Политика за защита на лични данни
Политика на търговско дружество „КЕНДИ” ООД
за защита на физическите лица във връзка с
обработването на личните им данни
ПРЕАМБЮЛ
Настоящата политика за защита на физическите лица във връзка с обработването на личните данни изразява безусловната воля на Кенди ООД да осъществява своята дейност в пълно съответствие с осъществяваната от Европейския съюз политика на защита на физическите лица при обработката на личните им данни, както и с разпоредбите на националното законодателство, като намира баланс между правата и свободите на физическите лица и своя търговски, финансов и правен интерес за успешно осъществяване на основната дейност на дружеството, както и други дейности, свързани с основата и извършвани чрез сътрудничество с други администратори и/или обработващи лични данни
Настоящият документ съдържа практически разпоредби и уточнения по прилагане на изискванията на Регламент (ЕС) 2016/679О на Европейския парламент и на Съвета от 27 април 2016 г., наричан за краткост GDPR или Регламента, на относимите разпоредби на Закона за защита на личните данни, на подзаконовите актове по прилагането му, насоките на Комисията за защита на личните данни и Европейския комитет по защита на данните.
I. ИНФОРМАЦИЯ ЗА „КЕНДИ” ООД
1.1. Търговско дружество „КЕНДИ” ООД действа като администратор на лични данни на своите служители и на физическите лица-представители на юридическите лица-клиенти на Дружеството, както и по отношение на други физически лица, с които влиза в отношения, при и по повод които се налага и/или изисква обработката на данни.
1.2. Търговско дружество „КЕНДИ”ООДдейства като обработващ на лични данни по отношение на личните данни за физически лица, получавани от трети лица (юридически лица; публична администрация; публични регистри, други физически лица, които не са клиенти на Дружеството и пр.) при и по повод своята пряка дейност на Дружеството и/или на договорно основание и/или по силата на друго основание, допустимо от Регламента.
1.3. Основната дейност на Дружеството е производство и реализация на витамини, хранителни добавки, пакетирани храни, подправки и напитки.е водеща компания с дългогодишен опит в развитието, производството и реализацията на хранителни добавки. Създадена през 1992
II. ОСНОВНИ ПРИНЦИПИ НА ДЕЙНОСТТА НА „КЕНДИ” ООД ПРИ
ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ
2.1. Принцип на „законосъобразност, добросъвестност, прозрачност”:
Дружеството, чрез съдружниците и/или своите служители и/или работници, обработва лични данни при наличието и/или спазването на предвидените в чл. 6 отGDPR условия, като осигурява във възможно най-висока степен защита и сигурност на обработваните данни и предоставя на субектите на данни достъп до информацията, предвидена в член 13 и/или тази, свързана с правомощията на субекта по чл. 15 от Регламента.
2.2. Принцип на „ограничение на целите”:
Дружеството, чрез съдружниците и/или своите служители и/или работници, обработва лични данни за конкретни, изрично указани в уведомлението по член 13 и легитимни цели, като не допуска по-нататъшно обработване по начин, несъвместим с тези цели.
2.3. Принцип на „свеждане на данните до минимум”:
Дружеството, чрез съдружниците и/или своите служители и/или работници, обработва само такива лични данни, които са подходящи за, свързани с и ограничени до необходимото за конкретните цели на обработването.
2.4. Принцип на „точност”:
Дружеството, чрез съдружниците и/или своите служители и/или работници, поддържа съхраняваните и обработвани от тях лични данни актуални спрямо известната им информация, като съобразно същата предприемат всички разумни и необходими мерки за гарантиране на своевременно изтриване или коригиране на неточни данни, съобразено с целите на обработването.
2.5. Принцип на „ограничение на съхранението”:
Дружеството, чрез съдружниците и/или своите служители и/или работници, обработва лични данни за период с минимална продължителност съгласно целите, за които са получени тези данни и съобразно предварително посочения или законоустановен срок, а при липса на такъв – непосредствено след достигане на целите, за които се обработват данните.
2.6. Принцип на „цялостност и поверителност”:
Дружеството, чрез съдружниците и/или своите служители и/или работници, обработва данните по начин, който гарантира подходящо и достатъчно ниво на сигурност чрез подходящи технически или организационни мерки, включително и по отношение на формата, които осигуряват защита, включително, но не само, срещу неразрешено и незаконосъобразно обработване, случайна загуба, унищожаване или повреждане на обработваните лични данни.
2.7. Принцип на „отчетност”
Дружеството, чрез съдружниците и/или своите служители и/или работници, поддържа нарочни регистри, бази данни и документация, чрез които се доказва спазване на принципите при обработката на лични данни, посочени по-горе.
III. ОСНОВНИ КАТЕГОРИИ ЛИЧНИ ДАННИ И ЦЕЛИ НА ТЯХНОТО ОБРАБОТВАНЕ
3. За нуждите на своята дейност Дружеството възприема съдържанието на термина „лични данни” така както е посочено в чл. 4 т. 1 от Регламента, а именно: всяка информация, независимо от нейния обем, характер и форма, която позволява идентификацията на което и да е физическо лице (субект на данни), включително, но не само: име, идентификационен номер (единен граждански номер, личен номер на чужденец, служебен номер от регистъра на НАП или друг номер, позволяващ идентификация на лицето), данни за местонахождение, онлайн идентификатори или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
4. Дружеството чрез своята дейност изпълнява не по-малко от следните цели:
4.1. Да поддържа трудово-правни отношения със своите служители;
4.2. Да поддържа дружествените отношения с и между съдружниците;
4.3. Да поддържа договорни отношения с физически лица – клиенти/възложители и/или физически лица, представляващи клиенти/възложители при и по повод осъществяването на основната и/или съпътстващите дейности на Дружеството;
4.4. Да поддържа партньорски отношения, договорни и/или неформални, с трети лица, за осъществяване на основната и/или която и да е от съпътстващите я дейности, включително, но не само: счетоводители, данъчна администрация, Агенция по вписванията; Служба по трудова медицина; Главна инспекция по труда, Банки, Застрахователни компании и застрахователни брокери, нотариуси и пр.
5. За постигане на по-горе изброените цели, Дружеството обработва не по-малко от следните категории и конкретни видове данни, при описаните по-долу условия:
5.1.1. ОБИЧАЙНИ ДАННИ:
i) имена– за трудови договори, за участие в рекламни игри, за получаване на стоки, за пълномощни и пр.;
ii) адрес – постоянен, настоящ, за кореспонденция за нуждите на конкретно отношения (изпращане на спечелите награди) и/или за нуждите на конкретен договор; електронна поща;
iii) телефонни номера – личен, служебен, на който субектът се е съгласил да получава обаждания;
iv) ЕГН / ЛНЧ;
v) трудова книжка, служебни бележки от предходен работодател – за справка за стажа, за използвания годишен отпуск и за облагаемия доход за годината на постъпване;
vi) дипломи, сертификати, относими към длъжността;
vii) лични банкови сметки – за изплащане на възнаграждения;
viii) видеонаблюдение с цел защита на собствеността на Дружеството, сигурността на служителите и техниката, както и обезпечаване на изпълнението на хигиенните изисквания към производството на Дружеството;
iх) почерк – подпис и лично попълване на данните, които се предоставят от субекта;
х) aвтобиографии (CV) – при кандидатстване и/или постъпване на работа.
5.1.2.Тези данни, изцяло или отделни видове, се обработват на основанията, предвидени в Регламента, като най-често се обработват на следните основания (i)изрично и недвусмислено съгласие от страна на субекта на данни; (ii)изпълнение и/или подготовка на договор, по който субектът е страна или е заявил, може и устно, че иска да бъде; (iii)в изпълнение на законово задължение на администратора (напр. идентификация по Закона за мерките срещу изпиране на пари);
5.2.СПЕЦИАЛНИ (ЧУВСТВИТЕЛНИ) ДАННИ:
5.2.1. В изпълнение изискванията на Кодекса на труда и приложимите към сигурността и безопасността на производсвото на Дружеството изисквания и приложими стандарти, Кенди ООД обработва чувствителни данни за здравословното състояние на своите служители и/или работници, която се съдържа в следните източници на информация:
i) карта за предварителен медицински преглед – за справка при постъпване на работа;
ii) здравна книжа – за работещите в производството;
iii) болничен лист – при временна нетрудоспособност поради болест;
iv) ТЕЛК/НЕЛК решения
5.2.2. Извън горното, данните, които Регламентът определя като специални в член 9 параграф 1, се обработват от Дружеството единствено когато е налице поне едно от следните условия:
i) налице е изрично съгласие на субекта, в което се посочва целта/целите на обработката и това съгласие е достатъчно, за да отмени изрична законова забрана за обработката на такива данни (независимо дали е в правото на ЕС или по силата на национална правна норма);
ii) субектът не е в психическо и/или физическо състояние да даде съгласие, а обработката е необходима за да бъдат защитени негови или на друго физическо лице жизненоважни интереси;
iii) обработването, включително и на данни, свързани с присъди и нарушения или със свързаните с тях мерки за сигурност, е необходимо за изпълнение на възложените от субекта на дружеството задачи, като например установяване, упражняване и защита на правни претенции, и други подобни;
5.2.3. В случай че обработваните специални данни са направени обществено достояние от самия субект на данните, Дружеството е свободно да ги обработва свободно в изпълнение на възложените му от клиент и/или държавен орган конкретни задачи и/или функции.
5.2.4. Когато е необходимо обработването на чувствителни данни за целите на социалната закрила, респективно трудово-правни отношения с конкретния субект, както и за целите на превантивната или трудовата медицина, оценка на трудоспособността на служителя, осигуряване на лечение или други здравни и социални грижи, Дружеството осигурява обработката да се извършва от служител, обвързан със задължението за опазване на професионалната тайна (нарочен HR служител).
5.3. Дружеството не задържа копия от документи, освен в изрично посочените от закона случаи или след недвусмислено съгласие на субекта, или в изпълнение на възложената му чрез документирано нареждане му от друг администратор, на отговорност на последния, обработка.
5.4. Обработката на данни, които се отнасят за субекти, които не са ги предоставили лично, се извършва при спазване на изискванията за уведомяване на член 14 от Регламента, респективно на резервата, която се допуска с параграф 5 от същия член.
IV. ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА
ОСИГУРЯВАНЕ СИГУРНОСТТА И ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ НА ФИЗИЧЕСКИТЕ ЛИЦА
6. Обработката на всички видове данни, независимо от тяхната категория, се извършва при възможно най-висока степен на защита (техническа и/или организационна) на права и свободи и законови интереси на физическите лица във връзка с обработката на личните им данни.
6.1. Данните се съхраняват на хартиен носител, който при необходимост за изпълнение на възложената на Дружеството работа и/или в изпълнение на законова разпоредба могат да бъдат предадени на трети лица, както чрез копие на съответния хартиен носител и/или по електронен път при спазване на условията за този вид обработка, включително и при съблюдаване на приложимите технически мерки за сигурност.
6.2. Защитата на данните на хартиено копие, както и на електронен носител от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поредица от вътрешно регулирани технически и организационни мерки, като съхраняваме информацията при нас, тя се запазва физически и на собствени сървъри в центрове за съхранение на данните на територията на Кенди ООД.
6.3. Дружеството гарантира, че достъпните му при и по повод пряката му дейност и/или взаимоотношенията му с трети лица лични данни, се обработват единствено за постигане на конкретна измежду заявените по-горе цели, както и че тези данни не са общодостъпни, като само в случай на злонамерена намеса на физическо лице, в защита от каквато са налице адекватни мерки, тяхната сигурност може да бъде засегната. В случай на посегателство срещу сигурността и защитата на личните данни, Дружеството се задължава своевременно да уведоми КЗЛД и засегнатия субект на данни, когато са налице основания за това.
6.4. Дружеството се ангажира да осигурява възможно най-висока степен на защита на кореспонденцията със субекта на данни и/или с трети лица по повод конкретния субект, когато тази кореспонденция съдържа такъв вид и род информация и данни, които са свързани с индивидуализирания субект или създават условия да може да бъде индивидуализиран.
6.5. В случаите когато са налице предпоставки за уведомяване за използване на личните му данни трето лице, с което Дружеството няма непосредствени, формални или не, отношения, кореспонденцията се извършва чрез куриер на известния на администратора адрес.
6.6. Дружеството е определило Длъжностно лице по защита на данните (ДЛЗД), което осъществява общ контрол върху политиките, практиките и отчетността на Дружеството при и по повод защита на физическите лица, които имат отношения с Кенди ООД, във връзка с обработването на техните данни. ДЛЗД осъществява своята дейност при най-висока степен на независимост от Дружеството, гарантирана обективност на преценките и препоръките и при стриктно спазване на възложените му от закона задачи.
ПРОТОКОЛ НА ВЗАИМООТНОШЕНИЯ, ОТЧЕТНОСТ И КОНТРОЛ:
7. При обработването на личните данни, Дружеството се придържа към следния
Протокол на взаимоотношения, отчетност и контрол:
7.1. Определя се Служител по защита на данните (СЗД), който е в трудово-правни отношения с Кенди ООД, съвместява други функции и разполага със следните задължения и компетенции:
7.1.1. Води следните регистри в електронен вариант, по одобрени от управителя образци:
*Регистър за личните данни на заетите по трудов договор и/или по договор за поръчка (граждански договор), които обработва Дружеството, в който се отразява информацията, която е известна на работодателя, особено когато представлява информация за чувствителни данни (заболявания, физически особености и пр.);
* Регистър на клиентите, в който се отразяват имената на физическите лица, чийто данни Дружеството обработва (независимо дали са непосредствен клиент или представител на клиент) и номера на досието, в което могат да бъдат намерени лични данни;
* Регистър на нарушенията на сигурността на данните,в който се нанася не по-малко от следната информация: (i) в какво се състои нарушението и кратко описание на обстоятелствата около откриването му; (ii) дата на откриванена нарушението; (iii) дата на уведомяване на надзорния орган; (iv) ФЛ, което е обработило данните и от името на кого (администратор/обработващ); (v) описание на предприетите мерки за ограничаване на последствията от това нарушение;
*Регистър на запитванията и исканията на субектите на лични данни, респективно на предприетите от Дружеството мерки и предоставени отговори;
7.1.2. СЗД извършва периодични проверки по досиетата на заетите по трудов договор, както и на останалите документи, в които се съдържат лични данни и следи за спазване на принципите, в частност целево и без излишна информация, обработване на данните; за проверката се съставя протокол с направените констатации и/или препоръки и указания, копие от който се предоставя на управителя и засегнатите служители, които работят със съответното досие и друго копие се класира в нарочен регистър на хартиен носител;
7.1.3. СЗД изисква от IТ специалиста да извършва поне веднъж месечно проверки на техническото състояние на мерките за сигурността на данните, включително, но не само: за проверката се съставя протокол, подписан отITи от служителя по защита на данните, копие от който се класира на хартиен носител;
7.1.4. СЗД отчита на тримесечие в писмена форма своята дейност по контрол върху обработването на личните данни пред Управителя или Длъжностното лице по защита на данните.
7.2.1. В Дружеството е създадена е и се поддържа организация, при която всяко едно лице, което има досег до лични данни от името на Дружеството, включително, но не само: служители, съдружници, юристи, счетоводители, IT специалисти и пр., обработва единствено и само такива лични данни, които са пряко свързани с възложената му задача и по изключение, след изрично възлагане и/или по заместване, обработва и данни, свързани със задачата на друг колега.
7.2.2. Със заповед на управителя се определят служителите, които имат право да обработват лични данни, включително и в какъв обем (конкретните видове данни), посочват се изрично целите, за които отделният служител може да извършва обработка.
7.2.3. Дружеството поддържа на хартиен носител досиета на всеки свой служител/работник и/или клиент, в което досие не се съдържа повече информация, съответно лични данни, отколкото са необходими за изпълнение на основната и съпътстващите я дейности на Дружеството. В досиетата се съхраняват и данни, за чието обработване клиентът е дал своето недвусмислено съгласие.
7.3.1. Трансфер на данни между отделните служители в Дружеството се извършва съобразно разпределението на функциите и задачите между тях, като техническото средство е чрез служебни електронни адреси.
7.3.2. Трансфер на данни към други администратори и/или обработващи данни се осъществява от отговорния за съответния вид данни и взаимоотношения служител съобразно уговорения в нарочен договор с другия администратор организационен и технически механизъм
7.3.3. Дружеството, по отношение на всеки един етап от обработката на данни, поддържа такива технически решения и организационни мерки, посредством които не се позволява обработваните лични данни да са достъпни до неограничен брой лица, както и се обработват само тези лични данни, които са необходими за конкретната цел при всяко конкретно обработване.
7.3.4. Дружеството определя сроковете за съхранение на личните данни да са в продължение на по-дългия измежду срока, определен в приложим нормативен акт и необходимия за осъществяване на конкретната цел, за която се обработват данните.
7.4. По преценка на Дружеството, с оглед защита интересите на субекта и/или интерес от обществено значение, личните данни могат да продължат да се съхраняват и след изтичане на сроковете по т. 7.6.1., за което се уведомява субекта, който е свободен да се възползва от правото му на възражение и/или ограничаване на обработката, и/или коригиране, и/или изтриване, ако са налице предпоставките за това.
7.5. За всяко действие по обработване на данни, включително и по отношение на видеонаблюдението и в случаите на унищожаване, се води в подходяща форма отчет, в частност, се съставя протокол, на хартиен носител и/или в електронна форма, включително се вписва и в съответния регистър, ако е приложимо.
ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО
8.1. Дружеството се ангажира периодично да извършва Оценка на въздействието на предвидените операции по обработването на данните по отношение на тяхната сигурност.
8.2. В случай на нововъведения, технически или организационни, Оценката ще предшества тяхното прилагане.
8.3. В случай на повишаване на риска за сигурността на данните, респективно за правата и свободите на субектите, Дружеството се ангажира да поиска незабавна консултация с КЗЛД относно необходимите мерки за ограничаване на този риск.
8.4. Независимо от горното, Дружеството се ангажира да извършва Оценка на въздействието на всяка една операция по обработването, която бъде определена като задължително подлежаща на оценка от ЗЗЛД и/или от КЗЛД.
V. МЕХАНИЗМИ, ПО КОИТО ДРУЖЕСТВОТО ОСИГУРЯВА
ПРАВАТА НА СУБЕКТИТЕ НА ДАННИ, КОИТО GDPRПРЕДОСТАВЯ:
9.1. Относно Правото на субекта да получи информация към момента на предоставяне на личните си данни:
9.1.1. Дружеството предоставя, срещу подпис от субекта, информационен формуляр по образец (Приложение 1), одобрен от Управителя, който съдържа не по-малко от следната информация: (i) наименованието, ЕИК, координати за връзка с Дружеството; (ii) какви данни ще бъдат поискани от субекта и с каква цел, респективно на какво основание, както и дали ще подлежат на предаване на трети лица и с каква цел; (iii) за какъв срок ще бъдат обработвани данните; (iv) местата, на които има видеонаблюдение в обекта; (v) кратко описание на правата на субектите, включително и правото на жалба до надзорния орган; (vi) Към уведомлението се прилагат и бланки за съгласие и оттегляне на съгласие, по образец, одобрен от управителя (приложение 2 и 3).
9.1.2. В случай че за изпълнение на легитимните цели на Дружеството и/или за защита на негови искови претенции, е необходимо използването на данните на субекта и след изпълнение на целите, за които са събрани и/или след изтичане на срока, за който са предвидени за съхранение данните, преди да продължи тяхното обработване, Дружеството предоставя на субекта отново посочената по-горе информация. В случай че Дружеството не може да докаже, че това уведомление е достигнало до субекта, то преустановява ползването на данните
9.2. Относно Правото на субекта да бъде уведомен, че личните му данни се използват
В случаите когато Дружеството обработва лични данни, които не е получило от субекта на същите данни, то то дължи на този субект уведомление, в което са записани не по-малко от информацията по т. 9.1.1. от настоящия документ. Уведомление не се дължи, в случаите когато субектът вече разполага с тази информация и/или дал е съгласието си и/или когато уведомяването изисква, най-общо казано, несъразмерно големи усилия, или пък обработката се изисква от закона.
9.3. Относно Правото на субекта да получи потвърждение дали се обработват данни, свързани с него:
а) Дружеството приема писмени запитвания, в свободен текст, с изрично посочен адрес за получаване на отговора, подадени лично от субекта или чрез негов представител по пълномощие или по закон (ако субектът е дете или друг недееспособен)
б) Запитванията се вписват в съответния регистър;
в) Дружеството предоставя отговор на субекта в срок не по-дълъг от един месец, считано от датата на регистриране на запитването; отговорът се изпраща на посочения от субекта адрес
9.4. Относно Правото на субекта да получи данните, свързани с него, както и същите да бъдат трансферирани към друг администратор (преносимост на данните):
9.4.1. Дружеството приема писмени искания за предаване на данни на субекта, които той е предоставил и/или трансферирането им към друг администратор, в свободен текст, подадени лично от субекта или чрез негов представител по пълномощие или по закон (ако субектът е дете или недееспособен на друго основание);Искането следва да съдържа изрично посочване на адреса, на който да бъдат трансферирани данните и/или адреса, на който субекта да получи уведомление, че данните му са готови за предаване; В искането се посочва и обемът от данни, който да бъде трансфериран, като в случай че не се съдържа уточнение, администраторът прехвърля всички данни, с които разполага и които отговарят на изискванията за преносимост, посочени по-долу в съответствие с разпоредбата на чл. 20 параграф 1 от Регламента.
9.4.2. Искането се вписва в съответния регистър;
9.4.3. Дружеството се ангажира да предаде на субекта съхраняваните за него данни в структуриран, широко използван и пригоден за машинно четене формат, във възможно най-кратък технологичен срок когато данните се обработват на основание съгласие, включително и когато се отнася за чувствителни данни, или в изпълнение на задължение по договор, по който конкретният субект е страна;
9.4.4. Дружеството се ангажира, без излишно забавяне, да прехвърли съхраняваните и подлежащите на трансфер данни за конкретния субект, в поискания от него обем, на посочения в искането администратор. Дружеството има право да поиска потвърждение за получаването както от третото лице, така и от самия субект.
9.5. Относно Правото на субекта да поиска коригиранена данните, свързани с него:
9.5.1. Дружеството отразява искането в Регистъра на запитванията, като след извършване на корекцията, Дружеството уведомява субекта на посочения в искането електронен адрес.
9.5.2. Дружеството се ангажира да извърши корекцията във възможно най-кратък технологичен срок съобразно записаната в искането за корекция информация. Когато искането за корекция се основава на информация в официален документ, Дружеството има право да поиска за сверка този документ.
9.6. Относно Правото на субекта да поиска ограничаване на обработването
9.6.1. Искането се отразява в съответния Регистър, като Дружеството уведомява субекта за своето решение и/или действия на посочения в искането електронен адрес.
9.6.2. В случай че са налице предпоставките за ограничаване на обработката[1], Дружеството се ангажира да ограничи , ако са единствено да продължи да съхранява данните и да не ги използва без изричното съгласие на субекта, освен за установяване и защита на правни претенции или защита правата на друго ФЛ, или поради важни основания от обществен интерес; Уведомява клиента за своето решение и/или действие.
9.7. Относно Правото да бъдеш забравен:
9.7.1. Дружеството се ангажира да заличи от собствената си база данни, независимо дали е на хартиен носител и/или в електронен вид, без ненужно забавяне, личните данни, които е посочил субекта, при наличие на поне едно от следните условия:
i) постигнат е резултата, за който първоначално са събрани данните;
ii) субектът оттегля своето съгласие за обработване и няма причина обработването да продължи на друго легитимно основание;
iii) субектът възразява срещу обработването, което не може да бъде оправдано със съществуването на законови основания за продължаване на обработването, които да имат предимство пред интереса на субекта или да са необходими във връзка с установяване, упражняване и защита на правни претенции.
iv) обработването е незаконосъобразно.
9.7.2. Дружеството се ангажира да предприеме разумни действия да уведоми обработващите от негово име и/или трети лица, самостоятелни администратори, на които Дружеството е трансферирало изцяло или част от известните му лични данни на субекта, че последният е пожелал да бъде забравен. Дружеството ще положи възможната грижа, за да се увери и потвърди на субекта, че заличаването е факт.
9.7.3. Дружеството не се ангажира да осигури удовлетворяване на Правото да бъдеш забравен, в случаи че обработването е необходимо за управляване правото на свобода на изразяване от името на Дружеството и правото на информация, както и за спазване на законово задължение, вменено на Дружеството от приложимото право и/или когато обработването е необходимо за установяване, упражняване и защита на правни претенции.
9.7.4. За изтриването или за отказа да бъде извършено, се прави отбелязване в съответния регистър. Отказът за изтриване е аргументиран и се връчва на посочения в искането адрес. Субектът има право да подаде сигнал до КЗЛД.
9.8. Относно Правото на възражениесрещу обработването на лични данни:
9.8.1. Дружеството отразява всяко възражение в съответния регистър и го разглежда по отношение на посочените във възражението основания, свързани с конкретното положение на конкретния субект.
9.8.2. В случай че са налице предпоставките за това, Дружеството преустановява по-нататъшното обработване във възможно най-кратък срок. В случай че съществуват убедителни законови основания за продължаване на обработването, за които се твърди от страна на Дружеството, че имат предимство над правата на субекта и/или обработването е необходимо за защита на правна претенция, Дружеството временно ограничава обработването за периода до постигане на разбирателство със субекта или до произнасяне на КЗЛД.
9.9. Относно Правото на субекта да възрази срещу обработването за целите на директния маркетинг и/или вземане на индивидуални автоматични решения
9.9.1. Дружеството се ангажира, в случай че субектът се противопостави, да не обработва данните му за нуждите на директния маркетинг и/или свързаното с него профилиране.
9.9.2. Дружеството, най-късно в момента на първия контакт с конкретен субект, го уведомява изрично, ясно и точно, отделно от останалата дължима информация, че субектът има право да откаже неговите лични данни да бъдат използвани за целите на директния маркетинг и/или профилиране с тази цел.
9.9.3. Дружеството не осъществява действия, които пряко засягат неговите служители, клиенти и партньори и които са в резултат на автоматизирано обработване и/или профилиране, освен ако не е налице изрично съгласие за това от конкретния субект.
VI.МЕХАНИЗМИ НА ЗАЩИТА В СЛУЧАЙ НА
НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ И/ИЛИ ДРУГ ВИД НАРУШЕНИЯ
10. В случай на нарушение сигурността на личните данни, служителят по защита на данните, незабавно след узнаване за пробива, предприема следните действия:
а) предприема мерки, технически и/или организационни, за ограничаване на последствията и за недопускане в бъдеще на същото; едновременно с това
б) прави отбелязване в Регистъра на нарушенията;
в) в срок до 72 часа уведомява КЗЛД, освен ако нарушението не създава опасност за правата и свободите на физическите лица, чийто данни са засегнати;
г) ако са налице предпоставки за това* съобщава на субекта, чийто данни са засегнати от нарушението.
11.1. В случай че субект на данни се почувства засегнат от дейността на Дружеството по обработката да личните му данни, то Дружеството е в готовност да изслуша оплакванията и при възможност и/или основателност на оплакването, да постигне споразумение със субекта и да предприеме адекватни мерки по преустановяване на действията, от които се оплаква субекта на данни, освен в случаите когато тези мерки биха довели до нарушение на права и свободи на трети лица, до нарушение на законово задължение на Дружеството и/или до невъзможност да изпълнява свои легитимни цели.
11.2. Записаното в точка 11.1. не отменя правото на всеки субект на данни да подаде жалба до КЗЛД, в случай че намира, че обработването на лични данни, които се отнасят до него, се извършва в нарушение на приложимите нормативни документи. Жалба може да бъде подадена и до надзорен орган в друга държава членка.
11.3. Всеки субект на данни има право на ефективна съдебна защита, респективно и на правото да получи справедливо обезщетение, както срещу решенията на КЗЛД, които го засягат и обвързват, така и срещу действията на Дружеството по обработване на данни, които действия са засегнали субекта и съставляват нарушение на приложимите правни норми.
VII.ВЗАИМООТНОШЕНИЯ С ДРУГИ АДМИНИСТРАТОРИ И/ИЛИС ОБРАБОТВАЩИ ДАННИ
12.1. В случаите когато при и по повод изпълнение на своята дейност, на Дружеството се налага сътрудничество с други администратори и/или обработващи на лични данни, Дружеството взаимодейства с тези трети лица по силата на нарочен договор и/или на основание изпълнение на законово задължение и/или правен интерес на Дружеството.
12.2. Взаимоотношенията на Дружеството с обработващите лични данни се уреждат чрез нарочен договор, освен в случаите когато взаимоотношенията с конкретния обработващ личните данни се основават на конкретна законова разпоредба.
VIII. ПРЕХОДНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
13.1. В срок до влизане в сила на Регламента, Дружеството прави ревизия на обработваните и съхранявани лични данни, като предприема действия за заличаване и/или унищожаване на тези от данните, респективно документите, в които се съдържат, за които не е налице изрично съгласие и/или законово основание и/или правен интерес от страна на Дружеството и/или друго основание, предвидено в Регламента.
Не се изпраща съобщение до субекта, ако е изпълнено едно от следните условия: засегнатите данни са криптирани; или когато предприетите от Дружеството мерки гарантират, че няма вероятност от реални последствия за субекта; или когато личното уведомяване на всеки засегнат субект би довело до несъответстващи на проблема усилия и затова Дружеството ще направи публично оповестяване, за да се гарантира в еднаква степен ефективното уведомяване на всички засегнати субекти.
13.2. За тези от данните, които са необходими за успешно провеждане на рекламната, маркетинговата и търговската дейност на дружеството, и не е налице изрично основание за продължаващото им обработване, Дружеството изпраща изрично уведомление на съответните субекти като им указва, че могат да възразят срещу използването изцяло и/или да поискат ограничаване на обработването, респективно коригиране или изтриване. Уведомленията се изпращат до известните на дружеството електронни или пощенски адреси с изрично искане за потвърждение на получаването на уведомлението. По отношение на субектите, за които няма данни да са получили уведомлението, се прилага процедурата по заличаване и унищожаване на хартиените носители.
14.1. Всеки заинтересован субект на данни, както и трети лица администратори и/или обработващи лични данни, могат да се обръщат към Служителя по защита на личните данни на следния електронен адрес: rivanova@kendy.comпо въпроси, свързани с оперативната дейност по защита на сигурността на данните.
14.2. Длъжностното лице по защита на личните данни на Дружеството е: (посочва се име или наименование; координати за връзка)
15.1. За всички неуредени в настоящия документ въпроси, Дружеството се ангажира да прилага относимите разпоредби на Регламента, Закона за личните данни, Насоки на работната група по чл. 29, Становища на КЗЛД, както и други нормативни актове, които са приложими.
15.2. Дружеството изразява воля за добронамерено и взаимно удовлетворяващо намиране на разрешение на всеки спорен въпрос, от чието разрешаване се нуждае някое физическо лице, независимо от основанието за отношенията му с Дружеството (клиент, служител, партньор, пр.)
16. Политиката на Дружеството за защита на физическите лица във връзка с обработването на личните им данни подлежи на периодична актуализация с оглед всяко относимо изменение на приложимите нормативни актове, без значение на неговия ранг и/или автор.
Настоящaта Политика е одобрена от Общо събрание на съдружниците и е сведена до знанието на тези служители на Дружеството, които обработват лични данни от името на Дружеството в изпълнение на неговата дейност.
———-
*Предпоставки за основателност:
1. ако се оспорва точността – срокът на ограничението е за времето, което е необходимо на проверка и корекция;
2. обработването е неправомерно, но субектът не изисква изтриването, а само неизползването;
3. данните подлежат на заличаване поради изтичане на обявения за обработване период, субектът желае да бъдат съхранени във връзка с установяване и защита на правна претенция;
4. субектът е възразил срещу обработката, но към момента на искането е в ход проверка от КЗЛД дали законовото основание на Дружеството надделява над интересите на субекта.
**Не се изпраща съобщение до субекта, ако е изпълнено едно от следните условия: засегнатите данни са криптирани; или когато предприетите от Дружеството мерки гарантират, че няма вероятност от реални последствия за субекта; или когато личното уведомяване на всеки засегнат субект би довело до несъответстващи на проблема усилия и затова Дружеството ще направи публично оповестяване, за да се гарантира в еднаква степен ефективното уведомяване на всички засегнати субекти.