ПОЛИТИКА ПО ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

1. Въведение

Тази политика има за цел потвърди задължението на “Модно Ателие Ибис” ЕООД (“дружеството”) за опазването на обработваните от нея лични данни и гарантиране на правата на субектите, съгласно изискванията на Общ регламент за защита на лични данни (“регламентът”).

Според регламента всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице, се определя като ЛИЧНИ ДАННИ.

Тази политика определя процедурите, които трябва да се следват при обработването на лични данни. Процедурите и принципите, изложени тук, трябва да бъдат спазвани по всяко време от дружеството, неговите служители, изпълнители или други страни, които работят от негово име.

2. Принципи за защита на данните

Тази политика има за цел да гарантира спазването на регламента. Той определя следните принципи, които трябва да спазват всички страни, обработващи лични данни. Всички лични данни трябва да:

2.1. се обработват законно, справедливо и по прозрачен начин по отношение на субекта на данните;

2.2. бъдат събирани за конкретни, изрични и законни цели и не се обработват по начин, който е несъвместим с тези цели; по-нататъшната обработка за архивиране за цели от обществен интерес, научни или исторически научноизследователски цели или статистически цели не се считат за несъвместими с първоначалните цели;

2.3. бъдат адекватни, уместни и ограничени до това, което е необходимо във връзка с целите, за които се обработват;

2.4. бъдат точни и, когато е необходимо, актуализирани; трябва да се предприемат всички разумни стъпки, за да се гарантира, че личните данни, които са неточни, като се имат предвид целите, за които се обработват, се изтриват или отстраняват незабавно;

2.5. бъдат съхранявани във форма, която позволява идентифицирането на субектите на данни не по-дълго от необходимото за целите, за които се обработват личните данни;

2.6. бъдат обработени по начин, който гарантира подходяща сигурност на личните данни, включително защита срещу неразрешена или незаконна обработка и срещу
случайна загуба, унищожаване или повреда, като се използват подходящи технически или организационни мерки.

3. Законна, справедлива и прозрачна обработка на данни

Регламентът цели да гарантира, че личните данни се обработват законосъобразно, справедливо и прозрачно, без това да накърнява правата на субекта на данните. В регламента се посочва, че обработването на лични данни е законосъобразно, ако се прилага поне едно от следните условия:

3.1. субектът на данните е дал съгласие за обработването на личните му данни за една или повече конкретни цели;

3.2. обработването е необходимо за изпълнението на договор, на който лицето, за което се отнасят данните, е страна или за да предприеме стъпки по искане на субекта на данните преди сключването на договор;

3.3. обработването е необходимо за спазване на правно задължение, на което се подчинява администраторът;

3.4. обработването е необходимо за защита на жизненоважните интереси на субекта на данните или на друго физическо лице;

3.5. обработката е необходима за изпълнение на задача, изпълнявана в обществен интерес или при упражняване на публична власт на контролиращия орган;

4. Обработвани за конкретни, изрични и законни цели

4.1. Дружеството събира и обработва лични данни, получени директно от субектите на данни.

4.2. Дружеството обработва лични данни само за конкретните цели, посочени в тази Политика (или за други цели, изрично разрешени от Регламента). Субектите на данни ще бъдат информирани за целите, за които обработваме личните им данни в момента, в който те се събират директно от тях или колкото е възможно по-скоро (не повече от един календарен месец) след събирането, в случай че данните са получени от трета страна.

5. Адекватна, подходяща и ограничена обработка на данни

Дружеството ще събира и обработва лични данни само за и в степента, необходима за конкретната (ите) цел (и), за които е информирало субектите на данни.

6. Точност на данните и поддържане на данни до дата

Дружеството гарантира, че всички събрани и обработени лични данни се поддържат точни и актуални. Точността на данните се проверява в момента, в който се събират.

7. Навременна обработка

Дружеството няма да съхранява лични данни за по-дълго от необходимото във връзка с целите, за които тези данни първоначално са били събрани и обработени. Когато данните вече не се изискват, всички разумни стъпки ще бъдат предприети, за да бъдат изтрити без забавяне.

8. Защита при обработката

Дружеството гарантира, че всички събрани и обработени лични данни са защитени от неразрешена или незаконна обработка и от случайна загуба, унищожаване или повреда.

9. Длъжностно лице по защита на личните данни

9.1. Длъжностното лице по защита на личните данни в „Модно Ателие Ибис” ЕООД е Йорданка Цанкова Димитрова.

10. Оценка на риска по повод обработката на лични данни

Дружеството извършва оценки на въздействието върху личните данни, съгласно изискванията на регламента. Оценяването се контролира от Длъжностното лице по защита на личните данни в Дружеството и се отнася до следните важни области:

10.1. Цел (и), за които се обработват лични данни, и операциите по обработка, които се извършват с тези данни;

10.2. Подробности за законните интереси, преследвани от Дружеството;

10.3. Оценка на необходимостта и пропорционалността на обработката на данни по отношение на целта (целите), за която се обработва;

10.4. Оценка на рисковете за отделните субекти на данни; и

10.5. Подробности за мерките, прилагани за минимизиране и управление на рисковете, включително предпазни мерки, сигурност на данните и други мерки и механизми за гарантиране на защитата на личните данни, достатъчни за доказване на съответствието с регламента.

11. Права на субекта на данни

Регламентът определя следните права, приложими за субектите на данни:

11.1. правото да бъдете информирани;

11.2. правото на достъп;

11.3. правото на поправяне;

11.4. правото на заличаване (известно също като “правото да бъдеш забравен”);

11.5. право на ограничаване на обработката;

11.6. правото на преносимост на данни;

11.7. правото на възражение;

11.8. права по отношение на автоматизираното вземане на решения и профилиране.

12. Информиране на субектите за данни

12.1. При събирането на лични данни дружеството е предоставя следната информация на всеки субект на данни:

12.1.1. подробности за дружеството, включително, но не само, самоличността на неговото Длъжностно лице по защита на личните данни;

12.1.2. целта / целите, за които се събират и ще се обработват личните данни и правното основание, обосноваващо това събиране и обработка;

12.1.3. когато е приложимо, законните интереси, с които дружеството оправдава събирането и обработката на личните данни;

12.1.4. когато личните данни трябва да бъдат прехвърлени на една или повече трети страни, подробности за тези страни;

12.1.5. когато личните данни трябва да бъдат прехвърлени на трета страна, която се намира извън Европейското икономическо пространство (“ЕИП”), подробности за това прехвърляне, включително, но без да се ограничават до съществуващите гаранции.

12.1.6. подробности за продължителността на съхраняване на личните данни от дружеството (или, ако няма предварително определен период, подробности за това как ще бъде определена тази продължителност);

12.1.7. подробности за правата на субекта на данни съгласно регламента;

12.1.8. подробности за правото на субекта на данни да оттегли своето съгласие за обработката на личните данни по всяко време;

12.1.9. подробности относно правото на субекта на данните да подаде жалба до КЗЛД (“надзорният орган” съгласно регламента);

 12.1.10. където е приложимо, подробности за всяко правно или договорно изискване или задължение, изискващо събирането и обработката на личните данни и подробности за последствията от непредоставянето им;

 12.2. Информацията, посочена по-горе в Част 12.1, се предоставя на субекта на данните в следното приложимо време:

12.2.1. Когато личните данни са получени пряко от субекта на данните в момента на събирането;

12.2.2. Когато личните данни не се получават пряко от субекта на данни (т.е. от друга страна):

  • ако личните данни се използват за комуникация с лицето, за което се отнасят данните, по време на първото съобщение; или
  • ако личните данни трябва да бъдат разкрити на друга страна, преди да бъдат разкрити личните данни; или
  • във всеки случай не повече от един месец след датата, на която се получават личните данни.

13. Достъп до данни

13.1. Даден субект на данните може по всяко време да направи заявка за достъп до своите лични данни (“ЗДД”), за да разбере повече информацията, която дружеството притежава за него. Дружеството се стреми да отговори на ЗЗД в рамките на един месец от получаването му (това може да бъде удължено с до два месеца в случай на сложни и/или многобройни искания, а в такива случаи субектът на данните е информиран за необходимостта от удължаване на срока.

13.2. Всички получени искания за достъп трябва да бъдат изпратени до Длъжностното лице по защита на личните данни в организацията.

13.3. Дружеството не начислява такса за обработка на нормални ЗЗД, но си запазва правото да начислява разумни такси за допълнителни копия на вече предоставена информация на субекта на данни и за искания, които са явно неоснователни или прекомерни, особено когато такива искания се повтарят.

14. Заличаване на лични данни

14.1. Субектите на данни могат да поискат от дружеството да изтрие личните данни, които притежава за тях, при следните обстоятелства:

14.1.1. Вече не е необходимо дружеството да поддържа личните данни по отношение на целта, за която е била първоначално събрана или обработена;

14.1.2. Субектът на данните желае да оттегли своето съгласие за притежаване и обработване на личните му данни от дружеството;

14.1.3. Субектът на данните възразява срещу това, че дружеството притежава и обработва личните му данни (и няма преимуществен легитимен интерес, който да позволи на Организацията да продължи това) (вж. Част 18 от тези Политика за допълнителни подробности относно правото на субектите на данни да оспорят) ;

14.1.4. личните данни са били обработени незаконно;

14.1.5. Личните данни трябва да бъдат изтрити, за да може дружеството да спазва конкретно правно задължение; или

14.1.6. Личните данни се съхраняват и обработват с цел предоставяне на „услуга на информационното общество“, което означава услуга по смисъла на член 1, параграф 1, точка б) от Директива (ЕС) 2015/1535 на Европейския парламент.

14.2. Освен ако дружеството има основателни причини да откаже да изтрие лични данни, всички молби за изтриване трябва да бъдат спазени и субектът на данните се уведомява за изтриването в рамките на един месец от получаването на искането на субекта на данните.

14.3 В случай че лични данни, които трябва да бъдат изтрити в отговор на искане на субекта на данни, са били разкрити на трети лица, тези страни ще бъдат информирани за изтриването (освен ако това не е невъзможно или би изисквало несъразмерно усилие за това).

15. Забрана за обработка на данни

15.1. Субектите на данни могат да поискат дружеството да прекрати обработването на личните данни, които притежава за тях. Ако даден субект на данни направи такова искане, дружеството ще запази само количеството лични данни, отнасящи се до този субект на данните, което е необходимо, за да се гарантира, че няма да се извършва по-нататъшна обработка на личните им данни.

15.2. В случай че всички засегнати лични данни са разкрити на трети лица, тези страни трябва да бъдат информирани за приложимите ограничения при обработването им (освен ако това не е невъзможно или би изисквало несъразмерно усилие за това).

16. Възражения срещу обработката на лични данни

16.1 Субектите на данни имат право да възразят срещу това, че дружеството обработва техни лични данни въз основа на законни интереси. (включително профилиране), директен маркетинг (включително профилиране) и обработка за научни и / или исторически изследвания и статистически цели.

16.2 Когато даден субект на данни възразява срещу това, че дружеството обработва личните му данни въз основа на законните му интереси, дружеството незабавно прекратява такава обработка, освен ако не може да се докаже, че законните основания на дружеството за такава обработка надвишават интересите, правата и свободите на субекта на данните; или обработването е необходимо за извършване на съдебни искове.

16.3 Когато даден субект на данни възразява срещу това, че дружеството обработва неговите лични данни за целите на директния маркетинг, дружеството незабавно прекратява такава обработка.

17. Лични данни

Типовете лични данни съхранявани и обработвани от дружеството, са следните: адрес на електронна поща, собствено, бащино и фамилно име; адрес за доставка; данни за фактуриране; телефонен номер; данни от банкови карти; биометрични данни.

18. Цели на обработване

– изпълнение на поръчки, включващо приемане, валидиране, експедиране и фактуриране на същите;

– разрешаване на проблеми, свързани с анулирания на поръчки или всякакви други проблеми, свързани с поръчките, закупените стоки или услуги;

– връщане на продуктите в съответствие със законовите разпоредби;

– възстановяване на стойността на продуктите съгласно законовите разпоредби;

– оказване на подкрепа, включително даване на отговори въпроси във връзка с поръчките или стоките и услугите на дружеството;

Обработването на личните данни за тези цели в е необходимо за сключването и изпълнението на договор между дружеството и клиентите. Освен това, за изпълнението на тези цели се изисква обработване съгласно приложимото законодателство, включително данъчното и счетоводното законодателство.

19. Мерки за защита на данните

Дружеството гарантира, че всички негови служители, контрагенти или други страни, работещи от негово име, отговарят на следното при работа с лични данни:

19.1.1.1. Всички имейли, съдържащи лични данни, трябва да бъдат шифровани.

19.1.1.2. Когато някоя лична информация трябва да бъде изтрита или по друг начин да бъде изхвърлена по някаква причина (включително когато са направени копия и вече не са необходими), тя трябва да бъде защитена и изхвърлена. Хартията трябва да бъде нарязана и електронните копия трябва да бъдат изтрити сигурно.

19.2. Личните данни могат да се предават само в защитени мрежи; предаването на данни по необезпечени мрежи не е разрешено при никакви обстоятелства;

19.3. Личните данни не могат да се предават чрез безжична мрежа, ако има жична алтернатива, която е разумно приложима;

19.4. Личните данни, съдържащи се в тялото на имейл, независимо дали са изпратени или получени, трябва да се копират от тялото на този имейл и да се съхраняват сигурно. Самият имейл трябва да бъде изтрит. Всички временни файлове, свързани с него също трябва да бъдат заличени;

19.5. Когато личните данни трябва да бъдат изпратени чрез факсимилно предаване, получателят трябва предварително да бъде информиран за предаването и да чака от факс машината да получи данните;

19.6. Когато личните данни трябва да бъдат прехвърлени на хартиен носител, те трябва да бъдат предадени директно на получателя.

 19.7. Никакви лични данни не могат да бъдат споделяни неофициално и ако служител, подизпълнител или друга страна, работеща от името на дружеството, изисква достъп до лични данни, до които те вече нямат достъп, този достъп трябва да бъде официално поискан от длъжностното лице по личните данни.

 19.8. Всички хартиени копия на лични данни, както и всички електронни копия, съхранявани на физически, подвижни носители, трябва да се съхраняват сигурно в заключена кутия, чекмедже, шкаф или други подобни;

19.9. Никакви лични данни не могат да бъдат прехвърляни на служители, изпълнители или други страни, независимо дали тези лица работят от името на дружеството или не, без разрешение на длъжностното лице по личните данни.

19.10. Личните данни трябва да се обработват грижливо по всяко време и не трябва да бъдат оставени без надзор или по преценка на неразрешени служители, подизпълнители или други страни по всяко време;

19.11. Ако се разглеждат лични данни на екрана на компютъра и въпросният компютър трябва да бъде оставен без надзор за определен период от време, потребителят трябва да заключи компютъра и екрана, преди да напусне компютъра;

19.12. Не трябва да се съхраняват лични данни на нито едно мобилно устройство (включително, но не само, лаптопи, таблети и смартфони), дали такова устройство принадлежи на дружеството или по друг начин, без официално писмено одобрение на длъжностното лице по личните данни и в случай на такова одобрение стриктно в съответствие с всички указания и ограничения, описани в момента на издаване на одобрението, и не повече от абсолютно необходимото.

19.13. Лични данни не трябва да се прехвърлят на каквото и да е устройство, принадлежащо на служител, и лични данни могат да се прехвърлят само на устройства, принадлежащи на изпълнители или други страни, работещи от името на дружеството, когато въпросната страна се е съгласила да спази изцяло с писмото и духа на тази Политика и на Регламента (което може да включва демонстриране пред дружеството, че са взети всички подходящи технически и организационни мерки);

19.14. Всички лични данни, съхранявани по електронен път, трябва да бъдат архивирани със съхранени архиви. Всички архиви трябва да бъдат шифровани.

19.15. Всички електронни копия на лични данни трябва да се съхраняват сигурно, като се използват пароли и криптиране на данните.

 19.16. Всички пароли, използвани за защита на личните данни, трябва да се променят редовно и не трябва да използват думи или фрази, които лесно могат да бъдат познавани или компрометирани по друг начин. Всички пароли трябва да съдържат комбинация от главни и малки букви, цифри и символи Всеки софтуер, използван от дружеството, по възможност да изисква такива пароли;

19.17. При никакви обстоятелства пароли не трябва да се записват или да се споделят между служители, изпълнители или други страни, работещи от името на дружеството, независимо от старшинството или отдела. Ако паролата е забравена, тя трябва да бъде нулирана с помощта на приложимия метод. ИТ персоналът няма достъп до пароли;

20.  Организационни мерки

Дружеството гарантира, че са предприети следните мерки по отношение на събирането, притежаването и обработката на лични данни:

20.1. Всички служители, изпълнители или други страни, работещи от името на дружеството, са напълно запознати както със своите индивидуални отговорности, така и с отговорностите на дружеството съгласно Регламента и тази Политика и им се предоставя копие от тази Политика ;

20.2. Само служители, подизпълнители или други лица, работещи от името на дружеството, които имат нужда от достъп и използване на лични данни, за да изпълняват правилно своите задачи, имат достъп до личните данни, съхранявани от дружеството;

20.3. Всички служители, изпълнители или други страни, работещи от името на дружеството, обработващи лични данни, са бъдат подходящо обучени за това;

20.4. всички служители, изпълнители или други страни, работещи от името на дружеството, работещи с лични данни, ще бъдат надлежно контролирани;

20.5. Методите за събиране, съхраняване и обработване на лични данни се оценяват и преглеждат редовно;

20.6. Работата на тези служители, агенти, изпълнители или други лица, работещи от името на дружеството, обработващи лични данни,  редовно да се оценяват и преглеждат;

20.7. Всички служители, изпълнители или други страни, които работят от името на дружеството, обработващи лични данни, са длъжни да го направят в съответствие с принципите на Регламента и настоящата Политика;

20.8. Всички нарушения на лични данни ще бъдат докладвани незабавно на Длъжностното лице по защита на личните данни. Докладването се извършва според приетите канали за комуникация и докладване на ИКТ инциденти в организацията или директно.

20.9. Ако настъпи нарушение на лични данни и това нарушение е вероятно да доведе до риск за правата и свободите на субектите на данни (например финансови загуби, нарушаване на поверителността, дискриминация, вреди, причинени от репутацията или други значителни социални или икономически щети), Длъжностното лице по защита на личните данни трябва да гарантира, че Комисията за защита на личните данни е информирана за нарушението незабавно и при всички случаи в рамките на 72 часа след като е била уведомена за това.

20.10. В случай че нарушаването на личните данни е вероятно да доведе до висок риск на правата и свободите на субектите на данни, Длъжностното лице по защита на личните данни трябва да гарантира, че всички засегнати данни субектите са информирани за нарушението директно и без неоправдано забавяне.

20.11. Известията за нарушаване на данни включват следната информация:

  • категориите и приблизителния брой на засегнатите субекти на данни;
  • категориите и приблизителния брой записи на лични данни;
  • името и данните за контакт на Длъжностното лице по защита на личните данни (или друго звено за контакт, където може да се получи повече информация);
  • вероятните последици от нарушението;
  • подробности за предприетите или предложени за предприемане мерки от страна на дружеството за справяне с нарушението, включително, когато е целесъобразно, мерки за смекчаване на евентуалните неблагоприятни последици.

21.  Изпълнение на политиката

Настоящата Политика се счита за в сила от 25.05. 2018 г. Нито една част от тази Политика няма да има обратно действие и следователно ще се прилага само за въпроси, настъпили на или след тази дата.