Политика за поверителност

1. Общи положения

Регистърът на арбитражите (Регистърът) представлява централизирана, публично достъпна, уеб-базирана информационна система, разработена и поддържана от Министерството на правосъдието на Република България. Регистърът служи за събиране, обработване и предоставяне на информация, свързана с дейността на арбитражните институции, арбитрите и вписаните арбитражни производства, съгласно приложимите нормативни актове.

Регистърът е официален електронен инструмент, чрез който се осигурява прозрачност, достъпност и публичност на информацията, свързана с арбитражната дейност. Чрез него се предоставя равнопоставен достъп на всички заинтересовани страни — граждани, организации, арбитражни институции и други участници — до публикуваните данни и услуги.

Чрез системата се осигурява и възможност за електронно подаване на информация и документи, свързани с регистрацията на арбитражни институции, вписвания и отчетност, както и за достъп до публични справки.

Основната цел на Регистъра е да подпомага доброто управление и прозрачността на арбитражната дейност в Република България, като осигурява достъп до достоверни данни и улеснява административните процеси, свързани с вписване и поддържане на информация.

Обработването на лични данни чрез Регистъра се извършва в пълно съответствие с приложимата нормативна уредба относно защитата на личните данни, включително:

• Регламент (ЕС) 2016/679 – Общ регламент относно защитата на данните (GDPR);
• Закона за защита на личните данни;
• Наредбата за общите изисквания към информационните системи, регистрите и електронните административни услуги;
• Наредбата за минималните изисквания за мрежова и информационна сигурност;
• Вътрешните правила на Министерството на правосъдието, свързани със защитата на информацията и информационната сигурност.

Министерството на правосъдието прилага необходимите технически, организационни и правни мерки за защита на личните данни, обработвани чрез Регистъра, в съответствие с принципите на законност, добросъвестност, прозрачност, ограничаване на целите и минимизация на данните.

2. Администратори на лични данни

Министерството на правосъдието е отговорно за управлението, поддръжката и сигурността на Регистъра на арбитражите, както и за законосъобразното обработване на личните данни, събирани и обработвани чрез него в рамките на предоставяните функционалности.

Министерство на правосъдието на Република България
Адрес: 1040 София, ул. „Славянска“ № 1

Отговорността за законосъобразното обработване на личните данни, които се обработват във връзка с подаването на информация и поддържането на вписвания от страна на регистрирани арбитражни институции и арбитри, се носи от съответния подател на информацията.

С цел гарантиране на законосъобразното и добросъвестно прилагане на изискванията на Общия регламент относно защитата на данните (GDPR) и Закона за защита на личните данни, Министерството на правосъдието е определило длъжностно лице по защита на данните.

До това лице гражданите, арбитражните институции и юридическите лица могат да се обръщат за:

• информация относно обработването на техните лични данни чрез Регистъра;
• съдействие при упражняване на правата им като субекти на данни;
• подаване на сигнали, запитвания или предложения, свързани с прилагането на настоящата Политика за поверителност.

Данни за контакт с длъжностното лице по защита на личните данни:
Електронен адрес: [email protected]

3. Категории лични данни, които се обработват

В рамките на функционирането на Регистъра на арбитражите се обработват ограничени по обем категории лични данни, необходими за:

• идентификация на потребителите;
• управление на потребителските профили и достъп;
• обработване на заявления и документи;
• изпълнение на нормативно установени задължения;
• гарантиране сигурността и техническата поддръжка на системата.

Обработването се извършва съгласно принципите на минимизация, законосъобразност, точност, ограничение на целите, добросъвестност и прозрачност, в съответствие с Регламент (ЕС) 2016/679 (GDPR) и Закона за защита на личните данни.

Категориите лични данни, които могат да бъдат събирани и обработвани чрез Регистъра, включват следните групи:

3.1. Данни при регистрация и идентификация

Тези данни са необходими за създаване на потребителски профил и за предоставяне на достъп до функционалностите на Регистъра:

• Име, фамилия и по желание презиме;
• Електронна поща (използва се като идентификатор);
• Данни за удостоверяване на достъпа до системата:
  • при използване на Квалифициран електронен подпис (КЕП) – удостоверителни атрибути;
  • при вход чрез потребителско име и парола – паролата се съхранява единствено в хеширан вид.

При вход чрез е-Автентикация Министерството на правосъдието получава само минимално необходимите атрибути за идентификация, без достъп до други удостоверителни данни.

3.2. Данни във връзка с подаването и обработването на заявления

При подаване, обработване и съхранение на документи и заявления в Регистъра могат да се обработват следните категории лични данни:

• Данни на заявителя (физическо лице или законен представител);
• Данни на законни представители на арбитражна институция;
• Данни на арбитри;
• Данни на участници в арбитражни производства, когато са включени в подадени документи или електронни заявления;
• Данни, съдържащи се в приложени документи, удостоверения, декларации или други официални документи;
• Данни, генерирани в процеса на обработване на заявления – входящ номер (номер на заявление), дата на подаване, статус, резултати и други.

Тази информация може да включва: лични имена, ЕГН/ЛНЧ, данни от документи за самоличност, професионални данни, адреси, длъжности, телефон, имейл, електронни подписи и др., когато това е нормативно изискуемо за изпълнение на процедурата.

3.3. Данни, свързани с електронни плащания

При извършване на плащания чрез електронната система за е-Плащане могат да бъдат обработвани:

• данни за извършена транзакция;
• идентификатор на плащането;
• основание за плащане;
• статус на плащане.

Регистърът не съхранява банкови карти или финансови идентификатори — обработването се извършва само от системата за е-Плащане съгласно нормативните изисквания.

3.4. Технически и аналитични данни

За гарантиране на сигурността, стабилността и аналитичната отчетност на системата се събират и обработват следните технически данни:

• IP адрес и информация за използвания браузър или устройство – обработват се с цел осигуряване на техническа сигурност, диагностика и предотвратяване на злоупотреби;
• Данни от бисквитки (cookies) – използват се за осигуряване на нормалното функциониране на регистъра, поддръжка на потребителските сесии, както и за статистически и аналитични цели (при изразено съгласие от потребителя);
• Журнални (лог) данни – отразяват действията, извършвани от потребителите, администраторите и модераторите в системата, с цел проследимост, отчетност и защита от неоторизиран достъп.

3.5. Данни, съдържащи се в публичните регистри

Определени категории данни, след валидиране и обработване, могат да бъдат публично достъпни съгласно нормативните изисквания — например:

• вписани арбитражни институции;
• вписани арбитри;
• статут на заявления и вписвания;
• публични справки за дела, когато това е законово предвидено.

Данни, които не подлежат на публичност по закон, не се публикуват.

4. Цели на обработването на личните данни

Министерството на правосъдието обработва лични данни чрез Регистъра на арбитражите единствено за предварително определени, конкретни и законни цели, свързани с функционирането на системата, предоставянето на електронни услуги и изпълнението на нормативните задължения на държавната администрация.

Обработването на данни се извършва при спазване на следните принципи съгласно Регламент (ЕС) 2016/679 (GDPR):

• Личните данни се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);
• Личните данни се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита за несъвместимо с първоначалните цели („ограничение на целите“);
• Личните данни са подходящи, свързани с и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);
• Личните данни са точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);
• Личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при условие че бъдат приложени подходящите технически и организационни мерки („ограничение на съхранението“);
• Личните данни се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“).

Обработването на лични данни чрез Регистъра на арбитражите се извършва единствено за конкретно определени, изрично посочени и законни цели, свързани с неговото функциониране, предоставянето на електронни административни услуги, поддържането на нормативно определени регистри и изпълнението на задълженията на Министерството на правосъдието в обществен интерес.

Личните данни се обработват при спазване на принципите на пропорционалност, минимизация и прозрачност, като не се използват за цели, несъвместими с първоначалното основание за тяхното събиране и обработване. Данните не се обработват допълнително по начин, който би бил несъвместим с първоначалните цели, освен ако това се изисква по закон или е допустимо съгласно приложимата нормативна уредба.

Основните цели на обработването включват:

Идентификация и удостоверяване на потребителите

Личните данни се използват за идентифициране на регистрираните потребители, които подават заявления, извършват действия в системата или управляват информация, свързана с арбитражни институции, арбитри или арбитражни производства. Данните позволяват осигуряване на сигурен достъп до индивидуалните потребителски профили, удостоверяване на правомощията на заявителите и предотвратяване на неправомерен достъп или злоупотреба с идентичност.

Осигуряване на достъп до защитени функционалности

Определени функции на Регистъра, като подаване на заявления, достъп до административни услуги, подписване на документи или извършване на действия от името на юридическо лице, изискват удостоверяване на самоличността чрез електронна идентификация, включително чрез е-Автентикация, Квалифициран електронен подпис (КЕП) или други утвърдени средства за електронна идентификация. Обработването на данни, свързани с достъпа и идентификацията, има за цел да гарантира автентичността на извършените действия, валидността на подадените документи и защитата на правата и законните интереси на всички участващи страни.

Управление на процесите по вписване и поддържане на информация

Личните данни се обработват с цел организиране, администриране и поддържане на информацията, свързана с арбитражни институции, арбитри и арбитражни производства. Това включва обработване на данни, въведени от потребителите при подаване на заявления и документи, проследяване на статуси, генериране на административни актове и съхраняване на история на извършените действия. Част от информацията може да бъде публично достъпна, когато това е предвидено в нормативен акт, с цел осигуряване на прозрачност, проследимост и обществен контрол.

Комуникация и уведомяване на потребителите

Електронните адреси и идентификационни данни могат да бъдат използвани за изпращане на уведомления, потвърждения и съобщения, свързани с действия, извършени в системата — като подаване на заявление, промяна на статус, необходимост от допълване на информация, издаване на административен акт или други автоматични известия. Изпращането на такива съобщения се извършва въз основа на нормативно задължение, техническа необходимост или валиден потребителски абонамент, когато е приложимо.

Обработка и администриране на подадени заявления и документи

При подаване на заявления, декларации, документи или други официални сведения чрез Регистъра, личните данни се използват за удостоверяване на подателя, за обработване на предоставената информация и за изпълнение на предвидените административни процедури. Когато е необходимо, данните могат да бъдат препращани към компетентни институции или обработвани чрез Системата за сигурно електронно връчване (ССЕВ), в съответствие с действащото законодателство и с цел изпълнение на административни услуги, проверки и последващи действия.

Подобряване на функционалността, достъпността и сигурността на системата

Техническите и аналитичните данни се обработват с цел поддържане на стабилността, сигурността и непрекъсваемостта на работата на Регистъра. Това включва анализ на натоварването, мониторинг на работата на системата, предотвратяване, откриване и реагиране на инциденти по сигурността, оптимизация на потребителския интерфейс, производителността и достъпността на услугите. Обработването на тези данни подпомага усъвършенстването на функциите на системата и подобряването на потребителското изживяване.

Изпълнение на нормативни и обществени задължения

Обработването на лични данни се извършва и с цел изпълнение на нормативно установени задължения на Министерството на правосъдието, произтичащи от Закона за международния търговски арбитраж, Закона за електронното управление, Закона за съдебната власт, Закона за защита на личните данни, както и други приложими нормативни актове. Данните могат да бъдат използвани и при осъществяване на дейности, свързани с отчетност, контролни проверки, изпълнение на законово установени административни процеси и гарантиране на обществения интерес.

Всички дейности по обработване на лични данни се извършват при стриктно спазване на изискванията на Регламент (ЕС) 2016/679 (GDPR) и Закона за защита на личните данни. Министерството на правосъдието прилага необходимите технически и организационни мерки за защита на информацията, предотвратяване на неоторизиран достъп и гарантиране на поверителност, цялостност и сигурност на обработваните лични данни.

5. Правно основание за обработването

Обработването на лични данни чрез Регистъра на арбитражите се извършва въз основа на едно или повече от следните правни основания, съгласно чл. 6 от Регламент (ЕС) 2016/679 (GDPR):

• чл. 6, пар. 1, буква „е“ от GDPR – обработването е необходимо за изпълнение на задача от обществен интерес или при упражняване на официални правомощия, предоставени на Министерството на правосъдието, включително поддържане на публичен регистър, когато това е установено в закон.
• чл. 6, пар. 1, буква „в“ от GDPR – обработването е необходимо за изпълнение на нормативно задължение на администратора, произтичащо от приложимото законодателство.
• чл. 6, пар. 1, буква „а“ от GDPR – когато обработването на определени категории данни (например аналитични „бисквитки“ или абонаментни съобщения) се извършва въз основа на изрично дадено съгласие от потребителя. Съгласието може да бъде оттеглено по всяко време, без това да засяга законосъобразността на предходното обработване.
• Закона за електронното управление, Закона за нормативните актове и Закона за администрацията;
• при използване на КЕП или еАвтентикация – Закона за електронния документ и електронните удостоверителни услуги.

6. Споделяне и публичност на данните

Определена информация, въведена и вписана в Регистъра на арбитражите, може да бъде публично достъпна, когато това е предвидено в нормативен акт и е необходимо за осигуряване на прозрачност и проследимост в дейността на арбитражните институции. Публикуваната информация е ограничена до данните, които подлежат на оповестяване по силата на закона и не включва лични данни, които не са необходими за изпълнение на публичната функция на регистъра.

Регистърът не публикува лични данни извън предвидените в нормативната уредба категории или извън информацията, която потребителят е предоставил по своя инициатива в документи, подлежащи на публичност.

Министерството на правосъдието не предоставя лични данни на трети лица, освен ако това не се изисква от закон, съдебен акт, административно производство или по искане на компетентен държавен орган.

Обобщени данни, статистики и аналитични справки, извлечени от функционирането на регистъра, могат да бъдат публикувани в анонимизиран и машинночетим формат, когато това е необходимо за отчетност, прозрачност или за целите на повторна употреба на информация в обществен интерес, без да съдържат информация, позволяваща идентифициране на физически лица.

7. Вашите права като субект на данни

Съгласно GDPR и Закона за защита на личните данни имате право:

• на достъп до личните си данни;
• на корекция или актуализация;
• на ограничаване на обработването;
• на възражение срещу обработването;
• на изтриване („право да бъдете забравени“), когато това не противоречи на нормативно задължение за съхранение;
• на преносимост на данните;
• да подадете жалба до Комисията за защита на личните данни (КЗЛД) – https://www.cpdp.bg

Заявления за упражняване на права могат да бъдат подавани:

• чрез формата за контакт на сайта;
• по електронен път чрез Системата за сигурно електронно връчване (ССЕВ);
• по имейл: [email protected]
• на адрес: 1040 София, ул. „Славянска“ № 1

В случай на нарушение физическите лица имат право също да отправят запитвания и жалби до надзорния орган Комисия за защита на личните данни (КЗЛД). Данни за контакт с КЗЛД: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, електронен адрес: [email protected], интернет страница: www.cpdp.bg.

8. Защита и сигурност на данните

Министерството на правосъдието прилага технически и организационни мерки за защита на личните данни, обработвани чрез Регистъра на арбитражите, включително, но не само:

• криптирана комуникация чрез HTTPS протокол;
• контрол на достъпа, автентикация на потребителите и допълнителни нива на защита за административни профили;
• поддържане на журнал на действията в системата, който не подлежи на редакция или изтриване и осигурява проследимост на достъпа и операциите;
• регулярни архиви и резервни копия на данни, с цел предотвратяване на загуба на информация;
• системи за мониторинг на сигурността, защита от неоторизиран достъп, предотвратяване на злоупотреби и откриване на инциденти по сигурността.

Мерките за защита се актуализират периодично съобразно технологичното развитие, установените рискове и приложимите нормативни изисквания.

9. Бисквитки (cookies)

Регистърът използва необходими (функционални) „бисквитки“, които осигуряват нормалната работа на системата, включително поддържането на потребителски сесии и достъпа до защитени функционалности. Тези „бисквитки“ се активират автоматично и не могат да бъдат деактивирани чрез настройките на сайта, тъй като са необходими за коректното функциониране на системата.

Аналитични „бисквитки“ могат да бъдат използвани за създаване на статистически данни и за подобряване на работата, достъпността и надеждността на Регистъра. Тези „бисквитки“ се активират само след изрично дадено съгласие от потребителя чрез банера за настройка на „бисквитки“.

Подробна информация относно видовете използвани „бисквитки“, целите на тяхното съхранение и начина на управление е достъпна в отделната Политика за бисквитките.