ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ
И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ В
„ПРОЕКТ 7“ ООД
- ВЪВЕДЕНИЕ
„ПРОЕКТ 7“ ООД (наричано за кратко „Дружеството“ или „Администратора“) е търговско дружество, регистрирано в Търговския регистър към Агенция по вписванията с ЕИК: 201655181, със седалище и адрес на управление: гр. Бургас, ул. ВАСИЛ АПРИЛОВ № 20, ет. 2, представлявано от управителите ЕВТИМ НИКОЛОВ БАНЕВ и ВАЛЕНТИН РУСЕВ УЗУНОВ, интернет страница на дружеството-https://victoriahill.bg/.
„ПРОЕКТ 7“ ООД извършва дейност в областта на продажбата, отдаването под наем и управление на жилищни, бизнес и луксозни имоти и земя; консултантски услуги и посредничество, инвестиционна дейност в областта на строителството;
„ПРОЕКТ 7“ ООД е Администратор на лични данни по смисъла на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (наричан по-долу „ОРЗД“) и Закона за защита на личните данни (наричан по-долу „ЗЗЛД“).
С настоящата Политиката за поверителност и защита на личните данни (наричана по-долу за краткост „Политика“) „ПРОЕКТ 7“ ООД отчита неприкосновеността на личността и полага усилия за защита срещу неправомерно обработване на личните данни на физическите лица. В съответствие с българското законодателството, ОРЗД и добрите практики, „ПРОЕКТ 7“ ООД е взело необходимите технически и организационни мерки за защита на личните данни на физическите лица.
Запознаването с настоящата Политика преди използване на нашите услуги е наложително, тъй като предоставянето им е свързано със събиране на определени категории лични данни, необходими на „ПРОЕКТ 7“ ООД за пълноценното предоставяне на услугите.
- Цели и обхват на Политиката
С настоящата Политиката за поверителност и защита на личните данни „ПРОЕКТ 7“ ООД цели да информира физическите лица относно:
- целите и средствата на обработване на личните данни;
- получателите или категориите получатели, на които могат да бъдат разкрити данните;
- основанието за обработване на личните данни /задължителния или доброволния характер на предоставяне на данните/, както и последиците при отказ за предоставянето им;
- информация за правото на достъп, за правото на коригиране и заличаване на събраните данни.
- категориите лични данни, които се събират;
- информация за правата, с които разполага субектът на данни;
- срок за съхранение и обработване на личните данни;
- мерките за защита на предоставените лични данни;
- Термини и дефиниции:
- „Лични данни“ – всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); , е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
- „Специални категории лични данни“ – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации и обработването на генетични данни, биометричните данни за уникално идентифициране на физическо лице, данни отнасящи се до здравето или данни относно сексуалния живот на физическо лице или сексуална ориентация.
- „Обработване“ – означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
- „Администратор“ – всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, Администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
- „Съвместни Администратори“ – когато двама или повече Администратори съвместно определят целите и средствата за обработване на лични данни, те са съвместни Администратори;
- „Обработващ лични данни“ – физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на Администратора
- „Регистър“ – означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.
- „Субект на данните“ – всяко живо физическо лице, което е предмет на личните данни съхранявани от Администратора.
- „Съгласие на субекта на данните“ – всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
- „Дете“ – Общият Регламент определя дете като всеки на възраст под 16 години въпреки че това може да бъде намалена на 13 от правото на държавата-членка. Обработването на лични данни на едно дете е законно само, ако родител или попечител е дал съгласие. Администраторът полага разумни усилия, за да провери в такива случаи, че притежателят на родителската отговорност за детето е дал или упълномощен да даде съгласието си.
- „Профилиране“ – всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;
- „Нарушение на сигурността на лични данни“ – нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
- „Основно място на установяване“ – седалището на Администратора в ЕС ще бъде мястото, в което той взема основните решения за целта и средствата на своите дейности по обработване на данни. По отношение на обработващия лични данни основното му място на установяване в ЕС ще бъде неговият административен център. Ако Администраторът е със седалище извън ЕС, той трябва да назначи свой представител в юрисдикцията, в която Администраторът работи, за да действа от името на Администратора и да се занимава с надзорните органи.
- „Получател“ – физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
- „Трета страна“ – всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, Администратора, обработващия лични данни и лицата, които под прякото ръководство на Администратора или на обработващия лични данни имат право да обработват личните данни
- Правно основание за обработването на лични данни, източници на лични данни и срок, за който се съхраняват събраните лични данни:
„ПРОЕКТ 7“ ООД обработва лични данни на следните основания:
- Въз основа на свободно изразено, информирано, конкретно, недвусмислено и изрично съгласие на субекта на данните, дадено с активно действие;
- При наличие на законово задължение за обработване на данните;
- При сключване или изпълнение на договор, както и за действия, предхождащи сключването на договор;
- Когато това е необходимо за защита на жизненоважни интереси на физическото лице или легитимният интерес на Администратора, при положение че той не противоречи на законните интереси на физическото лице.
„ПРОЕКТ 7“ ООД обработва лични данни, предоставени от служители, клиенти, възложители, доставчици, контрагенти и други физически лица, за които се отнасят данните във връзка с предоставяне на услуги от предмета на дейността си, както и за подготовката, сключването и изпълнението на договори.
„ПРОЕКТ 7“ ООД обработва и лични данни, които не са получени от физическото лице, за което се отнасят, а са предоставени от трето лице във връзка с конкретна услуга, като лицето, предоставило тези данни на „ПРОЕКТ 7“ ООД се задължава:
- да предостави на третото лице данни за Администратора;
- да уведоми третото лице за целите, категориите предоставени данни и категориите получатели на тези данни;
- да предостави информация за правото на достъп и на коригиране на лични данни на лицето, за което се отнасят.
„ПРОЕКТ 7“ ООД съхранява събраните лични данни при следните срокове:
Личните данни се съхраняват за период, необходим съгласно целите, за които те са събрани, като срокът се определя конкретно за съотвения случай.
Личните данни се съхраняват за нормативно установени срокове.
Събраните лични данни се съхраняват за срок от 1 (една) година /например данни, получени при извършване на оглед/.
Личните данни се съхраняват за срок от 5 (пет) години, считано от прекратяването на съответния договор, съгласно общата погасителна давност, като лични данни, съдържащи се в счетоводни документи се съхраняват за нормативно установените срокове: счетоводни регистри и финансови отчети, включително документи за данъчен контрол, одит и последващи финансови инспекции – 10 (десет) години, считано от 1 (първи) януари на отчетния период, следващ отчетния период, за който се отнасят (общо 11 години); ведомости за заплати – 50 (петдесет) години, считано от 1 (първи) януари на отчетния период, следващ отчетния период, за който се отнасят;
При дадено съгласие от субекта на лични данни за директен маркетинг, личните данни се съхраняват докато същият не се отпише или поиска да бъде отписан.
Лични данни, получени при отправено от субекта на данни запитване в онлайн формата на интернет страницата на Дружеството се съхраняват за срок до 6 месеца след приключване на комуникацията при постигане на целите.
Срокът се определя съобразно целите, за които се събират данните и съобразно съществуващи законови изисквания спрямо Администратора. След изтичането му данните ще бъдат унищожени.
- Средства, принципи и цели на обработването:
4.1. „ПРОЕКТ 7“ ООД обработва лични данни чрез съвкупност от действия, които могат да се извършват с автоматични или други неавтоматични средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространение, предоставяне, актуализиране или комбиниране, блокиране, заличаване и унищожаване.
„ПРОЕКТ 7“ ООД обработва личните данни самостоятелно или чрез възлагане на обработващи данните, като с писмена инструкция/договор/споразумение определя целите и обемът на задълженията, възложени от Администратора на обработващия данните, при наличие на релевантно правно основание, съгласно изискванията на ОРЗД/ЗЗЛД. Обработващи от името на „ПРОЕКТ 7“ ООД са трети лица извън структурата на Администратора, на които е възложено обработването на лични данни от името на Администратора, например – счетоводители и счетоводни къщи, външни юристи, адвокати, правни кантори и консултанти, външни одитори, нотариални кантори и нотариуси, финансови дружества и банки, IT специалисти/лица поддържащи компютърни и информационни системи и мрежи и др.
4.2. Посочените действия по обработване се извършват при спазване на следните принципи:
- Законосъобразност, добросъвестност и прозрачност – обработване при наличие на законово основание, при полагане на дължимата грижа и при информиране на субекта на данни;
- Ограничение на целите – събиране на данни за конкретни, изрично указани и легитимни цели и забрана за по-нататъшно обработване по начин, несъвместим с тези цели;
- Свеждане на данните до минимум – данните да са подходящи, свързани със и ограничени до необходимото във връзка с целите на обработването;
- Точност – поддържане в актуален вид и предприемане на всички разумни мерки за гарантиране на своевременно изтриване или коригиране на неточни данни, при отчитане на целите на обработването;
- Ограничение на съхранението – данните да се обработват за период с минимална продължителност съгласно целите. Съхраняване за по-дълги срокове е допустимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или статистически цели, но при условие, че са приложени подходящи технически и организационни мерки;
- Цялостност и поверителност – обработване по начин, който гарантира подходящо ниво на сигурност на личните данни, като се прилагат подходящи технически или организационни мерки;
- Отчетност – администраторът носи отговорност и трябва да е в състояние да докаже спазването на всички принципи, свързани с обработването на лични данни.
4.3. Във връзка с изпълнение на нормативно установени задължения и преддоговорни, и договорни отношения, при осъществяване на своята дейност, „ПРОЕКТ 7“ ООД обработва лични данни на своите служители, клиенти и на трети лица, за следните цели:
– администриране на трудовоправни отношения: лични данни на лица, кандидатстващи за работа и служители по повод съществуващо трудово правоотношение (обработването на данни е най-често вследствие на изпълнение на нормативно установени задължения на Администратора на лични данни, произтичащи от спецификата на изискванията на законодателството, регламентиращо дейността му, финансово-счетоводната дейност, пенсионна, здравна и социално-осигурителна дейност, дейността по управление на човешките ресурси, автоматичния обмен на информация в областта на данъчното облагане и други);
– администриране на договорни отношения: лични данни на лица преди договор за услуга и настоящи клиенти (включително когато е дадено изрично съгласие или обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по искане на лицето).
– във връзка с финансово-счетоводните и данъчните изисквания, които са нормативно заложени спрямо Администратора, във връзка с осъществяваната от него дейност.
– във връзка с предоставянето на услуги от предмета на дейност на Администратора.
– при дадено съгласие – за целите на директния маркетинг (форма на маркетинга, при която директно се изпращат рекламни предложения до клиентите/потребителите, например писмо по електронна поща).
– за отговор от страна на Администратора на отправени запитвания от субекта на данни в онлайн формата на интернет страницата на Дружеството.
- 5. Категории обработвани лични данни и регистри
5.1. Категории лични данни, които „ПРОЕКТ 7“ ООД обработва за осъществяване на своята дейност:
- Свързани с физическата идентичност на физическите лица – имена, ЕГН, адрес, телефонен номер, електронна поща, данни от документ за самоличност и т.н.;
- Свързани с икономическата идентичност – имотно и финансово състояние, наличие на публични задължения, банкови сметки, данни, необходими за идентифициране за целите на данъчното законодателство на територията на юрисдикцията, където лицето е местно лице за данъчни цели, данъчен идентификационен номер, издаден от тази юрисдикция, функция на контролиращи лица и др.;
- Свързани със социалната идентичност – гражданство , данни свързани с придобити квалификация, умения, професионален опит и трудов стаж, образователна степен, ценз или диплома;
- Свързани със семейната идентичност – семейно положение, родствени връзки и др.;
- Чувствителни данни – такива, свързани със здравословното състояние, свъзрани с информация за наказателни присъди и нарушения;
- Други лични данни, които следва да бъдат предоставени за получаването на услуга на „ПРОЕКТ 7“ ООД, както и данни, които Администраторът следва да събира при извършване на дейността си, съобразно съществуващи нормативни изисквания спрямо него.
5.2. Обработваните лични данни са структурирани в следните регистри:
- Регистър „Персонал“;
- Регистър „Клиенти“;
- Права на субектите на данни:
6.1 Право на информация
Субектът на данни има право да получи информация във връзка с обработването на личните му данни от администратора.
Всеки субект на данни има правото да изисква информация относно лични данни, обработвани от „ПРОЕКТ 7“ ООД, които го засягат лично. Тази информация следва да бъде предоставена независимо от мястото, където личните данни се обработват. Субектът на данни може да отправи всякаква подобна заявка за информация към Администратора. Администраторът или негови оторизирани служители трябва да съдейства на субекта като му предоставят, по възможност, обработваните за него лични данни в желания от него формат.
Субектът на данни има право на информация за целите на обработване на личните му данни, която му се предоставя при събиране на личните му данни и при последваща промяна на целите на обработване.
Субектът на данни има право на достъп до собствените си лични данни;
6.2 Искане за корекция
Ако съхраняваните лични данни са некоректни или непълни, субектът на данни може да изиска те да бъдат коригирани. Субектите на данни са отговорни за предоставянето на коректни лични данни на Администратора. В допълнение към това, субектът на данните следва да информира Администратора относно всякакви релевантни промени в личните му данни (като промени в адреса или името на субекта).
6.3 Ограничава не използването
Във всеки момент от обработването на личните данни, субектът на данни може да поиска от Администратора да ограничи използването на личните му данни за част или всички цели на обработването, за което субектът е дал съгласие.
6.4 Отказ на искане за информация, корекция или ограничаване на обработването на лични данни
Ако искането за информация, корекция или ограничаването на обработването бъде отказано, субектът на данни ще бъде информиран относно причината за съответния отказ. Отказът се прави във вида на подаденото искане от субекта и следва да бъде мотивиран.
6.5 Право на изтриване („право да бъдеш забравен“)
Всяко лице има правото да поиска от Администратора изтриване на свързаните с него лични данни, а Администраторът има задължението да ги изтрие без ненужно забавяне. При упражняване на това право от страна на субекта на данни, Администраторът указва на субекта по какъв начин изтриването ще засегне отношенията между тях занапред.
6.6. Право на възражение
Всеки субект на данни има право да възрази срещу обработването на лични данни, отнасящи се до него. Администраторът прекратява обработването на лични данни, освен ако не докаже, че съществува законово основание за продължаване на обработването.
6.7. Оттегляне на съгласие за обработване на лични данни
Субектът на лични данни има право да оттегли съгласието си за обработване на личните му данни по всяко време с отделно искане, отправено до Администратора. Администраторът указва на субекта по какъв начин ще се извърши изтриването и как това ще засегне отношенията между тях занапред.
6.8. Средства за правна защита
Субектът на данни има право да подава жалби/искания до Администратора по въпроси, свързани с обработването на личните му данни.
Субектът има право да подаде жалба до КЗЛД.
Субектът има право на защита по съдебен ред.
6.9. Право да изрази съгласие за обработване на личните му данни
За наличие на “съгласие” Администраторът приема само в случаите, в които субектът на данните е бил напълно информиран за планираното обработване и е изразил своето съгласие, без върху него да бъде упражняван натиск. Съгласието, получено при натиск или въз основа на подвеждаща информация, не е валидно основание за обработване на лични данни.
Съгласието не може да бъде изведено от липсата на отговор на съобщение до субекта на данни. Трябва да има активна комуникация между Администратора и субекта, за да е налице съгласие. Администраторът следва да може да докаже, че е получено съгласие за дейностите по обработване.
В повечето случаи, съгласието за обработка на лични данни се получава рутинно от Администратора, като се използват стандартни документи за съгласие, например, когато нов клиент подписва договор или по време на набиране на нов персонал.
При обработване на лични данни на деца, Администраторът следва да получи разрешение от упражняващите родителските права (родители, настойници и т. н.). Това изискване се прилага за деца на възраст под 16 години.
6.10. Право на представителство
Субектът на данни може да упълномощи друго лице да упражнява правата по т. 1.1. до т. 1.9. от настоящата политика. Упълномощаването следва да бъде изрично и направено в писмена форма. При всяко едно упражняване на правата на субекта на данни, пълномощникът е длъжен да представи копие от пълномощното си на Администратора или на обработващият лични данни от името на Администратора.
6.11. Право на преносимост
Субектът на данните, в определените случаи, има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат, или друг формат, и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора.
- Сигурност на личните данни:
„ПРОЕКТ 7“ ООД осигурява сигурността на личните данни съгласно принципите, заложени в ОРЗД/ ЗЗЛД като взема подходящи и достатъчни административни, технически и организационни мерки, за да осигури защита на данните от загуба, кражба, злоупотреба, както и от неоторизиран достъп, разкриване, промяна или унищожаване.
- Общи принципи, свързани с обработването и сигурността на личните данни:
7.1. Допустимост на обработването на данните
Обработването на лични данни е допустима единствено ако субектът на данните се е съгласил с това, ако е налице законово задължение за обработка на данните, при сключване или изпълнение на договор, когато е необходимо за защита на жизненоважни интереси на физическото лице или легитимният интерес на Администратора, при положение че той не противоречи на законните интереси на физическото лице. Допустимостта на обработването на личните данни е предпоставка за предаване на лични данни.
Съгласието следва да бъде декларирано в писмена форма или въз основа на други законово допустими средства, а субектът на данните трябва да бъде уведомен предварително относно целта на обработването и възможността за предаване на лични данни на трети страни. Върху предоставянето на съгласие се поставя акцент, когато се включва в други декларации, така че да бъде ясно за субекта на данните.
7.2. Предвидена цел
Лични данни могат да бъдат събирани единствено за посочените цели и не могат да бъдат обработвани за цели, различни от предвидените. Целта на събиране и обработване на данните трябва да бъде съобразена от Администратора при допълнително обработване и съхраняване на такива данни. Промени в целта са допустими единствено със съгласието на субекта на данните или ако това е разрешено от местното законодателство на съответната държава, от която са получени личните данни.
7.3. Икономия на данните
Обработването на лични данни трябва да бъде необходимо за предвидената цел. Събира се само минималното количество лични данни, които са необходими за постигане на целите, като същите се съхраняват за минималния срок, абсолютно необходим за постигане на целите на обработването.
7.4. Качество на данните
Личните данни трябва да бъдат фактически верни и, доколкото е необходимо, актуални. Администраторът предприема подходящи и разумни мерки за коригиране или изтриване на неправилните или непълни данни.
7.5. Сигурност на данните
Администраторът на данните въведежда подходящи технически и организационни мерки, за да осигури необходимата сигурност и защита на данните. Тези мерки се отнасят в частност до компютрите (сървъри), мрежите и комуникационните връзки и приложения, работните места.
7.6. Поверителност на обработването на данните
Единствено оторизиран персонал, който се е ангажирал да спазва изискванията за поверителност на данните, има право да участва в обработването на лични данни. На служителите е забранено да използват такива данни за лични цели или да ги предоставят на неоторизирани лица и трети страни. Неоторизирани в този контекст означава и използването на лични данни от служители, които не се нуждаят от достъп до такива данни, за да изпълняват служебните си отговорности.
- Административни, технически и организационни мерки за защита на личните данни:
„ПРОЕКТ 7“ ООД използва административни и технически мерки за защита на личните данни, които обработва чрез своите оторизирани служители или предоставя за обработване на трети лица – обработващи на лични данни. Тези мерки се изразяват в следното:
8.1. „ПРОЕКТ 7“ ООД приема процедурни правила, определящи мерките и реда за физически достъп и защита на личните данни, които са задължителни за всички служители, които извършват обработване на лични данни. Всички служители, които събират и обработват данни са преминали обучение и са се запознали с нормативната уредба в областта на защитата на лични данни, с настоящата Политика и с Вътрешни правила, като преминатото обучение и инструктаж с правилата за защита на личните данни се удостоверява с подпис върху протокол за извършен инструктаж за защита на личните данни.
Право на достъп до регистрите с лични данни имат само оторизирани служители на Администратора, както и обработващи лични данни, на които администраторът е възложил обработването на данни от съответния регистър.
Работниците и служители носят отговорност за осигуряване и гарантиране на регламентиран достъп до служебните помещения и опазване на регистрите, съдържащи лични данни, за гарантирането на сигурността при съхранението на данните, които обработват. Служителите нямат право да разпространяват и предоставят информация на трети лица за личните данни, станали им известни при и по повод изпълнение на служебните им задължения, освен ако Администраторът не е предоставил такива права на тези трети лица въз основата на писмен договор или клауза за поверителност;
8.2. Определяне на помещенията, в които ще се обработват лични данни, определяне на помещенията, в които ще се разполагат елементите на комуникационно-информационните системи за обработване на лични данни, определяне на организацията на физическия достъп.
8.3. С цел осигуряване на достатъчна защита на обработваните лични данни, „ПРОЕКТ 7“ ООД използва следните технически мерки: използване на ключалки и заключващи механизми, шкафове, включително такива, които се заключват; оборудване на помещенията с пожарогасителни средства, защита на операционните системи и мрежи на компютърни устройства от вируси чрез програма/защитна стена, сигнално-охранителна техника;
8.4. Администраторът взема мерки, гарантиращи защитата на личната информация срещу случайно унищожаване или загуба;
8.5. Текущата работа по обработване на лични данни се извършва на работното място/бюро, съответно там се разполагат хартиените носители на лични данни, във връзка с този процес. Записите върху хартиен носител не трябва да се оставят там, където могат да бъдат достъпни за неоторизирани лица и не могат да бъдат изваждани от определените помещения/шкафове без необходимост. Веднага щом хартиените документи вече не са необходими за текущата работа по обработване на лични данни, те следва да бъдат архивирани по съответния ред, а ако липсва основание за тяхното архивиране, следва да бъдат унищожени в съответствие със създадена за това процедура;
8.6. С вътрешните правила се определя както редът за достъп до обособените регистри с лични данни, така и лицата, които имат право да ги достъпват, респективно обработват съхранените в тях лични данни;
8.7. Администраторът определя процедури за възстановяване на наличността на лични данни след физически или технически инцидент.
8.8. Обработването на лични данни извън обектите на Администратора се осъществява съгласно съответните вътрешни правила и е допустимо с изрично съгласие на прекия ръководител или на Администратора.
8.9. Личните данни могат да бъдат изтривани или унищожавани само в съответствие с приетата от Администратора процедура. Записите на хартиен носител, чиито срок за обработване е изтекъл, следва да бъдат нарязани и унищожени като „поверителни отпадъци“. Данните находящи се в персонални компютри подлежат на постоянно заличаване/изтриване от електронните средства, съгласно въведените процедури;
- Отговорник по защита на данните
„ПРОЕКТ 7“ ООД назначава Отговорник по защита на личните данни (ОЗЛД). Ролята на това лице е да следи за спазването на настоящата Политика в предприятието на Администратора; отговаря за администриране и обработване на исканията и запитванията, отправени от субекта на данни към Администратора; дава необходимите разяснения на служителите на Администратора по повод спазване защитата на личните данни;
III. Съхраняване, унищожаване и инвентаризация на лични данни:
- Съхраняване
10.1. „ПРОЕКТ 7“ ООД не съхранява лични данни във вид, който позволява идентифицирането на субектите за период, по-дълъг от необходимия за осъществяване на обработването, за което е дадено съгласието на субекта на лични данни и с оглед на целите, за които са били събрани. Съхраняване на лични данни за по-дълъг период е допустимо и без изричното съгласние на субекта на данни, ако е предвидено в нормативен акт на вътрешното законодателство или на правото на Европейския съюз;
10.2. Администраторът може да съхранява данни за по-дълъг период от необходимия за извършване на обработването, за което е дадено съгласие и в случаите, когато личните данни ще бъдат обработвани за целите на архивиране в обществен интерес, научни или исторически изследвания и за статистически цели, и само при изпълнението на подходящи технически и организационни мерки за гарантиране на правата и свободите на субекта на данните;
- Унищожаване
Личните данни трябва да бъдат унищожени сигурно, съгласно принципа за гарантиране на подходящо ниво на сигурност. Спазването на процедурата е задължително с оглед гарантиране защитата срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане на данните, като се прилагат подходящи технически или организационни мерки.
- Инвентаризация
12.1. Администраторът създава процес на инвентаризация на данните като част от своя подход за справяне с възможните рискове при обработване на събираните лични данни.
- Предоставяне на лични данни на трети лица
13.1. Администраторът на лични данни има право да разкрие обработваните лични данни само на следните изчерпателно изброени категории лица:
а). физически лица, за които се отнасят данните;
б). лица, за които правото на достъп е предвидено в нормативен акт или
в). лица, за които правото произтича по силата на договор;
13.2. С цел предоставяне на услуги, Администраторът предоставя информация /необходими лични данни/ за изпълнението на поето договорно задължение към субекта на лични данни. Администраторът предоставя лични данни на трети страни, които предоставят услуги от негово име въз основа на изрична писмена инструкция/ писмен договор/споразумение. Тези трети страни нямат право да използват или разкриват данните извън целите, за които са им предоставени, освен когато това е необходимо за извършване на услуги от името на Администратора или за съобразяване със законови изисквания. Целите за обработване на предоставените лични данни са изрично определени в писмената инструкция/ писмения договор, въз основа на който данните са предоставени на третото лице. Третите лица (обработващи на лични данни) са задължени да осигурят необходимите технически и организационни мерки за защита на личните данни, предоставяни от Администратора или по-големи;
13.3. Администраторът споделя получените лични данни с негови филиали, франчайзополучатели, дилъри и/или съвместни партньори въз основа на изрична писмена инструкция или писмен договор/споразумение. Тези лица могат да използват информацията за целите, описани в настоящата Политика за защита на личните данни.
13.4. Администраторът споделя лични данни с компетентни органи/ лица с оглед организиране защитата на законните си права и интереси при иницииране на заповедни, арбитражни, охранителни, искови и други производства;
13.5. Администраторът разкрива лични данни за субекти, чиито лични данни обработва, когато е задължен за това по закон, подзаконов нормативен акт, международен договор или акт на правото на Европейския съюз, или във връзка със съдебна процедура, в отговор на искане от държавни органи, (например правоприлагащи или разследващи органи), или при съмнение за сериозно и незаконосъобразно засягане законните права и интереси на субектите на правото.
VII. Преходни и заключителни разпоредби.
- За всички останали въпроси, са приложими разпоредбите на Общия регламент относно защитата на данните (ЕС) 2016/679, приложимото право на Европейския съюз и законодателството на Република България относно защитата на личните данни.
- Настоящата Политика е приета и утвърдена с Решение от 25.05.2018г. на Управителя на „ПРОЕКТ 7“ ООД и влиза в сила от 25.05.2018г.;
- Субектите на лични данни могат да се запознаят с настоящата политика в офиса на Администратора, находящ се в гр. Поморие, м.Кошарите, комплекс Виктория Хил, офис;
- Отговорник по защита на личните данни при „ПРОЕКТ 7“ ООД е:
име: Ганка Димова Димова
телефон:0896772616
имейл адрес:bord_7@abv.bg