Политика по защита на личните данни на СД "Делфин-3"
Във връзка с изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г.
относно защитата на физическите лица във връзка с обработването на лични данни
и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните/ОРЗД).
Настоящата политика се отнася до всички функции по обработването на лични данни в СД „Делфин-3” и дава следната информация:
- Индивидуализиране на администратора на лични данни (АЛД)
- Принципи, свързни с обработването на лични данни
- Цели на обработването на лични данни и правно основание за обработването
- Категориите лични данни, които събираме, обработваме и съхраняваме, и категориите субекти на лични данни
- Съхранение и унищожаване лични данни;
- Сигурност на данните
- Получатели на лични данни;
- Правата на субектите на лични данни и начините за упражняването им;
Политиката по защита на лични данни се прилага за всички служители на СД „Делфин-3“. Контрагентите, които предоставят лични данни на СД „Делфин-3” и може да имат достъп до обработваните от него лични данни, се очаква да се запознаят, разберат и да се съобразят с тази политика.
Администратор на лични данни
СД „Делфин-3-Димов, Аврамова, Филипов и с-ие”, със седалище гр. Варна и адрес на управление ул. Михаил Колони №3, ЕИК 020951667, ИН по ДДС BG020951667, представлявано от инж. Дарина Аврамова, Димитър Филипов и Юлиян Димов, заедно и поотделно, email: dolphin-3@dolphin-3.bg, тел.: 052 603 001
Администраторът обработва самостоятелно личните данни във връзка с дейността си, като определя сам целите и средствата за обработването им, при спазване на относимите нормативни актове.
Принципи, свързани с обработването на лични данни
Цялата обработка на лични данни в дружеството ще се извършва в съответствие с принципите посочени в Член 5 от ОРЗД, а именно:
- Законосъобразност, добросъвестност и прозрачност
Законосъобразността се изразява в определяне на правното основание, на което се обработват личните данни. СД „Делфин-3“ обработва личните данни на наетите от него служители на основание законово задължение, произтичащо от прилагането на трудовото и осигурителното законодателство. Когато се обработват данни за контрагенти, основанието е сключеният договор или преддоговорни отношения, предприети по искане на субекта на данните.
Добросъвестност и прозрачност се прилагат чрез съблюдаване на определена професионална етика от администратора и съответно осигуряване на достъпна и разбираема информация във връзка с обработването на лични данни. Субектите на данни могат да получат информация за самоличността на администратора, целите на обработване и категориите обработвани данни, сроковете за съхранието им и получателите, както и правата на субектите, чрез политиката за защита на личните данни, публикувана на сайта на СД „Делфин-3”.
- Личните данни могат да се събират само за конкретни, изрично указани и законни цели
Данните, получени за конкретни цели, не трябва да се използват за цел, която се различава от тези, официално обявени на надзорния орган като част от Регистъра на дейностите по обработването на СД „Делфин-3“.
- Свеждане на данните до минимум
Този принцип налага администраторът да се ограничи до събирането на данните в обем, достатъчен за постигане на определените цели. Това се осъществява като за всяка категория данни се анализира внимателно какъв аспект от целта се постига, чрез нейното изискване.
Ръководството на СД „Делфин-3“ периодично ще организира вътрешен одит за преглеждане на всички способи за събиране на данни, за да се гарантира, че същите продължават да бъдат адекватни, релевантни и не са прекомерни.
- Точност на обработваните данни
Обработваните от администратора данни трябва да бъдат точни и при необходимост да се поддържат в актуален вид. СД „Делфин-3“ ще предприема разумни мерки, за да гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват.
От служителите и контрагентите на СД „Делфин-3“ ще се изисква да уведомяват администратора за всякакви промени в обстоятелствата, за да могат да се актуализират записите на лични данни. Отговорността на СД „Делфин-3“ е да гарантира, че всяко уведомление относно промяната на обстоятелствата е записано и се предприемат действия.
- Ограничение на съхранението
Личните данни трябва да се съхраняват в такава форма, че субектът на данните може да бъде идентифициран само толкова дълго, колкото е необходимо за обработването.
Когато личните данни се запазват след дата на обработването, те ще бъдат съхранени по подходящ начин (минимизирани), за да се защити самоличността на субекта на данните в случай на нарушение на сигурността на данните.
Личните данни ще бъдат пазени в съответствие с Процедура за съхранение и унищожаване на данните и след като е преминал срокът им на съхранение ще бъдат надеждно унищожени по указания в тази процедура ред.
- Цялостност и поверителност
Личните данни трябва да бъдат обработвани по начин, който гарантира подходящо ниво на тяхната сигурност. Това включва защита срещу неразрешено и незаконосъобрано обработване, срещу случайна загуба , унищожаване или повреждане. СД „Делфин-3“ прилага технически и организационни мерки за защита, съобразно приети вътрешни правила при обработване на лични данни.
- Отчетност
Принципът на отчетност в Член 5, пар.2 на ОРЗД изисква администраторът във всеки един момент да докаже, че обработва личните данни като спазва останалите принципи в Регламента.
СД „Делфин-3“ ще доказва спазването на принципите при обработка на личните данни чрез прилагане на политика по защита на данните и вътрешни правила за защита на личните данни, внедряване на подходящи технически и организационни мерки, както и чрез приемане на техники по защита на данните на етапа на проектирането и по подразбиране, оценка на въздействието върху защитата на личните данни, процедура за уведомяване за нарушаване на личните данни, водене на регистри на дейностите по обработка на личните данни и т.н.
Цели на обработването на личните данни и правно основание за обработването
- Осъществяване на трудови правоотношения (управление на човешките ресурси):
Всички дейности, свързани със съществуване, изменение и прекратяване на трудовите и граждански правоотношения, за установяване на връзка с лицето по телефон, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията му по трудови или граждански договори, за водене на счетоводна отчетност - начисляване на трудови възнаграждения и обезщетения, на дължими данъци, на социални и здравни осигуровки.
- Осъществяване предмета на дейност на дружеството (взаимодействие с контрагенти):
Изпращане на оферти на електронен адрес, издаване на фактури, сключване на договори и съставяне на всички останали документи (протоколи, гаранционни карти и др.), необходими за изпълнение на извършваните от дружеството доставки и услуги.
Дейността по събиране, обработване и съхранение на лични данни на служителите и контрагенти, както и отчитане пред държавни и други компетентни органи е съгласно законодателството на Република България (Кодекс на труда, Кодекс за социално осигуряване, Закон за данъците върху доходите на физическите лица, Закон за счетоводството, Данъчно-сигурителен процесуален кодекс, Закон за ДДС, Закон за Националния архивен фонд и др.) и в този случай условието за законосъобразност е законово задължение и сключен договор, съгласно Член 6, ал.1, букви „б” и „в” от Регламент (ЕС) 2016/679.
Категории лични данни и категории субекти (физически лица), за които се събират, обработват и съхраняват лични данни
- Категориите субекти, за които СД „ Делфин-3” събира, обработва и съхранява лични данни са:
- контрагенти (клиенти, доставчици и др.);
- служители на дружеството и изпълнители по граждански договори
- управители на дружеството
- кандидати за работа
Ние обработваме само данни, доброволно предоставени ни от контрагенти, и разчитаме на това, че тези данни се притежават и предоставят законосъобразно.
Това означава, че всеки контрагент носи отговорност да не предоставя на СД „Делфин-3” данни на трети лица в нарушение на техните права за защита на личните данни, тъй като дружеството ни няма достъп до тези лица и няма практическа възможност да контролира дали предоставянето на лични данни на трети лица се извършва с тяхно знание или съгласие, дадено според законовите изисквания.
Ето защо, всяко лице носи неограничена лична отговорност, ако ни предостави данни на трето лице без негово знание или без да получи съгласието му в съответствие с изискванията на приложимото законодателство за защита на личните данни, независимо от вида на данните или целите, за които се предоставят: имена, телефон, адрес на електронна поща, адрес на получаване или доставка на пратка и всякакви други.
- Категориите лични данни, събирани, обработвани и съхранявани от СД „ Делфин-3 са:
2.1.Обикновени лични данни – имена, адрес, телефонен номер, адрес на електронна поща, ЕГН, паспортни данни, банкови сметки, образование и професионални квалификации.
Информация, съдържаща лични данни постъпва в дружеството чрез бизнес контакти с контрагенти, по телефона, електронна поща, писмовни пратки, контактната форма от интернет страницата ни, на място при контрагентите или в обектите на дружеството, също при получаване на автобиографии за кандидатстване по обявени от нас позиции.
2.2. Специални лични данни - данни за здравословното състояние на служителите (карти за предварителен медицински преглед за постъпване на работа, болнични листи, експертни решения на лекарски комисии във връзка с облекчено данъчно облагане).
Резултатите от профилактичните медицински прегледи на служителите във връзка с нормативните изисквания за трудова медицина не се съхраняват в дружеството. Съхраняват се заключения за годността на конкретния служител за изпълнение на заеманата длъжност и годишни анализи на заболеваемостта от Службата по трудова медицина, в които информацията е обобщена, без съотнасяне на конкретни заболявания към конкретни служители.
СД „Делфин – 3” не събира, обработва и съхранява специални (чувствителни) лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или филосовски убеждения или членство в синдикални организации, генетични данни, биометрични данни.
Определена част от данните, които ни се предоставят, може да бъде ползвана, за да отговаряме на искания за предоставяне на информация от националните регулатори (КРС, КЗП, КЗЛД) във връзка с жалби или други процедури, заведени пред тези органи, както и за да ги предоставяме на други държавни органи или правоохранителни служби за целите на административен контрол, контрол за безопасност, превенция и разкриване на правонарушения и престъпления.
Съхранение и унищожаване на личните данни
Ние ще съхраняваме личните данни само за периода, за който са ни необходими, за да изпълним целите, за които ги обработваме, включително, за да спазим изискванията на законодателството.
За определяне на подходящ период за съхранение, ние взимаме под внимание количеството, естеството и чувствителността на личните данни, целите, поради които ги обработваме или дали бихме могли да постигнем тези цели с други средства, както и приложимите законови изисквания.
Правното основание за съхраняване на лични данни е регламентирано в чл. 12, ал. 1 от Закон за счетоводството, а именно - счетоводната информация се съхранява на хартиен и/или на технически носител в предприятието в следните срокове:
- ведомости за заплати, включително заповеди за назначаване, трудови договори и допълнителни споразумения към тях, заповеди за преназначаване, заповеди за ползване на неплатен отпуск над 30 работни дни, заповед за прекратяване на трудови или служебни отношения, трудови книжки - 50 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят;
- счетоводни регистри и финансови отчети, включително документи за данъчен контрол, одит и последващи финансови инспекции - 10 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят;
- всички останали носители на счетоводна информация - три години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят.
Личните данни, предоставени чрез контактната ни форми ще се съхраняват за срок от 6 месеца с цел сигурност и облекчаване на последваща комуникация с потребителя, ако не е налице основание за прилагане на по-дълъг срок.
При отпадане на основанието за съхранение на лични данни ние ще ги изтрием или унищожим по сигурен начин.
Сигурност на данните
В СД „Делфин-3” са предприети необходимите технически и организационни мерки за защита на лични данни срещу загуба или други форми на незаконна обработка. Достъпът до лични данни се осъществява само от лица, чиито служебни задължения или конкретно възложена задача налагат такъв достъп, при спазване на принципа „Необходимост да знае” и след запознаване с нормативната уредба в областта на защитата на личните данни, политиката и вътрешните правила за защита на личните данни и опасностите за личните данни, обработвани от администратора, като за целта лицата подписват декларация за неразгласяване на лични данни, до които са получили достъп при и по повод изпълнение на задълженията си. Спазването на законодателството за защита на данните е отговорност на всички служители на СД „Делфин-3“, които обработват лични данни.
В съответствие с Член 33 от ОРЗД, при възниване на нарушение на сигурността като случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни администраторът без ненужно забавяне и когато това е осъществимо – не по-късно от 72 чáса, след като е разбрал за него, уведомява за нарушението на сигурността надзорния орган. Уведомява се и засегнатия субект на данни. Изключение от това задължение се допуска единствено в случай, че не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. За всички нарушения на сигурността на данните администраторът води записи.
Получатели на лични данни
- субекти на данни, за които се отнасят тези данни;
- куриерски компании, регистрирани в Република България, за осъществяване на доставка на стоки и документи за клиенти;
- одитори, юридически и други съветници, във връзка със счетоводната отчетност на дейността ни, задълженията ни към националните и ЕС регулатори, правното ни обслужване и упражняване на законовите ни права във връзка с договорните ни отношения с контрагенти;
- държавни институции с оглед изпълнение на нормативно задължение (НОИ, НАП, Изпълнителна агенция „Главна инспекция по труда“ и т.н.);
- служба по трудова медицина
- банки;
- съдебни изпълнители;
- други работодатели.
Публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването.
Правата на субектите на лични данни и начините за упражняването им
При определени обстоятелства субектите на лични данни имат право по закон:
- да поискат информация за това дали притежаваме техни лични данни, и, ако това е така, какви са тези данни и защо ги притежаваме/използваме;
- да поискат достъп до лични данни (познато по принцип като "заявка за достъп до данни"). Това им позволява да получат копие от притежаваните от нас техни лични данни и да проверят дали ги обработваме по установения по закон начин.
- да поискат коригиране на притежаваните от нас лични данни. Това дава възможност да се коригира всяка непълна или неточна информация, която притежаваме за тях.
- да възразят срещу обработването на лични данни, в случай че се позоваваме на легитимен интерес (или интересите на трета страна) и нещо в конкретната ситуация налага да възразят срещу обработването поради тази причина. Имат също така право да възразят, ако обработваме лични данни за директни маркетингови цели.
- да поискат ограничаване на обработването на личните им данни. Това им позволява да поискат от нас да преустановим обработването на личната информация, ако например желаеят да установим верността ѝ или причината за обработването ѝ.
- да поискат прехвърляне на личните им данни в електронен и структуриран вид до нас или друго лице (познато по принцип като право на “преносимост на данните”). Това им позволява да вземат данните си от нас в подходящ за употреба електронен формат и да ги прехвърлят на друго лице в подходящ за употреба електронен формат.
- да поискат изтриване на лични данни. Това им позволява да поискат от нас да изтрием или премахнем техните лични данни, ако не съществува основателна причина да продължаваме да ги обработваме, а също така да поискат да изтрием или премахнем личните им данни, ако са упражнили правото си да възразят срещу обработването им.
Ако субектите на лични данни желаят да упражнят някое от тези права, могат да отправят писмено искане до СД „Делфин-3”. За да имаме възможност да предоставим пълно съдействие, искането трябва да е конкретизирано и да съдържа точна информация.
Можем да поискаме от субектите на лични данни конкретна информация, която да ни помогне да потвърдим самоличността им и да уважим правото им за достъп до информация (или някое от останалите им права). Това е подходяща допълнителна мярка за сигурност, гарантираща, че личните данни няма да бъдат разкрити пред лица, които нямат право да ги получават.
СД „Делфин-3” ще предоставя на субекта на данни информация относно действията, предприети във връзка с искане по упражняване на правата, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията. За всяко такова удължаване субектът на данни ще бъде информиран в срок от един месец от получаване на искането, като ще бъдат посочени и причините за забавянето. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго.
Ако не бъдат предприети действия по искането на субекта на данни, дружеството ни ще уведомява същия без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган, и търсене на защита по съдебен ред.
Надзорният орган на България за прилагане на разпоредбите на ОРЗД е Комисията за защита на личните данни (допълнителна информация може да бъде намерена на интернет страницата на Комисията: www.cpdp.bg)
СД „Делфин – 3” си запазва правото да променя своята Политика по защита на личните данни при необходимост.