I. Общи положения
1. Настоящите вътрешни правила уреждат реда и мерките за събиране,
обработване, съхранение, предоставяне и унищожаване на лични данни в ОУ
„Петко Рачев Славейков“, с. Кортен.
2. Правилата са изготвени на основание Регламент (ЕС) 2016/679 (GDPR), Закона
за защита на личните данни (ЗЗЛД), Закона за предучилищното и училищното
образование (ЗПУО) и Наредба № 2 от 2017 г.
3. Целта е да се гарантира законосъобразното, добросъвестно и прозрачно
обработване на лични данни на учениците, техните родители/настойници,
педагогически и непедагогически персонал, както и на трети лица, имащи
отношения с училището. Правилата целят и да уредят процедурите при
нарушаване на сигурността на личните данни.

II. Основни принципи
Личните данни се обработват при спазване на следните принципи:
 Законосъобразност, добросъвестност и прозрачност: Данните се обработват
открито, с информиране на субектите.
 Ограничение на целите: Събиране само за конкретни, изрично указани и
легитимни цели.
 Свеждане до минимум на данните: Събират се само тези данни, които са
абсолютно необходими за конкретната цел.
 Точност и актуалност: Предприемат се мерки за поддържане на данните в точен
и актуален вид.
 Ограничение на съхранението: Данните се съхраняват само за срока, определен
от нормативен акт или за постигане на целта.
 Цялост и поверителност (Сигурност): Чрез подходящи технически и
организационни мерки се гарантира защита срещу неразрешено или
незаконосъобразно обработване, случайна загуба или унищожаване.

III. Категории лични данни
1. Ученици: Три имена, ЕГН, дата и място на раждане, адрес, телефон, имейл, здравни
данни (при необходимост/спешност), резултати от обучението, дисциплинарни мерки,
отсъствия, данни за банкова сметка (при изплащане на стипендии), снимков материал
(при съгласие).
2. Родители/Настойници: Имена, ЕГН, телефон, адрес, подпис в заявления и протоколи,
данни за банкова сметка (при плащане на такси/възстановяване на суми).
3. Педагогически и Непедагогически персонал: Лични данни по трудово/служебно
правоотношение, квалификации, професионален опит, Свидетелство за съдимост,
медицински документи (за постъпване на работа и периодични прегледи), данни за
банкова сметка (за изплащане на възнаграждение).

IV. Администратор и отговорности
 Администратор на лични данни е Директорът на училището.
 Прилага се вътрешен контрол по защита на личните данни, упражняван от
определено Длъжностно лице по защита на данните (ДЛЗД).
 ДЛЗД подпомага директора в прилагането на правилата, води регистрите и е
точка за контакт със субектите на данни и КЗЛД.
Всеки служител е длъжен:
 Да обработва лични данни само за служебни цели и в рамките на възложените
му задължения.
 Да спазва пълна поверителност.
 Да докладва незабавно (в рамките на работния ден) за всяко нарушение или риск
от нарушение на ДЛЗД и/или директора.

V. Права на субектите на данни
Ученици (чрез родители/настойници), служители и трети лица имат право на:
 Достъп до своите данни (чл. 15 от GDPR).
 Коригиране и актуализиране на неточни данни (чл. 16).
 Изтриване („право да бъдеш забравен“) (чл. 17).
 Ограничаване на обработването (чл. 18).
 Преносимост на данни (чл. 20).
 Възражение срещу обработването (чл. 21).

 Жалба до Комисията за защита на личните данни (КЗЛД) при нарушение.

VI. Събиране и обработване на данни
Личните данни се събират на едно от следните правни основания:
1. Нормативно изискване: Закон за предучилищното и училищното образование
(ЗПУО), Кодекс на труда, ЗДДФЛ и др. (за всички задължителни данни).
2. Договорно отношение: Трудов договор, граждански договор, договор за
обучение.
3. Легитимен интерес: Когато обработването е необходимо за законни интереси на
училището или трета страна (напр. за вътрешен контрол).
4. Съгласие: За участие на дете в дейности извън задължителната подготовка
(напр. снимки, публикации).
Изисквания към съгласието: Съгласието трябва да бъде свободно изразено, конкретно,
информирано и недвусмислено. Предоставя се писмено (чрез Приложение 1) и може да
бъде оттеглено по всяко време чрез писмено заявление до директора. Оттеглянето не
засяга законосъобразността на обработването до момента на оттеглянето.

VII. Съхранение и защита на данните
1. Хартиени документи: Съхраняват се в заключени шкафове и помещения с
ограничен достъп.
2. Електронни данни: Съхраняват се в защитени системи с индивидуални пароли и
ограничен достъп. Използват се системи за архивиране (backup) и актуални
антивирусни програми.
3. Срокове за съхранение: Определят се съгласно нормативните изисквания (напр.
ученически досиета – до 5 години след завършване; счетоводни документи – 10
години, трудови досиета – 50 години).
4. Унищожаване: След изтичане на срока данните се унищожават чрез шредиране
(за хартиени) или трайно изтриване (за електронни) по надлежния ред и се
съставя протокол.

VIII. Предоставяне на данни
Данни се предоставят на външни страни само при наличие на законово основание или
писмено съгласие на субекта:

 Законово основание: Министерство на образованието и науката (МОН),
Регионално управление на образованието (РУО), НАП, НОИ, Агенция за
социално подпомагане и други държавни органи.
 Партньори и доставчици: Само с Анекс за обработване на лични данни или
Споразумение за поверителност (NDA), гарантиращо, че те спазват същите
мерки за защита.
Забранява се предоставянето на лични данни на външни лица или институции без
горепосоченото основание.

IX. Нарушения и санкции
 Всяко нарушение или предполагаемо нарушение на правилата се докладва
незабавно на директора и ДЛЗД.
 ДЛЗД извършва оценка на риска и при необходимост уведомява КЗЛД в срок до
72 часа от установяване на нарушението.
 Виновните лица носят дисциплинарна и/или административна отговорност
съгласно Кодекса на труда и ЗЗЛД.

X. Заключителни разпоредби
 Настоящите правила влизат в сила от датата на утвърждаването им със заповед
на директора.
 Всеки служител е длъжен да се запознае с правилата срещу подпис.
 Приложения: Декларации, заявления и регистър на достъп (неразделна част от
правилата).

ПРИЛОЖЕНИЯ
Приложение 1: Декларация за съгласие на родител/настойник
ДЕКЛАРАЦИЯ
Аз, долуподписаният/ата:

ЕГН: ___________________________
Адрес: ___________________________
Телефон: ___________________________ Като родител/настойник на:
___________________________, ученик в ОУ „Петко Рачев Славейков“, с. Кортен
Декларирам, че давам/не давам (моля, отбележете) съгласие училището да
обработва личните данни на детето ми за следните цели:
Цел на обработване Съгласие
(Отбележете)

1. Участие в училищни и извънкласни мероприятия с
публикуване на снимки и видеа на сайта на училището и в
социалните медии.

ДА □ / НЕ □

2. Предоставяне на здравни данни (при необходимост) на
медицинско лице или служител на училището при спешни случаи. ДА □ / НЕ □
3. Участие в училищни проекти, конкурси и олимпиади с
публично обявяване на имената и резултатите. ДА □ / НЕ □
Разбирам, че съгласието ми е доброволно, конкретно и информирано и може да бъде
оттеглено по всяко време чрез писмено заявление до директора на училището.
Дата: ___________ Подпис: ___________

Приложение 2: Заявление за достъп до лични данни
ЗАЯВЛЕНИЕ
До: Директор на ОУ „Петко Рачев Славейков“, с. Кортен
Аз,

ЕГН: ___________________________
Адрес: ___________________________
Телефон: ___________________________
Моля да ми бъде предоставен достъп до личните данни, които училището
обработва относно мен/детето ми ___________________________ за целите на:

Съгласно чл. 15 от GDPR имам право да получа копие на данните, информация за
източника им, целите на обработката, категориите данни и срока на съхранение.
Дата: ___________ Подпис: ___________

Приложение 3: Заявление за корекция/поправка на лични данни
ЗАЯВЛЕНИЕ
До: Директор на ОУ „Петко Рачев Славейков“, с. Кортен
Аз,

ЕГН: ___________________________
Адрес: ___________________________
Телефон: ___________________________
Моля да се извърши корекция/поправка на следните данни:
Данни, които подлежат на корекция Неточна/стара стойност Точна/актуална стойност

Експортиране в Таблици
Причина за корекция:

Дата: ___________ Подпис: ___________