Политика за защита на личните данни
1.ВЪВЕДЕНИЕ
2.СЪДЪРЖАНИЕ НА ПОЛИТИКАТА
a) дефиниции
b) описание на действащите принципи за защита на данните в Дружеството
c) препратки към подробни приложения (примерни процедури или инструкции, отнасящи се до специфични области на защита на личните данни, които изискват по-детайлно регламентиране в отделни документи).
3.ДЕФИНИЦИИ
3.1 Администратор: ARPAL SP. Z O.O със седалище на ул. Koszykarska 27b/26 30-717 Краков.
3.2 Лични данни: информация за физическо лице, което е идентифицирано или може да бъде идентифицирано чрез един или повече специфични фактори, определящи физическата, физиологичната, генетичната, психическата, икономическата, културната или социалната идентичност, включително изображение, гласов запис, данни за контакт, данни за местоположение, информация, съдържаща се в кореспонденцията, информация, събрана чрез записващи устройства или друга подобна технология.
3.3 Координатор по защита на личните данни (KODO): лице, назначено от Администратора, което изпълнява в организацията задачи, свързани със съответствието на обработването на лични данни с приложимото законодателство.
3.4 Надзорен орган: председателят на Службата за защита на личните данни (UODO) или, ако е приложимо, компетентният надзорен орган, определен от друга държава членка на ЕС.
3.5 Субект на данни: физическо лице, за което се отнасят обработваните лични данни.
3.6 Служител: физическо лице, наето от Администратора по трудов договор.
3.7 Сътрудник: физическо лице, което предоставя услуги на Администратора въз основа на гражданскоправен договор (напр. договор за възлагане, договор за изработка).
4.ОБЩИ ПРИНЦИПИ
4.1 Администратор: ARPAL SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ със седалище на ул. Koszykarska 27b/26 30-717 Краков.
4.2 Лични данни: информация за физическо лице… (същата дефиниция както в т. 3.2).
4.3 Координатор по защита на личните данни (KODO): лице, назначено от Администратора… (същата дефиниция както в т. 3.3).
4.4 Надзорен орган: председателят на UODO или компетентният орган на друга държава членка на ЕС.
4.5 Субект на данни: физическо лице, за което се отнасят данните.
4.6 Служител: физическо лице по трудов договор.
4.7 Сътрудник: физическо лице по граждански договор.
5.ОРГАНИЗАЦИЯ НА СИСТЕМАТА ЗА ЗАЩИТА НА ЛИЧНИ ДАННИ
5.1 Преди предоставяне на достъп до обработка на лични данни, Администраторът запознава всеки служител, сътрудник или друго лице с Политиката и вътрешните процедури.
5.2 Обработването на лични данни се извършва само въз основа на писмено разрешение. Лицата са длъжни да спазват конфиденциалност и правилата на Политиката.
5.3 Администраторът назначава Координатор по защита на личните данни (KODO) и му осигурява необходимите ресурси.
5.4 Задачи на KODO:
5.4.1 Информиране и консултиране относно GDPR.
5.4.2 Надзор върху спазването на правилата.
5.4.3 Обучения и проверки.
5.4.4 Консултации по оценки на въздействие (чл. 35 GDPR).
5.4.5 Сътрудничество с надзорния орган.
5.4.6 Контакт с надзорния орган.
5.5 KODO изпълнява задачите си, отчитайки риска.
5.6 Служители и сътрудници са длъжни да:
5.6.1 Обработват данни законосъобразно.
5.6.2 Докладват инциденти.
5.6.3 Участват в обучения.
5.6.4 Спазват конфиденциалност.
5.7 Системата включва:
A. Сигурност на данните (анализ на риска, оценки, мерки, уведомяване за нарушения)
B. Регистър на дейностите
C. Правни основания
D. Права на субектите
6.СИГУРНОСТ НА ЛИЧНИТЕ ДАННИ
6.1 Обща информация
Администраторът прилага технически и организационни мерки за защита на данните, съобразени с риска, технологичното развитие и характера на обработването. Осигурява достъп само за упълномощени лица. Извършва постоянен анализ на риска и при нужда оценка на въздействието.
6.2 Анализ на риска
Администраторът извършва анализи, категоризира данните, оценява рискове и прилага мерки като псевдонимизация, криптиране, киберсигурност и планове за възстановяване.
6.3 Оценка на въздействие
Извършва се при висок риск.
6.4 Мерки за сигурност
Прилагат се технически и организационни мерки, част от системата за информационна сигурност.
6.5 Уведомяване за нарушения
6.5.1 Уведомяване на надзорния орган при риск.
6.5.2 Уведомяване на засегнатите лица при висок риск.
6.5.3 Разследване и коригиращи действия.
6.5.4 Документиране на всички нарушения.
7. РЕГИСТЪР НА ДЕЙНОСТИТЕ ПО ОБРАБОТКА НА ЛИЧНИ ДАННИ
7.1 Регистърът на дейностите по обработка представлява форма за документиране на операциите по обработка на данни, служи като карта на обработката на данни и е един от ключовите елементи, които позволяват прилагането на основния принцип, върху който се базира цялата система за защита на личните данни, а именно принципа на проактивна отговорност (отчетност).
7.2 Администраторът поддържа Регистър на дейностите по обработка, в който описва и контролира начина на използване на личните данни.
7.3 Регистърът е един от основните инструменти, позволяващи на Дружеството да изпълнява повечето от своите задължения по защита на данните.
7.4 В Регистъра, за всяка дейност по обработка, която Дружеството е определило като самостоятелна, се вписва най-малко:
a) наименование на дейността
b) цел на обработката
c) описание на категориите субекти на данни
d) описание на категориите данни
e) правно основание за обработката, включително категорията на легитимния интерес, ако това е основание
f) начин на събиране на данните
g) описание на категориите получатели на данните (включително обработващи)
h) информация за трансфер извън ЕС/ЕИП
i) общо описание на техническите и организационни мерки за защита на данните
7.5 Моделът на Регистъра представлява приложение към Политиката.
8. ПРАВНИ ОСНОВАНИЯ ЗА ОБРАБОТКА
8.1 Администраторът документира в Регистъра правните основания за обработка за всяка отделна дейност.
8.2 При посочване на правно основание (съгласие, договор, законово задължение, жизненоважни интереси, публични задачи/власт, легитимен интерес), Дружеството конкретизира точно и ясно основанието.
8.3 Администраторът прилага методи за управление на съгласията, включително регистриране, отказ и оттегляне на съгласие.
9.ПРАВА НА ЛИЦАТА И ИНФОРМАЦИОННИ ЗАДЪЛЖЕНИЯ
9.1 ОБЩА ИНФОРМАЦИЯДружеството се грижи за яснотата и стила на предоставяната информация и комуникацията с лицата, чиито данни обработва. Дружеството улеснява упражняването на правата на лицата чрез различни действия, включително: публикуване на уебсайта на информация относно правата на лицата, начина на тяхното упражняване в рамките на дружеството, включително изискванията за идентификация, методите за контакт с дружеството с тази цел, евентуален ценови лист за „допълнителни“ заявки и др.
Дружеството полага усилия за спазване на законовите срокове за изпълнение на задълженията към лицата. Въвеждат се подходящи методи за идентификация и удостоверяване на лицата с цел реализиране на индивидуалните права и информационните задължения. За упражняване на правата на лицето дружеството осигурява процедури и механизми, които позволяват идентификация на конкретни обработвани данни, тяхната интеграция, промяна и изтриване по интегриран начин. Дружеството документира изпълнението на информационните задължения, уведомленията и заявките на лицата.
9.2 ИНФОРМАЦИОННИ ЗАДЪЛЖЕНИЯ 9.2.1Дружеството определя законни и ефективни начини за изпълнение на информационните задължения.
9.2.2Дружеството информира лицето за удължаване над срок от един месец на срока за обработване на неговото заявление.
9.2.3Дружеството информира лицето за обработването на неговите данни в момента на получаването им от самото лице.
9.2.4Дружеството информира лицето за обработването на неговите данни, когато ги получава косвено (не директно от него).
9.2.5Дружеството определя начин за информиране на лицата относно обработване на неидентифицирани данни, когато това е възможно.
9.2.6Дружеството информира лицето за планирана промяна на целта на обработване на данните.
9.2.7Дружеството информира лицето преди вдигане на ограничението на обработването.
9.2.8Дружеството информира получателите на данните за тяхното коригиране, изтриване или ограничаване на обработването (освен ако това изисква непропорционални усилия или е невъзможно).
9.2.9Дружеството информира лицето за правото му да възрази срещу обработването на данни най-късно при първата комуникация с него.
9.2.10Дружеството информира лицето без неоправдано забавяне за нарушение на защитата на личните данни, ако то е вероятно да доведе до висок риск за неговите права или свободи.
10. УПРАЖНЯВАНЕ НА ПРАВАТА НА СУБЕКТИТЕ НА ДАННИ
10.1Администраторът гарантира упражняването на правата на субектите на данни в съответствие с разпоредбите на GDPR, включително:
10.1.1 Право на информация относно обработката на данни:
Администраторът предоставя на лицето информация относно обработката на неговите лични данни, включително целите и правните основания на обработката, обхвата на съхраняваните данни, получателите, на които се разкриват, и предвидения срок за изтриване.
10.1.2 Право на копие от данните:
Администраторът предоставя на лицето копие от неговите лични данни.
10.1.3 Право на корекция:
Администраторът коригира неточни или грешни данни и ги допълва при непълнота по искане на субекта.
10.1.4 Право на изтриване:
Администраторът изтрива или анонимизира данните, когато те вече не са необходими за целите, за които са събрани.
10.1.5 Право на ограничаване на обработката:
Администраторът спира обработката (с изключение на съхранение и операции с изрично съгласие), докато причините за ограничението отпаднат.
10.1.6 Право на преносимост на данните:
При автоматизирана обработка въз основа на договор или съгласие, данните се предоставят в структуриран и машинно четим формат.
10.1.7 Право на възражение срещу маркетинг:
Субектът може по всяко време да възрази срещу обработка за маркетингови цели.
10.1.8 Право на възражение по други основания:
Субектът може да възрази срещу обработка, основана на легитимен интерес.
10.1.9 Право на оттегляне на съгласие:
Съгласието може да бъде оттеглено по всяко време, без да се засяга законосъобразността на предишната обработка.
11. ЗАЯВЛЕНИЯ НА ЛИЦА
11.1 Права на трети лицаПри упражняване на правата на субектите, дружеството защитава и правата на трети лица. Ако дадено искане може да засегне права на други лица (напр. интелектуална собственост, търговска тайна), може да бъде поискано уточнение или отказано изпълнение.
11.2 Липса на обработкаДружеството информира лицето, ако не обработва неговите данни.
11.3 ОтказДружеството информира лицето за отказ в срок до един месец.
11.4 Достъп до данниПри искане за достъп се предоставя информация по чл. 15 GDPR и достъп до данните чрез копие.
11.5 Копия от данниПървото копие може да бъде безплатно, следващите се таксуват според разходите.
11.6 КорекцияДанните се коригират при доказана неточност.
11.7 ДопълванеДанните могат да бъдат допълнени, ако това е допустимо и обосновано.
11.8 Изтриване на данниДанните се изтриват, когато:
Ако данните са публични, администраторът предприема разумни мерки да информира други администратори за изтриването им.
11.9 Ограничаване на обработкатаОбработката се ограничава, когато:
a) се оспорва точността на данните
b) обработката е незаконна
c) данните са нужни за правни претенции
d) има възражение до установяване на законен интерес
По време на ограничението данните се съхраняват, но не се обработват, освен в изключения (правни претенции, защита на права, обществен интерес).
12. КОНТАКТ СЪС СУБЕКТИТЕ НА ДАННИ
12.1 Дружеството прилага подходящи мерки, за да гарантира, че комуникацията със субектите на данни е ясна, прозрачна и леснодостъпна, като се използва разбираем и прост език.
12.2 Дружеството предоставя информация на субектите на данни писмено или чрез други средства, включително по електронен път, когато е приложимо. По искане на лицето администраторът може да предостави информация устно, при условие че самоличността на лицето е потвърдена по подходящ начин.
12.3 Дружеството улеснява упражняването на правата на субектите на данни съгласно GDPR, включително правата по членове 15–22.
12.4 Дружеството предоставя на лицата информация без ненужно забавяне относно предприетите действия по подадени искания съгласно членове 15–22 от GDPR.
13. ПРЕДОСТАВЯНЕ И ВЪЗЛАГАНЕ НА ОБРАБОТКА НА ЛИЧНИ ДАННИ
13.1 Администраторът разкрива лични данни на друг администратор само ако е изпълнено някое от условията по член 6(1) или член 9(2) от GDPR.
13.2 Администраторът възлага обработката на лични данни на обработващ въз основа на договор за възлагане на обработка или друг правен акт съгласно член 28 от GDPR.
13.3 Администраторът възлага обработката само след предварителна проверка, че обработващият предоставя достатъчни гаранции за прилагане на подходящи технически и организационни мерки, така че обработката да отговаря на изискванията на GDPR и да защитава правата на субектите на данни. Администраторът предприема всички необходими мерки, за да гарантира, че неговите контрагенти и партньори прилагат подходящи мерки за сигурност при обработка на данни от негово име.
14. ТРАНСФЕР НА ЛИЧНИ ДАННИ В ТРЕТИ СТРАНИ
14.1 Нивото на защита на личните данни извън Европейското икономическо пространство (ЕИП) се различава от това в ЕС. Поради това администраторът предава лични данни в трети държави само когато е необходимо и при осигурено адекватно ниво на защита, главно чрез:
14.1.1 сътрудничество с организации в държави, за които Европейската комисия е приела решение за адекватно ниво на защита;
14.1.2 използване на стандартни договорни клаузи, одобрени от Европейската комисия;
14.1.3 при трансфер към САЩ — сътрудничество с организации, участващи в програмата „Privacy Shield“, одобрена от Европейската комисия.
15. ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
Настоящата политика за защита на личните данни влиза в сила от датата на влизане в сила на GDPR.