Политика за обработка на лични данни

Политика за обработка на лични данни

Споразумение за обработка на лични данни

Този документ регламентира процесите на обработване, предаване, съхраняване и унищожаване на лични данни, както и правата и задълженията на страните по споразумението за абонамент за софтуера като услуга HeRMeS eXpress, съобразно условията на чл. 28 от ОРЗД.

  1. ПРЕДМЕТ

Чл. 1. (1) АДМИНИСТРАТОРЪТ предоставя достъп до лични данни на ОБРАБОТВАЩИЯ, във връзка с изпълнението на конкретни търговски взаимоотношения по изпълнение на споразумението за абонамент, като същото се счита за възлагане на ОБРАБОТВАЩИЯ от името на АДМИНИСТРАТОРА да обработва данните по смисъла на чл. 4, §2 от ОРЗД.

(2) Личните данни по ал. 1 са изчерпателно посочени по вид в Приложение № 1, представляващо неразделна част от настоящото споразумение.

(3) АДМИНИСТРАТОРЪТ носи отговорност за точността и пълнотата на събраните лични данни, които предава на ОБРАБОТВАЩИЯ.

(4) Личните данни, чието обработване и защита се регулира с настоящото споразумение, се събират от АДМИНИСТРАТОРА.

(5) Достъпът до данните се извършва чрез:

  • Предоставяне на файлове за импорт на данни;
  • Осигуряване на техническа и функционална поддръжка на софтуера като услуга HeRMeS eXpress;
  • През Help-desk системата за поддържане на потребителите.
  1. ПОНЯТИЯ

Чл. 2. Понятията, използвани в настоящия документ, са със следното съдържание, а именно:

  1. АДМИНИСТРАТОР означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.
  2. ОБРАБОТВАЩ ЛИЧНИ ДАННИ или ОБРАБОТВАЩ е лице, обработващо лични данни, по смисъла на чл. 4, §8 от ОРЗД, т.е. обработва лични данни от името на администратора.
  3. ЛИЧНИ ДАННИ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“). Физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
  4. ОБРАБОТВАНЕ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
  5. СЪГЛАСИЕ НА СУБЕКТА НА ДАННИТЕ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.
  6. НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИ ДАННИ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
  7. ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ са действия по цялостно или частично пренасяне на лични данни от един администратор към друг или, или към обработващ лични данни, или към трето лице на територията на страната или извън нея.
  • СРОКОВЕ НА СЪХРАНЕНИЕ И УНИЩОЖАВАНЕ

Чл. 3. (1) След изпълнение на задълженията на ОБРАБОТВАЩИЯ по споразумението за абонамент за HeRMeS eXpress, същият се задължава да заличи предоставените лични данни в своите бази данни на електронен и/или хартиен носител, ако са предоставени такива. Под „заличаване“ страните разбират премахването или унищожаването на лични данни, така че те да не могат да бъдат възстановени или възобновени.

(2) След изтичане на срока на абонамента по това споразумение, съгласно условията, описани в същия, срокът на съхранение на данните при ОБРАБОТВАЩИЯ е 30 календарни дни, с цел решаване на въпроси относно рекламации, направени от АДМИНИСТРАТОРА.

(3) Когато нормативен акт задължава някоя от страните да съхранява личните данни за по-дълъг, нормативно определен период, то в този случай информацията не се заличава.

(4) В срок до 30 дни след изтичане на срока по ал. 2, ОБРАБОТВАЩИЯТ се задължава да представи на АДМИНИСТРАТОРА информация, удостоверяваща унищожаването на същите /напр. протокол за унищожаване на масиви от информация/.

(5) В случай че съхранява данните в изпълнение на свое законово задължение, съответната страна се задължава да прилага всички технически и организационни мерки за защита спрямо тези данни, както и да използва същите само за целите, за които са съхранявани.

Чл. 4. (1) По изрично искане на АДМИНИСТРАТОРА, ОБРАБОТВАЩИЯТ се задължава да му предаде (върне) данните след изтичане срока на съхранение по ал. 2. Връщането на данните става с предаването на документите в оригинал на хартиен носител /ако има такива/ и подписване на приемо-предавателен протокол или предаване по електронен път чрез защитен файлов формат или криптирани.

(2) След датата на заличаване на данните, страните се съгласяват, че няма да предявяват претенции една спрямо друга относно обработката на тези лични данни.

 

  1. ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ

Чл. 5. (1) Страните по настоящото споразумение предприемат необходимите технически и организационни мерки, за да защитят данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.

(2) Страните се задължават при обработването на лични данни да прилагат технически и организационни мерки за защита на лични данни, описани в Приложение 2.

Чл. 6. Изпълнявайки мерките по чл. 5, страните по настоящото споразумение се съгласяват, че:

  1. системите, чрез които се обработват данни, са поверителни и позволяват съхраняването на информацията в цялост, както и нейната достъпност и постоянна устойчивост;
  2. възможност за своевременно възстановяване на достъпа до личните данни при възникване на технически или физически инцидент;
  3. изработена и тествана процедура по изпитване, оценяване и периодично преценяване на ефикасността на техническите и организационните мерки с цел гарантиране на сигурността на обработването.

Чл. 7. Всяка от страните по настоящото споразумение има право да променя и изиска от другата промяна в прилаганите организационни и технически мерки на защита, в случай на препоръка от КЗЛД, или на законодателна промяна.

 

  1. НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ

Чл. 8. (1) При настъпване на нарушение на сигурността на лични данни по смисъла на чл. 4 т. 12 от ОРЗД, ОБРАБОТВАЩИЯТ е длъжен да уведоми за това АДМИНИСТРАТОРА в срок до 24 часа от узнаването на нарушението.

(2) В уведомлението следва да се посочи следната информация:

  1. характера на нарушението, а ако е възможно и категориите лични данни които са засегнати, приблизителния броя на засегнатите субекти на данни, вид на засегнатите масиви с информация – на хартиен или електронен носител;
  2. да се посочи служителя, от който може да се получи повече информация;
  3. мерките, предприети от съответната страна за отстраняване на нарушението, възстановяване на информацията и предотвратяването и/или ограничаване на неблагоприятните последици за субектите на данни.

Чл. 9. Страните се съгласяват, че ще положат всички разумни усилия с цел предотвратяването и /или ограничаването на всяко нарушение и неблагоприятните последици от него.

  1. ПРАВА И ЗАДЪЛЖЕНИЯ НА СТРАНИТЕ

Чл. 10. (1) АДМИНИСТРАТОРЪТ декларира и гарантира, че личните данни, които предоставя по смисъла на чл. 2, т. 7 от настоящото споразумение на ОБРАБОТВАЩИЯ, са събрани на законовоопределено основание, съгласно чл. 6 от ОРЗД, както и че са изпълнени задълженията спрямо субекта на данни, регламентирани в чл. 13 и чл. 14 от ОРЗД.

Чл. 11 (1) АДМИНИСТРАТОРЪТ има право веднъж годишно, след предварително съгласуване, да извърши одит или проверки на изпълнението от страна на ОБРАБОТВАЩИЯ на задълженията по настоящото споразумение и чл. 28 от ОРЗД. Одитът може да бъде извършен и от одитор, оправомощен от АДМИНИСТРАТОРА.

(2) АДМИНИСТРАТОРЪТ предоставя на ОБРАБОТВАЩИЯ ЛИЧНИ ДАННИ предизвестие за извършването на одита или проверката в разумен срок, не по-кратък от 30 дни преди провеждането им, освен в случаите, когато одитът е иницииран от актове или действия на държавни органи.

(3) АДМИНИСТРАТОРЪТ и избраните от него одитори са длъжни да не причиняват вреди, прекъсванията или смущенията в помещенията, оборудването, персонала и бизнеса на ОБРАБОТВАЩИЯ ЛИЧНИ ДАННИ за времето, в което персоналът е в помещенията, докато се провежда одит или проверка.

(4) ОБРАБОТВАЩИЯТ е длъжен да окаже необходимото съдействие на АДМИНИСТРАТОРА при извършването на одита или проверката.

(5) Извършването на одит или проверка по чл. 11, ал. 1 от Споразумението, не е основание за предоставяне на търговска, финансова, икономическа, ноу-хау или друг вид информация, която има конфиденциален характер за ОБРАБОТВАЩИЯ, както и информация, представляваща авторско и/или интелектуално право, защитено със закон на националното или общностно право. В този случай АДМИНИСТРАТОРЪТ извършва одит без предоставянето на информацията с конфиденциален характер. ОБРАБОТВАЩИЯТ не може да се позове на конфиденциалност относно прилаганите технически и организационни мерки на защита по чл. 32 от ОРЗД.

(6) За претърпени вреди и пропуснати ползи от ОБРАБОТВАЩИЯТ, които са пряка последица от извършването на одита по реда на чл. 11, АДМИНИСТРАТОРЪТ дължи обезщетение в пълен размер.

Чл. 12. Всяка страна по настоящото споразумение има следните задължения една спрямо друга:

  1. Да обработва законосъобразно, точно, добросъвестно личните данни в изпълнение на облигационните отношения по б. А от преамбюла;
  2. Да събира само такъв вид лични данни, необходим за постигане на целите на обработка, и да не ги обработва допълнително по начин, несъвместим с тези цели;
  3. Да осигури техническа възможност за актуализиране на данните при необходимост;
  4. Да заличава и/или коригира данните, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
  5. Да следи за спазването от служителите си на вътрешните правила за обработка на лични данни, на задължителните указания и методологии на КЗЛД, на нормативните разпоредби на националното и общностно право;
  6. Да осигури на служителите си, обработващи данни, подходящо обучение относно защита на данните, да уведоми същите за поверителния характер на личните данни и рисковете от евентуално настъпване на нарушение;
  7. Да уведоми другата страна по настоящото споразумение при постъпване на искане /заявление/ от субект на данните по чл. 15-22 от ОРЗД;
  8. Да уведоми другата страни по настоящото споразумение при постъпване на жалба от субект на данните, като представи копие от същата;
  9. Да въведе за своя сметка всички необходими разумни организационни и технически мерки за защита по настоящото споразумение.
  10. Да изиска от другата страна да направи разумни промени на прилаганите мерки за техническа и организационна защита, в съответствие с нормативни изисквания или указания на КЗЛД.
  11. Да получава информация относно извършени проверки, одити и оценки на въздействието от другата страна по споразумението.
  12. Да получава информация за постъпили жалби и/или упражняване на право на защита от субект на данни, съгласно чл. 15-22 от ОРЗД.
  • НЕИЗПЪЛНЕНИЕ И ОБЕЗЩЕТЕНИЕ

Чл. 13. (1) АДМИНИСТРАТОРЪТ, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което е в нарушение на настоящото споразумение и ОРЗД.

(2) ОБРАБОТВАЩИЯТ носи отговорност за вреди, произтичащи от извършеното обработване, само когато не е изпълнил задълженията по настоящото споразумение и ОРЗД, конкретно насочени към него или когато е действал извън законосъобразните указания на АДМИНИСТРАТОРА или в противоречие с тях.

(3) АДМИНИСТРАТОРЪТ и/или ОБРАБОТВАЩИЯТ се освобождава/т от отговорност съгласно ал. 1 и 2, когато докаже/ат, че по никакъв начин не е/са отговорен/ни за събитието, причинило вредата.

(4) Когато в една и съща операция по обработване участват и двете страни по настоящото споразумение, то те носят солидарна отговорност за цялата вреда, когато са отговорни по ал. 1 и 2 за вреда, причинена от обработването, с цел гарантиране действително обезщетение на субекта на данни.

(5) Когато някоя от страните по настоящото споразумение е изплатила пълното обезщетение за причинената вреда по ал. 5, то същата има право да поиска от другия солидарно отговорен длъжник, участвал в същата операция по обработване на лични данни, да й възстанови част от платеното обезщетение, съответстваща на неговата част от отговорността за причинената вреда в съответствие с условията на ал. 1 и 2.

Чл. 14. (1) Всяка страна се задължава своевременно да уведоми другата страна за всяка жалба и/или сигнал, отнасящи се до обработвани данни по силата на настоящото споразумение.

(2) Всяка страна се задължава своевременно да уведоми другата страна за образувано административно производство от КЗЛД или друг орган със специална юрисдикция, когато съответното производство разглежда обработване на данни по настоящото споразумение.

(3) Всяка страна се задължава да оказва на другата страна необходимото съдействие и подкрепа в съответното административно и/или съдебно производство, като положи дължимата грижа.

Чл. 15. В случай че някоя от страните претърпи вреди, в т.ч. но не само имуществени санкции, наложени от надзорен орган, в резултат на действия и/или бездействия на другата страна, когато тези действия и/или бездействия са свързани с обработката и предаването на лични данни в изпълнение на настоящото споразумение, то виновната страна дължи на претърпялата вредата, обезщетение в размер на 100% на причинената вреда, съответно от наложената имуществена санкция, в случай че е била уведомена за административното производство по реда на чл. 14, ал. 2 или е била привлечена в съдебното производство по реда на чл. 14, ал. 3 от настоящото споразумение.

 

  • ДОПЪЛНИТЕЛНИ РАЗПОРЕДБИ

Чл. 16. Настоящото споразумение може да се изменя или допълва с изричното съгласие на страните, изразено в писмена форма.

Чл. 17. За всички неуредни въпроси се прилагат разпоредбите на ОРЗД, ЗЗЛД и подзаконовите актове, методологии и указания на КЗЛД и Комитета по защита на данни.

Чл. 18. Възникналите спорове по сключването, действието, тълкуването, изменението, изпълнението и прекратяването на настоящото споразумение се решават между страните чрез преговори, в дух на равнопоставеност и взаимни компромиси. В случай че решение на спора не може да се постигне, то същият се отнася до решаване пред КЗЛД, а имуществените спорове пред компетентния български съд в гр. София.

 

ПРИЛОЖЕНИЕ 1

ЦЕЛ И ОБХВАТ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ

  1. Цели на обработването на лични данни
  • Внедряване на информационна система за управление на човешки ресурси;
  • Поддръжка на информационна система за управление на човешки ресурси;
  • Реализация на промени в информационна система за управление на човешки ресурси;
  • Провеждане на обучения;

 

  1. Категории субекти на данни
  • Кандидати;
  • Служители на администратора;
  • Свързани лица;
  • Деца;
  • Контрагенти (за доставчици на обучения).

 

  1. Категории лични данни
Персонална идентификация Роднински връзки Професионална идентификация Финансови данни Специални категории ЛД
Имена Вид роднинска връзка с друго лице Позиция IBAN Диагноза от болничен лист
ЕГН Име на свързано лице Длъжност Номер на банкова карта Процент инвалидност
Вид документ за самоличност Дата на раждане на свързано лице Местоположение Номер на застрахователна полица Решение на ТЕЛК
Номер на документ за самоличност ЕГН на свързано лице Идентификационен номер Заплата Националност
Място на раждане   Номер на карта за достъп   Синдикална принадлежност
Адрес   Номер на документ  
Гражданство   IP адрес  
Електронен адрес (e-mail)   Свързаност в качеството на представител на ЮЛ    
Телефон   Оценка на представянето    
Снимка   Трудова книжка    
Образование   Дисциплинарно наказания    
Сертификати   Награди    
Свидетелство за съдимост   Преминати обучения    

 

 

 

ПРИЛОЖЕНИЕ 2

ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ

 

Във връзка с изпълнение на договорните си отношения в ролята на ОБРАБОТВАЩ, Технологика ЕАД се ангажира с изпълнението на следните технически и организационни мерки:

ОБЛАСТИ НА СИГУРНОСТ МЕРКИ ЗА СИГУРНОСТ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
1. СИГУРНОСТ НА МРЕЖИТЕ И СИСТЕМИТЕ 1.1 Конфигурациите на защитната стена и маршрутизатора са настроени да ограничават входящия и изходящия трафик от „ненадеждни“ мрежи (включително безжични) и хостове. Забранен е целият друг трафик, освен този за протоколите, необходими за средата за личните данни (PDE).
1.2 Защитните стени на приложенията са настроени пред уеб сървърите за PDE, за да се проверяват и потвърждават трафика, насочен към сървъра. Всяка неразрешена услуга или трафик се блокира и се генерира предупреждение, което след това да се управлява по уместен начин (анализ и отстраняване).
1.3 Осигурени са конфигурационни темплейти за засилване на защитата за ИКТ активи (например бази данни, приложения, операционни системи), които обработват лични данни, така че да останат само услугите, които са изрично необходими за наличните планирани дейности.
1.4 Личните данни са защитени срещу риск от пробив и зловреден софтуер чрез активиране на подходящи електронни инструменти, които се актуализират най-малко на всеки шест месеца.
1.5 Прави се периодичен преглед на актуализациите на софтуера и операционните системи. Води се регистър на публикуваните и приложими актуализации като последните се инсталират на минимум шест месеца.
1.6 Обработващият планира и извършва оценка на уязвимостта и/или изпитване за пробив най-малко веднъж годишно във връзка със системите, които се използват за предоставяне на услуги на администратора на лични данни. Откритите уязвими места и констатациите се управляват по уместен начин (анализ и отстраняване). По заявка на Администратора, Обработващият предоставя плановете и резултатите от оценката на уязвимостта/изпитването за пробив.
2. СИГУРНОСТ НА ДАННИТЕ 2.1 Времето за запазване на личните данни е ограничено до степента, необходима за предоставянето на всяка единична услуга при спазване на действащите законови и/или регулаторни задължения. Максималния срок за съхранение на документи е до 5 години, считано от датата на прекратяване на договора или изискуемия период по действащи регулации, който период е по-голям.
2.2 Хартиените документи, които съдържат лични данни, се унищожават физически посредством машина за шредиране преди да бъдат изхвърлени.
2.3 Производствените данни (действителни данни) са позволени и ограничени единствено до производствена среда. Обработващият може да обработва (действителни) лични данни единствено ако те са защитени като производствена среда. Други пред-производствени среди (като разработване, тестване, тест за приемливост (UAT) и др.) използват или анонимни или синтетични данни.
2.4 Достъпът до производствени данни, администрирани на приложения в инфраструктурата на Клиента е допустим по изключение и при поискване, във връзка с конкретна цел на обработка.
2.5 Личните данни се правят нечетими (напр. чрез криптиране), когато се съхраняват  на преносим дигитален носител, резервен носител, лог файлове с изключение на случаите, в които файловете се предават на институция, която не приема криптирани файлове.
2.6 Броят на регистрите на лични данни (напр. бази данни, файлове, копия, архиви) е намален до минимум, като се избягват излишните дублирания.
2.7 Предаването на лични данни през открити, публични или незащитени мрежи, е защитено чрез сигурно криптиране и използване на протоколи за сигурност. В случай че каналът за криптиране не е приложим, файловете и приложенията, съдържащи лични данни, се защитават чрез средства на криптиране винаги когато се предават чрез открити, публични или незащитени мрежи.
2.8 Личните данни на Администратора се обработват само в среда на ТехноЛогика. ТехноЛогика не използва други доставчици на облачни технологии и/или други трети страни, обработващи данни.
2.9 Носителите (преносими и непреносими), съдържащи лични данни, са защитени спрямо неупълномощен достъп чрез подходящи мерки за физическа и логическа сигурност.
3. НАЛИЧНОСТ НА ДАННИТЕ 3.1 Осигурен е контрол на наличността на обработваните лични данни, чрез предотвратяване на случайно или умишлено унищожаване или загуба на данни. Предвидените мерки включват: Backup стратегия, непрекъсваемо захранване (UPS, дизелов генератор), антивирусна програма, защитна стена (firewall), процедури за докладване и аварийно планиране; проверки на сигурността на ниво инфраструктура и ниво приложение, многоетапен backup процес, стандартни процеси при промяна на служители.
3.2 Осигурено е своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент. Възстановяването се осъществява от поддържани два типа архиви (краткосрочни и дългосрочни), от които се възстановява работоспособността на системите по утвърдени процедури в ISO 27001.
3.3 Въведените са процедури за заличаване на личните данни след отпадане на целта на обработка, за което се води регистър. Заличаването на лични данни се извършва с методи осигуряващи необратим начин на унищожаване или повторна употреба. Ако това е неизпълнимо, носителите на данни ще бъдат унищожени или приведени в неизползваем вид.
4. УПРАВЛЕНИЕ НА ИДЕНТИЧНОСТТА И ДОСТЪПА 4.1 Достъпът до производствени среди, съдържащи лични данни, се предоставя на принципа „който трябва да знае“ и „най-малко привилегии“.
4.2 Прилагат се политики и процедури за гарантиране на правилното идентифициране на потребителите които имат достъп до системи, управляващи лични данни. Всеки потребител получава потребителско име, преди да му бъде предоставен достъп до системи с лични данни. Всяко потребителско име се идентифицира само едно лице.
4.3 Индивидуалният отдалечен административен достъп до системи, управляващи лични данни, е в съответствие с политиките на Клиента, Администратор на лични данни.
4.4 Политиката за управление на пароли за продукционни системи и устройства, управляващи лични данни изисква:
– поддържане на сложни пароли (състоят от най-малко 8 символа и изпълняват поне три от тези условия – съдържа главни букви, малки букви, цифри, специални знаци, напр.:%?!);
– невъзможност за лесно отгатване като се има предвид името на потребителя;
– променят се поне веднъж на всеки 6 месеца;
– не могат да се използват последните две използвани пароли;
– паролата не може да бъде сменяна един месец след последната и смяна.
4.5 Системните ресурси и правото на достъп се възлагат индивидуално към всеки потребителски профил.
4.6 Отдалеченият достъп (от външни мрежи) към средата, обработваща лични данни, е защитен чрез многофакторно удостоверяване.
4.7 Правата за достъп на потребителите до лични данни се преразглеждат на регулярни интервали от време и при всички случаи поне веднъж годишно съгласно политиката за управление на идентичността и достъпа.
5. ВЛИЗАНЕ В СИСТЕМАТА И МОНИТОРИНГ 5.1 Всеки достъп до производствени среди, съдържащи лични данни, както и достъпът до лични данни в центъра за поддръжка на ТехноЛогика се регистрира в логове.
5.2 Достъпът до продукционни лични данни, администрирани в системата за управление на човешки ресурси HeRMeS, е възможно да бъде проследен чрез записване на минимум следната информация:
 – Потребител
 – Компютър (виж коментарите)
 – Дата на влизане
 – Статус на влизане (Цел на достъпа до лични данни)
 – Дата на излизане
 – Статус на излизане
6. ОРГАНИЗАЦИЯ И ФИЗИЧЕСКА ЗАЩИТА 6.1 Въведени са процедури, гарантиращи наличност на личните данни. Създадена е организация за резервираност на системите и персонала, която осигурява непрекъснатост на услугата за субекта на данните, желаещ да получи достъп до своите собствени лични данни.
6.2 Въведена е програма за повишаване на осведомеността относно сигурността, за да се запознае целия персонал с политиката и процедурите, свързани със сигурността на личните данни.
6.3 Отговорностите и задълженията на служителите относно поверителността на личните данни са заявени като валидни и след прекратяването или смяната на тяхното работно правоотношение.
7. ЗАЩИТА НА ДАННИТЕ НА ЕТАПА НА ПРОЕКТИРАНЕ 7.1 При разработка на нов софтуер/приложения за ИКТ се прилагат тестове за сигурност, за да се гарантира, че са проектирани и разработени с отчитане на изискванията за вградена сигурност.
7.2 При реализация на промени в софтуера/приложения за ИКТ се прилагат тестове за сигурност, за да се гарантира, че промените са разработени с отчитане на изискванията за вградена сигурност.
8. УВЕДОМЛЕНИЯ ЗА ПРОБИВ В ЛИЧНИТЕ ДАННИ 8.1 Процесите и инструментите за управление на инциденти са внедрени и ще бъдат подобрявани по начин, позволяващ класифицирането на пробиви в личните данни, така че те да бъдат правилно комуникирани на администратора в сроковете, посочени в параграф „Нарушение на сигурността на личните данни“.
8.2 Създаден е и се поддържа регистър на инцидентите с личните данни.