Политика за защита на личните данни

Фондация „Институт Отворено общество – София“ (ИОО-София) е юридическо лице с нестопанска цел, определена за извършване на дейност в обществена полза, вписана в Търговския регистър и регистър на ЮЛНЦ към Агенцията по вписванията с ЕИК 831524005 и със седалище и адрес на управление в гр. София, ул. „Солунска“ № 56, тел.: 02/9306650, е-mail: info@osi.bg, интернет страница: http://www.osis.bg

ИОО-София има следните цели: демократизация на обществения живот в България; разширяване и гарантиране на гражданските свободи; укрепване на институциите на гражданския сектор; европейска интеграция и регионално сътрудничество на България. За постигане на своите цели ИОО-София разработва програми и осъществява дейност, като разходва имуществото си за развитието и утвърждаването на духовни ценности, гражданското общество, здравеопазването, образованието и културата и подпомага: развитието на публичен дебат и политики по значими за България проблеми; приобщаване на България към обединена Европа; граждански инициативи; стабилизиране на институциите на гражданското общество.

ИОО-София е администратор на лични данни по смисъла на Закона за защита на личните данни (ЗЗЛД), регистриран от Комисията за защита на личните данни (КЗЛД) и вписан в Публичния регистър на лични данни с идентификационен номер 90260.

  1. I. Цели и обхват на Политиката за защита на лични данни
  2. С настоящата Политика за защита на личните данни ИОО-София отчита неприкосновеността на личността и предприема необходимите мерки за защита срещу неправомерно обработване на лични данни на физически лица. В съответствие с действащото европейско и национално законодателство и добрите практики, ИОО-София прилага изискваните организационни и технически мерки за защита на лични данни.
  3. С настоящата Политика за защита на личните данни ИОО-София цели да информира заинтересованите лица за целите на обработка на лични данни, основанията за обработването им, категориите получатели, на които могат да бъдат разкрити данните, последиците от отказ за предоставянето им, както и информация за правото на достъп, коригиране, заличаване и възражение, съгласно изискванията на Регламент (ЕС) 2016/679 и ЗЗЛД.
  4. II. Лични данни обработвани в ИОО-София
  5. ИОО-София, в качеството си на администратор на лични данни, обработва лични данни, структурирани в отделни регистри, които са обявени в Публичния регистър на вписаните администратори на лични данни.
  6. ИОО-София обработва лични данни, предоставени лично от субектите на лични данни, за които се отнасят във връзка със спазването на законово задължение, което се прилага спрямо администратора.
  7. ИОО-София обработва лични данни, предоставени лично от субектите на лични данни, в случаите, когато субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели, когато обработването е необходимо на база на договорни изисквания или за целите на легитимните интереси на администратора.
  8. ИОО-София обработва и лични данни, които не са получени от субекта на личните данни, за когото се отнасят, а са предоставени от трето лице във връзка с изпълнението на конкретно договорно задължение по изпълнение и управление на програми и проекти за безвъзмездно финансиране или дейности по изпълнение на други договорни задължения. В тези случаи лицето предоставило тези данни на ИОО-София се задължава:
  9. да предостави на субекта на лични данни информация за администратора – ИОО- София;
  10. да уведоми субекта на лични данни за целите, категориите предоставяни данни и категориите получатели на тези данни;
  11. да предостави информация за правото на достъп и на коригиране на лични данни от лицето, за което се отнасят.
  12. (1) Диференцирани от конкретната дейност или нормативно изискване са следните категории лични данни, които се обработват от ИОО-София. Такива данни са свързани с:
  13. физическа идентичност: име, ЕГН, данни от документ за самоличност, месторождение, адрес, телефон, e-mail;
  14. социална идентичност: образование, квалификация, правоспособност, заемана длъжност, трудова дейност – стаж и професионална биография, гражданство, участие в управителни органи на юридически лица;
  15. икономическа идентичност – номер на банкова сметка (IBAN);
  16. данни, разкриващи принадлежност към уязвима група, етническа принадлежност.

(2) Във връзка със спазване на законови задължения ИОО-София събира данни за физическата и икономическа идентичност.

(3) В рамките на някои от провежданите от ИОО-София социологически проучвания е възможно събирането и на следните категории лични данни, свързани с:

  1. семейна идентичност на лицата: фактическо семейно положение – брак, развод, съжителство, вдовство по самооценка на лицето; състав на домакинството – брой членове на домакинството, в това число деца до 18 години; в някои изследвания – роднински връзки в домакинството по самооценка на лицето;
  2. образование на лицата: образователна степен и вид на образованието, година на завършване, настоящ образователен статус (дали лицето учи в момента) по самооценка на лицето;
  3. трудова дейност и материално положение: трудов статус – зает, пенсионер, безработен, отпуск по майчинство – по самооценка на лицето; професия и сектор на трудовата заетост по самооценка на лицето; средномесечно брутно/нетно трудово възнаграждение по самооценка на лицето; имуществено положение и условия на живот по самооценка на лицето; наличие на здравна осигуровка – по самооценка на лицето;
  4. здравно състояние на лицето: здравен статус – по самооценка на лицето; наличие на хронично заболяване – по самооценка на лицето;
  5. данни, касаещи социалната и културната идентичност на лицето: етническа идентичност – по самоопределение на лицето; религиозна принадлежност – по самоопределение; нагласа за подкрепа на политически партии и лидери – по самоопределение; репродуктивни и сексуални нагласи – по самоопределение.

(4) В случаите по ал. 3 на технически носител се качват единствено контактни данни  на лицата. Данните от анкетните карти се качват на технически носител и се обработват за статистически цели само в псевдонимизиран вид.

(5) В рамките на договорно задължение, свързано с финансиране на проект/програма, с изричното съгласие на лицето може да бъде изискана информация свързана с отговаряне на определени изисквания за неговото включване (образование, принадлежност към уязвима група, етническа принадлежност).

III. Обработване на лични данни

  1. Като администратор на лични данни ИОО-София обработва лични данни чрез съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или неавтоматични средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, консултиране, употреба, блокиране, заличаване и унищожаване, при спазване на следните принципи:
  2. законосъобразност на обработката на лични данни;
  3. пропорционалност на обработката на лични данни;
  4. актуалност на обработваните лични данни.
  5. ИОО-София обработва личните данни самостоятелно или чрез възлагане на обработващи данните като се определят целите и обемът на задълженията, възложени от администратора на обработващия данните, при наличие на релевантно правно основание, съгласно ЗЗЛД. Обработващи от името на ИОО-София се явяват например служителите му, чиито права и задължения, във връзка с обработването на лични данни на физически лица, са надлежно регламентирани във Вътрешните правила на ИОО-София.
  6. IV. Цел на обработката на лични данни
  7. Целта на обработката на лични данни е еднозначно да се идентифицират физическите лица, настоящи и бъдещи служители на ИОО-София, контрагенти, бенефициенти по договори за безвъзмездно финансиране, участници в някои социологически проучвания, поканени и участници в събития, осъществявани във връзка с изпълнение на дейностите на ИОО-София. Обработката на данни е вследствие на:
  8. изпълнението на нормативно установени задължения на администратора на лични данни, произтичащи от спецификата на изискванията на законодателството, регламентиращо финансово-счетоводната отчетност, пенсионна, здравна и социално-осигурителна дейност, дейността по управление на човешки ресурси;
  9. изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
  10. в изпълнение на дейности от ИОО-София – за една или повече конкретни цели със съгласие на субекта на данните; за целите на легитимните интереси на администратора или на трета страна със съгласие на субекта на данните.
  11. V. Последици от отказ за предоставяне на лични данни
  12. Изрично съгласие на физически лица, чиито данни се обработват не е необходимо, ако администраторът разполага с правно основание за обработка на лични данни. Такива основания са например нормативно установено задължение във връзка с изискванията на трудовото, данъчното и социално-осигурително законодателство, Закона за задълженията и договорите, Закона за счетоводство, Закона за мерките срещу изпирането на пари, Закона за мерките срещу финансирането на тероризма и др.
  13. В случай на отказ от доброволно предоставяне на искани лични данни, ИОО-София няма да бъде в състояние да изпълни свои нормативно или договорно установени задължения, включително да не бъде в състояние да предостави безвъзмездна услуга или финансиране на отказващия да предостави личните си данни субект, бенефициент по изпълняван от ИОО-София проект или по проект, финансиран от управляван от ИОО-София фонд или програма за безвъзмездно финансиране.
  14. VI. Разкриване на лични данни
  15. ИОО-София като администратор на лични данни има право да разкрие обработваните лични данни само на следните категории лица:
  16. физически лица, за които се отнасят данните;
  17. лица, за които правото на достъп е законово установено;
  18. лица, за които правото произтича по силата на договор.

VII. Права на субектите на лични данни

  1. Физическите лица, чиито лични данни се обработват имат следните права:
  2. Право на информираност относно данните, които идентифицират администратора, целите на обработването на лични данни, получателите или категориите получатели, на които могат да бъдат разкрити данните, задължителния или доброволен характер на предоставянето на лични данни и последиците от отказ за предоставянето им.
  3. Право на достъп до отнасящи се до физическите лица данни. В случаите когато при предоставяне правото на достъп на субекта на данни могат да се разкрият лични данни и за трето лице, администраторът е длъжен да предостави частичен достъп до тях, без да разкрива данни за третото лице.
  4. Право на коригиране или допълване на неточни или непълни лични данни.
  5. Право на заличаване на лични данни, обработването на които не отговаря на регламентираните изисквания или е с отпаднало правно основание (изтекъл срок на съхранение, оттеглено съгласие, изпълнена първоначална цел, за която са били събирани данните и др.), както и правото да се поиска да бъдат уведомени третите лица, на които са били разкрити личните данни на лицето, за всяко заличаване, коригиране или блокиране, което е извършено, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия.
  6. Право на възражение пред администратора срещу обработването и/или разкриването на лични данни на субекта при наличие на законово основание за това. Право да бъде уведомено преди личните му данни да бъдат разкрити на трети лица при наличие на законово основание за това.
  7. Право на защита пред КЗЛД https://www.cpdp.bg/ или по съдебен ред.

VIII. Ред за упражняване на права

  1. (1) Физическите лица упражняват правата си като подават писмено заявление до ИОО-София (на хартиен носител или по електронна поща), съдържащо минимум следната информация:
  2. Име, адрес и други данни за идентифициране на съответното физическо лице;
  3. Описание на искането;
  4. Предпочитана форма за предоставяне на информация;
  5. Подпис, дата на подаване на заявлението и адрес за кореспонденция.

(2) Цялата процедура по упражняване на права на физическо лице във връзка с личните им данни е безплатна за лицето.

(3) С цел избягване на злоупотреби, при подаване на заявление от упълномощено лице, към заявлението се прилага нотариално заверено пълномощно.

  1. Срокът за разглеждане на заявлението и произнасяне на администратора по него е 14-дневен, считано от деня на подаване на заявлението, съответно 30-дневен, когато е необходимо повече време за събиране на исканите данни и с оглед сложността на искането.
  2. ИОО-София изготвя писмен отговор и го съобщава на заявителя лично – срещу подпис или по поща/куриер с обратна разписка, като се вземе предвид предпочитаната от заявителя форма за предоставяне на информацията.
  3. Когато данните, предмет на заявлението не съществуват или предоставянето им е забранено със закон, на заявителя се отказва достъп до тях.
  4. В случай, че ИОО-София не отговори на заявителя в предвидените срокове или заявителят не е удовлетворен от получения отговор и/или счита, че са нарушени негови права, свързани със защита на личните данни, той има право да упражни правото си на защита пред компетентните органи.
  5. IX. Използвани термини и дефиниции
  6. По смисъла на настоящата Политика:
  7. „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер или чрез един или повече специфични признаци.
  8. „Обработване на лични данни“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
  9. „Администратор на лични данни“ е ИОО-София, който сам или съвместно/чрез възлагане на друго лице обработва лични данни.
  10. „Регистър с лични данни“ е всяка структурирана съвкупност от лични данни, достъпна по определени критерии, съгласно Вътрешните правила на ИОО-София, която може да бъде централизирана или децентрализирана и е разпределена на функционален принцип.

Настоящата Политика за защита на личните данни на фондация „Институт Отворено общество – София“ е утвърдена със Заповед на Изпълнителния директор на 21. 05. 2018 г. и влиза в сила от същата дата.