ПОЛИТИКА за Защита на Личните Данни

 

 

на

ТАНГРА - АВ ООД

с ЕИК 121114339

приета на 25.05.2018 г.

 

ПОЛИТИКА за Защита на Личните Данни

 

 

ПРЕАМБЮЛ

 

            ТАНГРА-АВ ООД с ЕИК 121114339, наричано по-нататък за краткост Дружеството, прие настоящата Политика за Защита на Личните Данни, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), наричана по-нататък за краткост Политиката, в съответствие с Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016, наричан по-нататък за краткост Регламента, Законът за Защита на Личните Данни и Наредба 1 от 30.01.2013 г., касаеща Мерките за Защита на Личните Данни

 

            Политиката е приета съобразно:

- вероятността и тежестта на риска за правата и свободите на физическите лица, чиито лични данни се обработват;

                        - необходимите и подходящи технически и организационни мерки;

                        - постиженията на техническия прогрес и разумните разходи за защита,

с оглед на естеството, обхвата, контекста и целта на обработваните лични данни.

 

            Политиката се основава на следните принципи:

                        - законосъобразност и добросъвестност при обработка на лични данни;

- прозрачност – всяка информация да бъде в кратка, разбираема и лесно достъпна форма и да се използват ясни и недвусмислени формулировки;

- ограничаване на целите, за които се събират лични данни, до тези, които са реално нужни за дейността;

- свеждане до минимум на събираните за дейността лични данни;

- точност и актуалност на обработваните лични данни;

                        - минимален достъп до лични данни;

                        - контролиран и проследим достъп до лични данни;

                        - минимален срок за съхранение;

                        - надеждно съхранение;

- отчетност за доказване спазването на Регламента.

 

            Политиката се подчинява на следните права на физическите лица:

- право на информираност за какво се обработват лични данни;

- право на достъп до личните данни;

- право на коригиране;

- право на изтриване (правото ”да бъдеш забравен”);

- право на ограничаване на обработването;

- право на информираност за действия в резултат на искане за коригиране, изтриване или ограничаване на обработването;

- право на преносимост на данните;

- право на възражение срещу обработване на лични данни;

- право да не са обект на автоматично вземане на решение, включващо профилиране.

 

1. ПРИНЦИПИ ПРИ ОБРАБОТКА НА ЛИЧНИ ДАННИ

 

Спазване разпоредбите на Регламента

чл.1.1. Политиката на Дружеството, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), има за цел да осигури спазването на разпоредбите на Регламента.

 

Лични данни се събират и обработват законосъобразно и добросъвестно

чл.1.2. Дружеството събира и обработва лични данни законосъобразно, добросъвестно и в съответствие с принципите и правата на физическите лица във връзка с обработването на техните лични данни.

 

Личните данни се обработват прозрачно

чл.1.3. Дружеството осигурява прозрачност в комуникацията за събираните и обработваните лични данни като информацията за това е в кратка, прозрачна, разбираема и лесно достъпна форма, и се използват ясни и недвусмислени формулировки

 

Лични данни се събират и обработват само за определени цели

чл.1.4. Дружеството обработва лични данни на физически лица само в следните случаи:

1. обработването е необходимо за спазване на законово задължение на Дружеството;
2. обработването е необходимо за изпълнение на договор (в т.ч. поръчка) с Дружеството, по който физическо лице е страна, или за предприемане на стъпки по искане от физическо лице преди сключване на договор, когато е нужна неговата идентификация;
3. физическо лице е дало своето недвусмислено съгласие за разбираема и прозрачно дефинирана цел от страна на Дружеството, за която е нужно обработване на неговите лични данни;
4. обработването е необходимо, за да бъдат защитени жизнено важни интереси на физическото лице, чиито лични данни се обработват или на друго физическо лице;
5. обработването е необходимо за целите на легитимните интереси на Дружеството или на трета страна, съгласно разпоредбите на Регламента;
6. другите случаи, предвидени в Регламента.

 

Не се събират и обработват ненужни за дейността лични данни

чл.1.5. Дружеството не събира и не обработва лични данни на физически лица, които надхвърлят неговите задължения по закон или неговите нужди за правене на бизнес.

 

Събрани лични данни се обработват за други цели само след съгласие на лицата

чл.1.6. Във всички случаи, когато е необходимо събрани и обработвани лични данни на физически лица да се използват за цели различни от първоначалните, Дружеството уведомява съответните физически лица, иска тяхното съгласие и пристъпва към обработка на техните лични данни за други цели, само след тяхното изрично съгласие.

 

За обработка се събират минимално необходимите лични данни

чл.1.7. Дружеството събира и обработва само минимум необходимите лични данни на физически лица, които:

1. са предвидени в закон;
2. са нужни за изпълняване на договор;
3. са нужни за изпълняване на целите, за които се събират.

 

Обработвани лични данни са точни и актуални

чл.1.8. Дружеството осигурява обработването личните данни на физически лица да се извършва с максимална точност и по възможност винаги в актуалност.

 

Личните данни се обработват от минимум необходимия брой лица

чл.1.9. Дружеството осигурява достъпът и обработката на личните данни на физически лица да се извършва от минимално необходимия брой лица (оператори), които имат нужната компетентност за тяхната обработка и нужната ангажираност за тяхното опазване.

 

Личните данни се съхраняват за минимално необходимото време

чл.1.10.           Дружеството съхранява лични данни за минимално необходимото време:

1. нужно по закон;
2. нужно да се изпълни договор (в т.ч. поръчка) и отговорността по него;
3. нужно да се изпълни целта, за която данните са събрани и обработени; или
4. до поискване от физическо лицето за тяхното изтриване,

            след което те се унищожават без излишно забавяне.

 

            Във всички случаи Дружеството осигурява поне веднъж годишно да се прави преглед на събираните и обработваните лични данни и тези от тях, които попадат в някоя от горните хипотези се изтриват без излишно забавяне.

 

 

 

1. ПРАВИЛА ЗА ОБРАБОТКА НА ЛИЧНИ ДАННИ

 

Личните данни се обработват с необходимите нива и мерки за защита

чл.2.1. Дружеството осигурява необходимите нива на физическа, организационна и технологична защита с оглед на:

1. естеството, обхвата, контекста и целта на обработваните лични данни;
2. вероятността, нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработваните лични данни;
3. своите финансови и организационни възможности.

 

                        Дружеството осигурява и всички необходими мерки за своевременно възстановяване на събирани и обработени лични данни при тяхна загуба в резултат на случайни, злонамерени или форсмажорни събития.

 

 

 

Личните данни се обработват с контролиран и проследим достъп

чл.2.2. Дружеството осигурява необходимите и подходящи технически, организационни и технологични мерки за контролиран и проследим достъп до личните данни на физически лица.

 

Личните данни се обработват с нужната отчетност за спазване на Регламента

чл.2.3. Дружеството осигурява необходимата отчетност и регистри, за да е в състояние да докаже, че разпоредбите на Регламента са спазени.

 

Спазване правата на физическите лица, чиито лични данни се обработват

чл.2.4. Дружеството осигурява спазването правата на физическите лица, чиито лични данни се събират и обработват, което включва:

1. право на информираност за обработка на лични данни;
2. право на достъп до личните данни – с какви данни се разполага;
3. право на коригиране на неточни лични данни;
4. право на изтриване на лични данни – правото ”да бъдеш забравен”;
5. право на ограничаване на обработваните лични данни;
6. правото на информираност за действия в резултат на искане за коригиране, изтриване или ограничаване на обработването на лични данни;
7. право на преносимост на данните;
8. право на възражение срещу обработване на лични данни;
9. право да не са обект на автоматично вземане на решение, включващо профилиране.

 

 

 

III. ЗАДЪЛЖЕНИЯ НА РЪКОВОДСТВОТО

 

Периодична оценка на нивата на въздействие при нарушаване на сигурността

чл.3.1. Дружеството прави периодичен преглед на нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработвани техни лични данни, с оглед предприетите нива и мерки за защита на лични данни да съответстват на тези нива и тежест на риска.

 

Периодичен преглед на адекватността на нивата и мерките за защита

чл.3.2. Дружеството прави периодичен преглед на адекватността на нивата и ефективността на прилаганите мерки за защита на обработваните лични данни, с оглед на тяхното съответствие с нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработвани техни лични данни.

 

Изборът на подизпълнители, обработващи лични данни, да отговаря на Регламента

чл.3.3. За случаите, в които обработка на лични данни се възлага на подизпълнител, обработващ лични данни, Дружеството осигурява неговият избор да се основава на достатъчни гаранции, предоставени от обработващия личните данни (подизпълнителя), за прилагане на Регламента, в т.ч. сключването на договор с подробно разписани предмет, срок, начин на обработка на личните данни, задълженията и отговорностите на обработващия в тази връзка.

 

Обработката на лични данни се извършва само по начина указан от Администратора

чл.3.4. Когато лични данни се обработват в качеството на обработващ, това се извършва само по начина, който е указан от Администратора на личните данни.

 

Отговорник по защита на личните данни

чл.3.5. Отговорник по защитата на личните данни, което:

- притежава нужната компетентност;

- разполага с нужните подкрепа, ресурси и достъп;

- се ползва с независимост;

- е в състояние да изпълни своите задачи за защита на личните данни.

 

Спазване на Кодекс за Поведение

чл.3.6. Ако Комисията за Защита на Личните Данни одобри Кодекс за Поведение за бранша или индустрията, в която Дружеството работи, то се ангажира да приеме този Кодекс за Поведение и да преработи в съответствие с него Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци).

 

Всяко нарушение на сигурността на личните данни се документира

чл.3.7. Всяко нарушение на сигурността на събираните и обработваните лични данни се документира и в срок до 72 часа от узнаването се уведомява Комисията за Защита на Личните Данни, освен ако нарушаването в сигурността на личните данни няма да предизвика риск за правата и свободите на засегнатите физически лица.

                        Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физически лица, Дружеството без ненужно забавяне съобщава това на засегнатите физически лица.

 

Обучения на персонала, отговорен за обработка на лични данни

чл.3.8. Дружеството осигурява необходимите встъпителни и периодични обучения на своя персонал, който е отговорен за обработката на лични данни на физически лица, но не по-малко при постъпване на работа и един път годишно.

                        Обучението се провежда по план съобразно правата на достъп до лични данни, целите за тяхната обработка на лични данни, начина за тяхното обработване и ползване, и всичко друго, което е приложимо.

                        Всяко обучение се документира по подходящ начин.

 

Лицата, обработващи лични данни поемат ангажимент за поверителност

чл.3.9. Дружеството осигурява лицата, на които е възложена обработката на лични данни на физически лица да поемат ангажимент за поверителност, който може да бъде оформен в договора за възлагане на работата или с нарочна декларация.

 

Всички служители и външни доставчици с достъп до лични данни са отговорни

чл.3.10.           Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), се прилагат за всички служители на Дружеството, както и за всички външни доставчици, които имат достъп и/или са опериращи с лични данни, които Дружеството администрира или обработва.

                        Всички изброени лица носят отговорност за спазването на Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци).

 

Всяко нарушение при обработка на лични данни се санкционира

чл.3.11.           Всяко нарушение на Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), се разглежда, като нарушение на трудовата дисциплина, правото на ЕС и гражданското законодателство на Република България, в т.ч. се разглежда и като престъпление, ако деянието се санкционира от Наказателния Кодекс.

 

Видеонаблюдение

чл.3.12. На територията на Дружеството се осъществява видеонаблюдение за следните цели:

1. Охрана на имуществото на Дружеството, в съответствие със Закона за частната охранителна дейност (ЗЧОД);

Видеонаблюдението се извършва на основание легитимните интереси на Дружеството - опазване на имуществото.

При осъществяване на видеонаблюдението Дружеството информира субектите на данни, като за целта се поставят информационни табели на местата, в които се извършва видеонаблюдение.

Записите от камерите се унищожават в съответствие с изискванията на ЗЧОД и процедурата за Унищожаване на Лични Данни.

 

 

1. ПРЕДМЕТ И ОРГАНИЗАЦИЯ НА ДЕЙНОСТТА

 

Предмет на дейност:

• Проучване, анализ, прогнози, проектиране, внедряване авторски надзор и научно-технически консултации;
• Качествен технически контрол, изготвяне на инструкции и указания за експлоатация във връзка с топлотехнически системи;
• Системи и обекти за икономия на енергия, комплексни обекти и системи за опазване на околната среда;
• Инженерингова дейност, производство и търговия с промишлени и селскостопански стоки, както и стоки за бита, монтаж, поддръжка или сервизно обслужване на хладилни и климатични инсталации и термопомпи, съдържащи флуорирани парникови газове;
• Счетоводни и машинописни услуги, външно - икономическа дейност - внос, износ, бартерни, реекспортни, компенсационни и други специфични операции;
• Търговско представителство, посредничество, комисионерство, търговско агентство с местни и чуждестранни физически и юридически лица;
• Превозни таксиметрови услуги на пътници и товари, автосервизни услуги, спедиционна дейност /без колетни и пощенски пратки/;
• Изработка на ишлеме, лизингови операции, маркетингови проучвания, импресарска, рекламна /без кино и печат/ дейност, консултантска дейност, преводаческа, организиране и експлоатация на изложби, базари, с предмети на изящното, приложното и декоративното изкуство /без паметници на културата/;
• Организиране на частни уроци, школи, курсове /без издаване на документ за правоспособност/, ревюта, извършване на административно-правни услуги /без процесуално представителство/;
• Аудио и видео записи, включително и даването им под наем, предпечатна подготовка на периодични и непериодични издания и разпространението им, изготвяне на сценарии и извършване на други подготвителни дейности за заснемане на филми и програми /без порнографски/;
• Хотелиерство, ресторантьорство, организиране на екскурзии в страната и чужбина, мениджмънт на спортисти, отбори и спортни съоръжения, създаване на произведения на пластичното изкуство и търговия със същите;
• Всяка друга дейност, за която няма забрана със закон.

 

Административен офис:

• гр. София 1331, район Връбница, бул. Европа No 174

 

Търговски обект:

• Магазин 1 - гр. София 1331, район Връбница, бул. Европа No 174
• Магазин 2 - гр. Варна
• Магазин 3 - гр. Бургас

 

Производствена база:

• Основна сграда – София 1331, район Връбница, бул. Европа No 174

 

 

 

1. ОБРАБОТВАНИ ЛИЧНИ ДАННИ

 

Обработвани Лични Данни в Качеството на Администратор:

• на Служители;
• на Клиенти Физически Лица;

           

Обработваните Лични Данни се Получават:

• Лично от Субектите на Данни;
• От Публично Достъпни Регистри;

           

Обработват се Следните Чувствителни Лични Данни:

• Данни за Здравословното Състояние на Служители
• Данни за Присъди и Нарушения, съдържащи се в Свидетелство за Съдимост.

 

 

 

1. ЦЕЛИ ЗА ОБРАБОТКА НА ЛИЧНИ ДАННИ

 

Лични Данни в Дружеството се Обработват за Следните Цели:     

• за сключване, изпълнение и прекратяване на Трудови договори и Изчисляване Работните Заплати и Обезщетения на Служители;

 

• за Обслужване на Клиенти;
• за Директен Маркетинг за Целите на Продажбите;

           

           

 

 

 

VII. НИВО НА ВЪЗДЕЙСТВИЕ при Нарушена Сигурност

 

Оценката за нивото на въздействие и тежестта на риска за правата и свободите на физическите лица при нарушаване на сигурността на обработваните лични данни в Дружеството, за различните групи лични данни, е както следва:

• за Служители – средно ниво
• за Клиенти Физически Лица – ниско ниво

           

 

VIII. НИВО НА ЗАЩИТА ПРИ ОБРАБОТКА НА ЛД

 

В следствие на оценката за нивото на въздействие и тежестта на риска за правата и свободите на физическите лица при нарушаване на сигурността, нивото на защита при обработка на лични данни в Дружеството, за различните групи лични данни, е както следва:

• за Служители – средно ниво на защита
• за Клиенти Физически Лица – ниско ниво на защита

           

 

1. ПОЛЗВАНЕ НА ПОДИЗПЪЛНИТЕЛИ за Обработка

 

Подизпълнители, Обработващи Лични Данни, се Използват при:

• Хостване на Сайт/ове, в които се Съдържат Лични Данни за Клиенти;
• Хостване на Данните на Дружеството (Мрежа, Хардуер, Софтуер) в които има Лични Данни на Служители, Клиенти, Доставчици.

 

1. ПОДДЪРЖАНИ РЕГИСТРИ С ЛИЧНИ ДАННИ

 

Дружеството Поддържа Следните Регистри с Лични Данни:           

• Регистър на Персонала за Целите на Изчисляването на Работни Заплати и Обезщетения;
• Регистър на Клиенти, в това число Физически Лица;
• Регистър на Потенциални Клиенти, в това число Физически Лица

           

 

1. ПОЛУЧАТЕЛИ НА ЛИЧНИ ДАННИ

 

Лични Данни се Предават на Следните Получатели:

• НАП във Връзка с Изчисляване на Заплатите на Персонала;
• НОИ във Връзка с Изчисляване на Обезщетенията на Персонала;
• Търговска банка за целите на издаване на дебитни карти на Персонала;
• Дружество за трудова медицина във връзка със задължение за поддържане на актуален здравен статус на Персонала и осъществяване на периодични медицински прегледи;
• Обучителни Организации за Провеждане на Служителите на Нормативно Изискуеми Обучения, Завършващи с Изпит и Документ за Правоспособност (Сертификат).;
• Частни съдебни изпълнители във връзка с предоставени указания;

           

 

XII. РЕГИСТРИ ЗА ДЕЙНОСТИ ПО ОБРАБОТКА

 

Поддържат се Следните Регистри за Дейностите по Обработване на Лични Данни:      

• Регистър по Дейностите на Обработка в Качеството на Администратор;

 

 

 

ХIII. ДЕФИНИЦИИ НА ПО-ВАЖНИ ТЕРМИНИ

 

ЛИЧНИ ДАННИ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано (субект на данни); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

 

ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

 

РЕГИСТЪР С ЛИЧНИ ДАННИ означава всеки структуриран набор от лични данни, достъпът до който се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.

 

АДМИНИСТРАТОР НА ЛИЧНИ ДАННИ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.

 

ОБРАБОТВАЩ НА ЛИЧНИ ДАННИ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратор на лични данни.

 

ПОЛУЧАТЕЛ НА ЛИЧНИ ДАННИ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не.

 

СЪГЛАСИЕ НА СУБЕКТ НА ДАННИ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.

 

НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИ ДАННИ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.

 

ДАННИ ЗА ЗДРАВОСЛОВНОТО СЪСТОЯНИЕ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние.

 

СПЕЦИАЛНИ КАТЕГОРИИ (ЧУВСТВИТЕЛНИ) ЛИЧНИ ДАННИ означава лични данни, свързани с расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации, генетични, биометрични или данни за здравословно състояние, данни за сексуалния живот или сексуалната ориентация на физическо лице.

 

ПРОФИЛИРАНЕ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение.

 

НИВА НА ВЪЗДЕЙСТВИЕ при Нарушена Сигурност на Лични Данни:

Ниско – в случаите, когато неправомерното обработване на лични данни би застрашило неприкосновеността на личността и личния живот на отделно физическо лице или група физически лица.

Средно – в случаите, когато неправомерното обработване на лични данни би могло да създаде опасност от засягане на интереси, разкриващи расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели, здравословното състояние, сексуалния живот или човешкия геном на отделно физическо лице или група физически лица.

Високо – в случаите, когато неправомерното обработване на лични данни би могло да доведе до възникване на значителни вреди или кражба на самоличност на голяма група физически лица или лица, заемащи висши държавни длъжности, или трайни здравословни увреждания или смърт на отделно физическо лице.

Изключително Високо – в случаите, когато неправомерното обработване на лични данни би могло да доведе до възникване на значителни вреди или кражба на самоличност на особено голяма група физически лица или трайни здравословни увреждания или смърт на група физически лица.

 

ГРУПА ФИЗИЧЕСКИ ЛИЦА е съвкупност от 3 (три) или повече физически лица.

 

ГОЛЯМА ГРУПА ФИЗИЧЕСКИ ЛИЦА е съвкупност от физически лица, чийто брой надхвърля 10 000 (десет хиляди).

 

ОСОБЕНО ГОЛЯМА ГРУПА ФИЗИЧЕСКИ ЛИЦА е съвкупност от физически лица, чийто брой надхвърля 1 000 000 (един милион).

 

ШИРОКОМАЩАБНИ РЕГИСТРИ НА ЛИЧНИ ДАННИ са разпределени масиви с лични данни, чието управление не може да бъде осъществено със стандартните средства за управление на база данни.

 

 

ХIV. ПРИЛОЖИМИ ПРОЦЕДУРИ И ДОКУМЕНТИ

 

            Във връзка с изпълнение на Политиката, Дружеството поддържа и прилага следните Процедури, в т.ч. Оперативни Документи, Регистри и Списъци към тях, и Формуляри.

 

 

чл.14.1.           ПРОЦЕДУРИ, в т.ч. Оперативни Документи, Регистри и Списъци към тях:

 

1. Подбор на Персонал

 

2. Обработка на Възнаграждения от Администратор

            със следните Оперативни Документи, Регистри и Списъци към нея:

• Регистър на Трудовите Договори
• Регистър на Издадените Трудови Книжки
• Регистър на Болничните Листа
• Регистър за Начален Инструктаж
• Структура, Предназначение и Получатели на Данните във Ведомост за Възнаграждения

 

3. Обработка на Лични Данни, Свързани с Взаимоотношения с Клиенти

            със следните Оперативни Документи, Регистри и Списъци към нея:

• Регистър Клиенти, в т.ч. Физически Лица
• Регистър Потенциални Клиенти, в т.ч. Физически Лица
• Списък на Лицата, Отговорни за Взаимоотношенията с Клиенти
• Списък на Лицата с Достъп до Регистър с Нужните Лични Данни на Клиенти

 

4. Управление на Исканията, Свързани с Обработка на Лични Данни

            със следните Оперативни Документи, Регистри и Списъци към нея:

• Форма за Искане на Субекта на Данните
• Регистър за Дадени Справки и Уведомления за Извършени Действия

 

5. Избор на Подизпълнител, Обработващ Лични Данни

           

 

6. Оценка за Въздействието при Нарушаване Сигурността на Личните Данни

            със следните Оперативни Документи, Регистри и Списъци към нея:

• Протокол от Оценка за Въздействието при Нарушаване на Сигурността

 

7. Мерки за Защита на Лични Данни

            със следните Оперативни Документи, Регистри и Списъци към нея:

• Списък на Лицата, Отговорни за Възнагражденията
• Списък на Лицата, Отговорни за Взаимоотношенията с Клиенти

 

8. Унищожаване на Лични Данни

            със следните Оперативни Документи, Регистри и Списъци към нея:

• Протокол за Унищожени Лични Данни
• Регистър на Протоколите за Унищожаване на Лични Данни

 

9. Действия при Нарушаване Сигурността на Лични Данни

            със следните Оперативни Документи, Регистри и Списъци към нея:

• Регистър за Нарушенията на Сигурността на Лични Данни
• Форма за Уведомление на Комисията
• Протокол за Констатация и Оценка на Последствията
• Решение за превенция от бъдещи грешки

 

10. Отговорник по Защита на Лични Данни

            със следните Оперативни Документи, Регистри и Списъци към нея:

• Длъжностна Характеристика
• Препоръчителни Клаузи за Договора с Лицето

 

11. Регистър на Дейностите по Обработка в Роля на Администратор

            със следните Оперативни Документи, Регистри и Списъци към нея:

• Регистър на Дейностите по Обработка в Роля Администратор

 

12. Получаване и Оттегляне на Съгласие за Обработка на Лични Данни

            със следните Оперативни Документи, Регистри и Списъци към нея:

• Даване на Съгласие
• Оттегляне на Съгласие
• Регистър за Дадените и Оттеглените Съгласия

           

 

чл.14.2.           ОБРАЗЦИ

 

1. Декларация за поверителност

 

2. План за Обучение

 

3. Протокол от Обучение

 

 

 

 

ХV. ПОДДЪРЖАНЕ АКТУАЛНОСТ НА ПОЛИТИКАТА

 

Политиката,  в т.ч. процедурите и документите към тях, ще се поддържат актуални

чл.15.1. Когато Дружеството промени:

                                    - предметът си на дейност;

                                    - съществено своя размер – увеличи/намали своя персонал и/или приходи;

                                    - организацията си на дейността;

                                    - използваната сградна инфраструктура и/или броя на локациите на дейността;

                                    - използваната технологична инфраструктура;

                                    - целите, за които се събират лични данни;

                                    - вида на събираните лични данни;

                                    - многократно обема на събирани и обработвани лични данни;

то своевременно ще преоцени, преразгледа и актуализира Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци).

 

Политиката, се преглежда за актуалност поне веднъж годишно

чл.15.2. Независимо дали има промени или не в някои от горните обстоятелства, Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), се преглежда за актуалност във връзка със законодателни промени или навлезли нови добри практики, минимум веднъж годишно.

 

Актуализация на Оценката за Нивото на Въздействие при Нарушаване на Сигурност

чл.15.3.           Дружеството веднъж на две години прави актуализация на оценката за нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработвани техни лични данни, и ако се установи, че нивата и тежестта на риска са се повишили, без ненужно забавяне, се предприемат мерки за въвеждане на съответстващото им ниво на мерки за защита.

 

Преглед на Адекватността и Прилагането на Мерките за Защита

чл.15.4.           Дружеството прави ежегоден преглед на:

1. адекватността на нивата на мерките за защита, с оглед на нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработваните техни лични данни;
2. прилагането и ефективността на одобрените мерки за защита,

                        и ако се установи, че се налага завишаване нивата на защита или че се налагат подобрения в прилаганите мерки за защита, без ненужно забавяне, се предприема необходимото за тяхното завишаване и подобрение.

 

Приемане и Влизане в Сила на Промени в Политиката и Процедурите към Нея

чл.15.5.           Всяка промяна в Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), се извършва с нарочна заповед на управителя на Дружеството и влиза незабавно в сила.

                        За всички засегнати от промяна лица се провежда обучение във връзка с промяната до десет работни дни от влизането и в сила.

 

 

Утвърдил:

Инж. Юлий Армянов

Управител

 

София, 25.05.2018 г.