Scroll to top
© 2024, Москов и син
Share

  • 0

    No products in the cart.

bg
© 2024, Moskov & Son
All right reserved.

Вътрешни правила за защита на личните данни

Вътрешни  правила  за  защита  на  личните данни
МОСКОВ  И  СИН  ЕООД

 

 

Тези вътрешни правила за защита на данните представят принципите и правните условия, които организацията трябва да спази, когато получава, обработва, предава или съхранява лични данни за целите на своята дейност, включително лични данни на клиенти, доставчици и работници или служители. Правилата са в съответствие с изискванията на Общия Регламент за Защита на Данните (Регламент 2016/679) (GDPR).

 

 

ИНТЕРПРЕТАЦИЯ

 

ДЕФИНИЦИИ

 

Автоматизирано Вземане на Решения: когато дадено решение е взето изцяло на базата на Автоматизирано Обработване (включително профилиране), което води до правни последици или засяга значително физическото лице. GDPR забранява Автоматизираното Вземане на Решения (освен ако определени условия са на лице), но не и Автоматизираното Обработване.

 

Автоматизирано Обработване: всяка форма на автоматизирано обработване на Лични Данни, състоящо се в употребата на Лични Данни с цел оценка на личните аспекти на дадена физическо лице, по-специално анализирането или прогнозирането на различни аспекти, имащи отношение към резултатите в работата на субекта на данни, икономическото състояние, здравето, личните предпочитания или интереси, благонадеждността или поведението,_ местоположението или движенията. Профилирането е вид Автоматизирано Обработване.

 

Администратор: лицето или организацията, която определя кога, защо и как се обработват Лични Данни. Администраторът е отговорен за определяне на практики и политики в съответствие  с  GDPR.  Ние  сме  Администратор  на всички Лични Данни, отнасящи се до нашия Персонал, както и на Лични Данни използвани за нашите собствени търговски цели.

 

Длъжностно лице по защита на данните (DPO): лицето или организацията, която следва да бъде определена в определени ситуации, регламентирани от GDPR. При липса на задължение за определяне на DPO, този термин означава Мениджър по Защита на Данните или друга длъжност, или екипа по сигурност на данни в организацията, който има отговорност за спазване на законодателството в областта на данните.

 

ЕИП: 28-те държави-членки на ЕС, както и Исландия, Лихтенщайн и Норвегия

 

Защита на данните на етапа на проектирането: въвеждане на подходящи технически или организационни мерки по ефективен начин, който да осигури съответствие с GDPR.

 

Известия по защита на данните: отделни известия, съдържащи информация, предоставяна на Субектите на Данни в момента, в който Организацията събира информация за тях. Тези известия могат  да  бъдат  както  общи  (напр. адресирани към работници и служители или известия на уебсайта на Организацията), така и отнасящи се до обработване със специфична цел.

 

Изрично Съгласие: съгласие, което изисква много ясно и определено твърдение (не просто действие)

 

Име на Организацията: МОСКОВ И СИН ЕООД, ЕИК 831744325

 

Лични Данни: всяка информация, идентифицираща Субект на данни или информация, свързана със Субект на данни, който ние можем да идентифицираме (директно или индиректно) само чрез данните или в комбинация с други идентификатори, които притежаваме или до които имаме достъп. Личните Данни включват Чувствителни Лични Данни и Псевдоминизирани Лични Данни, но изключват Анонимизирани Лични Данни. Личните Данни могат да се отнасят до факти (например – име, e-mail адрес, местоположение или дата на раждане) или до мнение относно действията или поведението на Субекта на данни.

 

Нарушение на Защитата на  Личните  Данни:  всяко действие  или бездействие, което компрометира сигурността, конфиденциалността или целостта на данните, или на физическите, технически, административни или организационни защити, които ние или нашите подизпълнители използваме, за да ги защитим. Загубата, неоторизираният достъп, предоставяне  или получаване на Лични Данни са примери за Нарушение на сигурността.

 

Обработване на Данни: всяка дейност, която е свързана с използването на Лични Данни. Това включва: получаване, записване, съхранение, извършване на операция или серия от операции с данните като напр. организиране, редактиране, възстановяване, използване, предоставяне, изтриване или унищожаване. Обработването също включва и трансфер на Лични Данни до трети лица.

 

Общият Регламент за Данните (GDPR): Общият Регламент за Данните ((ЕС) 2016/679). Личните Данни са обект на защитата, определена в GDPR.

 

Оценка на въздействието: механизми и мерки, използвани за идентифициране на риска, свързан с обработката на данните. Оценката на въздействието следва да бъде извършена за всички ключови системи или програми, свързани с Обработването на Лични Данни.

 

Персонал: всички работници и служители, и управители, назначени по договор за управление и контрол

 

Псевдоминизиране: заместването на информация, която директно или индиректно идентифицира физическо лице, с един или повече изкуствени идентификатори (“псевдоними”) така че лицето да не може да бъде идентифицирано без достъп до допълнителната информация, която следва да се съхранява отделно и да е поверителна.

 

Субект на данни: идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано, и чиито Лични Данни ние обработваме.

 

Съгласие: всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на Субекта на данни, посредством изявление или ясно потвърждаващо действие, което изразява съгласие за обработка на Лични Данни свързани с него.

 

Чувствителни Лични  Данни:  информация,  разкриваща  расовия или етнически произход, политическите мнения, религиозни и други подобни вярвания, членство в синдикални организации, физическото или умствено здравословно състояние, сексуален живот, сексуална ориентация, биометрични или генетични данни, както и Лични Данни отнасящи се до наказателни престъпления и присъди.

 

ВЪВЕДЕНИЕ

 

Тази политика по защита на данните оказва как МОСКОВ И СИН ЕООД(“ние”, “Организацията”) управляваме Личните Данни на нашите клиенти, доставчици, работници и служители, и други трети лица.

 

Тези вътрешни правила се прилагат спрямо всички Лични Данни, които обработваме, без значение от това на какъв носител са съхранени или дали са свързани с бивши и настоящи работници и служители, потребители на уебсайта ни или всеки друг Субект на Данни.

 

 

ОБХВАТ

 

Ние оценяваме факта, че правилното и законосъобразно управление на Лични Данни ще осигури доверието в Организацията ни от страна на клиенти и партньори. Опазването на конфиденциалността и целостта на Личните Данни е ключова отговорност, към която ние се отнасяме изключително сериозно.

 

 

ПРИНЦИПИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

 

Ние се придържаме към принципите за защита на Личните Данни в GDPR, които изискват всички Лични Данни:

 

Да се обработват законосъобразно, добросъвестно и прозрачно

Да се събират само за конкретни, изрично оказани и легитимни цели

Да бъдат подходящи, свързани с и ограничени до стриктно необходимото за целите, за които се обработват

Да бъдат точни и при възможност поддържани в актуален вид

Да са съхранявани във формат, който да позволява идентифицирането на Субекта на данни за не по-дълъг срок от необходимия за целите на Обработването

Да са обработени по начин, който осигурява тяхната сигурност, използвайки технически и организационни мерки, които да ги предпазват от неоторизирано или незаконно Обработване и от случайна загуба, унищожаване или повреждане

Да не се трансферират до друга страна извън ЕИП без необходимите предпазни мерки

Да се предоставят на Субектите на Данни, на които да се даде възможност да упражнят правата си спрямо техните Лични Данни.

 

ЗАКОНОСЪОБРАЗНОСТ, ДОБРОСЪВЕСТНОСТ, ПРОЗРАЧНОСТ

 

ЗАКОНОСЪОБРАЗНОСТ И ДОБРОСЪВЕСТНОСТ

 

Личните Данни се обработват законосъобразно, добросъвестно и по прозрачен начин спрямо Субекта на данни.

 

GDPR ограничава кръга на нашите действия с Лични Данни до тези, за които е на лице законосъобразна база. Тези ограничения не целят да предотвратят Обработването, а да гарантират, че обработваме Лични Данни добросъвестно и без негативни последствия за Субекта на данни.

 

GDPR регламентира законосъобразните бази за обработка, някои от които са изброени по-долу:

Субектът на данните е дал своето Съгласие

 

Обработването е необходимо във връзка с изпълнението на договор със Субекта на данните

Обработването е необходимо, за да изпълним нашите законови задължения

Обработването е необходимо, за да се защитят жизненоважните интереси на Субекта на данните

Обработването е необходимо за целите на легитимните ни интереси, освен когато пред интересите ни преимущество имат интересите или основните права и свободи на Субекта на Данни. Целите, за които обработваме Лични Данни на това основание трябва да са описани в приложимите Известия по Защита на Данните.

 

СЪГЛАСИЕ

МОСКОВ И СИН ЕООД, в качеството си на Администратор на данни може да обработва Лични Данни единственно в случаите, в които поне една от законовите бази в GDPR е налице, което включва и Съгласие.

 

Ние приемаме, че Субектът на данни е съгласен с Обработването, ако го изрази ясно – чрез изявление или позитивен акт. Съгласието според нас изисква положително действие. Ако Съгласието за Обработка на Лични Данни се дава чрез документ, който урежда и други въпроси, то ние смятаме, че то следва да бъде изискано отделно от съгласието с другите въпроси.

 

Субектите на данни, според нас трябва да могат лесно да оттеглят Съгласието си за Обработване по всяко време и оттеглянето трябва да бъде уважено своевременно. Съгласието трябва да се изиска отново, ако възнамеряваме да обработваме Лични Данни на ново, различно основание, за което Субектът не е дал Съгласие първоначално.

 

Винаги, когато получим Съгласие ние следва да го документираме и пазим, за да можем да покажем спазването на изискванията за Съгласие.

 

ПРОЗРАЧНОСТ СПРЯМО СУБЕКТА НА ДАННИ

 

GDPR изисква от всички Администратори да предоставят детайлна, конкретна информация до Субектите на данни, в зависимост от това дали данните са получени от тях директно или от друг източник. Тази информация трябва да бъде предоставена чрез подходящи Известия по Защита на Данните, които трябва да са лесно достъпни и да използват ясен език, без излишна правна терминология, така че Субектите на данни да могат лесно да ги разберат.

 

Винаги когато събираме Лични Данни директно от Субекта, включително с цел администриране  на трудови правоотношения,  ние предоставяме информацията, изисквана от GDPR.

 

Информацията ни включва: данни за контакт с Администратора [МОСКОВ И СИН ЕООД], как и защо ще използваме, обработваме,  предоставяме, защитаваме и съхраняваме Личните Данни. Ние имаме задължение да предоставим информацията в момента на получаване на Личните Данни от Субекта.

 

 

ОГРАНИЧЕНИЕ НА ЦЕЛИТЕ

 

Всички Лични Данни се събират само за конкретни и легитимни цели, и не трябва да се обработват по-начин, който не е съвместим с тези цели.

 

Нямаме право да използваме Лични Данни за нови, различни и несъвместими с първоначалните цели, освен ако Субектът не предостави последващо Съгласие за новите цели.

 

 

МИНИМИЗИРАНЕ НА ДАННИТЕ

 

Личните Данни следва да бъдат подходящи, свързани с и ограничени до стриктно необходимото за целите, за които се обработват.

 

Ние имаме право да Обработваме Лични Данни, само когато това е свързано с изпълнение на служебните ни задължения. Не събираме Лични Данни, които не са необходими.

 

Москов и Син ЕООД има ангажимент да осигури навременното изтриване/унищожаване или анонимизиране, в съответствие с насоките на Организацията, на всички Лични Данни, които вече не са необходими за конкретните цели.

 

 

ТОЧНОСТ

 

Личните Данни следва да бъдат точни и при възможност поддържани в актуален вид. При установяване на неточност, данните следва да се коригират или изтрият без забавяне.

 

Ние се уверяваме, че Личните Данни, които съхраняваме, са точни, пълни, актуализирани и ограничени до целите, за които са събрани. Ние следим и проверяваме точността на всички Лични Данни в момента на тяхното събиране и на регулярни интервали след това. Вземаме всички разумни мерки за унищожаването или корекцията на всички неточни или неактуални Лични Данни.

 

 

ОГРАНИЧАВАНЕ НА СЪХРАНЕНИЕТО

 

Личните Данни не бива да се съхраняват във формат, който позволява идентифицирането на Субекта за по-дълго време от необходимото за целите, за които са събрани.

 

Нашата организация е разработила правила и политики относно съхранението на Лични Данни, които да осигурят изтриване на Данните, за които вече не съществува легитимна цел за Обработване, освен ако друг закон не ни задължава да запазим данните за определен минимален срок.

 

Ние взимаме всички разумни мерки за унищожаване и изтриване от нашите системи на всички Лични Данни, от които вече нямаме нужда, в съответствие с правилата и политиките ни по съхранение –  това  може да  включва и ангажимент да изискаме от трети страни да изтрият тези Лични Данни.

 

Ние се уверяваме, че Субектите на Данни са информирани (чрез съответните Известия по Защита на Данните) за какъв период техните Лични Данни ще се съхраняват и как се определя този период.

 

 

СИГУРНОСТ, ЦЯЛОСТ И КОНФИДЕНЦИАЛНОСТ

 

ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

 

Личните Данни следва да бъдат защитени с необходимите технически и организационни мерки срещу неоторизирано и незаконно Обработване, и срещу случайна загуба, унищожаване или увреждане.

 

Ние сме разработили, въвели и поддържаме подходящи мерки за защита, съобразени с дейността на нашата  Организация, нашите  ресурси, количеството и вида Лични Данни, които Обработваме. Ние ще извършваме редовна оценка на ефективността на тези мерки. Носим отговорност за защитата на Личните Данни, които съхраняваме и сме особено внимателни, когато осигуряваме защитата на Чувствителни Лични Данни от загуба и неоторизиран достъп, употреба или предоставяне.

 

Ние следваме всички процедури и технологични мерки, които сме въвели, с цел опазване сигурността на Личните Данни от момента на тяхното събиране до момента на тяхното унищожаване. Можем да трансферираме лични данни до подизпълнители, само ако те се съгласят да спазват нашите политики и процедури и да осигурят необходимите мерки за защита, които ние изискаме.

 

Ние осигуряваме сигурността на данните като защититаваме тяхната конфиденциалност, цялост и достъпност, дефинирани както следва:

 

Конфиденциалност означава, че само хората, които следва да знаят и са оторизирани да използват Личните Данни, имат достъп до тях

Цялост означава, че Личните Данни са точни и подходящи за употреба за целите, за които се Обработват

Достъпност означава, че оторизираните потребители имат осигурен достъп до Личните Данни за оторизирани цели.

 

Ние спазваме и не възпрепятстваме действието на административните, физически и технически защити, които сме въвели.

 

ДОКЛАДВАНЕ НА НАРУШЕНИЕ НА ЗАЩИТАТА НА ДАННИТЕ

 

GDPR изисква от Администраторите да докладват Нарушенията на Защита на Данните пред регулаторния орган и, в някои ситуации, Субекта на данни.

 

Ние сме въвели процедури за идентифициране на подобни нарушения и ще уведомим регулатора, и Субекта на данни, ако е необходимо, в предвидените от GDPR случаи.

 

Ако имате информация за Нарушение на Защитата на Данните или подозирате, че такова е настъпило, не правете опит да го разследвате сами. Веднага се свържете с нас. Вие трябва да съхраните  всички  доказателства  за потенциалното нарушение.

 

 

ОГРАНИЧАВАНЕ НА ПРЕДАВАНЕТО

 

GDPR ограничава трансферите на данни до странни извън ЕИП с цел да гарантира пред Субектите, че нивото на защита, гарантирано от GDPR, не е компрометирано.

 

Ние можем да извършваме трансфер на Лични Данни извън ЕИП, само ако едно от следните условия е налице:

 

Европейската Комисия е издала решение, потвърждаващо, че страната, към която се извършва трансфера осигурява адекватно ниво на защита на правата и свободите на Субектите на данни

Налице са подходящи мерки за защита – като например Обвързващи Корпоративни Правила (ОКП), стандартни договорни клаузи, одобрени от Европейската Комисия, одобрен кодекс за поведение или сертификационен механизъм

Субектът на данни е дал своето Изрично Съгласие за трансфера, след като е информиран за възможните рискове, или

Трансферът е необходим за една от целите, изброени  в  GDPR, включително изпълнението на договор със Субекта, защита на обществения интерес, установяване и защита на правни спорове, защита на жизненоважните интереси на  Субекта  на  данни  в  случаите,  когато той е физически или юридически неспособен да даде съгласие, и в някои ограничени случаи – за защита на легитимните ни интереси.

 

 

ПРАВА НА СУБЕКТИТЕ НА ДАННИ И ИСКАНИЯ ЗА ДОСТЪП ДО ДАННИТЕ

 

Субектите на данни имат права що се отнася до това как управляме техните Лични Данни, включително право да:

Оттеглят Съгласието си за Обработване по всяко време

Получат определена информациа за дейностите по Обработване на Администратора

Изискат достът до Личните им Данни, които Обработваме

Възразят срещу наша употреба на Личните им Данни за целите на директния маркетинг

Изискат от нас да изтрием Личните им Данни, ако същите не са вече необходими за целите, за които са събрани или да поправим неточни данни, или да допълним непълни данни

Ограничим Обработването в определени ситуации

Оспорят Обработване, което е извършено на база защита на нашите легитимни интереси или обществения интерес

Изискат копие на договора, въз основа на който Личните им Данни са трансферирани до държава извън ЕИП

Възразят срещу решение, взето изцяло на база на Автоматизирано Обработване, включително профилиране

Бъдат уведомени за Нарушение на Защита на Данните, което е вероятно да доведе до висок риск за техните права и свободи

Подадат жалба до регулаторния орган

В някои случаи, да получат или да поискат техните Лични Данни да бъдат трансферирани до трета страна в структуриран, общо използван формат, подходящ за машинно четене

 

Ние следва да удостоверим самоличността на лицето, което изисква да упражни някое от правата по-горе.

Ние ще препратим всяко искане за достъп до Лични Данни, което получим до нашия Управител.

 

 

 

 

ОТЧЕТНОСТ

 

Администраторът следва да въведе необходимите технически и организационни мерки по ефективен начин, за да осигури спазване на принципите на защита на данните. Администраторът е отговорен за спазването на тези принципи и трябва да може да докаже тяхното спазване.

 

Организацията има необходимите ресурси и контролни механизми, за да осигури спазването на изискванията на GDPR, включително:

Въвеждане на защита на данните на етапа на проектиране, когато Обработва Лични Данни и извършва Оценка на Въздействието, когато Обработването представлява висок риск за правата и свободите на Субектите на Данни

Интегриране на защита на данните във вътрешната си документация

Осигуряване на регулярно обучение на Персонала по въпросите на защита на данните, като например: права на Субектите на Данни, Съгласие, законова база, Оценка на Въздействието и Нарушение на Защитата на Данни. Организацията води регистър за посещаемостта на тези обучения от страна на Персонала.

Регулярно тестване на мерките за осигуряване на защита и периодичен одит с цел оценка на ефективността и нивото на спазване

 

РЕГИСТРИ

 

GDPR изисква от нас да водим пълна и точна документална отчетност на дейностите ни по Обработване.

 

Ние трябва да поддържаме точни и актуални регистри, отразяващи нашето Обработване, включително регистър на получените Съгласия и процедури по получаване на Съгласията.

 

Като минимум, тези регистри трябва да включват името и контактната информация на Администратора, ясно описание на вида Лични Данни, Субекти на Данни, операции по Обработване, цели на Обработване, трети лица, получатели на Лични Данни, местосъхранение на Лични Данни, трансфери на Лични Данни, срок на съхранение на Лични Данни и описание на мерките за защита.

 

ОБУЧЕНИЕ И ОДИТ

 

Ние сме длъжни да осигурим адекватно обучение на нашия Персонал, което да им помогне да спазят изискванията на GDPR. Също така трябва регулярно да тестваме системите и процесите си.

 

ЗАЩИТА НА ДАННИТЕ НА ЕТАПА НА ПРОЕКТИРАНЕ И ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО

 

Ние имаме задължение да въведем мерки за Защита на Данните на Етапа на Проектиране, когато Обработваме Лични Данни, чрез въвеждане на подходящи технически и организационни мерки.

 

Имайки предвид:

Използваната   технология

Разходите по внедряване

Вида, обхвата, контекста и целите на Обработването, и Рисковете (от различна степен на вероятност и сериозност) за правата и свободите на Субектите, които произлизат от Обработването

сме преценили какво ниво на Защита на Данните на Етапа на Проектиране е подходящо за всички програми/системи/процеси, които управляваме.

 

 

Ние ще извършим Оценка на Въздействието при всяко въвеждане на ключова система или смяна на бизнес програма, която е свързана с  Обработване  на Лични Данни, включително:

 

Първоначалното въвеждане на нови технологии или прехода към нови технологии

Автоматизирано Обработване, включително профилиране или Автоматизиране Вземане на Решения

Обработване на Чувствителни Лични Данни в голям мащаб

Мащабно, систематично наблюдение на публично обществена зона

 

ДИРЕКТЕН МАРКЕТИНГ

 

Ние сме обект на определени правила и закони, когато изпращаме маркетингови съобщение до клиенти.

При извършване на Директен маркетинг, ние даваме право на възражение срещу маркетинговите съобщения. Това право е изрично представено на Субекта на данни, така че да е лесно отличимо от останалата информация.

 

Възражението срещу маркетингови съобщения ще бъде уважено своевременно.

 

СПОДЕЛЯНЕ НА ЛИЧНИ ДАННИ

 

Ние нямаме право да споделяме Лични Данни с трети лица, освен ако не са налице подходящи защити и договорни взаимоотношения.

 

Ние споделяме Лични Данни, които контролираме, с трети лица, като например подизпълнители (счетоводна къща,  фирма за  компютърна поддръжка, служба по трудова медицина), ако следните условия са изпълнени:

 

Те следва да знаят тази информация с цел да изпълнят услуга по договор

Споделянето на Лични Данни е в съответствие с Изявление по Защита на Данните, което е предоставено на Субекта, и, ако е  необходимо, Съгласието на Субекта е предоставено

Третата страна се е съгласила да спази необходимите стандарти за сигурност на данните, политика и процедури

Трансферът е в съответствие с приложимите ограничения за трансфер до страни извън ЕИП, и

Е на лице, надлежно сключен, договор за Обработване с подизпълнителя, който отговаря на изискванията на GDPR.

 

 

ПРОМЕНИ НА ТЕЗИ ВЪТРЕШНИ ПРАВИЛА

 

Ние си запазваме правото да променяме тези Вътрешни Правила по  всяко време и без предупреждение. Моля проверявайте регулярно за най-актуалната версия на тези правила. Последно ревизирахме тези правила на 10.05.2018г..

 

Тези Вътрешни Правила не вземат превес над никое приложимо законодателство.