ИНФОРМАЦИЯ ОТНОСНО ПОЛИТИКАТА НА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

1.      Общи положения

Председателят на Държавната агенция за българите в чужбина, наричана по-нататък за краткост „Агенцията“, с ЕИК: 831309045 и адрес на управление: гр. София, п.к. 1000, бул. "Ал. Дондуков" № 2А, е второстепенен разпоредител с бюджет по бюджета на Министерски съвет на Република България. В качеството на администратор на лични данни Агенцията прилага строга Политика за защита на личните данни на основание чл. 24 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни.

2.      Правна рамка

• Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните);
• Закон за защита на личните данни и подзаконовите актове по прилагането му;
• Други нормативни актове на Република България и на ЕС, които създават законово задължение за обработване на лични данни, прилагащо се спрямо Агенцията в качеството й на администратор на лични данни.

3.      Определения

Използваните в настоящата политика за защита на личните данни определения са идентични с разписаните в Общия регламент, включително:

• „Лични данни“ означава всяка информация, отнасяща се до физическо лице, което може да бъде идентифицирано („субект на данни“) пряко или непряко чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци;
• ,,Администратор на лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на ЕС или в правото на държава членка;
• „Обработване на лични данни“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
• „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
• „Регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;
• „Получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на ЕС или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
• „Съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
• „Нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
• „Надзорен орган“ означава Комисията за защита на личните данни на Република България;
• „заявител“ означава всяко лице, подало заявление в Агенцията, придружено с документален доказателствен материал, с цел удостоверяване на българския му произход.

4.      Принципи на обработване на личните данни

Цялостното обработване на лични данни в рамките на Агенцията се провежда в съответствие с принципите за защита на данните в чл. 5 от Общия регламент, а именно:

а) Принцип на законосъобразност, добросъвестност и прозрачност - Агенцията обработва личните данни законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните.

Законосъобразно - личните данни се обработват единствено при наличие на правно основание по смисъла на чл. 6 или чл. 9 от Общия регламент.

Добросъвестно - личните данни се обработват по прозрачен начин, като се отчитат легитимните очаквания на субектите на данните.

­Прозрачност - Агенцията предоставя на субекта на данните информация относно обработването на личните му данни в кратка, ясна, разбираема и лесно достъпна форма и на ясен и прост език.

б) Принцип на ограничение на целите - Агенцията събира лични данни за конкретни, изрично указани и легитимни цели и не ги обработва по-нататък по начин, несъвместим с тези цели.

в) Принцип на свеждане на данните до минимум - Агенцията събира и обработва само лични данни, които са свързани с и ограничени до необходимото във връзка с целите, за които се обработват.

г) Принцип на точност - Агенцията гарантира, че личните данни, които обработва, са точни, като при необходимост ги актуализира. За целта Агенцията предприема всички разумни мерки за своевременното изтриване или коригиране на неточни лични данни, като отчита целите, за които те се обработват.

д) Принцип на ограничение на съхранението - Агенцията съхранява личните данни във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни.

е) Принцип на цялостност и поверителност - Агенцията гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като прилага техническите или организационни мерки, посочени в настоящата Политика. Агенцията също така изисква от обработващите лични данни, с които работи, да предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки, които да осигуряват равностойно или по-високо ниво на защита и сигурност на данните.

ж) Принцип на отчетност - Агенцията прилага на практика посочените по-горе принципи за защита на личните данни, като удостоверява това чрез изготвяне и съхранение на съответните документи в хартиен и/или електронен вид.

5. Цели на обработване на лични данни

а) Личните данни се събират и се обработват законосъобразно и добросъвестно, за постигане на посочените по-долу цели при наличие на съответните правни основания по Общия регламент:

• Обезпечаване на административната дейност, относно идентифицирането на българския произход на кандидати за получаване на българско гражданство и/или статут на чужди граждани, продължително/постоянно пребиваващи на територията на Република България;
• Изпълнение на договорни задължения;
• Изпълнение на законови задължения на работодателя;
• Информационно обезпечаване на потребителите при ползване на електронната страница на Агенцията, чрез които се отчитат посещенията и източниците на трафик, вътрешните страници и начина на навигиране на посетителите в електронната страница.

б) Предоставянето на личните данни има изцяло доброволен характер. Отказът от предоставянето им е основание на Агенцията за отказ от разглеждане на документи.

6. Видове лични данни на обработване

• Технически данни за субекта на данни-заявител: електронна поща, IP адрес, браузер, операционна система, за устройството (компютър, таблет, телефон) с което заявителят разглежда електронната страница, данни за настройките на определени параметри, които са избрани от заявителите или са прилагат по подразбиране и служат за управление на определени функционалности.
• Аналитични данни за измерване на аудиторията: аналитични инструменти на трети страни (Google Analytics), които спомагат измерването на трафика, производителността и тенденциите при използването на страницата. Тези инструменти събират информация, която се изпраща от устройството на заявителя. Аналитичните данни за измерване на аудиторията се обобщават заедно с данните на други заявители по начин, който не позволява идентификацията на отделен потребител.
• Идентификационни данни по документ за самоличност на физически лица – служители и кандидати за работа, заявители-клиенти, доставчици на стоки и услуги и други контрагенти;
• Данни от допълнително приложени документи към образувани преписки, необходими в процеса на удостоверяване на българския произход на заявителите-клиенти на Агенцията в изпълнение на законовите й задължения.

7. Начини на обработване на лични данни

а) Заявителите предоставят свои лични данни посредством електронната страница на Държавна агенция за българите в чужбина www.aba.government.bg, с формата за подаване на Заявка за заявление за издаване на удостоверение за български произход.

б) Данните се събират директно от заявителите, както и се генерират от използването на електронната страница на Агенцията. След вход в електронната страница на Агенцията, избор на меню "Онлайн записване за подаване на заявление", заявителят следва да приеме и да се съгласи с настоящите условия на електронната услуга "Онлайн записване за подаване на заявление". В противен случай заявителят няма право да използва услугата.

в) Предоставените лични данни се обработват от служителите на Държавна агенция за българите в чужбина за целите на оценка на необходимите доказателства в процеса на удостоверяване на българския произход на заявителите. Обработващите нямат право да ползват предоставените им лични данни за цели, различни от изпълнението на работата, която им е възложена от Агенцията

г) Личните данни могат да бъдат разкрити пред трети лица, институции или организации в случаите, когато разкриването е по силата на изрична нормативна уредба като съд, прокуратура, следствие, МВР или друг компетентен държавен орган.

8.      Права на субектите на данни

а)  Всяко физическо лице, чиито лични данни се обработват от Агенцията, има следните права:

- право на достъп до личните му данни, включително да получи копие от тях;

- право на коригиране или допълване на неточни или непълни лични данни;

- право на изтриване на лични данни, които се обработват без правно основание;

- право на ограничаване на обработването - при наличие на правен спор между Агенцията и лицето, до неговото решаване или за установяването, упражняването или защитата на правни претенции;

- право на възражение - по всяко време и на основания, свързани с конкретната ситуация на лицето, при условие, че не съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или съдебен процес;

- право на преносимост на личните данни т.е. прехвърляне на тези данни на друг администратор на лични данни, ако това е технически осъществимо.

б) Заявителите имат право да подават жалби и сигнали до Комисията за защита на личните данни (КЗЛД), в случай, че според тях, Агенцията нарушава законодателството за защита на личните данни. Инструкциите за подаване на жалби са публикувани в електронната страница на КЗЛД. Заявителите могат да подават жалби и пред други надзорни органи на Европейския съюз, съгласно предвиденото в Регламент ЕС 2016/697 на Европейския Парламент и на Съвета от 27 Април 2016г.

9. Защита на правата на субектите на лични данни

а) В Държавната агенция за българите в чужбина се предприемат комплекс от технически и организационни мерки за постигане на високо ниво на защита на личните данни с цел недопускане на нарушения на сигурността на личните данни.

б) Правата по т. 8 се упражняват лично от субекта на данни или от изрично упълномощено от него лице с нотариално заверено пълномощно.

в) Личните данни се съхраняват на хартиен и технически/електронен носител, така че да се идентифицира субекта на данните за период, не по-дълъг от необходимото за законово определените цели.

г) Обработваните лични данни се съхраняват в нормативно определените срокове за всеки вид лични данни и според целта, поради която се обработват, след което се унищожават по ред и правила, определени със заповед на председателя на Агенцията.

10. Контактни данни:

• за връзка с Държавна агенция за българите в чужбина (Агенцията), тел: 00359 2/ 935 06 50, електронна поща aba@aba.government.bg,
• за връзка с определеното със заповед на председателя на Агенцията длъжностно лице по защита на личните данни: пощенски адрес: гр. София, п.к. 1000, бул. „Княз Ал. Дондуков“ № 2А, електронна поща i.slavcheva@aba.government.bg

Тази Политика е валидна от 28 юни 2021 г.

Политиката за защита на личните данни може да бъде променяна или допълвана поради изменение на приложимото законодателство, по инициатива на Агенцията или на компетентен държавен орган.