Съдържание
1. Предназначение
2. Обхват
3. Термини, определения, съкращения
4. Общи положения
4.1 Принципи за работа с лични данни
4.2 Права на субектите на данни
4.2.1 Право на информираност
4.2.2 Право на достъп
4.2.3 Право на коригиране
4.2.4 Право на изтриване
4.2.5 Право на преносимост на данните
4.2.6 Право на възражение
4.2.7 Права при автоматизирано вземане на индивидуални решения, профилиране
5. Регистри на дейности по обработване
5.1 Списък регистри
5.2 Съдържание на регистър
6. Изисквания към персонала работещ с лични данни.
6.1 Общи изисквания
6.2 Длъжностното лице по защита на данни
6.2.1 Общи положения
6.2.1 Права и задължения
7. Комисия за жалби, запитвания и искания за лични данни
8. Оценка на въздействие върху защитата на личните данни
8.1 Общи положения
8.2 Изпълнение
9. Осигуряване сигурност за личните данни
9.1 Общи положения
9.2 Действия при нарушения на сигурността
1.Предназначение
Настоящата политика съдържа основните принципи, правила и подходи за организиране и осъществяване на дейностите, свързани със събиране, преработка, съхранение, комуникиране, използване и защита на лични данни на физически лица в Галда ООД
Тази политика има за цел да осигури изпълнението на Закона за защита на лични данни и изискванията на Регламент № 2016/679 на ЕП в рамките на бизнес процесите на дружеството.
2.Обхват
Всички служители на ГАЛДА ООД трябва да прилагат в ежедневната си работа указанията на настоящата политика. Това се отнася с особена важност за служителите, работещи с лични данни.
Настоящата политика се прилага за личните данни на служителите на дружеството и за личните данни на други физически лица, спрямо които ГАЛДА ООД се явява в олята на администратор или обработващ.
3. Термини, определения, съкращения
В текста на тази политика са използвани термини и определения в смисъла, в който те са използвани в Закона за защита на личните данни и Регламент № 2016/679 на ЕП (Член 4)
За краткост в политиката са използвани следните съкращения:
4. Общи положения
4.1 Принципи за работа с лични данни
При работа с лични данни ГАЛДА ООД се придържа към следните принципи:
Личните данни се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните.
Лични данни се събират и/или обработват само за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели.
Събират се и се обработват само подходящи лични данни, свързани със целите и ограничени до необходимото във връзка с целите, за които се обработват. Личните данни се поддържат точни и актуални, за да са пригодни за постигане целите, за които те се обработват.
Личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за съответните цели.
Личните данни се събират, съхраняват и обработват при подходящо ниво на сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически и организационни мерки. Дружеството прилага в своята работа изброените до тук принципи и поддържа необходимите документи и записи като доказателство за това.
4.2 Права на субектите на данни
ГАЛДА ООД осигурява правата на субектите на данните при изпълнение задълженията си като администратор или обработващ на тези данни. Тези права са слените:
4.2.1 Право на информираност
ГАЛДА ООД в ролята на администратор на лични данни изпълнява следните действия по информиране на субектите на лични данни относно:
4.2.2 Право на достъп
ГАЛДА ООД в ролята на администратор, осигурява на субекта потвърждение дали се обработват негови лични данни и ако това е така, му осигурява достъп до данните и следната информация:
Посочената информация не се предоставя, ако субектът на данни вече разполага с нея.
4.2.3 Право на коригиране
ГАЛДА ООД в ролята на администратор на лични данни, осигурява възможност субектът на данни да поиска корекция на неточните лични данни свързани с него, без ненужно забавяне.
Като се имат предвид целите на обработването субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация.
4.2.4 Право на изтриване
ГАЛДА ООД в ролята на администратор на лични данни, осигурява възможност субектът на данни да поиска изтриване на свързаните с него лични данни без ненужно забавяне.
ГАЛДА ООД има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:
При извършване на изтриване, ГАЛДА ООД, като отчита наличната технология и разходите по изпълнението, предприема разумни стъпки, включително технически мерки, за да уведоми администраторите, обработващи личните данни, че субектът на данните е поискал изтриване от тези администратори на всички връзки, копия или реплики на тези лични данни.
4.2.5 Право на преносимост на данните
ГАЛДА ООД в ролята на администратор на лични данни, осигурява преносимост на данните, ако са изпълнени условията, предвидени за това (Чл.20, ал.1 на Регламента), като предава без възпрепятстване на субекта неговите лични данни в структуриран, широко използван и пригоден за машинно четене формат.
ГАЛДА ООД може пряко да прехвърли личните данни на друг администратор, когато това е технически осъществимо.
4.2.6 Право на възражение
ГАЛДА ООД, в ролята на администратор осигурява възможност на субектът на данните по всяко време и на основания, свързани с неговата конкретна ситуация, да представи възражение срещу обработване на лични данни, отнасящи се до него, включително профилиране.
ГАЛДА ООД се задължава да прекратява обработването на личните данни, освен ако не съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг.
Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.
4.2.7 Права при автоматизирано вземане на индивидуални решения, профилиране
ГАЛДА ООД, в ролята на администратор, уведомява субекта (ако това реално се извършва) за съществуването на автоматизирано вземане на решения, включително профилирането (Чл. 22 на Регламента), както и съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.
Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг
5. Регистри на дейности по обработване
5.1 Списък регистри
ГАЛДА ООД, в ролята на администратор, създава и поддържа следните вътрешни регистри на дейности по обработване:
ГАЛДА ООД, в ролята на обработващ, създава и поддържа следните вътрешни регистри на дейности по обработване:
5.2 Съдържание на регистър
Вътрешните регистри на дейностите по обработване на лични данни в дружеството съдържат следната информация:
6. Изисквания към персонала работещ с лични данни
6.1 Общи изисквания
Всеки служител на ГАЛДА ООД, който е ангажиран с обработка на лични данни е задължен:
6.2 Длъжностното лице по защита на данни
6.2.1 Общи положения
ГАЛДА ООД определя Длъжностното лице по защита на (лични) данни (ДЛЗД)
ДЛЗД може да изпълнява и други задачи и да има други служебни задължения, които задължително не водят до конфликт на интереси.
Дружеството гарантира, че ДЛЗД участва по подходящ начин и своевременно във всички въпроси, свързани със защитата на личните данни.
Дружеството подпомага ДЛЗД при изпълнението на неговите специфични задачи, като осигуряват ресурсите, необходими за изпълнението на тези задачи, и достъп до личните данни и операциите по обработване.
Дружеството подпомага ДЛЗД при изпълнението на неговите специфични задачи като поддържат неговите експертни знания.
Дружеството прави необходимото длъжностното лице по защита на данните да не получава никакви указания във връзка с изпълнението на тези задачи с оглед неговата независимост и безпристрастност.
Длъжностното лице по защита на данните не може да бъде освобождавано от длъжност, нито санкционирано от ръководството на ГАЛДА ООД за изпълнението на своите задачи.
Длъжностното лице по защита на данните се отчита пряко пред Изпълнителен Директор.
Субектите на данни могат да се обръщат към ДЛЗД по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права съгласно настоящия регламент.
6.2.2 Права и задължения
Длъжностното лице за защита на данни има следните правомощия:
7. Комисия за жалби, запитвания и искания за лични данни
Комисията е помощен орган, който има задачата да управлява процеса по обработка на жалби от клиенти, запитвания от държавни органи и искания по лични данни, свързани с предлаганите от дружеството услуги.
Комисията се назначава със заповед на ИД и има примерен състав, който може да се разширява и уточнява допълнително:
Комисията се събира, поне веднъж месечно и при необходимост. Комисията кани на заседанията и ангажира с действия специалисти, когато това се налага.
Комисията има следните задължения:
8. Оценка на въздействие върху защитата на личните данни (ОВЗД)
8.1 Общи положения
ОВЗД се извършва задължително, когато:
При извършването на ОВЗД се изисква становището на ДЛЗД, когато такова е определено.
При ОВЗД се ползват указанията на стандарт ISO/IEC 29134 Information technology. Security techniques. Guidelines for privacy impact assessment.
Когато резултатът от ОВЗД показва, че обработването ще породи висок риск за правата и свободите на физическите лица, ГАЛДА ООД задължително извършва:
ОВЗД се прилага в дружеството и като:
8.2 Изпълнение
ОВЗД включва следните действия:
При ОВЗД се отчита спазването на одобрените Кодекси за поведение (Член 40 на Регламента), ако такива са приети от ГАЛДА ООД.
Ако е целесъобразно и приложимо, ГАЛДА ООД може да се обърне към субектите на данните или техните представители за становище относно планираното обработване, без да се засяга защитата на търговските или обществените интереси или сигурността на операциите по обработване.
ГАЛДА ООД извършва преглед, за да прецени дали обработването е в съответствие с ОВЗД, когато има промяна на риска, свързан с операциите по обработване.
9. Осигуряване сигурност за личните данни
9.1 Общи положения
ГАЛДА ООД прилага технически и организационни мерки за осигуряване необходимото ниво на сигурност за личните данни, които обработва.
Дружеството осигурява доказано висока степен на защита и гаранции за:
ГАЛДА ООД прилага ефективен метод за оценка на рисковете за правата и свободите на субектите на данни при обработването на личните им данни.
Основни рискове са насочени към:
Дружеството гарантира, че неговите служители, обработващи лични данни, има необходимата квалификация и опит както за да извършават тази обработка по сигурен начин и според законовите изисквания и вътрешните правила на дружеството.
Дружеството поддържа документи и записи, осигуряващи и доказващи съответствие с изискванията на Регламента.
9.2 Действия при нарушения на сигурността
Дружеството използва автоматизирани средства за наблюдение на дейностите по обработка на данни и навременно идентифициране на слабости, събития и инциденти по тяхната сигурност. Тези средства осигуряват документиране на всяко нарушение на сигурността на личните данни, включително специфичните за него данни, последиците, предприетите действия за справяне с него.
В случай на нарушение на сигурността на личните данни, което може да доведе до нарушаване правата и свободите на субектите на данни, ГАЛДА ООД уведомява КЗЛД в рамките на 72 часа след установяването на това нарушение.
В случай на нарушение на сигурността на личните данни ГАЛДА ООД уведомява съответния администратор (ако има такъв) незабавно след установяването на това нарушение.
Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, ГАЛДА ООД незабавно извършва:
За контакти:
E-mail: contact@sweethomebulgaria.com
Тел: +359 888 307 300