Политика за защита на личните данни
Версия 01 / 2019-10-14 г.
1. Предназначение, обхват и ползватели
ХРОМА ООД, наричана по-долу „Организацията“ или “Дружеството”, се стреми да спазва приложимите закони и разпоредби, свързани със защитата наличните данни в държавите, в които Дружеството оперира. Тази политика определя основните принципи, чрез които компанията обработва личните данни на потребители, клиенти, доставчици, бизнес партньори, служители и други лица, и посочва отговорностите на бизнес отделите и служителите по време на обработката на лични данни.
Тази политика важи за дружеството и неговите пряко или непряко контролирани изцяло притежавани дъщерни дружества, които извършват дейност в рамките на Европейското Икономическо Пространство (ЕИП) или обработват личните данни на субекти на данни в ЕИП.
Потребителите на този документ са всички служители, постоянни или временни, и всички изпълнители, които работят от името на Организацията.
2. Референтни Документи
- EU GDPR 2016/679 (Регламент (ЕС)2016/679 на Европейския парламенти на Съвета от 27 април 2016 г. за защита на физическите лица при обработването на лични данни и за свободното движение на такива данни и за отмяна на Директива 95/46 / ЕО)
- Закон за защита на личните данни
- Политика за защита на личните данни на служителите
- Политика за съхранение на данни
- Описание на длъжността на служителя по защита на данните
- Насоки за опис на данните и обработка на данни
- Процедура за заявка за достъп до физически лица
- Насоки за оценка на въздействието на защитата на данните
- Процедура за Трансграничен трансфер на лични данни
- Политики за Информационна Сигурност
- Процедура за уведомяване за нарушение
3. Дефиниции
Следните определения на термините, използвани в този документ, са дефинирани в Общия регламент относно защита на данните на Европейския съюз:
„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице
Чувствителни лични данни: Личните данни, които по своята същност са особено чувствителни по отношение на основните права и свободи, заслужават специфична защита, тъй като контекстът на тяхната обработка може да създаде значителни рискове за основните права и свободи. Тези лични данни включват лични данни, разкриващи расов или етнически произход, политически възгледи,религиозни или философски убеждения или членство в синдикати, генетични данни, биометрични данни, с цел еднозначно идентифициране на физическо лице, данни относно здравето или данни, отнасящи се до пола на физическо лице, живот или сексуална ориентация
Администратор на данни: физическо или юридическо лице, публичен орган, агенция или друга структура,която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка
Обработващият данни: физическо или юридическо лице, публичен орган, агенция или друга структура,която обработва лични данни от името на администратора
Обработване: всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране,записване, организиране, структуриране,съхранение, адаптиране или промяна,извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране,ограничаване, изтриване или унищожаване
Псевдонимация: обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано
Трансгранично обработване: a) обработване на лични данни, което се осъществява в контекста на дейностите на местата на установяване в повече от една държава членка на администратор или обработващ лични данни в Съюза, като администраторът или обработващият лични данни е установен в повече от една държава членка; или б) обработване налични данни, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка
Надзорен орган: независим публичен орган, създаден от държава членка съгласно член 51 на Регламента
Водещ надзорен орган: надзорният орган, който носи основната отговорност за извършването на трансгранична дейност по обработка на данни. Например когато субект на данни подаде жалба относно обработката наличните му данни, органът е отговорен, наред с другото, за получаването на уведомления за нарушаване на данните, за уведомяване за рискова обработка и има пълна власт по отношение на задълженията си, за да гарантира спазването на разпоредбите на Регламента
Всеки „местен надзорен орган“ ще продължи да поддържа на своя собствена територия и ще наблюдава всички местни обработки на данни, които засягат субектите на данни или които се извършват от администратор, или обработващ от ЕС, или извън ЕС, когато обработването име насочено към субекти на данни,пребиваващи на нейна територия. Техните задачи и правомощия включват провеждане на разследвания и прилагане на административни мерки и глоби, насърчаване на обществената информираност за рисковете, правилата, сигурността и правата във връзка с обработката налични данни, както и достъпа до помещенията на администратора и обработващия, включително оборудване и средства за обработка на данни
„Основно място на установяване“ означава: а) по отношение на администратор,установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, освен в случаите, когато решенията по отношение на целите и средствата за обработването на лични данни се вземат на друго място на установяване на администратора в Съюза и на това място на установяване има правомощия за прилагане на тези решения, в който случай мястото на установяване, където са взети тези решения, се счита за основно място на установяване; б) по отношение на обработващ лични данни, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, или ако обработващият лични данни няма централно управление в Съюза,мястото на установяване на обработващия лични данни в Съюза, където се осъществяват основните дейности по обработването в контекста на дейностите на дадено място на установяване на обработващия лични данни, доколкото обработващият има специфични задължения съгласно Регламента
Групово предприятие: контролиращо предприятие и контролираните от него предприятия
4. Основни принципи, отнасящи се до обработката на лични данни
Принципите за защита на данните очертават основните отговорности за организациите, обработващи лични данни. В член 5, параграф 2 от EUGDPR се посочва, че“администраторът е отговорен и е в състояние да докаже спазването на принципите.“
4.1. Законосъобразност, Честности Прозрачност
Личните данни трябва да бъдат обработвани законосъобразно, справедливо и по прозрачен начин по отношение на субекта на данните.
4.2. Ограничение на Предназначението
Личните данни трябва да се събират за конкретни, изрични и законосъобразни цели и да не се обработват по начин, който е несъвместим с тези цели.
4.3. Минимизиране на Данните
Личните данни трябва да бъдат адекватни, уместни и ограничени до това, което е необходимо по отношение на целите, за които се обработват. Дружеството трябва да прилага анонимност или псевдонимация на личните данни, ако е възможно, за да намали рисковете за засегнатите субекти на данни.
4.4. Точност
Личните данни трябва да бъдат точни и, при необходимост, актуализирани; трябва да се предприемат разумни стъпки, за да се гарантира, че неточните лични данни, като се имат предвид целите, за които се обработват, се изтриват или коригират своевременно.
4.5. Ограничение на Сроковете за Съхранение
Личните данни трябва да се съхраняват не повече от времето,необходимо за целите, за които се обработват личните данни.
4.6. Почтеност и Поверителност
Вземайки предвид състоянието на технологиите и другите налични мерки за сигурност, разходите по внедряването, вероятността, и тежестта на рисковете, свързани с личните данни, Дружеството трябва да използва подходящи технически или организационни мерки за обработка на лични данни по начин, който гарантира подходяща сигурност на личните данни, включително защита срещу случайно или незаконно унищожаване, загуба, редуване, неразрешен достъп или разкриване.
4.7. Отговорност
Администраторите на данни трябва да отговарят и да могат да докажат съответствие с принципите, изложени по-горе.
5. Изграждане на предпазване на данните в бизнес процесите
За да се докаже съответствие с принципите за защита на данните,Организацията трябва да изгради защита на данните в своите бизнес дейности/процеси.
5.1. Известяване на Субекта на Данни
Виж по-долу Секцията Насоки за Добросъвестна Обработка
5.2. Избор и Съгласие на Субекта на Данни
Виж по-долу Секцията Насоки за Добросъвестна Обработка
5.3. Събиране
Компанията трябва да се стреми да събере възможно най-малко количество лични данни. Ако личните данни се събират от трета страна, Служителят по защита на личните данни трябва да гарантира,че личните данни се събират законно.
5.4. Използване, Съхранение и Премахване
Целите, методите, ограничаването на съхранението и периодът на запазване на личните данни трябва да съответстват на информацията, съдържаща се в известието за поверителност. Дружеството трябва да поддържа точността, целостта,поверителността и уместността на личните данни въз основа на целта на обработката.Трябва да се използват адекватни механизми за защита, предназначени за защита на личните данни, за да се предотврати открадването или злоупотребата с личните данни, и да се предотврати нарушаването на личните данни. Служителят по защита на личните данни отговаря за спазването на изискванията, изброени в този раздел.
5.5. Оповестяване на Трети Страни
Когато компанията използва услугите на доставчик или бизнес партньор(трета страна), за да обработва лични данни от негово име, Служителят по защита на личните данни трябва да гарантира,че този доставчик ще предостави мерки за сигурност, за да защити личните данни,които са адекватни на свързаните с тях рискове. За тази цел трябва да се използва въпросника за съответствие с GDPR за обработващия лични данни.
Дружеството трябва да изисква по договор от доставчика или бизнес партньора да осигури същото ниво на защита на данните. Доставчикът или бизнес партньорът трябва да обработва само лични данни, необходими му, за да изпълнява своите договорни задължения към Дружеството или по нареждане на Дружеството, а не за други цели. Когато Дружеството обработва лични данни съвместно с независима трета страна, Дружеството трябва изрично да уточни своите съответни отговорности и третата страна в съответния договор или друг правно обвързващ документ, като например Споразумението за обработка на данни от доставчиците.
5.6. Право на Достъп от Субекти на Данни
Когато действа като администратор на данни, Служителят по защита на личните данни е отговорен да предоставя на субектите на данни механизъм, който им позволява да имат разумен достъп до личните си данни, и трябва да им позволява да актуализират, коригират, изтриват или предават своите лични данни, ако е приложимо или се изисква по закон.Механизмът за достъп ще бъде допълнително описан в процедурата за заявка за достъп до субекта на данни.
5.7. Преносимост на Данни
Субектите на данни имат право да получат при поискване копие от данните, които са ни предоставили в структуриран формат, и да предадат тези данни на друг администратор безплатно. Служителят по защита на личните данни е отговорен да гарантира, че тези искания се обработват в рамките на един месец,не са прекомерни и не засягат правата на лични данни на други лица.
5.8. Правото да бъдеш Забравен
При поискване, субектите на данни имат правото да получат от дружеството изтриването на личните им данни. Когато Дружеството действа като Администратор на данни, Служителят по защита на личните данни трябва да предприеме необходимите действия(включително технически мерки), за да информира третите лица, които използват или обработват тези данни (Обработващият данни), да се съобразят с искането.
6. Насоки за добросъвестна обработка
Личните данни трябва да се обработват само при изрично разрешение от Служителят по защита на личните данни.
Компанията трябва да реши дали да извърши оценката на въздействието върху защитата на данните за всяка дейност по обработка на данни, съгласно насоките за Оценка на Въздействието върху Защитата на Данните.
6.1. Известия към Субектите на Данни
По време на събирането или преди събирането на лични данни за всякакъв вид обработка, включително, но не само, продажба на продукти, услуги или маркетингови дейности, Служителят по защита на личните данни е отговорен да информира надлежно субектите на данни за следното: видовете лични данни събраните данни, целите на обработката, методите за обработка, правата на субектите на данни по отношение на техните лични данни, периода на запазване, потенциалните международни трансфери на данни, ако данните се споделят с трети страни и мерките за сигурност на дружеството за защита на личните данни. Тази информация се предоставя чрез Известие за поверителност.
Когато се споделят лични данни с трета страна, Служителят по защита на личните данни трябва да гарантира, че субектите на данни са били уведомени за това чрез Известие за поверителност.
Когато се прехвърлят лични данни на трета държава, в съответствие с Трансграничната политика за прехвърляне на данни, съобщението за поверителност трябва да отразява това и ясно да посочва къде и кои лични данни се прехвърлят.
Когато се събират чувствителни лични данни, Служителят по защита на личните данни трябва да се увери, че известието за поверителност изрично посочва целта, за която се събират тези чувствителни лични данни.
6.2. Получаване на Съгласие
Когато обработването на лични данни се основава на съгласието на субекта на данните или на други законови основания, Служителят по защита на личните данни е отговорен за запазването на такова съгласие. Служителят по защита на личните данни отговаря за предоставянето на съгласието на субектите на данни, които трябва да дадат съгласието си, и трябва да информира, и да гарантира, че тяхното съгласие (когато съгласието се използва като законно основание за обработка) може да бъде оттеглено по всяко време.
Когато събирането на лични данни е свързано с дете на възраст под 16 години, Служителят по защита на личните данни трябва да гарантира, че родителското съгласие е дадено преди събирането, като се използва формулярът за съгласие от родител.
Когато се изисква да се коригират, изменят или унищожат записите с лични данни, Служителят по защита на личните данни трябва да гарантира, че тези изисквания се обработват в разумен срок. Служителят по защита на личните данни също трябва да записва заявките и да води дневник за тях.
Личните данни трябва да се обработват само за целите, за които първоначално са били събрани. В случай, че Дружеството иска да обработва събраните лични данни за друга цел, Дружеството трябва да потърси съгласието на своите субекти на данни в ясен и кратък срок. Всяко такова искане трябва да включва първоначалната цел, за която са събрани данните, както и новата или допълнителната (ите) цел (и). Искането трябва да включва и причината за промяната на целта / целите. Служителят по защита на данните отговаря за спазването на правилата в този параграф.
Сега и в бъдеще, Служителят по защита на личните данни трябва да гарантира, че методите за събиране са в съответствие със съответните закони, добри практики и индустриални стандарти.
Служителят по защита на личните данни е отговорен за създаването и поддържането на регистър на известията за поверителност.
7. Организация и Отговорности
Отговорността за осигуряване на подходяща обработка на лични данни се носи от всеки, който работи за или с Дружеството и има достъп до обработваните от компанията лични данни.
Основните отговорни при обработването на лични данни са следните организационни роли и длъжности:
Висшето ръководство взема решения и одобрява общите стратегии на компанията за защита на личните данни.
Служителят по защита на личните данни е отговорен за управлението на програмата за защита на личните данни и отговарящ за разработването и популяризирането на политики за защита на личните данни;
Юридическият специалист заедно със Служителя по Защита на Данните наблюдава и анализира законите за личните данни и промените в нормативната уредба, разработва изисквания за съответствие и подпомага бизнеса в постигането на целите си за лични данни.
ИТ администраторът е отговорен за:
• Осигуряване на всички системи, услуги и оборудване, използвани за съхраняване на данни, да отговарят на приемливи стандарти за сигурност.
• Извършване на редовни проверки и сканиране, за да се гарантира, че хардуерът и софтуерът за сигурност функционират правилно.
Лицето, занимаващо се с Маркетинг е отговорно за:
• Одобряване на всички декларации за защита на данните, прикрепени към съобщения, имейли и писма.
• Отговори на всякакви запитвания за защита на данните от журналисти или медии.
• Когато е необходимо, работи със служителя по защита на данните, за да се гарантира, че маркетинговите инициативи спазват принципите на защита на данните.
Служителят по защита на личните данни е отговорен за:
• Подобряване на информираността на служителите относно защитата на личните данни на потребителите.
• Организиране на експертни познания за защита на личните данни и обучение за повишаване на информираността на служителите, работещи с лични данни
• Защита на личните данни на служителите от „край до край“. Това трябва да гарантира, че личните данни на служителите се обработват въз основа на законните бизнес цели и необходимост на работодателя
Служителят, отговорен за снабдяването отговаря за предаването на отговорностите за защита на личните данни на доставчиците и за повишаването на нивата на информираност на доставчиците за защита на личните данни, както и за понижаване на изискванията за лични данни към трети страни, които използват. Отделът за поръчки/доставки трябва да гарантира, че Дружеството си запазва правото да извършва одит на доставчици.
8. Действия в отговор на инциденти за нарушаване на личните данни
Когато Организацията узнае за предполагаемо или действително нарушение на личните данни, Служителят по защита на личните данни трябва да извърши вътрешно разследване и своевременно да предприеме подходящи мерки за отстраняване, в съответствие с политиката за нарушаване на данните. Когато съществува риск за правата и свободите на субектите на данни, Дружеството трябва да уведоми съответните органи за защита на данните без неоснователно забавяне и, когато е възможно – в рамките на 72 часа.
9. Одит и Отговорност
Отделът за одит или друг оторизиран отдел отговаря за проверката/одита на това, колко добре бизнес отделите прилагат тази политика.
Всеки служител, който нарушава тази Политика, ще бъде обект на дисциплинарно действие и служителят може също да бъде обвързан с граждански или наказателни задължения, ако неговото поведение нарушава закони или подзаконови актове.
10. Конфликт със Закона
Тази политика е предназначена да спазва законите и подзаконовите актове на мястото на установяване и на страните, в които Организацията работи. В случай на конфликт между тази Политика и приложимите закони и разпоредби, последните имат предимство.
11. Управление и съхранение на записи на базата на този документ
Име на записа | Място на съхранение | Отговорник за съхранението | Контроли за защита на записите | Време за съхранение |
Формуляри за съгласие на субекта на данни | Защитен сървър | Служителят по Защита на Данните | Само упълномощени служители имат достъп по формулярите | 10 години |
Формуляр за отказ от съгласие на Субекта на Данните | Защитен сървър | Служителят по Защита на Данните | Само упълномощени служители имат достъп по формулярите | 10 години |
Договори за обработка на данни на доставчици | Защитен сървър | Служителят по Защита на Данните | Само упълномощени служители имат достъп по формулярите | 5 години след изтичане на договора |
Регистър на съобщенията за поверителност | Защитен сървър | Служителят по Защита на Данните | Само упълномощени служители имат достъп по формулярите | Постоянно |
12. Валидност и управление на документи
Този документ е валиден от 2019-10-14.
Собственикът на този документ е Управителят, той трябва да провери и ако е необходимо да – актуализира документа най-малко веднъж годишно.
Съобщение за поверителност
1. Какво ни трябва?
Нашата Политика за защита на личните данни урежда използването и съхранението на Вашите данни. Можете да видите нашата Политика за защита на личните данни на нашия интернет сайт.
ХРОМА ООД е администратор на лични данни, които Вие (Субектът на данните), ни предоставяте. Ние събираме от Вас следния вид лични данни:
• Име, Фамилия, Телефон, e-mail; подпис – за търговски цели
• Име, Фамилия, Телефон, Подпис – при извършване на договор и сервизна услуга
• Име, Фамилия, ЕГН – при осчетоводяване на документи от партньори, клиенти и доставчици
2. Защо ни е необходимо?
Личните Ви данни са ни необходими, за да Ви предоставим следните услуги:
• Изпращане на оферта, подписване на договор с клиенти
• Изпълнение на договор и сервизна услуга
• Осчетоводяване на документи
3. Какво правим с Личните Ви данни?
Личните Ви данни се обработват в офиса на ХРОМА ООД, намиращ се в България, гр. София, ж.к София парк, сграда 16 Б, партер. Хостингът и съхранението на Вашите данни се извършват на същия адрес.
Трети страни, които имат достъп до личните Ви данни са: ИТ доставчик за поддръжка на системата, външна счетоводна фирма и съответните държавни институции.
4. Колко дълго ги съхраняваме?
Съгласно законите на Република България, ние сме задължени да съхраняваме вашите документи за следните периоди от време:
- При изпълнение на договор и сервизна услуга – 5 години
- При изпращане на оферта, подписване на договор с клиенти – 11 години от последната фактура
- При осчетоводяване на документи – 11 години
След този период личните Ви данни, които се съхраняват при нас, ще бъдат необратимо унищожени. Всички лични данни, съхранявани от нас за известия за маркетинг и актуализиране на услугата, ще се съхраняват от нас до момента, в който ни уведомите, че повече не желаете да получавате тази информация.
5. Какви са правата Ви?
Вие имате право на достъп до личните данни, които ХРОМА ООД държи за Вас, на коригиране на грешки, на искане на заличаване или на възражение срещу обработването на личните Ви данни. Можете да го направите на мейл info@chroma-bg.com или по пощата на гр. София, ж. к София парк, сграда 16 Б, партер, ХРОМА ООД, Отговорно лице по защита на личните данни.
Ако смятате, че личните данни, които притежаваме за Вас, са неточни или непълни, имате възможност да поискате да видите тази информация, да я поправите или да я изтриете. Моля, свържете се с нас чрез Формуляр за Заявка за Достъп до данни на Физически лица, наличен при поискване на info@chroma-bg.com или по пощата на гр. София, ж. к София парк, сграда 16 Б, партер, ХРОМА ООД, Отговорно лице по защита на личните данни.
В случай, че желаете да оттеглите своето съгласие, Вие можете да направите това само по отношение на личните Ви данни, които не засягат законосъобразността на обработването на данните Ви (чл. 6 и чл. 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. за защита на физическите лица при обработването на лични данни и за свободното движение на такива данни и за отмяна на Директива 95/46 / ЕО).
В случай, че искате да подадете оплакване от начина, по който сме обработили личните Ви данни, моля, свържете се с Отговорника по Защита на Данните на info@chroma-bg.com или по пощата на гр. София, ж. к София парк, сграда 16 Б, партер, ХРОМА ООД, Отговорно лице по защита на личните данни. Нашето Отговорно лице ще разгледа жалбата Ви и ще положи всички възможни усилия, за да разреши въпроса.
Ако и след това смятате, че Вашите лични данни не са били обработени по законосъобразен начин, можете да се свържете с Комисия за Защита на Личните Данни и да подадете жалба до тях на мейл: kzld@cpdp.bg.
Процедура за Заявка за Достъп до Данни на Субект на Данни
Форма Искане на Достъп до Данни на Субект
Този сайт е защитен от reCAPTCHA и се прилагат Политиката за поверителност и Условията за ползване на Google.