Чл. 1. Настоящите вътрешни правила за технически и организационни мерки и допустимия вид на защита на личните данни уреждат организацията на обработване на лични данни на служителите, лицата, наети на граждански договори и клиентите на дружеството, както и тяхната защита.
Чл. 2. Дружеството е администратор на лични данни и като такова води следните регистри:
Регистър „Служители и лица по граждански договори“
Регистър „Клиенти“.
Чл. 3. (1) В регистър „Служители и лица по граждански договори“ се събират и съхраняват личните данни на служителите и изпълнителите по граждански договори в дружеството с цел:
Индивидуализиране на трудовите и граждански правоотношения.
Изпълнение на нормативните изисквания на Кодекса на труда, Кодекса за социално осигуряване, Закона за счетоводството, Закона за държавния архив и др.
Използване на събраните данни за съответните лица за служебни цели.
За всички дейности, свързани със съществуване, изменение и прекратяване на трудовите и граждански правоотношения – за изготвяне на всякакви документи на лицата в тази връзка (договори, допълнителни споразумения, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения и др. подобни).
За установяване на връзка с лицето по телефон, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията му по трудови или граждански договори.
За водене на счетоводна отчетност, относно възнагражденията на посочените по-горе лица по трудови и граждански договори.
(2) В регистър „ Клиенти“ се събират и съхраняват личните данни на клиентите на дружеството с оглед:
Индивидуализиране на съответните контрагенти.
Предоставяне на услуги от дружеството, за които са необходими лични данни на контрагенти.
Изпълнение на нормативните изисквания на Закона за счетоводството и други относими нормативни актове.
Използване на събраните данни за съответните лица за служебни цели само и единствено след получаването на надлежно съгласие от лицата за обработване на техните лични данни за следните цели:
за всички дейности, свързани със съществуването, изменението и прекратяването на договорните правоотношения, както и със събиране на вземания, произтичащи от последните - за изготвяне на всякакви документи в тази връзка (договори, допълнителни споразумения, всякакви търговски, счетоводни и други документи);
за установяване на връзка с лицата по телефон, адрес и/или електронна поща, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията им по сключените с Дружеството договори;
за водене на счетоводна отчетност;
Чл. 4. (1) В регистър „Служители и лица по граждански договори” се съхраняват следните видове лични данни:
Относно категория „Физическа идентичност“ на лицата: (три имена, ЕГН, пол, постоянен адрес и месторождение за трудовите договори, а за гражданските и номер на лична карта, дата и място на издаване, валидност, орган, който я е издал), телефони за връзка, електронна поща и др. Предоставят се на основание нормативно задължение и сключването и изпълнението на договор;
Данни от здравословното състояние на служителите, когато се налага обработване на болнични листове, документи, във връзка с трудова злополука, трудоустрояване на работници и др.
Относно категория „Социална идентичност“ на лицата, предоставяни на основание нормативно задължение и/или легитимен интерес:
вид и степен на образованието, място, номер и дата на издаване на дипломата и учебно заведение;
допълнителна квалификация;
(2) В регистър „Клиенти” се съхраняват следните видове лични данни относно категория „Физическа идентичност“ на лицата: имена и данни по лична карта (ЕГН, пол, номер на лична карта, дата и място на издаване, валидност, орган, който я е издал, постоянен адрес-когато това е необходимо и относимо), телефони за връзка, електронна поща и др. Предоставят се на основание за сключването и изпълнението на договор.
(3) Регистрите с лични данни, водени от дружеството са защитени с контролиран достъп като такъв се предоставя на оправомощените служители посредством процедура по идентификация с потребителско име и парола. Регистрите се водят на електронен носител в облачно пространство, управлявано от обработващ лични данни, който от своя страна прилага необходимите мерки за защита на личните данни.
(4) По изключение дружеството може да води и хартиени регистри с данни. Данните за служители и клиенти се съхраняват в папки, подредени в класьори, разположени в склад с ограничен достъп в офиса на дружеството.
Глава трета
ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
Чл. 5. Събиране на лични данни:
(1) Личните данни в регистър „Служители и лица по граждански договори" се събират преди постъпване/ възлагане на работа по трудово или гражданско правоотношение на дадено лице чрез устно интервю или по екектронен път, предоставени от субекта на данните.
(2) Личните данни в регистър „Клиенти" се събират чрез директното им предоставянето от потребители и клиенти или автоматично.
(3) При събирането на лични данни субектът на данните следва да бъде уведомен за целите за събиране и обработване на данните.
(4) Когато се събират и обработват лични данни на хартиен носител за клиенти на дружеството, същите се съхраняват в склад с ограничен достъп с ключ и се използват от оправомощените лица едиснтвено за нуждите на изпълнение на законови или договорни задължения.
Чл. 6. (1) Дружеството може да възлага обработването на личните данни на обработващи. Обработването се възлага на повече от един обработващ съобразно спецификата на техните функции и с цел разграничаване на конкретните им задължения.
Чл. 7. Дружеството може да предава лични данни на свои клиенти на трети лица, за което изрични следва да бъдат уведомени субектите на данните.
Глава четвърта
ЗАЩИТА НА ЛИЧНИТЕ ДАННИ. ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА.
Чл. 8. Осигуряване на достъп на лицата до личните им данни:
(1) Всяко физическо лице има право на достъп до отнасящи се за него лични данни. В случаите, когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, администраторът е длъжен да предостави на съответното физическо лице достъп до частта от тях, отнасяща се само за него.
(2) За получаване на достъп до личните данни субектите на данни могат да следват процедурата, описана в РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА.
(3) Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение, което се съобщава на заявителя по реда на предходното изречение.
(4) При изпълнение на задълженията си за предоставяне на достъп до лични данни дружеството предоставя на субекта на данните следната информация:
данните, които идентифицират администратора и координатите за връзка с него;
целите на обработването, за което личните данни са предназначени, както и правното основание за тяхното обработване;
получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави по смисъла на Регламента или международни организации, както и техните гаранции за защита;
когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със заявителя, както и правото да се направи възражение срещу такова обработване;
Правото на жалба до Комисията за защита на личните данни.
Наличието на процедура по профилиране, ако такава в приложима по отношение на лични данни на субекта.
(5) Администраторът се задължава да съобщава за всяко коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. Администраторът информира субекта на данните относно тези получатели, ако субектът на данните поиска това.
Чл. 9. Предоставянето на лични данни в държава - членка на Европейския съюз, както и в друга държава - членка на Европейското икономическо пространство, се извършва при спазване на изискванията на действащото европейско и национално законодателство.
(2) Предоставяне на лични данни в трета държава извън тези по ал.1. се допуска само ако тя осигурява адекватно ниво на защита на личните данни на своя територия.
Чл. 10. Срок за съхраняване на личните данни:
(1) Регистър „Служители и лица по граждански договори”: Различните носители на счетоводна счетоводна информация, съдържащи лични данни от регистър „Служители и лица по граждански договори”, се съхраняват в предвидените в Закона за счетоводството (ЗСч.) срокове
(2) Регистър „Клиенти”: Различните носители на счетоводна и данъчна информация, съдържащи лични данни от регистър „Клиенти” - на клиентите на Дружеството, с които е сключен договор, се съхраняват в предвидените в Закона за счетоводството (ЗСч.) и в Данъчно – осигурителния процесуален кодекс (ДОПК) срокове.
Чл. 11. Периодично архивиране - архивиране на личните данни се извършва от дружеството периодично като достъпът до архивираните данни се ограничава допълнително.
Чл. 12. (1) Дружеството се задължава, в случай на постъпила молба от физическо лице, чийто лични данни се обработват от Администратора, да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:
личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
лицето оттегля своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
лицето възразява срещу автоматичното вземане на решения, прилагано от Адмиминистратора с неговите лични данни и няма други законни основания за обработването, които да имат преимущество, или лицето изрично възразява срещу обработването;
личните данни са били обработвани незаконосъобразно;
личните данни трябва да бъдат изтрити с цел спазване на задължение по европейското или национално право;
личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца.
(2) Дружеството има право да откаже извършването на действията по ал.1 в предвидените в закона случаи, като в случай на отказ следва да уведоми субекта, отправил съответнтото искане.
Чл. 13. (1) Преносимост на данните: Субектът на данните има право да получи личните данни, които той е представил на Администратора, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от Администратора, на когото е предоставил личните данни, когато:
(a) Обработването е основано на съгласието на субекта на данни или на договорно задължение;
(б) Обработването се извършва по автоматизиран начин.
Чл. 14. (1) В случай на нарушение на сигурността на личните данни, Администраторът, без ненужно забавяне, но не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни Комисията за защита на личните данни („КЗЛД“), освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица.
(2) В случаите, когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, дружеството, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни.
Чл. 15. Администраторът въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването, като това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност.
Чл. 16. Настоящите правила се свеждат до знанието на всички служители на Дружеството, както и до назначените по граждански договор лица.
Информация за администратора на лични данни:
____________, е дружество, регистрирано в Търговския регистър на Агенцията по вписванията с ЕИК __________, със седалище и адрес на управление: ________________, Тел: ____________; e-mail: _______________
Ние обработваме Вашите лични данни на следните основания:
Сключения между нас и Вас договор с цел да изпълним задълженията си по него;
Изрично съгласие от Вас – целта се посочва за всеки конкретен случай;
При предвидено задължение по закон
В следващите параграфи ще намерите информация относно обработването на личните Ви данни в зависимост от основанието, на което ги обработваме.
ЗА ИЗПЪЛНЕНИЕ НА ДОГОВОР ИЛИ В КОНТЕКСТА НА ПРЕДДОГОВОРНИ ОТНОШЕНИЯ
Ние обработваме личните Ви данни, за да изпълняваме договорните и преддоговорни задължения и да се ползваме от правата по договорите, сключени с Вас.
Цели на обработката:
установяване на самоличността Ви;
управление и изпълнение на Ваша заявка и изпълнение на сключен договорр;
изготвяне и изпращане на сметка/фактура за услугите, които използвате при нас;
Запазване на кореспонденция във връзка с направени поръчка, обработка на заявки, докладване на проблеми и др.
изготвяне на потребителски профил;
На основание сключения между нас и Вас договор обработваме информация за вида и съдържанието на договорното отношение, както и всяка друга информация, свързана с договорното правоотношение, включително:
лични данни за контакт - адрес за контакт, имейл, телефонен номер;
данни за идентификация - трите имена, единен граждански номер или личен номер на чужденец, постоянен адрес;
Данни за направените поръчки чрез потребителския профил;
електронна поща, писма, информация за заявките ви за отстраняване на проблеми, жалби, молби, оплаквания;
информация за кредитна или дебитна карта, номер на банкова сметка или друга банкова и платежна информация във връзка с направените плащания;
Обработката на посочените лични данни за нас се явява задължителна, за да можем да сключим договора с Вас и да го изпълняваме.
Ние предоставяме Ваши лични данни на трети лица, като основната ни цел е да Ви предложим качествено, бързо и комплексно обслужване.
Лични данни предоставяме на следните категории получатели (администратори на лични данни):
пощенски оператори и куриерски фирми;
лица, извършващи консултантски услуги в различни сфери.
Данните, събрани на това основание изтриваме 5 години след прекратяване на договорното отношение, независимо дали поради изтичане срока на договора, разваляне или друго основание. Срокът е определен от 5-годишния давностен срок за възможните претенции от договора.
ЗА ИЗПЪЛНЕНИЕ НА НОРМАТИВНИ ЗАДЪЛЖЕНИЯ
Възможно е в закона да е предвидено задължение за нас да обработваме личните Ви данни. В тези случаи ние сме длъжни да извършим обработката, като например:
Задължения по Закона за мерките срещу изпиране на пари;
изпълнение на задължения във връзка с продажбата от разстояние, продажбата извън търговския обект, предвидени в Закона за защита на потребителите;
предоставяне на информация на Комисията за защита на потребителите или трети лица, предвидени в Закона за защита на потребителите;
предоставяне на информация на Комисията за защита на личните данни във връзка със задължения, предвидени в нормативната уредба за защита на личните данни;
задължения, предвидени в Закона за счетоводството и Данъчно-осигурителния процесуален кодекс и други свързани нормативни актове, във връзка с воденето на законосъобразно счетоводство;
предоставяне на информация на съда и трети лица, в рамките на производство пред съд, съобразно изискванията на приложимите към производството нормативни актове;
удостоверяване на възраст при пазаруване онлайн.
Данните, събрани съгласно предвидено задължение в закона, изтриваме след като задължението за събиране и съхранение бъде изпълнено или отпадне. Например:
по Закона за счетоводството за съхранение и обработка на счетоводни данни (11 години),
задължения за предоставяне на информация на съда, компетентни държавни органи и др. основания, предвидени в действащото законодателство (5 години).
Когато по закон за нас е предвидено задължение, е възможно да предоставим Вашите лични данни на компетентния държавен орган, физическо или юридическо лице.
СЛЕД ВАШЕ СЪГЛАСИЕ
Ние обработваме Вашите лични данни на това основание само след изрично, недвусмислено и доброволно съгласие от Ваша страна. Ние няма да предвиждаме каквито и да е неблагоприятни последици за Вас, ако откажете обработването на личните данни.
Съгласието е отделно основание за обработване на личните ви данни и целта на обработката е посочена в него, и не се покрива с целите, изброени в тази политика. Ако ни дадете съответноте съгласие и до неговото оттегляне или прекратяване на всякакви договорни отношения с Вас изготвяме подходящи за вас предложения за продукти/услуги.
На това основание обработваме само данните, за които сте ни дали изричното си съгласие. Конкретните данни се определят за всеки индивидуален случай. Обикновено данните включват:
Имейл;
Телефон;
Адрес;
имена;
На това основание можем да предоставим Вашите данни на маркетинг агенции и трети лица.
Предоставените съгласия могат да бъдат оттеглени по всяко време. Оттеглянето на съгласието няма отражение върху изпълнението на договорните задължения. Ако оттеглите съгласието си за обработване на лични данни за някой или всички начини, описани по-горе, ние няма да използваме личните Ви данни и информация за определените по-горе цели.
Данните, събрани на това основание, изтриваме при искане от Ваша страна или 1 година след първоначалното им събиране.
ОБРАБОТКА НА АНОНИМИЗИРАНИ ДАННИ
Ние обработваме Вашите данни за статически цели, това означава за анализи, в които резултатите са само обобщаващи и следователно данните са анонимни. Идентифицирането на конкретно лице от тази информация е невъзможно.
Как защитаваме Вашите лични данни
За осигуряване на адекватна защита на данните на компанията и своите клиенти, ние прилагаме всички необходими организационни и технически мерки, предвидени в Закона за защита на личните данни.
С цел максимална сигурност при обработка, пренос и съхранение на Вашите данни, може да използваме допълнителни механизми за защита като криптиране, псевдонимизация и др.
Права на Потребителите
Всеки Потребител на сайта се ползва с всички права за защита на личните данни съгласно българското законодателство и правото на Европейския съюз.
Всеки Потребител има право на:
Информираност (във връзка с обработването на личните му данни от администратора);
Достъп до собствените си лични данни;
Коригиране (ако данните са неточни);
Изтриване на личните данни (право „да бъдеш забравен“);
Ограничаване на обработването от страна на администратора или обработващия лични данни;
Преносимост на личните данни между отделните администратори;
Възражение спрямо обработването на негови лични данни;
Субектът на данни има право и да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен;
Право на защита по съдебен или административен ред, в случай, че правата на субекта на данни са били нарушени.
Потребителят може да поиска изтриване, ако е налице едно от следните условия:
Личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
Потребителят оттегля своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
Потребителят данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;
Личните данни са били обработвани незаконосъобразно;
Личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо администратора;
Личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца и съгласието е дадено от носещия родителска отговорност за детето.
Потребителят има право да ограничи обработването на своите лични данни от страна на администратора, когато:
Оспори точността на личните данни.. В този случай ограничаването на обработването е за срок, който позволява на администратора да провери точността на личните данни;
Обработването е неправомерно, но Потребителят не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
Администраторът не се нуждае повече от личните данни за целите на обработването, но Потребителят ги изисква за установяването, упражняването или защитата на правни претенции;
възразява срещу обработването в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на Потребителя.
Право на преносимост.
Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато обработването е основано на съгласие или на договорно задължение и обработването се извършва по автоматизиран начин. Когато упражнява правото си на преносимост на данните, субектът на данните има право да получи и пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.
Право на възражение.
Потребителите имат право да възразят пред администратора срещу обработването на личните им данни. Администраторът на лични данни е длъжен да прекрати обработването, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции. При възразяване срещу обработването на лични данни за целите на директния маркетинг обработването следва да се прекрати незабавно.
Жалба до надзорния орган
Всеки Потребител има право да подаде жалба срещу незаконосъобразно обработване на личните му данни до Комисия за защита на личните данни или до компетентния съд.
----------------------------------------------------------------------------------------------------
С настоящето съгласие долуподписаният/ната ________________________________ с ЕГН ____________ давам съгласието си ________________________, с ЕИК ____________, да обработва, в това число събира, използва, съхранява и изтрива, следните мои лични ми данни:
Описание на личните данни, които ще се обработват:
______________________________________________________________________
______________________________________________________________________
Личните данни ще се обработват за следните цели:
______________________________________________________________________
______________________________________________________________________
Период, за който ще се ползват личните данни:
______________________________________________________________________
Личните данни няма д бъдат прехвърляни на трети лица / ще бъдат прехвърлени на трети лица, както следва (зачертава се грешното):
______________________________________________________________________
С подписването на настоящото заявявам, че съм запознат/а със следните мои права:
Право на информация относно и достъп до личните ми данни, съхранявани от Вас;
Право да изисквам коригиране, изтриване или ограничено обработване на личните ми данни;
Право да възразя срещу обработване поради причини, свързани с мои легитимни интереси, обществен интерес, или профилиране, освен ако Администраторът не докаже съществуването на защитени, обосновани причини, имащи приоритет пред моите интереси, права и свободи, или че това обработване се извършва с цел предявяване, упражняване или защита по правни претенции;
Право на преносимост на данните;
Право на подаване на оплакване през Комисията за защита на личните данни;
Право да мога по всяко време да оттегля съгласието си за събирането, обработването и използването на личните данни с действие занапред.
Аз лично съм предоставил личните си данни.
Запознат/а съм, че ако желая да упражня своите права, следва да адресирам искането си до имейл ___________________ или до адрес
1. Цели за обработване на лични данни
Администраторът обработва лични данни за следните цели:
За нуждите на предоставяне на услугите, предлагани от дружеството както и за изпълнение на сключените от дружеството договори с потребители;
За подбор и наемане на служители на трудови договори, както и за подбор на контрагенти по граждански договори;
За изпълнение на своите задължения по Закона за счетоводство;
За изпълнение на своите задължения по законите, уреждащи трудовоправните и осигурителни задължения на дружеството като работодател и осигурител;
За директен маркетинг
2. Описание на категории субекти и категории лични данни
Администраторът обработва лични данни на следните категории субекти:
Клиенти
Име;
Имейл адрес;
Телефон за връзка;
Данни от трафик;
Когато е приложимо:
Данни от документ за самоличност;
ЕГН ил идруг идентификационен номер;
Адресл
Данни за участие в търговски дружества; юридически лица с нестопанска цел и други юридически лица.
Личните данни на клиенти се пазят в срок от 5 години, считано от момента на сключване на договор с клиента, след което се заличават.
Данните за потребители се пазят за срок не повече от 2 години, след което се заличават.
Кандидати за работа и служители
Име;
Имейл;
Телефон;
Възраст;
Трудов стаж;
Данни за здравето при администриране на болнични листове и други документи, относими към трудови правоотношения.
Данни за кандидати за работа се заличават в срок от 1 година от събирането им. Данни за служители и контрагенти на граждански договор се пазят за срок от 3 години от прекратяване на правоотношението със субекта.
3. Категории получатели, пред които данните могат да бъдат разкривани
Адвминистраторът може да разкрива лични данни на трети лица в следните хипотези:
На вписани съобразно Закона за адвокатурата адвокати - за нуждите на изпълнение на договори с клиенти;
На държавни и общински органи, когато Закона налага това или за нуждите на изпълнение на договори с клиенти;
На доставчици на рекламни услуги - На доставчици на дигитални рекламни услуги се представят данни въз основа на автоматизирано обработване чрез технологията на биксвитки. Предоставят се единствено данни за трафика;
На доставчици на информационни услуги, използвани от администратора, изпълняващи ролята на обработващи лични данни.
4. Технически и организационни мерки
Администраторът прилага следните мерки, осигуряващи сигурност на обработването на лични данни:
псевдонимизация и криптиране на личните данни
Прилага се по отношение на даните за трафик и данните от потребители за нуждите на директния маркетинг.
способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
Личните данни, събирани от Администратора, се обработват по електронен път от обработващи лични данни, използващи сървъри с възможност за възстановяване на заличена информация - “backup”.