Вътрешни правила за защита на данните
Тези вътрешни правила (наричани по-долу и „Вътрешна политика“) за защита на данните представят принципите и правните условия, които „БУЛМЕТ ТРЕЙДИНГ” ЕООД, вписано в търговския регистър при Агенцията по вписванията с ЕИК 175429694, със седалище и адрес на управление – гр. Долна баня, Софийска област, м. „Съръмеше”, кв. 121, идент. № по ДДС BG175429694, трябва да спази, когато получава, обработва, предава или съхранява лични данни за целите на своята дейност, включително лични данни на клиенти, доставчици и работници или служители. Правилата са в съответствие с изискванията на Общия Регламент за Защита на Данните (Регламент 2016/679) (GDPR).
1. ИНТЕРПРЕТАЦИЯ
ДЕФИНИЦИИ
Име на Дружеството-Администратор: „БУЛМЕТ ТРЕЙДИНГ” ЕООД, вписано в търговския регистър при Агенцията по вписванията с ЕИК 175429694, със седалище и адрес на управление – гр. Долна баня, Софийска област, м. „Съръмеше”, кв. 121, идент. № по ДДС BG175429694;
Електронен адрес за директен контакт с Длъжностното лице по защита на данните на Администратора: gdpr@elbat.bg. Всички Ваши въпроси, отнасящи се до защитата на личните данни, както и относно упражняване на правата Ви като субект на лични данни, може да отправяте на този електронен адрес;
„Лични данни" - всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
„Специални категории лични данни“ – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации и обработката на генетични данни, биометричните данни за уникално идентифициране на физическо лице, данни отнасящи се до здравето или данни относно сексуалния живот на физическо лице или сексуална ориентация;
„Обработване“ - означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
„Администратор“ - всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка; „БУЛМЕТ ТРЕЙДИНГ“ ЕООД е Администратор на всички лични данни, отнасящи се до неговия персонал, както и на лични данни използвани за неговите собствени търговски цели;
„Обработващ лични данни“ - физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
„Обработване под ръководството на Администратора“ - обработващият лични данни и всяко лице, действащо под ръководството на администратора, което има достъп до личните данни, обработва тези данни само по указание на Администратора, освен ако обработването не се изисква от правото на Съюза или правото на Р България. Експерт „Управление на човешките ресурси“ (УЧР),всички служители в отдел „Финанси“, експерт „Здравословни и безопасни условия при работа“ (ЗБУР),както и служители от персонала, обработващи лични данни, обработват такива данни под ръководството на Администратора;
„Субект на данните“– всяко живо физическо лице, което е предмет на личните данни съхранявани от Администратора;
„Съгласие на субекта на данните" - всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
„Дете“ – Общият Регламент определя дете като всеки на възраст под 16 години въпреки че това може да бъде намалена на 13 години от правото на държавата-членка. Обработката на лични данни на едно дете е законно само, ако родител или попечител е дал съгласие. Администраторът полага разумни усилия, за да провери в такива случаи, че притежателят на родителската отговорност за детето е дал съгласието си;
„Персонал“ - всички работници и служители, и управители, назначени по договор за управление и контрол;
„Профилиране" - всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;
„Нарушение на сигурността на лични данни" - нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
„Основно място на установяване “ – седалището на Администратора в ЕС ще бъде мястото, в което той взема основните решения за целта и средствата на своите дейности по обработване на данни.
„Получател" - физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
„Трета страна“ – всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
„Европейското икономическо пространство (ЕИП)“: 28-те държави-членки на ЕС, както и Исландия, Лихтенщайн и Норвегия.
2. ВЪВЕДЕНИЕ
Тази Вътрешна политика по защита на данните указва как „БУЛМЕТ ТРЕЙДИНГ“ ЕООД, вписано в търговския регистър при Агенцията по вписванията с ЕИК 175407160 (наричано по-долу “Дружеството” и/или обозначавано с изразът „ние“) управлява личните данни на нашите клиенти, доставчици, работници и служители, и трети лица.
Тези вътрешни правила се прилагат спрямо всички лични данни, които ние обработваме, без значение от това на какъв носител са съхранени или дали са свързани с бивши и настоящи работници и служители, собственици на капитала, потребители на електронния ни магазин http://www.grandroses.comили на електронния ни магазин http://www.botticelli.bg, или всеки друг субект на данни.
Тези Вътрешни правила се прилагат спрямо целия персонал на Дружеството. Всички работници и служители следва да спазват тази Вътрешна политика, когато обработват лични данни от името на Дружеството. Тези Вътрешни правила указват какви са нашите очаквания към персонала да осигури спазване на законодателството от страна на Дружеството. Всяко нарушение на тези Вътрешни правила може да доведе до дисциплинарни санкции спрямо работника или служителя.
Тези правила са вътрешен документ и не могат да бъдат споделяни с трети лица без предварително одобрение от Дружеството.
3. ОБХВАТ
Ние оценяваме факта, че правилното и законосъобразно управление на лични данни ще осигури доверието в Дружеството ни от страна на клиенти и партньори. Опазването на конфиденциалността и целостта на личните данни е ключова отговорност, към която ние се отнасяме изключително сериозно.
Всички, РЪКОВОДНИ СТРУКТУРИ в Дружеството, включително директори и мениджъри, както и лицата, на които е възложена информационната сигурност носят отговорност за спазването на тези правила от страна на персонала и следва да въведат подходящи практики, процеси и обучение.
4. ПРИНЦИПИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Ние се придържаме към принципите за защита на личните данни в GDPR, които изискват всички Лични Данни:
1. Да се обработват законосъобразно, добросъвестно и прозрачно;
2. Да се събират само за конкретни, изрично указани и легитимни цели;
3. Да бъдат подходящи, свързани с и ограничени до стриктно необходимото за целите, за които се обработват;
4. Да бъдат точни и при възможност поддържани в актуален вид;
5. Да са съхранявани във формат, който да позволява идентифицирането на субекта на данни за не по-дълъг срок от необходимия за целите на обработването;
6. Да са обработени по начин, който осигурява тяхната сигурност, използвайки технически и организационни мерки, които да ги предпазват от неоторизирано или незаконно обработване и от случайна загуба, унищожаване или повреждане;
7. Да не се трансферират до друга страна извън ЕИП без необходимите предпазни мерки;
8. Да се предоставят на субектите на данни, на които да се даде възможност да упражнят правата си спрямо техните лични данни.
Ние следва да можем да демонстрираме, че спазваме принципите, описани по-горе.
5. ЗАКОНОСЪОБРАЗНОСТ, ДОБРОСЪВЕСТНОСТ, ПРОЗРАЧНОСТ
5.1. ЗАКОНОСЪОБРАЗНОСТ И ДОБРОСЪВЕСТНОСТ
Личните данни трябва да се обработват законосъобразно, добросъвестно и по прозрачен начин спрямо субекта на данни.
GDPR ограничава кръга на нашите действия с лични данни до тези, за които е на лице законосъобразна база. Тези ограничения не целят да предотвратят обработването, а да гарантират, че обработваме лични данни добросъвестно и без негативни последствия за субекта на данни.
GDPR регламентира законосъобразните бази за обработка, някои от които са изброени по-долу:
1. Субектът на данните е дал своето съгласие;
2. Обработването е необходимо във връзка с изпълнението на договор със субекта на данните;
3. Обработването е необходимо, за да изпълним нашите законови задължения;
4. Обработването е необходимо, за да се защитят жизненоважните интереси на субекта на данните;
5. Обработването е необходимо за целите на легитимните ни интереси, освен когато пред интересите ни преимущество имат интересите или основните права и свободи на субекта на данни. Целите, за които обработваме лични данни на това основание трябва да са описани в приложимите Известия по защита на данните.
5.2. СЪГЛАСИЕ
Администраторите на данни могат да обработват лични данни единственно в случаите, в които поне една от законовите бази в GDPR е налице, което включва и съгласие, в случаите, предвидени в GDPR.
Субектът на данни е съгласен с обработването, ако го изрази ясно – чрез изявление или позитивен акт. Съгласието изисква положително действие (предварително отметнати полета за съгласие или бездействие не представляват валидно съгласие). Ако съгласието за обработка на лични данни се дава чрез документ, който урежда и други въпроси, то следва да бъде изискано отделно от съгласието с другите въпроси.
Субектите на данни трябва да могат лесно да оттеглят съгласието си за обработване по всяко време и оттеглянето трябва да бъде уважено своевременно. Съгласието трябва да се изиска отново, ако се възнамерява да се обработват лични данни на ново, различно основание, за което субектът не е дал съгласие първоначално.
За специални категории данни трябва да се получи изрично писмено съгласие на субектите на данни, освен ако не съществува алтернативно законно основание за обработване.
В случаите, когато не можем да се основем на друга законова база за обработване, изрично съгласие обикновено може да е необходимо и при решения за трансфер на данни извън ЕИП.
5.3. ПРОЗРАЧНОСТ СПРЯМО СУБЕКТА НА ДАННИ
Съгласно изискването на GDPR всички Администратори трябва да предоставят детайлна, конкретна информация до субектите на данни, в зависимост от това дали данните са получени от тях директно или от друг източник. Тази информация трябва да бъде предоставена чрез подходящи Известия по защита на данните, които трябва да са лесно достъпни и да използват ясен език, без излишна правна терминология, така че субектите на данни да могат лесно да ги разберат.
Винаги когато събираме лични данни директно от субекта, включително с цел администриране на трудови правоотношения, ние ще предоставяме информацията, изисквана от GDPR.
Информацията следва да включва: данни за контакт с Дружеството-Администратор, електронен адрес за контакт с Длъжностното лице по защита на данните, как и защо ще използваме, обработваме, предоставяме, защитим и съхраним личните данни. Ние имаме задължение съгласно GDPR да предоставяме информацията в момента на получаване на личните данни от субекта.
6. ОГРАНИЧЕНИЕ НА ЦЕЛИТЕ
Всички лични данни трябва да се съберат само за конкретни и легитимни цели, и не трябва да се обработват по-начин, който не е съвместим с тези цели.
Ние нямаме право да използваме лични данни за нови, различни и несъвместими с първоначалните цели, освен ако субектът не предостави последващо съгласие за новите цели.
7. МИНИМИЗИРАНЕ НА ДАННИТЕ
Личните данни следва да бъдат подходящи, свързани с и ограничени до стриктно необходимото за целите, за които се обработват.
Ние не събираме лични данни, които не са необходими.
Ние имаме ангажимент да осигурим навременното изтриване/унищожаване или анонимизиране на всички лични данни, които вече не са необходими за конкретните цели.
8. ТОЧНОСТ
Личните данни следва да бъдат точни и при възможност поддържани в актуален вид. При установяване на неточност, данните следва да се коригират или изтрият без забавяне.
Ние следва да се уверим, че личните данни, които съхраняваме, са точни, пълни, актуализирани и ограничени до целите, за които са събрани. Ние ще проверим точността на всички лични данни в момента на тяхното събиране и впоследствие, при възнинала необходимост. Ние ще вземем всички разумни мерки за унищожаването или корекцията на всички неточни или неактуални лични данни.
9. ОГРАНИЧАВАНЕ НА СЪХРАНЕНИЕТО
Личните данни не се съхраняват във формат, който позволява идентифицирането на субекта за по-дълго време от необходимото за целите, за които са събрани.
„БУЛМЕТ ТРЕЙДИНГ“ ЕООД има разработени правила относно съхранението на лични данни.
Чрез известия по защита на данните ние информираме субектите на данни за какъв период техните лични данни ще се съхраняват и/или как се определя този период.
10. СИГУРНОСТ, ЦЯЛОСТ И КОНФИДЕНЦИАЛНОСТ
10.1. ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Личните данни в Дружеството ни са защитени с необходимите технически и организационни мерки срещу неоторизирано и незаконно обработване, и срещу случайна загуба, унищожаване или увреждане.
Ние ще извършваме редовна оценка на ефективността на тези мерки. Вие също носите отговорност за защитата на личните данни, които съхраняваме и следва да сте особено внимателни, когато осигурявате защитата на специални категории лични данни от загуба и неоторизиран достъп, употреба или предоставяне.
Ние следваме всички процедури и технологични мерки, които сме въвели, с цел опазване сигурността на личните данни от момента на тяхното събиране до момента на тяхното унищожаване. Можем да трансферирате лични данни до подизпълнители, само ако те се съгласят да спазват нашите политики и процедури и да осигурят необходимите мерки за защита, които ние изискаме.
Ние осигуряваме сигурността на данните като вземаме разумните и възможни защити на тяхната конфиденциалност, цялост и достъпност, дефинирани както следва:
· Конфиденциалност означава, че само хората, които следва да знаят и са оторизирани да използват личните данни, имат достъп до тях.
· Цялост означава, че личните данни са точни и подходящи за употреба за целите, за които се обработват.
· Достъпност означава, че оторизираните потребители имат осигурен достъп до личните данни за оторизирани цели.
Всички служители и работници са отговорни за гарантирането на сигурността при съхраняването на данните, за които те отговарят и които “БУЛМЕТ ТРЕЙДИНГ“ ЕООД държи.
10.2. ДОКЛАДВАНЕ НА НАРУШЕНИЕ НА ЗАЩИТАТА НА ДАННИТЕ
GDPR изисква от Администраторите да докладват нарушенията на защита на данните пред регулаторния орган и, в някои ситуации, субекта на данни.
Ние сме въвели регистър „Нарушения на сигурността на данните“ за идентифициране на подобни нарушения и ще уведомим регулатора, и субекта на данни, ако е необходимо, в предвидените от GDPR случаи.
Ако имате информация за нарушение на защитата на данните или подозирате, че такова е настъпило, не правете опит да го разследвате сами. Веднага се свържете с Управителя на Дружеството като може да използвате и електронните адреси за контакт, дадени по-горе. Вие трябва да съхраните всички доказателства за потенциалното нарушение.
11. ОГРАНИЧАВАНЕ НА ПРЕДАВАНЕТО
GDPR ограничава трансферите на данни до странни извън ЕИП с цел да гарантира пред субектите, че нивото на защита, гарантирано от GDPR, не е компрометирано.
Ние можем да извършваме трансфер на лични данни извън ЕИП, само ако едно от следните условия е налице:
1. Европейската комисия е издала решение, потвърждаващо, че страната, към която се извършва трансфера осигурява адекватно ниво на защита на правата и свободите на субектите на данни;
2. Налице са подходящи мерки за защита – като например Обвързващи Корпоративни Правила (ОКП),стандартни договорни клаузи, одобрени от Европейската комисия, одобрен кодекс за поведение или сертификационен механизъм;
3. Субектът на данни е дал своето изрично съгласие за трансфера, след като е информиран за възможните рискове или
4. Трансферът е необходим за една от целите, изброени в GDPR, включително изпълнението на договор със субекта, защита на обществения интерес, установяване и защита на правни спорове, защита на жизненоважните интереси на субекта на данни в случаите, когато той е физически или юридически неспособен да даде съгласие, и в някои ограничени случаи – за защита на легитимните ни интереси.
12. ПРАВА НА СУБЕКТИТЕ НА ДАННИ И ИСКАНИЯ ЗА ДОСТЪП ДО ДАННИТЕ
12.1. Субектите на данни имат права що се отнася до това как управляме техните лични данни, включително право да:
А) Да отправя искания за потвърждаване дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните, както и информация кои са получателите на тези данни.
Б) Да поиска копие от своите лични данни от администратора;
В) Да иска от администратора коригиране на лични данни когато те са неточни, както и когато не са вече актуални;
Г) Да изиска от администратора изтриване на лични данни (право „да бъдеш забравен“);
Д) Да иска от администратора ограничаване на обработването на лични данни като в този случай данните ще бъдат само съхранявани, но не и обработвани;
Е) Да направи възражение срещу обработване на негови лични данни;
Ж) Да направи възражение срещу обработване на лични данни, отнасящо се до него за целите на директния маркетинг;
З) Да се обърне с жалба до надзорен орган ако смята, че някоя от разпоредбите на GDPR е нарушена;
И) Да поиска и да му бъдат предоставени личните данни в структуриран, широко използван и пригоден за машинно четене формат;
Й) Да оттегли съгласието си за обработката на личните данни по всяко време с отделно искане, отправено до администратора;
К) Да не е обект на автоматизирано взети решения, които да го засягат в значителна степен, без възможност за човешка намеса;
Л) Да се противопостави на автоматизирано профилиране, което се случва без негово съгласие.
12.2. Ние сме въвели „Дневник на исканията от субектите на данни“. Исканията се правят, като се използва образец на форма за искане от субект на данните, което може да получите както в седалището на Администратора, така и по електронен път като изпратите запитване до Длъжностното лице по защита на данните. При отправянето на искане се спазват следните правила:
- Субектът на данни указва конкретния вид искане, съдържащ се в образеца на формата, предоставена от “БУЛМЕТ ТРЕЙДИНГ“ ЕООД;
- Субектът на данните може да поиска всички негови лични данни, съхранявани от “БУЛМЕТ ТРЕЙДИНГ“ ЕООД без да указва конкретен вид;
- Субектът на данните предоставя на “БУЛМЕТ ТРЕЙДИНГ“ ЕООД данни за самоличността си, които да го идентифицират сигурно и еднозначно.
- „БУЛМЕТ ТРЕЙДИНГ“ ЕООД задължително проверява идентификационните данни, за да се увери, че искането е подадено от субекта, който данните идентифицират;
- „БУЛМЕТ ТРЕЙДИНГ“ ЕООД документира датата на получаване на искането.
„БУЛМЕТ ТРЕЙДИНГ“ ЕООД предоставя исканата информация и отговаря на исканията на субекта на данните в рамките най-късно на един месец от датата на получаване на искането за достъп.
12.3. В случай на искане от субекта на данни за получаване на достъп до данните, освен че осигурява достъп до данните чрез предоставяне на тяхно копие, “БУЛМЕТ ТРЕЙДИНГ“ ЕООД изпраща на субекта и следната информация:
- целите на обработването;
- съответните категории лични данни;
- получателите или категориите получатели на личните данни (ако има такива);
- информация относно намерението на “БУЛМЕТ ТРЕЙДИНГ“ ЕООД да предаде данните на трета държава или на международна организация, както и наличието на гаранции за защита на данните;
- срока, за който “БУЛМЕТ ТРЕЙДИНГ“ ЕООД ще съхранява личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;
- правата му да се изиска от “БУЛМЕТ ТРЕЙДИНГ“ ЕООД коригиране или изтриване на неговите лични данни, както и правата му на ограничаване на обработването, на възражение срещу обработването, както и на преносимост на данните;
- правото на жалба до надзорен орган;
- когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;
- наличие на автоматизирано вземане на решения, включително профилиране, както и предвидените последствия от това обработване за субекта на данните.
Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повторяемост, Управителят на Дружеството може:
- да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия;
- да откаже да предприеме действия по искането.
12.4. При искания за коригиране, изтриване или ограничаване и при възражения срещу обработването се следва следното:
При искане на субекта на данни за коригиране, изтриване, ограничаване или при възражение по отношение на обработваните лични данни трябва да бъде преценено всяко от тези искания (извън искането за достъп до данни) с оглед основателността на искането на субекта съгласно GDPR и законодателството на Р България.
След постъпването на съответното искане и след преценка на основателността му „БУЛМЕТ ТРЕЙДИНГ“ ЕООД предприема регламентираните от GDPR действия.
При уважаване на искането „БУЛМЕТ ТРЕЙДИНГ“ ЕООД съобщава за всяко извършено коригиране, изтриване или ограничаване на обработването на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. В случаите когато това е възможно и не изисква несъразмерно големи усилия съобщаването се извършва чрез изпращане на писмо на електронния адрес на получателя, а когато такъв не ни е известен - по пощата или куриер чрез препоръчана пратка с обратна разписка;
„БУЛМЕТ ТРЕЙДИНГ“ ЕООД информира субекта на данните по същия начин относно тези получатели, ако субектът на данните поиска това.
12.5. Правото на ЕС или националното законодателство могат да предвидят ограничения за упражняването на правата на субектите на данни при изпълнението на правилата, описани в точки 12.2., 12.3. и 12.4. с цел да се гарантира:
- националната сигурност и отбраната;
- обществената сигурност;
- предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществената сигурност;
- важни цели от широк обществен интерес;
- важен икономически или финансов интерес на Съюза или на държава-членка, паричните, бюджетните и данъчните въпроси;
- общественото здраве и социалната сигурност;
- защитата на независимостта на съдебната власт и съдебните производства;
- предотвратяването, разследването, разкриването и наказателното преследване на нарушения на етичните кодекси при регламентираните професии;
- функция по наблюдението, проверката или регламентирането, свързана, дори само понякога, с упражняването на официални правомощия в случаите;
- защитата на субекта на данните или на правата и свободите на други лица;
- изпълнението по гражданскоправни искове.
Субектите на данни имат право да подават жалби до “БУЛМЕТ ТРЕЙДИНГ“ ЕООД, свързани с обработването на личните им данни, обработването на искане от субекта на данни и обжалване от страна на субекта на данни, относно начина на обработване на жалбите.
13. ОТЧЕТНОСТ
Администраторът е отговорен за спазването на принципите за защита на данните и трябва да може да докаже тяхното спазване.
„БУЛМЕТ ТРЕЙДИНГ“ ЕООД ще доказва спазването на принципите за защита на данните чрез прилагане на настоящата Вътрешна политика по защита на данните, като внедрява подходящи технически и организационни мерки, както и чрез приемане на мерки по защита на данните на етапа на проектирането и защита на данните по подразбиране, процедура за уведомяване за нарушаване на лични данни и т.н.
13.1. РЕГИСТРИ
GDPR изисква от нас да водим пълна и точна документална отчетност на дейностите ни по обработване.
Ние сме въвели и поддържаме точни и актуални регистри, отразяващи нашето обработване.
Като минимум, тези регистри включват името и контактната информация на Администратора, ясно описание на вида лични данни, субекти на данни, операции по обработване, цели на обработване, трети лица, получатели на лични данни, местосъхранение на лични данни, трансфери на лични данни, срок на съхранение на лични данни и описание на мерките за защита.
„БУЛМЕТ ТРЕЙДИНГ“ ЕООД е наясно с рисковете, свързани с обработването на определени видове лични данни.
„БУЛМЕТ ТРЕЙДИНГ“ ЕООД оценява нивото на риска за лицата, свързани с обработването на личните им данни. Извършват се оценки на риска във връзка с обработването на лични данни от „БУЛМЕТ ТРЕЙДИНГ“ ЕООД и във връзка с обработването, предприето от други организации от името на “БУЛМЕТ ТРЕЙДИНГ“ ЕООД.
„БУЛМЕТ ТРЕЙДИНГ“ ЕООД управлява всички рискове, идентифицирани от оценката на риска, с цел да се намали вероятността от несъответствие с тези правила.
13.2. ОБУЧЕНИЕ И ОДИТ
Ние сме длъжни да осигурим адекватно обучение на нашия персонал, участващ в обработване на лични данни, което да им помогне да спазят изискванията на GDPR. Също така трябва регулярно да тестваме системите и процесите си.
13.3. ЗАЩИТА НА ДАННИТЕ НА ЕТАПА НА ПРОЕКТИРАНЕ И ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО
Ние имаме задължение да въведем мерки за защита на данните на етапа на проектиране, когато обработваме лични данни, чрез въвеждане на подходящи технически и организационни мерки.
Когато вид обработване може да доведе до висок риск за правата и свободите на физическите лица, по-специално при:
- първоначалното въвеждане на нови технологии или прехода към нови технологии
- автоматизирано обработване, включително профилиране или автоматизирано вземане на решения
- обработване на специални категории лични данни в голям мащаб
- мащабно, систематично наблюдение на публично обществена зона
и като се вземат предвид естеството, обхвата, контекста и целите на обработването, преди да пристъпи към обработване “БУЛМЕТ ТРЕЙДИНГ“ ЕООД следва да извърши оценка на въздействието на предвидените операции по обработване върху защитата на личните данни. Една обща оценка на въздействието може да разглежда набор от подобни операции по обработване, които представляват подобни високи рискове.
13.4. РАЗКРИВАНЕ НА ЛИЧНИ ДАННИ
Общо казано, на нашето Дружество не е позволено да споделя лични данни с трети лица, освен ако не са налице подходящи защити и договорни взаимоотношения.
Всички служители / работници трябва да бъдат предпазливи, когато им поискат да разкрият съхранявани лични данни за друго лице на трета страна. Важно е да се има предвид, дали разкриването на информацията е свързано или не с нуждите на дейността извършвана от организацията.
Вие можете да споделяте лични данни, които ние обработваме, с друг служител в Дружеството, ако изпълняването на професионалните задължения на получателя изисква достъп до данните.
Ние можем да споделяме лични данни, които контролираме, с трети лица, като например подизпълнители, ако следните условия са изпълнени:
1. Те следва да знаят тази информация с цел да изпълнят услуга по договор;
2. Споделянето на лични данни е в съответствие с изявление по защита на данните, което е предоставено на субекта, и, ако е необходимо, съгласието на субекта е предоставено;
3. Третата страна се е съгласила да спази необходимите стандарти за сигурност на данните, политика и процедури;
4. Трансферът е в съответствие с приложимите ограничения за трансфер до страни извън ЕИП, и
5. Е налице, надлежно сключен, договор за обработване с подизпълнителя, който отговаря на изискванията на GDPR.
14. ПРОМЕНИ НА ТЕЗИ ВЪТРЕШНИ ПРАВИЛА
Ние си запазваме правото да променяме тези Вътрешни правила по всяко време и без предупреждение. Моля проверявайте регулярно за най-актуалната версия на тези правила.
Тези Вътрешни правила не вземат превес над никое приложимо законодателство.
Версия 03/09.08.2019 г.
гр. Долна баня