ПОЛИТИКА НА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Настоящата политика за защита на личните данни (наричана по-долу „Политиката”) регламентира дейностите по обработване на лични данни от Сеньора ЕООД, ЕИК 160137403, с адрес на управление гр. Пловдив ул.Булаир 26, (наричано по-долу „Дружеството”), с цел гарантиране съответствието с изискванията на Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Общ регламент относно защитата на данните, наричан по-долу „Регламентът”), както и с всички други приложими нормативни актове по защита на личните данни. Настоящата Политика се прилага по въпросите за защита на личните данни, за които липсва друга регламентация съгласно други актове на Дружеството.
1.Информация за Дружеството
NL FOR YOU е марка, собственост на Сеньора ЕООД, ЕИК 160137403, с адрес на управление: Област: Пловдив ул.Булаир 26 (наричано по-долу “Дружеството“). За целите на законодателството в областта на защитата на данните, дружеството е администратор при обработването на лични данни.
2. Използвани термини и съкращения
Всички термини и съкращения, които не са изрично дефинирани в Политиката, имат значението, определено в Регламента.
3. Дейности по обработване на лични данни
3.1. Принципи на обработване на личните данни
Обработването на личните данни от Дружеството се подчинява на принципите на законосъобразност, добросъвестност и прозрачност и на свеждане на данните до минимум. Обработваните лични данни са ограничени до необходимото във връзка с целите, за които се обработват. Личните данни се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели. Личните данни са точни и при необходимост се поддържат в актуален вид. Личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни. Личните данни се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, разкриване, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки, при спазване на принципите на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване.
3.2. Категории субекти на данни.
Категории лични данни и цели на обработването.
3.2.1. Дружеството има право да обработва лични данни относно своите клиенти, служители и други субекти на данни, както следва:
• клиенти (физически лица) на Дружеството в основната му дейност по предлагане и търговия с продукти, по отношение на които могат да се обработват лични данни като IP адрес, и-мейл адрес, телефонен номер, MAC адрес, адрес (пощенски и за доставка), информация за фактурирание и приемане на банкови плащания и др. Целите на обработване за тази категория субекти включват: (i). приемане, обработване и изпълнение на заявки за поръчка на предлаганите от Дружеството продукти и/или на услуги, включително ползването на уеб-сайта на Дружеството; (II). съхранение на данъчен и счетоводен регистър; (III). изпълнение на законодателни изисквания; (IV). цели, свързани с легитимните интереси на Дружеството; (v). цели, за които субектът на данни е дал съгласие за обработване на данните му;
• потенциални, настоящи и/или бивши служители на Дружеството, и физически лица, които се намират или са се намирали в договорни правоотношения с Дружеството по граждански договори; кандидати за работа или за сключване на граждански договор като външни изпълнители – физически лица, които не се намират в трудови или договорни правоотношения с Дружеството, но желаят да встъпят в такива, по отношение на които могат да се обработват лични данни като три имена, ЕГН/ЛНЧ/Служебен номер, дата на раждане; адрес, данни за предходен трудов или професионален опит, образованиe и квалификация, осъществяванa дисциплинарна отговорност; информация за банкови сметки (IBAN, при плащане по банков път), данни за контакт: тел. номер; и-мейл адрес; други данни, изискуеми съгласно приложимото законодателство за сключването и изпълнението на трудов или граждански договор; данни, непосредствено свързани с дейността по изпълнение на сключените с тези лица договори (напр.: данни от логове или активност на лицата в системите, поддържани от Дружеството, с оглед изпълняване на възложените на лицата функции (напр. системи за въвеждане на поръчки), IP адрес, и др. Целите на обработване по отношение на тази категория субекти включват: (i). проучване на възможността за това, сключване и изпълнение на трудов или граждански договор със субектите на данни; (ii). съхранение на данъчен и счетоводен регистър; (iii). изпълнение на законодателни изисквания; (iv). цели, свързани с легитимните интереси на Дружеството; (v). цели, за които субектът на данни е дал съгласие за обработване на данните му.
• съконтрагенти и партньори – физически лица, по договори за реклама и популяризиране на продуктите, предлагани от Дружеството, за които Дружеството може да събира лични данни и под формата на фотографски изображения. Целите на обработване по отношение на тази категория субекти включват: (i). изпълнение на договори за реклама или популяризиране; ; (ii). цели, свързани с легитимните интереси на Дружеството; (iii). цели, за които субектът на данни е дал съгласие за обработване на данните му;
• други физически лица и физически лица-представители или лица за контакт на юридически лица, които имат контакт с Дружеството (включително, но не само доставчици, бизнес контакти, подизпълнители, бизнес партньори и др. под.) за целите на изпълнение и/или управление на дейността на Дружеството;
• други физически лица, представители по закон или пълномощие, на физически лица – клиенти на Дружеството.
3.2.2. Дружеството запазва личните данни за по-дългия измежду периодите, необходими или за спазване на приложимите закони и подзаконови нормативни актове, или друг период съгласно изискванията, приложими към търговската дейност на Дружеството или към дейността му като работодател или възложител по граждански договори. Обработването на личните данни се основава на принципа за свеждане на данните до минимум, в зависимост от и за целите на предоставяне на услугите, които ползва съответният клиент.
4. Категории получатели на данни
Дружеството може да разкрива лични данни на следните лица:
доставчици на услуги – консултанти, адвокати, счетоводители, IT специалисти и др., във връзка със сключване на договорите от основната дейност на Дружеството, изпълнение на законови изисквания, техническа поддръжка и др.;
подизпълнители – при предоставяне на услуги от името на Дружеството (дистрибутори и др.), във връзка със сключване и изпълнение на договори за търговия с предлаганите от Дружеството продукти;
лица, предоставящи услуги по предоставяне и поддържане на оборудване, софтуер и хардуер, използвани за обработка (включително съхранение) на лични данни, за отчитане на разплащания и др.;
банки, за обслужване на плащанията от страна на субектите на данни;
публични и/или съдебни органи, в и до обема, разрешен и/или изискуем съгласно закона.
5. Задължения на Дружеството
Дружеството има следните задължения:
определя политиките и процедурите за защита на обработваните лични данни съгласно приложимото законодателство;
въвежда, подходящи технически и организационни мерки с оглед на ефективното прилагане на принципите за защита на данните, както и за да гарантира, че по подразбиране се обработват само лични данни, които са необходими за съответната цел на обработването;
осигурява упражняването на правата на субектите за защита на личните данни;
актуализира поддържаните бази данни и осъществява контрол по спазване на изискванията за защита, установява обстоятелства, свързани с нарушаване на защитата, и предприема мерки за тяхното отстраняване;
поддържа личните данни във вид, който позволява идентифициране на съответните субекти за период не по-дълъг от необходимия за целите, за които тези данни се обработват;
информира по целесъобразност служителите по въпросите на защитата на личните данни;
оказва съдействие при осъществяването на контролните функции на Комисията за защита на личните данни (наричана по-долу от „КЗЛД”);
определя правата на служителите за достъп до лични данни в информационните системи съобразно целите на обработване;
използва обработващи лични данни, които предоставят достатъчни гаранции чрез прилагането на подходящи технически и организационни мерки за защита;
спазва определени правила в случай на нарушение на сигурността на личните данни;
документира нарушенията на сигурността на личните данни съгласно приложимото законодателство;
извършва оценка на риска, съгласно изискванията на Регламента, респективно оценка на въздействието, ако съгласно Регламента са налице условията за това.
6. Задължения на служителите на Дружеството. Отговорност. Поверителност
6.1. Служителите на Дружеството започват да обработват лични данни след запознаване с:
нормативната уредба в областта на защитата на личните данни;
Политиката и другите вътрешни актове на Дружеството, свързани със защитата на личните данни;
опасностите за личните данни, обработвани от Дружеството.
Служителите на Дружеството са длъжни:
да спазват изискванията на Регламента, останалото приложимо законодателство в областта на защита на личните данни, Политиката и другите вътрешни актове на Дружеството, свързани със защитата на личните данни;
да обработват личните данни само при наличие на условие за законосъобразно обработване, а именно: законово основание за обработване; или основание за обработване, което произтича от договорните отношения с лицето или е необходимо за евентуално сключване на договорни отношения с лицето; или основание за обработване, което произтича от изрично съгласие на лицето; или основание за обработване, което произтича от легитимния интерес на Дружеството или на трета страна в съответствие с изискванията на Регламента;
да използват личните данни, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели;
да не използват личните данни, до които имат достъп в качеството им на служители на Дружеството, за каквито и да било лични цели;
да спазват правилото за избягване на възможността за нерегламентиран достъп до лични данни и за оставяне на достъпни лични данни без надзор на съответното работно място. В помещения, до които имат достъп външни лица, съответните служители са задължени да предприемат мерки, така че външните лица да нямат какъвто и да е неправомерен достъп до документи, съдържащи лични данни, включително да могат да ги преглеждат, копират или фотографират с техническо средство;
когато изпълнението на съответната дейност позволява, да ограничат използваните лични данни до максимална степен;
да осигуряват и гарантират спазването на правата на субектите във връзка с обработването на лични данни;
да не допускат, подпомагат или създават условия за нарушения на сигурността при обработването на лични данни; да не споделят или предоставят помежду си или на трети лица информация от съществено значение за сигурността на данните (потребителските си имена, пароли за достъп до системите и др.);
да не копират файлове с корпоративна информация, съдържаща лични данни, върху преносим носител в некриптиран (или в незащитен с парола) вид;
да не изпращат по електронна поща към имейл адреси извън Дружеството информация, съдържаща съществени обеми от лични данни, или каквито и да е специални категории лични данни, или други лични данни, неправомерния достъп до които може да съставлява висок риск за правата и интересите на субектите на данни, за които се отнасят, в незащитени с парола файлове или в некриптиран или по друг начин псевдонимизиран вид.
да не публикуват лични данни за клиенти или служители на Дружеството в публични сайтове, и др., без наличие на адекватно правно основание за това;
6.2. Отговорност на служителите
6.2.1. Всички действия, които водят или могат да доведат до нерегламентирано изтриване, унищожаване или изменение на постъпили лични данни при Дружеството в електронен вид или на хартиен носител, както и нерегламентирано споделяне/ разкриване на лични данни, от страна на служители на Дружеството е забранено и може да доведе до реализирането на отговорността на съответния служител (дисциплинарна, административно-наказателната и/или наказателна, и/или гражданска).
6.3. Дружеството:
осигурява подписването на декларация за поверителност и неразпространение на лични данни от всички служители, които обработват лични данни за него. информира служителите, които обработват лични данни, за задълженията им, свързани с това обработване.
7. Поддържане на Регистър на дейностите по обработване на лични данни като администратор
Съгласно изискванията на чл. 30, пар. 1 от Регламента, Дружеството води Регистър за дейностите по обработване в качеството на администратор, който съдържа името и координатите за връзка на Дружеството. Регистърът включва детайлно описание на всички дейности по обработване на лични данни съгласно чл. 30, пар. 1 от Регламента, включително със следните характеристики: наименование на дейността (бизнес процеса, функцията) по обработване; целите на обработване; категориите физически лица, за които се обработват лични данни; категориите лични данни, които се обработват в съответната дейност; трети страни, които получават или по друг начин участват в обработването на лични данни в съответната дейност; когато е приложимо, предаването на лични данни на трета държава, извън ЕС; предвидените срокове за съхранение и изтриване на различните категории лични данни, когато е възможно; общо описание на техническите и организационни мерки за сигурност, когато е възможно.
8. Поддържане на Регистър на дейностите по обработване на лични данни като обработващ
В случай, че с оглед дейностите на Дружеството за него възникне небходимостта от поддържане на Регистър на дейностите по обработване на лични данни като обработващ по смисъла на чл. 30, ал. 2 от Регламента, Дружеството ще създаде и поддържа такъв Регистър в изискуемите съгласно приложимото законодателство вид, обем и съдържание.
9. Длъжностно лице по защита на данните
Дружеството ще определи длъжностно лице по защита на данните (наричано по-долу „ДЛЗД”) в случай, че назначаването на такова бъде или стане необходимо в съответствие с приложимите законодателни изисквания за защита на личните данни.
10. Права на субектите на данни
Дружеството осигурява упражняването на следните права на субектите на данни:
право на информация, при събиране на личните данни от субекта на данни;
право на достъп до данните на субекта на данни и по-конкретно: (i). потвърждение дали лични данни на субекта на данни се обработват от Дружеството; (ii). предоставяне на достъп до данните чрез копие от данните, които са в процес на обработване, както и информация относно целите на обработването; категориите лични данни; получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни; сроковете за съхранение на личните данни; съществуването на
право на коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, или на възражение срещу обработването; правото на жалба до КЗЛД; източниците на лични данни; съществуването на автоматизирано вземане на решения, включително профилиране.
право на коригиране - да изисква коригирането или попълването на личните му данни, ако същите са неточни или непълни; право на изтриване на личните данни, когато са налице предвидените в Регламента основания;
право на ограничаване на обработването;
право на преносимост на данните;
право на възражение;
право на субекта на данни да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последици или по друг начин го засяга в съществена степен;
даване, промяна или оттегляне на съгласие за обработване на лични данни, когато основание за обработването е съгласието на субекта на данни.
Субектите на данни могат да упражняват своите права чрез подаване на писмено заявление до Дружеството, по един от следните начини:
по електронна поща с адрес offce.nlforyou@gmail.com чрез квалифициран електронен подпис, съгласно Закона за електронния документ и електронните удостоверителни услуги (наричан по-долу „КЕП”);
по пощата до адреса за контакти на Дружеството с изпращането на нотариално заверено заявление с цел осигуряване идентификация на заявителя, а в случаите, когато заявлението се подава от законен представител на заявителя, или чрез упълномощен с нотариално заверено пълномощно представител на заявителя, заявлението също следва да съдържа нотариално удостоверен подпис на подписалото се лице.
Заявленията се разглеждат без необосновано забавяне. В срок от един месец от подаване на заявлението, Дружеството уведомява субекта на данни за действията, предприети по заявлението, респективно за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Ако бъдат предприети действия във връзка със заявлението, срокът за уведомяване на субекта на данни за тези действия може да се удължи до общо три месеца, като се вземе предвид сложността и броят на заявленията. В този случай Дружеството уведомява субекта на данни за удължаването на срока в рамките на първоначалния едномесечен срок.
Информацията (която може да варира в зависимост от това кое право на субекта на данни е упражнено) се предоставя на хартиен носител лично на субекта на данни или на негов законен или упълномощен с изрично нотариално заверено пълномощно представител. Ако заявлението е подадено по електронна поща, информацията се предоставя също посредством електронна поща на и-мейл адреса, от който изхожда подаденото заявление, в защитени с парола файлове.
11. Съгласие на субекта на данни като основание за обработване
11.1. Основание
В случаите, когато основанието за обработване на лични данни е съгласие по смисъла на Регламента, съгласието следва да се дава лично чрез писмена декларация, в електронна форма или друг определен от Дружеството начин, с който да се гарантира, че съгласието е свободно дадено, конкретно, информирано, и недвусмислено.
11.2. Субекти на данни
Дружеството може да събира съгласия за всички категории субекти на данни, за които се извършва обработване на лични данни, включително клиенти, служители и лица, с които Дружеството е сключило граждански договори за предоставяне на услуги или поръчки, и др.
11.3. Оттегляне
Дружеството осигурява възможност на субектите на данни по лесен начин да променят или оттеглят съгласието си, без това да поражда неблагоприятни правни последици за тях, когато обективно е налице възможност за това. Промени или оттегляне на съгласие се осъществяват от субектите на данни по реда за събиране на съгласия. В случай на частично или пълно оттегляне на съгласие, когато обработването на лични данни се извършва на това основание, Дружеството може да се окаже в невъзможност да предостави заявената от клиента услуга или да извърши дейността, за която се е налагало съответното предоставяне на лични данни. Оттеглянето на съгласието не засяга законосъобразността на обработването въз основа на даденото съгласие до момента на оттеглянето му.
11.4. Събиране на съгласия
Съгласията се събират по един от следните начини:
лично, в офиса за контакти - за клиенти на Дружеството;
по електронната служебна поща - за настоящи служители;
чрез лицензиран пощенски оператор с нотариална заверка на изявлението за съгласие; или
подписано с КЕП изявление за съгласие, изпратено по електронна поща.
11.5. Даване и оттегляне на съгласия онлайн
При наличие на случаи, в които получаването на съгласие за обработване на лични данни от Дружеството се изисква с оглед предоставяни от Дружеството услуги, които се заявяват или онлайн, това съгласие се получава (съответно, оттегля) също онлайн.
11.6. Съхранение
Съгласията за обработване на лични данни се регистрират и съхраняват от Дружеството, в съответно възможния за такова съхранение вид и обем.
12. Обработване на лични данни от Дружеството посредством обработващ лични данни
За извършването на своята дейност Дружеството може да използва трети страни (подизпълнители, дистрибутори, доставчици на куриерски услуги и др.), явяващи се обработващи лични данни по смисъла на чл. 4, т. 8 от Регламента. Такива обработващи могат да бъдат:
търговски дружества;
физически лица, наети на граждански договори.
При възлагане обработването на лични данни на обработващ Дружеството спазва следните изисквания:
избират се обработващи, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки за защита на личните данни;
условията за защита на личните данни се уреждат писмено между Дружеството и обработващия.
Договорите/споразуменията, които Дружеството сключва с обработващите лични данни, определят и уреждат: предмета и срока на действие, целите и естеството на обработването; категориите субекти на данни, чиито лични данни се обработват; вида на личните данни, които обработващият ще обработва от името на Дружеството; правата и задълженията на Дружеството и обработващия; изискванията към техническите и организационните мерки за защита, които обработващият следва да прилага (спрямо обработващия не се допуска отклонение от предвиденото в тази Политика); задължение за обработващия за съдействие съгласно чл. 31-36 от Регламента; задължение за обработващия да уведоми Дружеството без ненужно забавяне след узнаването за наличие на нарушаване сигурността; изисквания към обработващия и други задължителни условия, съгласно чл. 28, т. 3 от Регламента.
13. Правила за реагиране в случай на нарушаване сигурността на личните данни
13.1. Откриване на нарушение на сигурността от служител
При случай на нарушение на сигурността, открито от служител на Дружеството, служителят съобщава незабавно за това на ръководството на Дружеството, или на ДЛЗД, ако такова бъде определено, в писмена форма (а при възможност – и в устна), като предоставя и информацията, която има за това - за естеството на нарушението, за предполагаемото време на настъпване / извършване на нарушението и др.
13.2. Проучване на нарушението на сигурността и мерки
Без необосновано забавяне, Дружеството следва да проучи фактите, да извърши анализ и оценка на тежестта на нарушението, с оглед риска за правата и свободите на субектите, броя засегнати субекти на данни и др., и да предложи подходящи мерки за отстраняване, а където това е невъзможно – за минимизиране на идентифицираните рискове и евентуалните неблагоприятни последици.
13.3. Уведомяване на КЗЛД
В случай на нарушение на сигурността, Дружеството информира за това КЗЛД в срок до 72 часа от установяването, освен ако в конкретния случай не е налице каквато и да било вероятност нарушението на сигурността да породи риск за правата и свободите на физическите лица.
13.4. Уведомяване на субектите на данни Когато нарушението на сигурността може да доведе до висок риск за правата и свободите на физическите лица, Дружеството съобщава за нарушението на сигурността на личните данни на засегнатите субекти на данни без необосновано забавяне. В съобщението се описва естеството на нарушението на сигурността и се посочват най-малко: името и координатите за връзка с Дружеството; описание на евентуалните последици от нарушението; описание на предприетите или предложените от Дружеството мерки за справяне с нарушението. Дружеството има право да не съобщава на засегнатите субекти на данни за нарушението, ако:
(I). е предприело предварително подходящи технически и организационни мерки за защита и тези мерки са били приложени, (напр. криптиране); и/или
(II). е взело впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни; и/или
(III). такова съобщаване би довело до непропорционални усилия. В този случай, Дружеството прави публично съобщение на своя уебсайт и/или чрез разгласяване по подходящ начин чрез средствата за масова информация за нарушението.
13.5. Съхранение
Сигналите за нарушения по сигурността на личните данни се регистрират и съхраняват от Дружеството.
14. Технически и организационни мерки за защита на личните данни
14.1. Технически и организационни мерки на Дружеството като администратор
В дейността на Дружеството са предвидени необходимите технически и организационни мерки за защита на личните данни от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване. Видовете защита биват физическа, персонална, документална, защита на автоматизирани информационни системи и/или мрежи, криптографска защита.
14.2. Технически и организационни мерки на Дружеството като обработващ
В случай че Дружеството обработва лични данни като обработващ за други администратори, конкретните технически и организационни мерки, прилагани от Дружеството в качеството му на обработващ, се определят в индивидуални споразумения със съответния администратор. Ако липсва такова определяне, Дружеството ще се придържа към техническите и организационни мерки, които прилага като администратор.
15. Предаване на лични данни извън Европейското икономическо пространство (ЕИП)
Дружеството може да осъществява международно предаване на данни, произхождащи от Европейското икономическо пространство (ЕИП), когато Европейската комисия е признала дадена държава извън ЕИП като осигуряваща адекватно ниво на защита на данните. За предавания към страни извън ЕИП, чието ниво на защита не е признато от Европейската комисия, Дружеството ще се позовава или на определена дерогация, приложима към конкретната ситуация, съгласно Регламента, или ще прилага някоя от гаранциите, предвидени от приложимото законодателство. В останалите случаи, за предаване на лични данни извън ЕИП, това се осъществява въз основа на изрично съгласие на субекта на данни за предлаганото предаване на данни, получено при спазване на изискванията на Регламента за това.