ВЪТРЕШНИ ПРАВИЛА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ, ОБРАБОТВАНИ ОТ ИНТЕР ПРОДУКТС БГ ЕООД, ЕИК 207368056

 

1. Общи положения

 

1.1       Настоящите вътрешни правила целят да уредят организацията и вътрешния ред на ИНТЕР ПРОДУКТС БГ  ЕООД, ЕИК 2007368056 („Дружеството“) при обработка на лични данни, за целите на изпълнение на задълженията на Дружеството като администратор на лични данни.

 

1.2       Правилата са изготвени на основание Закона за защита на личните данни („ЗЗЛД“) и Регламент ЕС 2016/679 на Европейския парламент и Съвета от 27.04.2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО („Регламента“) и цели защита на физическите, клиенти, служители, партньорите на Дружеството от незаконосъобразно и недобросъвестно обработване на личните им данни.

 

1.3       За целите на настоящите вътрешни правила:

 

1.3.1    „Администратор на лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка. Администратор на лични данни е ИНТЕР ПРОДУКТС БГ ЕООД.

 

1.3.2    „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

 

1.3.3    „Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

 

1.3.4 „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.

 

1.4       При назначаване на служители в Дружеството, се въвежда и задължение те да спазват настоящите вътрешни правила при обработката на лични данни при изпълнението на служебните си задължения.

 

1. Основания за обработка на лични данни и основни принципи, спазвани от Дружеството

 

2.1       Дружеството обработва лични данни единствено при наличие на законово основание за съответната обработката, а именно:

• при наличие на законово задължение за обработката в тежест на Дружеството;
• за целите на изпълнението на договор, по който субектът на данните е страна;
• когато субектът на данните е дал писмено съгласие за конкретната обработка на данните;
• когато обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице и юридическо лице;
• когато обработването е необходимо за изпълнение на задача от обществен интерес;
• обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

 

2.2       Когато личните данни се обработват на база предоставено от субекта съгласие, същото следва да бъде изрично, свободно дадено и изразено в писмена декларация. Съгласието следва да се отнася до конкретните данни, подлежащи на обработка, и да покрива всяка конкретна цел на обработката. Преди подписването декларация-съгласие Дружеството предоставя и разяснява на субекта на данните цялата информация, съдържаща се в Приложение 1, актуална към момента на предоставяне на съгласието. Субектът на данните има правото да оттегли съгласието си по всяко време посредством писмено уведомление, получено в офиса на Дружеството.

 

2.3       Личните данни, които Дружеството събира и обработва са в минимално необходимия за конкретната цел на обработката обем. Дружеството не изготвя и съхранява копия от лични документи на служители, контрагенти, клиенти или трети лица, освен в случаите, когато съществува законово задължение за това, като например, при условията на чл. 10, ал. 2 от ЗТМТМ, съгласно който работодателят е длъжен да съхранява нотариално заверен препис от разрешенията за пребиваване на назначените от него служители, граждани на трети страни. Личните данни, които Дружеството обработва, следва да бъдат точни и при необходимост или по искане на субекта на данните да се актуализират или коригират.

 

2.4       Като администратор на лични данни Дружеството спазва принципа за забрана на обработване на специални категории данни, отнасящи се до расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице. Изключения от този принцип се допускат с оглед изпълнение на задълженията на Дружеството като работодател във връзка с трудовото правоотношение със служителите, които произтичат от трудовото и осигурително законодателство и касаят обработка на данни за членство в синдикални организации, както и данни, съдържащи се в болнични листове или медицински свидетелства, свидетелства за съдимост, изисквани от работодателя при започване на работа.

 

3. Срок на обработката

 

3.1       Дружеството обработва и съхранява личните данни за срок не по-дълъг от необходимия за изпълнение на целите, за които личните данни се обработват, като съблюдава сроковете за съхранение, предвидени в чл. 42 от Закона за счетоводството, а именно:

 

• ведомости за заплати – за 50 години;
• информация, съдържаща се в счетоводни регистри и финансови отчети – за 10 години;
• документи за данъчен контрол – за срок до 5 г. след изтичане на давностния срок за погасяване на публичното задължение, което удостоверяват тези документи;
• информация, съдържаща се в документи за финансов одит – до извършване на следващ одит;
• друга информация – за срок от 3 г., или за по-кратък период, ако такъв е нормативно установен.
• данни на клиент при извършване на онлайн поръчка – до обработване на поръчката и изпращането ù.

 

3.3       След изтичане на срока за съхранение на личните данни Дружеството осигурява безопасното им заличаване и унищожаване. Физическото унищожаване на данните се осъществява чрез машинно нарязване.

 

4. Регистри, видове лични данни и нива на защита

 

4.1       Дружеството поддържа следните регистри с лични данни или предстои при възникване на определени обстоятелства да създаде и поддържа (наричани по – нататък „Регистрите“):

 

• При потенциално назначаване на служителите в Дружеството, личните им данни, които се събират при постъпването на работа, ще се обработват за целите на трудовото правоотношение и ще се съхраняват в регистър „Служители”;

 

• Лични данни на потенциални кандидати за работа ще се съхраняват в регистър „Кандидати за работа”;

 

• Личните данни на клиентите на Дружеството могат да се събират при сключване на договор или при възлагане на работа, обработват се и се съхраняват в регистър „Клиенти”;

 

• Личните данни на лица, с които Дружеството в бъдеще би създало отношение на партньорски начала ще се събират при сключване на договор и ще се обработват се и съхраняват в регистър „Партньори”.

 

4.2       В Регистрите се съхраняват следните видове лични данни или ще бъдат съхранявани при потенциално възникване на определени обстоятелства и създаване на съответния регистър:

 

4.2.1    Регистър „Служители” ще се създаде при назначаване на служители в Дружеството. В него ще се съхраняват следните лични данни:

 

• физическа идентичност – имена, ЕГН, адрес, електронен адрес, телефон;
• образование – документ за придобито образование, квалификация правоспособност;
• трудова дейност – съгласно приложените документи за трудов стаж и професионална биография;
• медицински данни – карта за предварителен медицински преглед за постъпване на работа и болнични листове;
• свидетелство за съдимост, когато се изисква.

 

За регистър „Служители” се определя степен на защита – „средно ниво”;

 

4.2.2    Регистър „Кандидати за работа” ще се създаде при стартиране на процедура по подбор на служители в Дружеството. В него ще се съхраняват следните лични данни:

 

• физическа идентичност – имена, електронен адрес, телефон;
• образование – информация за придобито образование, квалификация правоспособност;
• трудова дейност – информация за трудов стаж и професионален опит;

 

За регистър „Кандидати за работа” се определя степен на защита – „ниско ниво”;

 

4.2.3    В регистър „Клиенти“ се съхраняват следните лични данни, относно физическа идентичност на клиенти или представители на клиенти – юридически лица – имена, адрес, електронен адрес, телефон.

 

За регистър „Клиенти” се определя степен на защита – „ниско ниво”;

 

4.2.4    В регистър „Партньори“ се съхраняват следните лични данни, относно физическа идентичност на партньори или представители на партньори – юридически лица – имена, адрес, електронен адрес, телефон;

 

За регистър „Партньори” е определена степен на защита – „ниско ниво”;

 

5. Оценка на въздействие и определяне на съответно ниво на защита

 

5.1       Дружеството извършва оценка на въздействието с оглед определяне на нивото на защита, което да бъде приложено спрямо всеки един от регистрите. Оценката определя нивата на въздействие върху конкретно физическо лице или група физически лица при нарушаване на поверителността, цялостността или наличността на личните данни, в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица.

 

5.2       Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, администраторът извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни. В една оценка може да бъде разгледан набор от сходни операции по обработване, които представляват сходни високи рискове.

 

5.3       Оценката съдържа опис на предвидените операции по обработване и целите на обработването, включително, ако е приложимо, преследвания от администратора законен интерес, оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите, оценка на рисковете за правата и свободите на субектите на данни, мерките, предвидени за справяне с рисковете, включително гаранциите, мерките за сигурност и механизмите за осигуряване на защитата на личните данни, като се вземат предвид правата и законните интереси на субектите на данни и на други заинтересовани лица.

 

5.4       Дружеството изготвя оценка на въздействието на всеки две календарни години, както и при изменение, налагащо промяна в нивото на защита, и предприема съответните мерки, като при необходимост изменя и настоящите правила.

 

6. Носители на данни и мерки за защита

 

6.1       Регистрите се водят и съхраняват на електронен носител и по изключение на хартиен носител.

 

6.2       Дружеството организира и предприема мерки, съобразени със съвременните технологични постижения и рисковете, свързани с естеството на данните, които трябва да бъдат защитени, за защита на личните данни от случайно или незаконно унищожаване, от неправомерен достъп, от изменение или разпространение както и от други незаконни форми на незаконна обработка обработване.

 

6.3       Хартиените носители на лични данни се съхраняват в папки. Папките се подреждат в специални шкафове със заключващи механизми. С ключове от всички заключващи механизми разполага само управителя. Помещенията, в които се съхраняват личните данни са под постоянно видеонаблюдение, оборудвани с пожарогасители и, охранявани чрез „СОТ“ система.

 

6.4       Достъп до папките с лични данни има само управителя на Дружеството.

 

6.5       В електронен вид данните се съхраняват в личната електронна поща на управителя, както и в електронна база данни, достъпът до която е ограничен. При работа с данните се използват компютри, защитени с парола за достъп.

 

6.6       Достъп до личната си електронна поща има само нейният титуляр.

 

6.7       Достъп до електронната база данни имат само управителя, който въвежда парола за отваряне на файловете, съдържащи лични данни.

 

6.8       Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява чрез тяхното криптиране, поддържане на антивирусни програми, периодично архивиране на данните на електронни носители, защита против неправомерно изтриване, чрез ограничаване възможността за изтриване на файлове, съдържащи лични данни, единствено от управителите.

 

6.9       Дружеството предприема следните мерки за защита на личните данни:

 

• програмно-технически –за надеждна и защитена идентификация и автентификация на изпращача и на получателя на информацията и осигуряване конфиденциалност, интегритет на пренасяната информация, поддържане на електронен архив и редовно архивиране на информационните бази, поддържане на операционните и антивирусни системи в актуално състояние, за регистрите със средно и по-високо ниво на защита се прилагат криптографски методи на защита при пренасяне на информацията,

 

• физически – използва система от мерки за защита данни и контрола върху достъпа за сградите, помещенията и съоръженията, в които се обработват и съхраняват лични данни, при необходимост архивиране на данните на хартиен носител и ограничаване на достъпа до тях.

 

• нормативни- спазва всички правила, предвидени в законови и подзаконови нормативни актове.

 

7. Длъжности, свързани с обработване и защита на лични данни

 

7.1       Отговорност за въвеждането и изпълнението на законосъобразна политика по защита на личните данни носи управителя, който има следните права и задължения:

 

• осигурява организацията по водене на Регистрите, съгласно предвидените мерки за гарантиране на адекватна защита;
• следи за спазването на конкретните мерки за защита и контрол на достъпа;
• осъществява контрол по спазване на изискванията за защита на регистрите;
• поддържа връзка с Комисията за защита на личните данни;
• специфицира техническите ресурси, прилагани за обработка на личните данни;
• определя ред при задаване, използване и промяна на пароли, както и действията в случай на узнаване на парола и/или криптографски ключ;
• осигурява провеждане на редовна профилактика на компютърните и комуникационните средства, включваща и проверка за вируси, за нелегално инсталиран софтуер, на целостта на базата данни, както и архивиране на данни, актуализиране на системната информация и др.;
• провежда периодичен контрол за спазване на изискванията по защита на данните и при открити нередности вземат мерки за тяхното отстраняване;
• при евентуално назначаване на служители ги запознава със законовата регламентацията в областта на личните данни, политиките и стратегиите за защита на личните данни на Дружеството, като администратор на лични данни, както и с настоящите вътрешни правила;
• при евентуално назначаване на служители организира обучения за тях при наличие на законодателни изменения в областта на защитата на лични данни и при промяна на настоящите вътрешни правила;
• организира периодични проверки за надеждността на системите за сигурност, защитаващи личните данни.

 

7.2       Отговорник за Регистрите, които поддържа Дружеството и за обработката на данните е управителия.

 

7.3       Отговорникът по чл. 7.2:

 

• обработва данните, съдържащи се в Регистрите;
• съблюдава за спазване на правилата за водене на Регистрите, съгласно предвидените мерки за гарантиране на адекватна защита;
• при необходимост размножава документи, съдържащи се в Регистрите, съблюдавайки законодателството в областта на защита на личните данни и настоящите вътрешни правила.

 

7.4       Пълен достъп до всички Регистрите имат само управителя.

 

7.5       За работни цели по преценка на отговорника за Регистрите може да бъде осигурен достъп до част от документите, съдържащи лични данни, само след като тези лични данни са били предварително обработени или заличени по начин, който не позволява идентифициране на лицата, или с писмена заповед на управителя, по силата на която при назначаване на конкретен служител ще се предоставя достъп до данните от съответния регистър за целите на тяхната обработка.

 

7.6       Достъп до данните от Регистрите може да бъде предоставен по преценка на управител на правни и счетоводни консултанти, застрахователи или други трети лица, след предоставянето на изрично писмено съгласие от страна на субектите на данните и подписването на споразумение, уреждащо законосъобразната обработка и предаването на данните.

 

7.7       При обработка на личните данни управителя на дружеството е длъжен:

 

• да обработва лични данни законосъобразно и добросъвестно, в съответствие с настоящите правила, да опазват тяхната конфиденциалност и да не ги предоставят на трети лица, в това число и на други служители на Дружеството;
• да използва личните данни, до които имат достъп, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели;
• при необходимост да актуализира регистрите на личните данни;
• да заличава или коригира личните данни, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
• да поддържа личните данни за период не по-дълъг от необходимия за целите, за които тези данни се обработват;
• да събира само личните данни, които са пропорционални на целите, за които се събират.

 

8. Предоставяне на информация на трети лица

 

8.1       Дружеството няма правото да предоставя личните данни на трети лица без да е получило изрично писмено съгласие от субекта на данните, с изключение на компетентните държавни органи, в съответствие с трудовото, данъчно и осигурително законодателство, както и в случаите, когато съществува задължение за предоставяне на данните, произтичащо от действащ нормативен акт.

 

8.2       Съгласието трябва да е дадено свободно, изрично, информирано и в писмена форма.

 

8.3       Съгласие не се изисква, ако личните данни са изискани по надлежен път от компетентните държавни органи и за Дружеството съществува задължение да предостави данните, произтичащо от действащ нормативен акт.

 

8.4       Предоставянето на лични данни на трети лица за целите на счетоводни, одит и други видове подобни услуги се извършва само след получаване на изрично съгласие от лицето, за което се отнасят данните и след споразумение с третите лица, че ще положат необходимите усилия и мерки за защита на данните и ще спазват законодателството в областта на защита на личните данни.

 

9. Процедура по първоначално предоставяне на информация

 

9.1       Когато лични данни се събират от субекта на данните, в момента на получаване на личните данни Дружеството предоставя на субекта на данните цялата посочена по-долу информация, съдържаща се в Приложение 1, а именно:

 

• данните, които идентифицират администратора и координатите за връзка с него;

 

• целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

 

• когато обработването се извършва въз основа на законни интереси, конкретните интереси, преследвани от администратора или от трета страна;

 

• получателите или категориите получатели на личните данни, ако има такива;

 

• срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;

 

• съществуването на право да се изиска от администратора достъп, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните;

 

• когато обработването се основава на съгласие, съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;

 

• правото на жалба до надзорен орган;

 

• дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени.

 

10. Процедура по осигуряване на достъп на лицата до личните им данни

 

10.1     Всеки субект на данните има право да получи потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до свързаните с него данни, както и информация за целите и сроковете за обработка.

 

10.2     За да получат достъп до личните си данни лицата подават писмено заявление в офиса на Дружеството, лично или чрез упълномощено лице.

 

10.3     Заявлението трябва да съдържа задължително име на лицето и други данни, които го идентифицират, описание на искането, подпис, дата и адрес на кореспонденцията, както и пълномощно, когато заявлението се подава от упълномощено лице.

 

10.4     Заявлението предава на управителя на Дружеството, който. разглежда заявлението за достъп и ако прецени, че са налице законните основания осигурява исканата от лицето информация.

 

10.5     Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на подаване на искането, съответно 30-дневен, когато е необходимо повече време за събиране на личните данни на лицето.

 

10.6     Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение на управителя.

 

10.7     Исканата от субекта информация или отказът се предоставят на лицето в предпочитаната от него форма за комуникация, включително по електронен път.

 

11. Процедура по коригиране, ограничаване на обработването и изтриване на данните по искане на лицето, за което се отнасят

 

11.1     Субектът на данни има право да поиска от администратора коригиране на неточните лични данни, както и попълване на непълните лични данни чрез подаване на писмено заявление до Дружеството.

 

11.2     Субектът на данни има правото да поиска от Дружеството изтриване на свързаните с него лични данни, които то има задължението да изтрие, когато е приложимо някое от посочените по-долу основания: личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин; субектът на данните оттегля своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването, субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработване за целите на директния маркетинг, личните данни са били обработвани незаконосъобразно, личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или  българското правото на държава членка, което се прилага спрямо администратора.

 

11.3     Субектът на данните има право да изиска от Дружеството ограничаване на обработването, когато: точността на личните данни се оспорва от субекта на данните, за срока на тяхната проверка; обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им; администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции; субектът на данните е възразил срещу обработването на база защита на законни интереси и е в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.

 

11.4     Субектът на данните има право, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на легитимен интерес на администратора или на трето лице, включително при профилиране. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции. Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг.

11.5     Исканията по чл. 11.1-11.4 се подават в писмена форма до Дружеството и се предават на отговорното лице по чл. 7.2. Отговорника е длъжен да предприеме действията по исканията в срок до 30 дни от подаване на искането, ако са налице основанията за това и да информира лицето за предприетите от Дружеството действия.

 

12. Право на преносимост на личните данни

 

12.1     По искане на лицето личните данни, отнасящи се до него могат да бъдат предоставени директно на друг администратор, стига това да е технически постижимо. В противен случай данните се предават на лицето и то само ги прехвърля на новия администратор.

 

12.2     Искането се отправя и разглежда при спазване на разпоредбите на чл. 11.5 от настоящите вътрешни правила.

 

13. Процедура по унищожаване и заличаване

 

13.1     Личните данни, които администраторът събира, обработва и съхранява на хартиен носител се унищожават физически:

• не по – късно от изтичане на срока, през които администратора е определил, че ще ги съхранява;
• при поискване от страна на лицето – в срок до 30 дни от отправяне на искането;
• при оттегляне на съгласието, което лицето е дало за обработване на личните му данни – в срок до 30 дни от оттеглянето.

 

13.2     Унищожаването се извършва посредством машина за унищожаване на документи от отговорните лица по чл. 7.2.

 

13.3     За унищожаването се съставя протокол.

 

13.4     Личните данни, които администраторът събира, обработва и съхранява на електронен носител се заличават:

 

• не по – късно от изтичане на срока, през които администратора е определил, че ще ги съхранява.
• при поискване от страна на лицето – в срок до 30 дни от отправяне на искането;
• при оттегляне на съгласието, което лицето е дало за обработване на личните му данни – в срок до 30 дни от оттеглянето.

 

13.5     Заличаването се извършва от управител. За заличаването се съставя протокол.

 

13.6     В случаите когато лицето е оттеглило съгласието си за обработване на личните му данни, дори да не е подало искане за изтриването им, администраторът се задължава да ги унищожи и/или заличи в срок до 30 дни от оттегляне на съгласието, по реда на настоящите вътрешни правила.

 

14. Обучение на служителите

 

14.1     При постъпване на работа на нов служител управителя го запознава със законовата регламентацията в областта на личните данни, политиките и стратегиите за защита на личните данни на Дружеството като администратор на лични данни, както и с настоящите вътрешни правила.

 

14.2     След запознаването новият служител заявява писмено, че е запознат и че за в бъдеще ще спазва законодателството в областта на защита на личните данни, ще се съобразява с политиките и стратегиите за защита на личните данни на Дружеството, както и че ще спазва настоящите вътрешни правила.

 

14.3     Управителя организира семинари при назначаване на служителите за запознаването им с настъпили законодателни изменения и/или за запознаването им с изменения в настоящите вътрешни правила.

 

15. Действия за защита при нарушение на сигурността

 

15.1     В случаи на нарушение на сигурността, от което има опасност да настъпят вреди за правата и свободите лицата, чиито лични данни администраторът обработва, той се задължава да уведоми Комисията в срок до 24 часа от узнаването. При наличие на извънредни обстоятелства администраторът уведомява Комисията във възможно най – кратък срок след изтичането на 72 часа от узнаването, като придружава уведомлението с изложение на причините, които са довели до забавянето.

 

15.2     При наличие на обстоятелствата по чл. 15.1 администраторът се задължава да уведоми и лицата, за чиито лични данни е възникнала опасността, в случай че данните не са били криптирани.

 

15.3     Дружеството незабавно предприема и необходимите действия с оглед неутрализиране или ограничаване на пробива в сигурността и ограничаване на вредните последици за субектите на данните.

 

16. Допълнителни разпоредби

 

16.1     За неспазването на разпоредбите на настоящите правила, и законодателството в сферата на защита на личните данни, лицата носят отговорност по Закона за защита на личните данни и/или по Кодекса на труда.

 

16.2     След приемане на настоящите вътрешни правила управителят следва да проведе инструктаж при назначаване на служители във връзка с прилагането им.

 

16.3     Настоящите вътрешни правила влиза в сила в деня на приемането им.

 

16.4     Копие от настоящите вътрешни правила ще бъде на разположение служителите на Дружеството (при назначаване на такива), за сведение и изпълнение по всяко време.

 

16.5     Копие от настоящите вътрешни правила може да бъде предоставено на лицата, чиито лични данни се обработват от администратора по всяко време.

 

16.6     Настоящите вътрешни правила са приети на 10.12.2023 г.

 

Утвърдил:

 

 

__________________

Стефан Попов, управител

 

 

 

 

ПРИЛОЖЕНИЕ 1 КЪМ

ВЪТРЕШНИ ПРАВИЛА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ, ОБРАБОТВАНИ ОТ ИНТЕР ПРОДУКТС БГ ЕООД , ЕИК 207368056

 

 

Основана информация във връзка с правата на физическите лица (субекти на данните) при обработка на личните им данни

 

1. Лични данни:

 

„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

 

2. Администратор на лични данни:

 

ИНТЕР ПРОДУКТС БГ ЕООД, дружество с ограничена отговорност, вписано в Търговския регистър към Агенция по вписванията, единен идентификационен код 202909031, със седалище и адрес на управление в гр. София, жк Христо Смирненски, бл 40, ет 3, ап 8, представлявано от Стефан Димитров Попов, в качеството на управител, телефон за контакт +359899103691

 

3. Основание за обработка

 

Посочете едно от основанията по чл. 2.1 от Вътрешните правила:

 

• Законово задължение за обработката в тежест на дружеството;
• Договор от дата [дата];
• Писмено съгласие на субекта на данните от [дата];

 

4. Цел на обработката

 

Посочете конкретната цел на обработката, например:

 

Изготвянето на документацията, свързана с трудовото правоотношение, изпълнение на задълженията на Работодателя съгласно трудовото, данъчно и осигурително законодателство.

 

Изпълнение на задълженията по Договор от дата [дата], обработване и изпълнение на поръчките по Договора от дата [дата], информиране за състоянието на поръчката;

 

 

Друга цел.

 

5. Срок за съхранение и обработка на данните

 

Личните данни ще бъдат обработвани от Дружеството за целия период на действие на договорните отношения със субекта на данните и съхранявани в рамките на сроковете, предвидени в чл. 42 от Закона за счетоводството , а именно:

 

• ведомости за заплати – за 50 години;
• информация, съдържаща се в счетоводни регистри и финансови отчети – за 10 години;
• информация, съдържаща се в счетоводни регистри и финансови отчети – за 10 години;
• документи за данъчен контрол – за срок до 5 г. след изтичане на давностния срок за погасяване на публичното задължение, което удостоверяват тези документи;
• информация, съдържаща се в документи за финансов одит – до извършване на следващ одит;
• друга информация – за срок от 3 г., или за по-кратък период, ако такъв е нормативно установен.
• информация, свързана с онлайн поръчки – докато трае обработването на поръчката и изпращането ù.

 

или до отпадане на основанието за обработка, изпълнението на целта или оттеглянето на съгласието на субекта на данните.

 

6. Предоставяне на лични данни на трети лица

 

Дружеството няма правото да предоставя личните данни на Служителя на трети лица без да е получил изрично писмено съгласие от Служителя, с изключение на компетентните държавни органи, в съответствие с трудовото, данъчно и осигурително законодателство, както и в случаите, когато съществува задължение за предоставяне на данните, произтичащо от действащ нормативен акт.

 

7. Права на Служитeля като субект на лични данни

 

7.1       Право на оттегляне на предоставено съгласие за обработка

 

При обработване на данни, въз основа предоставено от субекта на данните съгласие, същото съгласие може по всяко време да бъде оттеглено, посредством писмено уведомление до администратора.

 

7.2       Право на достъп до данните

 

Субектът на данните има право да получи потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до свързаните с него данни, както и информация за целите и сроковете за обработка.

 

7.3       Право на коригиране

 

Субектът на данни има право да поиска от администратора коригиране на неточните лични данни, както и попълване на непълните лични данни.

 

7.4       Право на изтриване или ограничаване на обработката на личните данни

 

Субектът на данни има правото да поиска изтриване на свързаните с него лични данни, които администраторът има задължението да изтрие, когато е приложимо някое от посочените по-долу основания: личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин; субектът на данните оттегля своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването, субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработване за целите на директния маркетинг, личните данни са били обработвани незаконосъобразно, личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или  българското правото на държава членка, което се прилага спрямо администратора.

 

7.5       Право на ограничаване на обработката на личните данни

 

Субектът на данните има право да изиска от администратора ограничаване на обработването, когато: точността на личните данни се оспорва от субекта на данните, за срока на тяхната проверка; обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им; администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции; субектът на данните е възразил срещу обработването на база защита на законни интереси и е в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.

 

7.6       Право на възражение

 

Субектът на данните има право, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на легитимен интерес на администратора или на трето лице, включително при профилиране. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

 

Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг.

 

7.7       Право на преносимост на личните данни

Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато обработването е основано на съгласие или на договорно задължение съгласно; и обработването се извършва по автоматизиран начин. Субектът на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.

 

7.8       Право на жалба

При нарушаване на правата на субекта на данните или при незаконосъобразна обработка на лични данни, субектът на данните има правото да сезира Комисията за защита на личните данни, чрез подаване на жалба срещу неправомерни действия или бездействия на администратор.

 

7.9       Компетентен надзорен орган

 

Комисия за защита на личните данни

Адрес: София 1592, бул. Проф. Цветан Лазаров No 2 .

Център за информация и контакти: +359 2 91 53 518

Приемна -работно време  9:00 – 17:30 ч.

Електронна поща: kzld@cpdp.bg

Интернет страница: www.cpdp.bg