GDPR & ПАСОСС

редакция първа, 23.05.2018

РЕГЛАМЕНТ И ОБЩИ УСЛОВИЯ
за защитата на личните данни на физически лица в уеббазираната платформа ПАСОСС

Уеб базираната платформа на ПАСОСС (за краткост Платформата), създадена и поддържана от ©ЗЕН Електроникс ООД (ЕИК 040207268), наричано по-долу за краткост Автор, включва:

  • Фактуриране – създаване на електронни фактури и сродни документи;
  • Архивбокс – единен дигитален архив на приходни и разходни фактури;
  • Ваучер – предназначена за създаване и обработка онлайн на електронни документи в туризъма.

АКЦЕНТИ

Обобщение на най-важното

Защитата на личните данни в уеббазираната платформа на ПАСОСС, в съответствие с Общ регламент за защита на личните данни (GDPR)  се гарантира със следните основни мерки:

  • Доставчикът на хостинга ICN.Bg е сертифициран по ISO 27001:2013.
  • Достъпът до Платформата е защитен с HTTPS (Hypertext Transfer Protocol Secure).
  • Работа в платформата се осъществява с персонални username и password, като паролата е известна единствено и само на потребителя.
  • Потребителят може свободно сам да променя по всяко време своята парола, която остава неизвестна за администратора на платформата.
  • Авторът декларира, че обработва въведените в базата данни на платформата лични и други данни единствено и само за целите на нейното нормално функциониране.
  • Длъжностното лице по защита на данните (data protection officer) от страна на Автора е Николай Рибаров (nribarov@zen-electronics.com).

ПОДРОБНОСТИ

Относно платформата

В Платформата се влиза през следните сайтове със защитен достъп:
    https://e-fakturirane.com;
    https://app.arhivbox.com;
    https://app.e-tourist.eu;
    https://voucher.pasoss.com.
HTTPS (Hypertext Transfer Protocol Secure) удостоверява еднозначно сайта и уеб сървъра, на който той е базиран физически (хостван) и това е достатъчна гаранция, че потребителят се свързва с правилния сайт, а не с фалшиво или зловредно копие. Протоколът криптира двупосочно  връзката между клиент и сървър, което осигурява защита срещу подслушване, прихващане, подправяне или подмяна на съдържанието на съобщенията от трети страни.

Хостингът на Платформата се осигурява от ICN.Bg (Интернет Корпорейтед Нетуъркс ЕООД), което е сертифицирано по ISO 27001:2013 и с това гарантира сигурността на личните данни. Повече информация е публикувана на сайта на доставчика https://www.icn.bg.

Личните данни в Платформата се въвеждат изцяло от потребителя, за което Авторът е разработил и предоставя подходящи инструменти, съобразени с нуждите на работата и действащите счетоводни стандарти.

Авторът е разработил средствата за съхранение и обработка на въведените данни. Платформата не обработва личните данни по никакъв друг начин, освен достъпните за всеки потребител Справки, които са част от нормалната оперативна работа с електронни документи и стандартната счетоводна отчетност, изисквана по закон.

Авторът декларира, че при никакви обстоятелства няма да използва въведените в платформата данни за други цели, извън нейното нормално функциониране.

Авторът осигурява надеждно администриране на системата от краен брой администратори с подходяща квалификация.

Относно администрацията на платформата от страна на Автора

Авторът осигурява администратор/и на платформата, чиято дейност по работа с лични данни се контролира от Длъжностното лице по защита на данните.

Всички администратори на платформата от страна на Автора са обучени за работата си и са запознати за задълженията си съгласно Длъжностна характеристика на администратора на лични данни. Всеки администратор  потвърждава това лично и писмено.

Достъп до администрация на системата имат само актуалните администратори. Правата на тези, които Авторът вече е отписал по някакви съображения, се прекратяват незабавно.

Авторът декларира, че при никакви обстоятелства няма да предостави на трета страна въведените в платформата данни, с изключение на държавните органи, които имат право да ги поискат по закон.

Авторът редовно архивира базата данни на платформата единствено и само с оглед на нейното бързото възстановяване при аварийни обстоятелства. Достъп до всички архиви на базата данни е защитен и се осъществява само от администратор.

Авторът унищожава служебно всички архиви на данните на всеки клиент, който окончателно прекратява регистрацията си в платформата. Това постепенно става в срок до 60 дни след доброволното лично отписване на потребителя от системата.

Работата с платформата е възможна само за регистрирани потребители. Това е така включително и в демонстрационен режим, наречен План Free. Авторът е осигурил възможност за лична и доброволна регистрация на нов клиент. Първият регистриран потребител от името на клиента се приема за основен и получава администраторски права. Същият се приема за официален представител на клиента по всички въпроси, свързани с ползването на платформата.

Относно надеждността на потребителска парола Авторът препоръчва:

  • минимална дължина 8 символа – колкото по-дълга е една парола, толкова по-надеждна е тя;
  • задължително включване на поне една главна буква и един специален символ;
  • без многократно повторение на един символ;
  • да не се ползват като пароли рискови, поради лесна им установимост, думи и съчетания:
  • потребителското име;
  • лични имена, публични псевдоними, инициали, рождени дати, егн;
  • установени елементарни шаблони, например: password, p@ssword, admin, adm!n, admin0, 000000 и подобни.

Администраторът на платформата няма достъп до нито една потребителска парола и затова е освободен от всякаква отговорност при зловредни действия в системата, предизвикани след ползване на официални параметри за достъп (потребителско име и парола) от трети лица.

Относно администрацията от страна на клиента на неговия потребителски акаунт

Клиентът носи пълната отговорност за опазване тайната на своя основен потребител –  администраторът на неговия акаунт в Платформата. Авторът е осигурил възможност на всеки потребител сам да променя паролата си свободно, когато намери за добре. Нито една потребителска парола не е известна на администраторите на платформата.

Авторът осигурява възможност на всеки администратор на клиентски акаунт да регистрира съответния брой потребители от страна на клиента, в съответствие с неговия абонаментен план. Всеки добавен потребител получава свои потребителско име, парола и права за работа със системата. Тази администрация на акаунта не се контролира от администраторите на платформата, което освобождава Автора от отговорност за последствията от неправилна администрация.

Администраторът на клиентски акаунт носи цялата отговорност за своевременното прекратяване на достъпа до Платформата на всеки от регистрираните от него потребители, за когото са настъпили конкретни обстоятелства. Авторът не носи никаква отговорност за зловредни действия в резултат на закъсняло прекратяване.

Относно получателя на електронния документ

Електронните документи, генерирани от платформата, достигат до получателя по e-mail. Надеждността на изпратената поща е гарантирана от Hypertext Transfer Protocol Secure (HTTPS). Съобщението не съдържа самият електронен документ, а само връзката към него. От получателя зависи изцяло на кого ще предостави тази връзка, с което ще му осигури достъп до своя документ.

Заключение

Програмите от пакет ПАСОСС са в употреба от 1992 г. и до момента няма регистриран проблем, свързан с изтичане и злоупотреба с лични данни. Следователно, няма фактически пречки съвместната ни работа да продължи успешно по същия начин. Регламент (ЕС) 2016/679 налага да бъдат предприети и публично оповестени мерки относно защитата на физическите лица, във връзка с обработването на лични данни и относно свободното движение на такива данни. До момента в публичното пространство се разпространяват безконтролно свободни тълкувания на документа и техният общ характер едва ли е универсално полезен. Темата е преекспонирана и се акцентира предимно на глобите, които ни заплашват. Доста фирми трупат обороти от курсове и обучения, които правят без да e ясно дали притежават лиценз или поне права за това и преди да е приет актуализирания вариант на ЗЗЛД, а най-вероятно след него и други нормативни актове. Съдържанието на тези курсове е базирано върху преразказ на Регламента и предимно лични тълкувания на лектора.

Основното и най-важното към момента е, че ЗЕН Електроникс, като автор на тези програмни продукти декларира, че в нито един от тях не се извършва никаква друга обработка на лични данни, освен изискваната от закона и счетоводните стандарти. Резултатите от обработката на тези данни са общодостъпни за потребителя и се наричат Справки.

Усилията ни в близък план са насочени към следното:

  • оптимизация на контролирания достъп до работа с програмите;
  • по-строг регламент за архивиране, съхранение и пренос на базата данни;
  • защита на базата данни от нерегламентиран външен (извън програмата) достъп.

 

Този документ е създаден преди да бъдат приети промените в Закона за защита на личните данни за синхронизация с РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА и отразява изцяло разбиранията на нашия екип по темата, базирани върху предварителни публични тълкувания на Регламента.

Критичният прочит на този документ от страна на Потребителите е задължителен! Готови сме да обсъдим всяко съображение и да потърсим отговор на всеки въпрос.

Преработките в близко бъдеще на този документ, както и на административните функции в програмите, са неизбежни и ще бъдат правени с цел оптимизация.

Коментари са забранени.