Политиката е разработена във връзка с процесите по обработване на лични данни в Детска градина №135 „Мое детство“, гр. Нови Искър по смисъла на Общия Регламент относно защитата на данните (ЕС) 2016/679 и Закона за защита на личните данни (ЗЗЛД).
I. Общи положения.
1. Детска градина №135 “Мое детство“, гр. Нови Искър“.
а). Детска градина №135 „Мое детство“ (за краткост ДГ), адрес: гр. Нови Искър, ул. „Варна“ №1,  ЕИК  000667450, е Администратор на лични данни (за краткост „Администратор“) по смисъла на Регламент (ЕС) 2016/679. Телефон: 0884 801726.  E-mail: ivanova1177@abv.bg.
ДГ се представлява от  нейния Директор.
б). Администраторът (ДГ) осигурява дневно обучение, възпитание и социализация на децата в съответствие с обществените потребности и индивидуалните особености.
в). ДГ е общинска. Основно се финансира със средства по бюджета, разпределени от кмета на Столична община по формула, утвърдена от Столичния общински съвет.
Към 01.03.2022 г. броят на децата, които се обучават в ДГ, общо е 170. Служителите на ДГ са общо 25, от които 12 са педагогически специалисти, а останалите – непедагогически персонал.
2. С настоящата Политика за защита на личните данни се определят:
а). задълженията на ДГ като Администратор на лични данни;
б). принципите, свързани с обработването на лични данни в ДГ;
в). процесите на обработване и основанията за обработване на лични данни;
г).  правата на субектите на данни;
д). техническите и организационните мерки, които Администраторът на лични данни следва да предприеме с цел гарантиране на сигурността на личните данни;
е). данни за контакт с Длъжностното лице по защита на данните (ДЛЗД).
II. Задължения на ДГ като Администратор на лични данни.
1. ДГ е Администратор на лични данни по смисъла на Регламент (ЕС) 2016/679  и ЗЗЛД.
2. Задължения на Администратора:
а). въвежда добри практики при обработването на личните данни, като за целта ползва становища на Длъжностното лице по защита на данните (ДЛЗД) и указания по различни казуси на Комисията за защита на личните данни (КЛЗД).
б). утвърждава вътрешните актове на ДГ, разработени по повод защитата на личните данни;
в). осигурява необходимите ресурси и организира внедряването на технически, организационни и персонални мерки за надеждна защита на личните данни;
г). организира обучението на служителите за законосъобразното обработване на лични данни и следи за спазването на процеса на обработването. Периодично, чрез ДЛЗД, информира персонала за настъпили законови промени по въпросите на защитата на личните данни;
д). организира и контролира поддържането в актуално състояние на регистрите с лични данни на хартиен и електронен носител;
3. Директорът на ДГ упражнява пряк контрол върху дейностите по обработване на лични данни и отговаря за координиране и прилагане на техническите и организационните мерки за тяхната защита.
ІІІ. Принципи на обработване на личните данни.
ДГ обработва лични данни при спазване на принципите, посочени в чл. 5 на Регламент (ЕС) 2016/679, а именно:
1. Законосъобразност, добросъвестност и прозрачност;
2. Ограничение на целите;
3. Свеждане на данните до минимум;
4. Точност;
5. Ограничение на съхранението;
6. Цялостност и поверителност;
7. Отчетност.
ІV. Процеси на обработване на лични данни.
1. ДГ, в качеството на Администратор на лични данни, обработва такива данни в изпълнение на основната, възложена му от законодателството на Р България, задача по отношение на деца до 7-годишна възраст.
2. В изпълнение на своята дейност, ДГ обработва личните данни на следните основни категории субекти на данни:
- за целите на учебно-възпитателния процес – субекти на данни са децата  и техните родители (настойници);
- за целите на трудовите правоотношения – субекти на данни са служителите на ДГ и кандидатите за работа в нея;
- за целите на деловите отношения с външни доставчици (контрагенти)  - субекти на данни са физически лица и физически лица, представители на юридически лица, които се явяват доставчици на стоки и услуги в интерес на основната дейност на ДГ;
- други категории субекти на данни – жалбоподатели, заявители по Закона за достъп до обществена информация и др.
Основанията за обработването на посочените категории субекти на данни са по условията в чл. 6, параграф 1 от Регламент (ЕС) 2016/679, букви „б“, „в“, „д“ и „е“ – обработването е необходимо за:
- буква „б“: изпълнение на договор, по който Администраторът и субектът на данни са страни;
- буква „в“: спазване на законово задължение, което се прилага спрямо Администратора;
- буква „д“: изпълнение на задача от обществен интерес или при упражняване на официални правомощия, които са предоставени на Администратора;
- буква „е“:  целите на легитимните интереси на Администратора.

3. ДГ обработва специални категории лични данни, основно с цел опазване на здравето на децата и за изпълнение на задълженията за осигуряване на здравословни и безопасни условия на труд на служителите.
Основанията за обработването на специалните категории лични данни са посочени в чл. 9, параграф 2, буква „з“ на Регламент (ЕС) 2016/679 – обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя (респективно: детето), медицинската диагноза, осигуряването на здравни или социални грижи.
4. Видеонаблюдение.
На територията на Детска градина №135 „Мое детство“ се обработват лични данни на физически лица чрез видеонаблюдение в определени части на вътрешността на сградата и на двора на ДГ.
Целта на видеонаблюдението е охрана и предотвратяване на противоправни посегателства върху обекти и лица, както и гарантиране на техните права и законни интереси.
Субекти на лични данни са физическите лица, чиито образи, представляващи лични данни, се съдържат в записите от инсталираните видеокамери - служители, деца, посетители и контрагенти на ДГ.
Администратор на видеонаблюдението е фирма „ПСП секюрити“ ООД, на която е възложена техническата поддръжка на системата за видеонаблюдение. Записите се съхраняват за срок до 60 дни, след което автоматично се изтриват. Достъп до записите има представител на „ПСП секюрити“ ООД.
Основанията за обработване на лични данни чрез видеонаблюдение са по условията на чл. 6, параграф 1 от Регламент (ЕС) 2016/679, буква „е“:  за целите на легитимните интереси на Администратора.
5. Съгласие.
Когато не е в приложимо нито едно от основанията за обработване на лични данни, посочени в т. 2, т. 3 и т. 4, може да се търси съгласието на субекта на данните, за да могат неговите данни да бъдат обработени законосъобразно.
При обработване на лични данни на децата в ДГ (които са на възраст до седем години), основано единствено на съгласие за обработване на лични данни, съгласието се дава от носещите родителската отговорност за детето (родителите/настойникът на детето).
V. Права на субекта на данните.
ДГ се задължава да спазва правата на физическите лица, субекти на лични данни, съгласно Глава ІІІ от Регламент (ЕС) 2016/679.
1. Право на информираност и право на достъп на субекта на данните.
Право на информираност:
ДГ предприема необходимите мерки за предоставяне на субектите на данни на всякаква информация и комуникация, която се отнася до обработването на техни лични данни, в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен език, предоставена устно, писмено или чрез електронни средства. Такава информация се предоставя, когато ДГ се е уверила в самоличността на физическото лице. Ако е необходимо, ДГ може да изисква допълнителна информация от лицето с цел потвърждаване на неговата самоличност.
При предоставяне на информацията ДГ отчита задълженията си по чл. 13 и чл. 14 от Регламент (ЕС) 2016/679 относно задължителното съдържание на предоставената информация.
Право на достъп на субектите на данни до техни лични данни.
Субектите на данни (служителите, децата и техните родители, контрагентите на ДГ, жалбоподателите и заявителите по ЗДОИ)  имат право да получат от ДГ потвърждение дали обработва техни лични данни и, ако това е така, да получат достъп до данните и информация относно: целите на обработването; категориите лични данни, които се обработват; получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни; срокът, за който данните се съхраняват и др.
2. Право на коригиране и право на изтриване  
 Право на коригиране.
Субектът на данни има право да поиска от ДГ да коригира или да допълни с цел актуалност на информацията личните данни, свързани с него.
Право на изтриване („право да бъдеш забравен“).
Субектът на данни има право да поиска от ДГ изтриване на свързаните с него лични данни, а ДГ има задължението да изтрие, без забавяне, личните данни, когато е приложимо някое от посочените в Регламент (ЕС) 2016/679 основания.
3. Право на ограничаване на обработването.
Субектът на данните има право да изиска от ДГ ограничаване на обработването, когато е приложимо някое от обстоятелствата, посочени в чл. 18, параграф 1 на Регламент (ЕС) 2016/679.
4. Право на преносимост на данните.
Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на ДГ, в структуриран и пригоден за машинно четене формат и може да прехвърли тези данни на друг Администратор.
5. Ограничения.
Правата на субекта на данни не са абсолютно задължителни за ДГ като Администратор на лични данни. Администраторът аргументирано ще откаже на субект на данни да изпълни негово искане за упражняване на право по смисъла на Регламент (ЕС) 2016/679, когато това искане засяга въпроси, както следва: национална сигурност, отбрана и обществена сигурност; предотвратяването, резследването, разкриването или наказателното преследване на престъпления; важни цели от широк обществен интерес – обществено здраве и социална сигурност, парични, бюджетни и данъчни въпроси; защита на независимостта на съдебната власт; защита на правата и свободите на други лица; изпълнението на гражданскоправни искове.
VI. Технически и организационни мерки за защита на данните.
ДГ прилага подходящи технически и организационни мерки за защита на личните дани, които обработка като Администратор. Мерките са отразени в разработената за целта Политика за мрежова и информационна сигурност. При  разработването на мерките са взети предвид достиженията на техническия прогрес, разходите за прилагане им и естеството, обхватът, контекстът и целите на обработването.
Мерките основно включват развитие на способности на ДГ за:
- гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите за обработване;
- своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
- внедряване на процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с цел да се гарантира сигурността на обработването.
При изпълнението на настоящата Политика се вземат предвид свързаните с обработването рискове, по-специално тези за случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които са или са били предмет на обработване.
VІІ. Предаване на лични данни на трети държави или международни организации.
1. Към 01.03.2022 г. ДГ не предоставя данни, които обработва, на трети държави (това са държави извън ЕС) или международни организации.
2. Ако по изключение се наложи предаване на лични данни на трета държава или международна организация (например при участие на представители на ДГ в екскурзия или друга проява в такава държава), ДГ проверява дали третата държава или международната организация осигурява адекватно ниво на защита и дали има решение на Европейската комисия в тази посока. Предаването се извършва само и единствено при спазване на законовите разпоредби на Регламент (ЕС) 2016/679 и ЗЗЛД.
VІІІ. Длъжностно лице по защита на данните.
По смисъла на чл. 37, пар. 1, буква „а“ на Регламент (ЕС) 2016/679 ДГ, в качеството й на Администратор на лични данни, определя Длъжностно лице по защита на данните, към което субектите на данни могат да се обръщат по всички въпроси, свързани с обработването на техните лични данни.
Длъжностно лице по защита на данните Детска градина №135 „Мое детство“: Иван Костадинов, тел. 0887 648 639, e-mail: dpo.consult@yahoo.com