Политика за поверителност

ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ

 

„СЕЙЛСПРО“ ООД с ЕИК 206518635, със седалище и адрес на управление в гр. София, п. код 1407, район „Лозенец“, бул. Черни връх № 47А, представлявано от Борис Димитров Георгиев, наричано по-нататък за краткост като Администратор, прие настоящата Политика за защита на личните данни, наричана по-нататък за краткост Политиката, в съответствие с Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016, наричан по-нататък за краткост Регламента, и Законът за Защита на Личните Данни.

 

С настоящата Политика Администраторът цели да утвърдим правила относно това какви лични данни обработваме и за какви цели, на кого ги предоставяме, както и да разясним на физическите лица какви са правата им относно обработваните лични данни. 

 

• КАТЕГОРИИ ЛИЦА, ЧИИТО ЛИЧНИ ДАННИ СЕ ОБРАБОТВАТ

 

Във връзка с осъществяване на основната си дейност на лицензиран център за Професионално Обучение към НАПОО (Национална Агенция за Професионално Образование и Обучение) от Министерски съвет и управлението на собствения си уебсайт и предоставянето на информационни ресурси в него, Администраторът обработва лични данни относно следните категории физически лица:

1. Клиенти (Обучаващи се) – потребители в уебсайта на Дружеството;
2. Служители на Администратора;
3. Автори (Лектори) на обучителни материали;
4. Клиенти и други лица, отправящи запитвания, искания, бизнес предложения, сигнали, жалби към Администратора или осъществяващи друга кореспонденция с Администратора, независимо от използвания канал за комуникация;
5. Трети лица, информация за които се съдържа в запитвания, искания, бизнес предложения, сигнали, жалби или друга кореспонденция, отправена към Администратора, независимо от използвания канал за комуникация;
6. Лица, които са се абонирали за получаване на определени комуникации, изпратени от нас, в това число маркетингови съобщения, информационни бюлетини (newsletters) и др., както и посетители на корпоративните социални мрежи и ползватели на информационните ресурси, достъпни в тях.

 

• ОСНОВАНИЯ, ЦЕЛИ И СРОКОВЕ ЗА ОБРАБОТКА

 

1. Администраторът събира, съхранява и обработва личните данни, описани в раздел 3 по-долу, на някое от следните основания:
1. Изпълнение на законови задължения;
2. Изпълнение на договорни задължения;
3. Съгласие на физическото лице;
4. Защита на легитимните интереси;

 

1. Администраторът събира, съхранява и обработва личните данни, описани в раздел 3 по-долу, за следните цели:

• За целите на предоставяне на цялостна обучителна програма, както и отделни курсове на клиенти (обучаващи се) – потребители в уебсайта на Администратора:

- на законово основание – законът ясно и изчерпателно изброява необходимите документи, съдържащи лични данни, които Администраторът в качеството си на лицензиран център за Професионално Обучение към НАПОО, следва да събере от физическите лица при кандидатстването му по обучителна програма на Администратора. На това основание личните данни се обработват и за извършване на дейности по изпълнение на законови задължения, свързани с предоставяне на информация към компетентни държавни и съдебни органи и с оказване на съдействие при проверки от компетентни органи.

- на договорно основание – на това основание се обработват лични данни, които представляват задължителни реквизити при сключване на договор, както и лични данни, необходими за същинското му изпълнение, в това число лични данни за целите на извършване на последваща комуникация до клиенти физически лица на Администратора.

- на основание защита на легитимните интереси на Администратора - извършване на дейности по администриране и обслужване на кореспонденция, съдържаща жалби, сигнали и други, както и упражняване и защита на законните права и интереси на Администратора, в т. ч. установяване, упражняване или защита на правни претенции включително и по съдебен ред.

 

• За целите на сключване, изпълнение и прекратяване на трудови и граждански договори и изчисляване на работните заплати и обезщетения на служителите:

- на законово основание – законът ясно и изчерпателно изброява необходимите документи, съдържащи лични данни, които Администратора, в качеството му на работодател, следва да събере от физическите лица при встъпване в трудово/гражданско правоотношение с Администратора. На това основание личните данни се обработват и за извършване на дейности по изпълнение на законови задължения, свързани с предоставяне на информация към компетентни държавни и съдебни органи и с оказване на съдействие при проверки от компетентни органи.

- на договорно основание – на това основание се обработват лични данни, които представляват задължителни реквизити при сключване на договор, както и лични данни, необходими за същинското му изпълнение.

- на основание защита на легитимните интереси на Администратора – след изтичане на законовото и договорното основание за обработка на лични данни, Администратора има право да обработва лични данни на физическото лице за целите на упражняване и защита на законните си права и интереси, в т. ч. установяване, упражняване или защита на правни претенции, включително и по съдебен ред (например чрез подаване на и защита срещу подадени жалби, сигнали и други подобни към компетентните държавни и съдебни органи);

 

• За целите на сключване, изпълнение и прекратяване на договори за използване на авторски произведения с автори (лектори) и изчисляване на дължими възнаграждения:

- на договорно основание – на това основание се обработват лични данни, които представляват задължителни реквизити при сключване на договор, както и лични данни, необходими за същинското му изпълнение.

- на основание защита на легитимните интереси на Администратора – след изтичане на договорното основание за обработка на лични данни, Администратора има право да обработва лични данни на физическото лице за целите на упражняване и защита на законните си права и интереси, в т. ч. установяване, упражняване или защита на правни претенции, включително и по съдебен ред (например чрез подаване на и защита срещу подадени жалби, сигнали и други подобни към компетентните държавни и съдебни органи);

 

• За целите на осъществяване на входяща и изходяща кореспонденция от и към физически лица във връзка с запитвания, искания, бизнес предложения, сигнали, жалби или друго:

- на основание защита на легитимните интереси на Администратора - извършване на дейности по администриране и обслужване на кореспонденция, както и упражняване и защита на законните права и интереси на Администратора, в т. ч. установяване, упражняване или защита на правни претенции включително и по съдебен ред (например чрез подаване на и защита срещу подадени жалби, сигнали и други към компетентните държавни и съдебни органи);

 

• За целите на извършване на директен маркетинг към клиенти:

- на основание съгласието на физическото лице спрямо него да се извършват дейности, представляващи директен маркетинг;

- на основание защита на легитимните интереси на Администратора да популяризира извършваната от него дейност.

 

• За целите в областта на човешките ресурси(HR) и набирането на персонал, по-конкретно за бъдещо сключване трудов или граждански договор между физическото лице и Администратора или с цел Администратора да препоръча физическото лице и изпрати данни за него на трето лице - Работодател с цел бъдещо сключване на трудов или граждански договор:

• на основание съгласието на физическото лице спрямо него да се извършват дейности, които представляват последващо влизане в преговори за сключване на договор
• на основания съгласието на физическото лице неговите данни да се предават на трети лица с цел последващо сключване на договор.

 

1. Администратора събира, съхранява и обработва личните данни, описани в раздел 3 по-долу, за целите и основанията, описани в настоящия раздел, за следните срокове:

• За сключване, изпълнение и прекратяване на трудови и граждански договори и изчисляване на работните заплати и обезщетения на служителите:

- Трудови договори, Анекси към тях и длъжностни характеристики – до изтичане на 50 (петдесет) години от последното използване на лични данни от тях за изготвяне на Ведомост за възнаграждения;

- Ведомости за възнаграждения - до изтичане на 50 (петдесет) години от тяхното изготвяне;

- Всяка друга информация във връзка със сключените трудови и граждански договори – 3 (три) години от момента на прекратяване на сключения договор.

• За сключване и изпълнение на договори с клиенти:

- Лични данни относно клиентите (обучаващите се) – потребители в уебсайта на Администратора - до изтичане на 5 (пет) години от прекратяване на сключения договор, ако клиентът не се е възползвал повече от услугите на Администратора и не е комуникирал с нея;

• За сключване и изпълнение на договори за използване на авторски произведения с автори (лектори):

 - Лични данни относно клиентите на Администратора - до изтичане на 5 (пет) години от прекратяване на сключения договор, ако авторът (лекторът) повече не е сключвал договори с Администратора и не е комуникирал с нея;

• За защита на легитимните интереси на Администратора – личните данни се съхраняват за времето, през което за Администратора е наличен легитимният интерес и се унищожават веднага след неговото отпадане.

 

• За целите на извършване на директен маркетинг към клиенти

 – До изтичане на срока, за който физическото лице е дало своето съгласие;

 – Когато обработката се извършва на основание легитимния интерес на Администратора -  до изтичане на 5 (пет) години от извършване на дадената маркетингова активност, в случай че не е последвала комуникация с физическото лице във връзка с проведената активност или физическото лице не е възразило срещу изпращаната маркетингова комуникация.

• За целите на набирането на персонал

• До оттегляне на съгласието на физическото лице;

 

• ВИДОВЕ ЛИЧНИ ДАННИ, КОИТО СЕ ОБРАБОТВАТ

 

• Лични данни, необходими при предоставяне на обучителна програма или отделен обучителен курс:
• Лични данни, предоставяни при кандидатстване за обучителна програма:

- име и фамилия;

- контактни данни (телефон, имейл); 

- позиция (ученик, студент, маркетинг специалист, собственик, собственик на бизнес или друго);

- всички лични данни, съдържащи се в дипломата за средно или висше образование;

- всички лични данни и по-конкретно - данни за медицинско състояние, съдържащи се в медицински документ, доказващ, че професията, по която желае да се обучава, не му е противопоказна по смисъла на чл. 14, ал. 3 от Закона за професионалното образование и обучение;

- всяка друга информация, представляваща лични данни и необходима за сключване на договор и/или изпълнение на услуга или събрана във връзка с изпълнение на договор или услуга; 

• Лични данни, предоставяни при кандидатстване за обучителен курс:

- име и фамилия;

- контактни данни (телефон, имейл); 

 

• Личните данни, необходими при кандидатстване за работа в дружествата, част от Администратора и необходими за сключване на трудов и граждански договор, са следните:
• Лични данни, предоставяни при кандидатстване:

- имена;

- адрес;

- адрес на електронна поща (имейл адрес); 

- телефон; 

- всяка друга информация, представляваща лични данни, която физическото лице би желало да ни предостави във връзка със своята кандидатура; 

- лични данни, съдържащи се в приложени към кандидатурата документи (напр. дипломи, сертификати, трудова книжка и др.);

- информация, свързана с обработването на кандидатурата и резултата от нея.

• Лични данни, предоставяни при сключване на трудов или граждански договор, както и през време на трудовото правоотношение:

- имена по лична карта;

- ЕГН/ЛНЧ/дата на раждане;

- постоянен адрес;

- информация за трудов стаж;

- диагнози по болнични листове;

- решения на ТЕЛК – чувствителни лични данни за здравословно състояние;

- банкова сметка;

- снимка;

- снимки и видеоклипове за целите на осъществяване на маркетинговата стратегия на Администратора, само след изрично, писмено съгласие на служителя;

- всяка друга информация, представляваща лични данни, необходима за сключване и изпълнение на договора между страните.

• Лични данни, необходими при сключване и изпълнение на договори за използване на авторски произведения с автори (лектори):

- три имена;

- ЕГН;

- контактни данни (телефон, имейл);

- данни за банкова сметка.

 

•  Лични данни, събрани във връзка с отправени запитвания, искания, бизнес предложения, сигнали, жалби или друга кореспонденция с Администратора, независимо от канала на комуникация, през който се осъществява:

- Имена на лицето така, както са посочени от него в конкретната комуникация с Администратора;

- Телефонен номер, в случай че такъв е предоставен от физическото лице;

- E-mail адрес, в случай че такъв е предоставен от физическото лице;

- Адрес, в случай че такъв е предоставен от физическото лице 

- Лични данни, отнасящи се за трети лица, съдържащи се в първоначалната и последващата кореспонденцията с Администратора;

- всяка друга информация, представляваща лични данни и съдържаща се в първоначалната и последващата кореспонденция с Администратора или събрана или създадена във връзка с обработването, статуса и крайния резултат на съответната кореспонденция; 

 

•  Лични данни, предоставени при извършване на директен маркетинг към физически лица, посещение на Уебсайта на Администратора, корпоративните социални мрежи и при абонаменти за получаване на определени комуникации, в това число маркетингови съобщения, информационни бюлетини (newsletters) и др.
• Лични данни, предоставяни при извършване на директен маркетинг спрямо физическото лице

- име на физическото лице;

- всяка друга информация, включена в конкретната декларация за съгласие, която се предоставя на физическите лица за конкретната маркетингова активност.

• Лични данни, предоставени при посещение на уебсайта - освен ако изрично не е посочено друго, достъпът до Уебсайта е свободен и не е необходима регистрация, за да се използват наличните там информационни ресурси. Въпреки това, при използване на сайта, се събира информация, която може да спомогне за идентификация на конкретното физическо лице, както следва:

- дата и час на достъпване на Уебсайта;

- IP адрес, от който е осъществена връзката; 

- сървърни и системни логове (за установяване на технически проблеми и/или идентифициране на злонамерени действия); 

- когато е приложимо, логове за извършване на правни изявления (като например, потвърждаване на запознаването с Политиката за поверителност, абонамент за бюлетин и др.).

• Лични данни, предоставени при посещение на корпоративни профили в социалните мрежи - с цел популяризиране на дейността на Администратора и предоставяните от нея услуги, тя може да поддържа корпоративни профили в различни социални мрежи. Когато физическо лице взаимодейства с тези профили, Администратора може да достъпи лични данни за лицето в съответствие с настройките за поверителност на използвания от него профил. Такива лични данни са: 

- име;

- потребителско име; 

- лични данни от профила на физическото лице в съответната социална мрежа (напр. снимка, пол, възраст или възрастов диапазон, език, държава, списък с приятели, списък на харесани/следвани страници и др.); 

- всяка друга информация, представляваща лични данни, до която физическо лице е дало достъп на Администратора и която използваната от него социална мрежа предоставя на Администратора; 

• Лични данни, предоставени при абониране за получаване на определени комуникации, в това число маркетингови съобщения, информационни бюлетини (newsletters) и др. Такива лични данни биха могли да бъдат: 

- имена;

- електронна поща; 

- други лични данни, свързани със занятие, професия или интереси, които ще бъдат винаги ясно обозначени в съответната форма за абонамент.

Лични данни, използвани за последващо набиране на персонал от Администратора или трети лица:

- имена;

- адрес;

- електронна поща (имейл адрес); 

- телефон;

 

• ОПРЕДЕЛЯНЕ НА НИВО НА ВЪЗДЕЙСТВИЕ И МЕРКИ ЗА ЗАЩИТА

 

1. Съобразно целите, контекста, обхвата, естеството и количеството на обработваните лични данни Администратора, чрез своите законни представители, изготвя оценка за нивата на въздействие по отношение на рисковете с различна вероятност и тежест за правата и свободите на физически лица, в случай на нарушаване на сигурността на обработваните техни лични данни.
2. С оглед видовете обработвани от Администратора лични данни, надлежно описани в раздел 2 от настоящата политика, Администратора определя СРЕДНО НИВО НА ВЪЗДЕЙСТВИЕ, поради извършваната немащабна обработка на специални категории лични данни. Съобразно така определеното ниво на въздействие се определят надлежните мерки за защита на личните данни.
3. Физическа защита. Обработката на лични данни се извършва:

• от служители на Администратора, които са обучени относно политиките и правилата за защита на личните данни и им е предоставено ниво на достъп до личните данни съобразно възложените им задължения;
• в помещения, до които достъпът е контролиран и се ограничава до служителите на Администратора;
• хартиени досиета, регистри и справки се съхраняват в шкафове, които се заключват и ключове за тях имат служителите на Администратора и те единствени имат право да правят и предоставят копия от документите на трети страни, регламентирани получатели на лични данни по закон. Всички хартиени документи са дигитализирани и архивирани.
• упоменатите по-горе помещения за обработка и съхранение на физически документи са оборудвани с пожарогасители, в случай на пожар.

 

1.  Дигитална защита. Обработката на личните данни се извършва:

• на персонален компютър за всеки служител, извършващ обработка на лични данни, който е с инсталирана операционна система и с персонална парола за достъп, която трябва да бъде въведена при всяко пускане на компютъра и след негов покой;
• персоналните компютри са защитени с антивирусен софтуер;
• базите данни от обработката на лични данни се намират на сървър, който:

- физически се намира на изнесен адрес;

- физически достъп до него има IT отдела, както и лицето, което поддържа технически сървъра;

- дигитален достъп с парола до него имат служителите, които достъпват само релевантната към длъжността си информация, както и IT отдела, чийто служители имат пълен достъп;

- се управлява от операционна система и е защитен със защитна стена;

• правят се резервни и архивни копия на базите данни от обработката, които се съхраняват на сървър, който: 

- физически се намира на изнесен адрес;

- физически достъп до него има IT отдела, както и лицето, което поддържа технически сървъра;

- дигитален достъп с парола до него имат служителите, които достъпват само релевантната към длъжността си информация, както и IT отдела, чийто служители имат пълен достъп;

- се управлява от операционна система и е защитен със защитна стена;

 

1.  Когато сигурността на личните данни е нарушена и съществува риск или висок риск за правата и свободите на засегнатите физически лица, Администратора уведомява Комисията за защита на личните данни (КЗЛД), а в определени случаи и засегнатите лица.
2. Нарушение на сигурността на личните данни е налице тогава, когато нарушението води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
3. Когато служител на Администратора установи или получи информация (сигнал) от физическо лице за настъпило нарушение на сигурността, служителят следва да уведоми Управителя за нарушението без ненужно забавяне;
4. Когато Администраторът е възложил на подизпълнител обработване на лични данни, на последният е вменено задължението да уведоми Администратора за нарушението без ненужно забавяне, но не по-късно от 24 часа от установяване на нарушението на сигурността;

 

1. Администраторът реагира на всеки първоначален сигнал и установява дали в действителност има наличие на нарушение. При постъпване на сигнал се прави анализ и проследяване на събитията с цел събиране на доказателства и оценка на риска, както и с цел преценката дали е необходимо да бъде уведомена КЗЛД и физическото лице.
2. Когато се установи нарушение на сигурността, Администраторът без ненужно забавяне прави оценка дали е настъпил риск за правата и свободите на физическите лица и дали рискът е висок.
3. Риск съществува тогава, когато нарушението може да доведе до имуществени и/или неимуществени вреди за лицата, чиято сигурност на личните данни е била нарушена, като се вземе предвид видът на обработваните категории лични данни и броят на засегнатите лица.
4. При оценката на риска Администраторът следва да се съобрази с нивото на въздействие, определено в чл. 4.2. от настоящия раздел.

 

1. Администраторът извършва уведомяване до КЗЛД, когато след оценка на риска бъде установено, че съществува вероятност нарушението на сигурността да доведе до риск или висок риск за правата и свободите на физическите лица.
2. Уведомяването на КЗЛД се извършва от Управителя в рамките на 72 (седемдесет и два) часа от момента, в който на Администратора е станало известно за случая на нарушение на сигурността.
3. Когато Администраторът подава уведомление за нарушение към КЗЛД, то трябва да съдържа следната информация: 

- описание на характера на нарушението на личните данни, включително, където е възможно, категориите и приблизителния брой засегнати физически лица, както и категориите и приблизителния брой засегнати регистри на лични данни; 

- името и данните за контакт на лицето за контакт с КЗЛД, което може да предостави допълнителна информация;

- описание на вероятните последствия от нарушението на сигурността на личните данни;

- описание на предприетите или предложени от Дружеството мерки за справяне с нарушението на сигурността на личните данни, включително, където е удачно, мерки за смекчаване на възможните неблагоприятни последици.

1. Когато Администраторът не може да събере цялата нужна информация в срок до 72 часа от момента на узнаването, то уведомяването на КЗЛД започва в срок до 72 часа, като предоставянето на информация се извършва поетапно и след изтичане на този срок. В този случай, Администраторът информира КЗЛД за причините информацията да не бъде предоставена в цялост в рамките на този срок.
2. Когато уведомлението до КЗЛД не е започнало в срок от 72 (седемдесет и два) часа, към него следва да бъдат приложени обяснения относно причините за забавянето.

 

1. Когато нарушението на личните данни може да доведе до висок риск за правата и свободите на физическите лица, Администраторът незабавно съобщава за нарушението на личните данни на тези лица.

Уведомлението до физическите лица описва по ясен и точен начин съответното нарушение на сигурността, като съдържа минимум следната информация:

- описание на естеството на нарушението; 

- името и данните за контакт на Управителя на едно от дружествата или друго лице за контакт, от което може да се получи повече информация;

- описание на вероятните последици от нарушението;

- описание на мерките, предприети или предложени да бъдат предприети от Администратора за преодоляване на нарушението, включително, когато е целесъобразно, мерки за смекчаване на възможните неблагоприятни последици.

 

1. Администраторът поддържа Регистър за нарушенията сигурността на лични данни, в който документира всяко нарушение на сигурността, независимо от възникналия риск. В регистъра се вписва най-малко следната информация:

- датата, на която е установено нарушението;

- описание на нарушението;

- броят на засегнатите лица;

- протокол за констатация и оценка на последствията, дата;

- решение за превенция от бъдещи грешки, дата;

- уведомена ли е КЗЛД, дата на Уведомление;

- уведомени ли са физическите лица, дата на Уведомление;

 

• ПОЛУЧАТЕЛИ НА ЛИЧНИ ДАННИ

 

1. За целите на сключване и изпълнение на договори с клиенти (обучаващи се) – потребители на Уебсайта, Администраторът може да предава лични данни на следните получатели:

• Национална Агенция за Приходите – във връзка с проверки и ревизии;
• Национална Агенция за Професионално Образование и Обучение;
• Министерство на образованието и науката;
• Други държавни и общински органи и/или институции, както и частни съдебни изпълнители, банки и други подобни – във връзка със законови задължения към тях или във връзка със законови искания от тях за информация, която съдържа лични данни;
• Подизпълнители за изпълнение на договорни задължения, в това число куриерски услуги, осъществяване на IT поддръжка и други, описани в настоящия раздел;

 

1. За целите на сключване, изпълнение и прекратяване на трудови и граждански договори и изчисляване на работните заплати и обезщетения на служители, Администраторът може да предава лични данни на следните получатели:

• Национална Агенция за Приходите - във връзка със сключени договори; дължими данъци върху доходите, социални и здравни осигуровки; дължими обезщетения; проверки и ревизии;
• Национален Осигурителен Институт - във връзка със социални и здравни осигуровки; дължими обезщетения; проверки и ревизии;
• Служба за Трудова Медицина – във връзка с изпълнение на законови задължения на Дружеството по ЗЗБУТ;
• Застрахователи – във връзка със здравни, рентни, професионални и/или други застраховки;
• Главна Инспекция по Труда, НОИ и МВР – във връзка с трудови злополуки;
• Други държавни и общински органи и/или институции – във връзка със законови задължения към тях или във връзка със законови искания от тях за информация, която съдържа лични данни;
• Подизпълнители за изпълнение на договорни задължения за осъществяване на IT поддръжка и други, описани в настоящия раздел.

 

1. За целите на сключване, изпълнение и прекратяване на договори за използване на авторски произведения с автори (лектори) и изчисляване на дължими възнаграждения, Администраторът може да предава лични данни на следните получатели:

• Национална Агенция за Приходите - във връзка с проверки и ревизии;
• Всякакви държавни и общински органи и/или институции – във връзка със законови задължения към тях или във връзка със законови искания от тях за информация, която съдържа лични данни;
• Подизпълнители за изпълнение на договорни задължения, в това число куриерски услуги, осъществяване на IT поддръжка и други, описани в настоящия раздел.

 

1.  За целите на защита на легитимните интереси на Администратора, последният може да предава лични данни на следните получатели:

• Национална Агенция за Приходите - във връзка със сключени трудови договори; дължими данъци върху доходите, социални и здравни осигуровки; дължими обезщетения; проверки и ревизии;
• Национален Осигурителен Институт - във връзка със социални и здравни осигуровки; дължими обезщетения; проверки и ревизии;
• Национална Агенция за Професионално Образование и Обучение; Министерство на образованието и науката;
• Служба за Трудова Медицина, в случаите когато е налице договор с Дружеството – във връзка с изпълнение на законови задължения на Дружеството по ЗЗБУТ;
• Застрахователи, в случаите когато е налице договор с Дружеството или негови служители – във връзка със здравни, рентни или други застраховки;
• Главна Инспекция по Труда, НОИ и МВР – във връзка с трудови злополуки;
• Всякакви държавни и общински органи и/или институции – във връзка със законови задължения към тях или във връзка със законови искания от тях за информация, която съдържа лични данни;
• Подизпълнители за изпълнение на договорни задължения, в това число куриерски услуги, осъществяване на IT поддръжка и други, описани в настоящия раздел.

 

1. За целите на провеждане на директен маркетинг към клиенти, Администраторът може да предава лични данни на следните получатели:

• Всякакви държавни и общински органи и/или институции – във връзка със законови задължения към тях или във връзка със законови искания от тях за информация, която съдържа лични данни;
• Подизпълнители – маркетингови агенции, за изпълнение маркетинг стратегията на Администратора.

 

1. За целите на набиране на персонал:

• Трети лица - Работодатели;

 

1. Администраторyt има право да използва подизпълнители за извършване на част или цялата обработка на лични данни.

• Подизпълнители, обработващи лични данни, се използват при:

- обработка данните за клиенти на Администраторa от лицензирани куриерски компании;

- изпълнение на маркетинговата стратегия на Администратора, както и осъществяване на отделни и конкретни маркетингови активности;

- хостване и поддръжка на базите данни, в които има лични данни, обработвани от Администратора.

1. Когато за целите на обработка на лични данни на физически лица се използва подизпълнител, същият получава минимум нужните му лични данни на физически лица, съгласно сключен между него и Администратора договор.
2. Подизпълнителят извършва обработката на лични данни, възложена му от Администратора изцяло съгласно условията в сключения между страните договор.
3. Подизпълнителят прилага всички необходими мерки за защита на личните данни, според тяхното естество.

 

1.  Администраторът извършва трансфер на лични данни извън рамките на Европейския съюз само когато това е необходимо за изпълнение на някоя от целите, подробно описани в настоящата Политика и при наличие на: 
2. Решение на надзорен орган на държавно или европейско ниво, с което се потвърждава, че дадената трета държава, територия или един или повече конкретни сектори в тази трета държава, или въпросната международна организация осигуряват адекватно ниво на защита. 

 

или

 

1. Подходящи гаранции за защита на личните данни, като:

- обвързващи корпоративни правила, одобрени от съответния надзорен орган; или

- стандартни клаузи за защита на данните, приети от Комисията или приети от националния надзорен орган и одобрени от Комисията; или

- одобрен кодекс за поведение или одобрен механизъм за сертифициране, като и в двата случая трябва да са предвидени правно обвързващи и принудително изпълними задължения на администратора или обработващия в третата страна относно прилагането на подходящи мерки за защита, включително по отношение на правата на човека.

 

• ИСКАНИЯ ОТ ФИЗИЧЕСКИ ЛИЦА

 

1. При постъпило искане от физическо лице, чиито лични данни се обработват, получилият искането служител и всяко лице, действащо от името на Администратора следва незабавно да предостави на физическото лице утвърдената Форма за искане от физическо лице. Постъпилото искане се вписва в Регистър на постъпили искания и направени уведомления, като на искането се дава пореден входящ номер. Администраторът предоставя информация и отговаря на исканията на физическите лица, без излишно забавяне, но не по-късно от един месец от датата на получаване на искането.

 

1. За да се прецени основателността на искането, се определя неговия вид, както и дали е подадено от оправомощено лице. Администраторът може да откаже да удовлетвори искането на физическо лице, когато не е в състояние да го идентифицира. При постъпило искане от физическото лице за изтриване, ограничаване или при възражение по отношение на обработваните лични данни, Администраторът съобразява искането с основанието, на което личните данни на физическото лице се обработват. Администраторът има право да откаже подобно искане в следните хипотези:
2. Доколкото обработването на личните данни на физическото лице е необходимо за спазване на правното задължение, предвидено в приложим за Администратора нормативен акт;
3. Доколкото обработването на личните данни на физическото лице е необходимо за установяването, упражняването или защитата на правни претенции на Администратора.
4. Доколкото обработването на личните данни на физическото лице е необходимо за упражняване на правото на свобода на изразяването и правото на информация.
5. По причини от обществен интерес в областта на общественото здраве.
6. Доколкото обработването на личните данни на физическото лице е необходимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, доколкото съществува вероятност исканото право да направи невъзможно или сериозно да затрудни постигането на целите на това обработване;

 

1. При постъпило основателно искане за получаване на достъп до лични данни, освен че осигурява достъп до личните данни (например, чрез предоставяне на тяхно копие), Администратора изпраща на физическото лице и следната информация:
2. целите на обработването;
3. съответните категории лични данни;
4. получателите или категориите получатели на личните данни (ако има такива);
5. информация относно намерението на Администратора да предаде лични данни на трета държава или на международна организация, както и наличието на гаранции за защита на данните;
6. срока, за който Администратора ще съхранява личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;
7. правата му да се изиска от Администратора коригиране или изтриване на неговите лични данни, както и правата му на ограничаване на обработването, на възражение срещу обработването, както и на преносимост на лични данни;
8. правото на жалба до надзорен орган;
9. когато личните данни не се събират от физическото лице, всякаква налична информация за техния източник;
10. наличие на автоматизирано вземане на решения, включително профилиране, както и предвидените последствия от това обработване за физическото лице.

 

1.  Когато искането на физическото лице е неоснователно и/или попада в хипотезите на ограничения, предвидени в правото на ЕС или националното законодателство, следва да бъдат изпълнени следните действия:
2. на лицето се отказва изпълнение на искането;
3. лицето се уведомява за правните аргументи за отказа;
4. уведомлението се вписва в Регистър на постъпили искания и направени уведомления.

 

• УНИЩОЖАВАНЕ НА ЛИЧНИ ДАННИ

 

1. Администраторът унищожава лични данни в следните хипотези:
2. изтекло законово или договорно основание за обработка на лични данни;
3. оттеглено съгласие за обработка на лични данни;
4. неактуалност на личните данни.

 

1.  При унищожаване на лични данни, служителите на Администратора следва да спазват следните стъпки:
2. попълване на протокол за извършеното унищожаване;
3. съхраняване на протокола за срок от 2 години от датата на съставянето му;
4. Вписване на протокола в Регистър на протоколите за унищожаване на лични данни;

 

1. Унищожаването на лични данни се извършва посредством шредер, съобразен с изискванията на Регламента.

 

• ПОДДЪРЖАНЕ НА РЕГИСТЪР НА ДЕЙНОСТИТЕ В РОЛЯ НА АДМИНИСТРАТОР

 

1. Администраторът поддържа Регистър на дейностите по обработване на лични данни в роля на администратор, който представлява синтезирано описание на всяка отделна цел за обработка на лични данни и следва да съдържа следната информация: 
2. Името и координатите за връзка с Администратора; 
3. Целите на обработването; 
4. Описание на категориите субекти на лични данни и на категориите лични данни, които обработва; 
5. Категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации, ако има такива;
6. Предвидените срокове за изтриване на различните категории лични данни; 
7. Общо описание на техническите и организационни мерки за сигурност на личните данни.

 

1.  Регистърът се води на хартиен и електронен носител.

 

1.  Във всеки случай, когато в регистъра следва да се въведе нова дейност или нов запис, Администраторът, чрез свой представител, въвежда промените в регистъра воден на електронен носител, след което го принтира на хартиен носител и го прилага към досието на дейностите и се подписва при извършеното въвеждане.

 

1. След принтирането на хартиен носител на новата версия на регистъра, старите версии на регистъра се съхранява за срок от 3 години.

 

1. При поискване, представител на Администратора следва да осигурява достъп до поддържаните регистри на Комисията за защита на личните данни или на друг контролен орган.

 

• ИЗПОЛЗВАНЕ НА БИСКВИТКИ И ДИРЕКТЕН МАРКЕТИНГ

 

1. За целите на поддържане на уебсайта на Администратора функционален и удобен за употреба от физическите лица, Администраторът използва т. нар. „бисквитки“. „Сооkіеѕ“ или „бисквитки“ са малки текстови файлове, които се запаметяват на твърдия диск на физическото лице – потребител. Тези бисквитки са необходими за функциониране на търсенията, което дава възможност на физическите лица да използват основните функционалности на сайта и поддържа възможна идентификацията им през цялото време;
2. Конкретните видове използвани „бисквитки“, както и начините, по които те могат да се управляват от потребителя, са надлежно описани в нашата „Политика за поверителност“, която може да бъде открита на интернет страницата https://digitalpro.bg/

 

• ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

 

1. Настоящата Политика е в сила за всички служители на Администратора. 

 

1. Администраторът си запазва правото да променя и актуализира нас_тоящата Политика по всяко време, като за целта ще уведоми засегнатите лица своевременно.