Политика за защита на личните данни

I.ПРЕДМЕТ, ЦЕЛ И ОБХВАТ

В нашата търговска дейност нашата компания и нейните дъщерни компании от същата икономическа група – MC DONALDS B.G (наричани по-нататък „Дружествата от Групата“ или „Администраторите“), вземат предвид, че е важно физическите лица да разбира процеса на събиране, съхраняване, споделяне и използване на всяка информация, съставляваща лични данни.

Дружествата от Групата, в качеството им на Администратор по смисъла на Закона за защита на личните данни (Обн. ДВ, бр. 1 от 04.01.2002 г.) и Общия регламент за защита на данните (ЕС) 2016/679 (наричан по-долу „Регламента“ ” или „GDPR”), се ангажират да осигурят съответствие с националното законодателство и законодателството на ЕС по отношение на обработката на лични данни и защита на „правата и свободите” на лицата, чиито лични данни събират и обработват. В зависимост от ситуацията Дружествата от Групата обработват данните в качеството си на Обработващи по смисъла на Регламента.

Една от основните цели на Дружествата от Групата е развитието и утвърждаването на добрите практики в областта на защитата на личните данни в компанията.

В съответствие със Закона за защита на личните данни и Регламент (ЕС) 2016/679 на Европейския парламент и на Европейския съвет относно защитата на физическите лица по отношение на обработването на лични данни и относно свободното движение на такива данни, тази Политика

предоставя информация относно принципите и правилата, свързани с обработването на лични данни, правата на субектите на данни, начините, по които се обработват личните данни и средствата за защита на данните от Дружествата в Групата, както и техните задължения и задължения в качеството им на администратори и/или обработващи лични данни.

II. ПРИНЦИПИ, СВЪРЗАНИ С ОБРАБОТКАТА И ЗАЩИТАТА НА ДАННИТЕ

Обработването на лични данни се извършва в съответствие с принципите за защита на данните, посочени в член 5 от регламента, както следва:

1. Личните данни се обработват законосъобразно, справедливо и по прозрачен начин.

1.1. Законно

Преди да се пристъпи към обработка на личните данни, трябва да се идентифицира правно основание. Законосъобразност при обработването на лични данни означава пълно съответствие на поведението на Администраторите не само със специалните разпоредби на инструментите за защита на личните данни, но и с цялото действащо законодателство. Всяко обработване на лични данни се основава на валидно правно основание, което може да включва:

  • Спазване на правно задължение, което се прилага към дейността на Администраторите;
  • Изпълнение на договор, по който физическото лице е страна или предприемане на действия по искане на физическото лице, преди сключване на договор (уреждане на преддоговорни отношения);
  • Съгласие на субекта на данните за една или повече цели;
  • Защита на жизненоважни интереси на субекта на данните или на друго физическо лице;
  • Изпълнение на задача от обществен интерес;
  • Легитимен интерес на Администраторите, освен когато тези интереси имат предимство пред интересите или основните права и свободи на субекта на данните.

Администраторите, в качеството си на работодатели и възложители и по отношение на дейностите по сключването и изпълнението на трудовите договори, обработват личните данни на служителите на основание приложимото трудово, осигурително и данъчно законодателство.

1.2 Честно

Обработването на лични данни е добросъвестно, когато не засяга субектите на данни по неоправдан или неблагоприятен начин, когато се извършва при пълно спазване на етичните норми и правила и добрите нрави. Всяка информация и комуникация, свързани с обработването на тези лични данни, трябва да бъдат лесно достъпни и разбираеми, като се използва ясен и прост език.

1.3 Прозрачност

Прилагането на принципа на прозрачност изисква Администраторът на данни да предоставя специфична информация на субектите на данни, необходима за всеки конкретен случай и за всяка конкретна цел, по начин, който е разбираем, кратък и достъпен за субекта на данните, независимо дали личните данни са получени директно от субектите на данни или от други източници. Принципът на прозрачност е гарантиран чрез предоставяне на възможност за упражняване на правото на информираност, правото на достъп.

Policies for awareness of the data subject are regulated in the Procedure for Transparency in Personal Data Processing and Notification for Confidential Handling of Personal Data.

The specific information provided to the data subject in the notification for personal data processing shall include:

  • Данни, идентифициращи Администраторите и данни за контакт с Администраторите/представителя на Администраторите;
  • Данните за контакт на длъжностното лице по защита на данните;
  • Целите на обработването, за които са предназначени личните данни, както и правното основание за обработването;
  • Срокът, за който се съхраняват личните данни;
  • Упражняване на следните права на субекта на данните – да поиска достъп, коригиране, изтриване (правото да бъдеш забравен), ограничаване на обработването на лични данни, както и правото на възражение срещу условията или липсата на условия за упражняването им в съответствие с правилата на GDPR;
  • Категориите лични данни;
  • Получателите или категориите получатели на личните данни;
  • Когато е приложимо, предаване на личните данни на получател в трета държава (извън ЕС) и дали е осигурено необходимото ниво на защита на данните;
  • Всяка допълнителна информация, която е необходима, за да се гарантира честната обработка на личните данни.

2. Личните данни се събират само за определени, изрични и легитимни цели („ограничение на целта“).

Данните, получени за определени, изрично посочени в съответните нормативни актове и/или договори и/или други документи легитимни цели, се събират и обработват само за целите, за които са събрани и които са в съответствие с дейностите по обработване, включени в Записи на дейностите по обработка на данни на дружествата от групата (Член 30 от GDPR).

3. Личните данни, събрани от Администратора, са подходящи и ограничени до тези, необходими за съответната цел на обработване („минимизиране на данните“), при което:

  • Длъжностното лице по защита на данните следи дали се събира само информация, която е строго необходима за постигане на целта на обработката;
  • Формулярите за събиране на данни (електронни или на хартиен носител) включват уведомление за обработка на лични данни.

4.Личните данни трябва да са точни и при необходимост да се поддържат актуални; трябва да се предприемат всички разумни стъпки, за да се осигури възможност те (в рамките на възможните технически решения) да бъдат изтрити или коригирани незабавно („точност на личните данни“).

  • Данните, съхранявани от администраторите, се преглеждат и актуализират, ако е необходимо. Данните не се съхраняват в случаите, когато съществува риск да са неточни;
  • Субектът на данните декларира, че данните, които е прехвърлил за обработка от Дружествата от Групата, са точни и актуални;
  • Най-малко веднъж годишно отговорното длъжностно лице по защита на данните преглежда данните и при необходимост актуализира/коригира сроковете за съхранение на всички лични данни, обработвани от Дружествата от Групата, въз основа на описа на данните и идентифицира всички данни , които вече не са необходими в контекста на определената цел;
  • Исканията за коригиране на данни се обработват в срок до един месец (съгласно Процедурата за разглеждане на искания и жалби от субектите на данни). Ако Администраторът реши да не вземе искането под внимание, субектът на данните получава отговор, съдържащ мотивите за отказа

5. Личните данни на физическите лица се съхраняват във форма, която позволява идентифицирането на субектите на данни за период, не по-дълъг от необходимия за целите, за които се обработват личните данни („ограничение на съхранението“).

Личните данни се съхраняват в съответствие със законоустановените срокове за съхранение, изтичане на валидността или оперативната значимост на информацията.

6. Личните данни се обработват по начин, който гарантира тяхната поверителност, цялост и наличност („цялост и поверителност“).

Администраторът обработва личните данни, като прилага подходящо ниво на сигурност (технически и организационни мерки) и гарантира тяхната поверителност, цялост и наличност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреда.

Личните данни се обработват по начин, осигуряващ подходящо ниво на сигурност ((Член 24 и Член 32 от GDPR). Сигурността на личните данни се гарантира с технически и организационни мерки, които включват като минимум:

  • Индивидуална защита с парола на електронните технически средства;
  • Автоматично заключване на неактивни работни станции в мрежата (на работното място);
  • Антивирусен софтуер и защитни стени;
  • Ограничаване на правата за достъп до помещения, където се съхраняват документи;
  • Включване на защита на данните в длъжностната характеристика на служителите;
  • Определяне на дисциплинарни мерки за нарушения при обработване на данни;
  • Редовна процедура за проверка на персонала по отношение на спазването на съответните практики за сигурност и приложимите вътрешни процедури и правила за защита на данните;
  • Контрол на физическия достъп до електронни и хартиени записи;
  • Съхранение на документи, съдържащи лични данни, в заключващи се стенни шкафове;
  • Приемане на ясни правила за създаване и използване на пароли;
  • Професионалната поверителност се прилага като правило при обработката на лични данни.

При оценката на подходящите мерки се вземат предвид идентифицираните рискове за личните данни, както и потенциалната вреда за лицата, чиито данни се обработват.

III. КАТЕГОРИИ ЛИЧНИ ДАННИ, ОБРАБОТВАНИ В КОМПАНИИТЕ ОТ ГРУПАТА

1. Стандартни лични данни:

Идентификационни данни; официална самоличност; семейна идентичност; квалификация; данни относно контакти с бизнес партньори и клиенти; информация относно потребителски профили; договорна и финансова информация; информация за начисления, удръжки, професионален опит, трудов стаж, присъствие, официална бизнес кореспонденция, информация, генерирана при използване на служебни електронни устройства, видеозаписи от охранителни камери; информация относно местоположението на служебните автомобили.

2.Специални лични данни:

Данните относно здравословното състояние на работниците и служителите се обработват при наличие на законови основания за проследяване на здравословното състояние на работещите и за осигуряване на безопасни условия на труд, обработка на медицинска бележка за целите на трудовото и осигурителното законодателство, оценка на работоспособността. Тази категория лични данни се обработват и с оглед защита на легитимния интерес на дружествата.

Следните видове специални лични данни не се обработват от Администраторите: лични данни, разкриващи расов или етнически произход; политически възгледи, религиозни и философски убеждения; генетични и биометрични данни; данни, свързани със сексуалния живот и сексуалната ориентация.

IV.КАТЕГОРИИ СУБЕКТИ НА ДАННИ

Настоящата Политика се прилага за дейностите, свързани с обработването на всички лични данни, включително обработването, свързано с лични данни, предоставени от субекта на данните, по негова собствена инициатива, с цел изпълнение от Администратора на дейност, поискана от субекта на данните или в във връзка с упражняването на правата му. Ще се обработват лични данни на следните лица:

  • Работници и служители по смисъла на Кодекса на труда – физически лица, които са в трудови правоотношения с Дружества от Групата;
  • Кандидати за работа или физически лица, сключили граждански договори с Дружества от Групата, в качеството им на външни изпълнители;
  • Посетители, които са в търговски отношения с Дружества от Групата или са били допуснати на територията на завода;
  • Служители на търговски партньори, с които е осигурена комуникация относно търговски отношения с Дружества от Групата или които са допуснати на територията на завода;
  • Субекти, които не са предоставили личните си данни, но същите се обработват от Администраторите по силата на сключени договори с търговски партньори (данните са получени чрез търговските партньори);
  • Служители на външни фирми, работещи на територията на завода;
  • Доставчици, страни в търговски отношения;
  • Шофьори на камиони;
  • Физически лица, участващи в инициативи и събития, организирани от Дружествата от Групата;
  • Получатели на дарения;
  • Други теми, които са предоставени на Администраторите от други източници, неуточнени по-горе.

V. ЦЕЛИ НА ОБРАБОТКАТА НА ЛИЧНИТЕ ДАННИ

Личните данни се обработват с оглед изпълнение на основните и спомагателни дейности на Администраторите, свързани с: изпълнение на договори; трудови отношения с работниците и служителите; подбор на персонал; извършване на основните производствени процеси; продажба и разпространение на продукти и стоки; доставка на суровини, материали, стоки, услуги и оборудване; осигуряване на безопасни условия на труд и проследяване на здравословното състояние; административни, правни, счетоводни и данъчни услуги; поддръжка и експлоатация на машини и инсталации; контрол по опазване на околната среда; контрол върху качеството на продуктите и осигуряване на друг вид услуги, свързани с търговската дейност на Дружествата от Групата; за осигуряване на защита на правата на Дружествата от Групата срещу евентуални искове.

VI. ОСНОВАНИЯ ЗА ОБРАБОТКА НА ЛИЧНИ ДАННИ

Личните данни на Дружествата от Групата се извършват въз основа на:

  • Спазване на законовите задължения на Администраторите по счетоводното, данъчното, здравноосигурителното, осигурителното или друго законодателство, включително за предоставяне на информация пред компетентните държавни органи;
  • Изпълнение на трудови, граждански и търговски договори;
  • Легитимен интерес – упражняване и защита на законни права и интереси на Администраторите;
  • Съгласие на субекта на данните

Администраторите обработват личните данни независимо, съгласно споразумение с Обработващ под надзора на Администраторите и/или съгласно споразумение за съвместни администратори. В определени случаи Дружествата от Групата обработват лични данни и в качеството си на Обработващи.

VII. ПРАВА НА СУБЕКТИТЕ НА ДАННИ

Администраторите предоставят информация по членове 13, 14 и всякаква комуникация по членове 15 – 22 и член 34 от GDPR, свързана с обработването, на субекта на данните в кратка, прозрачна, разбираема и достъпна форма, използвайки ясен и прост език . Информацията се предоставя писмено или по друг начин.

Администраторите оказват съдействие при упражняване на правата на субекта на данните във връзка с обработването на личните му данни.

1. Право на достъп

Субектът на данните има право да получи информация относно свързаните с него лични данни, които се обработват от Администраторите и относно целта, за която се обработват, включително за получаване на достъп до данните, както и информация за това кои са получателите на тези данни са и третите лица, на които се предават данните, ако е възможно, предвиденият срок за съхранение на личните данни, а ако това не е възможно, критериите, използвани за определяне на този срок; наличието на право да поискате от Администраторите коригиране или изтриване на лични данни или ограничаване на обработването или да възразите срещу такова обработване, освен ако

обработването е в съответствие със законово или договорно задължение; право на подаване на жалба до надзорен орган; източника на личните данни в случаите, когато те не са събрани от субекта на данните; наличието на автоматизирано вземане на решения, включително профилиране, както и значението и предвидените последици от такова обработване за субекта на данните.

Субектът на данните има право да поиска копие от личните си данни от Администратора, в случаите, когато това е икономически обосновано.

2.Право на корекция

Субектът на данните има право да поиска коригиране на личните данни от Администратора в случаите, когато те са неточни или когато не са актуални.

3. Право на изтриване

Субектът на данните има право да поиска от Администраторите изтриване на лични данни (правото да бъдеш забравен). Субектът на данните има право да получи от администратора изтриване на личните данни, които го засягат, без ненужно забавяне, а администраторът има задължението да изтрие личните данни без ненужно забавяне, когато е налице едно от следните основания:

  • личните данни вече не са необходими във връзка с целите, за които са били събрани или обработени;
  • Субектът на данни оттегля своето съгласие, което е било основание за обработването на данните му и няма друго правно основание за обработването им;
  • Субектът на данните възразява срещу тяхното обработване (съгласно член 21, параграф 1 от GDPR) и няма правно основание за обработването и няма по-важни законови основания, или субектът на данните възразява срещу обработването (съгласно член 21 (2 ) от GDPR);
  • Личните данни са били незаконосъобразно обработени.d

4. Право на ограничаване на обработването

Субектът на данните има право да поиска от Администраторите ограничаване на обработването на лични данни, като в този случай данните само се съхраняват, но не и обработват. Субектът на данните може да упражни правото си на ограничаване на обработването в случаите, когато Администраторът вече не се нуждае от данните за целите, за които са били обработвани, но субектът ги изисква за установяване, упражняване или защита на правни претенции; когато обработването е незаконосъобразно, но субектът не желае личните му данни да бъдат напълно изтрити и вместо това изисква ограничаване на използването им; субектът на данните възрази срещу обработването съгласно член 21 (1) от GDPR.

5. Право на възражение

Субектът има право да възрази срещу обработването на личните му данни. Когато личните данни се обработват за целите на директния маркетинг, субектът на данните има право да възрази срещу тази обработка по всяко време.

6. Право на подаване на жалба до надзорен орган

Субектът на данните има право да подаде жалба до надзорен орган, ако счита, че някоя от разпоредбите на GDPR е нарушена.

7. Право на преносимост на данните

Субектът на данните може да поиска да получи личните данни относно субекта на данните в структуриран, често използван и машинно четим формат.

8. Право на оттегляне на съгласието

Субектът на данните има право по всяко време да оттегли съгласието си за обработка на личните данни с отделно искане до Администраторите.

9. Право на защита срещу автоматизирано вземане на решения

Субектът на данните има право да не бъде обект на автоматизирано вземане на решения, които го засягат в значителна степен, без възможност за човешка намеса; да възрази срещу автоматизирано профилиране, което се извършва без неговото съгласие.

Администраторите осигуряват условия, гарантиращи упражняването на тези права от субектите на данни, както следва:

  • Субектите на данни могат да правят искания за достъп до данни съгласно Процедурата за управление на искания и жалби на субекти на данни;
  • Субектите на данни имат право да подават жалби до Администраторите във връзка с обработването на техните лични данни. Обработката на искането на субекта на данни и подаването на жалби от субекта на данни се извършва съгласно Процедурата за управление на искания и жалби на субекти на данни.

Жалби могат да се подават до надзорния орган, като за България компетентният орган е Комисия за защита на личните данни, адрес: 1592 гр. София, бул. Професор Цветан Лазаров 2,(www.cpdp.bg).

VIII. СЪГЛАСИЕ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

Съгласието на субекта на личните данни винаги се изисква, когато няма алтернативно правно основание за обработването. Съгласието трябва да бъде свободно дадено, конкретно, информирано и недвусмислено указание за желанията на субекта на данните, чрез изявление или чрез ясно потвърждаващо действие, означава съгласие за обработване на лични данни, свързани с него; Субектът на данните има право да оттегли своето съгласие по всяко време.

Съгласие за обработване на лични или специални категории данни се дава въз основа на съответния документ за съгласие, предоставен от субекта на данни на Администраторите за всяка конкретна цел на обработване. Когато субектът е страна по договор, не се изисква съгласие, тъй като данните му се събират на друго правно основание.

IX. СИГУРНОСТ НА ЛИЧНИТЕ ДАННИ

Администраторите въвеждат адекватни физически, технически и административни мерки за сигурност, предназначени да защитят личните данни от загуба, злоупотреба, промяна, унищожаване или повреда. Служителите на Администраторите, които съгласно длъжностните си характеристики трябва да обработват конкретни лични данни от името на Администраторите, трябва да осигурят сигурност, докато обработват и съхраняват данните, включително да гарантират, че няма да разкриват данните на трети лица, освен на трети лица, упълномощени по силата на закон или договор.

Личните данни или части от тях са достъпни само за лица, които имат задължението да ги обработват/съхраняват. Всички лични данни се съхраняват в помещения с контролиран достъп и/или в заключен шкаф и/или в защитена с парола информационна система. Записите на хартиен носител не се допускат от неоторизирани лица и не се изнасят от определените за това служебни помещения без изрично разрешение и до изпълнение на определената задача.

Всички служители/работници са длъжни да спазват вътрешния трудов ред, технологичния ред при обработката на лични данни, както и правилата за безопасно използване на работните места, централните бази данни и личните акаунти за достъп до информация.

В случай на нарушение на сигурността на личните данни, Администраторът прилага Процедурата за информиране при нарушение на сигурността на личните данни. Процедурата обхваща изискванията по член 33 за уведомяване на надзорния орган за нарушение на сигурността на личните данни и член 34 за информиране на субекта на данни за нарушение на сигурността на личните данни от Регламента.

X. РАЗКРИВАНЕ И ПРЕДАВАНЕ НА ДАННИ

За постигане на целите, описани тук, личните данни могат да бъдат споделяни между организационните звена на Дружествата от Групата, при стриктно спазване на изискванията на Регламента.

Всички искания от трети страни, работещи с или за Дружества от Групата, включително външни организации (получатели), обработващи лични данни по отношение на изпълняваните работни процеси: доставчици на стоки и услуги, дистрибутори, партньори, клиенти, държавни институции, агенции, инспекции, надзорни органи, банки, застрахователи, брокери, нотариуси, пристанищна администрация, НОИ, Трудово-експертна лекарска комисия и др., както и трети лица, които имат или биха могли да имат достъп до личните данни, събирани и обработвани от Администраторите, следва да бъдат подкрепени с подходящи основания и/или документация.

Личните данни се предоставят на компетентните публични органи при или във връзка с упражняването на правомощията им и изпълнението на задълженията на Администраторите по отношение на тях.

Личните данни не се разкриват на неупълномощени трети лица, включително членове на семейството, всички други лица, държавни органи, ако има основателни съмнения, че са изискани по установения ред, като се има предвид дали разкриването на данните е свързано или не с нуждите на извършваните от Дружествата дейности.

Администраторите сключват споразумение за поверителност на данните с всяко трето лице, на което предоставят достъп до обработваните от тях лични данни.

XI. АДМИНИСТРАТОР И ОБРАБОТВАЩ ЛИЧНИ ДАННИ

Отношенията между Администратор и Обработващ се уреждат с договор в писмена форма, след като Обработващият докаже необходимата гаранция за прилагане на подходящи технически и организационни мерки за съответствие с изискванията на ЗЗЛД и GDPR, осигуряващи адекватно ниво на защита на правата на субектите на данни, както следва:

  1. Обработващият гарантира, че всяко лице, което има достъп до лични данни, се е ангажирало с поверителност или има законово задължение да спазва поверителност;
  2. Обработващият обработва личните данни от името на Администратора единствено в съответствие с документираните нареждания на Администратора;
  3. Обработващият уведомява незабавно Администратора, ако според Обработващия дадено разпореждане на Администратора нарушава Регламента или други приложими правила за защита на личните данни;
  4. Обработващият уведомява незабавно Администратора в случай на действия по разследване, предприети от надзорен орган по отношение на защитата на личните данни относно дейностите на Обработващия, свързани с обработване на лични данни;
  5. The Processor shall make available to the Controller all information necessary to demonstrate compliance with the obligations laid down in this Article and allow for and contribute to audits, including inspections, conducted by the Controller or another auditor mandated by the Controller; shall respond to all Controller queries concerning the personal data processing;
  6. Обработващият подпомага Администратора, изпълнява специфичните нареждания на Администратора и предоставя необходимата информация, в изпълнение на задължението на Администратора да отговаря на искания за упражняване на правата на субектите на данни;
  7. Обработващият не може да прехвърля лични данни, предоставени от Администратора, на трета държава или международна организация, освен ако това не се изисква от достиженията на правото на ЕС или от законодателство на държава членка, на което се подчинява Обработващият; в такъв случай Обработващият уведомява Администратора за това правно изискване преди обработването, освен ако посоченото законодателство забранява такова уведомяване на важни основания от обществен интерес;
  8. Обработващият подпомага Администратора за изпълнение на задължението за уведомяване на субектите на данни относно нарушения на сигурността на личните данни по чл.34 от Регламента, като изпълнява конкретните нареждания на Администратора и предоставя необходимата информация;
  9. Обработващият няма право да включва друг Обработващ за извършване на дейности по обработване на лични данни от името на Администратора без предварителното писмено съгласие на Администратора. В случаите, когато Обработващият включва друг Обработващ след предварителното писмено съгласие на Администратора, Обработващият носи пълна отговорност пред Администратора по отношение на изпълнението на задълженията за защита на данните от другия Обработващ.
  10. Обработващият предоставя писмено потвърждение на Администратора, че личните данни са върнати, изтрити и/или съхранени. Ако Обработващият съхранява лични данни след прекратяване на действието на договора или на конкретни дейности, свързани с обработването на лични данни, Обработващият информира Администратора относно правното основание за съхранението и се съгласява и гарантира, че ще ги съхранява в съответствие с регламента и други приложими правила за защита на личните данни.

XII. ЗАПИСИ ЗА ДЕЙНОСТИ ПО ОБРАБОТКА НА ЛИЧНИ ДАННИ

В Дружествата от Групата е изграден процес на инвентаризация на данните като част от възприетия подход за справяне с рисковете, свързани с обработването на специфични видове лични данни и спазване на политиката в съответствие с Регламента. Следното се установява и описва в процеса на инвентаризация:

  • Бизнес процесите, в които се използват лични данни;
  • Източници на лични данни;
  • Категорията на субектите на данни;
  • Категориите лични данни и елементите във всяка категория;
  • Дейности, свързани с обработка на лични данни;
  • Целите на обработването, за които са предназначени личните данни;
  • Правно основание за обработката;
  • Получателите или категориите получатели на личните данни;
  • Основните системи и места за съхранение;
  • Лични данни, подлежащи на трансфер извън ЕС;
  • Срокове за съхранение и изтриване.

XIII. ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО

Нивото на риск, свързано с обработката на техните лични данни, се оценява и управлява. Когато вид обработване, по-специално с използване на нови технологии и като се вземат предвид естеството, обхвата, контекста и целите на обработването, има вероятност да доведе до висок риск за правата и свободите на физическите лица, администраторът, преди да обработването, извършва оценка на въздействието на предвидените операции по обработване върху защитата на личните данни.

XIV. DATA STORAGE AND DESTRUCTION

Личните данни се съхраняват само за времето, необходимо за изпълнение на целта, за която са събрани от Администраторите или предоставени от субекта на данните, включително с оглед рамките на приложимия законоустановен срок.

Срокът за съхранение на всяка категория лични данни, както и критериите, използвани за определяне на този период, са в съответствие със законовите задължения, изискващи Дружествата от Групата да съхраняват данните. Личните данни се обработват в съответствие с принципа за осигуряване на подходяща сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреда, като се използват подходящи технически или организационни мерки („цялостност и поверителност“).

XV. СЪТРУДНИЧЕСТВО С НАДЗОРНИЯ ОРГАН И КОМУНИКАЦИЯ СЪС СУБЕКТИТЕ НА ДАННИ

Администраторите си сътрудничат с консултативния орган – Комисията за защита на личните данни.

 

XVI. ДЕФИНИЦИИ

„Лични данни“ – всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местоположение, онлайн идентификатор или един или повече фактори, специфични за физическото, физиологичното, генетична, умствена, интелектуална, икономическа, културна или социална идентичност на това физическо лице, както и всяка друга информация, определена като лични данни от приложимото законодателство;

„Специални (чувствителни) категории лични данни“ – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в профсъюзи, както и обработката на генетични данни, биометрични данни с цел еднозначно идентифициране на физическо лице , данни относно здравето или сексуалния живот или сексуалната ориентация на физическо лице, както и всякакви други данни, определени като такива от националното законодателство на държавата-членка на Европейския съюз (ЕС, Съюза).

„Обработване“ – означава всяка операция или набор от операции, които се извършват върху лични данни или набори от лични данни, независимо дали чрез автоматизирани средства, като събиране, запис, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране , използване, разкриване чрез предаване, разпространение или предоставяне по друг начин, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

„Администратор“ – означава всяко физическо или юридическо лице, публичен орган, агенция или друг орган, който самостоятелно или съвместно с други определя целите и средствата за обработване на лични данни; когато целите и средствата за такова обработване се определят от правото на Съюза или правото на държава членка, администраторът или специфичните критерии за неговото определяне могат да бъдат предвидени от правото на Съюза или правото на държава членка;

„Обработващ“ – Обработващият и всяко лице, действащо под ръководството на администраторите или на обработващия, което има достъп до лични данни, няма да обработва тези данни освен по инструкции от администраторите, освен ако това не е изискано от Съюза или държава членка закон.

„Субект на данни“ – всяко живо физическо лице, чиито лични данни са обект на обработка от Администраторите.

„Съгласие на субекта на данните“ – всяко свободно дадено, конкретно, информирано и недвусмислено указание за желанията на субекта на данните, чрез което той, чрез изявление или чрез ясно потвърждаващо действие, означава съгласие за обработването на лични данни, свързани с него ;

„Профилиране“ – всяка форма на автоматизирано обработване на лични данни, състояща се от използване на лични данни за оценка на определени лични аспекти, свързани с дадено физическо лице, по-специално за анализиране или прогнозиране на аспекти, отнасящи се до работата на това физическо лице, неговото икономическо състояние, здраве , лични предпочитания, интереси, надеждност, поведение, местоположение или движения;

„Нарушение на личните данни“ – нарушение на сигурността, водещо до случайно или незаконно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, предавани, съхранявани или обработвани по друг начин;

„Получател“ – физическо или юридическо лице, публичен орган, агенция или друга структура, на която се разкриват личните данни, независимо дали е трета страна или не. Публичните органи обаче, които могат да получават лични данни в рамките на конкретно запитване в съответствие с правото на Съюза или правото на държава членка, не се считат за получатели; обработването на тези данни от тези публични органи е в съответствие с приложимите правила за защита на данните в съответствие с целите на обработването;

„Трета страна“ – физическо или юридическо лице, публичен орган, агенция или орган, различен от субекта на данните, администраторите, обработващия и лицата, които под прякото ръководство на администратора или обработващия са упълномощени да обработват лични данни;

Всички други термини, които не са дефинирани по-горе, но се използват в тази Политика за защита на личните данни, имат значението, посочено в Регламент (ЕС) 2016/679.

XVIІ. ВЛИЗАНЕ В СИЛА

Настоящата Политика е изготвена на основание чл.24 от Регламент (ЕС) 2016/679 и е одобрена със заповед на изпълнителните директори/управителите на Администраторите.

Всички актуализации на настоящата Политика ще бъдат актуализирани на нашия уебсайт.