GDPR & ПАСОСС

редакция първа, 23.05.2018

РЕГЛАМЕНТ И ОБЩИ УСЛОВИЯ

за защитата на личните данни на физически лица в desktop приложенията от пакет ПАСОСС

 

ПАСОСС

Пакет ПАСОСС (Програми за Автоматизация на Счетоводната Отчетност и Складовото Стопанство) е създаден, разпространява се и се поддържат от  ЗЕН Електроникс ООД, наричано по-долу Автор.

Лицензираният ползвател на програма се нарича по-долу Клиент или Потребител.

Десктоп базираните приложения от пакет ПАСОСС, наричани по-долу Програмите или Приложенията, се инсталират на работно място на Клиента, локално или в мрежа по негов избор. При тези условия, цялата отговорност за сигурността на данните, включително записаните в базата лични данни, е част от общата сигурност на компютърната система, за която се грижи нейният собственик.

Приложенията съдържат лични данни на физически лица, единствено когато са регламентирани по закон във връзка с трудовоправни, финансови и служебни взаимоотношения между юридически и физически лица.

Програмите работят с бази данни, а достъпът до тях е в среда Microsoft Access и SQL server. Базите данни са достъпни с външни средства (извън програмата). В този смисъл, защитата на базата данни на всяка програма е част от защитата на компютъра на клиента, на който тя е инсталирана.

Авторът

Авторът няма достъп до личните данни в базата данни на приложението, освен ако такъв достъп не му е предоставен специално от клиента, за определен период и с конкретна цел.

Авторът може да получи достъп до лични данни в потребителска база данни в следните случаи:

  • при сервизни действия на работно място на потребителя;
  • при сервизни действия с отдалечен достъп до работно място на потребителя;
  • при преглед и отстраняване на грешки в копие на база данни, предоставено на Автора от клиента по електронен път или върху носител на данни;
  • лични данни на клиента, когато той е лицензиран потребител на програмата като физическо лице.

Авторът е осигурил възможност инсталацията на всяка програма да бъде направена самостоятелно от потребителя, а когато той пожелае – с помощта на Автора или изцяло то Автора.

Авторът е осигурил възможност за получаване на инсталационен ключ онлайн за всяка програма, по всяко време, самостоятелно от Клиента, чрез персонализиран достъп до сайт със защитен достъп https://service.pasoss.com, а когато той пожелае – с помощта на Автора или изцяло то Автора. HTTPS (Hypertext Transfer Protocol Secure) удостоверява еднозначно сайта и уеб сървъра, на който е той е базиран физически (хостван) и това е достатъчна гаранция, че потребителят се свързва с правилния сайт, а не с фалшиво или зловредно копие. Протоколът криптира двупосочно  връзката между клиент и сървър, което осигурява защита срещу подслушване, прихващане, подправяне или подмяна на съдържанието на съобщенията от трети страни.

Авторът е предоставил възможност на Клиента след инсталацията на програмата, от Служебни функции > Права за достъп (в ПАСОСС-Счетоводство) и Потрбители (в ПАСОСС-Работни заплати) да защити достъпа до ползването ѝ с персонални параметри за достъп – потребителско име (username) и парола (password). Първият потребител е с администраторски права. При необходимост той може да дефинира нужния брой допълнителни потребители, всеки от които със свой персонален достъп и права за ползване на програмата. Достъпът на всеки от тези потребители може да бъде прекратен от клиента по всяко време.

Авторът не осъществява копиране, архивиране и съхранение на базата данни, освен ако тава не му е поръчано специално на Клиента, за определен период и с конкретна цел.

Служителите от страна на Автора, които пряко осъществяват на място или с отдалечен достъп действия по инсталацията и поддръжката на програмите и по силата на  тези свои задължения имат достъп до базата данни на потребителя, се наричат по-долу администратори.

Администраторите на програмите се определят със заповед. Те са обучени и като оператори на лични данни и са записани в специален Регистър. Те не извършват никакви действия, свързани с копиране, пренос и съхранение на данни, извън нужните  за обезпечаване на нормалното функциониране на програмите. Работата им се контролира от Длъжностното лице по защита на данните (data protection officer).

Администраторите имат достъп до базата данни на клиента само тогава, когато той им разреши чрез: достъп до работно място на клиента; отдалечен достъп до работно място на клиента; достъп до архивно копие на базата данни изпратено по имейл, по пощата или предадено лично.

За работа с клиентски бази данни, администраторът попълва Дневник на получени и обработени бази данни от клиенти.

За администраторите са напълно неизвестни персоналните параметри за достъп (потребителско име, парола и права)  на отделните потребители и те не контролират тяхната работа с програмата.

Служител на ЗЕН Електроникс ООД, който осъществява действия по реклама и продажба на програмите, консултации по телефона, оформяне на документи и други, при които няма достъп до базата данни на клиента, няма отношение към този регламент.

Когато Авторът предоставя правата за ползване на програмата на потребител, който е физическо лице, при документалното оформяне на сделката той не изисква никакви лични данни в повече, освен предвидените от закона реквизити на официални документи, които ползва и съхранява съгласно нормативните изисквания.

Клиентът

Клиентът носи основната отговорност за защита на личните данни, записани в базата данни на всяко приложение.

Клиентът носи отговорността за действията на основния потребител, който има и администраторски права.

Авторът препоръчва на Клиента да регламентира правата и контролира с персонални параметри (потребителско име и парола) достъпа на своите потребителите до работните места на всяка програма – локални и в мрежа.

Авторът препоръчва на клиента да защити устройството, на което се намира базата данни на всяка програма, за да контролира достъпа с външни средства до  нея. 

С оглед защитата на базата данни от пренос, авторът препоръчва на клиента да контролира създаването на архивни копия на базата данни и да осигури и съхранението им само на надеждни устройства с контролиран достъп.

За работа с базата на място или чрез отдалечен достъп, авторът препоръчва на клиента да се доверява само на администратор.

Архивно копие на база данни се изпраща на администратор по e-mail само на адрес pasoss@zen-electronics.com. В съдържанието на писмото трябва да бъдат описани следните обстоятелства:

  • клиент;
  • продукт;
  • дата на изпращане;
  • причина за предоставяне на базата данни (описание свободен текст).

Бази, които Авторът е получил в нарушение на тези условия, се изтриват незабавно, без да се обработват.

Пощенският адрес за изпращане на архивно копие на база данни, записано върху носител, заедно с придружително писмо, съдържащо описаните по-горе реквизити, е точно този:

ЗЕН Електроникс (ПАСОСС)
бул.“Н.Впацаров“ 23, ет.1
София 1404

Авторът уведомява Клиента, че на същия адрес може да бъде донесено и предадено лично на администратор архивно копие на база данни, записано върху носител.

Администраторът унищожава/изтрива обработеното копие на базата данни веднага след приключване на работата с него.

При прекратяване на работата с дадено приложение завинаги, Авторът препоръчва на Клиента да се погрижи за неговата база данни, съгласно изискванията на нормативната уредба.

Длъжностното лице по защита на данните
(data protection officer)

Николай Рибаров, nribarov@zen-electronics.com, 0888918032

Заключение

Програмите от пакет ПАСОСС са в употреба от 1992 г. и до момента няма регистриран проблем, свързан с изтичане и злоупотреба с лични данни. Следователно, няма фактически пречки съвместната ни работа да продължи успешно по същия начин. Регламент (ЕС) 2016/679 налага да бъдат предприети и публично оповестени мерки относно защитата на физическите лица, във връзка с обработването на лични данни и относно свободното движение на такива данни. До момента в публичното пространство се разпространяват безконтролно свободни тълкувания на документа и техният общ характер едва ли е универсално полезен. Темата е преекспонирана и се акцентира предимно на глобите, които ни заплашват. Доста фирми трупат обороти от курсове и обучения, които правят без да e ясно дали притежават лиценз или поне права за това и преди да е приет актуализирания вариант на ЗЗЛД, а най-вероятно след него и други нормативни актове. Съдържанието на тези курсове е базирано върху преразказ на Регламента и предимно лични тълкувания на лектора.

Основното и най-важното към момента е, че ЗЕН Електроникс, като автор на тези програмни продукти декларира, че в нито един от тях не се извършва никаква друга обработка на лични данни, освен изискваната от закона и счетоводните стандарти. Резултатите от обработката на тези данни са общодостъпни за потребителя и се наричат Справки.

Усилията ни в близък план са насочени към следното:

  • оптимизация на контролирания достъп до работа с програмите;
  • по-строг регламент за архивиране, съхранение и пренос на базата данни;
  • защита на базата данни от нерегламентиран външен (извън програмата) достъп.

 

Този документ е създаден преди да бъдат приети промените в Закона за защита на личните данни за синхронизация с РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА и отразява изцяло разбиранията на нашия екип по темата, базирани върху предварителни публични тълкувания на Регламента.

Критичният прочит на този документ от страна на Потребителите е задължителен! Готови сме да обсъдим всяко съображение и да потърсим отговор на всеки въпрос.

Преработките в близко бъдеще на този документ, както и на административните функции в програмите, са неизбежни и ще бъдат правени с цел оптимизация.

Коментари са забранени.