Уведомление относно обработването на личните данни от „Екозид Инвест“ ЕООД
Настоящото уведомление съдържа основна информация относно обработването на лични данни на физическите лица – възложители по договори за проектиране и строеж, сключени с „ЕКОЗИД ИНВЕСТ“ ЕООД. Уведомлението е разработено в съответствие с Общия регламент относно защитата на данните (GDPR) и останалите нормативни актове на приложимото законодателство относно защитата на данните.
Кой носи отговорност за обработването?
Отговорно за обработването на личните данни на възложителите е “ЕКОЗИД ИНВЕСТ“ EООД, вписано в Търговския регистър, воден от Агенцията по вписванията към Министерството на правосъдието с ЕИК: 201422501, със седалище и адрес на управление в област Стара Загора, община Казанлък, село Черганово, п.к 6139, фабрика „ЕКОЗИД“, представлявано заедно и поотделно от управителите Станимир Петров Върбанов и Дарина Станимирова Върбанова (по-долу за краткост „ние“ или „нас“).
За контакт с нас може да се свържете на имейл адрес: office@ecozid.com или формата за контакт на https://www.ecozid.com или посочения адрес на управление.
С каква цел обработваме данни?
Основната причина да събираме Вашите лични данни е за да Ви идентифицираме като възложители по договори за проектиране и строеж; да изпълним законовите си задължения; да приемем и разгледаме искания, сигнали или препоръки във връзка с предоставяните от нас услуги; за да осигурим вашата сигурност, както и сигурността на нашите служители.
На какво правно основание обработваме вашите данни?
Ние обработваме лични данни само при валидно правно основание. Правното основание за обработване на Вашите данни е изпълнението на поетите към Вас ангажименти съгласно договора за проектиране и строеж, по който сте страна. На следващо място обработването на данни е необходимо и за защита на правата Ви като потребител при подаването на жалба или оплакване във връзка с услугите ни. Вашите данни обработваме и при изпълнение на предвидените за нас специфични задължения от приложимото законодателство. В случай, че по-долу дадете съгласие за това, Вашите данни ще бъдат използвани и за предоставяне на актуална информация относно промоции, отстъпки и намаления, свързани с услугите ни.
Видеонаблюдението като охранителна дейност се извършва на база легитимния ни интерес да защитим сигурността на обекта, оборудване в него и служителите си, както и вашата собствена сигурност. Същото се извършва само на общодостъпните места, означени със съответните знаци. За да осигурим в максимална степен вашето спокойствие, ви информираме, че видеонаблюдение не се осъществява по никакъв начин в тоалетните помещения и помещенията за почивка и отдих.
Какви лични данни обработваме?
При започване на преговори, оферта и сключване на договор за проектиране и строеж, събираме информация, представляваща лични данни, а именно:
За какъв срок съхраняваме данните?
Данните, свързани с договорните ни взаимоотношения, се съхраняват за срок не по-дълъг от необходимото. Видеозаписите се съхраняват за не повече от месец, след като сте напуснали офиса, освен ако закон или подзаконов акт не изисква друго. Данните, обработвани за е-маркетинг, на основание на Вашето съгласие се съхраняват до оттегляне на съгласието, но не повече от година, освен ако съгласието не е подновено.
Какви мерки за защита на събраните данни предприемаме?
Опазването и сигурността на Вашите данни са важни за нас. За да предотвратим осъществяването на загуба, злоупотреба или неоторизиран достъп, прилагаме технически и организационни мерки за защита, посочени във вътрешните правила на нашата организация и политиката ни за защита на личните данни, достъпна на адрес: www.ecozid.com
Какви права притежавате при обработването на данните Ви?
Ние гарантираме на посетителите и гостите си следните правни възможности във връзка със защитата на техните данни:
По какъв начин споделяме данни с трети лица?
При предоставянето на услугите ни може да предоставим Вашите данни на следните лица за посочените цели:
При всички случаи Вашите данни няма да бъдат споделяни с трети лица, установени извън територията на Европейския съюз, Европейското икономическо пространство и Конфедерация Швейцария, освен ако не е налице решение на Европейската комисия за адекватно ниво на защита на данните или не са предприети адекватни мерки за защита.
Как може да се свържете с компетентния надзорен орган?
Независимо от посоченото по-горе, при във всеки момент имате право да се обърнете към компетентния надзорен орган – Комисията за защита на личните данни:
С оглед изискванията на законодателството горната информация може да бъде променяна и актуализирана.
Днес,…………………………година, долуподписаният …………………………………………………………. декларирам, че бях запознат с настоящето уведомление, а предоставените от мен лични данни при сключване и изпълнение на договор за проектиране и строеж са верни, точни и актуални:
Възложител: ____________________________
(подпис)
Политика за защита на личните данни на „Екозид Инвест“ ЕООД
ОСНОВНИ ПОНЯТИЯ
Чл. 1. Всички понятия в настоящата политика, свързани със защитата на данните, и производните им, се ползват със значението, с което са използвани в приложимото право относно защитата на данните, освен ако по-долу не е предвидено друго.
Чл. 2. „Администраторът“ или „Дружеството“ по смисъла на настоящата политика означава „Екозид Инвест“ ЕООД, регистрирано в Търговския регистър, воден от Агенцията по вписванията с ЕИК: 201422501, със седалище и адрес на управление в село Черганово, община Казанлък, фабрика „Екозид“, представлявано заедно и поотделно от управителите Станимир Петров Върбанов и Дарина Станимирова Върбанова.
Чл. 3. “Обработващ данни” означава (1) всяко лице, различно от Дружеството и неговите служители, което обработва личните данни, целите и средствата за което се определят от „Екозид Инвест“ ЕООД. Във всички случаи, когато обработва данни съвместно с или в качеството на обработващи данни „Екозид Инвест“ ЕООД сключва договор за защита на личните данни или друг равнозначен правен акт по чл. 28, пар. 3 от GDPR.
Чл. 4. “Лични данни” означава всяка информация, свързана със субектите на данни и обработвана от „Екозид Инвест“ ЕООД, включително име; ЕГН или друг личен номер; номер, дата на издаване и дата на валидност на паспорт, лична карта или друг документ за самоличност; постоянен или настоящ адрес; IP адрес; ел. поща и други признаци.
Чл. 5. “Обработване” означава всяка операция или съвкупност от операции, извършвани с личните данни чрез автоматични или други средства, включително събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
Чл. 6. “Субекти на данни” означава физическите лица, които могат да бъдат идентифицирани пряко или непряко чрез данните, които се обработват за тях. Основните категории субекти на данните са служителите на Дружеството; възложителите по договори за проектиране и строеж, посетителите на уебсайта и получателите на електронния бюлетин.
Чл. 7. „Специални категории лични данни” означава лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации, генетични и биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на субектите на данни.
Чл. 8. „Съгласие“ означава свободно изразено, конкретно, информирано и недвусмислено указание за волята на субектите на данните, чрез потвърждаващо действие/кликване на уебсайта на „Екозид Инвест“ ЕООД или подпис на документ в писмена форма.
Чл. 9. „Дете“ означава всяко лице ненавършило 14-годишна възраст освен ако и доколкото не бъде определено друго в приложимото право относно защитата на данните.
Чл. 10. „Нарушение на сигурността на личните данни” означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин. „Екозид Инвест“ ЕООД задължително уведомяват надзорния орган и субектите на данни (когато действат като администратор на данни) или администратора на данни (когато действат като обработващ данни) за нарушенията на сигурността на данните.
Чл. 11. “Заявление за упражняване на права на субектите на данни” означава всяко волеизявление за упражняване на права по членове чрез попълване на предоставения формуляр или чрез действия в електронен интерфейс на системите на „Екозид Инвест“ ЕООД, в случай, че бъде предвидена такава възможност и доколкото по сигурен начин е установена самоличността на заявителя.
Чл. 12. “Трета страна” означава физическо или юридическо лице, публичен орган или друга организация, установена извън територията на Европейския съюз, Европейското икономическо пространство и Конфедерация Швейцария, на което „Екозид Инвест“ ЕООД и/или обработващите предават личните данни.
Чл. 13. “Надзорен орган” означава Комисията за защита на личните данни на Република България (КЗЛД) или друга институция, действаща като водещ надзорен орган по смисъла на приложимото право относно защитата на данните.
Чл. 14. „Профилиране“ означава всяка форма на автоматизирано обработване на данни, предназначена за оценяване на лични аспекти, свързани с техните субекти, или за анализиране/прогнозиране на изпълнението на професионални задължения, икономическо състояние, местоположение, здраве, лични предпочитания, надеждност или поведение.
Чл. 15. „Отговорно лице за защита на данните“ означава физическо или юридическо лице, на което са възложени задачите, предвидени в приложимото право.
ОБЩИ РАЗПОРЕДБИ
Чл. 16. По силата на настоящата политика Дружеството се задължава да въведе подходящи технически и организационни мерки за спазване на приложимото право относно защитата на данните, включително по отношение на:
прилагането на принципите за защита на данните;
правилата за събиране, съхраняване и заличаване на данните и прилагане на мерки за тяхната сигурност;
прилагането на системите за контрол на достъпа, работното време и трудовата дисциплина;
процедурата за преносимост/предаване на данни на трети страни;
задачите на длъжностно лице за защита на данните и процедурата за извършване на оценка на въздействието на риска;
системата за докладване на нарушенията на сигурността на данните и отговорността за нарушенията;
процедурата за разглеждане на заявленията на субектите на данни;
провеждането на обучения по защита на данните за персонала;
както и реда за утвърждаване на политиката.
Чл. 17. Политиката се прилага по отношение на всички дейности, свързани с обработване на лични данни, и описани в регистрите на дейностите по обработване, разработени в съответствие с чл.30, пар.1 и чл.30, пар.2 от GDPR („регистрите на дейностите по обработване на лични данни“).
Чл. 18. Регистрите на дейностите по обработване на личните данни се преглеждат поне веднъж на всеки две години предвид настъпването на промени в осъществяваните процеси, и всякакви допълнителни законодателни изисквания.
Чл. 19. Регистрите на дейностите по обработване на лични данни се предоставят на надзорния орган или администратора при проверка или одит.
ПРИНЦИПИ, СВЪРЗАНИ С ОБРАБОТВАНЕТО НА ДАННИТЕ
Чл. 20. Всяко обработване на лични данни трябва да бъде извършвано в съответствие с принципите, предвидени в чл. 5 на GDPR:
Личните данни се обработват законосъобразно, добросъвестно и прозрачно. Законосъобразно означава при предварително определено правно основание за обработването. Добросъвестно означава, че администраторът полага необходимите усилия да способства упражняването на правата на субектите на данни, а изискването за прозрачност включва задължението на администратора да предостави на субектите на данните на информацията по чл. 13-14 от GDPR в разбираема и достъпна форма на ясен и прост език.
Конкретната информация, която трябва да бъде предоставена на субекта на данните, включва най-малко:
o данните, които идентифицират съответния администратор, неговите данни за връзка с него и неговите представители;
o данни за връзка с отговорното лице за защита на данните;
o информация за целите на обработването на личните данни, както и правното основание за обработването;
o срокът, за който се обработват и съхраняват личните данни;
o съществуването на право на достъп, коригиране, изтриване, оттегляне на съгласие или подаване на възражение срещу обработването, както и реда за разглеждане на заявленията за упражняване на права на субектите на данни;
o категории обработвани лични данни;
o информация за получателите и/или третите страни-получатели на личните данни, както и нивото на защита на данните;
o всякаква необходима допълнителна информация.
Личните данни се събират за конкретни, изрично указани и легитимни цели. Целите се описват за всяка дейност в регистрите, поддържани от съответния администратор.
Събраните личните данни трябва да бъдат ограничени до необходимото като:
o не се събират лични данни, които не са строго необходими за посочените по-горе цели;
o всички формуляри за събиране на данни на електронен или хартиен носител трябва да бъдат одобрени от отговорното лице за защита на данните;
o всички методи за събиране на данни са преглеждат поне веднъж на всеки две години.
• Личните данни трябва да бъдат съхранявани за период, не по- дълъг от необходимото. Личните данни се съхраняват за посочените срокове, след което се унищожават по сигурен начин. Когато е необходимо съхранението им да продължи след изтичането на предвидения срок, данните се анонимизират и/или, псевдономизират.
• „Личните данни трябва да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност.
• Администраторът на данни трябва да е в състояние да докаже спазването на останалите принципи за защита на данните (“отчетност”). За да осигурят доказването на спазването на принципите „Екозид Инвест“ ЕООД документира писмено: (1) политиките и процедурите си за защита на данните – чрез настоящите политика; (2) утвърждаването на политиката – чрез нарочна заповед на управителя; (3) получаването и разглеждането на заявления за упражняване на права на субектите на данни, (4) воденето на регистри на дейностите по обработване на данни, (5) извършването на оценка на въздействие на риска, (6) предварителната консултация и уведомяването на надзорния орган, администраторите и субектите на данни за нарушение на сигурността на данните, както и (7) провеждането на обучения по защита на данните – чрез съответните формуляри, както и чрез публикуване на уебсайта на документацията по защита на данните в цялост или отчасти.
СЪБИРАНЕ, СЪХРАНЕНИЕ И УНИЩОЖАВАНЕ НА ЛИЧНИ ДАННИ
Чл. 21. При събиране на лични данни непосредствено от субектите на данни или индиректно (напр. чрез получаването им от друга организация, набирането им от публичен регистър или прилагането на друг способ за data mining) „Екозид Инвест“ ЕООД предоставя информация, съответна на изискванията по чл.13-14 от GDPR и политиката.
Чл. 22. Всеки документи, с който субект предоставя личните си данни, задължително включва декларация от имено на субекта за точност и актуалност на данните.
Чл. 23. „Екозид Инвест“ ЕООД се задължава да въведе мерки, позволяващи достъп до събраните лични данни единствено на лицата, на които същите трябва да бъдат достъпни тъй като се нуждаят от тях за изпълнение на служебни или други задължения (принцип на достъп до данните на база “Необходимост да знае”). Служителите на „Екозид Инвест“ ЕООД са длъжни да не се разкриват личните данни на лица, извън лицата по предното изречение.
Чл. 24. Всички документи, съдържащи лични данни трябва да бъдат съхранявани:
• в помещение с контролиран достъп, което се заключва, и/или
• в заключено чекмедже или шкаф, и/или
• ако са в електронен формат – с парола и/или на криптирани (преносими) електронни носители.
Чл. 25. При оставяне на работното място без надзор следва да бъдат предприети мерки екраните на компютрите и терминалите да не се виждат от други лица, включително чрез активиране на screen saver на съответното устройство. Обработването на лични данни дистанционно трябва да бъде разрешено изрично от управителя на „Екозид Инвест“ ЕООД .
Чл. 26. Събирането, съхраняването и унищожаването на личните данни се уреждат с политиката за съхранение на личните данни, поместена в Error! Reference source not found..
Чл. 27. „Екозид Инвест“ ЕООД не съхранява лични данни във форма, която да позволява идентифицирането на субектите на данни за период, не по-дълъг от определените сроковете за съхранение.
Чл. 28. За целите на архивирането в обществен интерес, за научни или исторически изследвания, или за статистически цели, „Екозид Инвест“ ЕООД могат да съхраняват личните данни за по-дълъг срок.
Чл. 29. След изтичане на съответните сроковете по разпореждане на отговорното лице за защита на данните личните данни се анонимизират, псевдономизират или унищожават.
ВИДЕОНАБЛЮДЕНИЕ
Чл. 30. „Екозид Инвест“ ЕООД осъществяват видеонаблюдение единствено при наличието на следните предпоставки:
• „Екозид Инвест“ ЕООД са направили общодостъпна на уебсайта си информация за субектите на данни, свързана с правата им във връзка с видеонаблюдението;
• зоните, в които се осъществява наблюдението, са обозначени със стикери, рефериращи към горната информация;
• видеонаблюдението се извършва така че да не се засяга достойнството на субектите на данни.
Чл. 31. „Екозид Инвест“ ЕООД не осъществяват видеонаблюдение в тоалетни помещения, съблекални, кухненски помещения или зали за почивка на персонала.
Чл. 33. При осъществяване на видеонаблюдение на публични места „Екозид Инвест“ ЕООД осигуряват предварително изготвянето на оценка на въздействието върху защитата на данните.
СЪГЛАСИЕ
Чл. 34. „Екозид Инвест“ ЕООД обработват лични данни за целите на маркетинга (предоставяне на информация относно актуални промоции, проучване на удовлетвореността на гостите на хотелите от престоя им и други) въз основа на валидно дадено съгласие или въз основа на легитимния им интерес, доколкото той е конкретно обоснован.
Чл. 35. За да е валидно дадено, съгласието отговаря на следните условия:
• не е дадено от лица, които се намират в трудови правоотношения с „Екозид Инвест“ ЕООД;
• съгласието е дадено след като на съответното лице е представена информация за обработването на личните му данни;
• обработването на данни въз основа на съгласие е винаги ограничено в определен срок;
• извода за наличието на съгласие произтича от липсата на противопоставяне на общи условия;
• субектът може да оттегли съгласието си по всяко време;
• предвиденият ред за оттегляне на съгласие съответства на реда, по който същото е дадено.
Чл. 36. Когато данните за ел. поща не са събрани непосредствено от субектите на данни, още с първия имейл ще им бъде предоставено информация по чл.14 от GDPR, както и запитване за предоставяне на съгласие.
Чл. 37. „Екозид Инвест“ ЕООД предоставят услуги на деца единствено въз основа на съгласието на техния родител или настойник или лице, упълномощено да даде съгласие от тяхно име.
ЗАЯВЛЕНИЯ ЗА УПРАЖНЯВАНЕ НА ПРАВА НА СУБЕКТИТЕ НА ДАННИ
Чл. 38. Заявленията за упражняване на права на субектите на данни се подават и разглеждат по реда, предвиден в Приложение №6.
Чл. 39. Субектите на данни упражняват правата си чрез подаване на заявление по образец до управителя или чрез действия в интерфейса на електронните системи, поддържани от „Екозид Инвест“ ЕООД, в случай, че такава възможност е осигурена технически и е удостоверена самоличността на съответното лице.
Чл. 40. При подаването и разглеждането на заявления „Екозид Инвест“ ЕООД си сътрудничат, а отговорното лице за защитата на данните предоставя на техните субектите необходимите информация и съдействие.
Чл. 41. „Екозид Инвест“ ЕООД осигуряват прилагането на следните права на субектите на данни:
• на информация дали се обработват лични данни и достъп до документите, съдържащи данните, в случаи, че такива се обработват;
• на възражение срещу обработването на лични данни, основано на легитимните интереси на администратора и/или на обществения интерес; при подаване на възражение администраторът ще прекрати обработването освен ако не са налице законови основания за него и/или последното не е необходимо за защитата на правни претенции;
• на преносимост, в случай че личните данни се обработват въз основа на съгласието на субекта или по автоматизиран начин;
• на коригиране, в случай че обработваните от администратора данни са неверни, неактуални или неточни;
• на ограничаване на обработването при подаване на възражение срещу обработването или оспорване на точността на данните;
• на оттегляне на съгласие за обработване на лични данни;
• на изтриване на данните (право „да бъда забравен“).
ДЛЪЖНОСТНО ЛИЦЕ ЗА ЗАЩИТА НА ДАННИТЕ
Чл. 42. Отговорното лице за защита на данните гарантира спазването на приложимото право за защита на данните като:
• изпълнява предвидените от приложимото право задачи;
• изготвя политики, процедури и други документи и образци, осигуряващи отчетността на „Екозид Инвест“ ЕООД за спазването на приложимото право относно защитата на данните, и следи за тяхното прилагане;
• преглежда и при необходимост актуализира водените от „Екозид Инвест“ ЕООД регистри, включително регистрите на дейностите по обработване на лични данни.
Чл. 43. Отговорното лице за защита на данните изпълнява задачите по чл. 39, пар. 1, букви а) и б) от GDPR:
• като отправя становища и препоръки относно приложението на политиката и приложимото право относно защитата на данните;
• като организира обучения и/или способства повишаването на осведомеността на служителите на „Екозид Инвест“ ЕООД във връзка с изпълнение на задълженията им по защита на данните в съответствие с Приложение №7.
Чл. 44. Отговорното лице за защита на данните реализира задачите по чл. 39, пар. 1, букви в) и д) от GDPR като изготвя или наблюдава изготвянето на оценка на въздействието, в случай, че такава е необходима.
Чл. 45. Отговорното лице за защита на данните реализира задачите по чл. 39, пар. 1, буква г ) от GDPR като докладва на надзорния орган и му предоставя информация и разяснения във връзка със спазването на приложимото право относно защитата на данните.
Чл. 46. Отговорното лице за защитата на данните преглежда прилагането на политиката поне веднъж годишно.
Чл. 47. Отговорното лице за защита на данните преглежда регистрите на дейностите по обработване на личните данни поне веднъж на всеки две години.
РАЗКРИВАНЕ НА ДАННИ
Чл. 48. „Екозид Инвест“ ЕООД не разкриват данни на неупълномощени лица.
Чл. 49. При получаване на искане за разкриване на данни „Екозид Инвест“ ЕООД незабавно уведомяват отговорното лице за защита на данните.
Чл. 50. Исканията трябва да бъдат съпроводени с документи, удостоверяващи правото на лицето да получи достъп до данните.
Чл. 51. В случаите, когато „Екозид Инвест“ ЕООД разкриват данни на трети страни по повод на заявления за упражняване на право на преносимост, „Екозид Инвест“ ЕООД разкриват данните по реда, предвиден в Приложение№3.
Чл. 52. Във всички случаи по настоящия раздел „Екозид Инвест“ ЕООД не разкриват лични данни пред лица, намиращи се извън територията на Европейския съюз, Европейското икономическо пространство и Конфедерация Швейцария, освен когато:
• е налице решение на Европейската комисия относно адекватно ниво на защита на данните в съответната държава;
• при липсата на решение по буква а) хотелиерът не предприеме подходящи мерки за да компенсира липсата на адекватно ниво на защита на данните в съответната държава.
РЕГИСТРИ НА ДЕЙНОСТИТЕ ПО ОБРАБОТВАНЕ НА ДАННИ
Чл. 53. Регистрите на дейностите по обработване включват:
• бизнес процесите, свързани с обработване на лични данни;
• източниците на лични данни;
• категориите субекти на данни;
• категориите обработвани лични данни;
• целите, за които се използва всяка категория лични данни;
• получатели и потенциални получатели на личните данни;
• ролята на организацията в обработката на данни (администратор или обработващ данните).
ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ЗАЩИТАТА НА ДАННИТЕ
Чл. 54. Когато съществува вероятност дадена дейност, свързана с обработване на лични данни, включително дейност при която се използват нови технологии, да породи висок риск за правата и свободите на субектите на данни, се извършва оценка на въздействието в съответствие с Приложение №4.
Чл. 55. При неизвършване на оценка на въздействието или неприлагане или неправилно прилагане на предписаните мерки за третиране на риска, отговорното лице за защита на данните възразява писмено срещу съответната дейност.
Чл. 56. Възражението спира изпълнението на планираната дейност до разглеждането му от управителя, който се произнася с писмено решение.
ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
Чл. 57. Настоящата политика се прилага по отношение на обработването на лични данни, считано от датата на утвърждаването ѝ със заповед на управителя.
Чл. 58. Отговорното лице за защита на данните се определя по реда на утвърждаване на настоящата политика от управителя на Дружеството в съответствие с избрания начин на представителство.