ВЪТРЕШНИ ПРАВИЛА (ПОЛИТИКИ) ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
І.ОБЩИ ПОЛОЖЕНИЯ.
Чл. 1. Настоящите правила уреждат организацията и реда за изпълнение на Регламент (EС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни от служителите / съдружниците в дружеството и уреждат условията и реда за водене на регистър документи / клиенти /ако и доколкото се налага воденето на такива/, както и реда за упражняване на контрол при воденето им и тяхната защита.
Чл. 2. Целта на Вътрешните правила за обработка и достъп до лични данни е в изпълнение на целите на посочения нормативен акт за защита на личните данни, неприкосновеността на личността и личния живот и защита основните права и свободи на физическите лица чрез осигуряване на тяхната защита при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на лични данни в рамките на Европейския съюз, независимо дали обработването се извършва в Съюза, или не.
Чл. 3. Тези Вътрешни правила се прилагат за личните данни по смисъла на Регламент(EС) 2016/679 и Закона за защита на личните данни и приемат следните определения:
1) „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
2) „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
3) „ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;
4) „профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;
5) „псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;
6) „регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;
7) „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
8) „обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
9) „получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
10) „трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
11) „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
12) „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
Чл. 4. Обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:
1. обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни или в обществен интерес, както и с оглед дейността на дружеството – търговска, включваща и поддръжка и експлоатация на сайт за интернет продажби на стоки;
2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие за данните – с оглед на което дружеството следва да изиска такава декларация от клиенти физически лица /вписана в сайта по подходящ начин/, както и от служителите – в трудовото досие, /ако и доколкото има такива/, относно съдружниците – личните данни се обработват само с оглед решенията на общото събрание и приложимите правни норми;
Чл. 5. Дружеството към момента не е завело регистър на лични данни – води документция, свързана с клиенти физически лица, както и фирмени документи, изисква данни само относно счетоводна отчетност на търговската дейност.
При всяко събиране на лични данни физическото лице дава съгласие с изрична писмена декларация със съдържание, приложение към настоящите – в отделен документи, или инкорпорирана в сайт, фактура, протокол, пълномощно, трудов, граждански договор.
Чл. 6. При действието на чл. 5 дружеството се явява администратор на лични данни по смисъла на чл. 4, ал. 7 от Регламент(EС) 2016/679 и чл. 3 от Закона за защита на личните данни.
Чл. 7. С оглед определението за лични данни същите се обработват при спазване на следните принципи:
a) следва да бъдат обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);
б) да бъдат събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно член 89, параграф 1, за несъвместимо с първоначалните цели („ограничение на целите“);
в) дружеството свежда до минимум ползваните данни във връзка с целите, за които се обработват;
г) дружеството осигурява точността на данните и при необходимост да бъдат поддръжката им в актуален вид, като се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;
д) съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в настоящия регламент с цел да бъдат гарантирани правата и свободите на субекта на данните;
е) обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);
(2) С оглед законосъобразното обработване дружеството осигурява едно от следните условия:
a) субектът на данните да е дал съгласие за обработване на личните му данни за една или повече конкретни цели;
б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;
г) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
д) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
е) обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
II. СУБЕКТ НА ДАННИТЕ. ПРАВО НА ДОСТЪП.
Чл. 8. Субектът на лични данни са физическите лица – клиенти, служителите, които дават своето съгласие за обработване на лични данни чрез писмена декларация – съгласие в съответствие с разпоредбите на Регламент (EС) 2016/679 и Закона за защита на личните данни, след отправено устно и разбираемо искане от страна на представител на фирмата.
Чл. 9. (1) Съгласието на субекта на данните трябва да бъде свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством писмено изявление под формата на декларация, че се съгласява свързаните с него лични данни да бъдат обработени законосъобразно.
Чл. 10. Субектът на данните има право:
1. да оттегли съгласието си по всяко време, по начина, по който го е дал – с писмена декларация или искане до „Администратора” чрез „обработващия лични данни”.
2. на достъп до водените документи – само с оглед информираност относно категориите лични данни, които „Администраторът” обработва, източника им, категориите получатели, пред които ще бъдат разкрити;
Достъпът се осъществява в рамките на деня, в който е поискан или при обективна невъзможност от страна на „обработващия лични данни”, при отпадане невъзможността.
3. да иска от „Администратора” коригирането, изтриването (ака счита, че личните данни повече не са необходими за целите, за които са събрани; оттеглил е декларация-съгласие, което е дал или личните данни са били обработвани незаконосъобразно или е изтекъл срокът, за който е дадено съгласието) или ограничаването обработването на личните му данни (оспорва точността на личните данни; счита, че обработването им е неправомерно;
4. На възражение срещу обработването от администратора;
5. На жалба до надзорния орган – Комисия за защита на личните данни;
Чл. 11. При смърт на физическото лице правата му се упражняват от неговите наследници.
Чл. 12. Администраторът отказва достъп до лични данни, когато те не съществуват или предоставянето им е забранено със закон. Администраторът отказва пълно или частично предоставяне на данни на лицето, за което те се отнасят, когато от това би възникнала опасност за отбраната или националната сигурност или за защитата на класифицираната информация и това е предвидено в специален закон.
ІІІ. АДМИНИСТРАТОР НА ЛИЧНИТЕ ДАННИ.
Чл. 13. По смисъла на чл. 4, ал. 7 от Регламент (ЕС) 2016/679 дружеството е администратор на лични данни, който определя целите и средствата за обработването на лични данни чрез „обработващ лични данни” – физическо лице, определено със Заповед от Администратора , което обработва личните данни от негово име включително при необходимост от създаване на регистър, посочен по-долу, съставляващ структурни набори от лични данни, достъпът до които се осъществява съгласно определени критерии.
Чл. 14. С настоящите правила Администраторът въвежда определяне на средствата за обработване на личните данни и техническите и организационни мерки, които е разработил с оглед ефективното прилагане на принципите за защита на личните данни, свеждането им до минимум, с цел защита на правата на субектите на данни.
ІV. РЕГИСТЪР „КЛИЕНТИ” и „ПЕРСОНАЛ” /ако и доколкото се налага воденето на такива/
Чл. 17. Регистърите съдържат лични данни на лица, възложили по силата на договор /устен или писмен/ извършване на услуга или сделка по продажба, посредничество и прочие от кръга на дейност на дружеството, съответно данните на наетите лица по трудов или гражднски договор, съдружниците.
Чл. 18. В регистъра се съдържат само данните, необходими за конкретната услуга или правоотношение:
– имена, ЕГН, данни по лична карта, телефон, адрес, е-мейл, технически мерки за изработване на изделие, медицински данни;
– цел за събиране на данните, срок на обработка и съхранение; оттеглено ли е съгласието; подадено ли е възражение или жалба срещу администратора;
Данните могат и да не бъдат обработвани и структурирани в нарочен регистър, а да са в общ архив клиенти / персонал – в зависимост от конкретните нужди, може да се състави само списък с имена, контакти и прочие.
Чл. 19. Данните се събират, обработват и съхраняват от „обработващия лични днанни” на хартиен и електронен носител при спазване на нормативните актове, по реда и начина посочен в раздел V.
V. ЗАЩИТА НА ЛИЧНИТЕ ДАННИ.
Чл. 20. Администраторът на лични данни предприема необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.
Чл. 21. Данните се събират, обработват и съхраняват от „обработващия лични данни” на хартиен и електронен носител, като за всеки клиент се съхранява информация за извършената услуга, а на всеки служител – трудово досие, на работещите по граждански договор – сметка.
Данните се съхраняват както следва: ако са на хартия в заключен шкаф, при компютърно съхранение – в съответната памет с парола за достъп.
Чл. 22. Всеки служител / съдружник на дружеството се счита като негов представител и настоящите правила важат за него по силата на длъжностната характеристика по трудовото правоотношение, по силата на гражданския договор или устава на дружеството.
Чл. 23. Обработващият лични данни, както и всяко лице, действащо под ръководството на администратора или на обработващия, което има достъп до лични данни, може да ги обработва само в съответствие с настоящите правила.
Чл. 24. След постигане целта на обработване на личните данни администраторът е длъжен да ги унищожи, или съхранява в предвидените в закон случаи.
VІ. ОТГОВОРНОСТ. АДМИНИСТРАТИВНО-НАКАЗАТЕЛНИ РАЗПОРЕДБИ
Чл. 25. В случай на нарушение на сигурността на личните данни, администраторът, респ. „лицето обработващо данните”, не по-късно от 72 часа след като е разбрал за нарушението е длъжен да уведоми надзорния орган – Комисията за защита на личните данни, както и да уведоми и субекта на данните, когато нарушението на сигурността има вероятност да породи висок риск за правата и свободите на физическите лица.
Чл. 26. Лицето, претърпяло материални или нематериални вреди в резултат на нарушение на обработването на личните му данни, вследствие на неизпълнението от страна на администратора или „обработващия личните данни” на разпоредбите на Регламент (ЕС) 2016/679, има право да получи обезщетение от тях за нанесените вреди.
Чл. 27. Администраторът, участващ в обработването на лични данни, и обработващия лични данни носят отговорност за вреди, произтичащи от извършеното обработване, което нарушава Регламент (ЕС) 2016/679. „Обработващия лични данни” носи отговорност за вреди и когато е действал извън законосъобразните указания на администратора или в противоречие с тях. Отговорността отпада ако лицата докажат, че не са отговорни за причинената вреда.
Чл. 28. Административните наказания „глоба” или „имуществена санкция” се налагат от Комисията за защита на личните данни съобразно разпоредбите на чл. 83 от Регламент (ЕС) 2016/679.