Политика за поверителност

В ежедневните си бизнес операции ДАФЛОРН използва различни данни за идентифицируеми лица, включително данни за:

  • Настоящи, бивши и бъдещи служители
  • Партньори и доставчици
  • Клиенти
  • Потребители на своя уебсайт и абонати
  • Други заинтересовани страни

При събиране и използване на тези данни организацията попада в обхвата на различни законодателни актове, които контролират начина, по който тези дейности могат да се извършват и необходимите предпазни мерки за тяхната защита.

Целта на тази политика е да определи релевантната нормативна уредба и да опише стъпките, които ДАФЛОРН предприема, за да гарантира, че организацията е в съответствие с нея.

Този подход се прилага за всички системи, лица и процеси, които са свързани с информационните системи на организацията, включително служители, клиенти, доставчици и други страни, които имат отношения с ДАФЛОРН.

Настоящата политика се прилага, както от търговско дружество ДАФЛОРН ООД, така и от всички негови дъщерни дружества и клонове

 

Принципи, свързани с обработването на лични данни

Фундаменталните принципи, на които се основава GDPR са както следва:

  1. Личните данни са:

(а) обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

(б) събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно член 89, параграф 1, за несъвместимо с първоначалните цели („ограничение на целите“);

(в) подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

(г) точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);

(д) съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в Регламента с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);

(е) обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);

  1. Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“).

ДАФЛОРН гарантира, че отговаря на всички тези принципи както при обработката, която извършва в момента, така и като част от въвеждането на нови методи за обработка, като например новите информационни системи.

 

Основания за обработването на лични данни

Съществуват шест алтернативни начина, по които законосъобразността на конкретен случай на обработка на лични данни може да бъде установена в рамките на GDPR. Политиката на ДАФЛОРН е да идентифицира подходящата база за обработка и да я документира в съответствие с регламента. Опциите са описани накратко в следващите раздели.

Съгласие

Освен ако не е необходимо поради причина, допустима в GDPR, ДАФЛОРН винаги ще поиска изрично съгласие от субекта на данни да събира и обработва данните му. В случай на деца под 16-годишна възраст (по-ниска възраст може да бъде допустима в конкретни държави-членки на ЕС), ще бъде получено съгласието на родителите. Прозрачна информация за използването на личните данни ще бъде предоставена на субектите на данни в момента на получаване на съгласието им и ще бъдат обяснени техните права по отношение на техните данни, като например правото да се оттегли съгласието. Тази информация ще бъде предоставена в достъпна форма, написана на ясен език и без такса.

Ако личните данни не се получават директно от субекта на данните, то тази информация ще бъде предоставена на субекта на данни в разумен срок след получаването на данните и определено в рамките на един месец

Изпълнение на договор

Когато личните данни, събрани и обработени са необходими за изпълнение на договор със субекта на данните, не се изисква изрично съгласие. Това често се случва, когато договорът не може да бъде завършен без въпросните лични данни, напр. доставката не може да бъде извършена без адрес, на който да бъде доставена.

Правно задължение

Ако се изисква да се събират и обработват личните данни, за да се спази законът, не се изисква изрично съгласие. Такива например са някои данни, свързани с трудовата заетост и данъчното облагане, и за много области, засегнати от публичния сектор.

Жизненоважни интереси на субекта на данни

В случаите, когато личните данни са необходими за защита на жизненоважните интереси на субекта на данните или на друго физическо лице, това може да се използва като законова основа на обработката. ДАФЛОРН ще запази разумни и документирани доказателства, че случаят е такъв, когато тази причина се използва като законова основа за обработката на лични данни.

Изпълнение на задача от обществен интерес

Когато ДАФЛОРН трябва да изпълни задача, която смята, че е в обществен интерес или като част от служебно задължение, тогава съгласието на субекта на данните няма да бъде поискано. Оценката на обществения интерес или на служебното задължение ще бъде документирана и предоставена като доказателство при необходимост.

Законни интереси

Ако обработването на конкретни лични данни е в законните интереси на ДАФЛОРН и се счита, че това не засяга съществено правата и свободите на субекта на данните, това може да се определи като законната причина за обработката. Отново, аргументите зад този възглед ще бъдат документирани.

 

Политика за правото на неприкосновеност на личния живот и личните данни

ДАФЛОРН има нормативно регламентирано задължение, както и разбирането да Ви информира какво да очаквате, когато се обработва Вашата лична информация.

Кой е Администратор на обработваните лични данни?

По смисъла на Общия регламент относно защитата на физическите лица във връзка с обработването на личните данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общия регламент, Регламент 2016/679), ДАФЛОРН е Администратор на лични данни защото:

„Лични данни“

е всяка информация, свързана с идентифицирано или подлежащо на идентификация физическо лице (субект на данните); физическо лице, което може да бъде идентифицирано пряко или косвено, по-специално чрез идентификатор като име, идентификационен номер, данни за местоположение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

„Обработване“

е всяка операция или съвкупност от операции, които се извършват с лични данни или набор от лични данни, независимо дали чрез автоматизирани или други средства, като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, използване, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, привеждане в съответствие или комбиниране, ограничаване, заличаване или унищожаване;

„Администратор“

е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други, определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.

 

Какви лични данни обработваме?

При осъществяване на своята дейност ДАФЛОРН е необходимо да събира, използва, съхранява и прехвърля различни видове лични данни за Вас, които сме групирали по следния начин:

  • Данни за самоличността Ви: това могат да включват имена, единен граждански номер, националност и пол, образование, съдимост и други данни, необходими за изпълнение на законовите изисквания при възникване на трудово правни и договорни отношения.
  • Данни за връзка: адрес, електронна поща, телефонни номера.
  • Данни за трудова дейност: данни за дейността, позицията и ролята Ви свързана с ДАФЛОРН);
  • Данни за здравословното състояние: информация за физическото и психично здраве на служителите и кандидатите за заемане на работно място и на клиенти, само във връзка с предмета на дейност на ДАФЛОРН;
  • Финансови данни: данни за банкови сметки, трудови възнаграждения, данъчно-осигурителна информация, данни за платени обезщетения и основания за плащане, отчети за плащанията към и от вас, застраховки и други данни, необходими за изпълнение на легитимните ни цели свързани с трудово-правни и договорни отношения;
  • Технически данни: адрес на интернет протокол (IP), Вашите данни за вход на интернет и фейсбук страниците ни, тип и версия на браузъра, настройка и местоположение на часови пояс, използван език, типове и версии на операционна система.
  • Данни от нашите системи за видеонаблюдение за контрол на достъпа и/или технологичните процеси.

Как обработваме Вашите лични данни?

Ние обработваме личните Ви данни:

  • законосъобразно, добросъвестно и по прозрачен начин;
  • за конкретни, изрично указани и легитимни цели;
  • по подходящ, свързан със и ограничен до необходимото, начин и то само във връзка с целите, за които се обработват;
  • точно, при наличието на всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които се обработват;
  • във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват;
  • по начин, който гарантира необходимото ниво на сигурност.

Пред кого разкриваме личните Ви данни?

Ние предоставяме личните Ви данни на:

  • компетентни органи, които по силата на нормативен акт може да изискат предоставянето на този вид информация;
  • контрагенти, които обработват данните от наше име.

ДАФЛОРН гарантира, че всички свързани с нея взаимоотношения, които включват обработката на лични данни, подлежат на документиран договор, който включва конкретната информация и условия, в съответствие с разпоредбите на чл.28, ал. 3 от GDPR.

Ние изискваме от всички трети страни да спазват правилата за сигурността на Вашите лични данни, да ги обработват в съответствие със Закона и само в изпълнение на договорените условия и цели.

 

Международни предавания на лични данни

Предавания на лични данни извън Европейския съюз ще бъдат внимателно прегледани преди извършването на трансфера, за да се гарантира, че те попадат в границите, наложени от GDPR. Това зависи отчасти от преценката на Европейската комисия относно адекватността на предпазните мерки за личните данни, приложими в приемащата страна, и това може да се промени с течение на времето.

Международните прехвърляния на данни в рамките на група, ще бъдат предмет на правно обвързващи споразумения, наричани "Задължителни фирмени правила", които предоставят изпълними права на субектите на данни.

 

Как осигуряваме сигурността на данните Ви?

Въвели сме подходящи мерки за организационна и техническа защита на данните Ви, за да предотвратим случайно изгубване, използване или достъп до Вашите лични данни по нерегламентиран начин, промяна или разкриване. Освен това ограничаваме кръга от служители с достъп до Вашите лични данни, при стриктно съблюдаване на принципа „Необходимост да се знае“. Те обработват Вашите лични данни само при наличието на легитимно основание и поето задължение за поверителност.

Въведена е процедура за справяне с нарушение сигурността на личните Ви данни. При възможен риск за правата и свободите Ви ще бъдете информирани по надлежен начин, както и надзорния орган (Комисията за защита на личните данни).

ДАФЛОРН приема принципа на неприкосновеност на личния живот и гарантира, че определянето и планирането на всички нови или значително променени системи, които събират или обработват лични данни, ще бъдат обект на надлежно отчитане на въпросите, свързани с поверителността, включително извършването на една или повече оценки на въздействието върху защитата на данните.

Оценката на въздействието върху защита на данните ще бъде извършвана винаги, когато е необходимо съгласно изискванията на законодателството и надзорните органи като следва:

  • Да се вземе предвид как ще се обработват личните данни и за какви цели
  • Оценка дали предложената обработка на лични данни е необходима и пропорционална на целта (целите)
  • Оценка на рисковете за физическите лица при обработката на личните данни
  • Какви контролни механизми са необходими за справяне с установените рискове и за доказване на спазването на законодателството

Използването на техники като минимизиране на данните и псевдонимизиране ще се обсъжда, когато е приложимо и подходящо.

 

Колко дълго съхраняваме Вашите данни?

Ние обработваме Вашите лични данни само толкова време, колкото е необходимо, за да изпълним целите, за които сме ги събрали, включително за целите на удовлетворяването на законови, счетоводни или отчетни изисквания.

При определяне на подходящия период за съхранение на личните Ви данни, отчитаме:

  • наличието на определен нормативен срок за съхранение;
  • легитимен интерес на ДАФЛОРН
  • естеството и чувствителността на данните, потенциалния риск от вреди при неразрешено използване или разкриване, целите, за които обработваме данните и дали е възможно да постигнем тези цели чрез други средства, съгласно приложимите нормативни изисквания.

Какви са Вашите права?

Съгласно разпоредбите на Общия регламент и Закона за защита на личните данни, Вие имате:

  1. Правото да бъде информиран
  2. Правото на достъп
  3. Правото на коригиране
  4. Правото за изтриване
  5. Правото да се ограничи обработката
  6. Правото на преносимост на данни
  7. Право на възражение
  8. Права във връзка с автоматизираното вземане на решения и профилиране.

Реализирането на тези права се осъществява чрез предприемане на необходимите действия в определени срокове, както следва:

 

Право

Срок

Правото да бъде информиран

В момента на събиране на данните (ако са предоставени от субекта на данни) или в рамките на един месец (ако не са предоставени от субекта на данни)

Правото на достъп

Един месец

Правото на коригиране

Един месец

Правото за изтриване

Без неоправдано забавяне

Правото да се ограничи обработката

Без неоправдано забавяне

Правото на преносимост на данни

Един месец

Право на възражение

При получаване на възражение

Права във връзка с автоматизираното вземане на решения и профилиране.

Неопределено

 

За да упражните някое от правата, посочени по-горе, моля, свържете се с нас на адрес:

София 1463, ул. Цар Асен № 54

телефон: 02 / 9542639

е-mail: [email protected]

 

Заявленията за упражняване на правата се подават лично или от изрично упълномощено лице, чрез нотариално заверено пълномощно. Заявлението може да бъде отправено и по електронен път, по реда за оформяне и подаване на електронен документ, предвиден в действащото законодателство.

Заявлението следва да съдържа:

а) име, адрес и други данни за идентифициране на съответното физическо лице;

б) описание на искането;

в) подпис, дата на подаване на заявлението и адрес за кореспонденция;

г) при подаване на заявление от упълномощено лице към заявлението се прилага и съответното пълномощно.

Вие не дължите такса за достъп до Вашите лични данни (или за упражняване на някое от другите права). Но ако молбата Ви е очевидно неоснователна, повтаряща се или прекомерна, е възможно да откажем да изпълним искането Ви при тези обстоятелства или да начислим разумна такса, като вземем предвид административните разходи за предоставяне на информация или комуникация или предприемане на исканите действия.

Може да се наложи да поискаме от Вас конкретна информация, за да ни помогнете да потвърдим самоличността Ви и да гарантираме правото Ви на достъп до лични данни. Това е мярка за сигурност, която гарантира, че личните данни не се разкриват на лице, което няма право да ги получи.

Опитваме се да отговорим на всички легитимни искания в рамките на един месец. Понякога може да ни отнеме повече време, ако искането ви е особено сложно или сте направили няколко искания. При обективно необходим по-голям срок, с оглед събиране на всички данни или сериозно затруднение на дейността ни, този срок може да бъде удължен, но не повече от 60 дни. В този случай ще бъдете надлежно уведомен.

Управителят на ДАФЛОРН или оправомощено от него лице разглежда заявлението Ви и се произнася по него като уведомяването за взетото решение е лично, срещу подпис, по поща с обратна разписка или по реда на Закона за електронния документ и електронните удостоверителни услуги. Липсата на уведомление се смята за отказ.

По всяко време имате право да подадете жалба до надзорния орган:

 

Комисия за защита на личните данни на Република България

адрес: София 1592, бул. „Проф. Цветан Лазаров” № 2
електронна поща: [email protected]

 

Бихме желали, обаче, да получим шанса да удовлетворим Вашите искания преди да се обърнете към Комисията за защита на личните данни, така че моля, свържете се първо с нас.

 

Промени в тази политика за поверителност

В случай на необходимост ще актуализираме този документ, а актуализираният вариант, както и всички по-стари версии могат да бъдат получени, като се свържете с нас.