Регламент за обработка на лични данни от ТехноЛогика ЕАД

Версия 2.0

Този документ регламентира процесите на обработване, предаване, съхраняване и унищожаване на лични данни, както и правата и задълженията на страните по Споразумението за абонаментно използване софтуерен продукт, съобразно условията на Закона за защита на личните данни (ЗЗЛД) и Регламент 2016/679 на Европейския парламент и на Съвета на Европейския съюз (GDPR)

ПРЕДМЕТ

Чл. 1. (1) АДМИНИСТРАТОРЪТ предоставя достъп до лични данни на ОБРАБОТВАЩИЯ, във връзка с изпълнението на конкретни търговски взаимоотношения по изпълнение на Споразумението за абонаментно използване на софтуерен продукт, като същото се счита за възлагане на ОБРАБОТВАЩИЯ от името на АДМИНИСТРАТОРА да обработва данните по смисъла на чл. 4, т.3 от ЗЗЛД.

(2) Личните данни по ал. 1 са изчерпателно посочени по вид в Приложение № 1, представляващо неразделна част от настоящи регламент.

(3) АДМИНИСТРАТОРЪТ носи отговорност за точността и пълнотата на събраните лични данни, които предава на ОБРАБОТВАЩИЯ.

(4) Личните данни, чието обработване и защита се регулира с настоящия регламент, се събират от АДМИНИСТРАТОРА.

(5) Достъпът до данните се извършва чрез:

Предоставяне на файлове за импорт на данни;
Осигуряване на техническа и функционална поддръжка на софтуера като услуга HeRMeS eXpress;
През Help-desk системата за поддържане на потребителите.

ПОНЯТИЯ

Чл. 2. Понятията, използвани в настоящия документ, са със следното съдържание, а именно:

АДМИНИСТРАТОР означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.
ОБРАБОТВАЩ ЛИЧНИ ДАННИ или ОБРАБОТВАЩ е лице, обработващо лични данни, по смисъла на чл. 3, т3 от ЗЗЛД, т.е. обработва лични данни, чрез възлагане от АДМИНИСТРАТОРА.
ЛИЧНИ ДАННИ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни “). Физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
ОБРАБОТВАНЕ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
СЪГЛАСИЕ НА СУБЕКТА НА ДАННИТЕ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.
НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИ ДАННИ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ са действия по цялостно или частично пренасяне на лични данни от един администратор към друг или, или към обработващ лични данни, или към трето лице на територията на страната или извън нея.

СРОКОВЕ НА СЪХРАНЕНИЕ И УНИЩОЖАВАНЕ

Чл. 3. (1) След изпълнение на задълженията на ОБРАБОТВАЩИЯ по споразумението за абонамент за HeRMeS eXpress, същият се задължава да заличи предоставените лични данни в своите бази данни на електронен и/или хартиен носител, ако са предоставени такива. Под „заличаване “страните разбират премахването или унищожаването на лични данни, така че те да не могат да бъдат възстановени или възобновени.

(2) След изтичане на срока на абонамента по този регламент, съгласно условията, описани в същия, срокът на съхранение на данните при ОБРАБОТВАЩИЯ е 30 календарни дни, с цел решаване на въпроси относно рекламации, направени от АДМИНИСТРАТОРА.

(3) Когато нормативен акт задължава някоя от страните да съхранява личните данни за по-дълъг, нормативно определен период, то в този случай информацията не се заличава.

(4) В срок до 30 дни след изтичане на срока по ал. 2, ОБРАБОТВАЩИЯТ се задължава да представи на АДМИНИСТРАТОРА информация, удостоверяваща унищожаването на същите /напр. протокол за унищожаване на масиви от информация/.

(5) В случай че съхранява данните в изпълнение на свое законово задължение, съответната страна се задължава да прилага всички технически и организационни мерки за защита спрямо тези данни, както и да използва същите само за целите, за които са съхранявани.

Чл. 4. (1) По изрично искане на АДМИНИСТРАТОРА, ОБРАБОТВАЩИЯТ се задължава да му предаде (върне) данните след изтичане срока на съхранение по ал. 2. Връщането на данните става с предаването на документите в оригинал на хартиен носител /ако има такива/ и подписване на приемо-предавателен протокол или предаване по електронен път чрез защитен файлов формат или криптирани.

(2) След датата на заличаване на данните, страните се съгласяват, че няма да предявяват претенции една спрямо друга относно обработката на тези лични данни.

ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ

Чл. 5. (1) Страните по настоящия регламент предприемат необходимите технически и организационни мерки, за да защитят данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.

(2) Страните се задължават при обработването на лични данни да прилагат технически и организационни мерки за защита на лични данни, описани в Приложение 2.

Чл. 6. Изпълнявайки мерките по чл. 5, страните по настоящия регламент се съгласяват, че:

системите, чрез които се обработват данни, са поверителни и позволяват съхраняването на информацията в цялост, както и нейната достъпност и постоянна устойчивост;
възможност за своевременно възстановяване на достъпа до личните данни при възникване на технически или физически инцидент;
изработена и тествана процедура по изпитване, оценяване и периодично преценяване на ефикасността на техническите и организационните мерки с цел гарантиране на сигурността на обработването.

Чл. 7. Всяка от страните по настоящия регламент има право да променя и изиска от другата промяна в прилаганите организационни и технически мерки на защита, в случай на препоръка от КЗЛД, или на законодателна промяна.

НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ

Чл. 8. (1) При настъпване на нарушение на сигурността на лични данни ОБРАБОТВАЩИЯТ е длъжен да уведоми за това АДМИНИСТРАТОРА в срок до 24 часа от узнаването на нарушението.

(2) В уведомлението следва да се посочи следната информация:

характера на нарушението, а ако е възможно и категориите лични данни които са засегнати, приблизителния броя на засегнатите субекти на данни, вид на засегнатите масиви с информация – на хартиен или електронен носител;
да се посочи служителя, от който може да се получи повече информация;
мерките, предприети от съответната страна за отстраняване на нарушението, възстановяване на информацията и предотвратяването и/или ограничаване на неблагоприятните последици за субектите на данни.

Чл. 9. Страните се съгласяват, че ще положат всички разумни усилия с цел предотвратяването и /или ограничаването на всяко нарушение и неблагоприятните последици от него.

ПРАВА И ЗАДЪЛЖЕНИЯ НА СТРАНИТЕ

Чл. 10. (1) АДМИНИСТРАТОРЪТ декларира и гарантира, че личните данни, които предоставя по смисъла на чл. 2, т. 7 от настоящия регламент на ОБРАБОТВАЩИЯ, са събрани на законовоопределено основание, както и че са изпълнени задълженията за изрично съгласие спрямо субекта на данните.

Чл. 11 (1) АДМИНИСТРАТОРЪТ има право веднъж годишно, след предварително съгласуване, да извърши одит или проверки на изпълнението от страна на ОБРАБОТВАЩИЯ на задълженията по настоящия регламент. Одитът може да бъде извършен и от одитор, оправомощен от АДМИНИСТРАТОРА.

(2) АДМИНИСТРАТОРЪТ предоставя на ОБРАБОТВАЩИЯ ЛИЧНИ ДАННИ предизвестие за извършването на одита или проверката в разумен срок, не по-кратък от 30 дни преди провеждането им, освен в случаите, когато одитът е иницииран от актове или действия на държавни органи.

(3) АДМИНИСТРАТОРЪТ и избраните от него одитори са длъжни да не причиняват вреди, прекъсванията или смущенията в помещенията, оборудването, персонала и бизнеса на ОБРАБОТВАЩИЯ ЛИЧНИ ДАННИ за времето, в което персоналът е в помещенията, докато се провежда одит или проверка.

(4) ОБРАБОТВАЩИЯТ е длъжен да окаже необходимото съдействие на АДМИНИСТРАТОРА при извършването на одита или проверката.

(5) Извършването на одит или проверка по чл. 11, ал. 1 от регламента, не е основание за предоставяне на търговска, финансова, икономическа, ноу-хау или друг вид информация, която има конфиденциален характер за ОБРАБОТВАЩИЯ, както и информация, представляваща авторско и/или интелектуално право, защитено със закон на националното или общностно право. В този случай АДМИНИСТРАТОРЪТ извършва одит без предоставянето на информацията с конфиденциален характер. ОБРАБОТВАЩИЯТ не може да се позове на конфиденциалност относно прилаганите технически и организационни мерки на защита.

(6) За претърпени вреди и пропуснати ползи от ОБРАБОТВАЩИЯТ, които са пряка последица от извършването на одита по реда на чл. 11, АДМИНИСТРАТОРЪТ дължи обезщетение в пълен размер.

(7) Всички разходи (командировтчни, транспортни, разходи за външен одитор) са за сметка на АДМИНИСТРАТОРА.

Чл. 12. Всяка страна по настоящия регламент има следните задължения спрямо другата страна:

Да обработва законосъобразно, точно, добросъвестно личните данни в изпълнение на своите задължения;
Да събира само такъв вид лични данни, необходим за постигане на целите на обработка, и да не ги обработва допълнително по начин, несъвместим с тези цели;
Да осигури техническа възможност за актуализиране на данните при необходимост;
Да заличава и/или коригира данните, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
Да следи за спазването от служителите си на вътрешните правила за обработка на лични данни, на задължителните указания и методологии на КЗЛД, на нормативните разпоредби на националното и общностно право;
Да осигури на служителите си, обработващи данни, подходящо обучение относно защита на данните, да уведоми същите за поверителния характер на личните данни и рисковете от евентуално настъпване на нарушение;
Да уведоми другата страна по настоящия регламент при постъпване на искане /заявление/ от субект на данните по чл. 15-22 от ОРЗД;
Да уведоми другата страни по настоящия регламент при постъпване на жалба от субект на данните, като представи копие от същата;
Да въведе за своя сметка всички необходими разумни организационни и технически мерки за защита по настоящия регламент.
Да изиска от другата страна да направи разумни промени на прилаганите мерки за техническа и организационна защита, в съответствие с нормативни изисквания или указания на КЗЛД.
Да получава информация относно извършени проверки, одити и оценки на въздействието от другата страна по регламента.
Да получава информация за постъпили жалби и/или упражняване на право на защита от субект на данни.

НЕИЗПЪЛНЕНИЕ И ОБЕЗЩЕТЕНИЕ

Чл. 13. (1) АДМИНИСТРАТОРЪТ, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което е в нарушение на настоящия регламент и ЗЗЛД.

(2) ОБРАБОТВАЩИЯТ носи отговорност за вреди, произтичащи от извършеното обработване, само когато не е изпълнил задълженията по настоящия регламент и ЗЗЛД, конкретно насочени към него или когато е действал извън законосъобразните указания на АДМИНИСТРАТОРА или в противоречие с тях.

(3) АДМИНИСТРАТОРЪТ и/или ОБРАБОТВАЩИЯТ се освобождава/т от отговорност съгласно ал. 1 и 2, когато докаже/ат, че по никакъв начин не е/са отговорен/ни за събитието, причинило вредата.

(4) Когато в една и съща операция по обработване участват и двете страни по настоящия регламент, то те носят солидарна отговорност за цялата вреда, когато са отговорни по ал. 1 и 2 за вреда, причинена от обработването, с цел гарантиране действително обезщетение на субекта на данни.

Чл. 14. (1) Всяка страна се задължава своевременно да уведоми другата страна за всяка жалба и/или сигнал, отнасящи се до обработвани данни по силата на настоящия регламент.

(2) Всяка страна се задължава своевременно да уведоми другата страна за образувано административно производство от КЗЛД или друг орган със специална юрисдикция, когато съответното производство разглежда обработване на данни по настоящия регламент.

(3) Всяка страна се задължава да оказва на другата страна необходимото съдействие и подкрепа в съответното административно и/или съдебно производство, като положи дължимата грижа.

ДОПЪЛНИТЕЛНИ РАЗПОРЕДБИ

Чл. 15. Настоящия регламент може да се изменя или допълва с изричното съгласие на страните, изразено в писмена форма.

Чл. 16. За всички неуредни въпроси се прилагат разпоредбите на ЗЗЛД, GDPR и подзаконовите актове, методологии и указания на КЗЛД и компетентните органи.

Чл. 17. Възникналите спорове по сключването, действието, тълкуването, изменението, изпълнението и прекратяването на настоящия регламент се решават между страните чрез преговори, в дух на равнопоставеност и взаимни компромиси. В случай че решение на спора не може да се постигне, то същият се отнася до решаване пред КЗЛД, а имуществените спорове пред компетентния български съд в гр. София.

ПРИЛОЖЕНИЕ 1

ЦЕЛ И ОБХВАТ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ

Цели на обработването на лични данни

Внедряване на информационна система за управление на човешки ресурси;
Поддръжка на информационна система за управление на човешки ресурси;
Реализация на промени в информационна система за управление на човешки ресурси;
Провеждане на обучения;

Категории субекти на данни

Кандидати;
Служители на администратора;
Свързани лица;
Деца;
Контрагенти (за доставчици на обучения).

Категории лични данни

Категории лични данни
Персонална идентификация	Роднински връзки	Професионална идентификация	Финансови данни	Спецаилни категории ЛД
Имена	Вид роднинска връзка с друго лице	Позиция	IBAN	Диагноза от болничен лист
ЕГН	Име на свързано лице	Длъжност	Номер на банкова карта	Процент инвалидност
Вид документ за самоличност	Дата на раждане на свързано лице	Местоположение	Номер на застрахователна полица	Решение на ТЕЛК
Номер на документ за самоличност	ЕГН на свързано лице	Идентификационен номер	Заплата	Националност
Място на раждане		Номер на карта за достъп		Синдикална принадлежност
Адрес		Номер на документ
Гражданство		IP адрес
Електронен адрес (e-mail)		Свързаност в качеството на представител на ЮЛ
Телефон		Оценка на представянето
Снимка		Трудова книжка
Образование		Дисциплинарно наказания
Сертификати		Награди
Свидетелство за съдимост		Преминати обучения

ПРИЛОЖЕНИЕ 2

ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ

Във връзка с изпълнение на договорните си отношения в ролята на ОБРАБОТВАЩ, ТехноЛогика ЕАД се ангажира с изпълнението на следните технически и организационни мерки:

Категории лични данни
ОБЛАСТИ НА СИГУРНОСТ	№	Технически и организационни мерки
1. СИГУРНОСТ НА МРЕЖИТЕ И СИСТЕМИТЕ	1.1	Конфигурациите на защитната стена и маршрутизатора са настроени да ограничават входящия и изходящия трафик от „ненадеждни “мрежи (включително безжични) и хостове. Забранен е целият друг трафик, освен този за протоколите, необходими за средата за личните данни (PDE).
	1.2	Защитните стени на приложенията са настроени пред уеб сървърите за PDE, за да се проверяват и потвърждават трафика, насочен към сървъра. Всяка неразрешена услуга или трафик се блокира и се генерира предупреждение, което след това да се управлява по уместен начин (анализ и отстраняване).
	1.3	Осигурени са конфигурационни темплейти за засилване на защитата за ИКТ активи (например бази данни, приложения, операционни системи), които обработват лични данни, така че да останат само услугите, които са изрично необходими за наличните планирани дейности.
	1.4	Личните данни са защитени срещу риск от пробив и зловреден софтуер чрез активиране на подходящи електронни инструменти, които се актуализират най-малко на всеки шест месеца.
	1.5	Прави се периодичен преглед на актуализациите на софтуера и операционните системи. Води се регистър на публикуваните и приложими актуализации като последните се инсталират на минимум шест месеца.
	1.6	Обработващият планира и извършва оценка на уязвимостта и/или изпитване за пробив най-малко веднъж годишно във връзка със системите, които се използват за предоставяне на услуги на администратора на лични данни. Откритите уязвими места и констатациите се управляват по уместен начин (анализ и отстраняване). По заявка на Администратора, Обработващият предоставя плановете и резултатите от оценката на уязвимостта/изпитването за пробив.
2. СИГУРНОСТ НА ДАННИТЕ	2.1	Времето за запазване на личните данни е ограничено до степента, необходима за предоставянето на всяка единична услуга при спазване на действащите законови и/или регулаторни задължения. Максималния срок за съхранение на документи е до 5 години, считано от датата на прекратяване на договора или изискуемия период по действащи регулации, който период е по-голям.
	2.2	Хартиените документи, които съдържат лични данни, се унищожават физически посредством машина за шредиране преди да бъдат изхвърлени.
	2.3	Производствените данни (действителни данни) са позволени и ограничени единствено до производствена среда. Обработващият може да обработва (действителни) лични данни единствено ако те са защитени като производствена среда. Други пред-производствени среди (като разработване, тестване, тест за приемливост (UAT) и др.) използват или анонимни или синтетични данни.
	2.4	Достъпът до производствени данни, администрирани на приложения в инфраструктурата на Клиента е допустим по изключение и при поискване, във връзка с конкретна цел на обработка.
	2.5	Личните данни се правят нечетими (напр. чрез криптиране), когато се съхраняват на преносим дигитален носител, резервен носител, лог файлове с изключение на случаите, в които файловете се предават на институция, която не приема криптирани файлове.
	2.6	Броят на регистрите на лични данни (напр. бази данни, файлове, копия, архиви) е намален до минимум, като се избягват излишните дублирания.
	2.7	Предаването на лични данни през открити, публични или незащитени мрежи, е защитено чрез сигурно криптиране и използване на протоколи за сигурност. В случай че каналът за криптиране не е приложим, файловете и приложенията, съдържащи лични данни, се защитават чрез средства на криптиране винаги когато се предават чрез открити, публични или незащитени мрежи.
	2.8	Личните данни на Администратора се обработват само в среда на ТехноЛогика. ТехноЛогика не използва други доставчици на облачни технологии и/или други трети страни, обработващи данни.
	2.9	Носителите (преносими и непреносими), съдържащи лични данни, са защитени спрямо неупълномощен достъп чрез подходящи мерки за физическа и логическа сигурност.
3. НАЛИЧНОСТ НА ДАННИТЕ	3.1	Осигурен е контрол на наличността на обработваните лични данни, чрез предотвратяване на случайно или умишлено унищожаване или загуба на данни. Предвидените мерки включват: Backup стратегия, непрекъсваемо захранване (UPS, дизелов генератор), антивирусна програма, защитна стена (firewall), процедури за докладване и аварийно планиране; проверки на сигурността на ниво инфраструктура и ниво приложение, многоетапен backup процес, стандартни процеси при промяна на служители.
	3.2	Осигурено е своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент. Възстановяването се осъществява от поддържани два типа архиви (краткосрочни и дългосрочни), от които се възстановява работоспособността на системите по утвърдени процедури в ISO 27001.
	3.3	Въведените са процедури за заличаване на личните данни след отпадане на целта на обработка, за което се води регистър. Заличаването на лични данни се извършва с методи осигуряващи необратим начин на унищожаване или повторна употреба. Ако това е неизпълнимо, носителите на данни ще бъдат унищожени или приведени в неизползваем вид.
4. УПРАВЛЕНИЕ НА ИДЕНТИЧНОСТТА И ДОСТЪПА	4.1	Достъпът до производствени среди, съдържащи лични данни, се предоставя на принципа “който трябва да знае” и “най-малко привилегии “.
	4.2	Прилагат се политики и процедури за гарантиране на правилното идентифициране на потребителите които имат достъп до системи, управляващи лични данни. Всеки потребител получава потребителско име, преди да му бъде предоставен достъп до системи с лични данни. Всяко потребителско име се идентифицира само едно лице.
	4.3	Индивидуалният отдалечен административен достъп до системи, управляващи лични данни, е в съответствие с политиките на Клиента, Администратор на лични данни.
	4.4	Политиката за управление на пароли за продукционни системи и устройства, управляващи лични данни изисква: – поддържане на сложни пароли (състоят от най-малко 8 символа и изпълняват поне три от тези условия – съдържа главни букви, малки букви, цифри, специални знаци, напр.:%?!); – невъзможност за лесно отгатване като се има предвид името на потребителя; – променят се поне веднъж на всеки 6 месеца; – не могат да се използват последните две използвани пароли; – паролата не може да бъде сменяна един месец след последната и смяна.
	4.5	Системните ресурси и правото на достъп се възлагат индивидуално към всеки потребителски профил.
	4.6	Отдалеченият достъп (от външни мрежи) към средата, обработваща лични данни, е защитен чрез многофакторно удостоверяване.
	4.7	Правата за достъп на потребителите до лични данни се преразглеждат на регулярни интервали от време и при всички случаи поне веднъж годишно съгласно политиката за управление на идентичността и достъпа.
5. ВЛИЗАНЕ В СИСТЕМАТА И МОНИТОРИНГ	5.1	Всеки достъп до производствени среди, съдържащи лични данни, както и достъпът до лични данни в центъра за поддръжка на ТехноЛогика се регистрира в логове.
	5.2	Достъпът до продукционни лични данни, администрирани в системата за управление на човешки ресурси HeRMeS, е възможно да бъде проследен чрез записване на минимум следната информация:
		– Потребител
		– Компютър (виж коментарите)
		– Дата на влизане
		– Статус на влизане (Цел на достъпа до лични данни)
		– Дата на излизане
		– Статус на излизане
6. ОРГАНИЗАЦИЯ И ФИЗИЧЕСКА ЗАЩИТА	6.1	Въведени са процедури, гарантиращи наличност на личните данни. Създадена е организация за резервираност на системите и персонала, която осигурява непрекъснатост на услугата за субекта на данните, желаещ да получи достъп до своите собствени лични данни.
	6.2	Въведена е програма за повишаване на осведомеността относно сигурността, за да се запознае целия персонал с политиката и процедурите, свързани със сигурността на личните данни.
	6.3	Отговорностите и задълженията на служителите относно поверителността на личните данни са заявени като валидни и след прекратяването или смяната на тяхното работно правоотношение.
7. ЗАЩИТА НА ДАННИТЕ НА ЕТАПА НА ПРОЕКТИРАНЕ	7.1	При разработка на нов софтуер/приложения за ИКТ се прилагат тестове за сигурност, за да се гарантира, че са проектирани и разработени с отчитане на изискванията за вградена сигурност.
7. ЗАЩИТА НА ДАННИТЕ НА ЕТАПА НА ПРОЕКТИРАНЕ	7.2	При реализация на промени в софтуера/приложения за ИКТ се прилагат тестове за сигурност, за да се гарантира, че промените са разработени с отчитане на изискванията за вградена сигурност.
8. УВЕДОМЛЕНИЯ ЗА ПРОБИВ В ЛИЧНИТЕ ДАННИ	8.1	Процесите и инструментите за управление на инциденти са внедрени и ще бъдат подобрявани по начин, позволяващ класифицирането на пробиви в личните данни, така че те да бъдат правилно комуникирани на администратора в сроковете, посочени в параграф „Нарушение на сигурността на личните данни “.
8. УВЕДОМЛЕНИЯ ЗА ПРОБИВ В ЛИЧНИТЕ ДАННИ	8.2	Създаден е и се поддържа регистър на инцидентите с личните данни.