ПРАВИЛНИК ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
В ЧАСТЕН ПРОФЕСИОНАЛЕН КОЛЕЖ ПО МЕНИДЖМЪНТ “АДАМ СМИТ”

 

Глава първа

Предмет и обхват

 

Глава втора

Регистри с лични данни и законосъобразност на обработването

 

Глава трета

Мерки за защита на личните данни

 

Глава четвърта

Права на субектите на данни

 

Правилникът е съставен въз основа на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година, относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО. Правилникът влиза в сила от 25.05.2018 година.

Информация за администратора на лични данни:

Наименование: Частен професионален колеж по мениджмънт “Адам Смит” ЕООД
ЕИК: 204684163
Седалище и адрес на управление: гр. София 1619, бул. „Цар Борис III” № 224
Данни за кореспонденция: гр. София 1619, бул. „Цар Борис III” № 224
Телефон: 02 857 2001, 02 857 2003
Имейл: [email protected]
Уеб сайт: www.adamsmith.bg

Информация за надзорния орган:

Наименование: Комисия за защита на личните данни (КЗЛД)
Седалище и адрес на управление: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Данни за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Телефон: 02 915 3518
Имейл: [email protected][email protected]
Уеб сайт: www.cpdp.bg

 

Глава първа

Предмет и обхват

 

Чл. 1. Този документ определя правилата и процедурите в “Частен професионален колеж по мениджмънт “Адам Смит” ЕООД (Колежа), като администратор на лични данни, по отношение на защитата на физическите лица във връзка с обработването на лични данни. Правилникът определя и процедурите по информиране и упражняване на правата на физическите лица по отношение на достъпа, коригирането и защитата на техните личните данни.

Чл. 2. Физическите лица, чиито данни се събират и обработват от Колежа са: (1) обучавани, в.т. число в програмите за обучение, лицензирани от Министерство на образованието и в програми за обучение, осъществявани по двустранни споразумения с български и чуждестранни институции и юридически лица;

(2) преподаватели и служители, вкл. кандидати за преподаватели и служители;
(3) лица, чиито данни се събират и обработват в рамките на информационните кампании на Колеж “Адам Смит”, в т.ч. кампании за набиране на кандидати за обучение, на кандидати за участници или участници в проектни дейности и информационни събития по национални и европейски програми за финансиране на проекти в областта на образованието и обучението.

Чл. 3. Правилникът се прилага в Колежа за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни.

Чл. 4. Правилникът е задължителен за всички категории служители в Колежа, съобразно с възникваща при изпълнението на служебните им задължения необходимост за събиране на лични данни и обработване на лични данни от регистрите на Колежа, включително по отношение на задължения на Колежа за съхраняване, достъп и предаване на лични данни, възникнали със закон или подзаконов нормативен акт.

Чл. 5. При обработването на лични данни от Колежа се спазват следните основни принципи:
(1) Личните данни са обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);
(2) Личните данни са събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели. По-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно член 89, параграф 1, за несъвместимо с първоначалните цели („ограничение на целите“);
(3) Личните данни са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);
(4) Личните данни са точни и където и доколкото е необходимо са поддържани в актуален вид. Предприемат се всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);
(5) Личните данни са съхранявани във форма, която позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни. Личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в настоящия регламент с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);
(6) Личните данни са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);
(7) Колежът в качеството си на администратор носи отговорност и е в състояние да докаже спазването на горните принципи („отчетност“).

 

Глава втора

Регистри с лични данни и законосъобразност на обработването

Чл. 6. Регистрите с лични данни, поддържани в Колежа, представляват структурирани набори от лични данни, изпълняващи конкретна функция за гарантиране на професионалното извършване на дейността на Колежа, достъпът до които се осъществява съгласно определени критерии.

(1) Регистър на обучаваните – база данни на Колеж по мениджмънт “Адам Смит”

В базата данни на Колежа се създават и поддържат електронни досиета на колежаните. Те се използват за целите на обучението, поддържането на архив, издаването на свидетелства и удостоверения, генериране на договори за обучение и фактуриране. Наборът от информация, който се вписва, се състои от:

– Три имена (лично, бащино и фамилно)
– Адрес
– Факултетен номер
– Телефонен номер
– Имейл адрес
– Място на раждане
– Предишно учебно заведение
– ЕГН

Основание за обработване: Молба за прием в Колежа, Договор за обучение, Закон за професионалното образование и обучение, Наредба № 8 от 11 август 2016 г. за информацията и документите за системата на предучилищното и училищното образование, Закон за счетоводството.

(2) Онлайн платформа за електронно обучение – Мудъл

Moodle е система за електронно обучение, която вече е добила голяма популярност, защото предлага разнообразни възможности за преподаватели и за учащи. За да могат нашите колежани да се възползват от всички предимства, които им предоставя нашата електронна платформа, те получават потребителски регистрации. В тези регистрации се вписват следните данни:

– Потребителско име
– Създаване на парола, подлежаща на промяна по всяко време
– Град/село
– Държава
– Снимка
– Випуск
– Факултетен номер

Данните, които задължително трябва да бъдат посочени:

– Име
– Фамилия
– Имейл адрес

Основание за обработване:Молба за прием в Колежа, Договор за обучение, изпълнение на договорни задължения по предоставяне на обучение.

(3) Регистър на обучаваните – лични картони на колежани

Личният картон е задължителна и значима част от документацията, която Колежът води за своите колежани.

Основните данни, които се попълват и съхраняват, са:

– Три имена (лично, бащино и фамилно име)
– ЕГН
– Гражданство
– Град/Община/Област
– Адрес по местоживеене
– Телефонен номер
– Сериен номер на диплома за средно образование
– Пълно наименование на училището
– Пълното съдържание на издадени от Колежа документи за завършено обучение и/или придобита степен на професионална квалификация

Основание за обработване:Молба за прием в Колежа, Договор за обучение, Закон за професионалното образование и обучение, Наредба № 8 от 11 август 2016 г. за информацията и документите за системата на предучилищното и училищното образование.

(4) Регистър на успешно завършилите програмата “Бизнес мениджмънт”

Електронният регистър на успешно завършилите програмата “Бизнес мениджмънт” съдържа ограничени лични данни за дипломираните. Вписването на записи в регистъра, поддържан от The Learning Machine Ltd. (администратор на лични данни от Обединеното кралство) е задължително условие за издаване на диплома и сертификати. Колежът вписва следните данни при подаване на искането за издаване на диплома и придружаващи сертификати:

– Три имена (изписани с латински букви)
– Дата на раждане
– Потвърдителни записи за положителни оценки за всеки от задължителните модули в програмата
– Потвърдителни записи за положителни оценки за всеки от компонентите на финалния квалификационен изпит

Основание за обработване:Молба за прием в програма “Бизнес мениджмънт”, Договор за обучение, Договор за предлагане на програмата в България, изпълнение на договорни отношения по предоставяне на обучение и изпълнение на изисквания за завършване на обучението.

(5) Регистрационна книга за издадените документи за завършена степен на образование и придобита професионална квалификация
Регистрационната книга е задължителен регистър и се съхранява в административния офис на Колежа, подлежи на проверка от съответните упълномощени длъжностни лица от МОН. Данните от книгата се вписват от Директора на Колежа в идентична по структура обща регистрационна книга, съхранявана в МОН, и вписването се удостоверява с подпис на длъжностното лице от МОН, присъствало на вписването.

– Три имена (лично, бащино и фамилно име)
– ЕГН
– Регистрационен и сериен номер на издадения документ
– Място на раждане (град, община, област, гражданство)
– Придобита професия и специалност

Основание за обработване:Молба за прием в Колежа, Договор за обучение, Закон за професионалното образование и обучение, Наредба № 8 от 11 август 2016 г. за информацията и документите за системата на предучилищното и училищното образование.

(6) Молба за прием в Колежа

Преди официалното стартиране на учебната година всички бъдещи колежани попълват молба за прием в Колежа.

Молбата съдържа следната информация:

– Три имена (лично, бащино и фамилно име)
– Адрес за кореспонденция
– ЕГН
– Телефонен номер
– Място на раждане (град, община, област)
– Копие на диплома за средно образование
– Медицинско свидетелство по чл. 14, ал. 3 от ЗПОО

Основание за обработване:Закон за професионалното образование и обучение.

(7) Формуляр за бърза връзка (контактна форма)

Чрез формуляра за бърза връзка, вграден в уебсайта на Колежа www.adamsmith.bg, заинтересованите лица, които желаят да се обучават в една от предлаганите програми на Колежа, установяват контакт с администрацията за разясняване в детайли, относно програмите и условията за прием. В този формуляр за бърза връзка се попълват:

– Име и фамилия
– Населено място
– Телефонен номер
– Имейл адрес

Основание за обработване:Доброволно предоставяне на контактни данни за осъществяване на връзка с представител на Колежа и за улесняване на процеса по кандидатстване за обучение. Попълването на формуляр за бърза връзка не е задължително изискване или предварително условие за предоставяне на услуги. Потребителите на сайта могат вместо това да се обадят лично на посочените телефони или да изпратят имейл със запитването си. Информацията от формуляра се унищожава в срок от 14 дни след приключване на съответната кампания за набиране на колежани/курсисти.

(8) Регистър на преподаватели и служители

Регистърът на преподаватели и служители съдържа лични данни за преподаватели и служители по граждански и трудови правоотношения. Регистърът се поддържа в хартиена форма. Лични данни, необходими за изпълнение на законоустановени задължения на Колежа като работодател може да се  съхраняват, обработват и предават към държавни институции по електронен път чрез счетоводни програми, официални автоматизирани системи и приложения за целите на изпълнението на данъчно-осигурителните задължения на работодателя и служителите.

Личните данни, които се съхраняват и обработват в този регистър са:

– Три имена (лично, бащино и фамилно име)
– Адрес за кореспонденция
– Постоянен адрес
– ЕГН
– Номер на лична карта, дата и място на издаване
– Телефонен номер
– Имейл адрес
– Копие на дипломи за завършена степен на образование, за придобита научна степен, за придобита следдипломна квалификация и специализации, копие на сертификати за владеене на чужди езици и на сертификати за дигитални умения

Регистърът събира и обработва лични данни и на кандидати за обявени свободни позиции за преподаватели и служители. Освен ако в процедурата по кандидатстване и подбор субектите на лични данни не са посочили изрично желанието си данните им да бъдат съхранявани за бъдещи конкурсни процедури, личните данни на тези кандидати се унищожават в срок от 30 дни от приключване на процедурата по подбор. Личните данни на преподаватели и служители с изтекли договори се съхраняват в регистъра за целите на поддържането на архив и изпълнение на законоустановените задължения на Колежа като работодател.Основание за обработване:Закон за професионалното образование и обучение, Кодекс на труда, нормативна уредба в областта на трудовото и данъчното законодателство.

Чл. 7. (1) Включването в регистър с лични данни с цел последващото им обработване става след съгласие на субекта на данните, изразено по свободен начин, след информиране за целите на събирането и обработването. Съгласието представлява конкретно и недвусмислено изявление или потвърждаващо действие.

(2) Колежът поддържа архив с писмено изразените съгласия за обработване и осигурява използването на адекватни технологически решения за доказване на съгласие, изразено чрез специфични действия (напр. поставяне на отметка за съгласие преди изпращане на данни по електронен път чрез уебсайта на Колежа).

(3) Включването в регистър с лични данни може да стане без наличие на изрично съгласие само на предвидените в Регламент (ЕС) 2016/679 основания.

Чл. 8. Когато обработването е необходимо за изпълнението на договор, по който субектът на данните е страна (напр. обработка и подаване към данъчната администрация на лични данни с цел съставяне на разплащателни ведомости, хонорар-сметки, декларации за внесени данъци и осигуровки, издаването на служебни бележки или обработка на резултати от изпити с цел издаване на справка или диплома) не се изисква изрично съгласие на субекта на данните.

Чл. 9. Когато обработването е необходимо за предприемане на стъпки по искане на субекта на данните преди сключването на договор (напр. подаване на автобиография и придружаващи документи при кандидатстване за позиция в Колежа или подаване на лични данни при предварителна заявка за кандидатстване за обучение), Колежът полага усилия да осигури лесен достъп до настоящите Правила, съобразен с комуникационните канали, по които постъпва искането на субекта на данните.

Чл. 10. (1) Когато едни и същи данни се включват и обработват в различни регистри в Колежа, съгласието може да бъде изразено еднократно, доколкото информацията, предоставена на субекта на данните преди предоставянето на съгласие, ясно посочва целта на обработването на данните и включването в отделни регистри не променя тази цел.

(2) Включването на едни и същи данни в повече от един регистър може да бъде направено и без изрично изразено съгласие на субекта на данните на предвидените в Регламент (ЕС) 2016/679 основания.

Чл. 11. Когато обработването е необходимо за спазването на законово задължение (напр. предаване на индивидуализирани или обобщаващи данни към централизирани регистри на Министерство на образованието), което се прилага спрямо Колежа в качеството му на администратор, Колежът полага усилия да информира субектите на данните за този вид обработка, но не може да откаже да спази вменено му със закон или подзаконов нормативен акт задължение или указание на субекта на данните за отказ от такава обработка. В този случай Колежът изпълнява задача в обществен интерес или свои официални правомощия, включително поддържането на архив за служителите, преподавателите и обучаваните.

Чл. 12. (1) Когато настъпва промяна в обхвата на обработваните данни на основание на задължение, вменено със закон или подзаконов нормативен акт, или указание на държавен орган в рамките на законоустановените му правомощия, Колежът пристъпва към обработване, съобразено с промяната, когато данните вече са му били предоставени с общо съгласие за изпълнение на договор или на основание на извършване на обработването за изпълнение на обществена функция.

(2) Ако необходимите за обработването данни не са били предоставяни на Колежа в рамките на описаните процедури, Колежът информира своевременно субектите на данни за промените и изисква предоставянето на лични данни в разумен срок.

(3) Информацията до субектите задължително указва по ясен начин нововъзникналото основание за събиране и обработване.

Чл. 13. Ако съгласието на субекта на данните е дадено в рамките на писмена декларация, която се отнася и до други въпроси, искането за съгласие се представя по начин, който ясно да го отличава от другите въпроси, в разбираема и лесно достъпна форма, като използва ясен и прост език.

Чл. 14. (1) Колежът не събира и не обработва лични данни, които се отнасят за следното:
– расов или етнически произход;
– политически, религиозни или философски убеждения, или членство в синдикални организации;
– генетични и биометрични данни;
– сексуалния живот или сексуалната ориентация.

(2) Колежът събира ограничени данни за здравословното състояние на колежаните на основание чл. 14, ал. 3 от ЗПОО. В отделни случаи и по желание на колежанина, той може да представи медицинска експертиза (ТЕЛК) с цел обосноваване на искане за специфични условия за обучение и/или полагане на изпити, вкл. държавни изпити за придобиване на професионална квалификация. Събраните по този начин данни се добавят към личното досие на колежанина, съхранявано единствено в хартиен вид.

Чл. 15. (1) Личните данни са събрани от Колежа от лицата, за които се отнасят.
(2) Колежът не извършва автоматизирано вземане на решения с данни.

 

Глава трета

Мерки за защита на личните данни

(Съдържанието на тази част от документа не е публично)

 

 

Глава четвърта

Права на субектите на данни

 

Чл. 23. (1) Субектът на данни има правото да оттегли съгласието си по всяко време чрез искане в свободен текст. В такъв случай оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне. Оттеглянето на съгласие не може да се отнася до данни, които се поддържат в обществен интерес, в архив или за изпълнение на вменено със закон или подзаконов нормативен акт задължение на Колежа за поддържане и обработване на лични данни за целите на образованието и обучението.

(2) Колежът съдейства на субектите на данни, изявили желание за оттегляне на съгласието, осигурява информация за начина на оттегляне и за последствията от това и по никакъв начин не възпрепятства или създава условия за забавяне.

(3) Оттеглянето на съгласие става по процедура, сходна, съответстваща или по-лека от процедурата, по която съгласието е било дадено.

Чл. 24. (1) Субектът на лични данни има право да изиска и получи от Колежа потвърждение дали се обработват лични данни, свързани с него.

(2) Субектът има право да получи достъп до данните, свързани с него, както и до информацията, отнасяща се до събирането, обработването и съхранението на личните му данни.

(3) Достъпът до данните е безплатен, но Колежът си запазва правото да наложи административна такса, в случай на повторяемост или прекомерност на исканията.

(4) Достъп до данните в регистър може да бъде отказан, ако по технически причини не е възможно да се отдели визуализацията на всички данни за конкретен субект от данните за останалите субекти, което би довело до нарушаване на правата на други субекти на лични данни. В такива случаи Колежът предоставя копие от обработваните данни в електронна или друга подходяща форма.
Чл. 25. (1) Субектът на лични данни има правото да поиска изтриване на свързаните с него лични данни, а Колежът има задължението да ги изтрие без ненужно забавяне, когато е налице някое от посочените по-долу основания:

– личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
– субектът оттегли своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
– субектът възрази срещу обработването на свързаните с него лични данни, включително за целите на директния маркетинг и няма законни основания за обработването, които да имат преимущество;
– личните данни са били обработвани незаконосъобразно;
– личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на ЕС или правото на държава членка, което се прилага спрямо Колежа;
(2) Колежът не е длъжен да изтрие личните данни, ако ги съхранява и обработва:
– за упражняване на правото на свобода на изразяването и правото на информация;
– за спазване на правно задължение, което изисква обработване, предвидено в правото на ЕС или правото на държавата членка, което се прилага спрямо Администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са му предоставени;
– за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели;
– за установяването, упражняването или защитата на правни претенции.
(3) Колежът не изтрива данните, които има законово задължение да съхранява, включително за защита по повод отправени срещу него съдебни претенции или доказване на свои права.
Чл. 26. Субектът на лични данни има право да изиска от Колежа да ограничи обработването на свързаните с него данни, когато:
– субектът оспори точността на личните данни, за срок, който позволява на Колежа да провери точността на личните данни;
– обработването е неправомерно, но субектът не желаете личните му данни да бъдат изтрити, а само използването им да бъде ограничено;
– Колежът не се нуждае повече от личните данни за целите на обработването, но субектът ги изисква за установяването, упражняването или защитата на свои правни претенции;
– субектът е възразил срещу обработването в очакване на проверка дали законните основания на Колежа имат преимущество пред интересите на субекта.

Чл. 27. (1) Субектът на лични данни може да поиска от Колежа да го информира относно всички получатели, на които личните данни, за които е поискано коригиране, изтриване или ограничаване на обработването, са били разкрити.

(2) Колежът може да откаже да предостави тази информация, ако това би било невъзможно или изисква несъразмерно големи усилия.

Чл. 28. Субектът на лични данни може да възрази по всяко време срещу обработването на лични данни от Колежа, които се отнасят до него, включително ако се обработват за целите на профилиране или директен маркетинг. Възражението трябва да съдържа основания за повдигането им.

Чл. 29. Колежът поддържа регистър, в който вписва заявленията и исканията, постъпили от субекти на лични данни по повод техните права.

Чл. 30. (1) Ако Колежът установи нарушение на сигурността на личните данни, което може да породи висок риск за права и свободите на субекта на данни, той е длъжен да го уведоми без ненужно забавяне за нарушението, както и за мерките, които са предприети или предстои да бъдат предприети. В уведомлението се посочва естеството на нарушението на сигурността на личните данни и се дават препоръки на засегнатото физическо лице за това как да ограничи потенциалните неблагоприятни последици.

(2) Колежът не е длъжен да уведомява субекта на данните, ако:
– е предприел подходящи технически и организационни мерки за защита по отношение на данните, засегнати от нарушението на сигурността;
– е взел впоследствие мерки, които гарантират, че нарушението няма да доведе до висок риск за правата на субекта на лични данни;
– уведомяването би изисквало непропорционални усилия.

(3) При съмнения за наличието или приложимостта на основанията в ал. 2, Колежът ще приеме консервативно тълкуване и ще пристъпи към уведомяване на субекта на лични данни.

Чл. 31. В случай на нарушаване на правата на субекта на лични данни съгласно приложимото законодателство за защита на личните данни, той има право да подаде жалба до компетентния национален орган – Комисията за защита на личните данни (КЗЛД), както следва:

Наименование: Комисия за защита на личните данни
Седалище и адрес на управление: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Данни за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Телефон: 02 915 3518
Имейл: [email protected][email protected]
Уеб сайт: www.cpdp.bg