| ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ |
| Настоящата Политика е изготвена и се основава на Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година (Общ регламент за защита на данните ОРЗД), относно защита на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, наричан за краткост Регламента. |
|
| КОЙ ОБРАБОТВА И НОСИ ОТГОВОРНОСТ ЗА ЛИЧНИТЕ ДАННИ |
| Administrator “Play Mart International” EOOD, with UIC 204795644, with its legal address and headquarters in the Republic of Bulgaria, Sofia 1000, Sofia-capital municipality, Sredets region, 10, Tsar Osvoboditel Blvd., fl. 3, correspondence address: Serdika st. 13, fl. 2, 1000 Sofia, Bulgaria |
| I. принципи, които съблюдаваме ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ |
| 1. Законосъобразност – преди обработване на личните данни, следва да се идентифицира законна основа, въз основа на която се извършва тази обработка. Тя често се посочва като „основания за обработване“, например „съгласие“. |
| 2. Добросъвестно – за да може обработването да бъде добросъвестно, администраторът на данни трябва да предостави определена информация на субектите на данни, доколкото това е практически възможно. Това важи независимо дали личните данни са получени директно от субектите на данни или от други източници. |
| 3. Прозрачно обработване на личните данни – Общия регламент включва правила, относно предоставяне на поверителна информация на субектите на данни. Те са подробни и конкретни, поставяйки акцента върху това, че известията за поверителност са разбираеми и достъпни. Информацията трябва да бъде съобщена на субекта на данните в разбираема форма, като се използва ясен и разбираем език. |
| 4. защита на данните на етапа на проектирането; |
| 5. Защита на данните по подразбиране. Да се гарантира поверителност на данните и спазване на конфиденциалност от администраторите и от обработващите данни; |
| 6. Свеждане до минимум на обработването на данни; |
| 7. Събират се лични данни за конкретни, точно определени и законни цели, като не се обработват допълнително по начин, несъвместим с тези цели; |
| 8. данните трябва да бъдат съотносими, свързани с и не надхвърлящи целите, за които се обработват; |
| 9. Да бъдат точни и при необходимост да се актуализират; |
| 10. Да може да се заличават или коригират; |
| 11. данните се поддържат във вид, който позволява идентифициране на субектите за период не по-дълъг от необходимия за целите, за които тези данни се обработват. |
| 12. Да се поддържа строга отчетност на всеки етап от обработването. Да се изисква съгласие от субектите, когато не е приложим принципа за законосъобразност. |
| 13. Подобряване на сигурността във всякакво измерение – техническо, физическо, др.. |
|
| II. Събиране и използване на лични данни |
| 1. Данните, които събираме, са следните: |
| – За физическата идентичност – Трите имена, ЕГН, адрес, паспортни данни, гражданство; телефонен номер, email адрес |
| – За социална идентичност – образование, трудова дейност; |
| – За семейна идентичност– семейно положение, родствени връзки; |
| – Документи, свързани със здравословно състояние на служителите / болнични листи, ТЕЛК/.; |
|
| 1. Използване на личните данни |
| Предоставените лични данни от субектите са необходими за идентификация и изпълнение на нормативни изисквания или договорни задължения, произтичащи от сключени договори между тях и Администраторите. Данните са необходими за сключване на трудови договори, граждански договори, ДУК, търговски договори, които дават правно основание за осъществяване на трудова дейност, обществено осигуряване, здравеопазване, изпълнение на определени задачи по търговски договори, осъществяване на видеонаблюдение на публични места в имотите, собственост на Администраторите с цел осигуряване на сигурност, др. Накратко, лични данни се събират за дейности, като управление на човешките ресурси, финансово – счетоводна дейност, обществен ред и частно–охранителна дейност, управление на собственост. |
| Като администратор на лични данни, Дружествoтo обработва лични данни чрез съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други неавтоматични средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространение, предоставяне, актуализиране или комбиниране, блокиране, заличаване и унищожаване, при спазване на цитираните по-горе принципи. |
| Целта на обработка на лични данни е еднозначно да се идентифицират физическите лица, настоящи и бъдещи служители/контрагенти на Дружеството и др. свързани с тях лица. Правното основание за обработване на лични данни в повечето случаи е съгласно изискването на закон, както и на конкретна нормативна уредба по случая. При нужда от допълнителни лични данни, извън необходимия минимум, ние като Администратор изискваме получаване на съгласие от субекта. Обработването също така е необходимо във връзка с изпълнение по сключен договор, по който субекта е страна, или за предприемане на стъпки по наше искане като Администратор преди сключване на договор. |
| Ние в качеството си на Администратор поддържаме следните Регистри за обработка на данни – „Служители“ и „Контрагенти“, |
| Събирайки данни за здравословното състояние на субектите от регистър „ Служители“ се случва да се събират и лични данни на деца, които данни са предоставени от други Администратори във връзка с издаване на болнични листи за гледане на малко дете от наш служител. Тази информация се предоставя единствено на НОИ и служи за обезщетяване на временно неработоспособния ни служител. |
| Лични данни за деца се получават и във връзка с ползване на данъчно облекчение за деца на наши служители, съгл. чл. 22в, ал.8 от ЗДДФЛ. |
| Данни, свързани със семейната идентичност се събират съгласно нормативното изискване за ползване на отпуск от баща при раждане на дете в срок до 15 календарни дни от изписване на детето и получаване на обезщетение от НОИ за това/ чл. 45а от Наредбата за работното време, почивките и отпуските/. |
|
| III. РАЗКРИВАНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ СТРАНИ |
| Дружеството като Администратор на лични данни, имат право да разкрият обработваните лични данни само на следните изчерпателно изброени категории лица: |
| 1. физически лица, за които се отнасят данните; |
| 2. лица, за които правото на достъп е предвидено в нормативен акт; |
| 3. лица, които обработват данните. |
|
| IV. СИГУРНОСТ, ПЕРИОД НА СЪХРАНЕНИЕ, СРОК ЗА УНИЩОЖАВАНЕ |
| При оценяване на подходящи технически мерки за защита на личните данни, бяха разгледани следните възможности: |
| – Защита с парола; |
| – Автоматично заключване на бездействащи работни станции в мрежата; |
| – Антивирусен софтуер и защитни стени; |
| – Права на достъп основани на роли, включително тези, на назначен временно персонал; |
| – Защита на устройства, които напускат помещенията на организацията, като лаптопи или други; |
| – Сигурност на локални и широко обхватни мрежи. |
| При оценяването на подходящите организационни мерки за защита на данните ще вземем в предвид следното: |
| – Нивата на подходящо обучение в дружеството; |
| – Мерките, които отчитат надеждността на служителите (например атестационни оценки, препоръки и т.н.); |
| – Включването на защитата на данните в трудовите договори; |
| – Идентификация на дисциплинарни мерки за нарушения по отношение на обработването на данни; |
| – Редовна проверка на персонала за опазване на съответните стандарти за сигурност; |
| – Контрол на физическия достъп до електронни и хартиено базирани записи; |
| – Приемането на политика на „чисто работно място“; |
| – Приемане на ясни правила за създаване и ползване на пароли; |
| – Редовно създаване на резервни копия на личните данни и физическо съхраняване на носителите с копия извън офиса; |
| – Налагане на договорни задължения на организации контрагенти да предприемат подходящи мерки за сигурност при прехвърляне на данни извън ЕС. |
|
| 1. Всички служители, обработващи лични данни, са отговорни за гарантирането на сигурността при съхраняването на данните, за които те отговарят и които Администратора държи, както и, че данните се съхраняват сигурно и не се разкриват при каквито и да било обстоятелства на трети страни, освен ако Администраторът не е дал такива права на тези трети страна, като са сключили договор или са подписали клауза за поверителност. |
| 2. Всички лични данни са достъпни само за тези, които се нуждаят от тях, а достъпът може да бъде предоставен само в съответствие с изградените правила за контрол на достъпа. Всички лични данни трябва да се третират с най-голяма сигурност и се съхраняват: |
| · чрез използване на сигнално-охранителна техника; |
| · в самостоятелна стая с контролиран достъп; и/или в заключен шкаф или в картотека; |
| · ако е компютъризирана, защитена с парола в съответствие с вътрешните изисквания посочени в организационните и технически мерки за контролиране на достъпа до информация; |
| · съхранявани на преносими компютърни носители, които са защитени в съответствие с организационните и технически мерки за контролиране на достъпа до информация. |
| 3. Записите върху хартиен носител не трябва да се оставят там, където могат да бъдат достъпни от неоторизирани лица и не могат да бъдат изваждани от определените офисни помещения без изрично разрешение. Веднага щом хартиените документи вече не са необходими за текущата работа по поддръжката на клиенти, те трябва да бъдат унищожени в съответствие със създадена за това процедура/правила и съответен протокол. |
| 4. Личните данни се съхраняват в Дружеството за срок, който е строго ограничен и нормативно определен. Записите на хартиен носител, за които е изтеръл срокът за съхранение, трябва да бъдат нарязани и унищожени като “поверителни отпадъци”. Данните върху твърдите дискове на излишните персонални компютри трябва да бъдат изтрити или дисковете унищожени. |
| 5. Следва да се създаде организация, която да гарантира, че компютърните екрани и терминалите не могат да бъдат гледани от друг, освен от оторизираните служители на съответния администратор. От всички служители се изисква да бъдат обучени и да приемат съответните договорни клаузи/декларации за спазване на организационните и технически мерки за достъп, както и правилата за заключване на работните станции, преди да им бъде предоставен достъп до информация от всякакъв вид. |
|
| V. ПРАВА НА ФИЗИЧЕСКИТЕ ЛИЦА (СУБЕКТИТЕ НА ДАННИ) |
| Физическите лица, чиито лични данни се обработват, имат следните права: |
| 1. право на информираност, относно данните, които идентифицира Администратора и неговия представител, целите на обработването на личните данни, получателите или категориите получатели, на които могат да бъдат разкрити данните, задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им; |
| 2. право на достъп до отнасящи се до тях данни. В случаите, когато при предоставяне правото на достъп на физическото лице, могат да се разкрият лични данни и за трето лице, Администраторът е длъжен да предостави частичен достъп до тях, без да разкрива данни за третото лице; |
| 3. право на коригиране на личните данни, когато те са неточни, както и когато не са вече актуални; |
| 4. право на заличаване /право „да бъдеш забравен“/, право на ограничаване на обработването, право на коригиране на лични данни, обработването на които не отговаря на изискванията на ЗЗЛД, както и право да се поиска да бъдат уведомени третите лица, на които са били разкрити личните данни на лицето, за всяко заличаване, коригиране, което е извършено, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия; |
| 5. право да се иска от администратора ограничаване на обработването на лични данни, като в този случай данните ще бъдат само съхранявани, но не и обработвани; |
| 6. право на възражение пред Администратора срещу обработването на личните данни на физическото лице при наличие на законово основание за това и срещу обработването и разкриването на трети лица на личните му данни за целите на директния маркетинг. Право да бъде уведомено, преди личните му данни да бъдат разкрити за пръв път на трети лица или използвани от тяхно име за целите на директния маркетинг; |
| 7. право на уведомяване за нарушение на сигурността на личните данни; |
| 8. право на защита – пред КЗЛД и съдебен ред /право на подаване на жалба до надзорен орган, право на ефективна съдебна защита срещу надзорен орган, администратор или обработващ данните/; |
| 9. право на обезщетение за причинени вреди; |
| 10. право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, което е дадено, преди то да бъде оттеглено; |
| 11. право на преносимост – Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратора, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг Администратор без възпрепятстване от Администратора, на когото личните данни са предоставени първоначално, когато обработването е основано на съгласие или на договорно задължение и обработването се извършва по автоматизиран начин. |
| 12. право да не е обект на автоматизирано взети решения, които да го засягат в значителна степен, без възможност за човешка намеса; |
| 13. право да се противопостави на автоматизирано профилиране, което се случва без негово съгласие. |
|
| VI. РЕД ЗА УПРАЖНЯВАНЕ НА ПРАВА |
| Физическите лица, упражняват правата си, като подават писмено заявление до Администратора, съдържащо минимум следната информация: |
| 1. име, адрес и други данни за идентифициране на съответното физическо лице; |
| 2. описание на искането; |
| 3. предпочитана форма за предоставяне на информацията; |
| 4. подпис, дата на подаване на заявлението и адрес за кореспонденция. |
| Подаването на заявление е безплатно. |
| При подаване на заявление от упълномощено лице, към заявлението се прилага и изрично нотариално заверено пълномощно. |
| В случай на смърт на физическото лице, правата му се упражняват от неговите наследници, като към заявлението се прилага удостоверение за наследници. |
| Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на подаването на искането, съответно – 30-дневен, когато е необходимо повече време за събиране на исканите данни, с оглед възможни затруднения в дейността на Администраторите. |
| Дружеството изготвя писмен отговор и го съобщават на заявителя лично – срещу подпис или по пощата, с обратна разписка, като се съобрази с предпочитаната от заявителя форма на предоставяне на информацията. |
| Можем да откажем да обработваме заявки, които се повтарят неоснователно, изискват несъразмерни технически усилия, застрашават поверителността на други потребители, заявки, които са крайно непрактични или до които иначе по закон, не се изисква достъп. |
| Когато данните не съществуват или предоставянето им е забранено със закон, на заявителя се отказва достъп до тях. |
| Администраторът изпраща потвърждение за получаване на уведомлението (по имейл). |
| Администраторът прави преценка дали е необходимо да се уведоми надзорния орган за нарушението. Съгласно член 33, параграф 1 от ОРЗД, не е необходимо да се изпраща уведомление, ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Ако установи, че съществува риск за правата и свободите на субектите на данни, Администраторът уведомява надзорния орган за нарушението на сигурността на личните данни без ненужно забавяне и не по-късно от 72 часа след като е извършено нарушението, чрез изпращане на уведомление. |
| Изпращането на уведомлението от обработващите лични данни до Администраторите, от Администраторите до КЗЛД, отговорите на страните по проблема, последиците и предприетите мерки, се записват в Регистър за извършените нарушения. |
| Администраторът следва да уведоми субекта на данни за нарушението на сигурността на личните данни без ненужно забавяне, когато има вероятност нарушението да доведе до висок риск за правата и свободите на физическото лице, за да му се даде възможност да предприеме необходимите предпазни мерки. |
