на
ТАНГРА - АВ ООДс ЕИК 121114339
приета на 25.05.2018 г.
ПРЕАМБЮЛ
ТАНГРА-АВ ООД с ЕИК 121114339, наричано по-нататък за краткост Дружеството, прие настоящата Политика за Защита на Личните Данни, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), наричана по-нататък за краткост Политиката, в съответствие с Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016, наричан по-нататък за краткост Регламента, Законът за Защита на Личните Данни и Наредба 1 от 30.01.2013 г., касаеща Мерките за Защита на Личните Данни
Политиката е приета съобразно:
- вероятността и тежестта на риска за правата и свободите на физическите лица, чиито лични данни се обработват;
- необходимите и подходящи технически и организационни мерки;
- постиженията на техническия прогрес и разумните разходи за защита,
с оглед на естеството, обхвата, контекста и целта на обработваните лични данни.
Политиката се основава на следните принципи:
- законосъобразност и добросъвестност при обработка на лични данни;
- прозрачност – всяка информация да бъде в кратка, разбираема и лесно достъпна форма и да се използват ясни и недвусмислени формулировки;
- ограничаване на целите, за които се събират лични данни, до тези, които са реално нужни за дейността;
- свеждане до минимум на събираните за дейността лични данни;
- точност и актуалност на обработваните лични данни;
- минимален достъп до лични данни;
- контролиран и проследим достъп до лични данни;
- минимален срок за съхранение;
- надеждно съхранение;
- отчетност за доказване спазването на Регламента.
Политиката се подчинява на следните права на физическите лица:
- право на информираност за какво се обработват лични данни;
- право на достъп до личните данни;
- право на коригиране;
- право на изтриване (правото ”да бъдеш забравен”);
- право на ограничаване на обработването;
- право на информираност за действия в резултат на искане за коригиране, изтриване или ограничаване на обработването;
- право на преносимост на данните;
- право на възражение срещу обработване на лични данни;
- право да не са обект на автоматично вземане на решение, включващо профилиране.
Спазване разпоредбите на Регламента
чл.1.1. Политиката на Дружеството, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), има за цел да осигури спазването на разпоредбите на Регламента.
Лични данни се събират и обработват законосъобразно и добросъвестно
чл.1.2. Дружеството събира и обработва лични данни законосъобразно, добросъвестно и в съответствие с принципите и правата на физическите лица във връзка с обработването на техните лични данни.
Личните данни се обработват прозрачно
чл.1.3. Дружеството осигурява прозрачност в комуникацията за събираните и обработваните лични данни като информацията за това е в кратка, прозрачна, разбираема и лесно достъпна форма, и се използват ясни и недвусмислени формулировки
Лични данни се събират и обработват само за определени цели
чл.1.4. Дружеството обработва лични данни на физически лица само в следните случаи:
Не се събират и обработват ненужни за дейността лични данни
чл.1.5. Дружеството не събира и не обработва лични данни на физически лица, които надхвърлят неговите задължения по закон или неговите нужди за правене на бизнес.
Събрани лични данни се обработват за други цели само след съгласие на лицата
чл.1.6. Във всички случаи, когато е необходимо събрани и обработвани лични данни на физически лица да се използват за цели различни от първоначалните, Дружеството уведомява съответните физически лица, иска тяхното съгласие и пристъпва към обработка на техните лични данни за други цели, само след тяхното изрично съгласие.
За обработка се събират минимално необходимите лични данни
чл.1.7. Дружеството събира и обработва само минимум необходимите лични данни на физически лица, които:
Обработвани лични данни са точни и актуални
чл.1.8. Дружеството осигурява обработването личните данни на физически лица да се извършва с максимална точност и по възможност винаги в актуалност.
Личните данни се обработват от минимум необходимия брой лица
чл.1.9. Дружеството осигурява достъпът и обработката на личните данни на физически лица да се извършва от минимално необходимия брой лица (оператори), които имат нужната компетентност за тяхната обработка и нужната ангажираност за тяхното опазване.
Личните данни се съхраняват за минимално необходимото време
чл.1.10. Дружеството съхранява лични данни за минимално необходимото време:
след което те се унищожават без излишно забавяне.
Във всички случаи Дружеството осигурява поне веднъж годишно да се прави преглед на събираните и обработваните лични данни и тези от тях, които попадат в някоя от горните хипотези се изтриват без излишно забавяне.
Личните данни се обработват с необходимите нива и мерки за защита
чл.2.1. Дружеството осигурява необходимите нива на физическа, организационна и технологична защита с оглед на:
Дружеството осигурява и всички необходими мерки за своевременно възстановяване на събирани и обработени лични данни при тяхна загуба в резултат на случайни, злонамерени или форсмажорни събития.
Личните данни се обработват с контролиран и проследим достъп
чл.2.2. Дружеството осигурява необходимите и подходящи технически, организационни и технологични мерки за контролиран и проследим достъп до личните данни на физически лица.
Личните данни се обработват с нужната отчетност за спазване на Регламента
чл.2.3. Дружеството осигурява необходимата отчетност и регистри, за да е в състояние да докаже, че разпоредбите на Регламента са спазени.
Спазване правата на физическите лица, чиито лични данни се обработват
чл.2.4. Дружеството осигурява спазването правата на физическите лица, чиито лични данни се събират и обработват, което включва:
III. ЗАДЪЛЖЕНИЯ НА РЪКОВОДСТВОТО
Периодична оценка на нивата на въздействие при нарушаване на сигурността
чл.3.1. Дружеството прави периодичен преглед на нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработвани техни лични данни, с оглед предприетите нива и мерки за защита на лични данни да съответстват на тези нива и тежест на риска.
Периодичен преглед на адекватността на нивата и мерките за защита
чл.3.2. Дружеството прави периодичен преглед на адекватността на нивата и ефективността на прилаганите мерки за защита на обработваните лични данни, с оглед на тяхното съответствие с нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработвани техни лични данни.
Изборът на подизпълнители, обработващи лични данни, да отговаря на Регламента
чл.3.3. За случаите, в които обработка на лични данни се възлага на подизпълнител, обработващ лични данни, Дружеството осигурява неговият избор да се основава на достатъчни гаранции, предоставени от обработващия личните данни (подизпълнителя), за прилагане на Регламента, в т.ч. сключването на договор с подробно разписани предмет, срок, начин на обработка на личните данни, задълженията и отговорностите на обработващия в тази връзка.
Обработката на лични данни се извършва само по начина указан от Администратора
чл.3.4. Когато лични данни се обработват в качеството на обработващ, това се извършва само по начина, който е указан от Администратора на личните данни.
Отговорник по защита на личните данни
чл.3.5. Отговорник по защитата на личните данни, което:
- притежава нужната компетентност;
- разполага с нужните подкрепа, ресурси и достъп;
- се ползва с независимост;
- е в състояние да изпълни своите задачи за защита на личните данни.
Спазване на Кодекс за Поведение
чл.3.6. Ако Комисията за Защита на Личните Данни одобри Кодекс за Поведение за бранша или индустрията, в която Дружеството работи, то се ангажира да приеме този Кодекс за Поведение и да преработи в съответствие с него Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци).
Всяко нарушение на сигурността на личните данни се документира
чл.3.7. Всяко нарушение на сигурността на събираните и обработваните лични данни се документира и в срок до 72 часа от узнаването се уведомява Комисията за Защита на Личните Данни, освен ако нарушаването в сигурността на личните данни няма да предизвика риск за правата и свободите на засегнатите физически лица.
Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физически лица, Дружеството без ненужно забавяне съобщава това на засегнатите физически лица.
Обучения на персонала, отговорен за обработка на лични данни
чл.3.8. Дружеството осигурява необходимите встъпителни и периодични обучения на своя персонал, който е отговорен за обработката на лични данни на физически лица, но не по-малко при постъпване на работа и един път годишно.
Обучението се провежда по план съобразно правата на достъп до лични данни, целите за тяхната обработка на лични данни, начина за тяхното обработване и ползване, и всичко друго, което е приложимо.
Всяко обучение се документира по подходящ начин.
Лицата, обработващи лични данни поемат ангажимент за поверителност
чл.3.9. Дружеството осигурява лицата, на които е възложена обработката на лични данни на физически лица да поемат ангажимент за поверителност, който може да бъде оформен в договора за възлагане на работата или с нарочна декларация.
Всички служители и външни доставчици с достъп до лични данни са отговорни
чл.3.10. Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), се прилагат за всички служители на Дружеството, както и за всички външни доставчици, които имат достъп и/или са опериращи с лични данни, които Дружеството администрира или обработва.
Всички изброени лица носят отговорност за спазването на Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци).
Всяко нарушение при обработка на лични данни се санкционира
чл.3.11. Всяко нарушение на Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), се разглежда, като нарушение на трудовата дисциплина, правото на ЕС и гражданското законодателство на Република България, в т.ч. се разглежда и като престъпление, ако деянието се санкционира от Наказателния Кодекс.
Видеонаблюдение
чл.3.12. На територията на Дружеството се осъществява видеонаблюдение за следните цели:
Видеонаблюдението се извършва на основание легитимните интереси на Дружеството - опазване на имуществото.
При осъществяване на видеонаблюдението Дружеството информира субектите на данни, като за целта се поставят информационни табели на местата, в които се извършва видеонаблюдение.
Записите от камерите се унищожават в съответствие с изискванията на ЗЧОД и процедурата за Унищожаване на Лични Данни.
Предмет на дейност:
Административен офис:
Търговски обект:
Производствена база:
Обработвани Лични Данни в Качеството на Администратор:
Обработваните Лични Данни се Получават:
Обработват се Следните Чувствителни Лични Данни:
Лични Данни в Дружеството се Обработват за Следните Цели:
VII. НИВО НА ВЪЗДЕЙСТВИЕ при Нарушена Сигурност
Оценката за нивото на въздействие и тежестта на риска за правата и свободите на физическите лица при нарушаване на сигурността на обработваните лични данни в Дружеството, за различните групи лични данни, е както следва:
VIII. НИВО НА ЗАЩИТА ПРИ ОБРАБОТКА НА ЛД
В следствие на оценката за нивото на въздействие и тежестта на риска за правата и свободите на физическите лица при нарушаване на сигурността, нивото на защита при обработка на лични данни в Дружеството, за различните групи лични данни, е както следва:
Подизпълнители, Обработващи Лични Данни, се Използват при:
Дружеството Поддържа Следните Регистри с Лични Данни:
Лични Данни се Предават на Следните Получатели:
XII. РЕГИСТРИ ЗА ДЕЙНОСТИ ПО ОБРАБОТКА
Поддържат се Следните Регистри за Дейностите по Обработване на Лични Данни:
ХIII. ДЕФИНИЦИИ НА ПО-ВАЖНИ ТЕРМИНИ
ЛИЧНИ ДАННИ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано (субект на данни); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
РЕГИСТЪР С ЛИЧНИ ДАННИ означава всеки структуриран набор от лични данни, достъпът до който се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.
АДМИНИСТРАТОР НА ЛИЧНИ ДАННИ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.
ОБРАБОТВАЩ НА ЛИЧНИ ДАННИ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратор на лични данни.
ПОЛУЧАТЕЛ НА ЛИЧНИ ДАННИ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не.
СЪГЛАСИЕ НА СУБЕКТ НА ДАННИ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.
НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИ ДАННИ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
ДАННИ ЗА ЗДРАВОСЛОВНОТО СЪСТОЯНИЕ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние.
СПЕЦИАЛНИ КАТЕГОРИИ (ЧУВСТВИТЕЛНИ) ЛИЧНИ ДАННИ означава лични данни, свързани с расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации, генетични, биометрични или данни за здравословно състояние, данни за сексуалния живот или сексуалната ориентация на физическо лице.
ПРОФИЛИРАНЕ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение.
НИВА НА ВЪЗДЕЙСТВИЕ при Нарушена Сигурност на Лични Данни:
Ниско – в случаите, когато неправомерното обработване на лични данни би застрашило неприкосновеността на личността и личния живот на отделно физическо лице или група физически лица.
Средно – в случаите, когато неправомерното обработване на лични данни би могло да създаде опасност от засягане на интереси, разкриващи расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели, здравословното състояние, сексуалния живот или човешкия геном на отделно физическо лице или група физически лица.
Високо – в случаите, когато неправомерното обработване на лични данни би могло да доведе до възникване на значителни вреди или кражба на самоличност на голяма група физически лица или лица, заемащи висши държавни длъжности, или трайни здравословни увреждания или смърт на отделно физическо лице.
Изключително Високо – в случаите, когато неправомерното обработване на лични данни би могло да доведе до възникване на значителни вреди или кражба на самоличност на особено голяма група физически лица или трайни здравословни увреждания или смърт на група физически лица.
ГРУПА ФИЗИЧЕСКИ ЛИЦА е съвкупност от 3 (три) или повече физически лица.
ГОЛЯМА ГРУПА ФИЗИЧЕСКИ ЛИЦА е съвкупност от физически лица, чийто брой надхвърля 10 000 (десет хиляди).
ОСОБЕНО ГОЛЯМА ГРУПА ФИЗИЧЕСКИ ЛИЦА е съвкупност от физически лица, чийто брой надхвърля 1 000 000 (един милион).
ШИРОКОМАЩАБНИ РЕГИСТРИ НА ЛИЧНИ ДАННИ са разпределени масиви с лични данни, чието управление не може да бъде осъществено със стандартните средства за управление на база данни.
ХIV. ПРИЛОЖИМИ ПРОЦЕДУРИ И ДОКУМЕНТИ
Във връзка с изпълнение на Политиката, Дружеството поддържа и прилага следните Процедури, в т.ч. Оперативни Документи, Регистри и Списъци към тях, и Формуляри.
чл.14.1. ПРОЦЕДУРИ, в т.ч. Оперативни Документи, Регистри и Списъци към тях:
със следните Оперативни Документи, Регистри и Списъци към нея:
със следните Оперативни Документи, Регистри и Списъци към нея:
със следните Оперативни Документи, Регистри и Списъци към нея:
със следните Оперативни Документи, Регистри и Списъци към нея:
със следните Оперативни Документи, Регистри и Списъци към нея:
със следните Оперативни Документи, Регистри и Списъци към нея:
със следните Оперативни Документи, Регистри и Списъци към нея:
със следните Оперативни Документи, Регистри и Списъци към нея:
със следните Оперативни Документи, Регистри и Списъци към нея:
със следните Оперативни Документи, Регистри и Списъци към нея:
чл.14.2. ОБРАЗЦИ
ХV. ПОДДЪРЖАНЕ АКТУАЛНОСТ НА ПОЛИТИКАТА
Политиката, в т.ч. процедурите и документите към тях, ще се поддържат актуални
чл.15.1. Когато Дружеството промени:
- предметът си на дейност;
- съществено своя размер – увеличи/намали своя персонал и/или приходи;
- организацията си на дейността;
- използваната сградна инфраструктура и/или броя на локациите на дейността;
- използваната технологична инфраструктура;
- целите, за които се събират лични данни;
- вида на събираните лични данни;
- многократно обема на събирани и обработвани лични данни;
то своевременно ще преоцени, преразгледа и актуализира Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци).
Политиката, се преглежда за актуалност поне веднъж годишно
чл.15.2. Независимо дали има промени или не в някои от горните обстоятелства, Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), се преглежда за актуалност във връзка със законодателни промени или навлезли нови добри практики, минимум веднъж годишно.
Актуализация на Оценката за Нивото на Въздействие при Нарушаване на Сигурност
чл.15.3. Дружеството веднъж на две години прави актуализация на оценката за нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработвани техни лични данни, и ако се установи, че нивата и тежестта на риска са се повишили, без ненужно забавяне, се предприемат мерки за въвеждане на съответстващото им ниво на мерки за защита.
Преглед на Адекватността и Прилагането на Мерките за Защита
чл.15.4. Дружеството прави ежегоден преглед на:
и ако се установи, че се налага завишаване нивата на защита или че се налагат подобрения в прилаганите мерки за защита, без ненужно забавяне, се предприема необходимото за тяхното завишаване и подобрение.
Приемане и Влизане в Сила на Промени в Политиката и Процедурите към Нея
чл.15.5. Всяка промяна в Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), се извършва с нарочна заповед на управителя на Дружеството и влиза незабавно в сила.
За всички засегнати от промяна лица се провежда обучение във връзка с промяната до десет работни дни от влизането и в сила.
Утвърдил:
Инж. Юлий Армянов
Управител
София, 25.05.2018 г.