Чл. 6 Административен съд – Монтана е администратор на личните данни с адрес гр. Монтана - 3600, пл. „Жеравица“ 3, ет. 3-4. Искания до съда в качеството му на администратор на данни могат да се изпращат по пощата, лично да бъдат подадени в...

Съдебните служители, обработващи лични данни, задължително подписват декларация /Приложение №2/, с която поемат задължение за неразпространение на лични данни, станали им известни във връзка и по време на изпълнение на служебните им задължения. Декларацията се съхранява в кадровото досие на всеки служител.

(6) При неспазването на ограниченията за достъп до личните данни и нарушаване на правилата за обработване на лични данни магистратите и съдебните служители носят дисциплинарна отговорност.

Принципи при обработване на лични данни

Чл. 2. При обработването на лични данни в административен съд гр. Монтана се спазват следните принципи:

1. Законосъобразност, добросъвестност и прозрачност – обработване при наличие на законово основание, при полагане на дължимата грижа и при информиране на субекта на данни;

2. Ограничение на целите – събиране на данни за конкретни, изрично указани и легитимни цели и забрана за по-нататъчно обработване по начин, несъвместим с тези цели;

3. Свеждане на данните до минимум – данните следва да са подходящи, свързани с и ограничени до необходимото във връзка с целите на обработване;

5. Точност – поддържане в актуален вид и предприемане на всички разумни мерки за гарантиране на своевременно изтриване или коригиране на неточности при данните, при отчитане на целите на обработването;

6. Ограничение на съхранението – данните да се обработват за период с минимална продължителност, съгласно целите. Съхраняване за по-дълги срокове е допустимо за целите на архивирането в обществен интерес, за научни или исторически изследвания, или статистически цели, но при условие, че са приложени подходящи технически и организационни мерки;

7. Цялостност и поверителност – обработване на лични данни по начин, който гарантира подходящо ниво на сигурност на същите, като се прилагат подходящи технически или организационни мерки;

8. Отчетност – администраторът носи отговорност и трябва да е в състояние да докаже спазването на всички принципи, свързани с обработването на лични данни.

Понятия

Чл. 3. За целите на настоящите Правила, използваните понятия имат следното значение:

- ЗЗЛД – Закон за защита на личните данни.

- КЗЛД – Комисия за защита на личните данни.

- ИВСС – Инспекторат към Висшия съдебен съвет.

- Лични данни

Съгласно чл. 4, т. 1 ОРЗД “лични данни” означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице“.

• Длъжностно лице/служителя/ по защита на данните – физическо лице или организация, определени съгласно изискванията на чл. 37 и сл. от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г.

• Администратор на лични данни е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.

• Обработващ лични данни – лице или организация, което въз основа на закон и/или договор обработва лични данни, предоставени от Административен съд – Монтана, в изпълнение на закона и/или за уговорените цели.

• Трета страна е физическо или юридическо лице, публичен орган, агенция или

друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни.

• Получател на лични данни е физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването.

• Известия по защита на данните – отделни известия, съдържащи информация, предоставяна на субектите на данни в момента, в който Административен съд – Монтана събира информация за тях. Тези известия могат да бъдат както общи (напр. адресирани към работници и служители или известия на уебсайта на организацията), така и отнасящи се до обработване със специфична цел.

• Обработване на данни – всяка дейност, която е свързана с използването на лични данни. Това включва: получаване, записване, съхранение, извършване на операция или серия от операции с данните като напр. организиране, редактиране, възстановяване, използване, предоставяне, изтриване или унищожаване. Обработването също включва и трансфер на лични данни до получател на лични данни.

• Псевдоминизиране – заместването на информация, която директно или индиректно идентифицира физическо лице, с един или повече идентификатори („псевдоними”), така че лицето да не може да бъде идентифицирано без достъп до допълнителната информация, която следва да се съхранява отделно и да е поверителна.

• Съгласие – всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данни, посредством изявление или ясно потвърждаващо действие, което изразява съгласие за обработка на лични данни, свързани с него.

Условия за достъп до лични данни

Чл. 4 Достъпът до лични данни се осъществява само от лица, чиито служебни задължения или конкретно възложено задача налагат такъв достъп, при спазване на принципа „Необходимост да знае” и след запознаване с нормативната уредба в областта поп защитата на личните данни, политиката и ръководствата за защита на личните данни и опасностите за личните данни, обработвани от администратора, като за целта лицата подписали декларация за неразгласяване на лични данни, до които са получили достъп при или поп повод изпълнение на задълженията си.

Права на физическите лица при обработване на лични данни отнасящи се до тях

Чл. 5. (1) Всяко физическо лице, чийто лични данни ще се обработват от администратора, следва да бъде уведомено за:

1. данните, които идентифицират администратора;

2. целите на обработването на личните данни и правното основание за обработването;

3. категориите лични данни, отнасящи се до съответното физическо лице;

4. получателите или категориите получатели, на които могат да бъдат разкрити данните;

5. срока за съхранение на личните данни;

6. информация за правото на достъп и правото на коригиране, изтриване или ограничаване на обработването на събраните данни, правото на възражение и правото на преносимост при условията на Регламент (ЕС) 2016/679 – Общия регламент относно защитата на данните;

7. право на оттегляне на съгласието по всяко време, когато обработването на личните данни се основава на съгласие на лицето;

8. правото на жалба до надзорен орган – Комисията за защита на личните данни;

9. източника на данните;

10.съществуване на автоматизирано вземане на решения, включително профилиране.

(2) Алинея 1 не се прилага, когато:

1. обработването е за статистически, исторически или научни цели и предоставянето на данните по ал. 1 е невъзможно или изисква прекомерни усилия;

2. вписването или разкриването на данни са изрично предвидени в закон;

3. физическото лице, за което се отнасят данните, вече разполага с информацията по ал. 1;

4. е налице изрична забрана за това в закон.

(3) Информацията по ал. 1 се обявява на леснодостъпно място на електронната страница на Административен съд гр. Монтана.

ІІІ. АДМИНИСТРАТОР И ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

Индивидуализиране на администратора на лични данни

Чл. 6 Административен съд – Монтана е администратор на личните данни с адрес гр. Монтана - 3600, пл. „Жеравица“ 3, ет. 3-4. Искания до съда в качеството му на администратор на данни могат да се изпращат по пощата, лично да бъдат подадени в Регистратурата на съда, в работно време понеделник - петък от 8.30ч. до 17.00ч. или да се отправят на електронен адрес: xx.xxxxxxx@xxxx.xx

(2) Административен съд гр. Xxxxxxx обработва лични данни във връзка с изпълнението на законовите си правомощия, като определя целите и средствата за обработването им, при спазване на относимите нормативни актове.

(3) Административен съд – Xxxxxxx обработва личните данни самостоятелно или чрез възлагане на обработващ лични данни.

Длъжностно лице по защита на данните

Чл. 7. (1) В качеството си на публичен орган Административен съд гр. Монтана определя длъжностно лице по защита на данните.

(2) Длъжностно лице по защита на личните данни се определя със заповед на Председателя на Административен съд гр. Монтана.

Чл. 8. (1) Длъжностното лице по защита на данните изпълнява най – малко следните задачи:

1. информира и съветва администратора и служителите, които извършват обработване, за техните задължения по силата на Общия регламент относно защитата на данните и на други разпоредби за защитата на данни на равнище Европейски съюз или държава членка;

2. наблюдава спазването на Общия регламент относно защитата на данните и на други разпоредби за защитата на данни на равнище Европейски съюз или държава членка;

3. наблюдава спазването на политиките на администратора по отношение на защитата на личните данни;

4. допринася за повишаване на осведомеността на служителите в Административен съд гр. Монтана, участващи в дейностите по обработване;

5. извършва необходимите проверки за прилагането на изискванията за защита на личните данни в Административен съд гр. Монтана;

6. при поискване предоставя съвети по отношение на оценката на въздействието върху защитата на данните и наблюдава нейното извършване;

7. произнася се по постъпили искания за упражняване на права от субекти на данни;

8. сътрудничи си с Комисията за защита на личните данни в качеството й на надзорен орган на Република България по всички въпроси, предвидени в Общия регламент относно защитата на данните или произтичащи от други правни актове на Европейския съюз или от законодателството на Република България или по въпроси, инициирани от надзорния орган;

9. действа като точка за контакт за надзорния орган по въпроси, свързани с обработването, включително предварителната консултация, посочена в чл. 36 от Общия регламент относно защитата на данните, и по целесъобразност да се консултира по всякакви други въпроси;

10. в съответствие с чл. 30 от Общия регламент относно защитата на данните води регистър на дейностите по обработване на лични данни в Административен съд гр. Монтана;

11. води регистър за нарушенията на сигурността на данните;

12. води регистър за искания от субекти на данни.

(2) Данните за контакт с длъжностното лице по защита на данните се обявяват на леснодостъпно място на електронната страница на Административен съд гр. Монтана и се съобщават на Комисията за защита на личните данни, съгласно чл. 37, пар. 7 от Регламент (ЕС) 2016/679.

IV. КАТЕГОРИИ ЛИЧНИ ДАННИ, ЦЕЛИ И ОСНОВАНИЯ, НА КОИТО СЕ ОБРАБОТВАТ, СРОК НА ОБРАБОТВАНЕ И СРОК НА СЪХРАНЕНИЕ

Чл. 9. Административен съд – Xxxxxxx обработва лични данни за постигане на следните цели, които отразяват и основанията за тяхното обработване:

(1) Изпълнение на правомощията на Административен съд – Монтана и спазване на законови задължения, които произтичат за администратора на лични данни (на основание чл.6, от Общия регламент относно защитата на данните). За тази цел се обработват следните лични данни:

а) на лица /страни, техни пълномощници и процесуални представители/, които сезират съда с молби, жалби, сигнали, предложения и други искания с цел тяхното индивидуализиране. С оглед естеството на искането това са данни, свързани с физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност, данни, свързани с присъди и/или данни относно здравословното състояние. Използването на данните за съответните лица е за служебни цели, които служат за изпращане на призовки, съдебни книжа и друга кореспонденция, свързана с входящи и изходящи документи по повод движението и обработването на съдебните дела.

б) На вещи лица, назначени по образуваните в Административен съд – Xxxxxxx дела. Това са данни, свързани с физическата идентичност, както и данни и свързани с изплащане на техните възнаграждения.

(2) Управление на човешките ресурси и финансово-счетоводна отчетност. За тази цел се обработват лични данни на кандидатите за работа, на магистрати, съдебни служители и лицата на технически длъжности в Административен съд – Монтана и на субекти, изпълнители по договори. Обработваните категории данни включват данни относно физическата, социалната, семейната и икономическата идентичност, данни за съдебното минало, както и за здравословното състояние на лицата. Използването на личните данни е с цел изпълнение на произтичащите законови задължения във връзка с правоотношенията на лицата и постигане на финансова отчетност.

(3) Доколкото във връзка с изпълнението на договорите се обработват лични данни на отделни физически лица, за тях се обработва информация в минимален обем, достатъчна само за точното изпълнение на задълженията по съответния договор. Достъп до тази информация се предоставя на трети лица само, когато това е посочено в специален закон.

(4) Личните данни не се използват за несъвместими цели. Обработването им се свежда до целите, за които данните се събират, както и за целите на архивирането в обществен интерес, научни и исторически изследвания и статистически цели.

(5) Информацията при обработване във връзка с исканията по Закона за достъп до обществена информация, може да съдържа данни за физическа, икономическа, социална или друга идентичност на отделни лица. Административен съд – Xxxxxxx предоставя такава информация само и доколкото тя отговаря на целите на закона.

(6) Видеонаблюдение с охранителна цел. Записите от техническите средства за видеонаблюдение се съхраняват в регистър „Видеонаблюдение“ в срок от един месец, след изготвянето им. Достъп до данните имат определени служители в рамките на изпълняваните от тях служебни задължения.

(7) Обработването на лични данни на всички граждани, адвокати и други посетители на Административен съд – Монтана се извършва и от служители от ОЗ Охрана, град Монтана. Целта на обработването на лични данни е идентифициране на физически лица, посещаващи сградата и контрол на достъпа до съда.

Чл. 10. Административен съд – Xxxxxxx разкрива лични данни на трети страни и получатели само, ако те имат законово основание да ги получат. Категориите получатели на личните данни се определят за всеки конкретен случай, според законовото им основание да получат данни. Категориите получатели могат да бъдат:

1. Държавни органи в съответствие с техните правомощия;

2. Банки, кредитни институции, при възникнало законово или договорно задължение;

3. Пощенски и куриерски доставчици при адресиране на кореспонденция до физически или юридически лица.

4. Други категории лица, посочени в закон или нормативен акт.

Срок на съхранение на данните.

Чл. 11. Като администратор на данни Административен съд – Монтана обработва данни за период с минимална продължителност, съгласно целите за обработка и предвидените в действащото законодателство срокове, като сроковете за съхранение на данните от регистрите в Административен съд – Монтана са с различна продължителност, определен в утвърдената Номенклатурата на делата на Административен съд – Монтана.

IV. ВИДОВЕ РЕГИСТРИ НА ЛИЧНИ ДАННИ

Чл. 12 В Административен съд – Xxxxxxx, в писмена и/или електронна форма, се поддържат следните видове регистри, съгласно националното законодателство чл. 30 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г.:

1. „Регистър на дейностите по обработване на лични данни“, /Приложение№1/.;

2. Регистър „Нарушения на сигурността на личните данни“;

3. регистър „Персонал”;

4. регистри „Вещи лица и свидетели“;

5. регистри „Деловодство”;

6. регистър „Видеонаблюдение”.

Чл. 12а. Съдържание на „Регистъра на дейностите по обработване на лични данни”:

1. Видове дейности по обработване на лични данни;

2. Целите на обработването;

3. Правно основание, на което се извършва обработването;

4. Описание на категориите субекти на данни и на категориите лични данни;

5. Категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;

6. Предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, документация за подходящите гаранции;

7. Дейности по обработване на лични данни;

8. Срок за съхранение;

9. Общо описание на техническите и организационни мерки за сигурност.

10. Координатите за връзка с Административен съд – Монтана и на определеното от административния ръководител лице отговорно по защита на данните;

Чл. 12б. Регистър „Нарушения на сигурността на личните данни”.

1. Дата на установяване на нарушението;

2. Описание на нарушението – източник, вид и мащаб на засегнатите данни, причина за нарушението (ако е приложимо);

3. Описание на извършените уведомявания: уведомяване на КЗЛД и засегнатите лица, ако е било извършено;

4. Предприети мерки за предотвратяване и ограничаване на негативни последици за субектите на данни и за Административен съд – Монтана;

5. Предприети мерки за ограничаване на възможността от последващи нарушения на сигурността.

Чл.12в. Регистър „Персонал”.

В регистъра се обработват лични данни на магистрати и съдебни служители, с оглед:

1. индивидуализиране на трудови правоотношения;

2. изпълнение на нормативните изисквания на Кодекса на труда, Кодекса за социално осигуряване, Закона за счетоводството, Закона националния архивен фонд, Закона за съдебната власт, ПАС и др.;

3. използване на събраните данни за съответните лица за служебни цели:

- за всички дейности, свързани със съществуване, изменение и прекратяване на трудовите правоотношения;

- за изготвяне на всякакви документи на лицата в тази връзка (договори, допълнителни споразумения, документи, удостоверяващи трудов стаж, атестационни формуляри, служебни бележки, справки, удостоверения и др. подобни);

- за установяване на връзка с лицето по телефон, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията му по трудови договори;

- за водене на счетоводна отчетност относно възнагражденията на посочените по- горе лица по трудови правоотношения.

В регистрите се обработват следните категории лични данни:

1. физическа идентичност: имена и паспортни данни (ЕГН, дата на раждане номер на лична карта, дата и място на издаване, пол, адрес, месторождение, телефони за връзка и др.);

2. социална идентичност:

- данни относно образование и допълнителни квалификации (вид на образованието, място, номер и дата на издаване на дипломата), както и трудова дейност и професионална биография;

- информация за трудовия стаж и професионален опит (включително заемани длъжности, работно време, стаж по специалността, членство в професионални и съсловни организации),заплата и социални придобивки,месторабота;

- номер, дата на издаване и категория на шофьорска книжка;

- информация за подбор (включително копия от разрешителни за работа, препоръки и друга информация, посочена във съответната автобиография и придружително писмо или предоставена по друг начин чрез процеса на кандидатстване;

- атестационна информация;

- информация относно трудова дисциплина;

- информация за банкови сметки;

3. семейна идентичност: данни относно семейното положение и деца на физическото лице [в определени случаи: лични данни на съпруг/съпруга и други близки за упражняване на трудови права, напр. при отпуски по майчинство или във връзка с други законови разпоредби];

4. лични данни относно гражданско-правния статус на лицата, необходими за длъжностите, свързани с материална отговорност (напр. свидетелства за съдимост);

5. лични данни, които се отнасят до здравето: данните се съдържат в медицинско свидетелство за започване на работа, експертни лекарски решения, болнични листове и др.;

6. записи от системи за видеонаблюдение, както и друга информация, получена по електронен път, като например информация от електронни карти за достъп;

7. информация за употребата на информационни и комуникационни системи;

8. снимки;

9. членство в синдикални организации;

10. информация за здравословно състояние;

11. информация за наказателни присъди и нарушения.

Данните в регистъра се съхраняват за срок, определен в Номенклатура на делата, създадена в Административен съд – Монтана, съгласно нормативните изисквания.

Данните от регистрите се обработват от административния ръководител, съдебен администратор, главен счетоводител, човешки ресурси и АД.

Данни от регистрите „Персонал“ могат да бъдат предоставяни на държавни институции с оглед изпълнение на нормативно задължение (НОИ, НАП, на определени кредитни институции във връзка с изплащането на дължимите възнаграждения на служители и др.). Личните данни, които се предоставят са три имена и единен граждански номер и се предоставят с цел идентификация на лицето, в чиято полза се извършва плащането.

Главният счетоводител и човешки ресурси и АД изпълняват текущо проверки на личните данни от регистри „Персонал“ с оглед преценка на необходимостта от тяхното обработване и следене на сроковете за съхранение съгласно Номенклатурата на делата в Административен съд – Монтана, съответно за заличаването им.

След изтичане на срока за съхранение на данните, експертна комисия, назначена от административния ръководител определя чрез протокол кои документи подлежат на унищожаване и мястото на извършване на процедурата. Унищожаването се извършва посредством няколко начина, определени в зависимост от наличните към момента на унищожаването технически възможности, а именно: чрез разрязване с помощта на машина

– шредер и/или чрез изгаряне или разрушаване (отваряне) на корпуса и разтрошаване на носителя на данни.

Чл. 12г. Регистри „Вещи лица и свидетели”.

В регистрите се обработват лични данни на физически лица, явяващи се в качеството си на вещо лице/експерт, свидетел и др. в съдебния процес. Към тези регистри се обработват и лични данни на физически лица, изпълнители по граждански договори, сключени с Административен съд – Монтана. Личните данни са обработват, с оглед на:

1. индивидуализиране на граждански правоотношения;

2. изпълнение на нормативните изисквания на Закона за съдебната власт, ПАС, Наредба за възнагражденията на вещите лица, Кодекса на труда, Кодекса за социално осигуряване, Закона за счетоводството, Закона за държавния архив, и др.;

3. използване на събраните данни за съответните лица за служебни цели:

- за всички дейности, свързани със съществуване, изменение и прекратяване на граждански правоотношения;

- за изготвяне на всякакви документи на лицата в тази връзка (договори, анекси, документи, служебни бележки, справки, удостоверения и др. подобни);

- за установяване на връзка с лицето по телефон, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията му по граждански договори;

- за водене на счетоводна отчетност относно възнагражденията на посочените по- горе лица по граждански договори.

В регистрите се обработват следните категории лични данни:

1. физическа идентичност: имена и паспортни данни (ЕГН, номер на лична карта, дата и място на издаване, адрес, месторождение, телефони за връзка и др.);

2. социална идентичност: данни относно образование и допълнителни квалификации (вид на образованието, място, номер и дата на издаване на дипломата), както и трудова дейност и професионална биография (за вещи лица само), информация за банкови сметки, месторабота;

3. лични данни, които се отнасят до здравето: данните се съдържат в експертни лекарски решения и др.

Данните в регистрите се обработват на хартиен и технически носител.

Данните в регистрите се предоставят от физическите лица при включването им в списъците на вещи лица, при оформянето на гражданските договори, при изпълнение на разпореждане на магистрат, както и при промяна на вече подадени данни. Xxxxx, отнасящи се до здравето на физическите лица, се предоставят лично от тях и/или от лекарски комисии.

Данните се въвеждат директно в граждански договори, анекси, документи, установяващи отношение към съдебния процес, служебни бележки, справки за изплатени суми, удостоверения, кореспонденция и др.

Данните в регистрите се съхраняват за срок, определен в Номенклатурата на делата, създадена от Административен съд – Монтана, съгласно нормативните изисквания.

Администраторът на лични данни предоставя достъп, справки, извлечения, издаване на документи и други услуги от съответните регистри с лични данни на самото физическо лице при поискване, както и на други лица, когато това е предвидено в нормативен акт.

Данните от регистрите се обработват от административния ръководител, съдиите, главния счетоводител и съдебните служители от специализираната администрация, чиито задължения включват обработване на данните на вещите лица и свидетели.

Личните данни от регистрите се обработват в кабинета на административния ръководител, съдиите, главния счетоводител, както и в кабинетите на съдебните служители от специализираната администрация.

Чл. 12д. Регистри „Деловодство”.

В регистрите се обработват лични данни на физически лица, участници в съдебния процес, с оглед на:

1. изпълнение на нормативните изисквания на Закона за съдебната власт, ПАС, АПК, ГПК и др.;

2. използване на събраните данни за съответните лица за служебни цели:

- за всички дейности, свързани със съдебния процес – призоваване, връчване на решения, съобщения и др. съдебни книжа;

- за изготвяне на всякакви документи на лицата в тази връзка (удостоверения, изпълнителни листове, служебни бележки, справки, и др. подобни);

- за установяване на връзка с лицето по телефон, е-mail за изпращане на кореспонденция, отнасяща се до участието му в съдебния процес;

В регистрите се обработват следните категории лични данни:

1. физическа идентичност: имена и паспортни данни (ЕГН, номер на лична карта, дата и място на издаване, адрес, месторождение, телефони за връзка и др.);

2. социална идентичност: данни относно образование и допълнителни квалификации (вид на образованието, място, номер и дата на издаване на дипломата), както и трудова дейност и професионална биография;

3. семейна идентичност: данни относно семейното положение на физическото лице (наличие на брак, развод, брой членове на семейството, в това число деца до 18 години), както и родствени връзки;

4. лични данни относно гражданско-правния статус на лицата, необходими при протичането на съдебния процес (напр. свидетелства за съдимост);

5. лични данни, които се отнасят до членство в политически партии и организации;

6. лични данни, които се отнасят до здравето: данните се съдържат в медицински свидетелства, експертни лекарски решения и др.

Данните в регистрите се обработват на хартиен и електронен носител.

Данните в регистрите се предоставят от физическите лица при подаване на документи пред Административен съд – Монтана (жалби, искове, становища, молби, писмени доказателства, писмени защити и др.), както и при промяна на вече подадени данни. Xxxxx, отнасящи се до членство на физически лица в политически партии и организации се предоставят от самите лица и/или от съответната политическа партия и организация. Xxxxx, отнасящи се до здравето на физическите лица, се предоставят от самите лица и/или от лекарски комисии.

Данните се въвеждат директно в деловодни книги, справки, удостоверения, кореспонденция и др. Паралелно данните се обработват и в деловоден програмен продукт.

Данните в регистъра се съхраняват съгласно нормативно установени в ПАС срокове:

- лични данни, въведени по съдебни дела, разглеждани в Административен съд – Монтана – 10 год.;

- лични данни, въведени в книги за открити и закрити заседания – 25 год.;

- лични данни, въведени в описни книги и азбучници – 100 год.

- лични данни, въведени в други деловодни книги и регистри, неупоменати по-горе, съгласно Номенклатурата за делата в Административен съд – Xxxxxxx.

Данните от регистрите се обработват от съдии, главен счетоводител, съдебен администратор, системен администратор, човешки ресурси и АД, връзки с обществеността и съдебни служители от специализираната администрация в Административен съд – Монтана, чиито задължения включват обработване на личните данни на участниците в съдебния процес.

Регистри „Деловодство“ се поддържа на хартиен носител (деловодни книги и др. документи, чието съдържание съответства на нормативните уредби на Република България). Личните данни се събират само за конкретна цел – правораздаване, в съответствие с нормативните изисквания към администратора.

Архивирането на документи се извършва съгласно вътрешните правила за дейността на учрежденския архив.

Чл. 12е. Регистър „Видеонаблюдение”.

В регистрите се обработват данни от автоматичното денонощно видеонаблюдение за движението на служители и посетители към подходите и вътрешността на сградата на Административен съд – Монтана. Видеозаписите (видео архива) се съхранява във видеозаписващото устройство РС, инсталиран в помещението на съдебната охрана в административната сграда на съда.

Данните в регистрите се предоставят на основание чл.391 от ЗСВ и Наредба № 4 от 10.01.2008 г. за правилата и нормите за безопасност и охрана при проектиране, строителство, реконструкция, модернизация и експлоатация на обектите на съдебната власт, при влизането им в сградата на Административен съд – Монтана. На входа на сградата на съда и на всички етажи са поставени табели, че обектът се намира под постоянно видеонаблюдение. Данните в регистъра се съхраняват минимум тридесет календарни дни, след което автоматично се унищожават.

Администраторът на лични данни предоставя достъп до видеозаписите съгласно Вътрешните правила за използване на технически средства за явно виедеонаблюдение и ред за достъп до информационните масиви, при условие, че са спазени всички законови изисквания, предвидени в закон или нормативен акт.

Физическата охрана на личните данни в този регистър се осъществява от физически от ОЗ „Охрана” гр. Монтана в часовете от 8.00 ч. до 17.00 ч., а в останалата част от денонощието, чрез използването на сигнално-охранителна техника.

V. СУБЕКТИ НА ДАННИ И КАТЕГОРИИ ЛИЧНИ ДАННИ

Чл. 13. (1) Дейности по обработване на лични данни се извършват при осъществяване на правомощията на Административен съд – Монтана по закон, свързани както с правораздавателната, така и с административната му дейност, при съблюдаване изискванията на приложимото законодателство. Тези дейности са групирани в регистъра по чл. 12 от настоящите правила, съдържащ правила за обработване на лични данни, отнасящи се до:

• Участници в съдебния процес - молители, жалбоподатели, заявители, податели на сигнали, вещи лица, преводачи, тълковници и др.;

• Кандидати и участници в процедури за възлагане на обществени поръчки, изпълнители на обществени поръчки;

• Кандидати за работа, магистратите, съдебните служители и лицата на технически длъжности в Административен съд – Монтана;

• Изпълнители по граждански договори и контрагенти по други договори с Административен съд – Монтана;

• Доставчици на услуги.

(2) На лицата, заети по служебни, трудови и/или граждански правоотношения в Административен съд – Монтана, и на кандидатите за работа се събират следните лични данни:

1. Лични данни, свързани с физическата идентичност - име, ЕГН (дата на раждане), адрес, данни на лична карта или паспортни данни, месторождение, телефон, подпис.

2. Лични данни, свързани с икономическата идентичност - имотно състояние, имущество и интереси.

3. Лични данни, свързани със социалната идентичност - образование, трудова дейност и професионална квалификация, данни за здравословното и психическото състояние (медицинско свидетелство, удостоверение за психическо състояние, болнични листове), данни за съдимост (свидетелство за съдимост), лични данни на магистратите и служителите от Административен съд – Монтана, свързани с гражданството (декларация), образувани досъдебни производства (удостоверения), физическа годност (протокол) и психологична пригодност (заключение), ТЕЛК решения, медицински свидетелства, болнични листове и всяка прилежаща към тях документация, данни относно изучаване на факти и обстоятелства във връзка с кандидатстване за държавна служба (справки), данни, свързани с деклариране на липса на несъвместимост (декларация), данни, свързани със семейно положение, родствени връзки, както и данни, свързани с политически неутралитет (декларация).

(3) На физически лица, участници в съдебния процес, се събират лични данни, които са необходими за изпълнението на законовите задължения на съда - име, ЕГН (дата на раждане), постоянен и/или настоящ адрес, данни по лична карта или паспортни данни.

(4) На кандидати и участници в процедури за възлагане на обществени поръчки, изпълнители на обществени поръчки - име, ЕГН (дата на раждане), постоянен и/или настоящ адрес, данни по лична карта или паспортни данни, респ. всички данни, съгласно Закона за обществените поръчки.

(5) На физически лица, доставчици на услуги на Административен съд – Монтана, се съхраняват лични данни, необходими за сключването и изпълнението на договори за предоставяне на услуги на съда от външни доставчици, както следва:

• име, ЕГН (дата на раждане), постоянен и/или настоящ адрес, телефон, данни по лична карта или паспортни данни; електронна поща.

(6) На изпълнители по граждански договори и контрагенти по други договори с Административен съд – Монтана - име, ЕГН (дата на раждане), постоянен и/или настоящ адрес, данни по лична карта или паспортни данни.

(7) Административен съд – Xxxxxxx обработва специални/чувствителни категории лични данни, по смисъла на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г., само доколкото това е необходимо за изпълнение на специфичните му права и задължения в областта на административната и правораздавателната му дейности.

(8) Забранява се обработването на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за сексуалния живот или сексуалната ориентация на физическото лице.

(9) Чл. 9, ал. 8 не се прилага, когато Административен съд – Монтана изпълнява законови задължения в качеството си на правораздавателен орган, съгласно чл. 9, буква „е“ от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г.

(10) Личните данни се разкриват на субектите на данни и лицата, предвидени в нормативен акт.

(11) Категориите получатели, пред които се разкриват личните данни са обработващи лични данни, субектите на данни, лица, предвидени в нормативен акт - НАП, НОИ, Инспекция по труда, съдилища, съдебни изпълнители, ВСС, Инспектората към ВСС, НИП и др.

(12) Лични данни се обработват чрез всички видове регистри посочени в чл. 12 от настоящите правила.

Чл. 14. Лични данни могат да се разкриват пред участници в съдебното производство, в предвидените от закона случаи, както и пред Агенция за обществени поръчки, съдебни органи, съдебни изпълнители, участници в процедурите за възлагане на обществени поръчки, обработващи лични данни, субектите на данни, лица, предвидени в нормативен акт и др., при спазване разпоредбите на Закона за защита на личните данни и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г., както и на всички останали нормативни актове в областта на защитата на личните данни.

VI. ЦЕЛИ И ПРИНЦИПИ НА ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ Чл. 15. Целите на обработването на лични данни са:

(1) Упражняване на основната дейност на Административен съд – Монтана по правораздаване.

(2) Управление на човешките ресурси по изготвяне на щатно разписание на длъжностите и работните заплати в Административен съд – Монтана;

(3) Сключване на индивидуални трудови договори и Xxxxxxxx за встъпване в

длъжност. При промяна във възникналите трудово-правни взаимоотношения и изготвяни на допълнителни споразумения, Xxx за напускане или Заповед за прекратяване на трудовото правоотношение;

(4) Регистрация на трудовите договори в Регистъра на Националната агенция по приходите, съгласно българското законодателство;

(5) Атестационна информация;

(6) Изготвяне на Заповеди за ползване на отпуск, Заповеди за наказания и поощрения;

(7) Xxxxxxxx и отчитане на болнични листове и водене на дневник за болничните листове, предоставяне на информация в НОИ, съгласно българското законодателство;

(8) Изплащане на трудовите възнаграждения и изпълнение на свързаните с това задължения на работодателя за удържане и плащане на здравни и социални осигуровки на служителите, на данъци, както и на други права и задължения на Административен съд – Монтана, в качеството му на работодател във връзка с изработване на разчетно - платежна ведомост, фишове за заплати, рекапитулации и всички необходими справки във връзка с работните заплати и СБКО. Информация за осигурителен доход в декларация образец 1, предоставяне на данни в НАП, съгласно българското законодателство.

(9) Сключване и изпълнение на договори с доставчици за предоставяне на услуги на Административен съд – Монтана.

Чл. 16. Личните данни се обработват законосъобразно, добросъвестно и прозрачно при спазване на следните принципи:

1. Субектът на данните да предоставя същите по силата на закон.

2. Субектът на данните да се информира предварително за обработването на неговите лични данни, когато това е необходимо, съгласно законовата уредба.

3. Личните данни се събират за конкретни, точно определени и законни цели и не се обработват допълнително по начин, несъвместим с тези цели.

4. Личните данни съответстват на целите, за които се събират.

5. Личните данни трябва да са точни и при необходимост да се актуализират.

6. Личните данни се заличават или коригират, когато се установи, че са неточни или не съответстват на целите, за които се обработват.

7. Личните данни се поддържат във вид, който позволява идентифициране на съответните физически лица за период, не по-дълъг от необходимия, за целите, за които тези данни се обработват.

Чл. 17. (1) За да е законосъобразно обработването на данните, трябва да е налице поне едно от следните условия:

1. Субектът на данните е дал своето съгласие, осен в случаите, в които Административен съд – Xxxxxxx събира определен обем лични данни в изпълнение на свое задължение по силата на закон и за спазването на законово задължение, което се прилага спрямо администратора;

2. Обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор.

3. Обработването е необходимо, за да се защитят жизненоважни интереси на субекта на данните или на друго физическо лице;

4. Обработването е необходимо за изпълнение на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

5. Обработването е необходимо за целите на легитимните интереси на администратора, освен когато пред тези интереси преимущество имат интересите или основните права и свободи на субекта на данни изискват защита на личните данни, по- специално когато субектът на данните е дете. Целите, за които се обработват лични данни на това основание, трябва да са описани в приложимите известия по защита на данните.

(2) Съгласието представлява всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данни, посредством изявление или ясно потвърждаващо действие, което изразява съгласие за обработка на лични данни, свързани с него.

(3) По преценка на администратора, в съответствие с нормативната уредба, съгласието може да бъде дадено от субекта на данни чрез попълване на формуляр Съгласие

/Приложение № 3/.

(4) В случай на оттегляне на съгласието Административен съд – Монтана заличава данните, които са обработени въз основа на съгласието, веднага щом съгласието бъде оттеглено, като се предполага, че не е налице друга цел, която да обосновава продължаващото задържане. В случай на друга цел, обосноваваща обработването, последното трябва да има свое собствено правно основание. Това не означава, че администраторът може да замени съгласието с друго правно основание. Лицето има право по всяко време да оттегли съгласието си освен, в случаите на изпълнение на договор, спазване на законоустановено задължение или за защита на жизнено важни интереси.

VII. ПРАВА НА ФИЗИЧЕСКИТЕ ЛИЦА – СУБЕКТИ НА ДАННИ.

Чл. 18. Предприетите мерки за защита на личните данни в съответствие с изискванията на Регламент 2016/679, са насочени към осигуряване правата на субектите, чиито лични данни се обработват, а именно:

1. Право на достъп до личните данни, свързани с лицето, които се обработват от администратора;;

2. Право на коригиране на неточни или непълни данни;

3. Право на изтриване (правото да бъдеш забравен), ако са приложими условията на чл. 17 от РЕГЛАМЕНТ 2016/679 – право на изтриване (право да бъдеш забравен);

4. Право на ограничение на обработването при наличие на правен спор между администратора и физическото лице до неговото решаване и/или за установяването, упражняването или защитата на правни претенции;

5. Право на преносимост на данните, ако са налице условията за преносимост по чл. 20 от РЕГЛАМЕНТ 2016/679;

6. Право на възражение, ако са налице условията на чл. 21 от РЕГЛАМЕНТ 2016/679.

7. Право субектът на данни да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране.

8. Право на оттегляне съгласието за обработване (ако е дадено такова) по всяко време, с произтичащите от това последици;

9. Право да изиска информация за основанието, въз основа на което личните му данни са предоставени за обработване на обработващ извън ЕС/ЕИП;

10. Право да бъде уведомен за нарушение на защита на данните, което е вероятно да доведе до висок риск за техните права и свободи;

Чл. 19. (1) Правата по чл. 18 могат да бъдат упражнени чрез отправено искане (Приложение № 4) до Административен съд – Монтана, писмено или по електронен път, което следва да е конкретно. Услугата е безплатна, освен в случаите на чл. 12, параграф 5 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г.

(2) Искането следва да бъде подписано и изпратено на адреса на Административен съд – Монтана.

(3) Информацията може да бъде предоставена под формата на устна или писмена справка или на преглед на данните от съответното физическо лице или от изрично упълномощено от него друго лице.

(4) Физическото лице може да поиска копие от обработваните лични данни на предпочитан носител или предоставяне по електронен път, освен в случаите, когато това е забранено от закон.

(5) Административен съд – Монтана е длъжен да се съобрази с предпочитаната от заявителя форма на предоставяне на информацията;

(6) Срокът за отговор по направеното искане е един месец от постъпване на искането, съгласно чл. 12, параграф 3 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. При необходимост този срок може да бъде удължен с още два месеца, като се вземе предвид сложността и броя на исканията. При удължаване на срока Административен съд – Xxxxxxx уведомява писмено подателя на искането в срок от един месец от получаване на искането, като посочва причините за удължаването.

Чл. 20. (1) Административен съд – Xxxxxxx разглежда искането за предоставяне на пълна или частична информация, и се произнася в съответните срокове, посочени в чл. 19, ал. 6 от настоящите правила и произтичащи от Регламент (ЕС) 2016/679, или произтичащи от разпоредби на ЗЗЛД, според целта на обработването.

(2) В случаите на чл. 18, т. 2, т. 3 и т. 4, Административен съд – Xxxxxxx уведомява субекта на данни, ако той поиска това.

Чл. 21. Административен съд – Xxxxxxx отказва достъп до лични данни, когато те не съществуват или предоставянето им е забранено със закон или когато са налице други нормативни ограничения.

Чл. 22. (1) В случаите, когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, Административен съд – Xxxxxxx предоставя на съответното физическо лице достъп до частта от тях, отнасяща се само за него.

(2) Всяко решение на съд или трибунал и всяко решение на административен орган на трета държава, с което от Административен съд – Xxxxxxx се изисква да предаде или

разкрие лични данни, могат да бъдат признати или да подлежат на изпълнение по какъвто и да било начин само ако се основават на международно споразумение, като договор за правна взаимопомощ, което е в сила между третата държава, отправила искането, и Съюза или негова държава членка, без да се засягат другите основания за предаване на данни съгласно глава V от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г.

Чл. 23. Когато информацията, съдържа данни, представляващи класифицирана информация, се прилага редът по Закона за защита на класифицираната информация.

Право на жалба до Комисията за защита на личните данни или до съда.

Чл. 24. Ако субектът на лични данни счита, че правата по Общия регламент относно защитата на данните са нарушени, той има право да подадете жалба до Комисията за защита на личните данни или до съответния административен съд.

VIII. ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА НА ЛИЧНИ ДАННИ

Чл. 25. При събиране на лични данни, в момента на получаването им, администраторът на лични данни предоставя следната информация на субектите на лични данни:

1. Данните, които идентифицират администратора и координатите за връзка с него;

2. Координатите за връзка с длъжностното лице по защита на данните;

3. Целите на обработването, за което личните данни са предназначени, както и правното основание за обработването им;

4. Получателите или категориите получатели на личните данни;

5. Срока, за който ще се съхраняват личните данни;

6. Правото на субекта на данни да изиска достъп до, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни или правото да се прави възражение срещу обработването, както и правото на преносимост на данните;

7. Правото на субекта на данни да подаде жалба до КЗЛД или до съда;

8. Дали предоставянето на лични данни е задължително по закон или договорно изискване, или изискване, необходимо за сключване на договор, както и дали субектът на данните е длъжен да предостави личните си данни или да декларира писмено съгласие за обработването им и евентуалните последствия, ако тези данни или декларацията не бъдат предоставени.

Чл. 26. Информация се предоставя в обобщена, кратка и разбираема форма на интернет сайта на Административен съд – Монтана и на определени места в сградата на съда.

Чл. 27. (1) В случай на нарушение на сигурността на личните данни, административният ръководител – председател на Административен съд – Монтана е длъжен да уведоми/ Приложение№5/ КЗЛД за нарушението на сигурността на личните данни не по-късно от 72 часа след узнаването, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Когато такова уведомление не може да бъде подадено в срок от 72 часа, следва да се посочат причините за забавянето, както да се посочи че информацията може да се подаде поетапно без ненужно допълнително забавяне.

(2) Уведомлението до КЗЛД съдържа следната информация:

1. Описание на нарушението на сигурността; категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;

2. името и координатите за връзка на служителя, отговорен за защита на личните

данни;

3. описание на евентуалните последици от нарушението на сигурността;

4. описание на предприетите или предложените мерки за справяне с нарушението на

сигурността, включително мерки за намаляване на евентуалните неблагоприятни последици.

Чл. 28. (1) Всяко нарушение на сигурността на личните данни се документира в нарочен регистър/ Приложение №6/. Той съдържа:

1. Дата на установяване на нарушението;

2. Описание на нарушението – източник, вид и мащаб на засегнатите данни, причина за нарушението (ако е приложимо);

3. Описание на извършените уведомявания: уведомяване на КЗЛД и засегнатите лица, ако е било извършено;

4. Предприети мерки за предотвратяване и ограничаване на негативни последици за субектите на данни и за Административен съд – Монтана;

5. Предприети мерки за ограничаване на възможността от последващи нарушения на сигурността.

(2) Регистърът се води в електронен формат от служителя, отговорен за защита на личните данни.

Чл. 29. Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, административният ръководител – председател на Административен съд – Xxxxxxx, без ненужно забавяне, съобщава на субектите на данните за нарушението на сигурността на личните данни, освен когато:

1. Са предприети подходящи мерки за защита и тези мерки са приложени по отношение на личните данни, засегнати от нарушението;

2. Са взети впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни;

3. Това би довело до непропорционални усилия.

IХ. ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ЛИЦА

Чл. 30. Лични данни, обработвани от Административен съд – Монтана, се предоставят на чужди държавни органи единствено в изпълнение на задължения по нормативни актове. При необходимост от такова предоставяне се спазват разпоредбите на Глава шеста от ЗЗЛД.

Чл. 31. Данни, обработвани при осъществяване на дейност по управление на човешки ресурси, могат да бъдат предоставяни на държавни институции с оглед изпълнение на нормативно задължение (НОИ, НАП, МВР и др.).

Чл. 32. В качеството си на работодател и съдебен орган, в случаите и по ред, предвидени в закон, административния ръководител - председател на Административен съд

– Xxxxxxx, или упълномощени от него лица или негови заместници, могат да предоставят лични данни за лицата посочени в чл. 13, ал.1 от настоящите правила на определени кредитни институции (банки и др.) във връзка с изплащането на дължими парични средства (възнаграждения, обезщетения, хонорари и др.).

X. ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

Чл. 33. Административен съд– Монтана, като администратор на лични данни, прилага подходящи технически и организационни мерки за осигуряване на ниво на сигурност, съобразено с рисковете за правата и свободите на физическите лица. В съда се поддържа регистър на дейностите по обработване на лични данни, в който са включени технически и организационни мерки за защита. За гарантиране на поверителност, цялостност и наличност на личните данни в регистрите по чл. 12, като при тяхното обработване се предприемат физическа, персонална, документална и защита на информационната система и мрежи.

Чл. 34. При оценката на подходящото ниво на сигурност се вземат предвид преди всичко рисковете, свързани с обработването като случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до обработвани лични данни.

Чл. 35. Мерките по чл. 30 могат да включват и псевдонимизация и криптиране на личните данни, способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите за обработване, способност за своевременно възстановяване на наличността и достъпа до лични данни в случай на физически или технически инцидент, процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационни мерки.

Чл. 36. Подходящите технически и организационни мерки се въвеждат към момента на определяне на средствата за обработване и към момента на самото обработване. Задължението за въвеждане на подходящи мерки се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност.

Чл. 37. С мерките по чл. 32 администраторът на лични данни гарантира, че по подразбиране се обработват лични данни, които са необходими за всяка конкретна цел на обработването.

Чл. 38. Когато след извършена оценка на въздействието не е указано друго, в Административен съд – Монтана се прилагат следните минимални технически и организационни мерки за защита на личните данни:

1. Физическа защита:

а) Административен съд – Xxxxxxx обработва личните данни в обект на адрес: гр. Монтана, пл. „Жеравица“ № 3, ет. 3-4, като кабинетите са разположени в масивна сграда, и достъпът до тях се осъществява чрез служебни карти с програмиран четец. Третият етаж от административната сградата (регистратура - деловодство, архив, две стаи за секретари, три зали за съдебен състав, три съдебни зали, стая призовкар и чистач и санитарен възел) са обособени като зони за обществен достъп. Четвъртият етаж е обособен като зона с контролиран достъп, който се осъществява чрез служебни карти с програмиран четец.

В сградата на съда има монтирана пожароизвестителна система и пожарогасителни средства (пожарогасители), позиционирани, съгласно изискванията за противопожарна и аварийна безопасност.

Безопасността на сградата на Административен съд – Xxxxxxx се осъществява чрез физическа и техническа охрана, съгласно НАРЕДБА № 4 от 10.01.2008 г. за правилата и нормите за безопасност и охрана при проектиране, строителство, реконструкция, модернизация и експлоатация на обектите на съдебната власт и утвърдени от Министъра на правосъдието Правила за вътрешния ред, пропускателен режим и сигурност в съдебните сгради и обекти.

Достъп имат служителите, чиито служебни задължения включват обработване на лични данни от регистрите.

б) Личните данни се обработват в кабинетите на служителите, чиито служебни задължения включват обработване на лични данни.

Външни лица имат достъп до помещенията, в които се обработват лични данни от регистрите, само в присъствието на упълномощени служители.

в) Елементите на комуникационно-информационните системи (КИС), използвани за обработване на лични данни, се намират в зона с ограничен достъп на ограничен кръг лица от администрацията на Административен съд – Монтана;

г) Всички документи на хартиен носител, съдържащи лични данни, се съхраняват в помещения с подходящи мерки за контрол на достъпа до тях само за оправомощени лица; Документите свързани с персонала, работна заплата и вещи лица се съхраняват в метални шкафове, които се заключват и се достъпват от определени служители в рамките на тяхната длъжност и служебна компетентност.

д) Помещенията, в които деловодно се обработват лични данни са оборудвани със заключващи се врати и шкафове.

е) В зоните с контролиран достъп се допускат лица, след проверка на документ за самоличност или служебна карта.

2. Персонална защита:

а) Достъпът до лични данни се осъществява само от лица, чиито служебни задължения или конкретно възложена задача налагат такъв достъп, при спазване на принципа „Необходимост да знае“;

б) Всички служители са длъжни да спазват ограниченията за достъп до личните данни и са персонално отговорни пред администратора на лични данни – административния ръководител – председател на Административен съд – Xxxxxxx за нарушаването на принципите за „Поверителност“ и „Цялостност“ на личните данни.

в) Лицата, обработващи лични данни под ръководството на Административен съд – Xxxxxxx, при постъпване на работа се запознават с нормативната уредба в областта на защита на личните данни и актовете по нейното прилагане, опасностите за личните данни, обработвани от администратора, настоящите правила;

г) Най-малко веднъж годишно се провежда обучение, в програмата на което е включено запознаване с политиката и ръководствата за защита на личните данни, както и документите по чл.32, т.2, буква „в“;

д) Лицата, обработващи лични данни под ръководството на Административен съд – Монтана, задължително подписват декларация (Приложение№ 2), с която поемат задължение за неразпространение на лични данни станали им известни във връзка и по време на изпълнение на служебните им задължения. Декларацията се съхранява в кадровото досие на всеки магистрат, съдебен служител или лице на техническа длъжност. Подписване на декларация не се изисква, ако съответното задължение е включено в длъжностната характеристика на лицето.

е) Споделяне на критична информация между служителите (като идентификатори, пароли за достъп и т.н.) е забранено.

3. Документална защита:

а) Документите, съдържащи лични данни, се съхраняват само в помещения с ограничен достъп;

б) Обработването на лични данни на хартиен носител се извършва само в работно време, по изключение в извън работно време след разрешение на административния ръководител – председател на Административен съд – Монтана;

в) Достъп до регистрите имат служителите в съответствие с принципа

„Необходимост да знае“;

г) Контрол на достъпа до регистрите се упражнява от административния

ръководител – председател на Административен съд – Монтана или определено от него длъжностно лице;

д) Сроковете за съхранение на данните са определени поотделно за всяка дейност по обработване;

е) За унищожаване на лични данни административният ръководител назначава комисия;

ж) Документите, съдържащи лични данни се унищожават по начин, непозволяващ тяхното възстановяване;

з) След унищожаването на документите комисията по чл.32, т.3, буква „е“ съставя протокол/ Приложение№7/ и го представя на административния ръководител-председател на Административен съд – Xxxxxxx за утвърждаване;

и) Личните данни могат да бъдат размножавани и разпространявани от упълномощените служители само ако е необходимо за изпълнение на служебни задължения или ако са изискани по надлежния ред от упълномощени лица.

4. Защита на информационната система и мрежи и техническа защита:

а) Личните данни, обработвани в Административен съд – Монтана, подлежат на електронна обработка;

б) достъпът на външни лица до компютърните конфигурации е забранен и следва да бъде възпрепятстван;

в) използването на работните компютърни конфигурации се извършва след идентификация с потребителско име и парола, изисквани от съответната операционна система;

г) паролите за идентификация и достъп до регистрите се създават, променят периодично и предоставят от системния администратор;

д) паролата за достъп е персонална, а в случай на компрометиране на парола тя се подменя с нова;

е) забранява се споделянето на критична информация, като пароли за достъп, идентификатори и други между служителите; удостоверението за квалифициран електронен подпис не се преотстъпва или предава за ползване от други лица;

ж) за всички сървърни и работни компютърни конфигурации се използват операционни системи и приложен софтуер, за които е осигурена поддръжка от производителя с обновления по отношение на сигурността;

з) всяка работна компютърна конфигурация включва по възможност предпоследна или последна Desktop операционна система Windows;

и) на всяка работна компютърна конфигурация се осигурява антивирусен софтуер с включено автоматично обновяване и ежеседмично сканиране;

й) забранено е включването на неслужебни компютърни и комуникационни устройства в компютърните мрежи;

к) включването на мобилни компютри в компютърната мрежа се извършва след разрешение от системния администратор;

л) забранено е използването на лични носители на данни в мрежата на Административен съд – Монтана;

м) работните компютърни конфигурации, както и цялата инфраструктура, включително и достъпът до интернет, се използват единствено за служебни цели;

н) мрежовото и комуникационно оборудване както и сървърите са инсталирани в специално помещение с ограничен достъп; достъп до помещението има единствено системния администратор;

о) системите за съхранение на данни са със защита срещу отпадане на някое от изграждащите ги устройства – постоянна памет;

п) непрекъсваемите токозахранващи устройства (UPS) са за цялото оборудване, необходимо за правилната работа на регистрите (компютърни конфигурации, сървъри и

комуникационни средства);

р) връзката между компютърната мрежа и интернет се контролира със специализиран софтуер – защитна стена;

с) всички писма, получени по електронна поща се сканират с антивирусен софтуер, за който е активирано автоматично обновяване на антивирусните дефиниции;

т) журналните файлове на сървърите в Административен съд – Монтана се проверяват на всеки седем дни от системния администратор;

у) С цел възстановяване на данните от регистрите, ежедневно се правят архиви на всички бази данни и на данните във файловата система в Административен съд –Монтана, като архивите се съхраняват на повече от две места с различна локация в сградата на съда;

ф) в работните помещения се осигурява климатична и пожароизвестителна система; в Административен съд – Монтана за помещението със сървърно и комуникационно оборудване задължително се разполагат пожарогасителни средства и се осигуряват отделно климатична система, пожароизвестителна система и СОТ;

х) Сроковете за съхранение на данните са определени съобразно съответната дейност по обработване;

ц) Заличаването на личните данните в електронен вид се осъществява чрез стандартните средства на операционната система или със средствата на специализираните софтуерни продукти;

ч) Не се разрешава осъществяването на отдалечен достъп до данни от регистрите;

ш) За поддържането на информационната система и мрежи отговаря системният администратор в Административен съд – Монтана. Същият следи за своевременно обновяване (update) на системния, технологичния (офис-пакети и др.), приложния и антивирусния софтуер.

5. Криптографска защита.

а) За криптографска защита се използват стандартните криптографски възможности на операционната система, на системите за управление на бази данни, на комуникационното оборудване, както и квалифицирани електронни подписи (КЕП);

б) При предаване на данни по електронен път или на преносими технически носители се използват стандартни технологии за криптиране на данните, предложени от системния администратор, както и използване на електронен подпис.

XІ. ДЕЙСТВИЯ ЗА ЗАЩИТА ПРИ АВАРИИ, ПРОИЗШЕСТВИЯ И БЕДСТВИЯ (ПОЖАР, НАВОДНЕНИЕ И ДР.)

Чл. 39. При възникване и установяване на инцидент, веднага се докладва на административния ръководител-председател на Административен съд – Монтана.

Чл. 40. С наличните ресурси се вземат мерки за ограничаване въздействието върху регистрите, ако това е възможно.

Чл. 41. В случаите на необходимост от възстановяване на данни, процедурата се изпълнява след писменото разрешение на административния ръководител - Председател на Административен съд – Монтана.

ХII. РЕД ЗА УНИЩОЖАВАНЕ ИЛИ ЗАЛИЧАВАНЕ НА ЛИЧНИ ДАННИ СЛЕД ПОСТИГАНЕ НА ЦЕЛИТЕ НА ОБРАБОТВАНЕТО

Чл. 42. При преустановяване на обработването на личните данни в регистрите и след изтичане на законовите срокове за съхранението им Административен съд – Монтана е длъжен да ги унищожи, или да ги прехвърли на друг администратор.

Чл. 43. След изтичане на срока за съхранение на данните, ако не е предвидено унищожаването им по силата на нормативен акт, комисия, назначена от административния ръководител - председател на Административен съд – Монтана, или упълномощени от него лица или негов заместник, определя кои документи подлежат на унищожение, начина и мястото на извършване на процедурата.

1. При унищожаването на данните от регистрите се съставя протокол.

2. При прехвърлянето на данните от регистрите на друг администратор се оформя двустранен протокол, с изключение на случаите, в които Административен съд – Xxxxxxx извършва действието в изпълнение на законоустановено задължение.

Чл. 44. След постигане целта на обработване на личните данни Административен съд – Xxxxxxx ги съхранява само в предвидените в закон случаи.

Чл. 45. Административен съд – Xxxxxxx може да възложи на друг администратор на лични данни да извърши процедурата по унищожаване на документите по чл. 43. В писмения акт по възлагането се определят правата и задълженията на изпълнителя във връзка с унищожаване на документите.

Чл. 46. Унищожаването на данните на хартиен или магнитен носител се извършва по начин, непозволяващ тяхното възстановяване, например чрез разрязване с помощта на машина - шредер и/или чрез изгаряне или разрушаване (отваряне) на корпуса и разтрошаване на носителя на данни и др.

ХIII. ОЦЕНКА НА ВЪЗДЕЙСТВИЕ ВЪРХУ ЗАЩИТАТА НА ДАННИТЕ

Чл. 47. (1) Ако е предвидено в списъка на КЗЛД, съставен съгласно чл. 35, параграф 4 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г., Административен съд – Монтана извършва оценка на въздействието върху защитата на данните съгласно параграф 1 на чл. 35 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г.

(2)Оценка на въздействието се извършва, когато това се изисква съгласно приложимото законодателство и с оглед на риска за физическите лица и естеството на обработка на лични данни, извършвана от Административен съд гр. Монтана. Оценка на въздействието се извършва за високорискови дейности по обработване.

(3) Оценка на въздействието е необходимо при:

1. първоначалното въвеждане на нови технологии;

2. автоматизирано обработване, включително профилиране или автоматизирано вземане на решения;

3. обработване на чувствителни лични данни в голям мащаб;

4. мащабно, систематично наблюдение на публично обществена зона

5. други операции по обработване, съдържащи се в списък на надзорния орган по чл. 35, пар. 4 от Регламент (ЕС) 2016/679.

(4) Оценката на риска съдържа най-малко:

1.xxxxxxxx опис на предвидените операции по обработване и целите на обработването, включително, ако е приложимо, преследвания от администратора законен интерес;

2.оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;

3. оценка на рисковете за правата и свободите на субектите на данни;

4. мерките, предвидени за справяне с рисковете, включително гаранциите, мерките за сигурност и механизмите за осигуряване на защитата на личните данни и за демонстриране на спазването на настоящия регламент, като се вземат предвид правата и законните интереси на субектите на данни и на други заинтересовани лица.

(5) За оценката се съставя протокол, който се предоставя при поискване от страна на КЗЛД/ИВСС.

(6) При извършването на оценката на въздействието се иска становището на длъжностното лице по защита на данните.

(7) Ако извършената оценката на въздействието покаже, че обработването ще породи висок риск, ако администраторът не предприеме мерки за ограничаване на риска, следва да се извърши консултация с Комисия по защита на личните данни преди планираното обработване.

XIV. ПРОЦЕДУРА ПО ДОКЛАДВАНЕ И УПРАВЛЕНИЕ НА ИНЦИДЕНТИ

Чл. 48. (1) При регистриране на неправомерен достъп и/или нарушение на сигурността до информационните масиви за лични данни, или при друго нарушение на сигурността на личните данни по смисъла на чл. 4, т. 12 от Регламент (ЕС) 2016/679, служителят, констатирал това нарушение и/или инцидент, незабавно докладва за това на прекия си ръководител, който от своя страна е длъжен своевременно да информира длъжностното лице по защита на данните за инцидента.

(2) Уведомяването за инцидент се извършва писмено, по електронен път или по друг начин, който позволява да се установи извършването му.

(3)Длъжностното лице писмено уведомява за инцидента администратора, като му предоставя наличната информация относно характера на инцидента, времето на установяване, вида на щетите, предприетите мерки за ограничаване на щетите.

(4) След уведомяването по ал. 3 администраторът заедно с длъжностното лице по защита на данните предприемат необходимите мерки за предотвратяване или намаляване на последиците от неправомерния достъп и/или нарушението на сигурността както и възможните мерки за възстановяване на данните.

Чл. 49. (1) В случай че нарушението на сигурността създава вероятност от риск за правата и свободите на физическите лица, чиито данни са засегнати, и след съгласуване с администратора, длъжностното лице по защита на личните данни, организира изпълнението на задължението на администратора за уведомяване на Комисията за защита на личните данни.

(2) Уведомяването на Комисията за защита на личните данни следва да се извърши без ненужно забавяне и когато това е осъществимо не по-късно от 72 часа след първоначалното узнаване на нарушението.

(З) Уведомлението до Комисията за защита на личните данни съдържа следната информация:

1. описание на нарушението на сигурността, категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;

2. името и координатите за връзка на длъжностното лице по защита на личните данни;

3. описание на евентуалните последици от нарушението на сигурността;

4. описание на предприетите или предложените мерки за справяне с нарушението на сигурността, включително мерки за намаляване на евентуалните неблагоприятни последици.

(4) Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, длъжностното лице по защита на личните данни, без ненужно забавяне, уведомява засегнатите физически лица.

Чл. 50. Длъжностното лице по защита на личните данни води регистър за нарушенията на сигурността на данните, който съдържа следната информация:

1. дата на установяване на нарушението;

2. описание на нарушението — източник, вид и мащаб на засегнатите данни, причина за нарушението (ако е приложимо);

3. описание на извършените уведомявания: уведомяване на Комисия за защита на личните данни и засегнатите лица, ако е било извършено;

4. предприети мерки за предотвратяване и ограничаване на негативни последици за субектите на данни;

5. предприети мерки за ограничаване на възможността от последващи нарушения на сигурността.

ПРЕХОДНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

§ l. Настоящите Правила отменят Инструкция за защита на личните данни на физическите лица в дейността на Административен съд – Монтана, утвърдена със Заповед

№ 27 от 12.03.2012 год. на Председателя на Административен съд гр. Монтана.

§ 2. Контрол по изпълнението на настоящите правила се осъществява от администратора на лични данни – Административен съд – Монтана

§ 3. Административен съд – Монтана може да променя тези Правила по всяко време при възникнала необходимост.

§ 4. Приложенията и оценката на рисковете относно защитата на ЛД и Таблицата – въпросник за осигуряване на съответствие с Регламента са неразделна част от Правилата.

Приложения:

№1 Регистър на дейностите по обработване, съгласно чл. 30 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г.

№2 Декларация за запознаването с нормативната уредба в областта на защитата на ЛД и поемане на задължение за несподеляне и неразгласяване на лични данни.

№3 Декларация за съгласие на субекта на данни

№4 Искане за достъп до лични данни

№5 Уведомление до КЗЛД за нарушение на сигурността на личните данни в Административен съд – Монтана

№ 6 Регистър за нарушенията на сигурността на личните данни, обработвани от Административен съд – Монтана

№7 Протокол за унищожаване на лични данни и

Таблица - въпросник за осигуряване на съответствие с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица

Приложение 2

ДЕКЛАРАЦИЯ

Долуподписаният/ата ,

ЕГН …….………………, л.к. № , издадена на г. от МВР,

гр. …………..…., в качеството си на …………………………….…………

/длъжност, позиция/

в Административен съд – Xxxxxxx,

ДЕКЛАРИРАМ:

1. 3апознат/а съм с:

- нормативната уредба в областта на защитата на личните данни;

- Вътрешните правила за мерките и защитата на личните данни, обработвани от АдмС – Монтана и ръководствата за защита на личните данни в съда;

- опасностите за личните данни, обработвани от администратора и обработващ лични данни служител;

2. Поемам задължения за:

- несподеляне на критична информация между персонала (например идентификатори, пароли за достъп и т.н.);

- неразгласяване на лични данни, до които съм получил/а достъп при и по повод изпълнение на задълженията си, ако това не е предвидено изрично в закон или не застрашава живота и здравето на физическото лице;

Дата……………… Декларатор:……………………..…

Гр. Монтана / /

Приложение №3

ДЕКЛАРАЦИЯ

ЗА СЪГЛАСИЕ ОТ СУБЕКТА НА ДАННИТЕ

Долуподписаният/ата ,

с адрес: ……………………………………….……………………………., с настоящото декларирам, че давам съгласието си Административен съд – Монтана да обработва моите лични данни за целите на:

.............................................................................................................................,

със средства, съобразени с разпоредбите на Общия регламент относно защитата на данните (ЕС) 2016/679, приложимото право на Европейския съюз и законодателство на Република България относно защитата на личните данни.

Информиран съм, че имам право на информация за събираните от мен данни, за правото на достъп до тях, да искам данните ми да бъдат коригирани или изтрити, да искам обработването на данните ми да бъде ограничено и да възразя срещу определен начин на обработване на личните ми данни.

Дата:………………… Подпис:…………………

Приложение№4

ДО АДМ.РЪКОВОДИТЕЛ ПРЕДСЕДАТЕЛ НА

АДМИНИСТРАТИВЕН СЪД – МОНТАНА

ИСКАНЕ

за

достъп до лични данни

от…………………………………………………………………., ЕГН… ,

/име, презиме, фамилия/

адрес ,

телефон за контакт ,

Моля, да ми бъде предоставена информация относно личните ми данни, съхранявани в Административен съд – Xxxxxxx, а именно: ………………………………

…………………………………………………………………………………………………

…………………………………………………………………………………………………

………………………………………………………………………………………………....

………………………………………………………………………………………………….

…………………………………………………………………………………………………..

Желая да получа исканата от мен информация в следната форма /желаното се подчертава/:

- преглед на информация;

- устна справка;

- писмена справка;

- копия на технически носител;

- по електронен път.

Дата………………….. Подпис: ……………..........……..

Гр. Монтана / /

Приложение 5

УВЕДОМЛЕНИЕ

до КЗЛД за нарушение на сигурността на личните данни в Административен съд – Монтана

Описание на нарушението на сигурността на лични данни ( засегнати категории данни, брой на засегнатите субекти, количество засегнати записи) :

………………………………………………………………………………………………………

……………………………………………………………………………………………

Координати за връзка със служителя, отговорен за защита на личните данни:

………………………………………………………………………………………………………

……………………………………………………………………………………………

Описание на евентуалните последици от нарушението на сигурността:

………………………………………………………………………………………………………

……………………………………………………………………………………………

Описание на предприети или предложени мерки за справяне с нарушението на сигурността

: ………………………………………………………………………………….

……………………………………………………………………………………………….....

Служител, отговорен за защита на личните данни: …………………

/ /

Приложение №7

ПРОТОКОЛ

за унищожаване на лични данни

Днес..........................,подписаният/ата ,

служител на длъжност: …………………………………………….., упълномощен(а) на основание чл. …., ал. … от Вътрешните правила на Административен съд – Монтана за мерките за защита на личните данни със Заповед на председателя на Административен съд

– Монтана от ……………………………….., да извърша унищожаване на лични данни и носители на лични данни с изтекъл срок за съхранение, част от Регистър с лични данни

„ “, съставих настоящия протокол за унищожаването на лични данни с

изтекъл срок за съхранение, включително и резервни копия от тях, както следва:

1.Данни съхранявани на магнитни носители за многократен запис, чрез трайно изтриване, вкл. презаписването на носителите.

2.Данни съхранявани на хартиен носител, чрез: нарязване.

3. Данни съхранявани на оптични носители за еднократен запис, чрез физическо унищожаване на носителите:

Унищожените данни:

Не са обработвани чрез облачни услуги.

Служител:…………………….

/……………………………/