Защита на личните данни

В качеството си на администратори на лични данни „ЦАЛАНДО” ЕООД прилагат съответните технически и организационни мерки, за да обезпечат законосъобразното обработване на лични данни на физическите лица, при спазване на принципите и изискванията на нормативната уредба относно обработването и защитата на личните данни на субектите на данни.

ДЕФИНИЦИИ

За целите на настоящата политика:

„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

„регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

„администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

„обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

„получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

„трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

„съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

„нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.

КАТЕГОРИИ ЛИЧНИ ДАННИ, ЦЕЛИ И ОСНОВАНИЯ, НА КОИТО СЕ ОБРАБОТВАТ ОТ АДМИНИСТРАТОРИТЕ

  • Изпълнение на нормативни задължения и с цел установяване, упражняване или защита на правни претенции (на основание чл. 6, пар. 1, буква „в“ и чл. 9, параграф 2, буква „е“ от Общия регламент относно защита на данните):

За тази цел се обработват личните данни на лица, срещу които се подават искови молби, жалби и сигнали и други подобни с цел тяхното индивидуализиране. С оглед естеството на конкретния документ, с който се сезират българските съдилища, прокуратурата, съдебните изпълнители, нотариусите, държавните и общинските органи или с който се ползват услуги на българските пощи и куриерски служби, на други физически или юридически лица, администраторите обработват следните лични данни на физически лица:

  • Данни, свързани с физическата идентичност, като ЕГН, три имена, постоянен или настоящ адрес, данни по документ за самоличност, електронни пощи /когато съдържат имената на физическото лице/, образи и изображения, расов или етнически произход, генетични и биометрични данни
  • Данни, свързани с икономическата идентичност, като данни относно притежавани движими и недвижими вещи, относно реализирани доходи и възнаграждения, участия в търговски дружества и в граждански дружества.
  • Данни, свързани със социалната идентичност, като образование, предишна и настояща месторабота, телефонни номера, философски и религиозни убеждения, политически възгледи.
  • Данни, свързани със семейната и сексуалната идентичност, като семейно положение, фактическо съжителство с други лица, ненавършили пълнолетие деца, сексуалната ориентация и живот на физическото лице.
  • Данни относно здравословното състояние, като диагноза съгласно представени болнични листове, ТЕЛК/НЕЛК решения, епикризи, анамнези.
  • Данни, свързани с присъди и нарушения, като наличие на осъждане съгласно свидетелство за съдимост.

КАТЕГОРИИ ПОЛУЧАТЕЛИ НА ЛИЧНИ ДАННИ ИЗВЪН АДМИНИСТРАТОРИТЕ

Администраторите разкриват лични данни на трети страни и получатели само ако те имат законово основание да ги получат. Категориите получатели се определят за всеки конкретен случай според законовото основание да получат данните, като могат да бъдат:

  • Български и международни съдебни юрисдикции, прокуратурата, Европейския съд по правата на човека, Съда на Европейския съюз и други институции на Съюза, съдебни изпълнители, нотариуси, Национална агенция за приходите, Национален осигурителен институт, Министерският съвет, министерства, Омбудсмана на Република България, органи на МВР и други.
  • Доставчици на пощенски и куриерски услуги при адресиране на кореспонденция до физически лица.

Администраторите не разкриват лични данни за целите на директния маркетинг.

СРОК ЗА СЪХРАНЕНИЕ НА ДАННИТЕ:

Администраторите прилагат принципа за ограничаване на съхранението и съхраняват лични данни в периоди, които са подходящи за целите, за които данните се обработват, като се отчита и доказателственото им значение в случай на съдебни спорове или подадени жалби пред държавни и/или общински органи и институции.

Определените срокове на съхранение са:

За лицата, които са кандидатствали за работа или за стаж в срок от 1 месец след приключване на конкурсната процедура, по която те не са получили одобрение.

Трудовите договори и анексите и към тях и гражданските договори с изпълнители – в срок до 10 години след прекратяване на трудовото или облигационното правоотношение.

Работните ведомости за заплати – в срок от 50 години.

Болничните листове – за срок от 3 години, считано от 1 януари за годината, следваща годината, за която са издадени, съгласно чл. 56 от Наредбата за медицинската експертиза.

В случай на съдебен спор или жалба до държавен или общински орган или институция, сроковете се удължават до разрешаването на спора. Ако след окончателното разрешаване на спора, администраторите образуват друго съдебно или изпълнително, както и ако сезират друг държавен, общински или международен орган или институция, документите се съхраняват за срок от 5 години след окончателното приключване на съответното производство.

ПРАВА НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ:

Общият регламент относно защитата на данните предвижда следните права на физическите лица във връзка с обработване на личните им данни:

право на достъп до личните данни, свързани с лицето, които се обработват от администратора;

право на коригиране на неточни или на непълни лични данни;

право на изтриване („право да бъдеш забравен„) на лични данни, които се обработват незаконосъобразно или с отпаднало правно основание (изтекъл срок на съхранение, оттеглено съгласие, изпълнена първоначална цел, за която са били събрани, и други);

право на ограничаване на обработването при наличие на правен спор между администратора и физическото лице до неговото решаване и/или за установяването, упражняването или защитата на правни претенции;

право на преносимост на данните, когато личните данни се обработват по автоматизиран начин на основание съгласие или договор. За целта данните се предават в структуриран, широко използван и пригоден за машинно четене формат;

право на възражение по всяко време и на основания, свързани с конкретната ситуация на лицето, при условие, че не съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни или съдебен процес;

право да не бъдете обект на изцяло автоматизирано решение, включващо профилиране, което поражда правни последствия за него или го засяга в значителна степен;

Произтичащите от Общия регламент относно защитата на данните права може да упражните чрез писмено заявление до администратора на лични данни. Заявление може да се подаде и по електронен път при условията на Закона за електронния документ и електронните удостоверителни услуги, Закона за електронното управление и Закона за електронната идентификация.

Заявлението съдържащо искане за упражняване на право следва да съдържа:

– име, адрес, единен граждански номер или личен номер на чужденец или друг аналогичен идентификатор, или други идентификационни данни на физическото лице, определени от администратора, във връзка с извършваната от него дейност;

– описание на искането;

– предпочитана форма за получаване на информация при упражняване на правата настоящата Политика;

– подпис, дата на подаване на заявлението и адрес за кореспонденция.

– при подаването на заявление от упълномощено лице към заявлението се прилага и пълномощното.

Чл. 28. Правата, посочени по-горе, се упражняват чрез подаване на писмено заявление  на електронен адрес [email protected] при спазване условията на Закона за електронния документ и електронните удостоверителни услуги, Закона за електронното управление и Закона за електронната идентификация.

ПРАВО НА АДМИНИСТРАТОРИТЕ ПРИ ЯВНА НЕОСНОВАТЕЛНОСТ ИЛИ ПРЕКОМЕРНОСТ НА ИСКАНИЯТА НА СУБЕКТА НА ДАННИТЕ:

При явна неоснователност или прекомерност на исканията на субектите на данни, съгласно чл. 12, параграф 5 от Регламент (ЕС) 2016/679 по преценка на администраторите те имат право да откажат да предприемат действие по искането или да наложат разумна такса и да предоставят информацията по чл. 13 и 14 от регламента или да предприемат исканите действия по чл. 15 – 22 от Регламента.

Явно неоснователно е такова искане, когато субектът на данни иска безплатно копия от документи, в които се съдържат личните му данни под предлог, че безплатно се получава копие от лични данни.

Прекомерно е искане на субект на данни:

  • Което надхвърля съдържанието на установените в Регламент (ЕС) 2016/679 права или, дори да е в рамките на Регламента, разглеждането и уважаването му изисква значителни усилия от страна на администратора (както човешки и времеви ресурс, материално-техническа обезпеченост и др.). Например субектът на данни изисква от администратора да започне обработването на личните данни с автоматични средства, за да възникне правото му на преносимост на личните данни; субектът на данни иска достъп до информационна система на администратора, която е с ограничен достъп, под предлог, че желае сам да въведе, коригира или изтрие данните по нея.
  • Което е повтаряемо (искания с един и същ предмет, например за упражняване на правото на достъп до всички лични данни в процес на обработване), като интервалите от време, през които то се подава, не са разумно обусловени от настъпването на промени в предоставената вече от администратора информация по предходното искане със същия предмет (например не са настъпили промени в правната рамка, която регулира определени параметри на обработването на данните, от което да може да се предположи, че вече предоставената информация по предходното искане е неактуална).

ПРАВО НА ЖАЛБА ДО КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ:

Ако считате, че Вашите права по Общия регламент за защитата на данните са нарушени, имате право да подадете жалба до Комисията за защита на личните данни или до съда.

ЛИПСА НА АВТОМАТИЗИРАНО ВЗЕМАНЕ НА ИНДИВИДУАЛНИ РЕШЕНИЯ, ВКЛЮЧИТЕЛНО ПРОФЛИРАНЕ:

Администраторите не прилагат автоматизирано вземане на индивидуални решения, включително профилиране.

ПРЕХВЪРЛНЕ НА ЛИЧНИ ДАННИ В ТРЕТИ СТРАНИ ИЛИ МЕЖДУНАРОДНИ ОРГАНИЗАЦИИ:

Администраторите предават личните данни в трети държави или международни организации в случаите на сезирането на Европейския съд по правата на човека, Съда на Европейския съюз или при сезиране на европейските институции и подаване на молби, жалби, искания, сигнали и други до международни организации и институции.

ЗНАЧЕНИЕ НА ПРЕДОСТАВЕНИТЕ ЛИЧНИ ДАННИ:

С Ваше съгласие обработваме личните данни, когато доброволно преценявате да участвате в обявени инициативи на администраторите. В тези случаи имате право по всяко време да оттеглите съгласието си. Оттеглянето на съгласието води до преустановяване на участието Ви в съответната инициатива. Ако инициативата е свързана с получаване на финансова подкрепа и сте получили такава, след оттеглянето на Вашето съгласие, ние ще съхраним Вашите лични данни за постигане на необходимата съгласно правилата на инициативата финансова отчетност.

ОТ КАКВИ ИЗТОЧНИЦИ ПОЛУЧАВАМЕ ЛИЧНИ ДАННИ:

Обработваните от администратора лични данни се предоставят от физическите лица, за които се отнасят, както от физическите лица, иницииращи срещу други физически лица процедури, проверки и други действия за защита на правата им. Част от информацията се получава от публични източници, като например регистъра на имуществените отношения на съпрузите, кадастралните регистри и карти и други.

Администраторите си запазват правото да правят изменения и допълнения в настоящата Политика. При извършване на промени в Политиката те ще бъдат своевременно отразявани в нея и предоставяни на разположение субектите на данни в раздел „Защита на личните данни” на уебсайтовете на „ЦАЛАНДО” ЕООД.