ПОЛИТИКА ЗА ОБЩАТА РЕГУЛАЦИЯ НА ДАННИТЕ (GDPR)
1. Декларация за политика
Всеки ден нашият бизнес ще получава, използва и съхранява лична информация за нашите клиенти, доставчици, кандидати на интервю и колеги. Важно е тази информация да се обработва законно и подходящо в съответствие с изискванията на [Закона за защита на данните от 2018 г.] и Общия регламент за защита на данните (общо наричани "Изискванията за защита на данните").
Ние вземаме нашите задължения за защита на данните сериозно, защото уважаваме доверието, което ни се възлага да използваме личната информация подходящо и отговорно.
2. За тази политика
Тази политика и всички други документи, на които се споменава в нея, определя основата, по която ще обработваме всякакви лични данни, които събираме или обработваме.
Тази политика не образува част от трудовия договор на служителите и може да бъде променена по всяко време.
Алекс Смит е нашият служител по защита на данните (DPO) и е отговорен за гарантирането на съответствието на компанията с Изискванията за защита на данните и с тази политика. Всички въпроси относно прилагането на тази политика или всякакви опасения, че политиката не е била спазена, трябва първоначално да бъдат отправени към DPO, или докладирани в съответствие с политиката ни за противоречия в компанията (вижте Ръководството на служителя).
3. Какво представлява Лични Данни?
Лични данни означава данни (независимо дали са съхранявани електронно или на хартия), които се отнасят до жив човек, който може да бъде идентифициран директно или косвено от тези данни (или от тези данни и друга информация, която притежаваме).
Обработване е всяка дейност, която включва използване на лични данни. То включва събиране, записване или съхранение на данните, организиране, коригиране, извличане, използване, разкриване, изтриване или унищожаване. Обработването включва също прехвърляне на лични данни на трети страни.
Чувствителните лични данни включват лични данни относно расовата или етническата принадлежност на лицето, политическите мнения, религиозните или философските вярвания, членството в профсъюз, генетичните, биометричните, физическите или психическите здравословни условия, сексуалната ориентация или сексуалния живот. Те могат да включват също данни за престъпления или осъждания. Чувствителните лични данни могат да бъдат обработвани само при строги условия, включително с съгласието на лицето.
4. Принципи на защита на данните
Всеки, който обработва лични данни, трябва да осигури, че данните са:
a. Обработвани справедливо, законно и по прозрачен начин.
b. Събирани за конкретни, ясни и законни цели, и всяко допълнително обработване се извършва за съвместима цел.
c. Съответстващи, уместни и ограничени до необходимото за определените цели.
d. Точни и, където е необходимо, поддържани актуални.
e. Запазени в форма, която позволява идентификация за не по-дълго от необходимото за определените цели.
f. Обработвани в съответствие с правата на лицето и по начин, който гарантира подходящата сигурност на личните данни, включително защита срещу неразрешената или незаконна обработка и срещу случайна загуба, унищожаване или повреда, като се използват подходящи технически или организационни мерки.
g. Не предоставяни на лица или организации, намиращи се в държави без подходяща защита и без първоначално да са информирани лицето.
5. Справедливо и Законно Обработване
Изискванията за защита на данните не са предназначени да предотвратяват обработката на лични данни, а да гарантират, че тя се извършва справедливо и без да засяга неблагополучно правата на лицето.
В съответствие с изискванията за защита на данните, ще обработваме лични данни само когато е необходимо за законна цел. Законните цели включват (сред другите): дали лицето е дало съгласието си, обработката е необходима за изпълнение на договор с лицето, за спазване на правно задължение или за легитимния интерес на бизнеса. Когато се обработва чувствителна лична информация, трябва да бъдат изпълнени допълнителни условия.
6. Обработка с ограничени цели
По време на извършването на нашия бизнес можем да събираме и обработваме лични данни. Това може да включва данни, които получаваме директно от субекта на данните (например, чрез попълване на формуляри или с кореспонденция с нас по пощата, телефона, имейла или по друг начин) и данни, които получаваме от други източници (включително, например, данни за местоположение, бизнес партньори, подизпълнители в технически, плащания и доставки, агенции за кредитна информация и други).
Ще обработваме лични данни само за конкретните цели, посочени в График 1 или за всякакви други цели, специално позволени от Изискванията за защита на данните. Ще уведомим тези цели на субекта на данните, когато първоначално събираме данните или възможно най-скоро след това.
7. Уведомяване на лицата
Ако събираме лични данни директно от лице, ще ги информираме за:
a. Целта или целите, за които ние намераваме да обработим тези лични данни, както и правната основа за обработката.
б. Където се доверяваме на законните интереси на бизнеса за обработка на лични данни, последваните законни интереси.
в. Видовете трети страни, ако има такива, с които ще споделяме или разкриваме тези лични данни.
d. Как лицата могат да ограничат нашето използване и разкриване на техните лични данни.
e. Информация за периода, за който техните данни ще бъдат съхранявани или критериите, използвани за определяне на този период.
f. Техните права да поискат от нас като контролер достъп до и корекция или изтриване на лични данни или ограничаване на обработката.
g. Техните права да възразят на обработката и техните права за преносимост на данни.
h. Техните права да оттеглят съгласието си по всяко време (ако е дадено съгласие) без да се засяга законността на обработката преди оттеглянето на съгласието.
i. Правото им да подадат жалба в Комисията за информация.
j. Други източници, откъдето произхождат личните данни за лицето и дали идват от публично достъпни източници.
k. Дали предоставянето на личните данни е законово или договорно задължение или задължително изискване за сключване на договор, както и дали лицето е задължено да предостави личните данни и всякакви последици от неизпълнението на предоставянето на данни.
Ако получим лични данни за дадено лице от други източници, ще им предоставим тази информация възможно най-скоро (наред с информацията за категориите на засегнатите лични данни), но най-късно до 1 месец.
Също така ще информираме субектите на данни, чиито лични данни обработваме, че ние сме контролер на данните относно тези данни, нашите контактни данни и кой е DPO.
8. Адекватна, Съответстваща и Ненадмерна Обработка
Ще събираме лични данни само в тази степен, в която е необходима за конкретната цел, обявена на субекта на данните.
9. Точни Данни
Ще осигурим, че личните данни, които притежаваме, са точни и актуални. Ще проверим точността на всякакви лични данни в момента на събиране и на редовни интервали след това. Ще предприемем всички разумни стъпки да унищожим или коригираме неточни или остарели данни.
10. Своевременна Обработка
Няма да съхраняваме лични данни по-дълго, отколкото е необходимо за целта или целите, за които са били събрани. Ще предприемем всички разумни стъпки да унищожим или изтрием от нашите системи всички данни, които вече не са необходими.
11. Обработка в съответствие с правата на субектите на данни
Ще обработваме всички лични данни в съответствие с правата на субектите на данните, по-специално техните права да:
a. Получат потвърждение дали се обработва лична информация за тях.
b. Заявят достъп до всички данни, които се съхраняват за тях от контролер на данни.
c. Поискат коригиране, изтриване или ограничаване на обработването на техните лични данни.
d. Подадат жалба на надзорен орган.
e. Възразят срещу обработването, включително за директен маркетинг.
12. Сигурност на данните
Ще предприемем подходящи мерки за сигурност срещу незаконната или неоторизирана обработка на лични данни, както и срещу случайното или незаконно унищожаване, повреда, загуба, промяна, непозволено разкриване или достъп до лични данни, предавани, съхранявани или по друг начин обработвани. В случай на незаконно прехвърляне на данни, това ще бъде разследвано от подходящия служител, и ще се прилагат дисциплинарни процедури на компанията.
Ще въведем процедури и технологии, за да поддържаме сигурността на всички лични данни от момента на определяне на средствата за обработка и точката на събиране на данни до момента на унищожаване. Лични данни ще бъдат предавани само на обработващ на данни, ако той се съгласи да спазва тези процедури и политики, или ако сам поеме подходящи мерки.
Ще поддържаме сигурността на данните, като защитаваме поверителността, цялостта и наличността на личните данни, определени по следния начин:
a. Конфиденциалност означава, че само хора, които са оторизирани да използват данните, могат да ги достъпват.
b. Цялост означава, че личните данни трябва да бъдат точни и подходящи за целта, за която се обработват.
c. Наличност означава, че оторизираните потребители трябва да могат да достъпват данните, ако ги нуждаят за оторизирани цели. Личните данни следователно трябва да бъдат съхранявани в централната компютърна система на нашата компания, вместо на индивидуални компютри.
Процедурите за сигурност включват:
a. Контроли за достъп. Всеки, който е забелязан в зони с контролиран достъп, трябва да бъде сигнализиран.
b. Осигурени заключваеми бюра и шкафове. Бюрата и шкафовете трябва да се поддържат заключени, ако съдържат конфиденциална информация от всякакъв вид. (Личната информация винаги се счита за конфиденциална.)
c. Минимизация на данните.
d. Методи за унищожаване. Хартиените документи трябва да бъдат изрязани на ленти. Дигиталните устройства за съхранение трябва да бъдат физически унищожени, когато вече не са необходими.
e. Оборудване. Служителите трябва да се уверят, че индивидуалните им монитори не показват конфиденциална информация на минувачите и че са излезли от своя компютър, когато той е оставен непазен.
13. Заявки за достъп от субект
Лицата трябва да направят официална заявка за информацията, която притежаваме за тях. Служителите, които получат заявка, трябва незабавно да я препратят на DPO или на служител от Човешките ресурси.
При получаване на телефонни заявки, ще разкрием само личните данни, които притежаваме в системите си, ако се изпълнят следните условия:
a. Ще проверим самоличността на обаждача, за да се уверим, че информацията се предоставя само на лице, което има право на нея.
b. Ще предложим на обаждача да напише заявката си, ако не сме сигурни за самоличността на обаждача и когато самоличността му не може да бъде проверена.
При заявка, направена електронно, данните ще бъдат предоставени електронно, където е възможно.
Служителите ни ще препратят заявка на своя ръководител за помощ в затруднителни ситуации.
14. Промени в тази политика
Запазваме си правото да променяме тази политика по всяко време. Където е подходящо, ще уведомим за промените чрез банер за „бисквитки“ на уебсайта.