ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ В “ДИФЕНС-С” ООД
I. ВЪВЕДЕНИЕ
Политиката за защита на личните данни в ДИФЕНС-С ООД (наричана по-долу „Политика“) има за цел да гарантира, че личните данни се обработват от ДИФЕНС-С ООД в съответствие с Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Общ регламент относно защитата на данните) (наричан по долу „Регламента”) и за отмяна на Директива 95/46/ЕО, Закона за защита на личните данни (ЗЗЛД) и всички приложими нормативни актове, регламентиращи защита на личните данни.
II. ПОНЯТИЯ
• „Лични данни" - всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни"); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
• „Обработване" - означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
• „Администратор" - всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни, когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
• „Съгласие на субекта на данните" - всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
III. ПРИНЦИПИ ПРИ ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ
Цялата обработка на лични данни в ДИФЕНС-С ООД се извършва в съответствие с принципите за защита на данните, посочени в член 5 от Регламент (ЕС) 2016/679. При обработването на лични данни администраторът спазва следните принципи:
• Личните данни се обработват законносъобразно, справедливо и по прозрачен начин по отношение субскта на данни („законосъобразност, добросъвестност и прозрачност“);
• Личните данни се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по-нататьшната обработка за архивиране за цели от общсствсн интерес, научни или исторически научноизследователски цели или статистически цели не се считат за несъвместими с първоначалните цели („ограничение на целите“);
• Личните данни трябва да бъдат подходящи, свързани с и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);
• Личните данни трябва да бъдат точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност");
• Личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в Регламента с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);
IV. ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
1. Групи лица, за които се обработват данни ДИФЕНС-С ООД обработва лични данни на външни лица и/или на служителите си
1.1. във връзка с трудовото им правоотношение. Това може да включва лични данни, получени директно от субектите на данни, (например данни за контакт, използвани, когато субектът на данни комуникира директно) и данни, получени от трети страни, (например агенция/-ии за подбор на персонал, застрахователи, служби по трудова медицина, органи на държавната власт);
1.2. които се намират в договорни отношения с ДИФЕНС-С ООД, извън случаите по т. 1.1; 1.3. когато тази информация се съдържа в запитвания, искания, сигнали, жалби или друга кореспонденция, отправена към ДИФЕНС-С ООД.
2. Обработване за конкретни, изрични и законни цели
2.1. В изпълнение на Регламента и ЗЗЛД, ДИФЕНС-С ООД гарантира, че личните данни се обработват законосъобразно, справедливо и прозрачно, без това да накърнява правата и свободите на субекта на данни. Обработването на лични данни е законосъобразно, ако се прилага поне за една от следните цели:
• субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;
• обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
• обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;
• обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
2.2. Обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
2.3. В ДИФЕНС-С ООД се обработват лични данни само за конкретни и законни цели, произтичащи от Кодскса на труда, Закона за счетоводството, Закона за корпоративното подоходно облагане, Закона за противодействие на корупцията и за отнемане на незаконно придобито имущество, Търговския закон, Закона за гражданското въздухоплаване, Закона за вътрешния одит, Закона за обществените поръчки, Наредбата за удостоверенията за електронен подпис в администрациите и пр.
2.4. Субектите на данни ще бъдат информирани за целите, за които се обработват личните им данни в момента, в който те се събират директно от тях или колкото е възможно по-скоро (не повече от един календарен месец) след събираното, в случай че данните са получени от трета страна.
3. Специални категории лични данни („чувствителни данни“) В Регистъра на ДИФЕНС-С ООД се обработват специални категории лични данни, свързани със здравословното състоянис на служителите с оглед прилагане на изискванията на Кодeкса на труда, Закона за гражданското въздухоплаване, Закона за здравословни и безопасни условия на труд (ЗЗБУТ) и други нормативни актове.
V. ПРАВА НА СУБЕКТА НА ДАННИ
ДИФЕНС-С ООД отчита, спазва и създава условия за упражняването на следните права на субекта на данни: Субектите на данни имат дефинирани права по отношение на обработването на данни, както и на данните, които се записват за тях съгласно Регламента. Те се състоят от:
1. Право на информация. Субектът на лични данни има право да получи информация какви лични данни, свързани с него се обработват, с каква цел и за какъв период от време, както и информация кои са получателите на тези данни и дали данните се предоставят на трети страни.
2. Право на достъп. Всеки служител, както и външен за ДИФЕНС-С ООД субект на лични данни, има право да получи информация дали се обработват личните му данни; на достъп до тях и информация относно обработването им, и правата му във връзка с това. Субектът на данните може по всяко време да упражни правата си като подаде заявка за достъп до лични данни („ЗДЛД“). Администраторът се стреми да отговори на ЗДЛД в рамките на един месец от получаването й. Този срок може да бъде удължен с до два месеца в случай на сложни и/или многобройни искания, а в такива случаи субектът на данните е информиран за необходимостта от удължаване на срока. Всички получени искания за достъп се изпращат и до Длъжностното лице по защита на личните данни в ДИФЕНС-С ООД. Администраторът не начислява такса за предоставени на субекта на данни копия от личните данни, които са в процес на обработване. За допълнителни копия, поискани от субекта на данните, администраторът може да наложи разумна такса въз основа на административните разходи. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма, освен ако субектът на данни не е поискал друго.
3.Право на коригиране / поправяне. Субектът на данни има право да поиска от администратора да коригира неточни лични данни, свързани с него или да бъдат допълнени, в случай че са непълни. Личните данни се коригират, респ. допълват и субектът на данните се уведомява за това в рамките на един месец от получаването на искането му. Този срок може да бъде удължен с до два месеца в случай на сложни искания, а в такива случаи субектът на данните трябва да бъде информиран за необходимостта от удължаване. В случай, че всички засегнати (коригирани) лични данни са били разкрити на трети лица, то те се информират за всяка поправка на тези лични данни.
4.Право за изтриване. Субектът на данни има право да поиска от администратора изтриване на личните данни, свързани с него. Освен ако администраторът има основателни причини/или законово задължение да откаже да изтрие лични данни, всички молби за изтриване трябва да бъдат удовлетворени и субектът на данните се уведомява за изтриването в рамките на един месец от получаването на искането. Този срок може да бъде удължен с до два месеца в случай на сложни искания, а в такива случаи субектът на данните се информира за необходимостта от удължаване. Когато администраторът е направил личните данни обществено достояние и е задължен да изтрие личните данни, той предприема разумни стъпки, включително технически мерки, за да уведоми администраторите, обработващи личните данни, че субектът на данните е поискал изтриване от тези администратори на всички връзки, копия или реплики на тези лични данни.
5. Право на ограничаване на обработването на данни. Субектът на данни има право да поиска администратора да ограничи обработването на личните данни, които притежава за него при условията на чл. 18 от Регламента. В случай, че всички засегнати лични данни са разкрити на трети лица, тези страни трябва да бъдат информирани за приложимите ограничения при обработването им (освен ако това не е невъзможно или би изисквало несъразмерно усилие за това).
6. Право на преносимост на данни. Всеки субект на данни има право да получи личните данни, които той е предоставил на администратора в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от страна на ДИФЕНС-С ООД, когато обработването е основано на съгласие или договорно задължение и се извършва по автоматизиран начин. Всички заявки за копия на лични данни трябва да бъдат удволетворени в рамките на един месец от искането на субекта на данните. Този срок може да бъде удължен с до два месеца, в случай на сложни и/или многобройни искания, а в такива случаи субектът на данни трябва да бъде информиран за необходимостта от удължаване.
7. Право на възражение. Субектът на данни има право по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, освен, когато обработването на личните му данни съгласно чл. 21 от Регламента е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора, или когато обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, включително профилиране, основаващо се на посочените основания. В случай на постъпване на такова възражение, ДИФЕНС-С ООД разглежда искането и ако то е основателно, го удовлетворява. Ако администраторът счете, че съществуват законови основания за обработването или, че то е необходимо за установяването, упражняването или защитата на правни претенции, информира субекта на данни.
8. Право на субекта на данни да не бъде обект на решение, основаващо се единствено на автоматизирано обработване. При обработване на лични данни в ДИФЕНС-С ООД не се използват технологии, попадащи в тази категория.
9. Право на оттегляне на съгласие. Субектът на лични данни има право по всяко време да оттегли съгласието си за обработването на лични данни, когато обработването се основава на дадено от него съгласие. Такова оттегляне не засяга законосъобразността на обработването въз основа на даденото съгласие до момента на оттеглянето му.
10. Право на жалба до надзорен орган. Всеки субект на лични данни има право да подаде жалба до Комисията за защита на личните данни, ако счита, че обработването на лични данни, отнасящи се до него, нарушава приложимото законодателство по защита на личните данни. Надзорният орган за Република България е Комисията за защита на личните данни, с адрес: гр. София, 1592, бул. „Проф. Цветан Лазаров” № 2.
VI. СЪГЛАСИЕ
1. Под „съгласие“ следва да се разбира всяко свободно изразено, конкретно, информирано и недвусмислено указание на субекта на данните, което изразява съгласието му свързаните с него лични данни да бъдат обработвани. Субектът на данните може да оттегли своето съгласие по всяко време.
2. ДИФЕНС-С ООД разбира под "съгласие" само случаите, в които субектът на данните е бил напълно информиран за планираното обработване и е изразил своето съгласие и без върху него да е упражняван натиск. Съгласието, получено при натиск или въз основа на подвеждаща информация, няма да бъде валидно основание за обработване на лични данни.
3. За специални категории данни трябва да се получи изрично писмено съгласие на субектите на данни, освен ако не съществува алтернативно законово основание за обработване.
4. Когато ДИФЕНС-С ООД обработва лични данни на деца, трябва да бъде получено разрешение от упражняващите родителските права (родители, настойници и т. н.). Това изискване се прилага за деца на възраст под 16 години (освен ако държавата-членка не е предвидила по-ниска възрастова граница, която не може да бъде по-ниска от 13 години).
VII. СРОК НА СЪХРАНЕНИЕ НА ДАННИ
При съхранението на данни, ДИФЕНС-С ООД прилага генералния принцип за съхранение на данни в минимален обем и за срок не по-дълъг от необходимото за съответните категории данни; подсигуряване на тяхната сигурност и надеждност и изискванията на съответния закон. Данните се заличават след изтичане на съответния срок. Междувременно същите могат да бъдат предоставени само и единствено по надлежния ред на компетентните държавни органи при упражняване на техните контролни правомощия или на компетентен съд в случай на възникнало съдебно производство, по което те имат отношение. В случай на възникнал правен спор или производство, налагащо запазване на данни и/или искане от компетентен държавен орган, е възможно запазване на данни за по-дълъг от посочените срокове до окончателно приключване на възникналия спор или производство пред всички инстанции.
VIII. ПРЕДОСТАВЯНЕ НА ИНФОРМАЦИЯ НА ТРЕТИ ЛИЦА
ДИФЕНС-С ООД не предоставя лични данни на трети лица по никакъв друг начин, освен в описаните в тази Политика и в предвидените в закон случаи.
1.Данни от Регистъра на ДИФЕНС-С ООД могат да бъдат предоставяни на държавни институции с оглед изпълнение на нормативно задължение (НОИ, НАП, МВР, Комисията за противодействие на корупцията и т.н.).
2. В качеството си на орган по назначаването ДИФЕНС-С ООД предоставя лични данни и на определени кредитни институции (банки) във връзка с изплащането на дължимите възнаграждения на служителите и/или изпълнители по граждански договори. Личните данни, които се предоставят, са три имена, единен граждански номер и номер на банкова сметка и се предоставят с цел идентификация на лицето, в чиято полза се извършва плащането. Това се налага, с оглед изискванията на кредитните институции във връзка с извършваните от тях банкови преводи.
3. Във връзка с използването на куриерски услуги - приемане, пренасяне и доставка и адресиране на пратките до физически лица, ДИФЕНС-С ООД посочва следните данни: две имена, телефон, адрес, област, пощенски код и наименование на населеното място.
4. Във връзка с ползването на удостоверителни услуги на „B-trus“ АД като доставчик на квалифициран електронен подпис за служителите, които извършват електронни изявления във връзка с Интернет банкиранеи др., сьгласно Закона за електронния документ и електронните удостоверителни услуги и Наредбата за удостоверенията за електронен подпис в администрациите, се посочват следните данни: име, ЕГН, служебен e-mail адрес, служебен телефон.
IX. ОЦЕНКА НА РИСКА ПО ПОВОД ОБРАБОТКАТА НА ЛИЧНИ ДАННИ
Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, ДИФЕНС-С ООД извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни, според изискванията на Регламента и ЗЗЛД. При извършването на оценка на въздействието върху защитата на данните администраторът изисква становището на Длъжностното лице по защита на данните.
X. МЕРКИ ЗА ЗАЩИТА НА ДАННИТЕ
Администраторът гарантира, че всички служители, оправомощени да обработват лични данни отговарят и спазват следните мерки за защита:
1.Технически мерки за защита на данните на хартиен носител
2. Технически мерки за защита на данните на електронен носител
3. Организационни мерки за защита на данните Администраторът гарантира, че всички служители, оправомощени да обработват лични данни, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност и са запознати, както със своите индивидуални отговорности по обработката, така и с отговорностите на ДИФЕНС-С ООД, като администратор на лични данни, съгласно тази Политика.
XI. ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
1. Въпроси, свързани с упражняване на правата по защита на лични данни, могат да бъдат отправени към Длъжностното лице по защита на личните данни на ДИФЕНС-С ООД.
2. Длъжностното лице по защита на личните данни сътрудничи с Комисията за защита на личните данни и действа като точка за контакт с нея по всички въпроси, свързани с обработването на лични данни.
XII. НАРУШЕНИЕ НА СИГУРНОСТТА НА ДАННИТЕ. СРЕДСТВА ЗА ПРАВНА ЗАЩИТА
1. За всяко установено нарушение на сигурността на личните данни - умишлено изтичане на лични данни; неправомерно предоставяне на трета страни или изтриване, случайно унищожаване или загуба; увреждане на целостта на данните и всяко друго действие, което е вероятно да доведе до риск за правата и свободите на субектите на данни (например финансови загуби, нарушаване на поверителността, дискриминация, вреди, причинени на репутацията или други значителни социални или икономически щети), Длъжностното лице по защита на личните данни информира незабавно Комисията за защита на лични данни за нарушението, но не по-късно от 72 часа, след като е узнало за него, освен ако длъжностното лице не е в състояние да докаже в съответствие с принципа на отчетност, че няма вероятност нарушението на сигурността на личните данни да доведе до риск за правата и свободите на физическите лица.
2. При нарушаване на правата му, субектът на лични данни разполага със средствата за правна защита и може да търси отговорност за причинените му вреди по реда на ЗЗЛД.
XIII. АКТУАЛИЗИРАНЕ
1. Настоящата Политика влиза в сила от деня на утвърждаването й. Нито една част от тази Политика няма обратно действие.
2. Управителите на ДИФЕНС-С ООД може да изменя тази Политика. Всяко изменение или допълнение на Политиката се публикува на информационно табло в офиса на фирмата. Измененията влизат в сила от деня на публикуването им, освен, ако в тях не е предвиден друг срок на влизане в сила.