Чл.1. С този документ се изпълнява задължението на Лечебно-възстановителната база на Народното събрание – Велинград (наричана за краткост „ЛВБ на НС - Велинград“, „базата“) в качеството ѝ на администратор на лични данни, да оказва съдействие и да осигурява упражняването на правата на субектите на лични данни, по отношение на които е администратор.

Чл.2. С описаната в този документ процедура се създават условия за упражняването на правата на субектите на данни съгласно нормативните изисквания на националното и европейското законодателство за защита на личните данни. 

Чл.3. Настоящата процедура се прилага при разглеждане на искания от всички категории субекти на лични данни, по отношение на които ЛВБ на НС – Велинград е администратор.

Чл.4. Настоящата процедура се основава на принципа, че правата на субекта на данни са лични права, защитаващи неприкосновеността на личността и човешкото достойнство като върховни ценности. ЛВБ на НС - Велинград строго спазва своите задължения да не разкрива или изменя личните данни на физическите лица, освен ако разкриването или изменението е направено по искане на самото лице или се изисква от националното или европейското законодателство.

Чл.5. Отговорно лице за актуализирането и прилагането на настоящата процедура е длъжностното лице по защита на данните. 

Чл.6. Настоящите вътрешни правила са задължителни за всички служители на ЛВБ на НС - Велинград, които могат да получат за разглеждане искания за упражняване на права от субект на данните.

Чл.7. Настоящите Вътрешни правила се приемат на основание чл. 12, параграф 2 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) и е съобразена със Закона за защита на личните данни, подзаконовите нормативни актове по прилагането му и вътрешните правила и процедури за защита на личните данни, утвърдени за работата на ЛВБ на НС - Велинград.

Чл. 8. /1/ Искането за упражняване на права се прави лично от субекта на данните, от негов законен представител или от лице, упълномощено въз основа на писмено пълномощно с нотариална заверка на подписа.    

/2/ Субектът на данните или неговият представител прави искането в писмена форма. Устните искания не са валидни. Исканията, депозирани или изпратени на хартиен носител следва да съдържат саморъчния подпис на  субекта на данните или неговия представител, а когато се подава искане в електронна форма, файлът на изявлението или електронното писмо, с което той се изпраща, да са подписани с квалифициран електронен подпис.

/3/ Когато субект на данните прави устно искане за упражняване на права, Управителят пред когото е направено искането дава насоки на субекта за съставяне на писмен документ, посочвайки му възможността да попълни утвърдения бланков образец.

Чл.9. /1/ Исканията за упражняване на права могат да се правят и в свободна форма, на книжовен български език. 

/2/ Искането за упражняване на правата на субект на данни може да не съдържа определени реквизити или да е съгласно образец. В него не е задължително да се използва конкретна терминология или точните наименования на правата като „достъп до личните данни“, „права на субекта на данни“ или дори да не съдържа понятието „лични данни“.

/3/ В искането следва да се  посочат:

1. Име, презиме и фамилия , адрес и  ЕГН/ЛНЧ/друг аналогичен идентификатор или други идентификационни данни на съответното физическо лице, определени от администратора, във връзка с извършваната от него дейност на субекта на личните данни с цел неговото идентифициране;

2. Име, презиме и фамилия на представителя на субекта на данните, както и доказателства за представителната му власт.

3. В какво се изразява искането;

4. Физически или електронен адрес съгласно предпочитаната форма за комуникация.

5. Подпис, дата на подаване на заявлението и адрес за кореспонденция.

/4/ При искане за упражняване на права може да бъде използван образецът „Искане за упражняване на права от субектите на данни“ /Приложение №1/

Чл.10. /1/ Искането се подписва от субекта на данните и се представя на ЛВБ на НС - Велинград по някой от следните начини: 

а) Като се изпрати на хартиен носител чрез пощенска услуга на адрес: гр. Велинград, кв. „Каменица“, бул. „Вела Пеева“ № 35;

б) Като се подаде лично на посочения в предходната подточка адрес пред управителя на базата;

в) Като се изпрати на следния адрес на електронна поща: gdpr@parliament.bg.

Чл.11. Искането в електронна форма или електронното писмо, с което се изпраща, се подписват с квалифициран електронен подпис от субекта на данните съгласно Закона за електронния документ и електронните удостоверителни услуги.

Чл.12. Приемането и  регистрацията на искането за упражняване на права на субекта на данни се извършва съгласно установените правила за получаване на входяща кореспонденция. 

Чл.13. При получаване на искането се извършва проверка на самоличността на заявителя. В случай на необходимост, управителят който приема искането  има право да поиска допълнително данни за неговото идентифициране.

Чл.14. /1/ Освен ако самоличността на заявителя е абсолютно сигурна (напр. когато се прави искане от парламентарен служител), за да се предотврати всяка възможност за упражняване на тук регулираните права от трето, нелегитимирано за това лице, заявителят или неговият представител трябва да докаже самоличността си чрез предоставяне на документ за самоличност.

/2/ Не се извършва проверка на самоличността, когато е получено искане в електронна форма, подписано с квалифициран електронен подпис.

/3/ Разглеждането на искания за упражняване на права от субект на данните е безплатно. ЛВБ на НС - Велинград може да определи цена за упражняване на права за втори или следващ път, ако се отнася до аналогични или сходни искания, касаещи една и съща информация. 

Чл.15. /1/ След регистрация в регистъра на входящата кореспонденция  на ЛВБ на НС - Велинград искането се сканира и се изпраща незабавно на длъжностното лице по защита на данните, за да се гарантира спазването на законоустановения краен срок за отговор, както и принципите за защита на личните данни.  

/2/ Ако активната легитимация на подалия искането субект, обхватът или характерът на искането са неясни или предизвикват съмнение, длъжностното лице по защита на данните трябва да се свърже възможно най-бързо със заявителя по телефона, с писмо или чрез имейл и да поиска необходимата за конкретизацията на искането информация.

Чл.16. /1/ Длъжностното лице по защита на данните разглежда искането за упражняването на права и извършва преценка относно неговата основателност. 

/2/ При разглеждане на искането трябва да бъде съобразено, че правата на субекта на данни се отнасят само за лични данни. Лицата нямат право да получават документи или записи, които не съдържат личните им данни, нито да контролират или променят процесите в ЛВБ на НС - Велинград, в които не се използват лични данни. Тази забрана се прилага и по отношение на онези процеси, които използват обобщени данни, които не могат да се считат за лични данни.

/3/ При разглеждане на искането Длъжностното лице по защита на данните може да търси съдействие от всички служители на ЛВБ на НС - Велинград, както и от доставчици на услуги, включително за подпомагане на техническата идентификация и извличането на данни за целите на анализа и подготовката на отговора.  

Чл.17. /1/ Когато се установи, че искането е основателно, длъжностното лице по защита на данните предприема действията по уважаване на искането и изготвя отговор за информиране на субекта на данните.

/2/  В случаите когато искането е неоснователно, длъжностното лице по защита на данните изготвя мотивиран отказ. 

/3/ Писмото за отговор на искане за предоставяне на достъп до лични данни се изготвя по образец /Приложение №2/, който трябва да бъде адаптиран към всяко искане и да бъде изменен и допълнен, както е подходящо в съответствие с  характера на разглежданото заявление и фактите по него.

/4/ Отговорът, изготвен от длъжностното лице по защита на данните, се подписва от управителя на ЛВБ на НС - Велинград.

/5/ Отговорът се предоставя до 1 календарен месец от получаване на искането, като срокът може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията.

/6/ Ако е необходимо да се провери самоличността на заявителя или обхвата на искането или да се получи искането в писмен вид, едномесечният срок ще започне да тече от приключването на тази проверка.

/7/ В случай на удължаване, заявителят се уведомява в рамките на първоначалния едномесечен срок, като се посочват причините, които налагат удължаването.

Чл.18. /1/ Отговорът се завежда в регистъра на изходящата кореспонденция на   ЛВБ на НС - Велинград със съответния изходящ номер и се връчва/изпраща на заявителя по избрания от него начин за кореспонденция.

/2/ Заявителят може да получи отговора на място или да му бъде изпратен на посочения от него физически адрес чрез лицензиран пощенски оператор или на посочен електронен адрес за кореспонденция. 

/3/ В случаите, когато се предоставя информация за обработваните данни, на основание отправено искане за достъп, тя може да бъде получена от заявителя на хартиен носител, на предоставено от него техническо средство – CD или DVD, по начин съгласно ал.2 или на посочен електронен адрес за кореспонденция

/4/ В случаите на изпращане чрез лицензиран пощенски оператор, при подаването на искането заявителят следва да е декларирал, че пощенските разходи са за негова сметка, платими при получаването.

Чл.19. След като отговорът бъде изпратен, процедурата по разглеждане на искането приключва и длъжностното лице по защита на данните предава искането за архивиране на управителя на базата, заедно със всички входящи и изходящи документи, създадени в процеса на разглеждането му. 

/2/ Длъжностното лице по защита на личните данни поддържа Регистър на исканията за упражняване на права /Приложение №3/.

Чл.20. /1/ ЛВБ на НС - Велинград съобщава за всяко извършено коригиране, изтриване или ограничаване на обработване на всеки получател, пред когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. 

/2/ ЛВБ на НС – Велинград информира субекта на данните относно тези получатели, ако субектът на данните поиска това.

Чл. 21. /1/ Правата на субекта на данните са от личен характер и упражняването на правото на субекта на данните винаги трябва да бъде балансирано спрямо правата на другите лица, които също се явяват субекти на данни. 

/2/ Ако искането за разкриване засяга правата на други лица, ЛВБ на НС - Велинград може да изпълни това искане, само ако засегнатото трето лице − субект на данни, даде своето съгласие за оповестяването. Данните следва да бъдат разкрити без да се иска съгласието на третото лице, ако оповестяването е справедливо в рамките на разумните очаквания на другия субект на данните и е малко вероятно да навреди на основните му права, преценката за което се прави от длъжностното лице по защита на личните данни.

/3/ В съответствие с предходната алинея, при наличието на необходимост от получаване на съгласие за предоставяне на определена информация, съдържаща лични данни, в рамките на процедурата по разглеждане на подадено заявление за упражняване на правата на субектите на данни, длъжностното лице по защита на данни предприема действия по свързване и поискване на съгласие от засегнатото трето лице, ако същото може да бъде идентифицирано.

/4/ Когато с предоставянето на копие от определен документ ще се разкрият данните на трети лица, чието съгласие за предоставяне на личните им данни не е получено или не може да бъде получено (например поради невъзможност за идентифицикация или невъзможност за установяване на контакт), на субекта на данните се дава извлечение или копие със заличени лични данни на съответните трети лица.

Чл.22. /1/ ЛВБ на НС - Велинград има право да не уважи искания, които са явно неоснователни. 

/2/ Искането се квалифицира като „явно неоснователно“, когато обектът на искането не е разрешен съгласно правата на субекта на данните или когато е неправилно формулиран (например е направено възражение срещу обработването на основание на законово задължение или във връзка с дейност, която е необходима за изпълнението на договор, и следователно правото на възражение е неприложимо). 

Чл. 23. /1/ ЛВБ на НС - Велинград има право да не уважи искания, които са прекомерни.

/2/ Искането е прекомерно, само когато е повтарящо се (например, заявителят прави трета молба за достъп в рамките на 6-месечен период). При преценката за прекомерност се отчита дали данните на субекта са били изменяни след предишните предоставяния, като искането не се счита за прекомерно по смисъла на ал. 2, ако данните са изменяни. 

/3/ Всички решения за това дали едно искане е неоснователно по смисъла на чл. 22, ал.3 или е прекомерно, съгласно предходната алинея,  трябва да бъдат взети от длъжностното лице по защита на личните данни.

Чл. 24. При разглеждане на исканията ЛВБ на НС - Велинград отчита това, че някои права (с изключение на правото на достъп до лични данни), предвиждат специфични изключения, когато обработването на лични данни е необходимо за установяването, упражняването или защитата на правни искове.

§ 1 Настоящите Вътрешни правила за упражняване на права влиза  в сила от датата на утвърждаването им. 

§ 2. Веднъж годишно настоящите Вътрешни правила се преглеждат и актуализират при необходимост.