ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ДАННИТЕ
съгласно Регламент 2016/679 на ЕС и на Съвета от 27.04.2016 година. Регламентът урежда правата и задълженията по защита на личните данни на физическите лица от всички държави членки на ЕС.
Основно училище „Васил Левски““се ангажира със защитата на всички лични и чувствителни данни, за които носи отговорност като администратор на данни и обработката на такива данни в съответствие с принципите за защита на данните и Общ регламент за защита на данните.
Промените в законодателството за защита на данните, съгласно Общ регламент за защита на данните (GDPR 25 май 2018) се наблюдават и изпълняват, за да бъдат спазени всички изисквания.
Правни основания за обработката на данните:
а) Съгласие: членовете на персонала, учениците, родителите /носещия родителска отговорност за детето/дават недвусмислено съгласие на училището да обработва личните им данни с определена законосъобразна цел.
б) Договор: обработката е необходима за наемане на служителя.
в) Правно задължение: обработката е необходима на училището, за да се съобрази със законовите изисквания.
Целият персонал трябва да третира поверително цялата информация за учениците и да следва правилата, както е посочено в този документ.
Училището се ангажира също така да гарантира, че персоналът му е наясно със защитата на данните, политиките, правните изисквания и му се предоставя подходящо обучение
Изискванията на тази политика са задължителни за целия персонал, нает от училището и всяка трета страна, която е сключила договор за предоставяне на услуги в рамките на училището.
Уведомления:
Нарушенията на лични или чувствителни данни се съобщават в рамките на 72 часа на заинтересованите лица и КЗЛД.
Лични и чувствителни данни:
Всички данни, събирани от училището се идентифицират като лични, чувствителни или и двете, за да се гарантира, че се борави в съответствие със законовите изисквания и че достъпът до тях се осъществява без да се нарушават правата на лицата, за които се отнася.
Определенията за лични и чувствителни данни са публикувани в Общият регламент за защита на данни (ОРЗД).
За всички обработвани данни се прилагат принципите на ОРЗД:
• да гарантира, че данните се обработват справедливо и законно;
• обработват се данни само за ограничени цели;
• гарантира се, че всички обработени данни са адекватни, уместни и не прекомерни;
• гарантира се, че обработените данни са точни;
• не се съхраняват данните по-дълго от необходимото;
• обработват се данни в съответствие с правата на субекта на данните;
• гарантира се, че данните са защитени;
• гарантира се, че данните не се прехвърлят на други държави, без да са адекватно защитени.
Честна обработка / Поверителност:
Гарантираме прозрачност във планираната обработка на данните и ще споделяме тези намерения чрез уведомяване на персонала, родителите и учениците преди обработката на данните на физическите лица.
Уведомленията трябва да бъдат в съответствие с насоките на ОРЗД и, когато е уместно, да бъдат написани във форма, разбираема от онези, дефинирани като „деца“ в рамките на законодателство. Възможно е да има обстоятелства, при които от училището се изисква на законово основание или от обществен интерес да се предава информация на външни органи, например местните власти или отдела по здравеопазване. Тези органи са в синхрон с ОРЗД и имат свои собствени политики, свързани със защита на всички данни, които получават или събират.
Намерението да споделяме данни, свързани с физически лица, на организация извън нашата, трябва да бъде ясно определено в уведомленията. Данните ще бъдат споделяни с външни лица при обстоятелства, при които това е законно изискване за предоставяне на такава информация. Всяко предложено изменение на обработката на данните на физическите лица трябва да бъде предварително съобщено на тях.
При никакви обстоятелства училището няма да разкрива информация или данни, които:
• биха причинили сериозна вреда на детето или на физическото лице или на друг, на техните психическо здраве или състояние;
• биха посочвали, че детето е или е било обект на злоупотреба с деца или има риск от това, освен когато разкриването не би било в най-добрия интерес на детето;
• биха били записани от ученика на изпит
• биха позволили друго лице да бъде идентифицирано, освен ако лицето е служител на училището или лицето не е дало съгласие, или е разумно в обстоятелствата да се разкрие информацията без съгласие. Изключението от разкриването не се прилага, ако информацията може да бъде редактирана така, че името или идентификационните данни на лицето да бъдат премахнати;
• биха били под формата на справка, дадена на друго училище или друго място за обучение и обучение, потенциалния работодател на детето или друго лице;
Права на субектите на данни:
- Информираност (във връзка с обработването на личните му данни от администратора);
- Достъп до собствените си лични данни;
- Коригиране (ако данните са неточни);
- Изтриване на личните данни (право „да бъдеш забравен“);
- Ограничаване на обработването от страна на администратора;
- Преносимост на личните данни между отделните администратори;
- Възражение спрямо обработването на негови лични данни;
- Субектът на данни има право и да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен;
- Право на защита по съдебен или административен ред, в случай, че правата на субекта на данни са били нарушени.
Защита на данните:
За да се осигури защита на всички обработвани данни и да се обосноват решенията за обработка на дейностите, ще извършим оценка на свързаните с тях рискове на планираната обработка и също така въздействието върху личната неприкосновеност на личността при задържане на данните, свързани с тях.
Оценките на въздействието се извършват в съответствие с указанията, които се дават от КЗЛД и други компетентни органи. Сигурност на данните ще бъде постигната чрез прилагане на пропорционални физически и технически мерки. Ангажираният персонал отговаря за ефективността на осъществените проверки и отчитането на тяхното изпълнение. Разпоредбите за сигурност на всяка организация, с която се споделят данните, се разглеждат и, когато се изисква, тези организации предоставят доказателства за компетентността по отношение на сигурността на споделените данни.
Право на достъп до данни:
Всички лица, чиито данни се съхраняват от нас, имат законно право да искат достъп до такива данни или информация за това, което се съхранява за тях.
Ние ще отговорим на такива молби в рамките на 30 дни и те трябва да бъдат изпратени в писмен вид.
Персоналните данни за учениците няма да бъдат разкривани на трети лица без съгласието на родителя на детето, освен ако това е задължително по закон или е в най-добрия интерес на детето. Данните могат да бъдат разкривани на следните трети страни без съгласието:
- Други училища – ако един ученик се прехвърля от ОУ „Васил Левски“ в друго училище, академичните записи и други данни, свързани със здравето и състоянието му могат да бъдат препратени в новото училище.
- Изпитни органи – това може да бъде за целите на регистрацията, за да позволи на учениците в нашето училище да извършват мероприятия, определени от външни изпитни органи.
- По силата на здравното законодателство, училището може да предаде информация за здравето на децата в училището, за да наблюдава и избягва разпространението на заразни болести в интерес на общественото здраве.
- Полиция и съдилища – в случай, когато се извършва наказателно разследване, да предават информация на полицията за подпомагане на тяхното разследване.
- Социални работници и агенции – за да защитим или поддържаме благосъстоянието на нашите ученици и в случаи на злоупотреба с деца, може да се наложи да предадем лични данни на социални работници или агенции .
- Образователни органи – за училищата може да се изисква да предават данни, за да помогнат на правителството да следи националната образователна система и да прилага закони, свързани с обучението.
Минимални срокове на съхранение:
Когато личните данни повече не се изискват за първоначалната им цел, обработката е спряна и всички лични данни се изтриват от училището, включително всички данни, съхранявани от обработващите данни.
Фотографии и видео:
Изображения на персонал и ученици могат да бъдат заснемани в подходящо време и като част от образователни дейности за използване само в училище.
Локация на информация и данни:
Данните от хартиен носител, записите и личната информация трябва да се съхраняват извън обхвата на зрението и в заключен шкаф.
Така ще бъдат съхранени и медицинските данни при училищния медицински служител. Чувствителната или лична информация и данни не трябва да бъдат изнасяни от училището.
Следващите насоки са налични за персонала, за да се намали риска от компрометиране на личните данни:
- Не трябва да се вземат копия от данни или лична информация на хартиен носител. Ако те са неправилно съхранени, те са лесно достъпни. Ако все пак се наложи да се вземе хартиено копие на данни извън училищния обект, информацията не трябва да се вижда на обществени места или да се оставя без наблюдение при каквито и да било обстоятелства.
- Излишните копия от хартия, съдържащи чувствителна информация или такива файлове на учениците трябва да бъдат унищожени. Това важи и за ръкописни бележки, ако бележките се отнасят за друг член на персонала или ученик по име.
- Трябва да се внимава да не останат разпечатки на лични или чувствителни данни в тави на принтер или фотокопирни машини
- Ако информацията се разглежда на компютър, персоналът трябва да се увери, че прозорците и документите са правилно затворени, преди да напуснат компютъра. Чувствителната информация не трябва да се разглежда на публични компютри.
- Ако е необходимо да се транспортират данни извън училището, тя трябва да бъде заредена на USB памет. Данните не трябва да се прехвърлят от този стик върху домашни или обществени компютри. Работата трябва да се редактира от USB и да се записва само в USB.
- USB паметта, която персоналът използва, трябва да бъде защитена с парола. Тези указания са ясно съобщени на целия персонал на училището и всеки, който умишлено е нарушил това поведение, ще бъде санкциониран в съответствие със законовите изисквания и зона с повишен риск. Всички данни, съхранени под всякаква форма на медии (хартия, лента, електронни) се унищожават на място и подлежат на обезвреждане от инструменти с доказана компетентност. Всички данни се унищожават до съгласувани нива, отговарящи на признатите национални стандарти, с потвърждение при приключване на процеса на унищожаване.