Политика за защита на личните данни
ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ НА „ДОВЕРИЕ – ГРИЖА“ ЕАД
I.ВЪВЕДЕНИЕ
Член 1.(1) Настоящата политика се приема във връзка и на основание Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО – Общ регламент относно защитата на данните (наричан по-долу Регламентът), както и във връзка с привеждане в съответствие с изискванията на Регламента на дейността на „Доверие – грижа“ ЕАД (наричан по-долу Администратор), който действа в качеството на администратор на лични данни.
Член 2. (1) Настоящата политика за защита на личните данни се отнася до всички дейности по обработване на лични данни в „Доверие – грижа“ ЕАД.
(2) Администраторът събира и обработва лични данни, спазвайки изискванията на местното и европейското законодателство.
Член 3. (1) Ръководството на Администратора поема сериозен ангажимент по отношение на поверителността на личните данни, като прилага всички подходящи технически и организационни средства, за да не допуска неразрешен достъп, неразрешено или злонамерено ползване, загуба или преждевременно заличаване на информация.
(2) Ръководството на Администратора се ангажира с разработването и насърчаването на добри практики в областта на обработване на информацията в дружеството.
Член 4. Всички служители, контрагенти, партньори, трети лица, които работят с Администратора, са длъжни да се запознаят и съобразяват с настоящата политика. Никоя трета страна не може да има достъп до лични данни, съхранявани от Администратора, без предварително да е сключила споразумение за поверителност на данните, което налага на третата страна задължения, не по-малко обременяващи от тези, които Администраторът е поел, и което дава право на последния да извършва проверки на спазването на наложените със споразумението задължения.
II.ОБХВАТ НА ПОЛИТИКАТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ. ДЕФИНИЦИИ
Обхват на Политиката
Член 5. Настоящата политика определя:
❖ принципите, които се спазват при обработката на и за защитата на личните данни; ❖ информацията, която има право да получи субектът на данни от администратора на лични данни;
❖ правата на субектите на данни във връзка с обработване на личните им данни; ❖ приемане, разглеждане и отговаряне на исканията на физическите лица, които упражняват правата си за защита на данните;
❖ сроковете за съхранение на личните данни;
❖ мерките за сигурността на личните данни;
1
Дефиниции
Член 6. За целите на Политиката:
❖ „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“). ❖ „Физическо лице, което може да бъде идентифицирано“ е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
❖ „Специални категории лични данни“ са лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации и обработката на генетични данни, биометричните данни за уникално идентифициране на физическо лице, данни отнасящи се до здравето или данни относно сексуалния живот на физическо лице или сексуална ориентация.
❖ „Обработването” е всяка операция или съвкупност от операции, извършвани с лични данни, включително с ръчни или автоматични средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, комбиниране, ограничаване, изтриване или унищожаване на личните данни.
❖ „Субект на данни” е физическо лице, което е идентифицирано или което може да бъде идентифицирано въз основа на определена информация.
❖ „Администратор” на лични данни е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.
❖ „Обработващ” лични данни означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.
❖ „Нарушение на сигурността на лични данни” означава нарушение на сигурността, водещо до унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
❖ „Надзорен орган“ – за територията на Република България това е Комисия за защита на личните данни
III. ПРИНЦИПИ НА ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ
Член 7. Обработването на личните данни в Администратора се извършва изцяло в съответствие с принципите на защита на данните, залегнали в Регламента. Те са:
2
- Законосъобразност, добросъвестност и прозрачност:
1.1. Законосъобразност – при обработване на личните данни на субектите се прилага поне едно от условията за законосъобразност в зависимост от конкретните цели и контекста на обработката. Съгласно чл.6 от Регламента условията за законосъобразност на обработването са:
а) съгласие;
б) договор;
в) правно задължение;
г) жизненоважни интереси;
д) обществени интереси;
е) законни (легитимни) интереси.
1.2. Добросъвестност – за да може обработването да бъде добросъвестно, следва да се предостави определена информация на субектите на данни, доколкото това е практически възможно. Това важи независимо дали личните данни са получени директно от субектите на данни или от други източници.
1.3. Прозрачност – предоставянето на информация на субектите на данни става в кратка, ясна, разбираема, достъпна форма, на ясен и прост език.
- Ограничаване на целите – личните данни се събират само за конкретни, изрично указани и законни цели и не могат да се използват за цели, различни от официално обявените.
- Свеждане на данните до минимум –личните данни трябва да бъдат адекватни, релевантни, ограничени до това, което е необходимо за постигането на конкретната цел, за която се обработват.
- Точност –личните данни са точни и актуални, предвид целите, за които се обработват, като се полагат усилия за гарантиране на своевременното им коригиране при необходимост.
- Ограничение на съхранението – Администраторът съхранява личните данни не повече от необходимото и за целите, за които са събрани. Личните данни могат да се съхраняват и за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в Регламента с цел да бъдат гарантирани правата и свободите на субекта на данните (чл.89, параграф 1 от Регламента).
- Цялостност и поверителност – обработването на личните данни се извършва по начин, който гарантира подходящо ниво на сигурност на личните данни, включително срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като прилага подходящи технически и организационни предпазни мерки.
- Отчетност – Администраторът гарантира спазването на настоящите принципи чрез поддържане на документация за дейностите по обработване, за които е отговорен.
3
IV.ИНФОРМАЦИЯ, КОЯТО СУБЕКТЪТ НА ДАННИ ПОЛУЧАВА ОТ АДМИНИСТРАТОРА НА ЛИЧНИ ДАННИ
Член 8. Администраторът информира субектите на данни ясно, чрез предоставяне на обобщена, кратка и разбираема информация чрез интернет сайта на дружеството или по друг достъпен начин относно:
- името на дружеството, което обработва данните – данни за контакт, включително с длъжностното лице по защита на данните (адрес, електронна поща, телефон и др.), ако има такова;
- какви категории лични данни се събират;
- целите, за които дружеството ще използва данните;
- правното основание за обработката на данните;
- срока за съхранение на данните;
- други дружества/организации, които ще получат данните, ако има такива; • дали данните ще се предават (трансферират) в трети страни извън ЕС; • основните права на субектите на данни в областта на защитата на данни и реда за упражняването им.
V.ПРАВА НА СУБЕКТИТЕ ВЪВ ВРЪЗКА С ОБРАБОТВАНЕ НА ЛИЧНИТЕ ИМ ДАННИ
Член 9. Субектите на лични данни имат следните права във връзка с обработването на личните им данни:
- ПРАВО НА ИНФОРМАЦИЯ И ДОСТЪП
Субектът на лични данни има право на достъп до собствените му лични данни, които се обработват. Субектът им право да получи информация относно целите, за които се обработват личните му данни и категориите лични данни, които се обработват, срока на съхраняване на личните му данни (когато е възможно да се определи), средствата на обработката, получателите, на които могат да бъдат предоставени данните, съществуването на автоматизирано вземане на решения, включително профилиране, както и право на копие от личните му данни, които се обработват.
- ПРАВО НА КОРИГИРАНЕ
В случай че обработваните лични данни са неправилни, неточни или непълни, субектът на данни има право да поиска те да бъдат коригирани. При удовлетворено искане за коригиране на лични данни Администраторът уведомява другите получатели, на които са били разкрити данните (например държавни органи), така че те да могат да отразят измененията.
- ПРАВО НА ИЗТРИВАНЕ
⮚ При поискване от субекта на данните Администраторът е задължен да изтрие личните данни в разумен срок и при наличие някое от следните основания: – личните данни повече не са необходими за целите, за които са били събрани;
– субектът на данни оттегли своето съгласие и няма друго правно основание за обработването;
4
– субектът на данни възразява срещу обработването и няма други законни основания за обработване;
– личните данни са били обработени незаконосъобразно;
– личните данни трябва да бъдат изтрити с цел спазването на правно задължение по европейското или националното право, което се прилага спрямо администратора;
⮚ Не подлежат на изтриване лични данни, които се обработват във връзка с действащ договор, във връзка с признат правен интерес на Администратора, във връзка с правни претенции, включително тяхното предявяване или във връзка със законово основание/право.
- ПРАВО НА ОГРАНИЧАВАНЕ НА ОБРАБОТВАНЕТО
⮚ Субектът на данни има право да изиска ограничаване на обработването, когато:
– точността на личните данни се оспорва от субекта на данните за срок, който позволява на администратора да провери точността на личните данни; – обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им; – администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
– субектът на данните е възразил срещу обработването и очаква проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.
⮚ Когато субектът на данните е поискал ограничаване на обработването и е налице някое от посочените по-горе основания, Администраторът го информира преди отмяната на ограничаването на обработването.
⮚ Администраторът може да обработва лични данни, чието обработване е ограничено, само за следните цели:
– за съхранение на данните;
– със съгласието на субекта на данните;
– за установяване, упражняване или защита на правни претенции;
– за защита на правата на друго физическо лице;
– поради важни основания от обществен интерес.
- ПРАВО НА ПРЕНОСИМОСТ НА ДАННИТЕ
⮚ Субектът на данни има право да получи личните данни, които го засягат в структуриран, широко използван и пригоден за машинно четене формат. ⮚ Субектът на лични данни може да упражни правото на преносимост в следните случаи:
– обработването е основано на съгласие или на договорно задължение;
– обработването се извършва по автоматизиран начин.
5
⮚ При поискване и ако е приложимо тези данни могат да бъдат прехвърлени на друг администратор, посочен от субекта на лични данни, когато това е технически осъществимо.
- ПРАВО НА ВЪЗРАЖЕНИЕ
Субектът може да възрази срещу обработването на негови лични данни, когато обработването се извършва при изпълнение на задача от обществен интерес или упражняване на официални правомощия, когато обработването е във връзка с защитим правен интерес на администратора или трета страна, когато се обработват данни за целите на директния маркетинг, включващ и профилиране, когато данните се обработват за целите на научни, исторически изследвания или за статистически цели. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за неговото продължаване, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяване, упражняване или защита на правни претенции.
- ПРАВО НА ЗАЩИТА ПО СЪДЕБЕН И АДМИНИСТРАТИВЕН РЕД
Ако субектът на данни счита, че обработването на личните му данни нарушава разпоредбите на Регламента може да подаде жалба до Надзорния орган. Упражняването на това право не възпрепятства упражняването на правата на съдебна защита по общия исков ред.
VI.ПРИЕМАНЕ, РАЗГЛЕЖДАНЕ И ОТГОВАРЯНЕ НА ИСКАНИЯТА НА ФИЗИЧЕСКИТЕ ЛИЦА, КОИТО УПРАЖНЯВАТ ПРАВАТА СИ
ЗА ЗАЩИТА НА ДАННИТЕ
Член 10. (1) Субектите на данни могат да упражнят правата си съгласно Регламента и настоящата политика като подадат писмено искане на място в офиса на Администратора, по пощата на адрес: гр. Троян, ул. „Преспа“ №55.
(2) Писмените искания, чрез които се упражняват правата на субектите съдържат:
- Данни относно субекта, който упражнява съответното право в обем, който позволява идентифицирането му;
- Посочване на категориите данни, за които се упражнява съответното право;
- Посочване на конкретното искане/право, което се упражнява и обстоятелствата, които обосновават упражняването му, както и законово, договорно или друго основание за упражняване на правото;
- Подпис на субекта, подал искането.
(3) Администраторът предоставя информация относно действията, предприети във връзка с искане за упражняване на правата на субектите, в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още един месец, като се взема предвид сложността и броя на исканията. Администраторът
6
информира лицето за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето.
(4) Администраторът не е задължен да отговори на искане в случай че не е в състояние да идентифицира субекта на данните.
(5) Администраторът може да поиска предоставяне на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните, когато са налице основателни опасения във връзка със самоличността на физическото лице, което подава искане.
(6) Подаването на искането, обработването и уведомяването на субекта са безплатни за последния.
(7) В случай че исканията са очевидно неоснователни или прекомерни, особено поради повтарящия се характер, Администраторът може да откаже да предприеме действия или да наложи разумна такса.
VII. СРОКОВЕ ЗА СЪХРАНЕНИЕ НА ЛИЧНИ ДАННИ. ПРЕДАВАНЕ НА ДАННИТЕ НА ТРЕТИ ДЪРЖАВИ ИЛИ МЕЖДУНАРОДНИ ОРГАНИЗАЦИИ
Член 11. Администраторът унищожава личните данни, които съхранява и/или обработва в срок от:
⮚ 50 години – за персонал /лица по трудово или служебно правоотношение, или граждански договори/;
⮚ 10 години – за счетоводни регистри, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят данните в регистъра;
⮚ 5 години – за други документи, съдържащи лични данни, в т.ч. и документи, свързани с предявяване на претенция пред съд, считано от датата на прекратяване на правоотношението или издаване на последната фактура;
⮚ 1 година – информация, събрана по време на подбор на персонал, в случай че съгласието за съхранението й не е оттеглено по –рано.
Член 12. Администраторът не извършва предаване на лични данни на трети държави или международни организации.
VIII. РЕГИСТРИ НА ДЕЙНОСТИТЕ ПО ОБРАБОТВАНЕ
Член 13. Администраторът води регистри на дейностите по обработване на лични данни в качеството си на администратор на лични данни съгласно чл. 30 от Регламента.
- СИГУРНОСТ НА ЛИЧНИТЕ ДАННИ
Член 14. (1) Администраторът предприема всички необходими технически и организационни мерки, за да защити личните данни на субектите на данни от случайно или
7
незаконно унищожаване, или от случайна загуба, неправомерен достъп, изменение или разпространение, както и от други форми на нарушения на сигурността на личните данни.
(2) Администраторът разработва и приема „Вътрешни правила за защита на личните данни“, които регламентиран детайлно:
⮚ Създаването на процедури и механизми за гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при обработване на техните лични данни и в процеса на свободното движение на данните;
⮚ Необходимите технически и организационни мерки за защита на личните данни; ⮚ Воденето на регистри на дейностите по обработване на лични данни; ⮚ Осъществяването на оценки на въздействието върху защитата на данните в случай на необходимост;
⮚ Правата и задълженията на служителите, обработващи лични данни и/или имащи достъп до такива;
⮚ Процедури правила за докладване и реакция при нарушения на сигурността на защитата на личните данни.
- ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
Член 15. Настоящата политика има за цел да установи правила, мерки и механизми за законосъобразна, надеждна и добросъвестна обработка, събиране и съхраняване на лични данни. В случай че правило, установено в настоящата политика, противоречи на Регламента или на друг нормативен акт, отнасящ се до защитата на лични данни, прилага се Регламентът, съответно нормативният акт.
Член 16. Администраторът ще актуализира своевременно, като изменя и допълва настоящата политика по всяко време в бъдеще, когато обстоятелствата го налагат.
Член 17. За неуредените в настоящата политика въпроси се прилагат съответните разпоредби от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО и българското законодателство в областта на защитата на личните данни.