ВЪТРЕШНИ ПРАВИЛА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

ВЪТРЕШНИ ПРАВИЛА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

I. Законодателна основа и обхват

 

1. Настоящите вътрешни правила се приемат във връзка с влизане в сила на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 год. (наричан по-долу за краткост „Регламента”).  

2. Вътрешните правила са приложими спрямо всички служители, лица, работещи на граждански договор (вкл. договори за услуга/договори за поръчка и т.н.), управителни органи и всички други, които на каквото и да е правно основание имат достъп до лични данни, обработвани от “ДОНЕВ УЪРК“ ЕООД, независимо от техния вид, обем и характеристика.

3. Вътрешните правила се прилагат за личните данни само на физическите лица, без да обхващат обработването на данни и информация, представляващи търговска или корпоративна информация.

 

II. Принципи при обработване на лични данни на клиентите

 

Обработката на лични данни от страна на съответните длъжностни лица от "ДОНЕВ УЪРК” ЕООД, ЕИК 205118499, със седалище и адрес на управление: гр. Бобов дол, ул. Негулица No 27. (наричан по-долу за краткост „Администратор“) извършва, като се спазват и съблюдават следните принципи, установени от Регламента:

1.Законосъобразност;

Според разпоредбите на Регламент (ЕС) 679/2016, обработването на лични данни е законосъобразно само когато е налице едно от изброените условия:

- Съгласие от страна на субекта (клиента) на лични данни за обработката;

- Обработката е необходима за постигане на конкретни договорни цели или друго законово задължение.

- За спазване на законово задължение на администратора или за защита на жизненоважни интереси на клиента или друго лице.

2. Добросъвестност, прозрачност и информираност;

Принципите на „добросъвестно“ и „прозрачно“ обработване изискват клиента да бъде информиран за съществуването на операция по обработване и за нейните цели. Администраторът следва да предостави на клиента всяка допълнителна информация, която е необходима, за да се гарантира добросъвестно и прозрачно обработване на данните, като се вземат предвид конкретните обстоятелства и контекст, в които се обработват личните данни.

Информацията за обработването на лични данни, свързани с клиента, следва да му бъде предоставена в момента на събирането ѝ от клиента или ако личните данни са получени от друг източник — в рамките на разумен срок, в зависимост от обстоятелствата на конкретния случай. В случаите, в които личните данни могат да бъдат законно разкрити на друг получател, клиентът следва да бъде информиран, когато личните данни се разкриват за първи път на получателя. Когато администраторът възнамерява да обработва личните данни за цел, различна от тази, за която те са събрани, той следва да предостави на субекта на данните преди това по-нататъшно обработване информация за въпросната друга цел и друга необходима информация

3. Ограничение на целите;

    Има се предвид събиране на конкретни, изрично указани и посочени цели и не се обработват по-нататък по начин, несъвместим с тези цели.

4. Свеждане на данните до минимум;

5. Точност;

„Точни“ и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на „неточни“ лични данни, като се имат предвид целите, за които те се обработват. В тази връзка съгласно Регламента на клиента се предоставя правото да иска от администратора „ограничаване на обработването“ и „корекция на предоставените данни“.

6. Ограничение на съхранението;

Съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни. Личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в Регламента с цел да бъдат гарантирани правата и свободите на субекта на данните.

7. Цялостност и поверителност.

Има се предвид, данните да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.

 

III. Права на клиента

 

При спазване на българското и европейското законодателство, включително Регламент (ЕС) 2016/679 на ЕС и на Съвета (Общ Регламент за защита на личните данни - GDPR) относно защита на личните данни, клиентът можете да упражни следните права:

  • Правото на достъп до личните данни, които Администраторът обработва за да получи копие от тях;

  • Право да иска коригиране, в случай че бъде установена неточност или необходимост от актуализация, като бъде изпратен имейл на donevwork18@gmail.com

  • Право да иска блокиране на личните данни или ограничаване на обработката на лични данни в определените от закона и Регламента случаи;

  • Право да иска заличаване, т.е. изтриване на личните данни, в случай че са налице условията за това;

  • Правото да възразите срещу обработването на личните данни за целите на директен маркетинг;

  • Правото да възрази срещу предоставянето на личните данни на трети лица;  

  • Правото, когато пожелае, да оттегли даденото съгласие личните данни да бъдат обработвани за целите, за които е дадено съгласие;

  • Право да отправи заявка за преносимост на личните данни в структуриран формат;

  • Правото да отправи жалба или искане за защита на правата пред Комисия за защита на личните данни, в случай че са налице предпоставките за това;

 

Горепосочените права могат да бъдат упражнени по всяко време на обработване на личните данни. Администраторът следва да отговорят безплатно и  без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането за упражняване на права. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията. Администраторът следва да информира за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето.

Право на достъп до личните данни.

Това право дава възможност на субекта на данните да получи информация дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

a) целите на обработването;

б) съответните категории лични данни;

в) получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;

г) когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;

д) съществуването на право да се изиска от Администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;

е) правото на жалба до КЗЛД;

ж) когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;

з) съществуването на автоматизирано вземане на решения, включително профилирането.

Право на коригиране  

Субектът на данни има право да поиска от Администратора да коригира без ненужно забавяне неточните лични данни, свързани с него. Като се имат предвид целите на обработването, субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация.

Право на изтриване (право да бъдеш „забравен“)

Субектът на данни има правото да поиска от Администратора изтриване на свързаните с него лични данни, а Администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:

a) личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

б) субектът на данните е оттеглил своето съгласие, на което се основава обработването на данните и няма друго правно основание за обработването;

в) субектът на данните възразява срещу обработването и не са налице законни основания за това обработване, които да имат преимущество;

г) ако е имало случаи лични данни да са били обработвани незаконосъобразно;

д) личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо Администратора;

е) личните данни са били събрани във връзка с предлагането на услуги на информационното общество.

Правото на ограничаване на обработването

Клиентът има право да поиска ограничаване на обработването, когато:

1. Оспорва точността на личните данни - за срока на проверката и корекцията;

2. Счита, че обработването по някакъв начин е било неправомерно, но не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

3. Изисква съхраняването на данните, за да установи, упражни или защити правните си претенции;

4. Е възразили срещу обработване на данните си на основание легитимния интерес на дружеството - докато трае проверка дали законните основания имат преимущество пред интересите на клиента.

Право да оттегли съгласие  

Когато обработката се основава единствено на съгласието на клиента, той има право по всяко време да го оттегли.  

Право на възражение

Клиентът има право на възражение срещу обработването на личните му данни, когато те се обработват по съображения, свързани с легитимните интереси на Администратора, включително  при обработка на лични данни за целите на директния маркетинг и профилиране.

Право на преносимост

Клиентът има право да получи личните данни, които го засягат и които е  предоставил на Администратора, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор, когато:

1. Oбработването е основано на съгласие или в изпълнение на договорно задължение;

2. Oбработването се извършва по автоматизиран начин;

Право на жалба или молба до Комисия за защита на личните данни  

Клиентът има право да сезира Комисията за защита на личните данни, ако счита, че Администраторът е нарушил по някакъв начин правата му и може да обжалва действия и актове на Администратора по административен или съдебен ред.  

 

IV. Разпределение на функциите и отговорностите по защита на личните данни

 

Функциите и отговорностите по изпълнение на изискванията на Регламента във връзка със защитата на личните данни на клиентите в Дружествата, посочени като Администратор, са разпределени както следва:

1. Управителят на дружеството  отговаря за цялостната политика и извършва общ надзор по спазването на изискванията на Регламента във връзка със защитата на личните данни на клиентите;

2. Всички служители на "ДОНЕВ УЪРК” ЕООД, ЕИК 203945347, със седалище и адрес на управление: гр. София, ул. „Цар Асен” № 8, следва да докладват пряко на  управителя на дружеството относно всяко нарушение на правилата и политиките по защита на личните данни на клиентите, включително относно всяко нарушение на поверителността на личните данни, които са им станали известни;  

3. Всички регистри, които се поддържат от "ДОНЕВ УЪРК” ЕООД, ЕИК 205118499, със седалище и адрес на управление: гр. Бобов дол, ул. Негулица No 27, на основание чл. 30 от Регламента, в които се вписват дейностите по обработка на лични данни, както на клиентите, така и на служителите, се водят лично от или под надзора на служителя по сигурността на личните данни. Това важи и за регистъра на нарушенията, свързани със сигурността на личните данни;

 

V. Срок за съхраняване на личните данни

 

1. Личните данни се съхраняват от Администратора за възможно най-ограничен период от време, но при спазване на изискванията относно период на съхранение на данните и медицинската информация, както и другите законови и подзаконови нормативни актове, регулиращи предоставянето на закони които регулират предоставянето на стоки и услуги за физически лица или крайни потребители на територията на Република България. Срокът на съхранение се определя също така като се вземат предвид целите на обработването, вида на личните данни и преди всичко съгласието на клиента относно срока на обработката.

2. В зависимост от основанието и целта за обработване на личните данни срокът на съхранението им е различен.

  • Минималният законов срок за съхранение на данни е 5 години. Срокът започва да тече от началото на календарната година, следваща годината на прекратяване на отношенията.

  • Срокът за съхранение на данни може да е по-дълъг, когато е необходимо, за да се упражнят правата на Администратора или легитимни интереси.

  • Когато няма законово определен срок, периодът на съхранение на данни може да е и по-кратък.

  • Записи от видео изображения се пазят до 30 календарни дни. Те могат да се съхраняват за по-дълго време, когато ще бъдат използвани като доказателство за  престъпление или нередност.

  • Записи на телефонни разговори и електронна комуникация се пазят 5 г. от тяхното създаване.

  • Данни за лица, кандидатстващи за работа, ще бъдат съхранявани до 6 месеца, от предоставянето им. Срокът започва да тече от началото на календарната година, следваща годината на тяхното предоставяне.

  • Лични данни на потенциални клиенти, с които не се е стигнало до встъпване в правоотношение, се обработват за срок от 1 г., като срокът започва да тече от началото на календарната година, следваща годината на тяхното предоставяне.

  • След изтичането на указаните срокове личните данни се анонимизират или унищожават в електронните системи на Администратора. Хартиените досиета, съдържащи личните данни, също се унищожават.

 

VI. Прозрачност при обработка на лични данни на клиентите

 

Като Администратор на лични данни, "ДОНЕВ УЪРК” ЕООД, ЕИК 205118499, със седалище и адрес на управление: гр. Бобов дол, ул. Негулица No 27, спазва изискването за прозрачност при събирането, обработването и съхранението на личните данни на клиентите. Управителят на фирмата (организацията) или лицето, което отговаря за защита на данните, имат задължение да осигурят на клиентите във всеки един момент получаване на следната информация:

  • Данни за администратора на личните данни и за обработващ/и личните данни – включително данни за контакт;

  • Данни за служителя, отговарящ за защитата на личните им данни – включително данни за контакт;  

  • Каква информация се събира за лицата;

  • Целите за обработване на личните им данни;

  • Периода на съхранение на личните им данни;

  • Данни за трети лица, извън работниците и служителите на дружеството, които ще получат достъп до личните им данни;

  • Правното основание за обработването на личните им данни;

  • Ще се прехвърлят ли личните им данни на трети държави или международни организации, извън Европейския съюз;  

При събирането, обработването и съхранението на личните данни на физическите лица работниците и служителите на дружеството съблюдават за спазването на принципите на GDPR.

 

VII. Съгласие за обработка на лични данни на клиенти

 

1. Лични данни на клиенти следва да бъдат обработвани само на базата на дадено изрично и доброволно съгласие, включително – когато се касае за ненавършили 16 год. възраст деца – чрез даване на изрично родителско съгласие за обработка.

2. Клиентът следва да даде съгласието си за обработка на лични данни чрез изрично изявление или чрез ясно утвърдителен акт (потвърждаващо действие), например чрез писмена декларация, включително по електронен път /когато услуга се предоставя онлайн/, включително и чрез устна декларация в определени случаи.

3. Изразеното съгласие на клиента трябва да бъде свободно дадено, конкретно, информирано и във формата на недвусмислено заявление.

4. Обработката на лични данни на клиенти, което е извършено без изричното тяхно съгласие по реда на предходните точки, е допустимо само в изключителни случаи – за защита на техните права и законни интереси, свързани със запазване на техния живот и здраве, когато същите не са в състояние или не е целесъобразно според конкретната ситуация, да се изиска такова.

5. Клиентът има право да оттегли съгласието си по всяко време, като тази процедура трябва да бъде също толкова лесна, колкото и даването на съгласието. Оттеглянето на съгласието важи занапред и не може да има обратно действие. Действията по обработване на лични данни, предприети от Администратора в съответствие с дадено преди това съгласие, са законосъобразни и валидно извършени до момента на оттегляне на съгласието. .

 

VIII. Съгласие за обработка на лични данни на служители

 

1. Лични данни на служители следва да бъдат обработвани на базата на дадено изрично и доброволно съгласие или на основание на сключения между него и Администратора трудов договор, включително – когато се касае за ненавършили 16 год. възраст деца – чрез даване на изрично родителско съгласие за обработка.

2. За всички извъндоговорни основания за обработка на лични данни следва да бъде депозирано валидно, доброволно и за конкретните цели съгласие от страна на служителя.

3. Обработката на лични данни на служители, което е извършено без изричното тяхно съгласие по реда на предходните точки, е допустимо само в изключителни случаи – за защита на техните права и законни интереси, свързани със запазване на техния живот и здраве, когато същите не са в състояние или не е целесъобразно според конкретната ситуация, да се изиска такова.

4. Служителят има право да оттегли съгласието си по всяко време, като тази процедура трябва да бъде също толкова лесна, колкото и даването на съгласието. Оттеглянето на съгласието важи занапред и не може да има обратно действие. Действията по обработване на лични данни, предприети от Администратора в съответствие с дадено преди това съгласие, са законосъобразни и валидно извършени до момента на оттегляне на съгласието.

 

IX. Водене на регистри

 

1. В рамките на "ДОНЕВ УЪРК” ЕООД, ЕИК 205118499, със седалище и адрес на управление: гр. Бобов дол, ул. Негулица No 27, се поддържат регистри на дейностите по обработване на личните данни на клиентите и регистър на служителите. Регистрите имат съдържанието, което е предвидено в чл. 30, пар. 1 и пар. 2 от Регламента.  

2. Лицето, което отговаря за воденето, съхранението и съответно редовното извършване на необходимите вписвания в регистрите по предходната точка, е управителят.

 

X. Осигуряване на сигурност във връзка с обработката на лични данни на клиентите

 

1. Всеки служител на "ДОНЕВ УЪРК” ЕООД, ЕИК 205118499, със седалище и адрес на управление: гр. Бобов дол, ул. Негулица No 27, следва да уведоми незабавно ръководството, относно следните обстоятелства:

  • Всяко нарушение на сигурността на личните данни на клиентите;  

  • При установяване на нерегламентиран достъп до личните данни на клиентите от трети лица;

  • При установяване на нерегламентирано обработване на личните данни на клиентите от член на персонала;

  • При установяване на нарушения на настоящите правила от член на персонала;

XI. Конфиденциалност

1. Всички служители на "ДОНЕВ УЪРК” ЕООД, ЕИК 205118499, със седалище и адрес на управление: гр. Бобов дол, ул. Негулица No 27, както и лица, работещи на граждански договор (вкл. договори за услуга/договори за поръчка и т.н.), управителни органи и всички други, които на каквото и да е правно основание имат достъп до лични данни на клиентите, нямат право да разкриват официално или неофициално пред трети лица конфиденциална информация, предоставена във връзка със или по време на изпълнението на задълженията им, включително и след прекратяване на договорните отношения, съгласно  Декларация за поверителност.

2. „Конфиденциална информация“ по смисъла на тези вътрешни правила ще означава: информация, придобита по време на изпълнение на служебните задължения на работниците/служителите, относно: всякаква информация за клиентите, която представлява лични данни по смисъла на Регламента, както и статистическа информация за клиентите, изследователски планове или доклади, програми, политики или планове за предоставяне на услуги, информация за служители или персонала на някое от изрично посочените в т.1 дружества, минали или предлагани услуги на клиенти, продуктови линии, вътрешни процедури и правила, изследователски дейности, принадлежащи на или отнасящи се до делата на  конкретното Дружество или някой документ, маркиран „Поверително” (или с подобен израз), или някаква информация, за която е съобщено на служителя, че е поверителна, или за която служителят логично би могъл да предположи, че е считана от работодателя за поверителна, или информация, която е предоставена на работодателя от трета страна като поверителна, както и изрично посочените в „Декларация за поверителност“.


Настоящите вътрешни правила за защита на лични данни са одобрени от Юлиан Божанов - Управител на дата 21.05.2018 год.

x
Съгласен съм

Сайтът използва “бисквитки” (cookies) за подобряване на неговата ефективност. Продължавайки използването му, Вие се съгласявате с нашата . “Политика за употреба на бисквитки”