ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ НА ДРУЖЕСТВО
„Изидара 6” ЕООД с ЕИК 206993774, със седалище и адрес на управление: ул. „Отец Паисий“ №44, вход „А“
Защитата на личните данни се урежда в Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните), а също и в други правни актове на Европейския съюз и в законодателствата на неговите държави членки.
РАЗДЕЛ I.
ОПРЕДЕЛЕНИЯ
1. „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
2. „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
3. „ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;
4. „профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;
5. „псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;
6. „регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;
7. „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
8. „обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
9. „получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
10. „трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
11. „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
12. „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
13. „генетични данни“ означава лични данни, свързани с наследени или придобити генетичните белези на дадено физическо лице, които дават уникална информация за отличителните черти или здравето на това физическо лице и които са получени, по-специално, от анализ на биологична проба от въпросното физическо лице;
14. „биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;
15. „данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;
16. „основно място на установяване“ означава:
a) по отношение на администратор, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, освен в случаите, когато решенията по отношение на целите и средствата за обработването на лични данни се вземат на друго място на установяване на администратора в Съюза и на това място на установяване има правомощия за прилагане на тези решения, в който случай мястото на установяване, където са взети тези решения, се счита за основно място на установяване;
б) по отношение на обработващ лични данни, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, или ако обработващият лични данни няма централно управление в Съюза, мястото на установяване на обработващия лични данни в Съюза, където се осъществяват основните дейности по обработването в контекста на дейностите на дадено място на установяване на обработващия лични данни, доколкото обработващият има специфични задължения съгласно настоящия регламент;
17. „представител“ означава физическо или юридическо лице, установено в Съюза, което, назначено от администратора или обработващия лични данни в писмена форма съгласно член 27, представлява администратора или обработващия лични данни във връзка със съответните им задължения по настоящия регламент;
18. „дружество“ означава физическо или юридическо лице, което осъществява икономическа дейност, независимо от правната му форма, включително партньорствата или сдруженията, които редовно осъществяват икономическа дейност;
19. „група предприятия“ означава контролиращо предприятие и контролираните от него предприятия;
20. „задължителни фирмени правила“ означава политики за защита на личните данни, които се спазват от администратор или обработващ лични данни, установен на територията на държава членка, при предаване или съвкупност от предавания на лични данни до администратор или обработващ лични данни в една или повече трети държави в рамките на група предприятия или група дружества, участващи в съвместна стопанска дейност;
21. „надзорен орган“ означава независим публичен орган, създаден от държава членка съгласно член 51;
22. „засегнат надзорен орган“ означава надзорен орган, който е засегнат от обработването на лични данни, тъй като:
a) администраторът или обработващият лични данни е установен на територията на държавата членка на този надзорен орган;
б) субектите на данни с местопребиваване в държавата членка на този надзорен орган са засегнати съществено или е вероятно да бъдат засегнати съществено от обработването; или
в) до този надзорен орган е подадена жалба;
23. „трансгранично обработване“ означава или:
a) обработване на лични данни, което се осъществява в контекста на дейностите на местата на установяване в повече от една държава членка на администратор или обработващ лични данни в Съюза, като администраторът или обработващият лични данни е установен в повече от една държава членка; или
б) обработване на лични данни, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка;
24. „относимо и обосновано възражение“ означава възражение срещу проект на решение относно това дали е налице нарушение на настоящия регламент или не, или дали предвижданото действие по отношение на администратора или обработващия лични данни отговаря на изискванията на настоящия регламент, което ясно доказва, че проектът за решение води до значителни рискове за основните права и свободи на субектите на данни и, където е приложимо, за свободното движение на лични данни в рамките на Съюза;
25. „услуга на информационното общество“ означава услуга по смисъла на член 1, параграф 1, точка б) от Директива (ЕС) 2015/1535 на Европейския парламент и на Съвета (19);
26. „международна организация“ означава организация и нейните подчинени органи, регламентирани от международното публично право, или друг орган, създаден чрез или въз основа на споразумение между две или повече държави.
Раздел II.
Принципи, свързани с обработването на лични данни
1. Личните данни следва да се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните (Принцип за „законосъобразност, добросъвестност и прозрачност”);
2. Личните данни следва да са събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели (Принцип за „ограничение на целите“);
3. Подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват (Принцип за “свеждане на данните до минимум“);
4. Точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват (Принцип за „точност“);
5. Съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; (Принцип за „ограничение на съхранението“);
6. Личните данни следва да са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки (Принцип за „цялостност и поверителност“).
Раздел III.
Законосъобразност на обработването
1. Обработването на лични данни е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:
a) субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;
б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;
г) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
д) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
е) обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
2. Дружеството събира и обработва лични данни на физически лица само при условията на законосъобразност, описани по-горе.
РАЗДЕЛ IV.
Права на физическите лица
Общият регламент относно защитата на данните предвижда следните права на физическите лица във връзка с обработване на личните им данни:
1. Право на достъп до личните данни, свързани с лицето, които се обработват от администратора;
2. Право на коригиране на неточни или непълни лични данни;
3. Право на изтриване („право да бъдеш забравен“) на лични данни, които се обработват незаконосъобразно или с отпаднало правно основание (изтекъл срок на съхранение, оттеглено съгласие, изпълнена първоначална цел, за която са били събрани и други);
4.Право на ограничаване на обработването при наличие на правен спор между администратора и физическото лице до неговото решаване и/или за установяването, упражняването или защитата на правни претенции;
5. Право на преносимост на данните, когато личните данни се обработват по автоматизиран начин на основание съгласие или договор. За целта данните се предават в структуриран, широко използван и пригоден за машинно четене формат;
6. Право на възражение по всяко време и на основания, свързани с конкретната ситуация на лицето, при условие, че не съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или съдебен процес;
7. Право субектът на данни да не бъде обект на изцяло автоматизирано решение, включващо профилиране, което поражда правни последствия за него или го засяга в значителна степен.
Произтичащите от Общия регламент относно защитата на данните права физическите лица могат да упражнят с писмено или електронно заявление до администратора на лични данни. В заявлението следва да се посочи име, адрес и други данни за идентифицирането на физическото лице като субект на данните, да се опише в какво се изразява искането, предпочитаната форма за комуникация и действия по искането. Искането следва да бъде подписано, да са отразени датата на подаване и адреса за кореспонденция.
РАЗДЕЛ V.
Данни за контакт с администратора
1. Седалище и адрес на управление на администратора: град София, ул. „Отец Паисий“ №44, вход „А“,
2. Имейл адрес на администратора: official@ssb-centre.com
РАЗДЕЛ VI.
Средства за защита на личните данни
1. Лицето, което отговаря за защитата на личните данни, е управителят на Дружеството.
2. Управителят е запознат с вътрешните правила на дружеството, както и с изискванията на Регламента за защита на личните данни.
3. При постъпване на служител в дружеството, управителят го запознава с правилата и принципите за защита на личните данни.
4. Управителят запознава всички свои клиенти и контрагенти с политиката за защита на лични данни.
5. Дружеството съставя регистри за лицата, за които събира и обработва лични данни.
6. Дружеството води регистър за нарушенията на сигурността на събираните и обработваните лични данни и в срок до 72 часа от узнаването се уведомя Комисията за защита на личните данни, както и засегнатите физически лица.
6.1. При нарушение на сигурността на събраните и обработваните лични данни, Дружеството незабавно извършва оценка на въздействието.
7. Дружеството задължава лицата, на които предоставя лични данни да поемат ангажимент за поверителност.
8. Дружеството уведомява лицата, които работят на трудов договор, че нарушаването на правилата за защита на личните данни представлява дисциплинарно нарушение.
9. В дружеството се осъществява видеонаблюдение. Видеонаблюдението се извършва на основание легитимните интереси на Дружеството, което е опазване на имуществото му.
При осъществяване на видеонаблюдението Дружеството информира субектите на данни, като за целта се поставят информационни табели на местата, в които се извършва видеонаблюдение. Записите от камерите се поддържат в регистър и се съхраняват за срок от един месец, след което се унищожават в съответствие с процедурата за Унищожаване на лични данни.
10. Личните данни, които дружеството събира и обработва се съдържат на места, до които трети лица нямат достъп.
11. Управителят поддържа мерките за защита на личните данни актуални.
РАЗДЕЛ VII.
Лични данни, които дружеството събира и обработва
1. Данни на служители на Дружеството;
2. Данни на клиенти на Дружеството;
3. Данни на физически лица, с които Дружеството е сключило договор за изработка, договор за поръчка, договор за възлагане и др.
4. Описаните по-горе лични данни се събират в качеството на администратор и обработващ.
5. Описаните по-горе лични данни се получават лично от субектите на данни.
6. Дружеството не обработва чувствителни данни.
7. Дружеството не обработва значителен обем от лични данни.
РАЗДЕЛ VIII.
Цели за обработка на лични данни и
1. Сключване на трудови договори със служители и работници. Определяне на трудовото им възнаграждение.
2. Сключване на граждански договори – договор за изработка, договор за поръчка, договор за възлагане, договор за наем и др.
3. Сключване на договор за изпълнение на услуги за клиенти на дружеството.
4. Маркетинг за продажба на услугите, които дружеството предлага.
5. За осъществяване на защита на имуществото на дружеството.
РАЗДЕЛ IX.
Оценка на въздействието върху защитата на данните
1. Рискът за лицата по чл. 1, чл. 2 и чл. 5 от Раздел VIII e среден, тъй като се събират данни като : три имена, ЕГН, адрес за кореспонденция, трудов стаж и др.
2. Рискът за лицата по чл. 3 и чл. 4 от Раздел VIII е нисък, тъй като се събират единствено три имена, имейл адрес и телефон за връзка.
РАЗДЕЛ X.
Ниво на защитата на данните
1. Нивото на защита на личните данни на дружеството е високо, тъй като достъп до данните има само управителя и лицето/дружеството, което води счетоводството на дружеството.
2. Личните данни не са достъпни за външни лица, тъй като помещенията на дружеството се заключват, осъществява се видеонаблюдение, а в самото помещение е налична допълнителна защита на личните данни, които са на хартиен носител – шкаф с ключалка, от която ключ има единствено управителя. В случаите в които личните данни се съхраняват на електронен носител, то този носител е с парола, която е известна единствено на управителя на дружеството.
3. Посегателство върху личните данни, с които дружеството разполага е възможно единствено при извършване на престъпление чрез незаконосъобразно проникване в помещенията и/или устройствата, които са носител на лични данни.
4. Дружеството е предприело всички необходими мерки, които са подходящи с оглед данните, които се съхраняват.
РАЗДЕЛ XI.
Предоставяне на данни на трети лица
1. Личните данни, които дружеството администрира и обработва се предоставят на следните лица:
А) Дружество, което води счетоводство на администратора с цел изчисляване на трудово и друг вид възнаграждение.
Б) Държавни и общински институции с оглед осъществяване на правомощията им.
В) В случай на нужда данните се предоставят на служба по трудова медицина.
Г) В случай на нужда данните се предоставят на застрахователни дружества.
2. Когато за целите на определяне на възнаграждение на служител или изпълнител е необходимо да се определи обема на свършена работа, между страните се сключва протокол, в който единствено се посочва броя на физически лица, без да се посочват техните лични данни.
РАЗДЕЛ XII.
Водени регистри от дружеството
1. Регистър на трудови договор, издадени и съхранявани трудови книжки, болнични листове.
2. Регистър за проведен инструктаж на служителите на дружеството.
3. Регистър на постъпили искания;
4. Регистър на дадени съгласия за обработване на лични данни и съответно тяхното оттегляне
5. Регистър с нарушения на сигурността на лични данни;