Открийте ни и в: Facebook
Прес център

ФИРМЕНИ ПОЛИТИКИ, ПРОЦЕДУРИ И ПРАВИЛА

По повод на влизането в сила от 25 Май 2018г. на общ Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни (General Data Protection Regulation или GDPR), който следва да замени действащия досега в Република България национален закон - Закона за защита на личните данни, и с оглед на новите изисквания на този общ Регламент и навременното привеждане на дейността на Дружеството в съответствие с него, се разработиха и одобриха от ръководството на Дружеството настоящите фирмени политики и правила.

Тези политики и правила следва да се доведат до знанието на всички служители на Дружеството, съответно да повишат тяхната осведоменост и отговорност и да се внедрят и прилагат в цялостната дейност на Дружеството.

РАЗДЕЛ А.  ЗАПОЗНАВАНЕ С НОВИЯ ОБЩ РЕГЛАМЕНТ

ЦЕЛ И ОБХВАТ НА РЕГЛАМЕНТА

Глобализацията и дигитализацията, бързото технологично развитие и навлизането на нови бизнес модели превръщат личните данни във все по-важен ресурс и ги поставят във фокуса на световните икономики и пазари. Технологиите позволяват и на частните дружества, и на публичните органи да използват лични данни в безпрецедентни мащаби, за да упражняват дейността си. Физическите лица все по-често оставят лична информация. В същото време злонамерената употреба и недостатъчната защита на личните данни създават все повече заплахи за отделния човек. Социалните и икономическите процеси в днешния свят и заплахите за гражданите мотивираха Европейския съюз да предприеме драстични мерки и да създаде силна и съгласувана рамка за защита на данните. Режимът за защита на личните данни днес е предмет на една от най-обсъжданите законодателни реформи, а санкциите за нарушения в тази област достигат безпрецедентни размери. Така на 27 април 2016 г. е приет Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета на ЕС за защитата на физическите лица във връзка с обработването на лични данни и за отмяна на Директива 95/46/ЕО, придобил популярност като GDPR.

GDPR е общ европейски закон, резултат от четири години усилена работа на европейските институции. Неговата роля е да защити правата на субектите на данни и да унифицира европейското законодателство във всички държави-членки на ЕС. Ще се прилага автоматично и в България от 25 май 2018г. GDPR разширява правата на субектите на данни и въвежда редица нови задължения за администраторите и обработващите лични данни.

Защитата на физическите лица във връзка с обработването на лични данни е основно право и всеки има право на защита и на контрол върху собствените му лични данни. Защитата, предоставена с новия общ Регламент се прилага спрямо физическите лица, независимо от тяхното гражданство или местопребиваване, във връзка с обработването на техните лични данни.  Регламентът не обхваща обработването на данни, които засягат юридически лица. Регламент не се прилага и за обработването на лични данни от физическо лице в рамките на негова изцяло лична дейност или дейност в рамките на домакинството, която няма връзка с професионална или търговска дейност.

ОСНОВНИ ПРИНЦИПИ СВЪРЗАНИ С ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ

Защитата на физическите лица се прилага за обработването на лични данни както с автоматични средства, така и за ръчното им обработване. Личните данни следва да се обработват, единствено ако целта на обработването не може да бъде постигната в достатъчна степен с други средства. При събиране и обработване на лични данни следва да се спазват следните основни принципи:

Законосъобразност, добросъвестност и прозрачност

Личните данни следва да се събират и обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните.

 Ограничение на целите

Личните данни следва да се събират за конкретни, изрично указани и легитимни цели и да не се обработват по-нататък по начин, несъвместим с тези цели.

Свеждане на данните до минимум

Личните данни следва да се събират по начин подходящ, пряко относим и ограничен до необходимия минимум във връзка с целите, за които се събират и обработват. Обработването на лични данни следва да се сведе до минимум в съответствие с принципите на пропорционалност и необходимост.

Личните данни следва да са точни и поддържани в актуален вид; при необходимост следва да се предприемат всички разумни мерки, за да се гарантира своевременното коригиране или изтриване на неточни лични данни, като се имат предвид целите, за които те се обработват.

 Ограничение на съхранението

Личните данни следва да са съхранявани във форма, която да позволява идентифицирането на субекта на данните и само за период, не по-дълъг от необходимото за конкретните цели, за които се обработват тези данни. С цел да се гарантира, че срокът на съхранение на личните данни не е по-дълъг от необходимия, администраторът следва да установи срокове за изтриване на данните или техния периодичен преглед.

Цялостност и поверителност

Личните данни следва да са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.

3. ЗАКОНОСЪОБРАЗНОСТ, ДОБРОСЪВЕСТНОСТ И ПРОЗРАЧНОСТ НА ОБРАБОТВАНЕТО

Основно изискване към администраторите е да извършват всяко събиране и обработване на лични данни законосъобразно, добросъвестно и прозрачно.

За да бъде обработването законосъобразно, личните данни следва да бъдат обработвани въз основа на съгласието на съответния субект на данни или на друго легитимно основание, установено по законодателен път, включващо необходимостта от изпълнение на договор, по който субектът на данни е страна или с оглед предприемане на стъпки по искане на субекта на данни преди встъпване в договорни отношения. Така регламентът определя, че обработването на лични данни е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

1/ субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

2/ обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

3/ обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

Когато обработването се извършва въз основа на съгласието на субекта на данните, администраторът следва да може да докаже, че субектът на данните е дал съгласието си за операцията по обработване. Съгласие следва да се дава чрез ясно утвърдителен акт, с който да се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация за съгласие, предварително съставена от администратора в разбираема и лесно достъпна форма, на ясен и прост език, включително по електронен път, или устна декларация. Съгласието на субекта може да бъде предоставено и чрез отбелязване с отметка в поле в бланков документ, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни.

Съгласието следва да е свободно изразено. Когато събиране и обработване на лични данни не е необходимо за сключване и изпълнение на един договор, то изпълнението на договора или предоставянето на услугата не трябва да се поставя в зависимост от даването на съгласие за обработване на лични данни.

Субектът на данни има правото да оттегли съгласието си по всяко време. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне.

Обработването на лични данни е законосъобразно, когато то е необходимо в контекста на договор или при намерение за сключване на договор.

Обработването на лични данни следва да се счита за законосъобразно и когато то е необходимо за да се защити интерес от първостепенно значение за живота на субекта на данните или жизненоважен интерес на друго физическо лице.

При събиране на лични данни от субекта на данните, администраторът от своя страна предоставя на субекта следната информация:

1/ данните, които идентифицират администратора, координатите за връзка с него и неговите представители (когато е приложимо - координатите за връзка с длъжностното лице по защита на данните);

2/ целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

3/ получателите или категориите получатели на личните данни;

4/ срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;

5/ съществуването на следните права на субекта: правото да изиска от администратора достъп до, коригиране или изтриване на личните му данни; правото да иска ограничаване на обработването, правото да направи възражение срещу обработването, правото на преносимост на данните и правото на жалба до надзорен орган;

6/ дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени;

Принципите на добросъвестно и прозрачно обработване изискват субектът на данни да бъде информиран за съществуването на операция по обработване и за нейните цели. За физическите лица следва да е прозрачно по какъв начин отнасящи се до тях лични данни се събират, използват, консултират или обработват по друг начин, както и в какъв обхват се извършва или ще се извършва обработването на данните.

Следва да бъдат предвидени ред и условия за улесняване на упражняването на правата на субектите на данни съгласно Регламента, включително механизми за искане, и ако е приложимо — получаване, без заплащане, по-специално на достъп до, коригиране или изтриване на лични данни и упражняване на правото на възражение. Администраторът следва да предостави и средства за подаване на искания по електронен път, особено когато личните данни се обработват електронно. Администраторът следва да бъде задължен да отговоря на исканията на субекта на данни без ненужно забавяне и най-късно в рамките на един месец, както и да посочи причините, ако не възнамерява да се съобрази с тези искания.

ПРАВА НА ФИЗИЧЕСКИТЕ ЛИЦА – СУБЕКТИ НА ДАННИ

Право на достъп на субекта на данните

Субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

- целите на обработването;

- съответните категории лични данни;

- получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;

- предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;

- съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване; правото на жалба до надзорен орган;

- когато личните данни не са събрани от субекта на данните - всякаква налична информация за техния източник.

Право на коригиране

Субектът на данни има право да поиска от администратора да коригира без ненужно забавяне неточните лични данни, свързани с него. Като се имат предвид целите на обработването субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация.

Право на изтриване (реализиране на правото „да бъдеш забравен“)

Субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:

- личните данни повече не са необходими за целите, за които са били събрани или обработвани;

- субектът на данните оттегли своето съгласие, върху което се основава обработването на данните; 

- субектът на данните възразява срещу обработването.

Право на ограничаване на обработването

Субектът на данните има право да изиска от администратора ограничаване на обработването, когато е налице едно от следните обстоятелства:

- точността на личните данни се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на личните данни;

- обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

- администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;

- субектът на данните е възразил срещу обработването, в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.

Когато субект на данните е изискал ограничаване на обработването, администраторът го информира преди отмяната на ограничаването на обработването.

Администраторът съобщава за всяко извършено коригиране, изтриване или ограничаване на обработване на всеки субект, освен ако това е невъзможно или изисква несъразмерно големи усилия. 

Право на преносимост на данните

Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени първоначално.

Право на възражение

Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на неговите лични данни. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта, или че е необходимо за установяването, упражняването или защитата на правни претенции.

Администраторът предоставя на субекта на данни информация относно действията, предприети във връзка с искане за реализиране на правата по – горе, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго. Когато администраторът има основателни опасения във връзка със самоличността на физическото лице, което подава искане за реализиране на правата по – горе, администраторът може да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта.

УВЕДОМЯВАНЕ НА НАДЗОРНИЯ ОРГАН И НА СУБЕКТА НА ДАННИ ЗА НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ

Нарушаването на сигурността на лични данни може, ако не бъде овладяно по подходящ и навременен начин, да доведе до физически, материални или нематериални вреди за физическите лица, като загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, или всякакви други значителни икономически или социални неблагоприятни последствия за засегнатите физически лица.

Поради това, веднага след като установи нарушение на сигурността на личните данни, администраторът следва да уведоми надзорния орган (Комисията за защита на личните данни) за нарушението на сигурността на личните данни без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, освен ако администраторът не е в състояние да докаже в съответствие с принципа на отчетност, че няма вероятност нарушението на сигурността на личните данни да доведе до риск за правата и свободите на физическите лица. Когато такова уведомление не може да бъде подадено в срок от 72 часа, то следва да посочва причините за забавянето и че информацията може да се подаде поетапно без ненужно допълнително забавяне.

В уведомлението се съдържа най-малко следното:

- описание на естеството на нарушението на сигурността на личните данни, включително, ако е възможно, категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;

- посочване на името и координатите за връзка на длъжностното лице по защита на данните (ако е приложимо) или на друга точка за контакт, от която може да се получи повече информация;

- описание на евентуалните последици от нарушението на сигурността на личните данни;

- описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

Администраторът следва да уведоми и субекта на данни за нарушението на сигурността на личните данни без ненужно забавяне, когато има вероятност нарушението на сигурността на личните данни да доведе до висок риск за правата и свободите на физическото лице, за да му се даде възможност да предприеме необходимите предпазни мерки. В уведомлението следва да се посочва естеството на нарушението на сигурността на личните данни, както и да се дадат препоръки на засегнатото физическо лице за това как да ограничи потенциалните неблагоприятни последици. 

ПРАВО НА СУБЕКТИТЕ НА ЖАЛБА И ОБЕЗЩЕТЕНИЕ ПРИ НАРУШАВАНЕ НА РЕГЛАМЕНТА

Всеки субект на данни има право да подаде жалба до един надзорен орган, по-специално в държавата членка на обичайно си местопребиваване, ако счита, че правата му по Регламента са нарушени или ако надзорният орган не предприема действия по подадена жалба, изцяло или частично отхвърля или оставя без разглеждане жалба или не предприема действия, когато такива са необходими, за да се защитят правата на субекта на данни. Всеки субект има право и на ефективна съдебна защита срещу отнасящо се до него решение със задължителен характер на надзорен орган или когато негова жалба е била отхвърлена или оставена без разглеждане от надзорния орган. Производствата срещу даден администратор или обработващ лични данни се образуват пред съдилищата на държавата членка, в която администраторът или обработващият лични данни има място на установяване. Като алтернативен вариант такива производства могат да се образуват пред съдилищата на държавата членка, в която субектът на данните има обичайно местопребиваване, освен ако администраторът или обработващият лични данни е публичен орган, действащ в изпълнение на публичните си правомощия.

Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на Регламента, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Администраторът или обработващият лични данни се освобождава от отговорност ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата. Всеки администратор или обработващ лични данни, който е изплатил пълно обезщетение, може впоследствие да предяви регресен иск срещу другите администратори или обработващи лични данни, участвали в същото обработване.

ПРАВОМОЩИЯ НА НАДЗОРНИТЕ ОРГАНИ И НАЛАГАНИ ОТ ТЯХ САНКЦИИ

С цел да се засилят и хармонизират административните наказания за нарушения на Регламента, всеки надзорен орган има право да налага административни наказания „глоба“ или „имуществена санкция“. Видът на наказанието и неговият размер се определят от надзорния орган във всеки отделен случай, като се вземат предвид всички обстоятелства, свързани с конкретната ситуация, по-специално при надлежно отчитане на естеството, тежестта и продължителността на нарушението и на последиците от него, както и на мерките, предприети, за да се гарантира спазване на задълженията по Регламента и за да се предотвратят или смекчат последиците от нарушението. Надзорният орган следва да има предвид общото равнище на доход в съответната държава членка, както и икономическото състояние на лицето, за да определи подходящия размер на наказанието.

На административно наказание „глоба“ или „имуществена санкция“ в размер до 10 000 000 EUR, или в случай на предприятие — до 2 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока, подлежат нарушенията на задълженията на администратора и обработващия лични данни съгласно членове 8, 11, 25—39 и 42 и 43 от Регламента.

На административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR, или в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока, подлежат нарушенията от администратора и обработващия лични данни на основните принципи за обработване на лични данни, включително условията, свързани с даването на съгласие, в съответствие с членове 5, 6, 7 и 9 от Регламента, нарушенията на правата на субектите на данни съгласно членове 12—22 от Регламента, предаването на лични данни на получател в трета държава или международна организация съгласно членове 44—49 от Регламента, както и неспазване на разпореждане на надзорния орган или непредоставяне на надзорния орган на достъп до информация.

Освен да налага административни наказания „глоба“ или „имуществена санкция“, в допълнение към тях или вместо тях, надзорния орган има и следните корективни правомощия: да отправя предупреждения и официални предупреждения до администратора или обработващия лични данни, да отправя разпореждания за изпълнение по определен начин и в определен срок, да налага временно или окончателно ограничаване на обработването на данни, да разпорежда коригиране, изтриване на лични данни или ограничаване на обработването им.

Надзорният орган КЗЛД има правомощие да провежда разследвания под формата на одити във връзка със защита на данните, във връзка с което има право на достъп до всички помещения на администратора и обработващия лични данни, до цялото оборудване и технически средства за обработване. Надзорният орган има право да изисква от администратора и обработващия лични данни всички данни и цялата информация, от която се нуждае за изпълнение на своите задачи.

ДЕФИНИЦИИ НА ТЕРМИНИТЕ СЪГЛАСНО РЕГЛАМЕНТА

За целите на Регламента:

1/„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

2/ „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

3/ „ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

4/ „регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

5/ „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни;

6/ „обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

7/ „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

8/ „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

РАЗДЕЛ Б. ФИРМЕНИ ПОЛИТИКИ, ПРОЦЕДУРИ И ПРАВИЛА

Политики, процедури и правила приложими при събиране и обработване на лични данни

Лични данни на физически лица се събират и обработват от служители на Дружеството:

1.1. Когато това е необходимо за целите на сключване и изпълнение на договор. Процедура при сключване на договор – личните данни на лицето по документ за самоличност се снемат от документа, като копие от документа за самоличност не се изисква и задържа. По същият начин се събират данни за лице, действащо в качеството си на пълномощник – личните му данни и данните от пълномощното се снемат, пълномощното се проверява за автентичност чрез справка при нотариуса, който го е издал, и копия от документа за самоличност и от пълномощното не се изискват и задържат. За целите на договора се събират и данни за кореспонденция с лицето, като адрес и телефон, имейл за връзка.

1.2. Когато това е необходимо за назначаване на служители на Дружеството и сключване на трудови договори с тях. Процедура при сключване на трудов договор - личните данни на лицето по документ за самоличност се снемат за съставяне на трудовия договор и свързаните с назначаването документи, като копие от документа за самоличност се задържа в поверителност от главен счетоводител на Дружеството. Впоследствие, при необходимост от изготвяне на пълномощни и др. документи за дейността на служителя, копие от документа за самоличност се предоставя и пази в поверителност и от юрисконсулт на Дружеството.

1.3. Когато обработването е необходимо за спазване на законово задължение, което се прилага спрямо Дружеството.

1.4. Във всички други случаи, когато това е необходимо за осъществяване на легитимна дейност от Дружеството - единствено и само въз основа на свободно изразено съгласие, дадено от физическото лице за обработване на неговите лични данни с конкретна цел. Съгласието се дава в писмена „Декларация за съгласие“ по образеца, представляващ Приложение 1 към настоящите „Политики, процедури и правила“. Оригиналът на попълнената и подписана Декларация за съгласие се съхранява от служителя на Дружеството, събрал личните данни. Копие от декларацията се предава на субекта на данните.

При събиране на лични данни от физическо лице на него се предоставя следната информация от служителя на Дружеството, събиращ данните: идентификационни данни и данни за кореспонденция с Дружеството; лице за контакт от Дружеството; координати за връзка с длъжностното лице по защита на данните; целите на обработването, за което личните данни са предназначени; получатели на личните данни; срокът, за който ще се съхраняват личните данни. Физическото лице се уведомява за правата си по Регламента. Отбелязва се дали предоставянето на лични данни е задължително или договорно изискване и евентуалните последствия, ако тези данни не бъдат предоставени. За целта се попълва и подписва стр. 2 от Декларацията за съгласие съгласно образеца в Приложение 1 към настоящите „Политики, процедури и правила“.

Лични данни на физически лица се събират и обработват единствено ако целта на обработването не може да бъде постигната в достатъчна степен с други средства.

Лични данни се събират и обработват за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели, или за други цели.

Лични данни се събират и обработват в необходимия минимум, подходящ и достатъчен за целите на обработването.

Личните данни се поддържат в точен и актуален вид. Предприемат се необходимите и навременни мерки за тяхното коригиране или за изтриване на неточни лични данни.

2. Политики, процедури и правила приложими за съхранение и унищожаване на лични данни.

2.1.Личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните.

2.2. Личните данни се съхраняват само за ограничен срок, който е необходим предвид целите, за които те се обработват. Лични данни не се запазват с единствената цел обработващия да може да реагира на евентуални искания. Срокът на съхранение на личните данни се определя при събиране на данните и следва да е не е по-дълъг от конкретно необходимия. След изтичане на определеният срок личните данни се изтриват. Допълнително, обработващите лични данни служители правят периодичен преглед на базите си от данни и изтриват/унищожават тези лични данни, които вече не са необходими за целите, за които са били събрани. Периодични прегледи се правят задължително поне два пъти годишно.

2.3. Документите и записите, съдържащи лични данни, се унищожават от служителите по метод, осигуряващ сигурност и невъзможност за последващо четене и обработване на данните, а именно чрез нарязване в шредер, който стои в кабинет на юрисконсулт на дружеството.

2.4. Документите и записите, съдържащи лични данни, се съхраняват по начин позволяващ възпроизвеждането им в случай на случайна загуба, физически или технически инцидент, унищожаване или повреждане. За тази цел документите, съдържащи лични данни, се съхраняват на електронен и на хартиен носител. Относно личните данни, съдържащи се на сървъра и на пощенския сървър на Дружеството, се подсигуряват технически мерки за сигурност – периодично архивиране на информацията от администратора на сървъра („Кода Интернешънъл“ ООД) и снабдяване с back – up хардуерни устройства.

2.5. Личните данни се обработват и съхраняват в пълна поверителност и не се предоставят на други служители, други лица обработващи данни или на трети лица, които не са пряко свързани с изпълнение на целите, за които данните са събрани.

3. Политики, процедури и правила приложими при предоставяне на лични данни от Дружеството на трети лица

3.1. Лични данни се предоставят от Дружеството на трети лица в следните хипотези:

Когато това е задължително по закон, свързано е с изпълнение на законови задължения на Дружеството или е изрично изискано от публичен орган в рамките на упражняване на негови законови правомощия;
Когато това е необходимо за дейността на Дружеството, единствено след получаване на писмена декларация от третото лице, че дейността му е приведена в съответствие с изискванията на Регламента.

4. Политики, процедури и правила за осигуряване на сигурност на личните данни и зашита от неоторизиран достъп.

4.1. Документите и записите на хартиен носител, съдържащи лични данни, се съхраняват в установените архиви на Дружеството, които са снабдени с контрол на достъпа и с видеонаблюдение.  Архивите, разположени в стаи на служителите, следва да се съхраняват и използват от тези служители в поверителност и да се предават на други служители само при необходимост и за изпълнение на определените цели на обработване.

4.2. Компютрите и евентуално другите технически средства в Дружеството, служещи за обработка и съхранение на лични данни, се държат в офиса на Дружеството през работното време и след приключването му, като се изнасят само по изключение - при необходимост от изпълнение на домашна работа или по време на командировка.

4.3. Компютрите и евентуално другите технически средства налични в Дружеството, служещи за обработка и съхранение на лични данни, се снабдяват с пароли и ключове за достъп, лични акаунти на служителите и др. средства, гарантиращи ограничаване достъпът до базата данни в компютъра/ устройството само за конкретния служител, на когото устройството е предоставено за ползване. Паролата/ ключът за достъп следва да се активира при включване на компютъра/устройството и при режим „скрийнсейвър“. Режим „скрийнсейвър“ следва да се активира при неползване на компютър в продължение на 15 минути.

4.4. След приключване на работното време стаите на служителите се заключват. Ключовете за стаите и за всички помещения и архиви на Дружеството се държат и контролират от офис – мениджъра.

4.5. Офисът на Дружеството и всички негови помещения са снабдени с видеонаблюдение, като периодично се проверява и изпитва изправността и правилното функциониране на всички негови елементи.

4.6. Достъпът до офисът на Дружеството е контролиран, осъществява се чрез картите за достъп на служителите, които се сканират на входа. Външни лица се допускат в офиса на Дружеството единствено чрез отключване на вратата от вътре от офис – мениджъра.

4.7. Срещите на служителите и на ръководството на Дружеството с външни лица се провеждат в заседателната зала на офиса, в която не са разположени документни архиви. По този начин се гарантира, че документи и записи на Дружеството, съдържащи лични данни, не са достъпни за външни лица.

5. Политики, процедури и правила приложими при упражняване на правата на субектите на данни по чл.15-21 от Регламента.

5.1. Съгласно чл.15-21 от Регламента субектите на лични данни имат право на прозрачно обработване на техните лични данни, включително на достъп до данните; на получаване на информация от администратора за данните, които са предмет на обработване; на коригиране на неточни или непълни лични данни; на изтриване на данните когато те повече не са необходими за целите, за които са били събрани; на оттегляне на дадено съгласие за обработване на лични данни; на  ограничаване на обработването; на възражение срещу обработването; право на преносимост на данните към друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени първоначално.

Искания на субектите на данни във връзка с техните права по чл.15 – 21 от Регламента се приемат от Дружеството по следните начини:

На адреса на офиса на Дружеството в гр. Варна: гр. Варна, ул. „Андрей Сахаров“ 2, Гранд Мол, ет.2, административен офис
По електронната поща на адрес: office@grandmall-varna.com (във връзка с дейността на Търговски Център Гранд Мол)
По електронната поща на адрес: Veselina@bellportcorp.com (във всички останали случаи)

5.2. Отговор на искането се предоставя от Дружеството без ненужно забавяне, най-късно в рамките на един месец от получаване на искането. Отговорът се дава в същата форма, в която е отправено искането т.е. на искания отправени по електронен път се отговаря по електронен път, а на искания отправени на хартиен носител до адрес на Дружеството се отговаря в писмена форма на хартиен носител до адрес на субекта на данни, освен ако субектът на данни не е поискал друго.

<
Коментари