Последна промяна: 01 Януари 2023
Чл. 1. Настоящите вътрешни правила за технически и организационни мерки и допустимия вид на защита на личните данни уреждат организацията на обработване на лични данни на служителите, лицата, наети на граждански договори и клиентите на дружеството, както и тяхната защита.
Чл. 2. Дружеството е администратор на лични данни и като такова води следните регистри:
Чл. 3. (1) В регистър „Служители и лица по граждански договори“ се събират и съхраняват личните данни на служителите и изпълнителите по граждански договори в дружеството с цел:
(2) В регистър „ Клиенти“ се събират и съхраняват личните данни на клиентите на дружеството с оглед:
4. Използване на събраните данни за съответните лица за служебни цели само и единствено след получаването на надлежно съгласие от лицата за обработване на техните лични данни за следните цели:
Чл. 4. (1) В регистър „Служители и лица по граждански договори” се съхраняват следните видове лични данни:
3. Относно категория „Социална идентичност“ на лицата, предоставяни на основание нормативно задължение и/или легитимен интерес:
(2) В регистър „Клиенти” се съхраняват следните видове лични данни относно категория „Физическа идентичност“ на лицата: имена и данни по лична карта (ЕГН, пол, номер на лична карта, дата и място на издаване, валидност, орган, който я е издал, постоянен адрес-когато това е необходимо и относимо), телефони за връзка, електронна поща и др. Предоставят се на основание за сключването и изпълнението на договор.
(3) Регистрите с лични данни, водени от дружеството са защитени с контролиран достъп като такъв се предоставя на оправомощените служители посредством процедура по идентификация с потребителско име и парола. Регистрите се водят на електронен носител в облачно пространство, управлявано от обработващ лични данни, който от своя страна прилага необходимите мерки за защита на личните данни.
(4) По изключение дружеството може да води и хартиени регистри с данни. Данните за служители и клиенти се съхраняват в папки, подредени в класьори, разположени в склад с ограничен достъп в офиса на дружеството.
Глава трета
ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
Чл. 5. Събиране на лични данни:
(1) Личните данни в регистър „Служители и лица по граждански договори" се събират преди постъпване/ възлагане на работа по трудово или гражданско правоотношение на дадено лице чрез устно интервю или по екектронен път, предоставени от субекта на данните.
(2) Личните данни в регистър „Клиенти" се събират чрез директното им предоставяне от потребители и клиенти или автоматично.
(3) При събирането на лични данни субектът на данните следва да бъде уведомен за целите за събиране и обработване на данните.
(4) Когато се събират и обработват лични данни на хартиен носител за клиенти на дружеството, същите се съхраняват в склад с ограничен достъп с ключ и се използват от оправомощените лица единствено за нуждите на изпълнение на законови или договорни задължения.
Чл. 6. (1) Дружеството може да възлага обработването на личните данни на обработващи органи. Обработването се възлага на повече от един обработващ съобразно спецификата на техните функции и с цел разграничаване на конкретните им задължения.
Чл. 7. Дружеството може да предава лични данни на свои клиенти на трети лица, за което изрични следва да бъдат уведомени субектите на данните.
Глава четвърта
ЗАЩИТА НА ЛИЧНИТЕ ДАННИ. ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА
Чл. 8. Осигуряване на достъп на лицата до личните им данни:
(1) Всяко физическо лице има право на достъп до отнасящи се за него лични данни. В случаите, когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, администраторът е длъжен да предостави на съответното физическо лице достъп до частта от тях, отнасяща се само за него.
(2) За получаване на достъп до личните данни субектите на данни могат да следват процедурата, описана в РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА.
(3) Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение, което се съобщава на заявителя по реда на предходното изречение.
(4) При изпълнение на задълженията си за предоставяне на достъп до лични данни дружеството предоставя на субекта на данните следната информация:
(5) Администраторът се задължава да съобщава за всяко коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. Администраторът информира субекта на данните относно тези получатели, ако субектът на данните поиска това.
Чл. 9. Предоставянето на лични данни в държава - членка на Европейския съюз, както и в друга държава - членка на Европейското икономическо пространство, се извършва при спазване на изискванията на действащото европейско и национално законодателство.
(2) Предоставяне на лични данни в трета държава извън тези по ал.1. се допуска само ако тя осигурява адекватно ниво на защита на личните данни на своя територия.
Чл. 10. Срок за съхраняване на личните данни:
(1) Регистър „Служители и лица по граждански договори”: Различните носители на счетоводна информация, съдържащи лични данни от регистър „Служители и лица по граждански договори”, се съхраняват в предвидените в Закона за счетоводството (ЗСч.) срокове.
(2) Регистър „Клиенти”: Различните носители на счетоводна и данъчна информация, съдържащи лични данни от регистър „Клиенти” - на клиентите на Дружеството, с които е сключен договор, се съхраняват в предвидените в Закона за счетоводството (ЗСч.) и в Данъчно – осигурителния процесуален кодекс (ДОПК) срокове.
Чл. 11. Периодично архивиране - архивиране на личните данни се извършва от дружеството периодично като достъпът до архивираните данни се ограничава допълнително.
Чл. 12. (1) Дружеството се задължава, в случай на постъпила молба от физическо лице, чийто лични данни се обработват от Администратора, да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:
(2) Дружеството има право да откаже извършването на действията по ал.1 в предвидените в закона случаи, като в случай на отказ следва да уведоми субекта, отправил съответнтото искане.
Чл. 13. (1) Преносимост на данните: Субектът на данните има право да получи личните данни, които той е представил на Администратора, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от Администратора, на когото е предоставил личните данни, когато:
(a) Обработването е основано на съгласието на субекта на данни или на договорно задължение;
(б) Обработването се извършва по автоматизиран начин.
Чл. 14. (1) В случай на нарушение на сигурността на личните данни, Администраторът, без ненужно забавяне, но не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни Комисията за защита на личните данни („КЗЛД“), освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица.
(2) В случаите, когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, дружеството, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни.
Чл. 15. Администраторът въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването, като това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност.
Чл. 16. Настоящите правила се свеждат до знанието на всички служители на Дружеството, както и до назначените по граждански договор лица.