Лични данни

Политика за защита на личните данни на „Технопанел" ЕАД

ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

 

Съдържание

1. Предназначение

2. Обхват

3. Термини, определения, съкращения

4. Общи положения

4.1 Принципи за работа с лични данни

4.2 Права на субектите на данни

4.2.1 Право на информираност

4.2.2 Право на достъп

4.2.3 Право на коригиране

4.2.4 Право на изтриване

4.2.5 Право на преносимост на данните

4.2.6 Право на възражение

4.2.7 Права при автоматизирано вземане на индивидуални решения, профилиране

5. Регистри на дейности по обработване

5.1 Списък регистри

5.2 Съдържание на регистър

6. Изисквания към персонала работещ с лични данни.

6.1 Общи изисквания

6.2 Длъжностното лице по защита на данни

6.2.1 Общи положения

6.2.1 Права и задължения

7. Комисия за жалби, запитвания и искания за лични данни

8. Оценка на въздействие върху защитата на личните данни

8.1 Общи положения

8.2 Изпълнение

9. Осигуряване сигурност за личните данни

9.1 Общи положения

9.2 Действия при нарушения на сигурността

1.Предназначение

Настоящата политика съдържа основните принципи, правила и подходи за организиране и осъществяване на дейностите, свързани със събиране, преработка, съхранение, комуникиране, използване и защита на лични данни на физически лица в „Технопанел" ЕАД.

Тази политика има за цел да осигури изпълнението на Закона за защита на лични данни и изискванията на Регламент № 2016/679 на ЕП в рамките на бизнес процесите на дружеството.

2.Обхват

Всички служители на „Технопанел" ЕАД трябва да прилагат в ежедневната си работа указанията на настоящата политика. Това се отнася с особена важност за служителите, работещи с лични данни.

Настоящата политика се прилага за личните данни на служителите на дружеството и за личните данни на други физически лица, спрямо които „Технопанел" ЕАД се явява в ролята на администратор или обработващ.

3. Термини, определения, съкращения

В текста на тази политика са използвани термини и определения в смисъла, в който те са използвани в Закона за защита на личните данни и Регламент № 2016/679 на ЕП (Член 4). За краткост в политиката са използвани следните съкращения:

  • Закона за защита на личните данни
  • Регламент № 2016/679 на ЕП, известен като GDPR (General Data Protection Regulation)
  • Дружество – ФИРМА ЕООД
  • Изпълнителен Директор
  • Длъжностно лице па защита на данни
  • Комисия за защита на лични данни
  • ОВЗД – Оценката на въздействието върху защитата на данните
  • Субект на лични данни - е физическо лице, което е идентифицирано или което може да бъде идентифицирано въз основа на определена информация.


4. Общи положения

4.1 Принципи за работа с лични данни

При работа с лични данни „Технопанел" ЕАД се придържа към следните принципи:

  • Законосъобразност, добросъвестност и прозрачност

Личните данни се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните.

  • Ограничение на целите

Лични данни се събират и/или обработват само за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели.

  • Свеждане на данните до минимум

Събират се и се обработват само подходящи лични данни, свързани със целите и ограничени до необходимото във връзка с целите, за които се обработват.

  •  Личните данни се поддържат точни и актуални, за да са пригодни за постигане целите, за които те се обработват.
  • Ограничение на съхранението

Личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за съответните цели.

  • Цялостност и поверителност

Личните данни се събират, съхраняват и обработват при подходящо ниво на сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически и организационни мерки.

  •  Дружеството прилага в своята работа изброените до тук принципи и поддържа необходимите документи и записи като доказателство за това.


4.2 Права на субектите на данни

„Технопанел" ЕАД осигурява правата на субектите на данните при изпълнение задълженията си като администратор или обработващ на тези данни. Тези права са слените:

4.2.1 Право на информираност

„Технопанел" ЕАД, в ролята на администратор на лични данни изпълнява следните действия по информиране на субектите на лични данни относно:

  • Техните права по отношение на данните, като прави това преди или в момента на събиране на данните или при последваща промяна в целите на обработката;
  • Целите на обработването и правното им основание;
  • Получателите или категориите получатели на личните данни, ако има такива;
  • Срока за съхранение или критериите за определяне на този срок;
  • Данни и координати за връзка по въпросите на личните данни.


4.2.2 Право на достъп

„Технопанел" ЕАД, в ролята на администратор, осигурява на субекта потвърждение дали се обработват негови лични данни и ако това е така, му осигурява достъп до данните и следната информация:

  • Целите на обработването и правното им основание;
  • Категориите лични данни;
  • Срока за съхранение или критериите за определяне на този срок;
  • Получателите или категориите получатели на личните данни, ако има такива;
  • Съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;
  • Правото на жалба до надзорен орган;
  • Когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;
  • Съществуването на автоматизирано вземане на решения, включително профилирането, ако се прилага такова.

Посочената информация не се предоставя, ако субектът на данни вече разполага с нея.

4.2.3 Право на коригиране

„Технопанел" ЕАД, в ролята на администратор на лични данни, осигурява възможност субектът на данни да поиска корекция на неточните лични данни свързани с него, без ненужно забавяне. Като се имат предвид целите на обработването субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация.

4.2.4 Право на изтриване

„Технопанел" ЕАД, в ролята на администратор на лични данни, осигурява възможност субектът на данни да поиска изтриване на свързаните с него лични данни без ненужно забавяне.

„Технопанел" ЕАД има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:

  • Не са необходими повече за целите, за които са събрани;
  • Субектът оттегли съгласието си (ако е давал такова);
  • При възражение за обработване и доказване за липса на законно основание;
  • При незаконосъобразно обработване.

При извършване на изтриване, „Технопанел" ЕАД, като отчита наличната технология и разходите по изпълнението, предприема разумни стъпки, включително технически мерки, за да уведоми администраторите, обработващи личните данни, че субектът на данните е поискал изтриване от тези администратори на всички връзки, копия или реплики на тези лични данни.

4.2.5 Право на преносимост на данните

„Технопанел" ЕАД в ролята на администратор на лични данни, осигурява преносимост на данните, ако са изпълнени условията, предвидени за това (Чл.20, ал.1 на Регламента), като предава без възпрепятстване на субекта неговите лични данни в структуриран, широко използван и пригоден за машинно четене формат.

„Технопанел" ЕАД може пряко да прехвърли личните данни на друг администратор, когато това е технически осъществимо.

4.2.6 Право на възражение

„Технопанел" ЕАД, в ролята на администратор осигурява възможност на субектът на данните по всяко време и на основания, свързани с неговата конкретна ситуация, да представи възражение срещу обработване на лични данни, отнасящи се до него, включително профилиране.

„Технопанел" ЕАД се задължава да прекратява обработването на личните данни, освен ако не съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг.

Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.

4.2.7 Права при автоматизирано вземане на индивидуални решения, профилиране

„Технопанел" ЕАД, в ролята на администратор, уведомява субекта (ако това реално се извършва) за съществуването на автоматизирано вземане на решения, включително профилирането (Чл. 22 на Регламента), както и съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг

5. Регистри на дейности по обработване

5.1 Списък регистри

„Технопанел" ЕАД, в ролята на администратор, създава и поддържа следните вътрешни регистри на дейности по обработване:

  • Регистър Персонал
  • Регистър Кандидати за работа
  • Регистър Видеонаблюдение
  • Регистър Посетители
  • Регистър Клиенти
  • Регистър Клиенти Доставчици
  • Регистър ЗБУТ

„Технопанел" ЕАД, в ролята на обработващ, създава и поддържа следните вътрешни регистри на дейности по обработване:

  • Регистър Персонал
  • Регистър Кандидати за работа
  • Регистър Клиенти
  • Регистър Доставчици
  • Регистър ЗБУТ


5.2 Съдържание на регистър

Вътрешните регистри на дейностите по обработване на лични данни в дружеството съдържат следната информация:

  • Името и координатите за връзка на администратора / обработващия и, когато това е приложимо, на всички съвместни администратори / обработващи на представителя на администратора и на Длъжностното лице по защита на данните, ако има такива;
  • Целите на обработването;
  • Описание на категориите субекти на данни и на категориите лични данни;
  • Категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;
  • Когато е приложимо - предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, документация за подходящите гаранции;
  • Предвидените срокове за изтриване на различните категории данни;
  • Общо описание на техническите и организационни мерки за сигурност.

6. Изисквания към персонала работещ с лични данни

6.1 Общи изисквания

Всеки служител на „Технопанел" ЕАД, който е ангажиран с обработка на лични данни е задължен:

  • Да обработва лични данни законосъобразно и добросъвестно;
  • Да използва личните данни, до които имат достъп, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели;
  • Да изпълнява точно и навременно своите задължения (ако има такива) по актуализация или изтриване на личните данни;
  • Да прилага всички необходими мерки за защита на личните данни, с кои то се осигурява тяхната постоянна поверителност, цялостност, наличност както и устойчивост на системите и услугите за обработване;
  • Да докладва незабавно, съобразно установения ред, за слабости и събития, свързани със сигурността на личните данни;
  • При възникване на спорни въпроси по отношение на личните данни, преди да предприеме каквито и да е действия, да потърси съдействие от компетентните служители на дружеството, в т.ч. от ДЛЗД, ако има такова.
  • Да познава и спазва актуалните външни нормативни документи, регламентиращи работата с лични данни;
  • Да познава и спазва вътрешните за дружеството документи, свързани с управлението на лични данни;
  • Да участва във всички мероприятия, свързани с обучение, повишаване на квалификация или поддържане нивото на осведоменост и компетентност по отношение на личните данни.


6.2 Длъжностното лице по защита на данни

6.2.1 Общи положения

„Технопанел" ЕАД определя Длъжностното лице по защита на (лични) данни (ДЛЗД)

ДЛЗД може да изпълнява и други задачи и да има други служебни задължения, които задължително не водят до конфликт на интереси.

Дружеството гарантира, че ДЛЗД участва по подходящ начин и своевременно във всички въпроси, свързани със защитата на личните данни.

Дружеството подпомага ДЛЗД при изпълнението на неговите специфични задачи, като осигуряват ресурсите, необходими за изпълнението на тези задачи, и достъп до личните данни и операциите по обработване.

Дружеството подпомага ДЛЗД при изпълнението на неговите специфични задачи като поддържат неговите експертни знания.

Дружеството прави необходимото длъжностното лице по защита на данните да не получава никакви указания във връзка с изпълнението на тези задачи с оглед неговата независимост и безпристрастност.

Длъжностното лице по защита на данните не може да бъде освобождавано от длъжност, нито санкционирано от ръководството на „Технопанел" ЕАД за изпълнението на своите задачи.

Длъжностното лице по защита на данните се отчита пряко пред Изпълнителен Директор.

Субектите на данни могат да се обръщат към ДЛЗД по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права съгласно настоящия регламент.

6.2.2 Права и задължения

Длъжностното лице за защита на данни има следните правомощия:

  • Да информира и съветва служителите, които извършват обработване, за техните задължения съгласно актуалните законови изисквания и Регламента;
  • Да наблюдава спазването на Регламента, на други разпоредби за защитата на данни в България и ЕС и вътрешните документи ОПТИКС АД отношение на защитата на личните данни;
  • Да наблюдава и контролира възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване и съответните одити;
  • При поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката;
  • Да сътрудничи с надзорния орган – КЗЛД;
  • Да действа като точка за контакт за КЗЛД по въпроси, свързани с обработването, включително предварителната консултация, и когато е целесъобразно да се консултира по всякакви други въпроси;
  • Да отчита рисковете, свързани с операциите по обработване, и се съобразява с естеството, обхвата, контекста и целите на обработката;
  • Да спазва секретността или поверителността на изпълняваните от него задачи.

7. Комисия за жалби, запитвания и искания за лични данни

Комисията е помощен орган, който има задачата да управлява процеса по обработка на жалби от клиенти, запитвания от държавни органи и искания по лични данни, свързани с предлаганите от дружеството услуги.

Комисията се назначава със заповед на ИД и има примерен състав, който може да се разширява и уточнява допълнително:

  • Председател - Директор „Технопанел" ЕАД
  • Член - Зам. Директор „Технопанел" ЕАД
  • Член - Р-л отдел „Технопанел" ЕАД
  • Член - Специалист „Технопанел" ЕАД

Комисията се събира, поне веднъж месечно и при необходимост. Комисията кани на заседанията и ангажира с действия специалисти, когато това се налага.

Комисията има следните задължения:

  • Разглежда постъпилите искания, жалби, запитвания и взема решения за тяхното изпълнение;
  • Контролира сроковете за изпълнение;
  • Преглежда и предлага за утвърждаване отговори на постъпили искания, жалби, запитвания
  • Поддържа регистър с постъпили жалби, запитвани и искания
  • Изясняван спорни въпроси;
  • Търси съдействие от юридически консултанти или КЗЛД;
  • Търси съдействие от ДЛЗД (ако има такова);
  • Предприема мерки за подобряване на процеса


8. Оценка на въздействие върху защитата на личните данни (ОВЗД)

8.1 Общи положения

ОВЗД се извършва задължително, когато:

  • Обработването попада в Списък на видовете операции по обработване, за които се изисква ОВЗД, изготвен и оповестен от КЗЛД;
  • Обработването е с цел профилиране;
  • Съществува висок риск за правата и свободите на физическите лица, породен от:
  • Използване на нови технологии;
  • Естеството, обхвата и контекста на обработването;
  • Целите на обработването

При извършването на ОВЗД се изисква становището на ДЛЗД, когато такова е определено.

При ОВЗД се ползват указанията на стандарт ISO/IEC 29134 Information technology. Security techniques. Guidelines for privacy impact assessment.

Когато резултатът от ОВЗД показва, че обработването ще породи висок риск за правата и свободите на физическите лица, „Технопанел" ЕАД задължително извършва:

  • Консултация с КЗЛД преди обработването;
  • Предприеме мерки за ограничаване на риска.

ОВЗД се прилага в дружеството и като:

  • Форма на ранно предупреждение за идентифициране на скрити до момента слабости в обработката на лични данни ;
  • Метод за идентифицираме проблемите преди контролните органи или конкуренцията


8.2 Изпълнение

ОВЗД включва следните действия:

  • Изготвяне системен опис на предвидените операции по обработване;
  • Изготвяне опис на целите на обработването;
  • Установяване основанията за законност на обработването;
  • Оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;
  • Оценка на рисковете за правата и свободите на субектите на данни;
  • Установяване на мерките за справяне с рисковете и постигане съответствие с изискванията на Регламента.

При ОВЗД се отчита спазването на одобрените Кодекси за поведение (Член 40 на Регламента), ако такива са приети от „Технопанел" ЕАД.

Ако е целесъобразно и приложимо, „Технопанел" ЕАД може да се обърне към субектите на данните или техните представители за становище относно планираното обработване, без да се засяга защитата на търговските или обществените интереси или сигурността на операциите по обработване.

„Технопанел" ЕАД извършва преглед, за да прецени дали обработването е в съответствие с ОВЗД, когато има промяна на риска, свързан с операциите по обработване.

9. Осигуряване сигурност за личните данни

9.1 Общи положения

„Технопанел" ЕАД прилага технически и организационни мерки за осигуряване необходимото ниво на сигурност за личните данни, които обработва.

Дружеството осигурява доказано висока степен на защита и гаранции за:

  • Основните свойства на информацията - поверителност, цялостност, наличност;
  • Устойчивост на системите и услугите за обработване – непрекъсваемост, наличност, надеждност;
  • Поддържане нивото на сигурност чрез редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки;
  • Предотвратяване неправомерен достъп до лични данни с прилагане на адекватни мерки, където е необходимо – псевдонимизация, криптиране, анонимност, рандомизация.

„Технопанел" ЕАД поддържа сертификати за съответствие към стандарти по информационна сигурност - ISO 27001.

„Технопанел" ЕАД прилага ефективен метод за оценка на рисковете за правата и свободите на субектите на данни при обработването на личните им данни.

Основни рискове са насочени към:

  • Случайно или неправомерно унищожаване на данни;
  • Загуба на данни без възможност за възстановяване;
  • Неразрешена или грешна промяна на данни;
  • Неразрешено разкриване или достъп до данни.

Дружеството гарантира, че неговите служители, обработващи лични данни, има необходимата квалификация и опит както за да извършават тази обработка по сигурен начин и според законовите изисквания и вътрешните правила на дружеството.

Дружеството поддържа документи и записи, осигуряващи и доказващи съответствие с изискванията на Регламента.

9.2 Действия при нарушения на сигурността

Дружеството използва автоматизирани средства за наблюдение на дейностите по обработка на данни и навременно идентифициране на слабости, събития и инциденти по тяхната сигурност. Тези средства осигуряват документиране на всяко нарушение на сигурността на личните данни, включително специфичните за него данни, последиците, предприетите действия за справяне с него.

В случай на нарушение на сигурността на личните данни, което може да доведе до нарушаване правата и свободите на субектите на данни, „Технопанел" ЕАД уведомява КЗЛД в рамките на 72 часа след установяването на това нарушение.

В случай на нарушение на сигурността на личните данни „Технопанел" ЕАД уведомява съответния администратор (ако има такъв) незабавно след установяването на това нарушение.

Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, „Технопанел" ЕАД незабавно извършва:

  • Обективна преценка дали предварително предприетите мерки за защита на данните гарантират, че тяхната поверителност ще се запази;
  • Предприемане последващи мерки, които гарантират, че вече няма вероятност да се реализира високият риск за правата и свободите на субектите на данни;
  • Оценка на усилията, необходими за уведомяване на всеки един субект на данни, засегнат от нарушението.;
  • В зависимост от резултатите на описаните по-горе действия и спазвайки изискванията на Регламента, предприема едно от следните действия:
  • Не предприема действия за уведомяване субектите на данни;
  • Незабавно уведомява субектите на данни за нарушението;
  • Прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани