ВЪТРЕШНИ ПРАВИЛА
ЗА ЗАЩИТА НА ЛИЧНИ ДАННИ В СДРУЖЕНИЕ “БЪЛГАРСКИ ТУРИСТИЧЕСКИ СЪЮЗ”
С ЕИК 000690918
СДРУЖЕНИЕ “БЪЛГАРСКИ ТУРИСТИЧЕСКИ СЪЮЗ” /БТС/, е регистрирано за ОСЪЩЕСТВЯВАНЕ НА ОБЩЕСТВЕНОПОЛЕЗНА ДЕЙНОСТ и е сдружение с нестопанска цел, учредено през 2019 г., Съгласно, решение на извънреден 51 Конгрес на БТС.
С решение от Фирмено дело: 7381/1991 110г. на СТС - Фирмено отделение Сдружението е пререгистрирано по ЗЮЛНЦ със законно признат статут на юридическо лице с нестопанска цел за извършване на общественополезна дейност с наименование
“БЪЛГАРСКИ ТУРИСТИЧЕСКИ СЪЮЗ” ЕИК 000690918, със седалище и адрес
на управление гр.София, Столична община район Средец, бул. „Васил Левски“ №75.
Сдружението е пререгистрирано по реда на §25, ал.1, във вр.с ал.2 от ЗИД на ЗЮЛНЦ /обн. с ДВ, бр. 74, в сила от 01.01.2018г./ и вписано в регистъра на юридически лица с нестопанска цел към Агенцията по вписвания с ЕИК 000690918.
Сдружението се характеризира със следните нестопански цели: Да подпомага развитието на гражданското общество в областта на социалния туризъм, като предлага възможности и услуги за упражняване на туризъм, насочени към активен отдих, укрепване на здравето, жизненоспособността, работоспособността, развитието и познанието на личността; Развиване и насърчаване на различните видове и форми на туризъм, планинарство и други туристически дейности; Стимулиране на ориентирането, алпинизма, спелеологията и новостите в спортно-туристическата област, Стопанисване и поддържане на туристическа материална база.
Средства за постигане на целите са: Адаптиране на социалния туризъм към условията на социално пазарно стопанство и икономическото състояние в страната със запазване на неговите социални функции, привличане на повече хора, включително младежи, ученици, студенти в практикуване на пешеходен, коло, ски и воден туризъм, за активен отдих сред природата, за алпинизъм, ориентиране и други туристически изяви, популяризиране и организиране на различни форми на туризъм и създаване на навици за природосъобразен живот, създаване на младежки пространства-младежки/юношески/ клубове за популяризиране на туристическите традиции в България, за проучване и и анализ на потребностите и идеите (на младите хора за развитие на туристическото движение в България като алтернатива на негативните явления сред младите хора, подобряване на условията за пребиваване и качеството на услугите в съответствие с европейските стандарти в туристическите обекти- категоризации туристически хижи, туристически спални, туристически учебни центрове, обновяване и поддържане на съоръжения, туристически маршрути и пътеки, благоустроени пещери; Формиране на съвременна екологична култура и грижи за опазване на природата, повишаване на квалификацията на своите членове, осъществяване на информационно-рекламна, научно-изследователска и художествена самодейност; Сътрудничество с общини, органите на местно самоуправление и местна власт, насочено към подобряване на базата и развитие на дейността сред децата, учениците и младите хора; Подпомагане на инвеститори за подобряване и по-рационално използване на туристическата и спортно-туристическата база и съоръжения, предлагане на туристически услуги; Предоставяне на проекти и предложения пред компетентните органи за усъвършенстване на нормативната база и услугите , свързани с него.
I. Цел и политика за защита на личните данни
Чл.1 Настоящите правила се приемат на основание и при спазване на Регламент (ЕС) №2016/679 на Европейския парламент и на Съвета, в сила от 25.05.2018г. Основната цел на Сдружението е да приеме “подходящи и ефективни” правила по отношение на защитата на лични данни, като се отчита неприкосновеността на личността и се полагат необходимите усилия да се защити основно право на личността, каквото е правото на защита на лични данни по см. на чл.8, §1 от Хартата на основните права на Европейския съюз. Сдружението прилага и организира дейността си за защита на личните данни на физическо лице /субект на данни/ при прилагане на принципите на “законосъобразност, прозрачност и добросъвестност” при обработване и съхранение на личните данни.
Чл.2 Сдружението приема настрящите правила с цел да гарантира подходящо ниво на сигурност срещу неправомерно обработване на личните данни, както и да гарантира прилагане на конкретни технически и организационни мерки срещу свободен или умишлен достъп, загубване или унищожаване на личните данни.
Правилата целят да информират физическите лица за целите на обработване на личните данни, получателите или категориите получатели, на които могат да бъдат разкрити данните, задължителния или доброволен характер на предоставяне на данни, както и последиците от отказ за предоставянето им, информация за правото на достъп и правото на коригиране и правото на заличаване на събраните данни в съответствие с чл.15, параграф 1 от Регламента.
Чл.З По смисъла на настоящите Правила:
3.1. Според легалната дефиниция (“лични данни” понятието представлява всяка съвкупност от информация, свързана с идентифициране на физическо лице. Това са данни за име, идентификационен номер, местонахождение или чрез един или повече специфични признаци за физическа, физиологична, генетична, психическа, умствена, икономическа или социална идентичност.
3.2. Според легалната дефиниция “обработване на лични данни” е всяка оперативна дейност или съвкупност от действия, извършвани от Сдружението по отношение на личните данни с автоматични или неавтоматични средства /събиране, записване, организиране, съхраняване, структуриране, възстановяване, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране, заличаване, унищожаване/.
3.3. Регистър с лични данни е всяка структурирана съвкупност от лични данни, достъпна съобразно въведените критерии с настоящите вътрешни правила на сдружението.
3.4. Администратор на лични данни е Сдружение “Български туристически съюз”, което самостоятелно възлага на свой служител да обработва лични данни, а когато не е определен такъв, отговорността за обработката и позването е на Изпълнителния секретар на Сдружението.
3.5. Обработващ лични данни е физическо лице, което от името на Сдружението обработва съответните лични данни.
III. Предназначение и цел на регистър на личните данни в Сдружение “Български туристически съюз”
Чл.4 /1/ Сдружението установява, при условията на доброволно членство и разпоредбите на Закона за юридически лица с нестопанска цел /ЗЮЛНЦ/ и специалният Закон за физическото възпитание и спортаУЗФВС/, както и при спазване на Устава, прием на юридически лица-туристически сдружения, обозначени с наименование туристически дружества и съществуващи към тях спортни клубове по туризъм, както и други сдружения-федерации и асоциации със сходни уставни цели. Създаването ца тези сдружения са конкретна проява на конституционното право на гражданите да се сдружават по см. на чл.44, ал.1 от Конституцията на РБ.
Съгласно чл.15, ал.1 от ЗФВС във вр. с чл.2, ал.З от Устава сдружението е със статут на Национална спортна организация с дефинирани предметни цели в областта “социален туризъм”, в която по реда на чл.17, ал.2, т.2, буква б/ от ЗФВС членуват повече от две трети клубове и федерации по спортен туризъм. Законът поставя и второ самостоятелно условие за издаване на лиценз на Национална спортна организация, чието правно действие настъпва само при наличие на приета програма за развитие на съответната предметна област, в случая област “социален туризъм”, като програмата трябва да съответства на утвърдената от Министерски съвет Национална програма за развитие на физическото възпитание и спорта.
По силата на чл.15, ал.1 от ЗФВС на Сдружението със статут на Национална спортна организация се делегират основни координационни функции. С възлагане на функции с нестопански характер, които имат управленски и организационен характф, независимо от по-ограничения им обем, тъй като същите се упражняват само върху спортни клубове/федерации- членове, Сдружението защитава и подпомага държавните интереси в областта на Националната спортна политика.
Регламентацията на чл.17, ал.2 ЗФВС определя лимитативно обема права, които носителят на спортната лицензия придобива. Съгласно посочената разпоредба и правата включени в лицензията Сдружението има компетенциите да осъществява дейностите, определени по реда на закона, каквото е правото на Националната спортна организация да бъде подпомагана от държавата в своята общественополезна дейност, правото да изпълнява административни функции свързани със съответния спорт, в случая област “социален туризъм”, правото да организира и провежда състезания, присъжда титли, регистрира спортни резултати.
/2/ В този смисъл на основание чл.15, ал.8 и ал.9 във вр. с ал.2 и ал.З от Устава Сдружението има правомощие да води Национален регистър в електронна форма на лицата, придобили членство в Сдружението с вписване на законните представители или пълномощници на туристическите сдружения- членове.
Личните данни се включват в електронния регистър в изпълнение на горепосочените приети разпоредби от Устава, който представлява вътрешният нормоподобен акт на самоуправление, определящ задължителни правила на действие в правоотношенията между членовете и Сдружението.
Регистърът и водената членска статистика структурират актуални лични данни на законните представители или пълномощници на лицата-членове с издадени членски карти, удостоверяващи възникналото членствено правоотношение между Сдружението и съответното дружество-член.
Сдружението обработва предоставените от съответния член лични данни във връзка с удостоверяване на съществуващото членство, като създава по см. на чл.15, ал.8 от Устава електронен регистър на членовете на Сдружението и/или картотека на членство, състояща (е от съставени индивидуални членски картона. В този регистър се включват лични данни /физическа идентичност/ свързани с данни от документ по самоличност, координати за свързване с обозначаване на актуален телефон за връзка и/или имейл.
/3/ Сдружението събира и обработва лични данни на физически лица, в качеството им на делегати, които по реда на чл.35, ал.1 във вр. с чл.ЗО от Устава участват в Общото събрание на Сдружението. Волята на юридическото лице се формира чрез волеобразуващия орган-Общото събрание. Предвид разпоредбата на чл.26 във вр. с чл.40 от ЗЮЛНЦ и чл.37 от Устава провеждането на Общо събрание се протоколира и удостоверява с писмено съставен протокол и присъствен лист, което удостоверява формалната валидност на взетите решения. В този смисъл личните данни се вписват в съставения присъствен списък, удостоверяващ участието в ОС на съответния член/делегат.
/4/ Сдружението събира и обработва лични данни на физически лица по реда на чл.17, ал.2, т.4 от ЗФВС при упражняване на правото да организира състезания, присъждане на награди, провеждане на курсове за обучение на планински водачи. *
/5/ Сдружението обработва лични данни, предоставени от физически лица, за които се отнасят данните във връзка с подготовка и сключване на трудови или граждански договори, на нормативно установени задължения, произтичащи от спецификата на националното законодателство, финансово- счетоводната дейност, пенсионна, здравна и социално-осигурителна дейност, дейност по управление на човешки ресурси и други
Чл.5 Спецификата на Сдружението като правен субект установява нормативна, респективно регулаторна рамка за конкретна категория лични данни, които се обработват от Сдружението на технически и/или хартиен носител, както следва:
5.1. Физическа идентичност по документ за самоличност- име, ЕГН, гражданство, постоянен адрес, номер на лична карта, дата на издаване на документа за самоличност.
5.2. Физиологична идентичност /само за лица по сключени/прекратявани на конкретни основания трудови д<рговори/-медицински документи или декларации, предоставени от служителя' на работодателя за удостоверяване на конкретни заболявания по Наредба №5/1987г., с цел ползване на закрила по чл.331, ал.1 от КТ или за уведомяване от служителя по см. на чл.313а КТ за бременност или напреднал етап на лечение ин-витро.
5.3. Социална идентичност-образование, квалификация, научна степен, трудова дейност-професионален опит и стаж, придобита езикова или друга правоспособност за заемане на съответната длъжност.
Чл.6 Сдружението обработва личните данни при условията на необходимо и установено нормативно задължение на администратора на лични данни, каквато представлява възникване на членствено правоотношение или сключване на договор е оглед изпълнение на вменените договорни задължения или за действия предприети по искане на физическото лице.
Чл.7 Актуализация на регистрите на лични данни на членовете и/или трети лица се извършва при предоставена допълнителна информация или изменение на съществуващата информация, като изменение се извършва, както следва:
7.1. от субекта на лични данни, когато е установило, че е налице грешка или непълнота в обработените данни, като следва да представи документ по силата, на който се установява основание за изменение на обработената информация.
7.2. при установена грешка от обработващия лични данни, както и при наличие на документ представляващ основание за актуализация на личните данни.
7.3. Актуализацията се извършва в съответния регистър на Сдружението като се описва документа послужил за промяна на информацията, датата на направената актуализация и от кого е инициирана извършеното изменение на личните данни.
IV. Предоставяне на съгласие на субекта на лични данни
Чл.8 Съгласно изискването на чл.6, параграф 1, буква а1 на Регламента едно от най-важните условия за обработване на лични данни е съгласие от физическото лице, което е субект на лични данни. За тази цел Сдружението изисква от всеки член или трето лице без установено членствено правоотношение да предостави своето изрично съгласие в писмена декларация, в която се отбелязва какви лични данни лицето се съгласява да се обработват от Сдружението, както и посочва, за какви цели предоставя изричното си съгласие.
Чл.9 Сдружението събира и обработва лични данни при наличие на едно от посочените условия за законосъобразност по см. на чл.6, параграф 1, буква в/ на Регламента, каквото е изискването за спазване на законово задължение за администратора. В този случай лични данни събрани от Сдружението въз основа на законово задължение изключват обработване на лични данни със съгласие на носителя на лични данни по реда на чл.8 от Вътрешните правила.
Чл.11 Сдружението като администратор на лични данни има право да разкрие обработваните лични данни само на следните изчерпателно изброени категории лица:
11.1. Физическите лица, за които се отнасят данните.
11.2. Лица, за които правото на достъп е предвидено в нормативен акт или е установено регулаторно изискване.
11.3. Лица, за които правото произтича по силата на договор или уставна разпоредба.
VI. Права на субектите на лични данни
VII.
Чл.12 Физическите лица, чийто лични данни се обработват имат следните права:
12.1. право на информираност относно данните, които идентифицират администратора и неговия представител, целите на обработване на личните данни, получателите или категориите получатели, на които могат да бъдат разкри ти данните, задължителния или доброволен характер на предоставяне на данните и последиците от отказ за предоставянето им.
12.2. право на заличаване на данните, по изрично искане от лицето, в изчерпателно предвидените норми на чл.17, параграф 1 от Регламента.
12.3. право на възражение пред администратора срещу обработване на личните данни при наличие на законово основание за това.
12.4. Право на защита пред КЗЛД и по съдебен ред.
VIII. Мерки за защита и гарантиране нивото на сигурност на личните данни
Чл.13 Регистър на лични данни, воден на хартиен носител се съхранява чрез събрана писмена/документална/ информация.
Чл.14 Регистърът се съхранява в метален водоустойчив картотечен шкаф, който се помещава в самостоятелно служебно помещение на служителя, изпълняващ задължения по обработване на лични данни. Ключът от картотечния шкаф се съхранява от обработващия личните данни.
Чл.15 Изискванията за форма на организация и съхраняване на личните данни на технически носител изискват:
15.1. Личните данни се въвеждат от служителя, изпълняващ задължения за обработване на лични данни на изолиран компютър, като от съответното работно място не може да бъде осигурен достъп до сървър.
15.2. Достъп до операционната система, съдържаща файлове за обработка на лични данни, има само обработващият лични данни, чрез парола за отваряне на тези файлове.
15.3. При работа с данните се използват съответните софтуерни продукти, които съдържат съвременна операционна система, съобразно изискванията на ползвания приложен софтуер с инсталирани пакети за сигурност.
15.4. антивирусен софтуер с включено автоматично обновяване и постоянно сканиране.
15.5. Достъп до файла със съхранявани лични данни се осъществява от длъжностното лице по обработване със сйециален защитен код.
15.6. Сградата, в която се помещава офисът на Сдружението със съответните работни помещения е защитена със сигнална охранителна техника на СОТ. След преустановяване на работния режим помещенията, както и главният вход за достъп до сградата се заключват.
15.7. Защита на данните съхранявани на електронен носител срещу неправомерен достъп се осигурява чрез периодично архивиране на данните на отделни електронни носители.
15.8. Личните данни на членовете на сдружението се съхраняват за периода на членство, а личните данни на служителите се съхраняват за периода на времетраене на трудовия договор. Личните данни събрани по сключени договори се съхраняват докато договорът има действие и/или Сдружението има неудовлетворени претенции по него. В случай, че лицето, в качеството на законен представител или лице за контакт по договора престане да бъде в това си качество, Сдружението преустановява обработването на личните данни на този субект.
Чл.16 Правата и задълженията на служителя обработващ личните данни се регламентират в длъжностната характеристика. По см. на чл.28, параграф 3, буква б/ от Регламента изрично в договора или анекс към първоначалния договор се предвижда задължение за спазване на поверителност при обработване и съхранение на личните данни.
16.1. Право на достъп ad hoc до лични данни чрез обработващия ги само и във връзка с изпълнение на служебните им задължения и след получаване на оторизиран достъп имат следните длъжностни лица от администрацията на сдружението: председател, изпълнителен секретар, човешки ресурси и личен състав, главен счетоводител и касиер.
16.2. Предоставянето или прекратяването на оторизиран достъп до личните данни се осъществява от Председателя на сдружението.
Чл.17 В случай на възникнал инцидент с личните данни служителят, който е определен да обработва личните данни уведомява незабавно Председателя на Сдружението, като отделно съставя доклад, в който описва причините и взетите мерки за предотвратяване на нов инцидент. Сдружението по реда на чл.ЗЗ, параграф1 на Регламента в срок от 72 часа уведомява Комисията за защита на личните данни за възникналия инцидент.
Заключителна разпоредба
Тези вътрешни правила са временни и утвърдени от председателя на БТС и действуват до приемането им за окончателни от управителния съвет .
УТВЪРДИЛ:______________________________
Председател /_____________________________ /