ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ НА "РИТЪМ-4-ТБ" ООД ГР. СТАРА ЗАГОРА
I. ВЪВЕДЕНИЕ
Чл. 1. Общ регламент за защита на личните данни:
Регламент (ЕС) 2016/679 (Общ регламент за защита на данните) замества Директивата 95 / ЕО за защита на данните. Има пряко действие и предполага изменение в законодателството на страните членки в областта на защитата на личните данни. Неговата цел е да защитава "правата и свободите" на физическите лица и да се гарантира, че личните данни не се обработват без тяхно знание, и когато е възможно, че се обработва т с тяхно съгласие.
Чл. 2. В настоящата Политика се използват следните законови определения:
2.1. „Приложимо право" право" означава приложимото законодателство на Европейския съюз и Република България по отношение на защитата на личните данни;
2.2. „ОРЗД" означава Регламент (ЕС) № 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица при обработването на лични данни и относно свободното движение на такива данни, и за отмяна на Директива 95/ 46/ ЕО ("Общ регламент за защита на данните");
2.3. „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано;
2.4. „Обработване“ всяка операция или съвкупност от операции, извършвани с лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, промяна, употреба, разкриване чрез предаване, разпространение или друг начин, чрез който данните стават достъпни;
2.5. „Профилиране“ е всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надежност, поведение, местоположение или движение;
2.6. „Регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии;
2.7. „Администратор“ означава физическо или юридическо лице, публичен орган или друга структура, която сама или съвместно с други определя целите и средствата за обработването на личните данни;
2.8. „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган или друга структура, която обработва лични данни от името на администратора;
2.9. „Съгласие на субекта на данни“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данни, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му, свързаните с него лични данни да бъдат обработени;
2.10. „Разкриващ лични данни" означава страната по договор, която предава лични данни на Получателя на лични данни;
2.11.„Получател на лични данни" означава страната, която получава личните данни от Разкриващия личните данни;
2.12. Термините „Субект на лични данни”, „Нарушение на сигурността на личните данни”, „Обработване”, „Специални категории лични данни” и „Надзорен орган” имат същото значение като в ОРЗД и приложимото национално законодателство.
II. ОБЩИ ПОЛОЖЕНИЯ
Чл.3. Във връзка с предоставянето на своите услуги и извършването на дейности „РИТЪМ-4-ТБ“ ООД ГР. СТАРА ЗАГОРА обработва като администратор личните данни на своите клиенти - физически лица, както и личните данни на други физически лица, посочени по-долу („Субекти на данни“), в съответствие с предвидените в тази Политика за защита на личните данни на „РИТЪМ-4-ТБ“ ООД ГР. СТАРА ЗАГОРА („Политика/та“) правила и принципи.
Чл. 4. Седалището и адресът на управление на „РИТЪМ- 4 –ТБ” ООД са: гр. Стара Загора, ул.„Св.Княз Борис I” № 93, ет. 9, ЕИК123655865, тел.: 042 62 20 56, електронен пощенски адрес: home@ritam-bg.com
Чл. 5. Настоящата политика регламентира:
5.1. Принципите на дейността на „РИТЪМ- 4 –ТБ” ООД, в качеството му на администратор на лични данни, в съответствие с изискванията на Регламент (ЕС) 2016/679 на Европейския Парламент , на Закона за защита на личните данни и Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.
5.2 .Механизмите, регламентиращи въвеждането и спазването на горните принципи; 5.3. Правата на субектите на данни. Процедури при осъществяване правата на субектите на лични данни.
5.3 . Функциите на „РИТЪМ-4-ТБ” ООД в качеството му на администратор.
III. ПРИНЦИПИ, СВЪРЗАНИ С ОБРАБОТВАНЕТО И ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ НА ФИЗИЧЕСКИТЕ ЛИЦА
Чл. 6. Основните принципи на дейността по обработване на лични данни в „РИТЪМ- 4 –ТБ” ООД са:
6.1. Законосъобразно, добросъвестно и по прозрачен начин обработване на личните данни. За да бъде обработването законосъобразно и добросъвестно, личните данни следва да бъдат обработвани на конкретни законни основания, съгласно изискванията на Регламент (ЕС) 2016/679 на Европейския Парламент или на правен акт на Република България, уреждащ материята, както следва:
- На основание легитимен интерес на дружеството;
- На основание спазаването на законово задължение, наложено на дружеството, в качеството му на администратор на данни;
- На основание изпълнение на договор, по който субекта на данни е страна или с оглед предприемане на стъпки по искане на субекта на данни преди встъпване в договорни отношения;
- На основание изрично съгласие на субекта на данни.
6.2. Изпълнението на принципа прозрачност изисква всяка информация и комуникация във връзка с обработването на личните данни да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки.
6.3 Ограничение на целите. Личните данни са събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели.
6.4. Свеждане на данните до минимум. Събираните лични данни са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват.
6.5. Точност. Събраните и обработвани от дружеството лични данни следва да са точни и при необходимост да бъдат поддържани в актуален вид, като за целта дружеството предприема съответните мерки, за да се гарантира своевременното изтриване и коригиране на неточни лични данни, като се има предвид целите, за които те се обработват.
6.6. Ограничение на съхранението. Личните данни се съхраняват за период не по - дълъг от необходимото за целите, за които те се обработват. Основанието за съхранение на данните винаги е установено от законовия срок за съхранение, съгласно изискванията на съответния нормативен акт.
6.7. Цялостност и поверителност. Личните данни се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни. За целта се прилагат подходящи техничски и орагнизационни мерки в дружеството.
6.8. „РИТЪМ- 4 -ТБ” ООД събира, обработва и съхранява личните данни на субектите на данни при:
6.8.1. гарантираност на неприкосновеността на личността и личния живот на субекта на данни при обработване на свързаните с тях лични данни;
6.8.2. законосъобразно и добросъвестно обработване на данните;
6.8.3. обработване на данни само от лица, чиито служебни задължения изискват обработване на конкретните данни на принципа “необходимост да се знае”;
6.8.4. Мерките за защита на данните са функция от вида регистър, на който се поддържат и нивото им на чувствителност.
Чл. 7. „РИТЪМ- 4 –ТБ” ООД не обработва лични данни, които:
7.1 . разкриват расов или етнически произход;
7.2. разкриват политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели;
7.3 се отнасят до генетични и биометрични данни, които се обработват за целите единствено на идентифицирането на физическо лице;
7.4 се отнасят до сексуалния живот или сексуалната ориентация на физическото лице или до човешкия геном.
Чл. 8. Лични данни, отнасящи се до здравословното състояние, се обработват само по отношение на служителите, с оглед изпълнения на задълженията на „РИТЪМ-4-ТБ” ООД в областта на трудово-осигурителното законодателство, при спазване изискванията на Регламент (ЕС) 2016/679 на Европейския Парламент и/или на правен акт на Република България, уреждащ материята.
Чл. 9. „РИТЪМ-4-ТБ” ООД може да обработва лични данни самостоятелно или чрез трети лица, в качеството им на обработващи лични данни и съвместни администратори, на основание на сключен с тях договор. Съответните договори трябва много ясно и точно да определят какви лични данни ще се обработват, как, в какъв срок, с каква цел. При обработване на съвместни администратори трябва ясно да се определят съответните права и задължения на двете страни, както и техните отговорности.
9.1. Обработването на личните данни на субектите на данни се осъществява при прилагане на професионална конфиденциалност. Това изискване е задължително във взаимоотношенията между служителите, между служители и клиенти, както и спрямо третите лица, обработващи лични данни и съвместни администратори. В същата степен се изисква конфиденциалност и по отношение финансовото състояние на субектите на лични данни, както и извършваните от тях сделки.
9.2. Независимо дали „РИТЪМ- 4-ТБ” ООД обработва личните данни самостоятелно или чрез трети лица, в качеството им на обработващи лични данни и съвместни администартори, при обработването им винаги се прилагат принципите съгласно чл. 4 от настоящата Политика.
IV. ПРАВА НА СУБЕКТИТЕ НА ЛИЧНИТЕ ДАННИ
Чл. 10. Правата на субектите на данни засягат всички лични данни на физическото лице, обработвани от „РИТЪМ- 4-ТБ” ООД, както и всички субекти на данни, чиито данни се обработват от дружеството.
10.1. Основните права на субекта на данни по отношение на неговите данни, които правната рамка постановява и дружеството спазва, са както следва:
- Право на достъп;
- Право на коригиране;
- Право на изтриване (право “да бъдеш забравен”);
- Право на ограничаване на обработването;
- Право на възражение;
- Право да не бъдеш субект на автоматизирано вземане на решение;
- Право на пренос на данни.
Чл. 11. Правото на достъп на Субекта на данни представлява правото да получи от „РИТЪМ- 4-ТБ” ООД ”, в качеството му на администратор, потвърждение дали се обработват лични данни, свързани с него и ако това е така да получи достъп до личните си данни и следната информация:
- цели на обработването;
- съответните категории лични данни;
- категории получатели, пред които са или ще бъдат разкрити личните данни;
- предвидения срок, за който ще се съхраняват личните данни, а ако това е неприложимо, критериите, използвани за определяне на този срок;
- съществуването на правото да се изиска от дружеството коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данни, или да се направи възражение срещу такова обработване;
- правото на жалба до надзорен орган; - когато личните данни не се събират от субекта на данни, всякаква налична информация за техния източник;
- съществуването на автоматизирано вземане на решение, включително профилиране, както и съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данни;
Чл. 12. Субектът на данни има право да поиска от „РИТЪМ- 4 –ТБ” ООД личните му данни да бъдат коригирани ако са неточни или непълни. Във всеки един случай, когато е налице грешка в обработваните от Дружеството данни, то е длъжно да уважи такова искане, като в тези случаи трябва да уведоми и останалите получатели, на които са разкрити тези данни, за да могат и те да отразят промяната.
Чл. 13. Субектът на данни има право на изтриване (право “да бъдеш забравен”) на данните му ако:
- данните вече не са необходими за първоначалната цел и не съществува нова законосъобразна цел;
- законното основание за обработването е съгласие на субекта на данни и той оттегли това съгласие, и липсва друго правно основание за обработване;
- субектът на данни възразява срещу обработването на данни и липсва друго правно основание за обработване;
- личните данни са били обработвани незаконосъобразно;
- личните данни трябва да бъдат изтрити с цел спазване на правно задължение, произтичащо от законодателство, което се прилага спрямо дружеството;
13.1 Правото на изтриване на данните на субекта на данни не следва да се прилага от дружеството, доколкото обработването е необходимо:
- за спазване от дружеството на правно задължение, предвидено в законодателството или при изпълнение на договор, което изисква обработване на данните;
- за установяването, упражняването или защитата на правни претенции.
Чл. 14. Субектът на данни има право да изиска от дружеството да ограничи обработването на данните му в следните случаи:
- точността на личните данни се оспорва от субекта на данни, за срокът, който ни позволява да извършим проверка на точността на личните данни;
- когато обработването е неправомерно, но субектът на данни не желае личните му данни да бъдат изтрити, а изисква вместо това да ограничим използването им;
- когато дружеството не се нуждае повече от личните данни за целите на обработването, но субектът на данни ги изисква за установяването, упражняването или за защитата на правни претенции;
- субектът на данни е възразил срещу обработването и е в очакване на проверка от страна на дружеството дали законните ни основания имат преимущество пред неговите интереси.
14.1. Когато обработването на данни е ограничено, съгласно по-горната разпоредба на настоящия член, такива данни се обработват, с изключение на съхранението им, само със съгласието на субекта на данни или в случай на необходимост от установяването, упражняването или защитата на правни претенции или за защитата на правата на други физически лица или поради важни основания от обществен интерес.
14.2. Когато субектът на данни е упражнил правата си за коригиране, изтриване или ограничаване на обработването и дружеството съответно е коригирало записите, се задължава да съобщи за тези свои действия на всеки получател, на който личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия.
Чл.15. Субектът на данни има право по всяко време на възражение срещу обработване на личните му данни, отнасящи се до него, което се основава на обработването, необходимо за целите на легитимния интерес на дружеството. В този случай „РИТЪМ- 4-ТБ” ООД може да не прекрати обработването на данните при наличие на законови основания за обработването им, които имат предимство пред интересите, правата и свободите на субекта на данни или за установяване, упражняване или защитата на правни претенции.
Чл. 16. Субектът на данни има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включително профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга. В своята дейност „РИТЪМ- 4 –ТБ” ООД не използва профилиране и автоматично взимане на решения.
Чл. 17. Субектът на данни има право да получи личните данни, които го засягат и които той е предоставил на дружеството в структуриран, широко използван и пригоден за машинно четене формат и има право да прехвърли тези данни на друг администратор. Когато упражнява правото си на преносимост на данни, субектът на данни има право да получи пряко прехвърляне от страна на „РИТЪМ- 4-ТБ” ООД към друг администратор само ако това е технически осъществимо.
Чл. 18. За упражняване правата на субектите на данни по отношение на неговите данни, в дружеството се създават и прилагат вътрешни правила за упражняване правата на субектите на данни.
V. РЕГИСТРИ НА ДЕЙНОСТИТЕ ПО ОБРАБОТВАНЕ
Чл. 19. „РИТЪМ- 4-ТБ” ООД, като администратор на лични данни води регистри съгласно предвидения в закона ред и в зависимост от дейносттите по обработване на дружеството. Администраторът може при необходимост да създаде допълнително и други регистри. Личните данни в регистрите се събират, обработват и съхраняват от съответните специалисти, участващи в процеса по администриране и обслужване на съответната дейност на дружеството. Регистрите са поддържани на технически носител в електронен вид.
VI. ПРОЦЕДУРА ЗА ДОСТЪП НА ДАННИТЕ ОТ ТИТУЛЯРИТЕ /СУБЕКТИТЕ/ НА ДАННИТЕ ИЛИ ТРЕТИ ЛИЦА. ПОДАВАНЕ НА ЖАЛБИ ИЛИ ВЪЗРАЖЕНИЯ.
Чл. 20. Субектът на данните може да упражни правата си, свързани със защита на личните данни, като отправи съответно писмено искане към отговорното лице по защита на личните данни на „РИТЪМ- 4-ТБ” ООД, като подаде искането лично в офиса на дружеството или чрез нотариално заверено искане, изпратено по пощата. Искането може да бъде упражнено и по електронен път, като за целта същото трябва да е подписано от Субекта на данни с квалифициран електронен подпис по смисъла на Закона за електронния документ и електронните удостоверителни услуги и чл. 3, т. 12 от Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 г. относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО, и да се изпрати до „РИТЪМ- 4-ТБ” ООД на адреса на електронна поща, посочен в тази Политика.
20.1. Субектът на данните може да упражнява правата, свързани с личните му данни, лично или чрез изрично упълномощено от него лице (с нотариално заверено пълномощно).
Чл. 21. Всеки Субект на данни има право да подаде жалба до надзорен орган по защита на личните данни, ако счита, че обработването на лични му данни нарушава разпоредбите на ОРЗД или на националното законодателство.
Надзорен орган в Република България е:
Комисия за защита на личните данни
Адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Тази Политика за защита на личните данни е утвърдена от Управителя на „РИТЪМ- 4-ТБ” ООД и е в сила от 25.05.2018 г.