ДЕКЛАРАЦИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
„ЧАСТНО УЧИЛИЩЕ ДРУЖБА-СОФИЯ“ ЕООД („Дружество“, „Администратор“) осъзнава необходимостта от прилагането на адекватна защита на личните данни на субектите на данни, като се стреми да уважава неприкосновеността на личния живот. Настоящата Декларация за защита на личните данни („Декларация“) е създадена, за да помогне на субектите на данни да разберат по какъв начин и за какви цели Дружеството обработва, използва и защитава личните им данни.
За целите на своята дейност, Дружеството обработва лични данни в строго съответствие с Регламент (ЕС) 2016/679 („Общ регламент за защита на данните“, ‘GDPR’), Закона за защита на личните данни и други приложими нормативни актове и Декларацията.
С настоящата Декларация се предоставя информация относно:
Определения
Обхват на настоящата Декларация
Данните, които идентифицират Администратора и координатите за връзка с него
Данни за длъжностното лице по защита на даннитеКатегории лични данни
Субекти на данни, чиито лични данни се обработват
За какви цели се обработват личните данни
На какво правно основание се обработват личните данни
Получатели на личните данни
Сроковете за съхранение на личните данни
Права на субектите на данни и начин за упражняването им
Даване на съгласие и оттегляне на съгласие
Право на жалба до надзорния орган
Мерки за сигурност на личните данни
Определения:
„Лични данни“ означава всяка информация, свързана с конкретно физическо лице или физическо лице, което може да бъде пряко или непряко идентифицирано („субект на данни“);
„Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства;
„Администратор“ означава „Частно училище Дружба-София“ ЕООД, което само или съвместно с други определя целите и средствата за обработването на лични данни;
„Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
„Получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не;
„Посетител“ означава субект на данни, който посещава/ползва уебсайта – drujba.org;
„Ученик“ означава субект на данни, който е записан да се обучава при Администратора;
„Родител“ означава субект на данни, който е законен представител на ученика;
„Уебсайт“ означава интернет страницата – drujba.org, която се поддържа от Дружеството;
Обхват на настоящата Декларация
Настоящата Декларация за защита на личните данни се прилага в отношенията между „Частно училище Дружба-София“ ЕООД от една страна и субектите на данни от друга. Декларацията има за цел да информира субектите на данни за техните права в съответствие с чл. 12 и следващите от Регламент (ЕС) 2016/679.
Данните, които идентифицират Администратора и координатите за връзка с него
Администратор на личните данни е „Частно училище Дружба-София“ ЕООД с ЕИК 204650435, с адрес: гр. София, ж.к. „Обеля“ № 2, ул. „106“ № 3, електронна поща: sofia@drujba.org, тел. +359 2 934 5555.
Данни за длъжностното лице по защита на данните
Длъжностно лице по защита на данните на „Частно училище Дружба-София“ ЕООД е Адвокатско дружество „Димитрова и Цонев“ с адрес: гр. София, район „Овча купел“, ул. „Войводина могила“ № 42, ет. 2, ап. 9; електронна поща: office@zld.bg; телефонен номер: 0879323259, лице за контакт – Теодора Цонева.
Категории лични данни
Дружеството събира пряко от субектите на данни следните категории лични данни:
- При записване на ученици за обучение при Дружеството:
Когато ученик бъде записан да се обучава при Администратора по държавната система за предучилищно и училищно образование съгласно Закона за предучилищното и училищното образование, той предоставя на Дружеството следните категории лични данни: три имена, единен граждански номер/ЛНЧ/друг идентификационен номер, дата на раждане,, номер на лична карта и дата на издаването ѝ, месторождение, пол, гражданство, адрес, личен електронен профил в електронен дневник, телефонен номер, снимка, подпис, видеозаписи, данни за здравословното състояние, образователни данни за учениците като: клас, паралелка, оценки, забележки и други данни посочени в Наредба № 8 от 11.08.2016 г. за информацията и документите за системата на предучилищното и училищното образование. Дружеството обработва допълнителнa информация съгласно Политиката за бисквитки (cookies).
При записване на ученици за обучение Дружеството обработва лични данни и на техните родители, в качеството им на законни представители, като: три имена, единен граждански номер/ЛНЧ, адрес, телефонен номер, електронна поща, подпис, личен електронен профил в електронен дневник, видеозаписи.
- При организиране на събития от Дружеството:
Администраторът обработва лични данни на субекти на данни, свързани с организиране на съзтезания, олимпиади, празненства и други. В тези случаи субектите на данни (ученици, родители, педагогически персонал) предоставят следните категории лични данни: имена, дата на раждане, телефонен номер, електронна поща, снимка, подпис, резултати, данни за образователната институция като: наименование, клас, паралелка.
- При изпращане на запитване:
Когато субект на данни изпрати запитване до Администратора през формата за контакт с него, той предоставя имена, електронна поща, телефонен номер и съобщение.
- При публикуване на отзиви:
Дружеството публикува на интернет страницата си отзиви от субекти на данни. В тези случаи Дружеството обработва следната категория лични данни: имена и коментар.
- Защита на правни интереси:
В случай на възникнали правни спорове Дружеството може да обработва следните категории лични данни на субекти на данни, а именно: имена, единен граждански номер/ЛНЧ, номер на лична карта и дата на издаването ѝ, адрес, телефонен номер, електронна поща и подпис.
- Маркетингови цели:
Администраторът може да обработва лични данни за маркетингови цели, когато е приложимо. В този случай той събира по подходящ начин от субектите на данни имена, електронна поща, телефонен номер.
Когато лични данни са предоставени от субекта на данни на Администратора на лични данни без правно основание по чл. 6, параграф 1 от Регламент (ЕС) 2016/679 или в противоречие с принципите по чл. 5 от същия регламент, в срок един месец от узнаването Дружеството ги връща, а ако това е невъзможно или изисква несъразмерно големи усилия, ги изтрива или унищожава. Изтриването и унищожаването се документират.
Субекти на данни, чиито лични данни се обработват
Администраторът обработва лични данни на следните категории субекти на данни:
- Ученици;
- Родители;
- Педагогически персонал;
- Посетители на уебсайта.
За какви цели се обработват личните данни
Дружеството обработва лични данни за следните цели:
- За целите на обучението, възпитанието и социализацията на ученика;
- За целите на организиране на учебния процес, подпомагане на обучението, издаване на документи, отговарящи на държавните изисквания;
- За целите на поддържане на Регистър на подлежащи на обучение, дневници, лични данни, за издаване на ученическа книжка, уверение, удостоверение за завършен клас или етап на образование, свидетелства за основно и средно образование;
- За целите на организиране на съзтезания и събития организирани от Администратора;
- За спазването на законово задължение, което се прилага спрямо Администратора;
- За маркетингови цели;
- За защита на легитимни интереси на Администратора, включващи административни дейности като: правно обслужване и информационно обслужване и анализ на потреблението, информационна сигурност и други.
На какво правно основание се обработват личните данни
Дружеството обработва лични данни на субекти на данни въз основа на следните законосъобразни основания:
- Обработването е необходимо за изпълнение на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор – договори за предоставяне на социално-педагогическа услуга и други;
- Обработването е необходимо за спазването на законово задължение, което се прилага спрямо Администратора във връзка с обучението, възпитанието и социализацията на ученика, включително, но не само, Закона за държавния архив, Закона за предучилищното и училищното образование, Наредба № 8 от 11.08.2016 г. за информацията и документите за системата на предучилищното и училищното образование, Закона за частната охранителна дейност. Такова задължение може да бъде по изрично искане за предоставяне на информация от правоохранителни органи като МВР, ДАНС, прокуратура, МОН и други;
- Обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на Дружеството;
- Обработването е необходимо за целите на легитимните интереси на Администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни;
- Субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели.
Получатели на личните данни
Дружеството може да сподели лични данни на субекти на данни със следните категории получатели:
- Държавни институции и органи с властнически правомощия, когато по закон Администраторът е длъжен да предостави личните данни като: НАП, НОИ, РУО, МОН, МВР, ДАНС, прокуратура и други;
- Търговски партньори, които обслужват Администратора, в качеството им на обработващи лични данни, за поддръжка на информационната сигурност, доставчици на куриерски услуги, правни кантори и други;
- Служители на Администратора, които обработват лични данни в съответствие с възложените им служебни/трудови функции съгласно длъжностна характеристика и трудов договор.
Училището има задължение да осигурява сигурността и безопасността на своите ученици, което включва и заснемането на изображения чрез система за видеонаблюдение, както и въвеждането на други подходящи технически и организационни мерки, за да гарантира правата и свободите на учениците, родителите и педагогическия персонал в съответствие с принципа за „цялостност и поверителност“.
По-специално Администраторът избира подходящи получатели, които са предприели необходимите гаранции за защита на предоставени им лични данни и с оглед на съществуващите рискове да осигурят съответното ниво на сигурност, включително когато е целесъобразно:
- Псевдонимизация и криптиране на личните данни;
- Способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
- Способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
- Процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.
Администраторът може да предоставя лични данни в страни извън Европейския съюз. Предоставянето на лични данни в този случай може да се извърши при спазване на изискванията съгласно глава V от Регламент (ЕС) 2016/679 и приложимите международни споразумения между Европейския съюз и трети страни. За тази цел Дружеството може свободно да предава лични данни в страни извън Европейския съюз, за които има решение на Европейската комисия за адекватно ниво на защита на личните данни. Същото важи и за случаите, при които Дружеството е сключило договор със стандартни клаузи за предаването на лични данни на трети държави, приети с решение за изпълнение (ЕС) 2021/914 на Комисията от 4 юни 2021г.
Срокове за съхранение на лични данни
„Частно училище Дружба – София“ ЕООД съхранява лични данни в съответствие с принципа на „ограничение на съхранението“. По-специално за горепосочените цели Дружеството ще съхранява лични данни за различни периоди от време, но само толкова дълго, колкото е необходимо за постигане на целите, за които сме ги събрали. Сроковете за съхранение на архиви с лични данни са определени със Закона за държавния архив, Закона за счетоводството, Закона за частната охранителна дейност и други. След изтичане на този срок личните данни се унищожават по определения ред.
Най-дългият срок за съхранение на лични данни е свързан със законовото задължение за издаване на дубликати на свидетелства за основно и за средно образование. Срокът за съхранение на данните, съдържащи се в тях е 50 години. Данните се съхраняват в училищшния архив при строги правила и ограничен достъп.
Права на субектите на данни и начин за упражняването им
Субектите на данни, чиито лични данни се обработват от Администратора, имат:
- Право на достъп до лични данни, включително да получат копие от тях;
- Право на корогиране;
- Право на изтриване (право „да бъдеш забравен“);
- Право на ограничаване на обработването;
- Право на преносимост на данните;
- Право на възражение срещу обработването.
Горепосочените права може да се упражнят като се изпрати заявление в електронна форма на office@zld.bg, подписано с квалифициран електронен подпис съгласно Закона за електронния документ и електронните удостоверителни услуги. Също така може да бъде подадено писмено заявление на място в офиса на Дружеството на адрес: гр. София, ж.к. „Обеля“ № 2, ул. „106“ № 3.
Даване на съгласие и оттегляне на съгласие
Дружеството може да поиска съгласие от субектите на данни като законосъобразно основание за обработване на лични данни за една или повече цели. Някои от тези цели например може да бъдат за профилиране, свързано проследяване, поведенческа реклама или други. В тези случая Дружеството ще поиска съгласието на субекта на данни, за да има законово основание да обработва личните му данни, за което ще го извести своевременно по подходящ начин. Личните данни може да включват повече категории от изброените по-горе, като в съгласието изрично се посочват необходимите категории лични данни за обработване за съответната цел.
Съгласието трябва да бъде свободно изразено, конкретно, информирано и недвусмислено указание на волята на субекта на данните. Съгласието може да бъде оттеглено по всяко време по начините, описани по-горе за упражняване на права от субектите на данни.
Право на жалба до надзорния орган
В съответствие с Общия регламент за защита на данните и Закона за защита на личните данни, субектите на данни имат правото да подадат жалба до Комисията за защита на личните данни на адрес: гр. София, бул. „Проф. Цветан Лазаров“ № 2.
Мерки за сигурност на личните данни
Администраторът предприема необходимите мерки за сигурност на личните данни. Всички документи на хартиен носител, съдържащи лични данни, се съхраняват в заключени шкафове в офиса на Дружеството, като само упълномощени лица имат достъп до тях. Помещенията на Администратора имат инсталирани ограничен достъп и видеонаблюдение, които спомагат за ограничаване на неоторизиран достъп до данните.
Достъпът до информацията, съдържаща се на електронни носители се извършва чрез уникални потребителски акаунти и пароли за всеки един служител. Членовете на персонала преминават през обучение непосредствено след наемането им и спазват напълно правилата за конфиденциалност, като действа забрана за споделяне на лични данни с неоторизирани за това лица.
гр. София, Утвърдил:____________________________________
Дата: 01.09.2024 г. /Билан Манушев – управител /