Политика за защита на личните данни

ОСНОВНИ ПОНЯТИЯ
Чл. 1. Всички понятия в настоящата политика, свързани със защитата на данните, и производните им, се ползват със значението, с което са използвани в приложимото право относно защитата на данните, освен ако по-долу не е предвидено друго.
Чл. 2. „Администраторът“ или „Дружеството“ по смисъла на настоящата политика означава „Екозид Инвест“ ЕООД, регистрирано в Търговския регистър, воден от Агенцията по вписванията с ЕИК: 201422501, със седалище и адрес на управление в село Черганово, община Казанлък, фабрика „Екозид“, представлявано заедно и поотделно от управителите Станимир Петров Върбанов и Дарина Станимирова Върбанова.
Чл. 3. “Обработващ данни” означава (1) всяко лице, различно от Дружеството и неговите служители, което обработва личните данни, целите и средствата за което се определят от „Екозид Инвест“ ЕООД. Във всички случаи, когато обработва данни съвместно с или в качеството на обработващи данни „Екозид Инвест“ ЕООД сключва договор за защита на личните данни или друг равнозначен правен акт по чл. 28, пар. 3 от GDPR.
Чл. 4. “Лични данни” означава всяка информация, свързана със субектите на данни и обработвана от „Екозид Инвест“ ЕООД, включително име; ЕГН или друг личен номер; номер, дата на издаване и дата на валидност на паспорт, лична карта или друг документ за самоличност; постоянен или настоящ адрес; IP адрес; ел. поща и други признаци.
Чл. 5. “Обработване” означава всяка операция или съвкупност от операции, извършвани с личните данни чрез автоматични или други средства, включително събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
Чл. 6. “Субекти на данни” означава физическите лица, които могат да бъдат идентифицирани пряко или непряко чрез данните, които се обработват за тях. Основните категории субекти на данните са служителите на Дружеството; възложителите по договори за проектиране и строеж, посетителите на уебсайта и получателите на електронния бюлетин.
Чл. 7. „Специални категории лични данни” означава лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации, генетични и биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на субектите на данни.
Чл. 8. „Съгласие“ означава свободно изразено, конкретно, информирано и недвусмислено указание за волята на субектите на данните, чрез потвърждаващо действие/кликване на уебсайта на „Екозид Инвест“ ЕООД или подпис на документ в писмена форма.
Чл. 9. „Дете“ означава всяко лице ненавършило 14-годишна възраст освен ако и доколкото не бъде определено друго в приложимото право относно защитата на данните.

Чл. 10. "Нарушение на сигурността на личните данни” означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин. „Екозид Инвест“ ЕООД задължително уведомяват надзорния орган и субектите на данни (когато действат като администратор на данни) или администратора на данни (когато действат като обработващ данни) за нарушенията на сигурността на данните.
Чл. 11. “Заявление за упражняване на права на субектите на данни” означава всяко волеизявление за упражняване на права по членове чрез попълване на предоставения формуляр или чрез действия в електронен интерфейс на системите на „Екозид Инвест“ ЕООД, в случай, че бъде предвидена такава възможност и доколкото по сигурен начин е установена самоличността на заявителя.
Чл. 12. “Трета страна” означава физическо или юридическо лице, публичен орган или друга организация, установена извън територията на Европейския съюз, Европейското икономическо пространство и Конфедерация Швейцария, на което „Екозид Инвест“ ЕООД и/или обработващите предават личните данни.
Чл. 13. “Надзорен орган” означава Комисията за защита на личните данни на Република България (КЗЛД) или друга институция, действаща като водещ надзорен орган по смисъла на приложимото право относно защитата на данните.
Чл. 14. „Профилиране“ означава всяка форма на автоматизирано обработване на данни, предназначена за оценяване на лични аспекти, свързани с техните субекти, или за анализиране/прогнозиране на изпълнението на професионални задължения, икономическо състояние, местоположение, здраве, лични предпочитания, надеждност или поведение.
Чл. 15. „Отговорно лице за защита на данните“ означава физическо или юридическо лице, на което са възложени задачите, предвидени в приложимото право.

ОБЩИ РАЗПОРЕДБИ
Чл. 16. По силата на настоящата политика Дружеството се задължава да въведе подходящи технически и организационни мерки за спазване на приложимото право относно защитата на данните, включително по отношение на:
 прилагането на принципите за защита на данните;
 правилата за събиране, съхраняване и заличаване на данните и прилагане на мерки за тяхната сигурност;
 прилагането на системите за контрол на достъпа, работното време и трудовата дисциплина;
 процедурата за преносимост/предаване на данни на трети страни;
 задачите на длъжностно лице за защита на данните и процедурата за извършване на оценка на въздействието на риска;
 системата за докладване на нарушенията на сигурността на данните и отговорността за нарушенията;
 процедурата за разглеждане на заявленията на субектите на данни;
 провеждането на обучения по защита на данните за персонала;
 както и реда за утвърждаване на политиката.
Чл. 17. Политиката се прилага по отношение на всички дейности, свързани с обработване на лични данни, и описани в регистрите на дейностите по обработване, разработени в съответствие с чл.30, пар.1 и чл.30, пар.2 от GDPR („регистрите на дейностите по обработване на лични данни“).
Чл. 18. Регистрите на дейностите по обработване на личните данни се преглеждат поне веднъж на всеки две години предвид настъпването на промени в осъществяваните процеси, и всякакви допълнителни законодателни изисквания.
Чл. 19. Регистрите на дейностите по обработване на лични данни се предоставят на надзорния орган или администратора при проверка или одит.

ПРИНЦИПИ, СВЪРЗАНИ С ОБРАБОТВАНЕТО НА ДАННИТЕ
Чл. 20. Всяко обработване на лични данни трябва да бъде извършвано в съответствие с принципите, предвидени в чл. 5 на GDPR:
 Личните данни се обработват законосъобразно, добросъвестно и прозрачно. Законосъобразно означава при предварително определено правно основание за обработването. Добросъвестно означава, че администраторът полага необходимите усилия да способства упражняването на правата на субектите на данни, а изискването за прозрачност включва задължението на администратора да предостави на субектите на данните на информацията по чл. 13-14 от GDPR в разбираема и достъпна форма на ясен и прост език.
 Конкретната информация, която трябва да бъде предоставена на субекта на данните, включва най-малко:
o данните, които идентифицират съответния администратор, неговите данни за връзка с него и неговите представители;
o данни за връзка с отговорното лице за защита на данните;
o информация за целите на обработването на личните данни, както и правното основание за обработването;
o срокът, за който се обработват и съхраняват личните данни;
o съществуването на право на достъп, коригиране, изтриване, оттегляне на съгласие или подаване на възражение срещу обработването, както и реда за разглеждане на заявленията за упражняване на права на субектите на данни;
o категории обработвани лични данни;
o информация за получателите и/или третите страни-получатели на личните данни, както и нивото на защита на данните;
o всякаква необходима допълнителна информация.
 Личните данни се събират за конкретни, изрично указани и легитимни цели. Целите се описват за всяка дейност в регистрите, поддържани от съответния администратор.
 Събраните личните данни трябва да бъдат ограничени до необходимото като:
o не се събират лични данни, които не са строго необходими за посочените по-горе цели;
o всички формуляри за събиране на данни на електронен или хартиен носител трябва да бъдат одобрени от отговорното лице за защита на данните;
o всички методи за събиране на данни са преглеждат поне веднъж на всеки две години.
• Личните данни трябва да бъдат съхранявани за период, не по- дълъг от необходимото. Личните данни се съхраняват за посочените срокове, след което се унищожават по сигурен начин. Когато е необходимо съхранението им да продължи след изтичането на предвидения срок, данните се анонимизират и/или, псевдономизират.
• „Личните данни трябва да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност.
• Администраторът на данни трябва да е в състояние да докаже спазването на останалите принципи за защита на данните (“отчетност”). За да осигурят доказването на спазването на принципите „Екозид Инвест“ ЕООД документира писмено: (1) политиките и процедурите си за защита на данните - чрез настоящите политика; (2) утвърждаването на политиката – чрез нарочна заповед на управителя; (3) получаването и разглеждането на заявления за упражняване на права на субектите на данни, (4) воденето на регистри на дейностите по обработване на данни, (5) извършването на оценка на въздействие на риска, (6) предварителната консултация и уведомяването на надзорния орган, администраторите и субектите на данни за нарушение на сигурността на данните, както и (7) провеждането на обучения по защита на данните – чрез съответните формуляри, както и чрез публикуване на уебсайта на документацията по защита на данните в цялост или отчасти.


СЪБИРАНЕ, СЪХРАНЕНИЕ И УНИЩОЖАВАНЕ НА ЛИЧНИ ДАННИ
Чл. 21. При събиране на лични данни непосредствено от субектите на данни или индиректно (напр. чрез получаването им от друга организация, набирането им от публичен регистър или прилагането на друг способ за data mining) „Екозид Инвест“ ЕООД предоставя информация, съответна на изискванията по чл.13-14 от GDPR и политиката.
Чл. 22. Всеки документи, с който субект предоставя личните си данни, задължително включва декларация от имено на субекта за точност и актуалност на данните.
Чл. 23. „Екозид Инвест“ ЕООД се задължава да въведе мерки, позволяващи достъп до събраните лични данни единствено на лицата, на които същите трябва да бъдат достъпни тъй като се нуждаят от тях за изпълнение на служебни или други задължения (принцип на достъп до данните на база “Необходимост да знае”). Служителите на „Екозид Инвест“ ЕООД са длъжни да не се разкриват личните данни на лица, извън лицата по предното изречение.
Чл. 24. Всички документи, съдържащи лични данни трябва да бъдат съхранявани:
• в помещение с контролиран достъп, което се заключва, и/или
• в заключено чекмедже или шкаф, и/или
• ако са в електронен формат - с парола и/или на криптирани (преносими) електронни носители.
Чл. 25. При оставяне на работното място без надзор следва да бъдат предприети мерки екраните на компютрите и терминалите да не се виждат от други лица, включително чрез активиране на screen saver на съответното устройство. Обработването на лични данни дистанционно трябва да бъде разрешено изрично от управителя на „Екозид Инвест“ ЕООД .
Чл. 26. Събирането, съхраняването и унищожаването на личните данни се уреждат с политиката за съхранение на личните данни, поместена в Error! Reference source not found..
Чл. 27. „Екозид Инвест“ ЕООД не съхранява лични данни във форма, която да позволява идентифицирането на субектите на данни за период, не по-дълъг от определените сроковете за съхранение.
Чл. 28. За целите на архивирането в обществен интерес, за научни или исторически изследвания, или за статистически цели, „Екозид Инвест“ ЕООД могат да съхраняват личните данни за по-дълъг срок.
Чл. 29. След изтичане на съответните сроковете по разпореждане на отговорното лице за защита на данните личните данни се анонимизират, псевдономизират или унищожават.


ВИДЕОНАБЛЮДЕНИЕ
Чл. 30. „Екозид Инвест“ ЕООД осъществяват видеонаблюдение единствено при наличието на следните предпоставки:
• „Екозид Инвест“ ЕООД са направили общодостъпна на уебсайта си информация за субектите на данни, свързана с правата им във връзка с видеонаблюдението;
• зоните, в които се осъществява наблюдението, са обозначени със стикери, рефериращи към горната информация;
• видеонаблюдението се извършва така че да не се засяга достойнството на субектите на данни.
Чл. 31. „Екозид Инвест“ ЕООД не осъществяват видеонаблюдение в тоалетни помещения, съблекални, кухненски помещения или зали за почивка на персонала.
Чл. 33. При осъществяване на видеонаблюдение на публични места „Екозид Инвест“ ЕООД осигуряват предварително изготвянето на оценка на въздействието върху защитата на данните.


СЪГЛАСИЕ
Чл. 34. „Екозид Инвест“ ЕООД обработват лични данни за целите на маркетинга (предоставяне на информация относно актуални промоции, проучване на удовлетвореността на гостите на хотелите от престоя им и други) въз основа на валидно дадено съгласие или въз основа на легитимния им интерес, доколкото той е конкретно обоснован.
Чл. 35. За да е валидно дадено, съгласието отговаря на следните условия:
• не е дадено от лица, които се намират в трудови правоотношения с „Екозид Инвест“ ЕООД;
• съгласието е дадено след като на съответното лице е представена информация за обработването на личните му данни;
• обработването на данни въз основа на съгласие е винаги ограничено в определен срок;
• извода за наличието на съгласие произтича от липсата на противопоставяне на общи условия;
• субектът може да оттегли съгласието си по всяко време;
• предвиденият ред за оттегляне на съгласие съответства на реда, по който същото е дадено.
Чл. 36. Когато данните за ел. поща не са събрани непосредствено от субектите на данни, още с първия имейл ще им бъде предоставено информация по чл.14 от GDPR, както и запитване за предоставяне на съгласие.
Чл. 37. „Екозид Инвест“ ЕООД предоставят услуги на деца единствено въз основа на съгласието на техния родител или настойник или лице, упълномощено да даде съгласие от тяхно име.


ЗАЯВЛЕНИЯ ЗА УПРАЖНЯВАНЕ НА ПРАВА НА СУБЕКТИТЕ НА ДАННИ
Чл. 38. Заявленията за упражняване на права на субектите на данни се подават и разглеждат по реда, предвиден в Приложение №6.

Чл. 39. Субектите на данни упражняват правата си чрез подаване на заявление по образец до управителя или чрез действия в интерфейса на електронните системи, поддържани от „Екозид Инвест“ ЕООД, в случай, че такава възможност е осигурена технически и е удостоверена самоличността на съответното лице.
Чл. 40. При подаването и разглеждането на заявления „Екозид Инвест“ ЕООД си сътрудничат, а отговорното лице за защитата на данните предоставя на техните субектите необходимите информация и съдействие.
Чл. 41. „Екозид Инвест“ ЕООД осигуряват прилагането на следните права на субектите на данни:
• на информация дали се обработват лични данни и достъп до документите, съдържащи данните, в случаи, че такива се обработват;
• на възражение срещу обработването на лични данни, основано на легитимните интереси на администратора и/или на обществения интерес; при подаване на възражение администраторът ще прекрати обработването освен ако не са налице законови основания за него и/или последното не е необходимо за защитата на правни претенции;
• на преносимост, в случай че личните данни се обработват въз основа на съгласието на субекта или по автоматизиран начин;
• на коригиране, в случай че обработваните от администратора данни са неверни, неактуални или неточни;
• на ограничаване на обработването при подаване на възражение срещу обработването или оспорване на точността на данните;
• на оттегляне на съгласие за обработване на лични данни;
• на изтриване на данните (право „да бъда забравен“).


ДЛЪЖНОСТНО ЛИЦЕ ЗА ЗАЩИТА НА ДАННИТЕ
Чл. 42. Отговорното лице за защита на данните гарантира спазването на приложимото право за защита на данните като:
• изпълнява предвидените от приложимото право задачи;
• изготвя политики, процедури и други документи и образци, осигуряващи отчетността на „Екозид Инвест“ ЕООД за спазването на приложимото право относно защитата на данните, и следи за тяхното прилагане;
• преглежда и при необходимост актуализира водените от „Екозид Инвест“ ЕООД регистри, включително регистрите на дейностите по обработване на лични данни.
Чл. 43. Отговорното лице за защита на данните изпълнява задачите по чл. 39, пар. 1, букви а) и б) от GDPR:
• като отправя становища и препоръки относно приложението на политиката и приложимото право относно защитата на данните;
• като организира обучения и/или способства повишаването на осведомеността на служителите на „Екозид Инвест“ ЕООД във връзка с изпълнение на задълженията им по защита на данните в съответствие с Приложение №7.
Чл. 44. Отговорното лице за защита на данните реализира задачите по чл. 39, пар. 1, букви в) и д) от GDPR като изготвя или наблюдава изготвянето на оценка на въздействието, в случай, че такава е необходима.
Чл. 45. Отговорното лице за защита на данните реализира задачите по чл. 39, пар. 1, буква г ) от GDPR като докладва на надзорния орган и му предоставя информация и разяснения във връзка със спазването на приложимото право относно защитата на данните.
Чл. 46. Отговорното лице за защитата на данните преглежда прилагането на политиката поне веднъж годишно.
Чл. 47. Отговорното лице за защита на данните преглежда регистрите на дейностите по обработване на личните данни поне веднъж на всеки две години.


РАЗКРИВАНЕ НА ДАННИ
Чл. 48. „Екозид Инвест“ ЕООД не разкриват данни на неупълномощени лица.
Чл. 49. При получаване на искане за разкриване на данни „Екозид Инвест“ ЕООД незабавно уведомяват отговорното лице за защита на данните.
Чл. 50. Исканията трябва да бъдат съпроводени с документи, удостоверяващи правото на лицето да получи достъп до данните.
Чл. 51. В случаите, когато „Екозид Инвест“ ЕООД разкриват данни на трети страни по повод на заявления за упражняване на право на преносимост, „Екозид Инвест“ ЕООД разкриват данните по реда, предвиден в Приложение№3.
Чл. 52. Във всички случаи по настоящия раздел „Екозид Инвест“ ЕООД не разкриват лични данни пред лица, намиращи се извън територията на Европейския съюз, Европейското икономическо пространство и Конфедерация Швейцария, освен когато:
• е налице решение на Европейската комисия относно адекватно ниво на защита на данните в съответната държава;
• при липсата на решение по буква а) хотелиерът не предприеме подходящи мерки за да компенсира липсата на адекватно ниво на защита на данните в съответната държава.


РЕГИСТРИ НА ДЕЙНОСТИТЕ ПО ОБРАБОТВАНЕ НА ДАННИ
Чл. 53. Регистрите на дейностите по обработване включват:
• бизнес процесите, свързани с обработване на лични данни;
• източниците на лични данни;
• категориите субекти на данни;
• категориите обработвани лични данни;
• целите, за които се използва всяка категория лични данни;
• получатели и потенциални получатели на личните данни;
• ролята на организацията в обработката на данни (администратор или обработващ данните).


ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ЗАЩИТАТА НА ДАННИТЕ
Чл. 54. Когато съществува вероятност дадена дейност, свързана с обработване на лични данни, включително дейност при която се използват нови технологии, да породи висок риск за правата и свободите на субектите на данни, се извършва оценка на въздействието в съответствие с Приложение №4.
Чл. 55. При неизвършване на оценка на въздействието или неприлагане или неправилно прилагане на предписаните мерки за третиране на риска, отговорното лице за защита на данните възразява писмено срещу съответната дейност.
Чл. 56. Възражението спира изпълнението на планираната дейност до разглеждането му от управителя, който се произнася с писмено решение.


ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
Чл. 57. Настоящата политика се прилага по отношение на обработването на лични данни, считано от датата на утвърждаването ѝ със заповед на управителя.
Чл. 58. Отговорното лице за защита на данните се определя по реда на утвърждаване на настоящата политика от управителя на Дружеството в съответствие с избрания начин на представителство.