Защита на личните данни
- Категория: Uncategorised
- Публикувана на 26 Ноември 2018
- Написана от Sunny Beach AD
- Посещения: 88582
ПОЛИТИКА НА “СЛЪНЧЕВ БРЯГ” АД
ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Какво представлява настоящият документ
За нас, от “Слънчев бряг” АД,опазването на поверителността на Вашите лични данни е основен приоритет.
Настоящият документ (накр. „Политика“) има за задача да Ви информира по какъв начин, ние от “Слънчев бряг” АД, в качеството си на администратор на лични данни, обработваме Вашите данни в процеса на нашите взаимоотношения и как можете да упражните правата си, съгласно Регламент (ЕС) 2016/679 (Общия регламент относно защитата на данните, наричан по-долу „Регламента“).
Кои сме ние
“Слънчев бряг” АД, ЕИК 812020577, със седалище и адрес на управление: гр.Несебър, Област Бургас, K. К. „Слънчев бряг“ (накр. “Слънчев бряг” АД).
“Слънчев бряг” АД е администратор на лични данни.
Данни за контакт
Ако имате въпроси или неясноти относно обработването на личните Ви данни или желаете да упражните, което и да е от вашите права, можете да се свържете с нас на следните координати:
- Адрес: гр.Несебър, Област Бургас, K. К. „Слънчев бряг“ - главна дирекция
- E-mail: Този имейл адрес е защитен от спам ботове. Трябва да имате пусната JavaScript поддръжка, за да го видите.
- Тел.: +359 554 2-25-10
- Факс: +359 554 2-25-24
- Интернет страница: http://www.sunnybeachbg.net/
Какви Ваши данни обработваме?
“Слънчев бряг” АД обработва следните данни:
- три имена;
- данни за контакт: адрес на електронна поща, физически адрес (адрес за доставка) и телефон;
- единен граждански номер (ЕГН), личен номер на чужденец (ЛНЧ) или друг идентификатор;
- всякакви други лични данни,които вие самите предоставите, което включва, но не изчерпателно: информация за издаване на фактури, в това число и е-фактури; информация за издаване на пропуск за к.к. „Слънчев бряг“; информация за целите на събиране на редовни и просрочени задължения; свидетелсвто за управление на МПС; информация за предоставяне на услуги през мобилното приложение Sunny beach CityPass и др.
За какви цели обработваме Вашите данни?
Предоставените от Вас лични данни се обработват за следните цели:
- Сключване на договор заизползване на инфраструктурата на к.к. Слънчев бряг, както и последващото му администриране.
- Грижа за реда и сигурността в к.к. Слънчев бряг, в това число използване на видеонаблюдение и физическа охрана.
- Комуникация с клиенти.
- Трудови правоотношения.
- Кандидатстване за работа:обработването на документи за кандидатстване за работа/стаж в “Слънчев бряг” АД.
На кого предоставяме Вашите данни?
“Слънчев бряг” АД не продава и не предоставя, освен в изрично изброените, по-долу случаи, личните Ви данни на трети лица. При спазване на принципа „необходимост да се знае“, само ограничен брой представители на “Слънчев бряг” АД имат достъп до Вашите лични данни, като всички те имат задължение да пазят поверителност по отношение на личните данни.
“Слънчев бряг” АД може да предоставя Вашите данни на:
- държавни органи и органи на МВР – в рамките на техните правомощия и в изпълнение на изисквания, съдържащи се в нормативната уредба;
- трети лица – по изключение и единствено въз основа на договорни отношения с “Слънчев бряг” АД;
При предоставяне на лични данни на трето лице – обработващ, “Слънчев бряг” АД:
- Изисква гаранции за спазване на законовите изисквания и добрите практики за обработване на лични данни;
- Сключва писмено споразумение или друг правен акт с идентично действие, който урежда задълженията на обработващия.
Стратегия на “Слънчев бряг” АД за защита на личните данни
- “Слънчев бряг” АД обработва личните Ви данни законосъобразно. Лични данни се обработват само на основанията, предвидени в член 6 и член 9 от Регламента, и изключения в това отношение не се допускат.
- “Слънчев бряг” АД се стреми да обработва личните Ви данни по прозрачен начин. Ограничения на прозрачността са възможни, доколкото целта и смисълът на Регламента ги допускат.
Определения
По смисъла на тази Политика:
- „лични данни“ е всяка информация, въз основа на която може да бъде идентифицирано дадено физическо лице, като например име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
- „специални категории лични данни“ са лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни, биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.
- „субект на данни“ е физическото лице, което може да бъде идентифицирано в резултат от обработването на съответните данни;
- „обработване“ е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
- „администратор“ е лице, което само или съвместно с други лица определя целите и средствата за обработването на лични данни; “Слънчев бряг” АД има качеството на администратор по отношение на личните данни на лицата, с които взаимодейства за постигане на своята мисия – участници в събития; партньори; спонсори; доброволци и др. Всички лични данни, които “Слънчев бряг” АД обработва, са получени доброволно и в рамките на на съответните отношения;
- „обработващ лични данни“ е лице, което обработва лични данни от името на администратора; партньорите и доброволците имат качеството на обработващи по отношение на личните данни, които “Слънчев бряг” АД им е предоставила; при отклонение от указанията за работа с тези данни обаче, обработващите могат да загубят качеството на „обработващи“, и да придобият качеството на „администратори“ със свързаните с това увеличени задължения и отговорности;
Принципи
При обработването на лични данни, “Слънчев бряг” АД се ръководи от следните принципи:
- Личните данни се обработват законосъобразно и добросъвестно;
- Личните данни се събират и се използват за конкретни, точно определени и законни цели;
- Личните данни трябва да бъдат относими и да не са прекомерни;
- Личните данни трябва да са верни и при необходимост да бъдат актуализирани;
- Личните данни трябва да се съхраняват не по-дълго, отколкото е необходимо;
- Правата на субектите на данни трябва да бъдат спазвани;
- Личните данни трябва да се съхраняват безопасно защитени от неоторизиран достъп, случайна загуба или повреда;
- За всяка операция, свързана с лични данни, трябва да остава следа, позволяваща да се установи кой, кога и как е обработвал данните;
- Личните данни не се прехвърлят към държава или територия извън Европейското икономическо пространство, освен ако тази страна или територия осигурява адекватно ниво на защита на правата и свободите на субектите на данни във връзка с обработването на лични данни.
Основания за обработване
“Слънчев бряг” АД обработва лични данни само ако и доколкото е приложимо поне едно от следните условия:
- субектът на данните е дал съгласие за обработване на личните му данни от “Слънчев бряг” АД за една или повече конкретни цели; съгласието трябва да бъде свободно изразено, конкретно, информирано и недвусмислено; то може да бъде изразено посредством изявление или ясно потвърждаващо действие;
- обработването е необходимо за изпълнението на договор, сключен между “Слънчев бряг” АД и субекта на данните, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
- обработването е необходимо за спазването на законово задължение, което се прилага спрямо “Слънчев бряг” АД;
- обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
- обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на “Слънчев бряг” АД;
- вече не са необходими за целите, за които са били събрани или обработвани;
- ако възразите срещу обработването;
- ако данните са обработвани незаконосъобразно; или
- трябва да бъдат изтрити с цел спазване на правно задължение по правото на ЕС, правото на България или на друга държава.
- Когато оспорвате точността на личните данни (ограничението е за определен срок, който позволява да се провери точността на данните);
- Когато обработването е неправомерно, но не желаете да бъдат изтрити, а само ограничени;
- Когато “Слънчев бряг” АД не се нуждае повече от личните ви данни за целите на обработването, но Вие ги изисквате за установяване, упражняване или защита на правни претенции;
- Когато възразите срещу обработването и очаквате “Слънчев бряг” АД да провери дали законните основания за обработването имат преимущество пред вашите интересите.
- 2 (два) месеца: съхранение на записи от видеонаблюдение;
- 1 (една) година:
Специални категории лични данни се обработват от “Слънчев бряг” АД само ако и доколкото е приложимо поне едно от следните условия:
a) субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели;
б) обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на “Слънчев бряг” АД или на субекта на данните по силата на трудовото право или правото в областта на социалната сигурност и социалната закрила;
в) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;
г) обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните;
д) обработването е необходимо с цел установяване, упражняване или защита на правни претенции;
е) обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение;
ж) обработването е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия.
Как се съхраняват и обработват личните данни
Личните данни се съхраняват на хартия и в електронен вид. Достъп до личните данни имат само тези представители на “Слънчев бряг” АД, които имат нужда от такъв достъп за постигане на гореописаните цели или за които законът изисква това.
Обработването на лични данни може да включва събиране, записване, организиране, структуриране, съхранение, извличане, консултиране, използване, разкриване чрез предаване, публикуване на уебсайт или друг начин, по който личните данни стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване. “Слънчев бряг” АД използва част от тези форми на обработване на личните данни.
Права на субектите на данни
Право да бъдете информирани кой, как и защо обработва данните Ви |
“Слънчев бряг” АД публикува съответната информация на интернет страницата си: http://www.sunnybeachbg.net/ |
Право на достъп: |
Имате право да получите потвърждение от “Слънчев бряг” АД дали обработва личните ви данни и ако това е така, имате право на достъп до тях, право да получите безплатно копие от данните (с изключение на случаи на прекомерни и повтарящи се запитвания), както и правото да ви бъде предоставено описание на основните характеристики, свързани с обработването на личните ви данни. |
Право на коригиране: |
Имате право да коригирате или да поискате от “Слънчев бряг” АД да коригира, без ненужно забавяне, неточни, непълни или остарели лични данни. |
Право на изтриване |
В определени случаи може да поискате от “Слънчев бряг” АД да изтрие вашите лични данни без ненужно забавяне. Например когато: Законът предвижда случаи, в които “Слънчев бряг” АД може да откаже да изтрие личните ви данни. |
Право на ограничаване на обработването: |
Може да поискате “Слънчев бряг” АД да ограничи обработването в следните случаи: |
Право на възражение: |
Имате право по всяко време, на основания, свързани с вашата конкретна ситуация, да възразите срещу обработване на вашите лични данни. Това право може да се упражни само за ваши лични данни, обработвани на основание законните интереси на “Слънчев бряг” АД. Ако възражението е основателно, “Слънчев бряг” АД ще прекрати обработването, освен ако се докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред Вашите интереси. |
Право на преносимост на данните: |
Имате право да получите личните си данни в структуриран, широко използван и пригоден за машинно четене формат, за да бъдат прехвърлени на друг администратор. |
Право на жалба: |
Имате право да подадете жалба до Комисията за защита на личните данни (КЗЛД), компетентният държавен орган в тази сфера. |
Право да не бъдете обект на профилиране |
Имате право да не бъдете обект на решение, което се базира единствено на обработване с автоматични средства. |
Право на оттегляне на съгласие |
Имате право да оттеглите своето съгласие по всяко време, чрез изпращане на писмено съобщение до “Слънчев бряг” АД. |
Право на обезщетение за вреди |
В случай на нарушение на нормативните актове за защита на данните, имате право на обезщетение за причинените вреди. |
Изпращане на искане или жалба
Можете да упражните правата си, като изпратите искане или жалба в писмена форма, с писмо или имейл до “Слънчев бряг” АД(e-mail: Този имейл адрес е защитен от спам ботове. Трябва да имате пусната JavaScript поддръжка, за да го видите. ), по всяко време на основания, свързани с вашия конкретен случай или положение, които следва да посочите в жалбата.
Искането или жалбата следва да позволяват идентифицирането на субекта на данните, като при подаването им задължително се посочва най-малко следната информация: 1) три имена на субекта на данните; 2) ЕГН; 3) физически и/или и-мейл адрес, на който субектът желае да получи отговор; 4) телефон за контакт; 5) описание на искането (в свободен текст). По желание на субекта, към искането или жалбата могат да бъдат приложени допълнителни документи.
“Слънчев бряг” АД има задължението да разгледа Вашето искане в 1-месечен срок, и ако към него може да бъде приложена която и да е от разпоредбите на Регламента, даващи права на субектите, това да бъде сторено.
В случай, че субектът на данни няма право да упражни исканото от него право, в срок от 1 месец от получаване на искането, представител на “Слънчев бряг” АД изпраща до субекта на данни аргументиран отказ.[ib1]
Срокове за съхранение на личните данни
“Слънчев бряг” АД прилага следните срокове за съхранение на личните данни:
- лични данни, които се съдържат в работни версии на документи;
- лични данни, които се съдържат в справки, обслужващи вътрешните процеси в “Слънчев бряг” АД;
- лични данни, които са предоставени от субектите на данни с цел кандидатстване по обяви за набиране на служители – в случай, че не се е стигнало до сключване на договор със съответното лице;
- всички останали документи, за които в тези Правила не е предвиден по-дълъг срок за съхранение.
- 3 (три) годинии половина:
- трудови досиета, след прекратяване на трудовия договор.
- 5 (пет) години:
- лични данни, съдържащи се в граждански договори, освен ако няма правно основание за допълнителна обработка, като например правен спор;
- 50 (петдесет) години: личните данни, за които съществува нормативно задължение да бъдат съхранявани за такъв срок, в това число:
- ведомости за заплати и възнаграждения и свързаната с тях информация – за срок от 50 (петдесет) години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят;
- До оттегляне на съгласието: всички лични данни, които са предоставени с цел комуникация и получване на съобщения от “Слънчев бряг” АД, се пазят до момента, в който субектът оттегли съгласието си за получаване на комуникация от “Слънчев бряг” АД.Субектът на данните може да оттегли съгласието си по всяко време.
Защита на Вашите данни
“Слънчев бряг” АД осигурява и поддържа подходящи технически и организационни мерки за защита на личните данни срещу неправомерен достъп или незаконосъобразно използване и/или срещу тяхното инцидентно загубване, изменение, разкриване, достъп и/или повреждане или копиране. Тези мерки имат за цел да осигурят продължителна защита и неприкосновеност на личните данни. “Слънчев бряг” АД прави преоценка на мерките регулярно, с цел постигане на постоянна сигурност на личните данни.
“Слънчев бряг” АД осигурява физическа и логическа защита на личните данни, както е посочено по-долу.
Физическа защита на личните данни
“Слънчев бряг” АД прилага следните мерки за осигуряване на физическа защита на личните данни:
- ограничава физическия достъп до помещенията, в които се съхраняват лични данни (достъпът се осъществява само от упълномощени представители на “Слънчев бряг” АД в рамките на техните задължения чрез използване на ключалки и други средства за физически достъп);
- прилага политика за „чисто бюро“, по силата на която всички документи, съдържащи лични данни, следва да са прибрани в заключени шкафове;
- съхранява хартиения си архив в специално оборудвани за целта помещения, осигуряващи защитата му в случай на пожар или наводнение;
- обменът на хартиени документи, съдържащи лични данни, с лица извън “Слънчев бряг” АД, се осъществява само в запечатани пликове и чрез използването на упълномощени представители и доверени подизпълнители и др.
- в определени случаи достъп до личните данни могат да имат: членовете на управителните органи; доставчици на външни услуги, като: IT системи (уебсайт домейн, хостинг, софтуерен програмисти); пощенски и счетоводни услуги и пр. Всички трети страни, които действат в качеството на обработващи личните данни, държат и използват лични данни от името на “Слънчев бряг” АД само с цел да ни доставят своите услуги;
- “Слънчев бряг” АД може да разкрива лични данни на професионални съветници и експерти с цел да получи тяхното съдействие за изпълнение на нашите дейности и предоставяне на нашите услуги.
- Когато “Слънчев бряг” АД ангажира трети страни да оперират с лични данни от свое име, това става с писмено договор. “Слънчев бряг” АД избира обработващи на лични данни, които са в състояние да предоставят достатъчно гаранции по отношение мерките за техническата и организационната сигурност. Избраните обработващи действат от името на “Слънчев бряг” АД и по негови инструкции, като “Слънчев бряг” АД посочва писмено необходимите изисквания за сигурност на информацията.
Персонална защита
Преди заемане на съответната длъжност във “Слънчев бряг” АД, лицата, които осъществяват защита и обработване на данни:
- Поемат задължение за неразпространение на личните данни, до които имат достъп;
- Се запознават с нормативната база, вътрешните правила и политики на “Слънчев бряг” АД за защита на личните данни;
- Са инструктирани за опасностите от нарушаване сигурността на личните данни, които се обработват от “Слънчев бряг” АД;
- Се задължават да не споделят критична информация (идентификатори, пароли за достъп и др.п.) помежду си и с всякакви други неоторизирани за целта лица.
- Преминават обучение за реакция при събития, застрашаващи сигурността на личните данни.
Логическа защита на личните данни
“Слънчев бряг” АД прилага следните мерки за осигуряване на логическа защита на личните данни:
- ограничава логическия достъп до информационните системи, чрез които се обработват и съхраняват лични данни (достъпът се осъществява само от упълномощени представители на “Слънчев бряг” АД, в рамките на техните задължения, чрез използване на индивидуални потребителски имена и пароли).
- Използване на антивирусни и криптиращи програми;
Настоящата политика е приета на с решение на СД №17.12.2018 от 09.10.2018г. Всяка промяна в политиката ще бъде отразена чрез публикуването ѝ в интернет сайта на на “Слънчев бряг” АД http://www.sunnybeachbg.net/.
ВЪТРЕШНИ ПРАВИЛА
на “Слънчев бряг” АД
за мерките за защита на личните данни съгласно Регламент 2016/679
Цел и обхват
Чл. 1. (1) Настоящите „Вътрешни правила на “Слънчев бряг” АД за мерките за защита на личните данни съгласно Регламент 2016/679“ (наричани по-надолу „Правилата“) имат за цел да уредят правилата за работа с лични данни, прилагани от “Слънчев бряг” АД, ЕИК: 812020577(накр. “Слънчев бряг” АД), при спазване на изискванията на Регламент (ЕС) 2016/679 (Общия регламент относно защитата на данните, наричан по-долу „Регламента“), Закона за защита на личните данни, и останалите приложими национални нормативни актове.
(2) Настоящите правила са вътрешен документ на “Слънчев бряг” АД. Правилата се прилагат заедно с всички останали вътрешни документи (политики, процедури, указания, заповеди, и т.н.), като в случай на противоречие между тези вътрешни документи и Правилата, Правилата имат предимство.
(3) Правилата се прилагат към всички процеси във “Слънчев бряг” АД, включващи обработката на лични данни, и са задължителни за всички органи на “Слънчев бряг” АД, представители, служители и свързани с “Слънчев бряг” АД лица.
Стратегия на “Слънчев бряг” АД за защита на личните данни
Чл. 2. “Слънчев бряг” АД обработва данните законосъобразно. Лични данни се обработват само на основанията, предвидени в член 6 и член 9 от Регламента и изключения в това отношение не се допускат.
Чл. 3. “Слънчев бряг” АД се стреми да обработва личните данни по прозрачен начин. Ограничения на прозрачността са възможни, доколкото целта и смисълът на Регламента ги допускат.
Определения
Чл. 4. По смисъла на този Кодекс:
- „лични данни“ е всяка информация, въз основа на която може да бъде идентифицирано дадено физическо лице, като например име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
- „специални категории лични данни“ са лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни, биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.
- „субект на данни“ е физическото лице, което може да бъде идентифицирано в резултат от обработването на съответните данни;
- „обработване“ е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
- „администратор“ е лице, което само или съвместно с други лица определя целите и средствата за обработването на лични данни; “Слънчев бряг” АД има качеството на администратор по отношение на личните данни на лицата, с които взаимодейства за постигане на своята мисия – участници в събития; партньори; спонсори; доброволци и др. Всички лични данни, които “Слънчев бряг” АД обработва, са получени доброволно и в рамките на на съответните отношения;
- „обработващ лични данни“ е лице, което обработва лични данни от името на администратора; партньорите и доброволците имат качеството на обработващи по отношение на личните данни, които “Слънчев бряг” АД им е предоставила; при отклонение от указанията за работа с тези данни обаче, обработващите могат да загубят качеството на „обработващи“, и да придобият качеството на „администратори“ със свързаните с това увеличени задължения и отговорности;
Принципи
Чл. 5. При обработването на лични данни, “Слънчев бряг” АД се ръководи от следните принципи:
- Личните данни се обработват законосъобразно и добросъвестно;
- Данните се събират и се използват за конкретни, точно определени и законни цели;
- Данните трябва да бъдат относими и да не са прекомерни;
- Данните трябва да са верни и при необходимост да бъдат актуализирани;
- Данните трябва да се съхраняват не по-дълго, отколкото е необходимо;
- Правата на субектите на данни трябва да бъдат спазвани;
- Данните трябва да се съхраняват безопасно защитени от неоторизиран достъп, случайна загуба или повреда;
- За всяка операция, свързана с лични данни, трябва да остава следа, позволяваща да се установи кой, кога и как е обработвал данните;
- Личните данни не се прехвърлят към държава или територия извън Европейското икономическо пространство, освен ако тази страна или територия осигурява адекватно ниво на защита на правата и свободите на субектите на данни, във връзка с обработването на лични данни.
Основания за обработване
Чл. 6. “Слънчев бряг” АД обработва лични данни само ако и доколкото е приложимо поне едно от следните условия:
a) субектът на данните е дал съгласие за обработване на личните му данни от “Слънчев бряг” АД за една или повече конкретни цели; Съгласието трябва да бъде свободно изразено, конкретно, информирано и недвусмислено; То може да бъде изразено посредством изявление или ясно потвърждаващо действие;
б) обработването е необходимо за изпълнението на договор, сключен между “Слънчев бряг” АД и субекта на данните или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо “Слънчев бряг” АД;
г) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
д) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на “Слънчев бряг” АД;
е) обработването е необходимо за целите на легитимните интереси на “Слънчев бряг” АД или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните.
Чл. 7. Специални категории лични данни се обработват от “Слънчев бряг” АД само ако и доколкото е приложимо поне едно от следните условия:
a) субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели;
б) обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на “Слънчев бряг” АД или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила;
в) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;
г) обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните;
д) обработването е необходимо с цел установяване, упражняване или защита на правни претенции;
е) обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение;
ж) обработването е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия.
Видове данни, които “Слънчев бряг” АД обработва
Чл. 8. С оглед осъществяване на своята дейност, “Слънчев бряг” АД обработва следните лични данни:
- три имена;
- данни за контакт: адрес на електронна поща, физически адрес (адрес за доставка) и телефон;
- единен граждански номер (ЕГН), личен номер на чужденец (ЛНЧ) или друг идентификатор;
- всякакви други лични данни,които вие самите предоставите, което включва но не изчерпателно: информация за издаване на фактури, в това число и е-фактури; информация за издаване на пропуск за к.к. „Слънчев бряг“; информация за целите на събиране на редовни и просрочени задължения; свидетелсвто за управление на МПС; информация за предоставяне на услуги през мобилното приложение Sunny beach CityPass и др.
Цели на обработването на лични данни
Чл. 9. В качеството си на администратор на лични данни, “Слънчев бряг” АД определя само целите и средствата за обработването им. Предоставените лични данни се обработват за следните цели:
- Сключване на договор заизползване на инфраструктурата на к.к. Слънчев бряг, както и последващото му администриране.
- Граждански договори.
- Грижа за реда и сигурността в к.к. Слънчев бряг, в това число използване на видеонаблюдение и физическа охрана.
- Комуникация с клиенти.
- Трудови правоотношения.
- Избиране на лица на ръководни позиции в органите на управление на “Слънчев бряг” АД.
- Кандидатстване за работа:обработването на документи за кандидатстване за работа/стаж в “Слънчев бряг” АД.
Права на субектите на данни
Чл. 10. (1) Субектите на данни имат следните права:
- Право да бъдат информирани кой, как и защо обработва данните им съгласно член 12, 13 и 14 от Регламента;
- Право на достъп до данните при условията на член 15 от Регламента;
- Право на коригиране на данните при условията на член 16 от Регламента;
- Право на изтриване на данните при условията на член 17 от Регламента;
- Право на ограничаване на обработването на данните при условията на член 18 от Регламента;
- Право на възражение при условията на член 21 от Регламента;
- Право на преносимост на данните при условията на член 20 от Регламента;
- Право на жалба;
- Право да не бъдете обект на профилиране/Право на възражение срещу автоматизирано взети индивидуални решения при условията на член 22 от Регламента;
- Право на оттегляне на съгласие;
- Право на обезщетение за вреди.
- 1.
- 2.
- 3.
- 4.
- вече не са необходими за целите, за които са били събрани или обработвани;
- ако възрази срещу обработването;
- ако данните са обработвани незаконосъобразно; или
- трябва да бъдат изтрити с цел спазване на правно задължение по правото на ЕС, правото на България или на друга държава.
- 5.
- Когато оспори точността на личните данни (ограничението е за определен срок, който позволява да се провери точността на данните);
- Когато обработването е неправомерно, но не желае данните му да бъдат изтрити, а само ограничени;
- Когато “Слънчев бряг” АД не се нуждае повече от данни за целите на обработването, но субектът ги изисква за установяване, упражняване или защита на правни претенции;
- Когато субектът възрази срещу обработването и очаква “Слънчев бряг” АД да провери дали законните основания за обработването имат преимущество пред неговите интересите.
- 6.
- 7.
- 8.
- 9.
- 10.
- 11.
- 2 (два) месеца: съхранение на записи от видеонаблюдение;
- 1 (една) година:
(2) Условията, при които могат да бъдат упражнени горепосочените права, са уредени в съответните членове на Регламента. В много от случаите, упражняването на съответното право е поставено в зависимост от обстоятелства като вида на данните, основанието за обработването им, целта на това обработване, обема и начина на съхраняване на данните, и др. Тези обстоятелства са от значение и за определяне на конкретните действия, които “Слънчев бряг” АД следва да извърши в резултат от упражняването на съответното право от страна на субекта на данните.
Чл. 11. Упражняване на правата от субектите на данни:
Право на информация: |
“Слънчев бряг” АД публикува съответната информация на интернет страницата си: http://www.sunnybeachbg.net/ |
|
Право на достъп: |
Субектът на данни има право да получи потвърждение от “Слънчев бряг” АД дали обработва личните му данни и ако това е така, субектът има право на достъп до тях, право да получи безплатно копие от данните (с изключение на случаи на прекомерни и повтарящи се запитвания), както и правото да му бъде предоставено описание на основните характеристики, свързани с обработването на личните данни. Решението си за предоставяне или отказване достъп до лични данни за съответното лице, “Слънчев бряг” АД съобщава в 1-месечен срок от подаване на заявлението, респ. искането. |
|
Право на коригиране: |
Субектът на данни има право да коригира или да поиска от “Слънчев бряг” АД да коригира, без ненужно забавяне, неточни, непълни или остарели лични данни. |
|
Право на изтриване |
В определени случаи субектът на данни може да поиска от “Слънчев бряг” АД да изтрие неговите лични данни без ненужно забавяне. Например когато: Законът предвижда случаи, в които “Слънчев бряг” АД може да откаже да изтрие личните даннина субекта. |
|
Право на ограничаване на обработването: |
Субектът на данни има право да поиска “Слънчев бряг” АД да ограничи обработването в следните случаи: |
|
Право на възражение: |
Субектът на данни има право по всяко време на основания, свързани с неговата конкретна ситуация, да възрази срещу обработване на неговите данни. Това право може да се упражни само за негови лични данни, обработвани на основание законните интереси на “Слънчев бряг” АД. Ако възражението е основателно, “Слънчев бряг” АД ще прекрати обработването, освен ако се докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред Вашите интереси. |
|
Право на преносимост на данните: |
Субектът на данни има право да получи личните си данни в структуриран, широко използван и пригоден за машинно четене формат, за да бъдат прехвърлени на друг администратор. |
|
Право на жалба: |
Субектът на данни има право да подаде жалба до Комисията за защита на личните данни, компетентният държавен орган в тази сфера. |
|
Право да не бъде обект на профилиране: |
Субектът на данни има право да не бъде обект на решение, което се базира единствено на обработване с автоматични средства. |
|
Право на оттегляне на съгласие: |
Субектът на данни има право да оттегли своето съгласие чрез изпращане на писмено съобщение до “Слънчев бряг” АД. |
|
Право на обезщетение за вреди: |
В случай на нарушение на нормативните актове за защита на данните, субектът на данни има право на обезщетение за причинените вреди. |
Условията, при които могат да бъдат упражнени горепосочените права, са уредени в съответните членове на Регламента. В много от случаите, упражняването на съответното право е поставено в зависимост от обстоятелства като вида на данните, основанието за обработването им, целта на това обработване, обема и начина на съхраняване на данните, и др. Тези обстоятелства са от значение и за определяне на конкретните действия, които “Слънчев бряг” АД следва да извърши в резултат от упражняването на съответното право от страна на субекта на данните.
С оглед на горното, процесът, обезпечаващ упражняването на повечето от горепосочените права, следва да включва преценка дали са налице уредените в Регламента предпоставки за упражняването на съответното право, и ако да – какви конкретни действия следва да се предприемат. Тази преценка следва да се извършва от лице, притежаващо необходимите познания в областта на защитата на личните данни.
“Слънчев бряг” АД дава пълна свобода на субектите на данни, при упражняването на правата, състояща се в липсата на изискване субектът да посочи, кое точно право упражнява. Искането се описва в свободен текст, изпратен по електронна поща на Този имейл адрес е защитен от спам ботове. Трябва да имате пусната JavaScript поддръжка, за да го видите. , а “Слънчев бряг” АД има задължението да го разгледа в 1-месечен срок, и ако към него може да бъде приложена която и да е от разпоредбите на Регламента, даващи права на субектите, това да бъде сторено.
В случай, че субектът на данни няма право да упражни исканото от него право, в срок от 1 месец от получаване на искането, представител на “Слънчев бряг” АД изпраща до субекта на данни аргументиран отказ.
Срокове за съхранение на личните данни
Чл. 12. (1) “Слънчев бряг” АД прилага следните срокове за съхранение на личните данни:
“Слънчев бряг” АД прилага следните срокове за съхранение на личните данни:
- лични данни, които се съдържат в работни версии на документи;
- лични данни, които се съдържат в справки, обслужващи вътрешните процеси в “Слънчев бряг” АД;
- лични данни, които са предоставени от субектите на данни с цел кандидатстване по обяви за набиране на служители – в случай, че не се е стигнало до сключване на договор със съответното лице;
- всички останали документи, за които в тези Правила не е предвиден по-дълъг срок за съхранение.
- 3 (три) годинии половина:
- трудови досиета, след прекратяване на трудовия договор.
- 5 (пет) години:
- лични данни, съдържащи се в граждански договори, освен ако няма правно основание за допълнителна обработка, като например правен спор;
- 50 (петдесет) години: личните данни, за които съществува нормативно задължение да бъдат съхранявани за такъв срок, в това число:
- ведомости за заплати и възнаграждения и свързаната с тях информация – за срок от 50 (петдесет) години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят;
- До оттегляне на съгласието: всички лични данни, които са предоставени с цел комуникация и получване на съобщения от “Слънчев бряг” АД, се пазят до момента, в който субектът оттегли съгласието си за получаване на комуникация от “Слънчев бряг” АД.Субектът на данните може да оттегли съгласието си по всяко време.
- Физическа защита на личните данни
Чл. 13. След постигане целта на обработване на личните данни, съдържащи се в поддържаните от “Слънчев бряг” АД регистри, личните данни следва да бъдат унищожени при спазване на процедурите, предвидени в приложимите нормативни актове и в настоящите Вътрешни правила.
(2) В случаите, в които се налага унищожаване на носител на лични данни, “Слънчев бряг” АД предприема необходимите действия за заличаването на личните данни по начин, изключващ възстановяване данните и злоупотреба с тях, като:
1. Личните данни, съхранявани на електронен носител и сървъри, се унищожават чрез трайно изтриване, вкл. презаписването на електронните средства или физическо унищожаване на носителите;
2. Документите на хартиен носител, съдържащи данни, се унищожават чрез нарязване.
(3) Унищожаване се осъществява от упълномощени от “Слънчев бряг” АД лица.
(4) За извършеното унищожаване на лични данни и носители на лични данни се съставя Протокол.
Защита на данните
Чл. 14. “Слънчев бряг” АД осигурява и поддържа подходящи технически и организационни мерки за защита на личните данни срещу неправомерен достъп или незаконосъобразно използване и/или срещу тяхното инцидентно загубване, изменение, разкриване, достъп и/или повреждане или копиране. Тези мерки имат за цел да осигурят продължителна защита и неприкосновеност на данните. “Слънчев бряг” АД прави преоценка на мерките регулярно, с цел постигане на постоянна сигурност на личните данни.
“Слънчев бряг” АД осигурява физическа и логическа защита на личните данни, както е посочено по-долу:
“Слънчев бряг” АД прилага следните мерки за осигуряване на физическа защита на личните данни:
- ограничава физическия достъп до помещенията, в които се съхраняват лични данни (достъпът се осъществява само от упълномощени представители на “Слънчев бряг” АД в рамките на техните задължения чрез използване на ключалки и други средства за физически достъп);
- прилага политика за „чисто бюро“, по силата на която всички документи, съдържащи лични данни, следва да са прибрани в заключени шкафове;
- съхранява хартиения си архив в специално оборудвани за целта помещения, осигуряващи защитата му в случай на пожар или наводнение;
- обменът на хартиени документи, съдържащи лични данни, с лица извън “Слънчев бряг” АД, се осъществява само в запечатани пликове и чрез използването на упълномощени представители и доверени подизпълнители и др.
- в определени случаи достъп до личните данни могат да имат: членовете на управителните органи; доставчици на външни услуги, като: IT системи (уебсайт домейн, хостинг, софтуерен програмисти); пощенски и счетоводни услуги и пр. Всички трети страни, които действат в качеството на обработващи личните данни, държат и използват лични данни от името на “Слънчев бряг” АД само с цел да ни доставят своите услуги;
- “Слънчев бряг” АД може да разкрива лични данни на професионални съветници и експерти с цел да получи тяхното съдействие за изпълнение на нашите дейности и предоставяне на нашите услуги.
- Когато “Слънчев бряг” АД ангажира трети страни да оперират с лични данни от свое име, това става с писмен договор. “Слънчев бряг” АД избира обработващи на лични данни, които са в състояние да предоставят достатъчно гаранции по отношение мерките за техническата и организационната сигурност. Избраните обработващи действат от името на “Слънчев бряг” АД и по негови инструкции, като “Слънчев бряг” АД посочва писмено необходимите изисквания за сигурност на информацията.
- (ii)Персонална защита
Преди заемане на съответната длъжност във “Слънчев бряг” АД, лицата, които осъществяват защита и обработване на данни:
- Поемат задължение за неразпространение на личните данни, до които имат достъп;
- Се запознават с нормативната база, вътрешните правила и политики на “Слънчев бряг” АД за защита на личните данни;
- Са инструктирани за опасностите от нарушаване сигурността на личните данни, които се обработват от “Слънчев бряг” АД;
- Се задължават да не споделят критична информация (идентификатори, пароли за достъп и др.п.) помежду си и с всякакви други неоторизирани за целта лица.
- Преминават обучение за реакция при събития, застрашаващи сигурността на личните данни.
- Логическа защита на личните данни
“Слънчев бряг” АД прилага следните мерки за осигуряване на логическа защита на личните данни:
- ограничава логическия достъп до информационните системи, чрез които се обработват и съхраняват лични данни (достъпът се осъществява само от упълномощени представители на “Слънчев бряг” АД, в рамките на техните задължения, чрез използване на индивидуални потребителски имена и пароли).
- Използване на антивирусни и криптиращи програми;
Действия при нарушение на правилата за работа с лични данни
Чл. 15. (1) При регистриране на неправомерен достъп до информационните масиви за лични данни, или при друг инцидент, нарушаващ сигурността на личните данни, представителят на “Слънчев бряг” АД, констатирал това нарушение/инцидент, незабавно докладва на Изпълнителния директори на IT-специалиста на дружеството. Уведомяването за инцидент се извършва писмено, по електронен път или по друг начин, който позволява да се установи извършването му. Изпълнителният директор определя лице/екип от лица, които да предприемат следните действия:
- Установява/потвърждава, че е извършено нарушение, което засяга лични данни;
- Определя вида на нарушението;
- Извършва пълно и безпристрастно разследване на обстоятелствата, довели до нарушението;
- Документира всички извършени действия при разследването чрез съставяне на протоколи;
- Установява какви мерки трябва да бъдат предприети за ограничаване или преодоляване на негативните последици, които могат да настъпят в резултат на нарушението;
- Следи за ефективното прилагане на определените мерки;
- Докладва своевременно на ръководството на Дружеството;
- Координира взаимодействието със съответните органи (напр. разследващ или надзорен органи по защита на личните данни), ако е необходимо;
- Уверява се, че засегнатите субекти на данни са уведомени правилно, ако е необходимо;
- Определеното лице/ член на екипа регистрира нарушението на сигурността на данните в регистъра за нарушенията на сигурността на личните данни.
- Изготвя доклад относно необходимостта от уведомяване на Комисията за защита на личните данни (КЗЛД) в срок от 72 часа от узнаването за инцидента.
- Описание на нарушението на сигурността;
- Категориите и приблизителният брой на засегнатите субекти и категориите и приблизителното количество на засегнатите записи на лични данни;
- Описание на евентуалните последици от нарушението на сигурността;
- Описание на предприетите или предложените мерки за справяне с нарушението на сигурността, включително мерки за намаляване на евентуалните неблагоприятни последици.
- Дата на установяване на нарушението;
- Описание на нарушението – източник, вид и мащаб на засегнатите данни, причина за нарушението (ако е приложимо);
- Описание на извършените уведомявания – уведомяване на КЗЛД и засегнатите лица, ако е било извършено;
- Предприети мерки за предотвратяване и ограничаване на негативните последици за субектите на данни;
- Предприети мерки за ограничаване на възможността от последващи нарушения по сигурността.
(2) Уведомяването на КЗЛД се извършва лично от Изпълнителния директор или от упълномощено от него лице на база изготвения доклад по ал. 1, т. 11. Уведомлението до КЗЛД съдържа следната информация:
(3) Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на субекти на данните, без ненужно забавяне, фактът на нарушението се съобщава на засегнатите субекти на данните. Уведомяването на засегнатите субекти на данни се извършвапо преценка на Изпълнителния директор – лично от него или от упълномощено от него лице.
Чл. 16. (1) “Слънчев бряг” АД води регистър на нарушенията на сигурността, който съдържа следната информация:
(2) Регистърът се води в електронен формат.
Предоставяне на лични данни на трети лица
Чл. 17. (1) “Слънчев бряг” АД може при необходимост да предоставя лични данни на трето лице, действащо като обработващ, въз основа на договор или за спазване на законова разпоредба.
(2) В случаите по ал. 1, “Слънчев бряг” АД:
- Изисква гаранции за спазване на законовите изисквания и добрите практики за обработване на лични данни;
- Сключва писмено споразумение или друг правен акт с идентично действие, който урежда задълженията на обработващия.
Заключителни разпоредби
Чл. 18. Настоящите Правила имат предимство пред останалите вътрешните документи на “Слънчев бряг” АД (политики, процедури, указания, заповеди, и т.н.). Учредителите, служителите и партньорите на “Слънчев бряг” АД привеждат вътрешните документи, за които отговарят, в съответствие с Правилата.
Чл. 19. “Слънчев бряг” АД извършва на всеки 12 (дванадесет) месеца периодична оценка и при необходимост актуализиране на настоящите Правила, както и на вътрешните документи и процедури за защита на личните данни.
Вътрешните правила на “Слънчев бряг” АД за мерките за защита на личните данни съгласно регламент 2016/679, са приети с Решение на Съвета на директорите №17.12.2018 от 09.10.2018г.