Защита на личните данни
МИНИСТЕРСТВО НА ТРУДА И СОЦИАЛНАТА ПОЛИТИКА
ОПЕРАТИВНА ПРОГРАМА
„РАЗВИТИЕ НА ЧОВЕШКИТЕ РЕСУРСИ” 2014-2020
УТВЪРДИЛ:
ЗОРНИЦА РУСИНОВА
ЗАМЕСТНИК- МИНИСТЪР И РУО
ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Съгласно разпоредбата на чл. 3.39 от договора за безвъзмездна помощ (по-нататък наречен само административния договор) задължение на страните по него е да запазят поверителността на всички данни, свързани с неговото изпълнение и отчитане в съответствие с клаузата на чл. 5 от Регламент (ЕС, ЕВРАТОМ) № 966/2012 на Европейския парламент и на Съвета относно финансовите правила, приложими за общия бюджет на Съюза и прилагането на Регламент (ЕС) 2016/679 от 27 април 2016 година на Европейския парламент и на Съвета (наречен по-нататък само Общия регламент).
В изпълнение на сключения договор бенефициентът е:
1. Администратор на лични данни. (Напр. в качеството му на работодател спрямо данните, необходими за уреждане на трудовите правоотношения; на възложител по договори за обществени поръчки/за избор на изпълнители/ подизпълнители; доставчик на услуги и др.)
2. Обработващ, извън случаите когато действа като администратор и събира данни от името на УО в съответствие с дадени от него указания. (При обработването на данни, свързани напр. с характеристиките на представителите на целевата група, като пол, етническа принадлежност, социален статус).
Обработването произтича от законово задължение в изпълнение на чл. 50, параграфи 2 и 3 от Регламент 1303/2013 на Европейския парламент и на Съвета от 17 декември 2013 година за определяне на общоприложими разпоредби за Европейския фонд за регионално развитие, Европейския социален фонд, Кохезионния фонд, Европейския земеделски фонд за развитие на селските райони и Европейския фонд за морско дело и рибарство и за определяне на общи разпоредби за Европейския фонд за регионално развитие, Европейския социален фонд, Кохезионния фонд и Европейския фонд за морско дело и рибарство, и за отмяна на Регламент (ЕО) № 1083/2006 на Съвета относно изготвянето на годишен доклад по програмата и във връзка с чл. 5 и Приложения 1 и 2 от Регламент 1304/02013 на Европейския парламент и на Съвета от 17 декември 2013 г. относно Европейския социален фонд и за отмяна на Регламент (ЕО № 1081/2006 на Съвета, съдържащи данни за относно участниците съгласно гореизброените характеристики, включително когато се събират данни за деца. Навсякъде в настоящия раздел/анекс за обработване се считат всички действия, посочени в дефиницията по чл. 4 (2) от Регламента („обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване).
Обработването на данните е подчинено на принципите, заложени в чл. 5 от Общия регламент. За тази цел обработващият е длъжен:
-
- да събира данните законосъобразно, добросъвестно и по прозрачен начин.
- да събира данните в съответствие с целите на сключения договор и за отчитане на изпълнението по Оперативната програма в рамките на съответната операция, по която е предоставено финансирането. Недопустимо е обработване, несъвместимо с тези цели.
- да събира данните ограничено до минимално необходимите данни съобразно обхвата на участие на представителите на целевите групи или на неговите изпълнители и подизпълнители.
- да поддържа данните в актуален вид и относно тях да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се вземат предвид целите и сроковете, за които те се обработват и съхраняват.
- да съхранява данните във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите по сключения договор. Срокът за съхранение на данните е посочен в чл. 3.70 от административния договор.
- относно тяхното съхранение да гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като прилага подходящи технически или организационни мерки, като предприема подходящи мерки за сигурност в съответствие с чл. 32 от Общия регламент. За тази цел бенефициентът утвърждава фирмени правила съгласно дефиницията по чл. 4 (20) от Регламента. За такива се приемат кодекс за поведение, механизми за сертифициране и др., които обезпечават задълженията по регламента по адекватен начин.
Личните данни се обработват от бенефициента по сключения с УО на ОП РЧР административен договор и в Информационната система за управление и наблюдение на Структурните инструменти на Европейския съюз в България (ИСУН2020), поддържана от Централното координационно звено за срока на съхранение.
Срокът за съхранение е изчислен измежду два периода: три години считано от 31 декември на годината в която Сертифициращият орган е депозирал окончателно искане за плащане към Европейската комисия или пет години от възстановяването на окончателното плащане по проекта, по който участвам, който от двата срока настъпи по- късно. Срокът е определяем на основание чл. 140 от Регламент (ЕС) № 1303/2013 на Европейския парламент и на Съвета от 17 декември 2013 година за определяне на общоприложими разпоредби за Европейския фонд за регионално развитие, Европейския социален фонд, Кохезионния фонд, Европейския земеделски фонд за развитие на селските райони и Европейския фонд за морско дело и рибарство и за определяне на общи разпоредби за Европейския фонд за регионално развитие, Европейския социален фонд, Кохезионния фонд и Европейския фонд за морско дело и рибарство, и за отмяна на Регламент (ЕО) № 1083/2006 на Съвета и чл. 134 от Регламент (ЕС, Евратом) № 966/2012 на Европейския парламент и на Съвета от 25 октомври 2012 относно финансовите правила, приложими за общия бюджет на Съюза и за отмяна на Регламент (ЕО, Евратом) № 1605/2002 на Съвета. Срокът на съхранение се удължава до окончателното приключване на одити, възражения или съдебни дела относно изпълнението на проекта.
Бенефициентът може да включва друг обработващ само за целите и в обхвата на конкретния административен договор или да определя лица, които да обработват личните данни(напр. изпълнител по сключен договор, за изпълнението на който е необходимо събирането на данни), като предвиди в договорите си с тях съответните ограничения за периода на обработване; за характера и целите; вида на данните; субектите, чийто данни се обработват, че същите са поели ангажимент за поверителност или са задължени по закон да спазват поверителност, както и гарантиране правата на субектите на данни съгласно условията на чл. 27 и чл. 28, парагр. 4 от Общия регламент; да предвиди изискване за предоставяне достатъчно гаранции за прилагане на подходящи технически и организационни мерки, така че обработването да отговаря на изискванията на Регламента. Бенефициентът е длъжен да информира УО за тези лица, както и тяхната промяна или включване на нови лица, както и за начина по който е гарантирал, че процесът по обработване е в съответствие с Общия регламент и в съответствие с указанията на УО. За обработване извън посочения обхват УО не носи отговорност.
По силата на сключения административен договор, бенефициентът гарантира спазването на гореизброените правила относно обработването на лични данни и спрямо своите партньори (ако има такива). Следователно всички партньорски организации също са обработващи лични данни, както и администратори на такива, когато това е приложимо.
Бенефициентът няма право да предоставя данните на трета държава или международна организация, освен когато е длъжен да направи това по силата на правото на Съюза или правото на държава членка, което се прилага спрямо обработващия лични данни. В този случай обработващият лични данни информира УО за това изискване преди обработването, освен ако това право забранява такова информиране на важни основания от публичен интерес. Бенефициентът подпомага чрез подходящи технически и организационни мерки за изпълнението на задължението на УО при упражняване на правата по Общия регламент от страна на субектите на данни. Бенефициентът е длъжен да съдейства на УО за изпълнение задълженията по членове 32-36 от Регламента съобразно вида и обема на обработваните данни.
Бенефициентът предоставя достъп на УО до данните, както и на национални контролиращи, сертифициращи и одитиращи органи или органи на ЕС за изпълнение на техните правомощия. Когато е приложимо, бенефициентът заличава или връща на УО всички лични данни след приключване на услугите по обработване и заличава съществуващите копия, без това да нарушава условията и сроковете за тяхното съхранение. В случай на проверка и искане на достъп извън посочения контрол бенефициентът уведомява за това УО.
За изпълнението и отчитането на административния договор се обработват следните категории лични данни:
-
- Физически данни: три имена, телефон за контакт, ЕГН, номер на ЛК и дата на издаване, адрес, включително електронен адрес, месторождение, пол, произход;
- Здравословно състояние;
- Икономическа идентичност: месторабота или липса на такава;
- Социална идентичност: диплома, документи за допълнителна квалификация.
- Социално положение.
Бенефициентът гарантира, че се спазват правата на субектите на данни на:
-
- Информираност;
- Достъп до собствените си лични данни;
- Коригиране (ако данните са неточни);
- Изтриване на личните данни (правото „да бъдеш забравен“);
- Ограничаване на обработването от страна на обработващия и/или администратор на лични данни в приложимите случаи;
- Преносимост на личните данни;
- Възражение спрямо обработването на негови лични данни;
- Субектът на данни има право и да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен;
- Право на защита по съдебен или административен ред, в случай че правата на субекта на данни са били нарушени.