ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
В Образователен център “Междучасие”
В сила от 25.05.2018г.
Настоящата политика се издава на основание чл. 23, ал. 4 и чл. 24, ал. 4 от Закона за защита на личните данни (ЗЗЛД) и Регламент (ЕС) 2016/679.
І. ОБЩИ ПОЛОЖЕНИЯ
Обхват на документа
Чл. 1. (1) Настоящите правила се прилагат за лични данни по смисъла на Регламент (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година, Закона за защита на личните данни и се издава на основание чл.23, ал. 4 от Закона за защита на личните данни и чл. 19 т. 2 от Наредбата № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни и регламентира:
- Механизмите за водене, поддържане и защита на регистрите, съхраняващи лични данни в ОЦ “Междучасие” с цел гарантиране на неприкосновеността на личността и личния живот, чрез осигуряване на защита на данните за физическите лица.
- Видовете регистри, които се водят в дружеството и тяхното общо и технологично описание.
- Определя вида на личните данни, целите и средствата за обработването им в ОЦ “Междучасие”.
- Необходимите технически и организационни мерки за защита на личните данни, съдържащи се в регистрите от неправомерно обработване (случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни).
- Правата и задълженията на длъжностните лица, обработващи лични данни и/или лицата, които имат достъп до лични данни и работят под ръководството на обработващите лични данни, тяхната отговорност при неизпълнение на тези задължения.
- Предоставяне на лични данни на трети лица – основание, цел, категории лични данни;
- Срокове за съхранение на личните данни и реда за тяхното унищожаване след изтичането на сроковете.
- Процедури за докладване, управляване и реагиране при инциденти.
- Процедури за уведомяване на КЗЛД за настъпили инциденти;
- Правата на субектите на данни и процедурата за отговаряне на запитвания и уведомяване на субектите на данните;
- Организацията и реда за упражняване на контрол при обработването на лични данни;
(2) ОЦ “Междучасие” се придържа изключително към законовата рамка (Регламент (ЕС) 2016/679, ЗЗЛД, Конвенция 108 за защита на лицата при автоматизирана обработка на лични данни, Наредба № 1 на КЗЛД от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни), която има отношение към защитата на личните данни.
Админитратор на лични данни
Чл. 2. ОЦ “Междучасие” е администратор на лични данни по смисъла на чл.3, ал.1 от Закона за защита на личните данни и е вписано в „Регистъра на администраторите на лични данни и на водените от тях регистри” с идентификационен номер 248 580.
Обработващ лични данни
Чл.3 (1) В своята дейност ОЦ “Междучасие” има право да влиза в различни договорни и други отношения с контрагенти (физически и юридически лица, държавни и неправителствени организиции), на които има право да възлага, при спазване условията на приложимото законодателство, обработване на лични данни.
(2) Администраторът използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на действащото законодателство и да осигурява защита на правата на субектите на данни. Отношенията между администратора и обработващия лични данни се уреждат с писмен договор, който задължително съдържа предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора.
(3) Обработващият лични данни:
- Обработва личните данни само по документирано нареждане на администратора, включително що се отнася до предаването на лични данни на трета държава или международна организация, освен когато е длъжен да направи това, като в този случай обработващият лични данни информира администратора преди обработването, освен ако това право забранява такова информиране на важни основания от публичен интерес;
- Гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност;
- Взема всички необходими мерки за гарантиране сигурност на обработването;
- Спазва установените правила за включване на друг обработващ лични данни;
- Като взема предвид естеството на обработването, подпомага администратора, доколкото е възможно, чрез подходящи технически и организационни мерки при изпълнението на задължението на администратора да отговори на искания за упражняване на предвидените права на субектите на данни;
- Подпомага администратора да гарантира изпълнението на задълженията му за гарантиране сигурност на обработването, уведомяване на КЗЛД или съответния надзорен орган и субекта на данни за нарушение на сигурността и извършване оценка на въздействието върху защитата на данните, когато това се изисква нормативно.
- Заличава всички лични данни след приключване на услугите по обработване и заличава съществуващите копия, освен ако нормативен акт не изисква тяхното съхранение;
- Осигурява достъп на администратора до цялата информация, необходима за доказване на изпълнението на задълженията, определени в настоящия член, и позволява и допринася за извършването на одити, включително проверки, от страна на администратора или друг одитор, оправомощен от администратора.
- Незабавно уведомява администратора, ако според него дадено нареждане нарушава нормативната уредба относно защитата на данните.
(3) Обработващи лични данни, които въз основа на договор с ОЦ “Междучасие” обработват лични данни от името на ОЦ “Междучасие” или имат пряк/косвен достъп до лични данни биха могли да бъдат:
- Транспортни/куриерски фирми с оглед изпълнение на договорните ни задължения по доставяне на договори на хартиен носител и /или закупени/ ремонтирани стоки;
- Лица, които по възлагане поддържат оборудване и софтуер, използвани за обработване на личните Ви данни;
- Лица, предоставящи услуги по сервизна поддръжка на крайни устройства;
- Агенции, събиращи неплатени клиентски задължения от името на ОЦ “Междучасие”.
- Лица, осъществяващи дейности по инсталация и/или поддръжка и др. – подизпълнители по съответния договор;
- Банките, обслужващи плащания по договор;
- Охранителни фирми, притежаващи лиценз за извършване на частна охранителна дейност, обработващи видеозаписи и/или поддържащи други регистри в процеса на осигуряване на пропускателния режим в обектите на дружеството;
- Лица, предоставящи услуги по организиране, съхраняване, индексиране и унищожаване на архиви на хартиен и/или електронен носител;
- Лица, извършващи консултантски услуги в различни сфери – право, счетоводство и пр.
- Подизпълнители, на които е възложено извършването на определени услуги а клиенти на дружеството;
(4) Други администратори на лични данни, на които ОЦ “Междучасие” предоставя лични данни, обработващи данните на собствено основание и от свое име са цесионери – страна по договори за цесия, на които администраторът може да прехвърля (продава) свои вземания;
Лични данни
Чл. 4 Лични данни означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни”); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
Регистри на лични данни
Чл.5 Лични данни се обработват в регистри при спазване на принципите по чл. 2, ал. 2 и 3 от Закона за защита на личните данни и Регламент (ЕС) 2016/679.
Принципи при обработка
Чл.6 Личните данни в ” ОЦ “Междучасие”” ООД:
- Се обработват законосъобразно, добросъвестно и по прозрачен начин;
- Се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели
- Следва да бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват;
- Да бъдат точни и при необходимост да се актуализират;
- Се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
- Се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват.
- Се обработват по начин, който гарантира подходящо ниво на сигурност, включително защита срещу неразрешено или незаконосъобразно обработване, случайна загуба, унищожаване или повреждане.
Обработване на лични данни
Чл. 7. Обработване на личните данни е всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване или предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване на данните.
Обработване под ръководството на администратора на лични данни
Чл.8 (1) Администраторът възлага обработването на личните данни вътре в дружеството на негови служители. Обработване на личните данни се извършва само от лица, чиито служебни задължения или конкретно възложена задача налагат достъп до лични данни и предварително са определени като натоварени да обработват лични данни, по подходящ за това начин (длъжностна характеристика, конкретна заповед на управителя и др.).
(2) Преди започването на дейности по обрабока на данни, тези лица са длъжни да се запознаят с настоящия документ, Регламент (ЕС) 2016/679, ЗЗЛД и нормативната уредба по прилагането му и да я спазват при извършване на дейностите по обработка под страх от дисциплинарно наказание.
(3) Служителите, обработващи лични данни, действат само по указание на администратора, освен ако в закон не е предвидено друго.
(4) Личните данни не се разкриват на неоторизирани лица в процеса на тяхното обработване. Служителите натоварени да обработват лични данни подписват Декларация за конфиденциалност Образец № 2 по отношение обработваните от тях данни.
(5) Данните да не могат да бъдат променени/подменени по неоторизиран начин в процеса на тяхното обработване и няма възможност за изменение и за неразрешени манипулации на функциите по обработване на данните.
(6) Осигурява се непрекъсната възможност за обработване на личните данни на оторизираните лица и за изпълнение на функциите на системата за обработване или бързото им възстановяване.
(7) Служителите, обработващи данни са длъжни:
- Да обработват лични данни законосъобразно и добросъвестно;
- Да използват личните данни, до които имат достъп, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели;
- Да актуализират своевременно регистрите на личните данни (при необходимост);
- Да заличават или коригират личните данни, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
- Да поддържат личните данни във вид, позволяващ изпълнение на целите за които се обработват и за период не по-дълъг от необходимия за същите тези цели;
Законосъобразност на обработването
Чл.9 Обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:
- Обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;
- Физическото лице, за което се отнасят данните е дало изрично своето съгласие;
- Обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;
- Обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;
- Обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;
- Обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;
- Обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.
Данни забранени за обработване в ОЦ “Междучасие”
Чл. 10 (1) В ОЦ “Междучасие” е забранено обработването на лични данни, които:
- Разкриват расов или етнически произход;
- Разкриват политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели;
- Се отнасят до сексуалния живот или до човешкия геном.
(2) Алинея 1 не се прилага, когато:
- Обработването е необходимо за целите на изпълнението на специфични права и задължения на администратора или субектите на данните в областта на трудовото и социалноосигурителното законодателство;
- Физическото лице, за което се отнасят тези данни, е дало изрично своето съгласие;
- Обработването е необходимо за защита на живота и здравето на физическото лице, за което тези данни се отнасят, или на друго лице и състоянието на физическото лице не му позволява да даде съгласие или съществуват законни пречки за това.
Видове регистри
Чл. 11. (1) Личните данни в ОЦ “Междучасие” се събират, обработват и съхраняват в 4 регистъра:
- Регистър „Персонал“
- Регистър „Контрагенти (клиенти и доставчици)”
- Регистър “Ученици”.
(2) На основание чл.30, параграф 5 от Регламент (ЕС) 2016/679, ОЦ “Междучасие” не поддържа регистрите в табличен или писмен вид.
Защита на данните на етапа на проектирането и по подразбиране
Чл. 12. Администраторът извършва оценка на данните, поддържани в регистрите и рисковете от обработване при приемане на настоящея документ, при всяко изменение на вида данни или регистри и/или цели за обработване и/или дейности по обработване или поне веднъж на две години. На база тази оценка, администраторът, спазвайки принципа за защита на данните на етапа на проектирането и по подразбиране въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки за защита на данните.
Оценка на въздействието на дейностите по обработване
Чл. 13. (1) На основание направен анализ на вида обработвани данни, поддържани регистри и дейности по обработване (вж. Оценка на данните и рисковете при обработване на лични данни в ОЦ “Междучасие”, април 2018г.) за администратора ” ОЦ “Междучасие”” няма правно задължение да извършва Оценката на въздействието върху защита на данните по смисъла на чл.35 и 36 от Регламент (ЕС) 2016/679.
(2) ОЦ “Междучасие” извършва оценка на въздействието в съответствие с НАРЕДБА № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.
Чл. 14 (1) Оценка на въздействието се извършва за всички поддържани регистри, като всеки отделен регистър се оценява по критериите поверителност, цялостност и наличност. Най-високото ниво на въздействие, определено по всеки от критериите определя нивото на въздействие на съответния регистър.
(2) Оценката на въздействието се извършва периодично на всеки две години или при промяна на характера на обработваните лични данни, дейностите по обработване или броя на засегнатите физически лица.
(3) Оценката на въздействието в ОЦ “Междучасие” се извършва от Мениджър Информационни технологии и Мениджър Качество веднъж годишно.
(4) Нивата на въздействие и защита за всеки регистър се утвърждават от Управителя.
Нива на въздействие
Чл. 15. Нивата на въздействие са както следва:
- „Изключително високо” – в случаите, когато неправомерното обработване на лични данни би могло да доведе до възникване на значителни вреди или кражба на самоличност на особено голяма група физически лица или трайни здравословни увреждания или смърт на група физически лица;
- „Високо” – в случаите, когато неправомерното обработване на лични данни би могло да доведе до възникване на значителни вреди или кражба на самоличност на голяма група физически лица или лица, заемащи висши държавни длъжности, или трайни здравословни увреждания или смърт на отделно физическо лице;
- „Средно” – в случаите, когато неправомерното обработване на лични данни би могло да създаде опасност от засягане на интереси, разкриващи расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели, здравословното състояние, сексуалния живот или човешкия геном на отделно физическо лице или група физически лица;
- „Ниско” – в случаите, когато неправомерното обработване на лични данни би застрашило неприкосновеността на личността и личния живот на отделно физическо лице или група физически лица.
Чл. 16. (1) В зависимост от нивото на въздействие се определя и съответно ниво на защита или по-високо на данните в различните регистри в ОЦ “Междучасие”.
(2) Нивото на защита представлява съвкупност от технически и организационни мерки за физическа, персонална, документална защита и защита на автоматизираните информационни системи и/или мрежи, както и криптографска защита на личните данни.
Чл. 17. (1) Нивата на защита са, както следва:
- при ниско ниво на въздействие – ниско ниво на защита;
- при средно ниво на въздействие – средно ниво на защита;
- при високо ниво на въздействие – високо ниво на защита;
- при изключително високо ниво на въздействие – изключително високо ниво на защита.
Чл. 18. Видовете защита на личните данни са физическа, персонална, документална, защита на автоматизирани информационни системи и/или мрежи и криптографска защита.
ІІ. РЕГИСТЪР „ ПЕРСОНАЛ“
Цели на обработка
Чл. 19. (1) Регистър „Персонал“ обхваща лични данни на кандидати за работа, служители и работници в ОЦ “Междучасие” ООД, назначени по трудово правоотношение, както и изпълнителите по граждански договори в ОЦ “Междучасие” по време на дейността им по изпълнение на тези договори
(2) Данните се обработват с цел изпълнение на съответните трудови фенкции и задължения на администратора в качеството му на работодател и осигурител и са предназначени за:
- Индивидуализиране на трудовите и граждански правоотношения, тяхното съществуване, изменение и прекратяване, документиране на произтичащите от трудовите и приравнени на тях правоотношения права и задължения на страните.
- Изпълнение на нормативните изисквания по Кодекса на труда, Кодекса за социално осигуряване, Закона за счетоводството, Закона за държавния архив, ЗОДФЛ, ЗЗД и др подобни, свързани с изпълнението на трудовите и приравнените на тях правоотношения.
- Управление на човешките ресурси и повишаване квалификацията на персонала, за водене на финансово – счетоводна дейност и отчетност, пенсионна, здравна и социално-осигурителна дейност.
- Осъществяване на търговски операции – търговски дейности като управление на пътувания и разходи, управление на активите на дружеството, осигуряване на ИТ услуги, информационна сигурност, провеждане на вътрешни одити и разследвания, изпълнение на задълженията по търговски договори, правно или търговско консултиране и подготовка за правни спорове и др.
Чл.20 Регистър „Персонал“ може да набира и съхранява временно лични данни на кандидати за работа през интеренет сайта си или през публично достъпни онлайн платформи, с които дружеството е в договорни отноения. Данните по тази разпоредба се събират само при уславия, че лицата са ги предоставили доброволно и предварително са били информирани за целите и срока на обработването.
Категории данни
Чл. 21 (1) В регистър „Персонал“ се съдържат следните групи данни:
- Физическа идентичност – име, ЕГН, постоянен и настоящ адрес, телефон, паспортни данни; месторождение;
- Социална идентичност:
а) Образование – документ за придобито образование, за квалификация и правоспособност, степени и звания и други подобни, за преминати при работодателя обучения и пр;
б)Трудова дейност – съгласно приложена автобиография, документи за трудов стаж и трудово възнаграждение и други подобни;
в) Социално положение – данни относно семейното положение на лицето (наличие на брак, развод, брой членове на семейството, в това число деца до 18 години – данните са необходими при установяване правата на лицата за получаване на семейни добавки и платен отпуск за деца до 18 години, за начисляване на удръжки от трудовото възнаграждение и пр.).
- Медицински данни – карта за предварителен медицински преглед за постъпване на работа, медицински експертизи за установени заболявания, болнични листове и др.подобни;
- Лични данни относно наказателноправния статус на лицата – свидетелство за съдимост;
- Финансови данни – банкова сметка за заплащане на вземания от труд;
Служители натоварени с обработка на данните от администратора
Чл. 22 (1) Данните се обработват на принципа „Необходимост да знае” от следните лица, на които изрично е възложено обработване на лични данни от администратора:
- Служители от отдел “Счетоводство” – Финансов директор и счетоводител;
- Мениджър “Човешки ресурси”;
(2) За необходимостта от набиране на лични данни и целите, за които ще бъдат използвани, лицата по чл.21, ал.1 информират лицето и при необходимост взимат неговото съгласие. Данните, за които се изисква съгласие на лицето, се обработват само след като съгласието е писмено документирано, посредством декларация Образец №1 и 1a към настоящия документ.
Обработващи данни
Чл.23 (1) Администраторът има право да възлага обработването на лични данни от регистър “Персонал” на обработващи данни, които могат да бъдат консултански дружества, предоставящи услуги в сферата на трудовото, данъчното, счетоводното и осигурително законодателство, правни услуги, услуги по трудова медицина и др.
(2) Всяко възлагане на оброботване по реда на тази разпоредба се извършва при стрикто спазване на разпоредбите на чл.3 във вр. с чл.28 от Регламент (ЕС) 2016/679 и подписания между страните договор.
Събиране и обработване на данните
Чл. 24 (1) Личните данни в регистър “Персонал” се набират директно от физическите лица, за които се отнасят при кандидатстване и при постъпване/ възлагане на работа по трудово или гражданско правоотношение на дадено лице и в последствие до прекратяване на трудовото правоотношение.
(2) Данните се предоставят от лицата при кандидастване, постъпване на работа, както и при всяка промяна в данните, за което те са длъжни да уведомят администратора. Данните се предоставят след а) изрично съгласие, б) във връзка с изпълнение на трудовия или граждански договор или в) в изпълнение на нормативно задължение по един от следните начини:
- Устно – при интервю с лицето (при постъпване или в процеса на работа);
- На хартиен носител – писмени документи – изпратени CV-та за кандидатстване за работа в структурата; молби, заявления за постъпване/извършване на работа по трудово или гражданско правоотношение; за изменение или прекратяване на тези отношения, борнични листове; по текущи въпроси в процеса на работа, подадени от лицето;
- На електронен носител – с кандидатурата си през електронен сайт или онлайн платформа, ако кандидатът ги е посочил доброволно.
(3) Събраните данни се обработват и съхраняват на хартиен и електронен носител.
Чл.25 (1) Лични данни снети от хартиен носител се обработват в електронен вариант за целите на водене на служебното трудово досие и за изготвяне на разплащателни документи, свързани с трудовото и осигурително правоотношение, в съответствие с действащото законодателство и за изпълнение на други дейности, свързани с посочените в настоящия документ цели.
(3) Документи, съдържащи лични данни на хартиен носител могат да бъдат размножавани, от упълномощените служители само ако е необходимо за изпълнение на служебните им задължения, свръзани с обработване на данните, за предоставянето им на обработващи данни, с които дружестовто има договор или ако са изискани по надлежния ред от упълномощени лица при стриктно спазване на нормативната уредба и този документ.
Правила при неавтоматизирано обработване на данни (на хартиен носител)
Чл. 26 (1) Лични данни на хартиен носител от регистър “Персонал” се съхраняват в отделна папка за всеки служител, работник или наето по граждански договор лице – кадрови досиета, пордредени в специален огнеупорен и водоустойчив метален шкаф, който се заключва с ключ. Картотечният шкаф се помещава в помещението, предназначено за самостоятелна работа на Мениджър “Човешки ресурси”. Помещението е с контролиран достъп с електронен персонален ключ.
(2) Данни на хартиен носител относно финансово – счетоводните отношения на администартора и субектите на данни се съхраняват в отдел Счетоводство (ведомости за заплати и др. подобни) при същите условия, като тези приложими за кадровите досиета, вкл. охрана със СОТ.
(5) Физически достъп до помещенията на Мениджъра “Човешки ресурси” и Счетоводството имат само съответните служители и управителят на дружеството. Външни лица, вкл. други служители на дружеството имат достъп до помещенията, в които се обработват лични данни от регистъра, само в присъствието на лицата натоварени да обработват данни, като нямат право на достъп до самите документи.
(7) Обработването се извършва само по време на редовното работно време на дружеството.
(8) Забранено е изнасянето на кадрови досиета или отделни документи съдържащи лични данни извън сградата и извън стаята, в която се съхраняват, освен при предоставянето им на обработващи данни и при спазване правилата за това.
(9) Всички помещения, в които се обработват лични данни от регистър “Персонал” са оборудвани с пожарогасителни средства, намиращи се в коридора и охрана СОТ. Въведена е система за контрол на достъп и видеонаблюдение.
Правила при автоматизирано обработване на данни
Чл. 27. (1) При обработване на данни на технически носител, личните данни се въвеждат на твърд диск, на персонален компютър или директно на сървър, разделен на поддиректории, до която достъп има само съответният служител обработващ данни.
(2) Компютърът е свързан в локална мрежа, но със защитен достъп до личните данни, който е достъпен само за лицата, оправомощени да обработват лични данни. При работа с данните се използват софтуерни продукти, адаптирани към специфичните нужди на администратора на лични данни.
(3) Всички компютри се помещават в изолирано помещение за самостоятелна работа на обработващия лични данни, достъпът до което е само с личен електронен ключ.
(4) Достъп до операционната система, съдържаща файлове за обработка на лични данни, имат само обработващите лични данни. Всеки упълномощен служител има личен профил – потребителско име и парола. Паролата не се предоставя по никакъв начин на други лица. Паролата се подменя периодично.
(5) Дефинирани са и уникални потребителски имена и пароли за стартиране на операционната система на всеки един компютър.
(6) Администраторът създава и поддържа стандартни и сигурни конфигурации за всяка компютърна и мрежова платформа, с която оперира, което включва стандартни и базови конфигурации за защита на операционната система и мрежовите устройства.
(7) Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява и посредством поддържане на антивирусни програми. Ежедневно информацията се архивира и се съхранява на сървър. За всички компютърни конфигурации, сървъри и комуникационни средства, от които зависи правилното поддържане на базите данни, са осигурени непрекъсваеми токозахранващи устройства (UPS), като самите съвръри и комуникационни средства са разположени в изолирана и специализирана среда, гарантираща непрексъваемост на работата им.
(8) Мерките при работа с електронни носители са съобразени със съвременните технологични постижения и осигуряват адекватно ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които трябва да бъдат защитени.
(9) Всички магнито-оптични носители, които се използват за запис на лични данни в резултат на архивиране и изготвяне на копия на базите данни, се предават и съхраняват в огнеупорен и водоустойчив шкаф, който се заключва, а ключът се съхранява от Мениджър Информационни технологии в дружеството.
(10) Забранено е използването на преносими лични носители на данни в звената, в които се обработват лични данни.
(11) Работните компютърни конфигурации, както и цялата IТ инфраструктура, включително и достъпът до интернет, се използват единствено за служебни цели.
(13) Пренасянето на лични данни чрез електронна поща се извършва при спазване принципите на “Политика за сигурност при работа с електронна поща в ОЦ “Междучасие””. Предаванто на данни на обработващи данните, с които дружеството има договор става по електронен път в криптиран архивен файл (zip файл) или лично. Предават се сканирани документи, копия на документи и друг вид информация, необходима за изпълнение на възложените дейности по обработка.
(14) При ремонт на компютърна техника, на която се съхраняват лични данни, предоставянето й на сервизната организация се извършва без устройствата, на които се съхраняват лични данни.
(15) Внедряване на нов програмен продукт за обработване на лични данни се извършва съобразно правилата заложени в “Политика за сигурност при внедряване на нови средства за обработка на информация в ОЦ “Междучасие””.
Категории лица, на които се предоставят данните
Чл.28 Личните данни от регистър “Персонал” се предоставят на следните категории трети лица:
- Органи на държавна, местна власт или съдебни органи, на които законът е възложил контролни функции, след получаване на съответното законно искане за това;
- На обработващи данни, при спазване правилата за това;
- На други лица – само след взето изрично писмено съгласие на субекта на данни;
Срок за съхранение на данните
Чл. 29 (1) Всички данни в регистър „Персонал“ се съхраняват както следва:
- ведомости за заплати, трудови договори, (заповеди за назначаване), заповеди за преназначаване, заповеди за ползван неплатен отпуск над 30 работни дни годишно, заповеди за освобождаване от работа, трудови книжки, издадени удостоверения обр. УП-1, обр. УП-2, обр. УП-3 и обр. 30.и др. документи, въз основа, на които може да се установи осигурителен стаж и доход, категория труд на лицата и др. 50 г., считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят;
- лични данни на кандидати за работа – за времето на провеждане на подбора, но за не повече от 6 месеца, освен в случаите в които лицето изрично е дало съгласие данните (декларация Образец № 1а) му да се обработват и с оглед бъдещи подбори на персонал. В този случай данните се съхраняват за не повече от 3 години.
- всички други данни – 3г., считано от датата на прекратяване на трудовото правоотношение, но не по-малко от съответния давностен срок, предвиден в законодателството за установяване, изменение или заплащане на суми за възнаграждения, обезщетения или осигурителни плащания;
Ниво на защита
Чл. 30 (1) Оценката на въздействието върху личните данни в регистър “Персонал“се определя на средно ниво на въздействие. При оценката са отчетени характера на обработваните лични данни, както и обстоятелството, че неправомерното обработване на лични данни би могло да застраши неприкосновеността на личността и личния живот, на отделно физическо лице или група физически лица, над 2. ОЦ “Междучасие” прилага всички необходими технически и законосъобразни мерки за защита
IІІ. РЕГИСТЪР „ КОНТРАГЕНТИ“
Цели на обработка
Чл. 31 (1) Регистър „Контрагенти (клиенти и доставчици)“ набира и съхранява лични данни на контрагенти – клиенти, партньори, доставчици, подизпълнители и пр., или данни предоставени от контрагенти с цел:
- Идентифициране и установяване на контакт с оглед сключване на договор (преддоговорни отношения);
- Сключване и изпълнение на договор;
- Изпълнение на задължения свързани с финансово-счетоводна отчетност.
Категории данни
Чл. 32 В регистър контрагенти се обработват следните групи данни:
- Физическа идентичност – име, ЕГН, адрес за кореспонденция, телефон за контакт и е-мейл;
- Финансова идентичност – банкова сметка, банкови референции;
Служители натоварени с обработка на данните от администратора
Чл. 33 (1) Данните се обработват на принципа „Необходимост да знае” от следните лица, на които изрично е възложено обработване на лични данни от администратора:
- Служители на “Търговски отдел”;
- Отдел “Счетоводство”;
Обработващи данни
Чл.34 Администраторът има право да възлага обработването на лични данни от регистър “Контрагенти” на обработващи данни, подизпълнители, консултантски дружества, предоставящи услуги в сферата на данъчното, счетоводното законодателство, правни услуги и др. подобни. Всяко възлагане на оброботване по реда на тази разпоредба се прилагат действащите нормативни разпоредби относно личните данни, правилата за обработване в рамките на целта, за която данните са събрани, при спазване на принципа “Необходимост да знае” и съобразно уговореното в съответния договор с обработващия данни.
Събиране и обработване на данните
Чл.35 (1) Данните в регистър “Контрагенти” се събират директно от съответния контрагент.
(2) В случайте, в които контрагентът е юридическо лице, същият предоставя данните за контакт на свои служители или натоварени от него лица за изпълнение на дейности по договора, като изрично декларира изпълнение на задължението си за взимане на съгласие за предоставянето ми, ако такова се изисква и поемане на задължение за поддържането им в актуален вид. По отношение на тези данни ОЦ “Междучасие” е обработващ данни и за него се прилагат правилата на чл. 28 от Регламент (ЕС) 2016/679.
Чл.36 (1) Данните се предоставят от контрагенти по и-мейл или лично (чрез куриерска пратка), като директно се въвеждат в конкретния договор.
(2) След подписване на договора или съответното допълнение към него, един екзепляр се предава на контрагента, прави се електронно копие в PDF формат на договора, а оригиналът на хартиения носител, се съхранява в класьор, в специален огнеупорен и водоустойчив метален шкаф, който се заключва с ключ. Ключът се съхранява в отдел “Счетоводство”. Електронният документ се съхранява на сървър в специална поддиректория, до която достъп с лична парола има само съответният акаунт мениджър.
Чл.37 Данни необходими за изпълнение на финансово-счетоводни задължения във връзка с изпълнение на договорите се предоставят от всеки акаунт мениджър на Счетоводен отдел на принципа “Необходимост да знае” по е-мейл или устно, след което се въвеждат в съответния счетоводен софтуер.
Правила при обработване на данните
Чл.38 Всички технически и организационни мерки, които се прилагат за обработването и съхранението на данните в Регистър “Персонал” се прилагат и по отношение на данните в регистър “Списък за достъп”. В този смисъл чл.26-28 се прилагат по аналогия.
Категории лица, на които се предоставят данните
Чл.39 Личните данни от регистър “Контрагенти” се предоставят на следните категории трети лица:
- Органи на държавна, местна власт или съдебни органи, на които законът е възложил контролни функции, след получаване на съответното законно искане за това;
- На обработващи данни, при спазване правилата на целите на обработване;
- На други лица – само след взето изрично писмено съгласие на субекта на данни;
Срок за съхранение на данните
Чл.40 Всички данни в регистър „Контрагенти“ се съхраняват както следва:
- Договорите, след като са прекратени и всякакви документи за данъчен контрол, одит и последващи финансови инспекции – 10 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят ако са прекратенислед прекратяване;
- Всички останали документи – 5г. след подписването им от страните;
Ниво на въздействие
Чл. 41 (1) Оценката на въздействието върху конкретно физическо лице или група физически лица в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица при нарушаване на поверителността, цялостността или наличността на личните данни в ОЦ “Междучасие” за регистър “Контрагенти“ се определя на ниско ниво на въздействие.
(2) При оценката са отчетени характера на обработваните лични данни (бизнес данни), фактът, че контрагенти физически лица са по-скоро изключение, както и обстоятелството, че неправомерното обработване на тези данни не би застрашило неприкосновеността на личността и личния живот или икономически интерес на отделно физическо лице в голяма степен.
(2) За регистър „Клиенти“ в ОЦ “Междучасие” са реализирани всички изискващи се технически и организационни мерки за физическа, персонална, документална защита и защита на автоматизираните информационни системи и/или мрежи, както и криптографска защита на личните данни, съответстващи на високо ниво на защита на личните данни, съгласно “Технически и организационни мерки за защита на личните данни в ОЦ “Междучасие”” .
- РЕГИСТЪР „ ВИДЕОНАБЛЮДЕНИЕ“
Цели на обработка
Чл.54 (1) Регистър „Видеонаблюдение” се попълва с данни от автоматично денонощно видеонаблюдение (видеообраз) за движението на служителите и посетителите към подходите на Дейта центъра и помещенията на Дейта центъра, с цел гарантиране на безопасност и сигурност на хората, данните, и оборудването, колокирано в Дейта центъра.
Категории данни
Чл.55 Във регистър “Видеонаблюдение” се обработват данни за идентификация – видеообраз.
Служители натоварени с обработка на данните
Чл.56 (1) Данните се обработват на принципа „Необходимост да знае”, като достъп до тях имат следните лица:
- Управител;
- Специалист Сигурност;
- Мениджър Качество;
Обработващи данни
Чл.57 Администраторът има право да възлага обработването на лични данни от регистър “Видеонаблюдение” на обработващи данни, дружества, лицензирани за извършване на охранителна дейност. За всяко възлагане на оброботване по реда на тази разпоредба се прилагат действащите нормативни разпоредби относно личните данни, правилата за обработване в рамките на целта, за която данните са събрани, при спазване на принципа “Необходимост да знае” и съобразно уговореното в съответния договор с обработващия.
Събиране и обработване на данните
Чл.58 (1) Данните в регистър “Видеонаблюдение” се предоставят доброволно от лицата при влизането им на територията на Дейта центъра. На входовете на сградата са поставени предупредителни табели, че обектът се намира под постоянно видеонаблюдение.
(2) Записите с видеообрази се съхраняват на сървър, разположен в Дейта центъра.
Правила при обработване на данните
Чл.59 (1) Всички технически и организационни мерки, които се прилагат за обработването и съхранението на данните в Регистър “Персонал” се прилагат и по отношение на данните в регистър “Видеонаблюдение” по аналогия. Помещението, в което се съхранява сървърът е с контрол на достъп с електронен ключ. Същото е климатизирано, пожарообезопасено, обезопасено от наводнения. Достъпът до сървъра се осъществява през специална криптирана връзка, като достъпът до данните от оторизираните лица става чрез потребителско име и парола.
Категории лица, на които се предоставят данните
Чл.60 Достъп до данните в регистър “Видеоналбюдение” се предоставят на следните категории трети лица:
- Органи на държавна и местна власт, на които законът е възложил контролни функции, след получаване на съответното законно искане за това;
- На обработващи данни, при спазване правилата на целите на обработване;
- На субектите на данни – само ако е възможно достъпът да се предостави единствено до отнасящите за тях данни;
Срок за съхранение на данните
Чл.61 Данните в регистър „Видеонаблюдение“ се съхраняват за период от 30 дни, след което файловете със записи се изтриват. Изтриват се и всички back up копия.
Ниво на въздействие
Чл.62 (1) Оценката на въздействието върху конкретно физическо лице или група физически лица в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица при нарушаване на поверителността, цялостността или наличността на личните данни в ОЦ “Междучасие” за регистър “Контрагенти“ се определя на ниско ниво на въздействие.
(2) При оценката са отчетени характера на обработваните лични данни, както и обстоятелството, че неправомерното обработване на тези данни не би застрашило неприкосновеността на личността и личния живот или икономически интерес на отделно физическо лице в голяма степен.
(2) За регистър „Контрагенти“ в ОЦ “Междучасие” са реализирани всички изискващи се технически и организационни мерки за физическа, персонална, документална защита и защита на автоматизираните информационни системи и/или мрежи, както и криптографска защита на личните данни, съответстващи на високо ниво на защита на личните данни, съгласно “Технически и организационни мерки за защита на личните данни в ОЦ “Междучасие”” .
- УНИЩОЖАВАНЕ НА ДАННИТЕ
Чл.63 (1) Всички лични данни, по отношение, на които сроuът за съхранение или обработка е изтекъл и не подлежат на предаване в държавна институция се унищожават.
(2) Документите от съответните регистри, които са на хартиен носител и съдържат лични данни, се унищожават само чрез специално устройство (шредер) от съответния служител, натоварен с обработването им.
(3) Данни съхранени в електронен вид се изтриват.
(4) Всяка година през януари месец, лицата на които е възложено обработване на данни извършват инвентаризация за установяване на данните, подлежащи на унищожаване, след което съставят опис на унищожените данни на хартиен и електронен носител.
(5) Отговорник за спазване правилата за унищожаване на данните е съответният ръководител на отдел, в който данните се обработват. Тези лица са: Финансов директор за отдел Счетоводство и Търговски отдел и Мениджър Информационни технологии за данни съхранявани в информационните системи – back up и данните съхранявани от служителите в Технически отдел. Мениджър Качество осъществява общ контрол по спазване на правилата.
(4) По отношение съхранението и унищожаването на лични данни се прилага и “Политика за съхранение на личните данни в ОЦ “Междучасие””.
VІ. ПРОЦЕДУРИ ЗА ДОКЛАДВАНЕ, УПРАВЛЯВАНЕ И РЕАГИРАНЕ ПРИ ИНЦИДЕНТИ
Действия при инцидент
Чл. 64. (1) При възникване и установяване на инцидент – бедствие, пробив в сигурността отпадане на оборудване, неоторизиран достъп и др., който би застрашил цялостта, поверителността или наличността на личните данни, инцидентът се докладва незабавно, но не по-късно от 12 часа от узнаването на Мениджър Информационни технологии.
(2) Отговорен за докладването е всеки служител в дружеството, извършващ дейност по обработване на лини данни.
(3) Веднага след получаване на уведомлението Мениджър Информационни технологии отваря ТТ (trable ticket) в системата и определя отговорно лице, което да събере данни за инцидента в срок от 24 часа.
(4) За инцидентите се води дневник, в който задължително се вписват предполагаемото време или период на възникване, времето на установяване, времето на докладване и името на служителя, извършил доклада, името на лицето оценило инцидента. Регистърът за инциденти се съхранява в Технически отдел и е част от общ регистър за инциденти, воден в дружеството (Регистър за инциденти).
(5) След анализ на инцидента в дневника се записват последствията от инцидента, наличие или липса на компрометиране на данни, вида данни, които са засегнати и мерките, които са предприети за отстраняването му, както и преценка дали са налице необходимите предпоставки за уведомяване на КЗЛД и засегнатите субекти на данни, ако има такива.
(6) Целиат процес се намира под общото ръководство на Мениджър Качество в дружеството.
Уведомяване на КЗЛД
Чл.65 (1) В случай, че в рамките на анализа на инцидента се установи нарушение на сигурността на личните данни с вероятност нарушението да породи риск за правата и свободите на физическите лица, Мениджър Информационни технологии без ненужно забавяне и когато това е осъществимо – не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението Комисията за защита на лични данни. Уведомлението до надзорния орган съдържа причините за забавянето, когато не е подадено в срок от 72 часа.
(2) В случайте, в които инцидентът засяга данни, по отношение на които ОЦ “Междучасие” е обработващ лични данни, уведомлението се отправя до администратора на тези данни без ненужно забавяне.
Чл.66 (1) В уведомлението се съдържа най-малко следното:
- Описание на естеството на нарушението на сигурността на личните данни, включително, ако е възможно, категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;
- Посочване на името и координатите за връзка на длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;
- Описание на евентуалните последици от нарушението на сигурността на личните данни;
- Описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.
(2) Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.
Чл.67 По отношение установяването, докладването и управлението на инциденти се прилагат и следните процедури: “Процедура за обработка на инциденти, свързани с физически достъп” и “Процедура за мониторинг на реакцията при инциденти и сигнали”.
Уведомяване на субекта на данните
Чл.68 (1) Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица Мениджър Информационни технологии уведомява лицата, натоварени да обработват съответните компрометирани данни, като същите имат задължение да съобщят на субектите на данни за нарушението на сигурността на личните данни.
(2) В съобщението се описва естеството на нарушението, какви категории дани са засегнати, евентуалните последици и предприетите мерки за намаляване вредния ефект от нарушението и информация за контакт с администратора за получаване на допълнителна информация.
(3) Този ред не се прилага, ако:
- В резултат на предприетите технически и организационни мерки за защита данните биха били неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;
2.Администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни;
- Уведомлението би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.
VII. ПРАВА НА СУБЕКТИТЕ НА ДАННИ
Право на достъп
Чл.69 (1) Адмиистраторът е длъжен да даде на субект на данни достъп до отнасящи се за него лични данни, които той обработва. Освен достъп до данните администраторът предоставя и следната допълнителна информация:
1.Целите на обработването;
- Съответните категории лични данни;
- Получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;
- Когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
5.Съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;
6.Правото на жалба до КЗЛД;
- Когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;
- Съществуването на автоматизирано вземане на решения, включително профилирането и в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.
(2) В случаите, когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, администраторът предоставя на съответното физическо лице достъп до частта от тях, отнасяща се само за него.
(3) ОЦ “Междучасие” предоставя информацията по ал. 1 безплатно.
(4) При смърт на физическото лице правата му по ал. 1 и 2 се упражняват от неговите наследници.
Право на коригиране и ограничаване
Чл.70 Субектът на данни има право да поиска от администратора да коригира без ненужно забавяне неточните лични данни, свързани с него, както и да ограничи обработването на данните, при уславията на чл.18 от Регламент 2016/679.
Право на изтриване
Чл.71 Субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне когато е приложимо някое от посочените по-долу основания:
- Личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
- Субектът на данните оттегли своето съгласие, когато данните се обработват въз основа на дадено съгласие и няма друго правно основание за обработването;
- Личните данни са били обработвани незаконосъобразно;
- Личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо администратора;
(2) Когато администраторът е предоставил личните данни на други администратори и/или обработващи данни, като се отчита наличната технология и разходите по изпълнението, администраторът предприема разумни стъпки, включително технически мерки, за да уведоми администраторите, обработващи личните данни, че субектът на данните е поискал изтриване от тези администратори на всички връзки, копия или реплики на тези лични данни.
(3) Субектът на данни не може да иска изтриване на данни, когато:
- Обработването се извършва в изпълнение на правно задължение, което ообвързва администратора;
- За установяването, упражняването или защитата на правни претенции и в др. случаи предвидени в приложимото законодателство.
Право на преносимост на данните
Чл. 72. Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратора, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор, когато a) обработването е основано на съгласие в съответствие или на договорно задължение и б) обработването се извършва по автоматизиран начин.
Начин на упражняване на правата
Чл. 73 (1) Физическите лица, упражняват правата си, като подават писмено заявление до ОЦ “Междучасие” съдържащо минимум следната информация:
- име, адрес и други данни за идентифициране на съответното физическо лице;
- описание на искането;
- предпочитана форма за предоставяне на информацията;
- подпис, дата на подаване на заявлението и адрес за кореспонденция.
(2) Заявлението се подава подава по електронен път при спазаване правилата на Закона за електронния документ и електронния подпис, по пощата, лично на посочените на интернет сайта на дружеството контакти. При подаване на заявление от упълномощено лице, към заявлението се прилага и изрично нотариално заверено пълномощно.
(3) Заявлението се завежда в Регистър на заявления за достъп.
(3) Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на подаването на искането, съответно – 30-дневен, когато е необходимо повече време за събиране исканите данни, с оглед възможни затруднения в дейността на администратора.
(4) Отговорът се предоставя срещу подпис или по пощата, с обратна разписка, като се съобрази с предпочитаната от заявителя форма на предоставяне на информацията.
(5) Когато данните не съществуват или предоставянето им е забранено със закон, на заявителя се отказва достъп до тях, като мотивира отказа си и уведомява субекта за правото му на защита пред КЗЛД, или компетентия административен съд.
(6) Отговорен за спазването и изпълнението на процедурите, свързани с попълване на регистъра на Заявленията за достъп и изготвяне на отговори по постъпилите заявления е Финансовия директор. Контрол по спазване на правилата по тази разпоредба се извършва от Мениджър Качество.
VIII. КОНТРОЛ ПРИ ОБРАБОТВАНЕТО НА ДАННИ
Контрол
Чл.74 Контролът в дружеството при обработването на лични данни се извършва с цел проследяване и оценка на ефективността и ефикасността на операциите, надеждността на въведените организационни и технически мерки, съответствие на дейностите по обработване с приложимата правна рамка и спазването на вътрено-фирмените правила и политики.
Лица отговорни за контрола
Чл.75 (1) Общ контрол по спазване на нормативната уредба и вътрешните правила за защита на лични данни се извършва от ръководството на дружеството – Управителя и от Мениджър “Качество”.
(2) Ръководителите на отдели извършват текущ и последващ контрол при спазване отделните правила и политики в съответните отдели, като при констатиране на нарушение уведомяват лицата по предходаната алинея.
(3) За нарушения на приложимата номативна уредба и вътрешните правила и политики за защита на личните данни съответните длъжностни лица носят дисциплинарна, административна, гражданска и наказателна отговорност.
(4) Дисциплинарната отговорност се реализира по реда на КТ.
Настоящата политика е приета и утвърдена през Май 2018г. и влиза в сила, считано от 25.05.2018г.