телефон за връзка, имейл.
Личните данните са необходими за идентификация на лицето.
Обработването на данни се извършва за конкретните и точно определени от закона цели, като данните се обработват законосъобразно и добросъвестно и не могат да се обработват допълнително по начин, несъвместим с тези цели.
Обработващи личните данни в университета са длъжностни лица, които обработват – актуализират, записват, изменят, организират, складират, поддържат, употребяват, съхраняват, архивират и т. н., личните данни в поддържаните във ВСУ регистри от името и за сметка на администратора на лични данни. Всяко длъжностно лице е преминало специализирано обучение за работа с лични данни.
6. Категории получатели на данни извън ВСУ„Черноризец Храбър“
ВСУ „Черноризец Храбър“ не разкрива лични данни на трети страни и получатели, освен ако не е налице законово основание за получаване на данните или данните не са общодостъпни поради включването им в публичен регистър.
Извън случаите на общодостъпност на данните, включени в публичен регистър, получатели на данни съобразно конкретния случай могат да бъдат:
държавни органи и органи, натоварени с публични функции, които по силата на нормативен акт имат право да изискват информация (НАП, НОИ, МВР, МОН, съдебни органи и др.);
- на лицата, обработващи личните данни, които обработват личните данни от името и по възлагане на ВСУ като служба по трудова медицина, обслужващи банки, охранителни фирми, куриерски фирми и др. В този случай с всяка организация е сключен анекс към договора, който ясно определя правата и задълженията свързани със защитата на личните данни на всеки субект.
- партньорски университети, с които се работи по програми за обмен на студенти, преподаватели и служители.
7. Срок за съхранение на данните.
Като администратор на данни ВСУ „Черноризец Храбър“ обработва данни за период с минимална продължителност съгласно целите за обработка и предвиденото в действащото законодателство в съответствие с принципа за ограничение на съхранението.
Личните данни се съхраняват толкова дълго, колкото е необходимо, за да се осъществи целта, за която са били събрани или както се изисква от приложимото законодателство. Сроковете за съхранение на различните данни в съответните регистри са утвърдени в специален нормативен акт - Инструкция № 3 за мерките за защита на личните данни във ВСУ„Черноризец Храбър“и са съобразени с българското законодателство.
След изтичането на определения срок, данните се унищожават по безопасен начин, като затова има специализирана процедура.
8. Права на физическите лица-субекти на данни.
Предприетите мерки за защита на личните данни в съответствие с изискванията Регламент 2016/679, са насочени към осигуряване правата на субектите, чиито лични данни се обработват, а именно:
- Право на достъп;
- Право на коригиране на неточни или непълни данни;
- Право на изтриване (правото да бъдеш забравен), ако са приложими условията на чл. 17 от РЕГЛАМЕНТ 2016/679;
- Право на ограничение на обработването;
- Право на преносимост на данните, ако са налице условията за преносимост по чл. 20 от РЕГЛАМЕНТ 2016/679;
- Право на възражение, ако са налице условията на чл. 21 от РЕГЛАМЕНТ 2016/679.
- Право субектът на данни да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране .
Горните права може да упражните чрез отправено искане на имейл dpo@vfu.bg или на адреса на университета.
Искането трябва да е в писмена форма и да съдържа:
- Името, адресът и други данни, които са необходими, за да може да се идентифицира съответното лице.
- Описание на информацията, която иска да получи.
- Предпочетената форма за предоставяне на информацията.
- Подпис, дата на подаване на заявлението и адрес за кореспонденция.
ВСУ може да предостави информацията според предпочитанието на субекта на
данни като изявление, устно или писмено, или под формата на преглед на данните отсъответното физическо лице или от негов надлежно упълномощен представител.
ВСУ разглежда заявлението и дава отговор в рамките на 14 дни от постъпването
му. Този срок може да бъде удължен до 30 дни, когато събирането на всички исканиданни обективно изисква по-дълъг период от време.
В горепосочения срок ВСУ решава дали да предостави пълна или частична информация на заявителя или да откаже предоставянето, като посочи причините за този отказ.
ВСУ уведомява писмено заявителя за своето решение или отказ в рамките на
съответния срок. Известието се връчва лично срещу подпис или с препоръчана поща.
Ако заявлението е получено по електронната поща, уведомлението се изпраща по
електронната поща на заявителя.