ПОЛИТИКА

за мерките за защита на личните данни, обработвани от 

„СОНО ПАУЛИНА“ ЕООД 

Раздел първи

ОБЩИ ПОЛОЖЕНИЯ

Чл. 1. (1) Настоящата Политика установява организацията и правилата, които „Соно Паулина“ ЕООД, в качеството си на администратор на лични данни по смисъла на чл. 4, т. 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО („Общ регламент относно защитата на личните данни“ или „ОРЗЛД“), прилага при събиране и обработване на лични данни.

  1. „Соно Паулина“ ЕООД е дружество, регистрирано съгласно изискванията на Търговския закон и вписано в Търговския регистър и регистъра на ЮЛНЦ към Агенция по вписванията с ЕИК 206130839, със седалище и адрес на управление: гр. София, п.к. 1421, район „Лозенец“, ул. „Никола Козлев“ 3, ет. 1, ап. 1 (наричано по-долу Соно Паулина“  или Администратор). Данни за контакт с дружеството: 
  • адрес за кореспонденция: гр. София, п.к. 1421, район „Лозенец“, ул. „Никола Козлев“ 3, ет. 1, ап. 1
  • телефон: _+359897577771_
  • e-mail: __office@touchlandbulgaria.com 

Чл. 2. Настоящата политика е изготвена в съответствие с разпоредбите на Общия регламент относно защитата на личните данни, Закона за защита на личните данни („ЗЗЛД“) и цели защита на интересите на клиентите и контрагентите – физически лица, и физически лица, представляващи юридически, както и на служителите на СОНО ПАУЛИНА, на кандидатстващите за работа в СОНО ПАУЛИНА и на всички други физически лица, с чието съгласие или на друго законово основание, СОНО ПАУЛИНА е получило достъп до личните данни във връзка с предоставяните от него услуги, както и от незаконосъобразно и недобросъвестно обработване на личните им данни.

Чл. 3. За целите на настоящата Политика понятията по-долу имат следното значение:

1. „Лични данни” означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано (“субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социалната идентичност на това физическо лице; 

2. „Обработване на лични данни” е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване; 

3. „Администратор“ е СОНО ПАУЛИНА – юридическо лице, което само или съвместно с други определя целите и средствата за обработването на лични данни; 

4. „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора. 

5. „Регистър на лични данни” е структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии съобразно вътрешните правила и документи на СОНО ПАУЛИНА, който може да бъде централизиран и децентрализиран и е разпределен съгласно функционален или географски принцип.

6. „Съгласие на физическо лице” е всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени; 

7. „Получател“ е физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна, или не.

8. „Нарушение на сигурността на лични данни“ е нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.

9. „Данни за здравословното състояние“ са лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние.

10. „Надзорен орган“ е Комисията за защита на личните данни (КЗЛД) и/или независим публичен орган, създаден от държава членка съгласно член 51 от ОРЗЛД.

Раздел втори

ОСНОВНИ ПРИНЦИПИ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ

Чл. 4. При обработването на лични данни, СОНО ПАУЛИНА се ръководи от следните основни принципи, осигуряващи законосъобразността на този процес по смисъла на ОРЗЛД, а именно:

(1) СОНО ПАУЛИНА обработва добросъвестно и законосъобразно лични данни, събрани за конкретни, точно определени и законни цели. СОНО ПАУЛИНА не обработва допълнително лични данни за цели, несъвместими с целите, за които първоначално са събрани личните данни. По-нататъшното обработване на личните данни за целите на архивирането в обществен интерес, за научни, исторически изследвания или за статистически цели не се счита за несъвместимо с първоначалните цели. 

(2) Личните данни, които СОНО ПАУЛИНА обработва следва да бъдат точни и при необходимост да се актуализират. Личните данни се заличават или коригират незабавно, в случай, че се установи, че са неточни или несъответстващи на целите, за които се обработват. 

(3) СОНО ПАУЛИНА съхранява личните данни във вида и формата, които позволяват идентифициране самоличността на физическите лица за срок не по-дълъг от необходимия за изпълнение на целите, за които личните данни се обработват. В случай на обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, личните данни могат да бъдат съхранявани и за по-дълъг срок, но само след прилагане на подходящите за целта на обработването технически и организационни мерки за защита на данните. 

(4) СОНО ПАУЛИНА обработва специални категории данни, само и единствено в предвидените в ОРЗЛД и ЗЗЛД случаи, когато обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът е предоставил изричното си съгласие, както и когато обработването е необходимо за целите на изпълнение на задължения и/или упражняване на правата на СОНО ПАУЛИНА по силата на трудовото и/или осигурителното право, за целите на превантивната и/или трудовата медицина. 

(5) СОНО ПАУЛИНА предоставя информация за правата на субектите на данни по смисъла на глава III от ОРЛЗД и осигурява спазването на тези права съгласно предвиденото в настоящата Политика и при спазване изискванията на ОРЗЛД и на останалото приложимо национално законодателство.

(6) СОНО ПАУЛИНА прилага всички подходящи технически и организационни мерки за гарантиране сигурността на личните данни и ще актуализира тези мерки периодично. 

Раздел трети

ЦЕЛИ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ. ПРАВНО ОСНОВАНИЕ ЗА ОБРАБОТВАНЕ 

Чл. 5. СОНО ПАУЛИНА обработва лични данни на физически лица за изпълнение на една или повече от долу изброените цели:

  1. За да изпълни или спази законовите си задължения;
  2. За целите на легитимните интереси на СОНО ПАУЛИНА или на трета страна;
  3. За сключване и/ или за изпълнение на сключен договор;
  4. За провеждане на процедурата по подбор на кандидати за работа;
  5. Когато субектът на данните е предоставил изричното си съгласие за това (напр. за обработване на данните за маркетингови цели).

Чл. 6. СОНО ПАУЛИНА обработва лични данни при наличие на поне едно, предвидено в приложимата нормативна уредба, основание за това, а именно: 

1. Субектът на данни е дал изрично, свободно и информирано съгласие за обработване на личните му данни за една или повече конкретни цели;

1.1. В случай, че обработването на лични данни се основава на съгласие, субектът на данните има право да оттегли същото по всяко време чрез недвусмислено изявление до СОНО ПАУЛИНА в този смисъл. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне. 

2. Обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

3. Обработването е необходимо за спазването или изпълнението на законово задължение, което се прилага спрямо СОНО ПАУЛИНА;

4. Обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;

5. Обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на СОНО ПАУЛИНА или на трето лице, на което се разкриват данните;

6. Обработването е необходимо за целите на легитимните интереси на СОНО ПАУЛИНА или на трета страна, на която се разкриват данните, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данни, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

Раздел четвърти

РЕГИСТРИ НА ДЕЙНОСТИТЕ ПО ОБРАБОТВАНЕ

Чл. 7. (1) При осъществяване на дейността си СОНО ПАУЛИНА поддържа регистър на дейностите по обработване, съдържащ следната информация:

  1. името и координатите за връзка на СОНО ПАУЛИНА и на представителя на СОНО ПАУЛИНА;
  2. целите на обработването;
  3. описание на категориите субекти на данни и на категориите лични данни;
  4. категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации (когато е приложимо);
  5. когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, посочено в член 49, параграф 1, втора алинея от ОРЗЛД – документация за подходящите гаранции;
  6. когато е възможно, предвидените срокове за изтриване на различните категории данни;
  7. когато е възможно, общо описание на техническите и организационни мерки за сигурност, посочени в член 32, параграф 1 от ОРЗЛД и предвидени с настоящата Политика.

(2) Регистърът по ал. 1 се поддържа в електронен формат.

(3) Отговорен за поддържането на регистъра по ал. 1 е управителят, като фактическите действия по поддържане и актуализиране на регистъра може да се възложат на изрично натоварен и упълномощен за изпълнението им служител с ръководни функции. 

Чл. 8. Регистърът на дейностите по обработване по чл. 7 се отнася за следните категории физически лица – субекти на данни:

(1) Служители (настоящи и бивши);

(2) Кандидати за работа;

(3) Клиенти и Контрагенти – физически лица и/ или физически лица – служители и представители на юридически лица;

Чл. 9. (1) СОНО ПАУЛИНА обработва личните данни на Служителите си (настоящи и бивши) в качеството си на работодател при спазване на законовите си задължения и съгласно предвиденото в настоящата Политика.

(2) Категориите личните данни на Служителите, които СОНО ПАУЛИНА обработва са:

1. физическа идентичност – три имена, ЕГН/ дата на раждане, адрес, паспортни данни, пол;

2. данни за физиологична идентичност, които включват кръвна група, кръвна картина, плазма, ЕКГ, други, свързани с функциите на човешкия организъм;

3. социална идентичност – образование, професионални квалификации, трудова дейност;

4. семейна идентичност – семейно положение, родствени връзки;

5. лични данни, които се отнасят до здравето;

6. други – телефон, и-мейл адрес, банкова сметка.

Чл. 10. (1) СОНО ПАУЛИНА обработва лични данни на Кандидати за работа при провеждане на процедури по подбор на кадри при спазване на законовите си задължения и съгласно предвиденото в настоящата Политика.

(2) Категориите лични данни на Кандидати за работа, които СОНО ПАУЛИНА обработва са:

1. физическа идентичност – три имена, дата на раждане, адрес, пол, националност, снимка;

2. социална идентичност – образование, професионални квалификации, трудова дейност;

3. други – телефон, и-мейл адрес и други, посочени от кандидата.  

Чл. 11. (1) СОНО ПАУЛИНА обработва лични данни на Клиенти и Контрагенти – физически лица и/ или физически лица – служители и представители на юридически лица при изпълнение на договорните си отношения с тях при спазване на законовите си задължения и съгласно предвиденото в настоящата Политика.

(2) Категориите личните данни на Клиенти и Контрагенти, които СОНО ПАУЛИНА обработва са:

1. физическа идентичност – две или три имена, ЕГН/дата на раждане (ако е приложимо), код по БУЛСТАТ или друг идентификационен номер (ако е приложимо), адрес;

2. социална идентичност – образование, професионални квалификации;

3. други – телефон, и-мейл адрес, банкова сметка (ако е приложимо), заемана длъжност (ако е приложимо).

Раздел пети

СЪБИРАНЕ НА ДАННИТЕ И НАЧИНИ НА ОБРАБОТВАНЕ

Чл. 12. СОНО ПАУЛИНА събира и обработва лични данни чрез автоматични и неавтоматични средства.

Чл. 13. (1) Данните на физическите лица от категория „Служители“ се събират, обработват и съхраняват на хартиен и електронен носител от управителя, съдружниците и/или от друг изрично натоварен служител на СОНО ПАУЛИНА и/или от трето лице – обработващ личните данни. 

(2) Личните данни на физическите лица от категория „Служители“ се получават от физическите лица, за които се отнасят, при постъпване на работа по трудово правоотношение, (вкл. договор за управление), както и при използване на отпуски по реда на КТ, упражняване на право на обезщетение при неработоспособност, при получаване на социални и/или семейни помощи, както при и по повод на останалите права и задължения, свързани с трудовите правоотношения. 

(3) Достъп до данните на физическите лица от категория „Служители“,освен лицата по ал. 1, може даима и друг служител на СОНО ПАУЛИНА, чиито служебни функции изискват това – при спазване на принципа за предоставяне на минимално необходимите данни и обработването им само за възложените цели.

(4) СОНО ПАУЛИНА има право да разкрива данните на физическите лица от категория „Служители“ само на посочените категории трети лица, а именно:

  • на публични органи при изпълнение на законовите си задължения или защита на легитимни интереси;
  • на служба по трудова медицина, доставчици на счетоводни, юридически, IT, банкови, застрахователни, осигурителни и други услуги за изпълнение на договорни или законови задължения, както и за защита на легитимните си интереси.

(5) Сроковете за съхранение на личните данни на физическите лица от категория „Служители“, които прилага СОНО ПАУЛИНА, са както следва:

  1. личните данни, съдържащи се в трудовите досиета на Служителите на СОНО ПАУЛИНА, се съхраняват за срока на действие на трудовоправното отношение и 5 години след прекратяването му, считано от годината, следваща годината на прекратяване;
  2. изключение от срока за съхранение по б. „а“ се допуска само по отношение на личните данни, доказващи трудов и осигурителен стаж (като ведомостите за заплати), които се съхраняват в законово определения срок (50 години);
  3. личните данни, които се отнасят до здравето на физическите лица, се съхраняват в законово определения срок, като по отношение на болничните листове този срок е 3 години, считано от годината, следваща датата на издаването им.

(6) След изтичане на сроковете по ал. 5 или при упражнено от субекта на данните право на изтриване, или при оттеглено съгласие за обработване (в приложимите случаи), СОНО ПАУЛИНА изтрива и унищожава личните данни по начин, съответстващ на предвидените технически и организационни мерки в СОНО ПАУЛИНА. 

Чл. 14. (1) Данните на физическите лица от категория „Кандидат служители“ се събират, обработват и съхраняват на хартиен и електронен носител от управителя, съдружниците или от друг изрично натоварен служител на СОНО ПАУЛИНА и/или от трето лице – обработващ личните данни. 

(2) Личните данни на физическите лица от категория „Кандидат служители“ се получават от физическите лица, за които се отнасят, при кандидатстване за работа в СОНО ПАУЛИНА. 

(3) Освен лицата по ал. 1 достъп до данните на физическите лица от категория „Кандидат служители“ може да има и друг служител на СОНО ПАУЛИНА, чиито служебни функции изискват това – при спазване на принципа за предоставяне на минимално необходимите данни и обработването им само за възложените цели.

(4) СОНО ПАУЛИНА има право да разкрива данните на физическите лица от категория „Кандидат служители“ само на посочените категории трети лица, а именно:

  • на публични органи при изпълнение на законовите си задължения или защита на легитимни интереси;
  • на доставчици на услуги за изпълнение на договорни или законови задължения, както и за защита на легитимните си интереси.

(5) Сроковете за съхранение на личните данни на физическите лица от категория „Кандидат служители“, които прилага СОНО ПАУЛИНА, са до 3 месеца от момента на окончателно приключване на процедурата по подбор за съответната длъжност.

(6) Срокът по ал. 5 от настоящия член не се прилага, когато физическото лице кандидат-служител е предоставило изричното си съгласие данните му да бъдат обработвани от СОНО ПАУЛИНА и във връзка с други процедури по подбор, различни от тази, по която е кандидатствало. В този случай, срокът за съхранение на данните е до 1 година от момента на окончателно приключване на процедурата по подбор за съответната длъжност или до момента на оттеглянето на съгласието.

(7) След изтичане на сроковете по ал. 5 и ал. 6 или при упражнено от субекта на данните право на изтриване, или при оттеглено съгласие за обработване (в приложимите случаи), СОНО ПАУЛИНА изтрива и унищожава личните данни по начин, съответстващ на предвидените технически и организационни мерки в СОНО ПАУЛИНА. 

Чл. 15. (1)Данните на физическите лица от категория „Клиенти и Контрагенти“ се събират, обработват и съхраняват на хартиен и електронен носител от управителя, съдружниците или от друг изрично натоварен служител на СОНО ПАУЛИНА и/или от трето лице – обработващ личните данни.

(2) Личните данни на физическите лица от категория „Клиенти и Контрагенти“ се получават от физическите лица, за които се отнасят, при сключване и изпълнение на договори с СОНО ПАУЛИНА и при изпълнение на услугите, които са им възложени от СОНО ПАУЛИНА. 

(3) Освен лицата по ал. 1 достъп до данните на физическите лица от категория „Клиенти и Контрагенти“ могат даимат и други служители на СОНО ПАУЛИНА, чиито служебни функции изискват това – при спазване на принципа за предоставяне на минимално необходимите данни и обработването им само за възложените цели.

(4) СОНО ПАУЛИНА има право да разкрива данните на физическите лица от категория „Клиенти и Контрагенти“ само на посочените категории трети лица, а именно:

  • на публични органи при изпълнение на законовите си задължения или защита на легитимни интереси;
  • на доставчици на IT, юридически, счетоводни, маркетинг и др. услуги за изпълнение на договорни или законови задължения, както и за защита на легитимните си интереси.

(5) Сроковете за съхранение на личните данни на физическите лица от категория „Клиенти и Контрагенти“ с изключение на тези по ал. 6, които прилага СОНО ПАУЛИНА, са срокът на действие на съответния договор и до 5 години след прекратяването му, считано от годината, следваща годината на прекратяването, освен ако не е инициирано и/или образувано административно, съдебно или друг вид производство, имащо отношение към източниците на информация по настоящия член, налагащо съхранение за срок до окончателното му приключване.

(6) Сроковете за съхранение на личните данни на физическите лица от категория „Клиенти и Контрагенти“, съдържащи се във фактури, които прилага СОНО ПАУЛИНА, са срокът на действие на съответния договор и до 10 години след прекратяването му, считано от годината, следваща годината на прекратяването, освен ако не е инициирано и/или образувано административно, съдебно или друг вид производство, имащо отношение към източниците на информация по настоящия член, налагащо съхранение за срок до окончателното му приключване. 

(7) След изтичане на сроковете по ал. 5 ал. 6 или при упражнено от субекта на данните право на изтриване, или при оттегляне на съгласие за обработване (в приложимите случаи), СОНО ПАУЛИНА изтрива и унищожава личните данни по начин, съответстващ на предвидените технически и организационни мерки в СОНО ПАУЛИНА. 

Чл. 16. (1)В случаите, в които СОНО ПАУЛИНА е възложило обработването на лични данни по настоящия раздел на трети (физически и/или юридически) лица – обработващи лични данни, СОНО ПАУЛИНА ще използва услугите само на такива обработващи, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на ОРЗЛД и да осигурява защита на правата на субектите на данни.

(2) Обработването по ал. 1 се урежда с договор, който е задължителен за обработващия лични данни спрямо СОНО ПАУЛИНА, и който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора и е съобразен с изискванията на ОРЗЛД.

Раздел шести

ВЪТРЕШНА ОРГАНИЗАЦИЯ И ОТЧЕТНОСТ ПРИ ОБРАБОТВАНЕ И ЗАЩИТА НА ЛИЧНИ ДАННИ 

Чл. 17. (1) СОНО ПАУЛИНА води в писмена форма в електронен формат вътрешни регистри за отделните категории физически лица, чиито данни обработва.

(2) В регистъра за физическите лица от категорията „Служители“ се съдържа следната информация: три имена, длъжност, дата на сключване и дата на прекратяване на трудовия договор, основание за обработване на личните данни, съгласие за допълнително обработване, статус на съгласие, в случай че данните се обработват въз основа на съгласие.

(3) В регистъра за физическите лица от категорията „Кандидат служители“ се съдържа следната информация: три имена, позиция, за която се кандидатства, информация дали са назначени, дата на окончателно приключване на процедурата по подбор, основание за обработване на личните данни, съгласие за допълнително обработване, статус на съгласие, в случай че данните се обработват допълнително въз основа на съгласие.

(4) В регистъра за физическите лица от категорията „Клиенти и Контрагенти“ се съдържа следната информация: три имена, качество/ позиция, дата на сключване и дата на прекратяване на договора, основание за обработване на личните данни, предоставено съгласие за обработване, статус на съгласие, в случай че данните се обработват въз основа на съгласие.

(5) Отговорни за воденето и поддържането на изброените по-горе регистри, са следните лица: 

1. За регистър „Служители“ – управителят; 

2. За регистър „Кандидат служители“ – управителят;

3. За регистър „Клиенти и контрагенти“ – управителят;

(6) Достъп до данните, включени в изброените по-горе регистри и при спазване на принципа за предоставяне на минимално необходимите данни и обработването им само за възложените цели се предоставя, както следва: 

1. За регистър „Служители“ – на лицата, посочени в чл. 13, ал. 1 и ал. 3 по-горе;

2. За регистър „Кандидат служители“ – на лицата, посочени в чл. 14, ал. 1 и ал. 3 по-горе;

3. За регистър „Контрагенти“ – на лицата, посочени в чл. 15, ал. 1 и ал. 3 по-горе.

(7) При необходимост СОНО ПАУЛИНА може да създаде и допълнителни регистри за категории субекти на данни, извън посочените по-горе, чието съдържание се определя с изрична писмена заповед на управителя.

Чл. 18. СОНО ПАУЛИНА обработва личните данни самостоятелно, чрез служители на дружеството със съответните функции или изрични пълномощия или чрез изрично натоварени трети лица – обработващи личните данни. 

Чл. 19. Служителите на СОНО ПАУЛИНА, които обработват лични данни, имат следните права и задължения:

1. да обработват личните данни законосъобразно и добросъвестно;

2. да не изнасят и съхраняват личните данни извън специално определените за целта места, регламентирани с режим на специален достъп;

3. да използват личните данни, до които имат достъп, съобразно целите, за които се събират, и да не ги обработват по нерегламентиран начин /фалшифициране и друг вид злоупотреба/;

4. да актуализират регистрите на личните данни, когато е необходимо и в съответствие с възложените им функции;

5. да заличават или коригират личните данни, когато се установи необходимост за това;

6. да поддържат личните данни във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват;

7. да поддържат актуални знанията си относно нормативната уредба и вътрешните актове на СОНО ПАУЛИНА, регламентиращи обработването и защитата на лични данни;

8. да спазват правилата за споделяне на критична информация между персонала (като идентификатори, пароли за достъп и др.), включително всички установени правила за информационна сигурност на СОНО ПАУЛИНА;

9. да спазват правилата за противопожарна безопасност в помещенията на СОНО ПАУЛИНА с цел защита на хартиените, техническите и информационните носители, където се съхраняват лични данни. 

Чл. 20. Всички служители на СОНО ПАУЛИНА при встъпване в длъжност подписват декларация, с която се задължават да спазват конфиденциалност по отношение на личните данни, обработвани от СОНО ПАУЛИНА, както и да не разгласяват данни и информация, станали им известни при или по повод изпълнение на служебните им задължения.

Чл. 21. (1)Управителят на СОНО ПАУЛИНА самостоятелно или чрез изрично упълномощено лице – служител на СОНО ПАУЛИНА, изпълнява следните свои правомощия:

1. осигурява организацията по водене на регистрите, съгласно предвидените мерки за гарантиране на адекватна защита;

2. следи за спазването на конкретните мерки за защита и контрол на достъпа съобразно спецификата на водените регистри;

3. осъществява контрол по спазване на изискванията за защита на регистрите;

4. поддържа връзка с Комисията за защита на личните данни и/или друг компетентен надзорен орган, като я уведомява при нарушения на сигурността;

5. контролира спазването на правата на достъп на служителите във връзка с регистрите и програмно-техническите ресурси за тяхната обработка;

6. следи за спазване на организационната процедура за обработване на личните данни, включваща време, място и ред при обработване, включително чрез регистрация на всички извършени действия с/ в регистрите в компютърната среда.

7. определя и контролира спазването на реда за съхраняване, изтриване и заличаване личните данни, включително и за унищожаване на информационни носители, съдържащи такива данни;

8. утвърждава Политика за техническата и/или информационната сигурност на СОНО ПАУЛИНА или друг относим вътрешен акт, в който се включват правила и процедура за:

– определяне на техническите ресурси, прилагани за обработка на личните данни;

– реда при задаване, използване и промяна на пароли, както и действията в случай на узнаване на парола и/или криптографски ключ;

– провеждане на редовна профилактика на компютърните и комуникационните средства, включваща и проверка за вируси, за нелегално инсталиран софтуер, на целостта на базата данни, както и архивиране на данни, актуализиране на системната информация и др.;

9. провежда периодичен контрол за спазване на изискванията по защита на данните и при открити нередности взема мерки за тяхното отстраняване;

10. утвърждава план за обучение на служителите в СОНО ПАУЛИНА и следи за неговото спазване;

(2) Управителят на СОНО ПАУЛИНА може да възлага изпълнение на правомощията си по т. 1, 2, 3, 4, 5, 6, 7 и 9 на изрично натоварен и упълномощен за изпълнението им служител. В този случай, посоченото лице докладва периодично за изпълнението на тези правомощия пряко на управителя при необходимост, но не по-рядко от веднъж на всеки шест месеца.

Чл. 22. (1) За неспазването на разпоредбите на настоящата Политика служителите на СОНО ПАУЛИНА носят отговорност по приложимото законодателство в областта на защитата на лични данни и по Кодекса на труда.

(2) Ако в резултат на действията на съответен служител на СОНО ПАУЛИНА по обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако стореното представлява по-тежко деяние, за което се предвижда наказателна отговорност.

Раздел седми

ПРАВА НА СУБЕКТИТЕ НА ДАННИ. НАЧИНИ ЗА УПРАЖНЯВАНЕ

Чл. 23. (1) Всяко физическо лице, чиито лични данни се обработват от СОНО ПАУЛИНА, има следните права по смисъла на глава III от ОРЗЛД, както следва:

  • Право на информация.
  • Право на достъп;
  • Право на коригиране на лични данни;
  • Право на изтриване на лични данни; 
  • Право на ограничаване на обработването на предоставените лични данни;
  • Право на възражение срещу обработването;
  • Право на преносимост на данните;
  • Право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване.

(2) СОНО ПАУЛИНА предоставя информацията по ОРЗЛД на субектите на данни чрез Правилата си за поверителност (Приложение № 1 към настоящата Политика), налични на уебсайта на Администратора, както и място на адреса за кореспонденция с дружеството, а именно: гр. София, п.к. 1421, район „Лозенец“, ул. „Никола Козлев“ 3, ет. 1, ап. 1.

(3) Всеки субект на данни може да упражни правата си по този член чрез отправяне на изрично заявление в този смисъл на следния имейл адрес: __www.tuchlandbulgaria.com или по електронен път при условията на Закона за електронния документ и електронните удостоверителни услуги, Закона за електронното управление и Закона за електронната идентификация,или в писмена форма на адрес: гр. София, п.к. 1421, район „Лозенец“, ул. „Никола Козлев“ 3, ет. 1, ап. 1. 

(4) В случаите, в които обработването на лични данни се извършва въз основа на дадено от субекта съгласие за това, всеки субект има право да оттегли същото по всяко време. Оттеглянето може да се направи по един от следните начини: чрез отправяне на изрично заявление в този смисъл на следния имейл адрес: www.touchlandbulgaria.com или в писмена форма на адрес: гр. София, п.к. 1421, район „Лозенец“, ул. „Никола Козлев“ 3, ет. 1, ап. 1.

(5) В случай, че субектът на данни смята, че със своите действия СОНО ПАУЛИНА нарушава негови законови права по отношение на събирането, обработването и съхраняването на предоставените лични данни, може да се обърне към Комисия за защита на личните данни или компетентните съдилища, като има право да подадете жалба, в която да изложи своите оплаквания.

Раздел осми

МЕРКИ ЗА ЗАЩИТА И СИГУРНОСТ НА ДАННИТЕ

Чл. 24. Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на субектите на данни, СОНО ПАУЛИНА прилага технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително и когато е необходимо:

a) псевдонимизация и криптиране на личните данни;

б) способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване на лични данни;

в) способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;

г) процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с цел да се гарантира сигурността на обработването.

Чл. 25. При оценката на подходящото ниво на сигурност СОНО ПАУЛИНА  взема предвид по-специално рисковете, които са свързани с обработването на личните данни, като случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни.

Чл. 26. Всяко физическо лице, действащо под ръководството на СОНО ПАУЛИНА (служител и/или обработващ лични данни), което има достъп до лични данни, обработва тези данни само по писмено указание на СОНО ПАУЛИНА, освен ако от въпросното лице не се изисква да прави това по силата на правото на ЕС или на националното законодателство. 

Чл. 27. (1)Ако съществува вероятност определен вид обработване, извършвано от СОНО ПАУЛИНА, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на субектите на данни, преди да бъде извършено обработването, СОНО ПАУЛИНА извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни.

(2) При извършването на оценка на въздействието върху защитата на данните задължително се представя становището от длъжностното лице по защита на данните, когато такова е назначено.

(3) Оценката по ал. 1 следва да съдържа най-малко:

a) системен опис на предвидените операции по обработване и целите на обработването, включително, ако е приложимо, законния интерес на СОНО ПАУЛИНА;

б) оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;

в) оценка на рисковете за правата и свободите на субектите на данни;

г) мерките, предвидени за справяне с рисковете, включително гаранциите, мерките за сигурност и механизмите за осигуряване на защитата на личните данни и за демонстриране на спазването на ОРЗЛД, като се вземат предвид правата и законните интереси на субектите на данни и на други заинтересовани лица.

(4) СОНО ПАУЛИНА се консултира с КЗЛД съгласно изискванията на чл. 36 от ОРЗЛД преди обработването, когато оценката на въздействието върху защитата на данните по ал. 1 покаже, че обработването ще породи висок риск, ако СОНО ПАУЛИНА не е предприел мерки за ограничаване на този риск.

Чл. 28. Към момента на приемане на настоящата Политика СОНО ПАУЛИНА не осъществява обработване на лични данни, което е възможно да породи висок риск за правата и свободите на субектите на данни по смисъла на ОРЗЛД. Във всеки случай, когато е налице вероятност за висок риск, ще се приложи чл. 27 и разпоредбите на ОРЗЛД. 

Чл. 29. (1) Прилаганите мерките за защита и сигурност на данните, обработвани от СОНО ПАУЛИНА, за всяка една от категориите субекти на данни, посочени в чл. 8 по-горе, са както следва:

  • Мерки за физическа защита;
  • Мерки за персонална защита;
  • Мерки за документална защита;
  • Мерки за защита на информационните системи и мрежи.

(2) Детайлно описание на посочените в ал. 1 видове мерки за защита и сигурност на личните данни се съдържа в Приложение № 2 към настоящата Политика – „Мерки за защита и сигурност на личните данни, обработвани от СОНО ПАУЛИНА“.

(3) Приетите и прилагани мерки за защита и сигурност, описани в Приложение № 2, ще се актуализират от СОНО ПАУЛИНА периодично и при необходимост.

Чл. 30. (1) Към момента на приемане на настоящата Политика, СОНО ПАУЛИНА не е назначило длъжностно лице по защита на данните по смисъла на ОРЗЛД, тъй като не са налице предпоставките на чл. 37, параграф 1 от ОРЗЛД.

(2) При промяна на обстоятелствата, налагащи необходимостта от назначаване на длъжностно лице по защита на данните, СОНО ПАУЛИНА ще назначи такова при спазване изискванията на ОРЗЛД и на националното законодателство.

Раздел девети

ДЕЙСТВИЯ ПРИ НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ. ДЕЙСТВИЯ ЗА ЗАЩИТА ПРИ АВАРИИ, ПРОИЗШЕСТВИЯ И БЕДСТВИЯ

Чл. 31. (1)В случай на нарушение на сигурността на личните данни СОНО ПАУЛИНА, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни КЗЛД или надзорния орган, компетентен в съответствие с ОРЗЛД, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица.

(2) Уведомлението по ал. 1 следва да съдържа най-малко следната информация:

a) описание на естеството на нарушението на сигурността на личните данни, включително, ако е възможно, категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;

б) посочване на името и координатите за връзка на ДЗЛД или на друг служителя на СОНО ПАУЛИНА, от когото може да се получи повече информация;

в) описание на евентуалните последици от нарушението на сигурността на личните данни;

г) описание на предприетите или предложените от СОНО ПАУЛИНА мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

(3) Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на субектите на данни, СОНО ПАУЛИНА, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни съгласно чл. 34 от ОРЗЛД. Такова съобщение до субекта на данните не се изисква, ако някое от следните условия е изпълнено:

a) СОНО ПАУЛИНА е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;

б) СОНО ПАУЛИНА е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни;

в) Съобщението би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.

Чл. 32. СОНО ПАУЛИНА предприема превантивни действия при защита на личните данни и в случаи на настъпили форсмажорни събития, като съставя план за действие при различните случаи, а именно:

1. защита при аварии, независещи от СОНО ПАУЛИНА – предприемат се конкретни действия съобразно възникналата ситуация;

2. защита от пожари – незабавно гасене със собствени средства /пожарогасители, пожарогасителни системи/и уведомяване на съответните органи;

3. защита от наводнения – предприемат се действия по ограничаване на разпространението, както и се изпомпва вода или загребва със собствени подръчни средства; по възможност, незабавно се изнасят от засегнатите помещения всички носители (хартиени и/или електронни) на лични данни;

Раздел десети

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Чл. 33. Настоящата Политика е приета и утвърдена със Заповед № 1___/ _2020____ г. на управителя на СОНО ПАУЛИНА. Всички последващи нейни изменения и допълнения ще се извършват по начина на нейното приемане и ще бъдат своевременно довеждани до знанието на служителите на СОНО ПАУЛИНА и на останалите засегнати физически лица.