Политика за защита на личните данни
1. Въведение
1.1. С настоящия документ Бургаският свободен университет, като администратор на лични данни, изразява своята политика за защита на личните данни, които събира и обработва. Тя е изготвена в съответствие с изискванията на Общия регламент за защита на данните на Европейския парламент и на Закона за защита на личните данни в Република България.
1.2. Бургаският свободен университет обработва лични данни на следните категории субекти:
- студенти, докторанти и специализанти, които са кандидатствали, обучават се, обучавани са или са завършили в БСУ;
- преподаватели и служители, които са кандидатствали, работят или са работили в БСУ по трудови или облигационни договори.
1.3. Личните данни, които събира БСУ, целите на обработването им, начините на тяхното съхранение, както и споделянето им, са строго специфични за двете категории субекти на данни и са конкретно изложени в:
1.4. Бургаският свободен университет се ангажира отговорно и добросъвестно със защитата на личните данни, които събира и обработва, така че да гарантира правата на техните субекти. БСУ споделя и спазва принципите на Регламент (ЕС) 2016/679, като прилага необходимите процедури и мерки за защита на данните.
2. Принципи
БСУ събира и обработва личните данни в съответствие с принципите за обработване на личните данни, посочени в член 5 от Регламент (ЕС) 2016/679. Всички служебни лица в Университета имат задължението да спазват тези принципи. Обработване е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространение или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване. Тези принципи са:
- Личните данни трябва да се обработват законосъобразно, добросъвестно и прозрачно по отношение на субекта на данните.
- Лични данни се събират само за конкретни, изрично указани и легитимни цели и не могат да се обработват по-нататък по начин, несъвместим с тези цели.
- Личните данни трябва да са подходящи, относими и ограничени до това, което е необходимо за целите, за които се обработват.
- Личните данни трябва да бъдат точни и, при необходимост, поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват.
- Личните данни трябва да се съхраняват във вид, който позволява идентифицирането на субекта на данните за период не по-дълъг от необходимия за целите, за които те се обработват.
- Личните данни трябва да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност на данните, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически и организационни мерки.
- Спазване на принципа на отчетност.
Политиките и процедурите на БСУ имат за цел да гарантират спазването на тези принципи.
3. Права на субектите на данни
3.1 Като субект на данни имате следните права по отношение обработката на данните, които събираме за Вас:
- Право на прозрачна информация относно използването на Вашите лични данни;
- Право на достъп. Имате право по всяко време да отправите искане и да получите достъп до Вашите данни, които обработваме, да получите копие от тях, както и информация кои са получателите на тези данни.
- Право на коригиране и изтриване. Имате право да поискате от БСУ да коригира Ваши лични данни, когато те са неточни или непълни, и при определени условия да поискате изтриване на свързаните с Вас лични данни.
- Право на ограничаване на обработването. Имате право да поискате от БСУ ограничаване на обработването на лични данни, като в този случай данните ще бъдат само съхранявани, но не и обработвани. Ние имаме право на отказ, като сме длъжни в писмен вид да се аргументираме със законосъобразни основания.
- Право на преносимост на данните. Имате право да поискате от БСУ личните си данни във вид, удобен за прехвърляне на друг администратор на лични данни, или да поискате ние да го направим, без да бъдете възпрепятствани от наша страна;
- Право на възражение. Имате право на възражение срещу определени видове обработка на Ваши лични данни. Особено когато основанието за тази обработка е изпълнение на задача от обществен интерес или легитимни интереси на БСУ. Университетът ще прекрати обработването на личните Ви данни, освен ако съществуват убедителни доказателства за обработването, които имат предимство пред интересите, правата и свободите Ви. Обработването ще бъде прекратено и при възражение срещу обработването на лични данни за целите на директния маркетинг.
- Право да не бъдете обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда неблагоприятни правни последици за Вас или съществено Ви засяга. В БСУ профилирането и вземането на такива решения е забранено.
- Право да оттегли съгласието си за обработката на личните данни по всяко време с искане, отправено до БСУ.
- Право на жалба до БСУ или направо до надзорния орган, ако смятате, че Вашите права са нарушени. Компетентният надзорен орган е Комисията за защита на личните данни: гр. София 1592, бул. „“Проф. Цветан Лазаров” № 2.
3.2. БСУ осигурява нужните условия, които да гарантират упражняването на тези права.
Вие може да упражните своите права чрез подаване на писмено искане до БСУ лично или от изрично упълномощено от Вас лице. Ако искането се подава чрез упълномощено лице, трябва да приложите и нотариално заверено пълномощно. БСУ ще Ви предостави информация за предприетите действия без ненужно забавяне и в срок не по-дълъг от един месец от получаване на искането.
4. Отговорности на БСУ
4.1 Ръководството на Университета има отговорността да гарантира спазването на Регламента и тази политика, да прави периодични одити за спазването им и да развива и насърчава добри практики за обработка на информация.
4.2 Началниците на отдели имат отговорността да реализират спазването на принципите за обработка на лични данни в рамките на техните области на отговорност и да контролират спазването на тези принципи.
Началник на Отдел „Учебен“ отговаря за събирането и обработката на личните данни на кандидат-студентите, студентите, докторантите и випускниците. Главният счетоводител на БСУ отговаря за обработката на лични данни, свързани с договорните отношения на Университета с трети страни, изплащането на работната заплата и други плащания, издаването и съхранението на предвидените в законите финансови документи. Ръководител Отдел „ТРЗ и кадрово развитие“ отговаря за обработката на личните данни, свързани с кандидатстването за работа и трудовоправните отношения. Началник на Отдел „Информационно осигуряване“ отговаря за обработката на лични данни, формиращи бази данни и за провеждане на подходящи политики за тяхната защита. Директорът на Университетска библиотека отговаря за обработката на лични данни, събирани от библиотеката и свързаните с нея информационни платформи. Административният директор отговаря за обработването на личните данни, свързани със сигурността и привеждането на правилниците и вътрешните правила в университета в съответствие с изискванията на Регламента.
4.3 Всяко лице от академичния и друг персонал, което има достъп до лични данни, носи отговорността, че обработва тези данни само за целите, за които е упълномощено, и е длъжно да борави с данните и предоставените му пароли за достъп до тях като поверителни.
По-специално, когато се предвижда нова форма на обработка на данните или адаптиране на съществуваща система, която би довела до използването на лична информация за цел, различна от тази, за която първоначално е била събрана, ангажираните лица трябва да потърсят съвет, за да гарантират, че предложената обработка отговаря на изискванията на Регламента.
4.4 Студентите и докторантите могат да получават или да използват лична информация, отнасяща се до трети страни, само за одобрени изследвания или други законни цели, свързани с обучението им, и само със знанието и изричното съгласие на подходящ член на академичния състав, който отговаря за тях. Използването на лични данни от студенти и докторанти трябва да бъде ограничено толкова, доколкото е необходимо да се постигнат желаните академични цели. Когато е възможно, личната информация задължително трябва да бъде деперсонализирана, така че субектите на данни да не могат да бъдат идентифицирани. Студентите са длъжни да съхраняват като поверителни паролите си за достъп до платформите за електронни услуги и електронно обучение.
5. Преглед на политиката
5.1 Тази политика ще бъде преразглеждана веднъж годишно и при необходимост ще бъде изменяна, за да се осигури непрекъснато спазване на Регламента.