Политика по GDPR


ОБЩА ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
В „ЮНИОН ИВКОНИ” ООД

1. Въведение

 
1.1. Общи положения
Настоящата обща политика за защита на личните данни (наричана по-долу „Политиката”) регламентира дейностите по обработване на лични данни от „Юнион Ивкони” ООД, ЕИК 121444454, със седалище и адрес на управление: гр. София 1000, ул. „Цар Иван Шишман” № 17, (наричано по-долу „Дружеството” и/или „Администраторът”), по отношение на категориите субекти на лични данни, посочени в нея, с цел гарантиране съответствието на това обработване с изискванията на РЕГЛАМЕНТ (ЕС) 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните, наричан по-долу „Регламентът”), както и всички други приложими нормативни актове на Европейския съюз (ЕС) и на националното законодателство в областта на защитата на личните данни. Настоящата Политика се прилага по всички въпроси във връзка със защита на личните данни, за които липсва друга изрична или специална регламентация съгласно други актове на Дружеството.
 
1.2. Политиката има за цел да регламентира и обхваща по-специално следните въпроси:
  • дейностите по обработване на лични данни, категориите субекти на данни, по отношение на които се прилага Политиката, принципите на обработване и отговорностите във връзка с обработването; 
  • задълженията на лицата, действащи под ръководството на Дружеството по смисъла на чл. 29 от Регламента при обработването на лични данни и тяхната отговорност при неизпълнение на тези задължения; 
  • права на субектите на данни и процедура за упражняването им; 
  • процедура във връзка с обработване на лични данни на основание съгласие на субектите на данни; 
  • правила за реагиране в случай на нарушение на сигурността на лични данни; 
  • техническите и организационни мерки за защита на личните данни, прилагани в Дружеството.
 
1.3. Информация за Администратора
Фирма „Юнион Ивкони” ООД
   
Данни за вписване вписано в търговския регистър и регистър на юридически лица с нестопанска цел към Агенцията по вписванията, с ЕИК 121444454
   
Седалище и адрес на управление гр. София 1000, ул. „Цар Иван Шишман” № 17
   
Предмет на дейност вътрешна и външна търговия, туроператорска и турагентска дейност, представителство, посредничество и агентство на местни и чужди физически и юридически лица, извършване на посредническа дейност по наемане на работна ръка в страната и чужбина, транспортни и спедиторски сделки в страната и в чужбина, хотелиерство, ресторантьорство, производство и търговия с промишлени стоки, стоки за бита, хранителни и селскостопански стоки, производство, пренос и търговия с електрическа енергия, всички други търговски сделки, незабранени със закон
   
Длъжностно лице по защита на данните t.bolen@union-ivkoni.com
 
2. Използвани термини и съкращения
 
Всички термини и съкращения, които не са изрично дефинирани в Политиката, имат значението, определено в Регламента.
 
3. Дейности по обработване на лични данни
 
3.1. Принципи на обработване на личните данни
Обработването на личните данни от Администратора се подчинява на следните принципи:
  • личните данни се обработват само и единствено при наличие на някое от основанията за обработване, съгласно Регламента и/или другото приложимо законодателство в областта на личните данни, добросъвестно и по прозрачен начин по отношение на субекта на данните (принцип на законосъобразност, добросъвестност и прозрачност); 
  • личните данни се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; 
  • личните данни са подходящи, свързани с и ограничени до необходимото във връзка с целите, за които се обработват (принцип на свеждане на данните до минимум); 
  • личните данни са точни и при необходимост се поддържат в актуален вид. Администраторът предприема всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се взимат предвид целите, за които те се обработват (принцип на точност при обработването); 
  • личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; 
  • личните данни се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, разкриване, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки; 
  • прилаганите организационни и технически мерки осигуряват постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване на личните данни.
 
3.2. Категории субекти на данни. Категории лични данни и цели на обработването. Видеонаблюдение
3.2.1. Администраторът има право да обработва лични данни относно своите клиенти и други субекти на данни, както следва:
  1. клиенти (физически лица) на Дружеството като превозвач, по отношение на които могат да се обработват лични данни като три имена, ЕГН, IP адрес, и-мейл, телефонен номер, MAC адрес и др. Обработването на лични данни се основава на принципа за свеждане на данните до минимум, в зависимост от и за целите на предоставяне на услугите, които ползва съответният клиент, като отстъпка за деца и/или хора над определена възраст (ЕГН), ползване на он-лайн системата на Дружеството за закупуване на билети (IP адрес; и-мейл; телефон; данни, свързани с навиците и предпочитанията), ползване на wi-fi в автобусите на Дружеството (MAC адрес) и др. Целите на обработване включват: (i). предоставяне на услугата по превоз и/или на допълнителните услуги, включително он-лайн закупуването на билети и ползването на уеб-сайта на Дружеството; (ii). съхранение на данъчен и счетоводен регистър; (iii). изпълнение на законодателни изисквания; (iv). предоставяне на отстъпки на редовни клиенти; (v). цели, свързани с легитимните интереси на Дружеството по смисъла на Регламента;   
  2. клиенти (физически лица) на Дружеството като туроператор, по отношение на които могат да се обработват лични данни като три имена, ЕГН, данни от лични документи (лична карта или паспорт според избраната дестинация), данни и документи, необходими за целите на полицейски, гранични митнически или проверки от съответен публичен орган, визови и/или други видове разрешителни документи, информация за семейни връзки и взаимоотношения (напр.: по отношение на туристи, ненавършили 18 г., с оглед спазване на изискването за родителско съгласие при излизане от страната; и др.), информация за банкови сметки (IBAN, при плащане по банков път), информация от значение за сключване на медицинска застраховка при пътуване, във вид и обем, каквито са изисквани от съответното/ите застрахователно/и дружество/а и/или закона, информация за контакти (напр. e-mail адрес, адрес за контакти, телефонен номер), както и други данни, като IP адрес, МАC на устройство и др. Обработването на лични данни се основава изцяло на принципа на свеждане на данните до минимум, в зависимост от и за целите на предоставяне на услугите, които ползва съответния клиент, като ползване на wi-fi в автобусите на Дружеството (MAC), ползване на уебсайта на Дружеството (IP адрес; данни, свързани с навиците и предпочитанията) и др. Целите на обработване включват: (i). предоставяне на заявената туроператорска услуга и/или на допълнителните услуги, включително ползването на уеб-сайта на Дружеството; (ii). съхранение на данъчен и счетоводен регистър; (iii). изпълнение на законодателни изисквания; (iv). предоставяне на отстъпки на редовни клиенти; (v). директен маркетинг; (vi). цели, свързани с легитимните интереси на Дружеството по смисъла на Регламента; 
  3. потенциални, настоящи и/или бивши служители на Дружеството. По отношение на личните данни на посочените субекти на данни се прилага Политика за защита на личните данни на служители на Дружеството; 
  4. други физически лица и физически лица-представители или лица за контакт на юридически лица, които имат контакт с Дружеството (включително, но не само доставчици, бизнес контакти, подизпълнители, други контрагенти и бизнес партньори и др. под.) за целите на изпълнение и/или управление на дейността на Дружеството; 
  5. други физически лица, представители по закон или пълномощие, на физически лица – клиенти на Дружеството (напр. родители на непълнолетни лица при съгласия за напускане на страната, и др.)
 
3.2.2. Дружеството е създало и поддържа регистър на дейностите по обработване на лични данни като администратор, съгласно чл. 30 от Регламента (наричан по-долу „Регистърът”). Регистърът е описан подробно в т. 7. от Политиката и съдържа информацията, посочена в Регламента, включително и конкретните категории субекти на данни, категориите лични данни, целите и срока на обработване, категоризирани по дейности.
 
3.2.3. Дружеството запазва личните данни за по-дългия измежду периодите, необходими или за спазване на приложимите закони и подзаконови нормативни актове, или друг период съгласно изискванията, приложими към търговската дейност на Дружеството. Обработването на личните данни се основава на принципа за свеждане на данните до минимум, в зависимост от и за целите на предоставяне на услугите, които ползва съответният клиент, (като напр. отстъпка за деца и/или хора над определена възраст (ЕГН), и др.) Част от данните могат да се съхраняват и след завършване на заявената от клиента услуга за целите на предоставянето на отстъпки на редовни клиенти.
 
3.2.4. Дружеството извършва видеонаблюдение на публично достъпни зони в пунктовете за продажба на билети, офисите и сервизната база. Видеонаблюдението се извършва съгласно правила за осъществяване на видеонаблюдение на Администратора.
 
4. Категории получатели на данни
 
Администраторът може да разкрива лични данни на следните лица:
  • доставчици на услуги – консултанти, адвокати, счетоводители, одитори, IT специалисти и др., във връзка със сключване на договорите от основната дейност на Дружеството, изпълнение на законови изисквания, техническа поддръжка и др. Подобно разкриване се извършва въз основа на писмено споразумение със съответния доставчик на услуги с цел да се гарантира същият да осигури адекватно ниво на защита и спазването на законодателството в областта на личните данни; 
  • подизпълнители – при предоставяне на услуги от името на Администратора (търговски представители, туроператори, тур-агенти и др.) на и извън територията на Република България, във връзка със сключване и изпълнение на договорите за превоз на пътници и за туристически услуги. Подобно разкриване се извършва въз основа на писмено споразумение със съответния подизпълнител с цел да се гарантира същият да осигури адекватно ниво на защита и спазването на законодателството в областта на личните данни; 
  • лица, предоставящи услуги по предоставяне и поддържане на оборудване, софтуер и хардуер, използвани за обработка (включително съхранение) на лични данни, за отчитане на разплащания и др.; 
  • банки, за обслужване на плащанията от страна на субектите на данни на услугите по превоз на пътници и/или туристическите услуги; 
  • охранителни дружества, които предоставят услуги по частна охранителна дейност, във връзка с извършване на видеонаблюдение на публично достъпни зони в пунктовете за продажба на билети на Администратора; 
  • публични или съдебни органи, в и до обема, разрешен и/или изискуем съгласно закона;  
  • застрахователни дружества – във връзка със сключването на застраховки при пътувания при предоставянето на туристически услуги; 
  • други администратори на лични данни, в случаите, когато Дружеството действа като обработващ от тяхно име.
 
5. Задължения на Администратора
 
Администраторът има следните задължения:
  • определя политиките и процедурите за защита на обработваните лични данни, спазва изискванията на Регламента, законодателството на ЕС и националното законодателство в областта защита на личните данни; 
  • определя длъжностно лице по защита на данните; 
  • осигурява организацията по водене на Регистъра, съгласно предвидените мерки за гарантиране на адекватна защита; 
  • въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, които са разработени с оглед на ефективното прилагане на принципите за защита на данните; 
  • осигурява упражняването на правата на физическите лица за защита на личните данни; 
  • въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването на лични данни се извършва съобразно изискванията на Регламента; 
  • въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност; 
  • осъществява контрол по спазване на изискванията за защита на Регистъра, установява обстоятелства, свързани с нарушаване на тяхната защита, и предприема мерки за тяхното отстраняване; 
  • актуализира поддържаните регистри; 
  • поддържа личните данни във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват; 
  • периодично информира и провежда по целесъобразност обучения на персонала по въпросите на защитата на личните данни; 
  • оказва съдействие при осъществяването на контролните функции на Комисията за защита на личните данни в качеството й на надзорен орган по чл. 51 от Регламента (наричана по-долу от „КЗЛД”), подпомага установяването на обстоятелства, свързани със защитата на личните данни; 
  • определя правата на служителите за достъп до лични данни в информационните системи съобразно целите на обработване, така че да се гарантира законосъобразност и да се спазят принципите на обработване; 
  • използва обработващи лични данни, които предоставят достатъчни гаранции посредством прилагането на подходящи технически и организационни мерки за защита; 
  • спазва определени правила в случай на нарушение на сигурността на личните данни; 
  • документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него; 
  • извършва оценка на риска, съгласно изискванията на Регламента, респективно оценка на въздействието, когато съгласно Регламента са налице условията за това.
 
6. Задължения на служителите на Администратора. Отговорност. Декларации за поверителност
 
6.1. Служителите на Администратора започват да обработват лични данни след запознаване с:
  • нормативната уредба в областта на защитата на личните данни, включително Регламента и Закона за защита на личните данни (наричан по-долу „ЗЗЛД”); 
  • Политиката и другите вътрешни актове на Администратора, свързани със защитата на личните данни; 
  • опасностите за личните данни, обработвани от Администратора. 
Служителите на Администратора са длъжни:
  • да спазват изискванията на Регламента, другото приложимо законодателство в областта на защитата на личните данни, Политиката и другите вътрешни актове на Администратора, свързани със защитата на личните данни;  
  • да обработват личните данни само при наличие на условие за законосъобразно обработване (правно основание), а именно: основание за обработване на лични данни, което произтича от закона; или основание за обработване на лични данни, което произтича от договорните отношения с лицето; или основание за обработване на лични данни, което произтича от изрично съгласие на лицето; или основание за обработване на лични данни, което произтича от легитимния интерес на Администратора или на трета страна и който легитимен интерес има преимущество пред интересите, основните права и свободи на субекта на данните, които изискват защита на личните данни; 
  • да използват личните данни, до които имат достъп, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели; 
  • да не използват личните данни, до които имат достъп в качеството им на служители на Администратора, за каквито и да било лични цели;                                                                                       
  • да спазват правилото за избягване на възможността за нерегламентиран достъп до лични данни и за оставяне на достъпни лични данни без надзор на съответното работно място. В помещения, до които имат достъп външни лица, съответните служители са задължени да предприемат мерки, така че външните лица да нямат какъвто и да е неправомерен достъп до документи, съдържащи лични данни, включително да могат да ги преглеждат, копират или фотографират с техническо средство; 
  • когато изпълнението на съответната дейност позволява, да ограничат използваните лични данни до максимална степен; 
  • да осигуряват и гарантират спазването на правата на физическите лица във връзка с обработването на лични данни; 
  • да не допускат, подпомагат или създават условия за нарушения на сигурността при обработването на лични данни; 
  • да не споделят или предоставят помежду си или на трети лица информация от съществено значение за сигурността на данните (потребителските си имена, пароли и др.); 
  • да не копират файлове с корпоративна информация, съдържаща лични данни, върху преносим носител в некриптиран (или в незащитен с парола) вид; 
  • да не изпращат по електронна поща към имейл адреси извън Дружеството информация, съдържаща съществени обеми от лични данни или каквито и да е специални категории лични данни или други лични данни, неправомерният достъп до които може да съставлява висок риск за правата и интересите на субектите на данни, за които се отнасят, в незащитени с парола файлове; 
  • да не публикуват лични данни за клиенти или служители на Дружеството в публични сайтове, и др., без наличие на адекватно правно основание за това; 
  • да оказват съдействие на длъжностното лице по защита на данните при изпълнение на неговите правомощия.
 
6.2. Отговорност на служителите
 
6.2.1. Всички действия, които водят или могат да доведат до нерегламентирано изтриване, унищожаване или изменение на постъпили лични данни при Администратора в електронен вид или на хартиен носител, както и нерегламентирано споделяне/ разкриване на лични данни, от страна на служители на Дружеството е забранено и може да доведе до реализирането на отговорността на съответния служител.
 
6.2.2. За неспазването на разпоредбите на Регламента и/или ЗЗЛД, и/или Политиката, и/или другите приложими вътрешни актове на Администратора, служителите на Администратора носят дисциплинарна отговорност.
 
6.2.3. Отделно от дисциплинарната отговорност може да бъде реализирана и административно-наказателната и/или наказателната отговорност спрямо съответния служител, ако стореното представлява деяние, за което се предвижда наказателна или административно-наказателна отговорност;
 
6.2.4. Отделно от дисциплинарната, административно-наказателната и наказателната отговорност, съответният служител носи и спрямо него може да бъде реализирана и гражданска отговорност, ако са налице предпоставките за това.
 
6.3. Администраторът:
  • осигурява подписването на декларация за поверителност и неразпространение на лични данни от всички служители, които обработват лични данни за него; 
  • поддържа информация за изпълнение на задълженията си за обучение на служителите, които обработват лични данни, и за обучение на персонала за събития, застрашаващи сигурността на личните данни.
 
7. Поддържане на регистър на дейностите по обработване на лични данни като администратор
 
Съгласно изискванията на чл. 30, пар. 1 от Регламента, Дружеството води Регистър за дейностите по обработване в качеството на администратор, който съдържа името и координатите за връзка на Администратора и на ДЛЗД. Регистърът включва детайлно описание на всички дейности по обработване на лични данни съгласно чл. 30, пар. 1 от Регламента, включително със следните характеристики:
  • наименование на дейността (бизнес процеса, функцията) по обработване на лични данни; 
  • целите и основанията за обработването на лични данни; 
  • категориите физически лица, за които се обработват лични данни (клиенти, служители, лица за контакти на юридически лица и др.); 
  • категориите лични данни, които се обработват в съответната дейност; 
  • обработване на специални категории данни (напр. информация за здравословно състояние, ако е приложимо); 
  • източниците на лични данни; 
  • трети страни, които получават или по друг начин участват в обработването на лични данни в съответната дейност; 
  • местоположение (съхранение) на личните данни; 
  • предвидените срокове за съхранение и изтриване на различните категории лични данни, когато е възможно; 
  • общо описание на техническите и организационни мерки за сигурност, когато е възможно.
 
8. Поддържане на регистри на дейностите по обработване на лични данни като обработващ
 
За определени дейности по обработване на лични данни Дружеството действа по възлагане, т.е. от името на други лица – администратори на лични данни, напр. застрахователни дружества (при туроператорската си дейност). В такива случаи на обработване Дружеството действа като обработващ личните данни. В изпълнение на изискванията на чл. 30, пар. 2 от Регламента, Дружеството води Регистър за дейностите по обработване на лични данни като обработващ, който съдържа името и координатите за връзка Дружеството и на администратора, от чието име обработва данните. Регистърът включва детайлно описание на всички дейности (бизнес процеси, функции) по обработване на лични данни съобразно изискванията на чл. 30, пар. 2 от Регламента най-малко със следните характеристики:
  • категориите обработване, извършвано от името на всеки администратор; 
  • трети страни, които получават или по друг начин участват в обработването на лични данни в съответната дейност; 
  • когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, респективно за подходящите гаранции (когато това се изисква); 
  • общо описание на техническите и организационни мерки за сигурност, когато е приложимо и възможно.
 
9. Длъжностно лице по защита на данните
 
Администраторът е определил длъжностно лице по защита на данните (наричано по-долу „ДЛЗД”), което участва по подходящ начин и своевременно във всички въпроси, свързани със защитата на личните данни. ДЛЗД има следните задължения и правомощия:
  • информира и консултира ръководството и служителите, които извършват дейности по обработване на лични данни, относно задълженията им съгласно Регламента и всички други приложими нормативни актове на ЕС и националното законодателство в областта на защитата на личните данни; 
  • следи и отговаря за повишаване на осведомеността и обучението на персонала, който участва в операции по обработване на личните данни; 
  • изготвя и предлага за одобрение вътрешни правила и политики за защита на личните данни или изменения в съществуващите правила и политики; 
  • следи за необходимостта от промяна в дейностите по обработване на лични данни и на свързаните с тях и/или регламентиращи ги документи; 
  • участва в дейности по извършване на оценка на риска и, при необходимост, на въздействието на обработването на личните данни; 
  • действа като единна точка за контакт за субектите на данни във връзка с упражняването на техните права съгласно Регламента; 
  • съхранява заявленията на субектите на данни във връзка с упражняването на правата им; 
  • съхранява информация за нарушенията на сигурността по защита на личните данни; 
  • води регистри по чл. 30 от Регламента на дейностите по обработване на лични данни; 
  • осъществява цялостно наблюдение, извършва регулярна оценка, консултира и дава препоръки и предложения с оглед гарантиране на подходящо ниво на сигурност на личните данни. 
Отговорностите на ДЛЗД са подробно разписани в длъжностната му характеристика (когато то е служител на Дружеството) или в съответния договор за услуги (когато не е служител на Дружеството).
 
10. Права на субектите на данни
 
Администраторът предприема необходимите мерки за предоставяне на информация на субектите на данни относно обработването на лични данни в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език. Администраторът съдейства за упражняването на правата на субекта на данните по членове 15-22 от Регламента. 
В случаите, в които исканията на субект на данни са очевидно неоснователни или прекомерни (по-специално поради своята повторяемост), Администраторът може да откаже да предприеме действия. 
Администраторът осигурява по-специално упражняването на следните права на субектите на данни:
  • право на информация, при събиране на личните данни от субекта на данни или от трети страни; 
  • право на достъп до данните на субекта на данни и по-конкретно: (i). потвърждение дали лични данни на този субект на данни се обработват от Дружеството; (ii). предоставяне на достъп до данните чрез копие от данните, които са в процес на обработване, както и информация относно целите на обработването; категориите лични данни; получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни; сроковете за съхранение на личните данни; съществуването на право на коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, или на възражение срещу обработването; правото на жалба до Надзорен орган (който в Република България е КЗЛД); източниците на лични данни; съществуването на автоматизирано вземане на решения, включително профилиране; 
  • право на коригиране - да изисква коригирането или попълването на личните му данни, ако същите са неточни или непълни; 
  • право на изтриване на личните данни, когато са налице предвидените в регламента основания; 
  • право на ограничаване на обработването; 
  • право на преносимост на данните; 
  • право на възражение; 
  • право на субекта на данни да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последици или по друг начин го засяга в съществена степен; 
  • даване, промяна или оттегляне на съгласие за обработване на лични данни, когато основание за обработването е съгласието на субекта на данни. 
Субектите на данни могат да упражняват своите права чрез подаване на писмено заявление до Администратора, по един от следните начини:
  • лично, от законен представител или чрез упълномощен с нотариално заверено пълномощно представител на субекта на данни, в офиса на Дружеството, находящ се на адрес София, бул. "Кн. Мария Луиза" 102, автогара "Сердика" - ет.2, след идентифицирането на субекта на данни или на съответния представител от служител на Администратора; 
  • по електронна поща до ДЛЗД чрез квалифициран електронен подпис, съгласно Закона за електронния документ и електронните удостоверителни услуги (наричан по-долу „КЕП”); 
  • по пощата с изпращането на нотариално заверено заявление с цел осигуряване идентификация на заявителя. 
Всички заявления, подадени в горепосочения офис на Дружеството или по пощата, се изпращат на ДЛЗД, което ги разглежда без необосновано забавяне. В срок от един месец от подаване на заявлението, ДЛЗД уведомява субекта на данни за действията, предприети по заявлението, респективно за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Ако бъдат предприети действия във връзка със заявлението, срокът за уведомяване на субекта на данни за тези действия може да се удължи до общо три месеца, като се вземе предвид сложността и броят на заявленията. В този случай ДЛЗД уведомява субекта на данни за удължаването на срока в рамките на първоначалния едномесечен срок.
Информацията (която може да варира в зависимост от това кое право на субекта на данни е упражнено със заявлението) се предоставя на хартиен носител лично на субекта на данни или на негов законен или упълномощен с изрично нотариално заверено пълномощно представител. Ако заявлението е подадено по електронна поща, информацията се предоставя също посредством електронна поща на и-мейл адреса, от който изхожда подаденото заявление. В този случай информацията се изпраща в защитени с парола файлове.
 
11. Съгласие на субекта на данни като основание за обработване на лични данни.
 
11.1. Основание
На основание чл. 6, пар. 1, б. „а“ от Регламента съгласието от лицето е едно от правните основания за законосъобразност на обработването на лични данни. Съгласие следва да се дава лично чрез писмена декларация, в електронна форма или друг определен от Администратора начин, с който да се гарантира, че съгласието е:
  • свободно дадено; и
  • конкретно; и
  • информирано; и
  • недвусмислено,
 
11.2. Субекти на данни
Дружеството може да събира съгласия за всички категории субекти на данни, за които се извършва обработване на лични данни, включително клиенти и служители. 
Съгласията от субектите на данни следва да се събират само в писмена форма, чрез декларации за съгласие, след като е извършена идентификация на лицето, за да се докаже при необходимост наличието на съгласие за съответната дейност по обработване. Съгласието е отделно основание за обработване на лични данни и конкретните цели на обработване са посочени в него.
 
11.3. Оттегляне
Дружеството осигурява възможност на субектите на данни по лесен начин да променят или оттеглят съгласието си, без това да поражда неблагоприятни правни последици за тях, когато обективно е налице възможност за това. Промени или оттегляне на съгласие се осъществяват от субектите на данни по реда за събиране на съгласия. В случай на частично или пълно оттегляне на съгласие, когато обработването на лични данни се извършва на това основание, Дружеството може да се окаже в невъзможност да предостави заявената от Клиента услуга.
 
11.4. Събиране на съгласия от клиенти
Съгласията на бивши, настоящи клиенти и техни представители се събират по един от следните начини:
  • лично, във всеки офис или представителство на Дружеството; 
  • чрез лицензиран пощенски оператор с нотариална заверка на изявлението за съгласие; или 
  • подписано с КЕП изявление за съгласие, изпратено по електронна поща до ДЛЗД.
 
11.5. Събиране на съгласия от служители
Съгласията на бивши, настоящи служители и кандидати за работа се събират по един от следните начини:
  • лично, в звеното за управление на човешките ресурси; 
  • по електронната служебна поща - за настоящи служители; 
  • подписано с КЕП изявление за съгласие, изпратено по електронна поща до ДЛЗД – за бивши служители и кандидати за работа; или 
  • чрез лицензиран пощенски оператор с нотариална заверка на изявлението за съгласие.
 
11.6. Даване и оттегляне на съгласия онлайн
При наличие на случаи, в които получаването на съгласие за обработване на лични данни от Дружеството се изисква с оглед предоставяни от Дружеството услуги, които се заявяват или ползват онлайн, това съгласие се получава (съответно, оттегля) също онлайн, при спазване на отделни правила за това.
 
11.7. Съхранение
Всички съгласия за обработване на лични данни се регистрират и съхраняват от Администратора.
 
12. Обработване на лични данни от Администратора посредством обработващ лични данни
 
За извършването на своята дейност Дружеството може да използва трети страни (подизпълнители, търговски представители, доставчици на услуги и др.), действащи от негово име при обработването на лични данни и явяващи се обработващи лични данни по смисъла на чл. 4, т. 8 от Регламента. Такива обработващи могат да бъдат:
  • търговски дружества;
  • физически лица, наети на граждански договори. 
При възлагане обработването на лични данни на обработващ лични данни Администраторът спазва следните изисквания:
  • избират се обработващи, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки за защита на личните данни; 
  • условията за защита на личните данни се уреждат в отделно писмено споразумение или в основния писмен договор между Администратора и обработващия; 
Договорите (респективно споразуменията), които Администраторът сключва с обработващите лични данни, определят и уреждат най-малко:
  • предмета и срока на действие на обработването; 
  • целите и естеството на обработването; 
  • категориите субекти на данни, по отношение данните на които се осъществява обработването; 
  • вида на личните данни, които обработващият ще обработва от името на Администратора; 
  • правата и задълженията на Администратора и обработващия; 
  • изискванията към техническите и организационните мерки за защита на личните данни, които обработващият следва да прилага, съобразно спецификите и обхвата на конкретното възлагане. Независимо от конкретните уговорки в такива договори, не се допуска отклонение от и съответно прилагане на по-ниско ниво на защита на личните данни от това, предвидено в тази Политика; 
  • задължение за обработващия за съдействие на Администратора за изпълнение на задълженията му съгласно чл. 31-36 от Регламента; 
  • задължение за обработващия да уведоми Администратора без ненужно забавяне след узнаването за наличие на нарушаване сигурността на лични данни;  
  • изисквания към обработващия и други задължителни условия, съгласно чл. 28, т. 3 от Регламента.
 
13. Правила за реагиране в случай на нарушаване сигурността на личните данни
 
13.1. Основание
Правилата за реагиране в случай на нарушаване сигурността на личните данни се основават на изискванията в чл. 33 и чл. 34 от Регламента.
 
13.2. Откриване на нарушение на сигурността от служител
При наличие на случай на нарушение на сигурността, открито от служител на Администратора, съответният служител съобщава незабавно за това на ДЛЗД в писмена форма (а при възможност – и в устна – лично или по телефона), като предоставя и всички подробности (доколкото има информация за това) за естеството на нарушението, за предполагаемото време на настъпване/извършване на нарушението и др.
 
13.3. Сигнали за нарушение на сигурността от трети лица
Сигнали за наличие на случай на нарушение на сигурността от трети лица се приемат от Администратора по един от следните начини:
  • лично в офиса на Дружеството, находящ се на София бул. "Кн. Мария Луиза" 102, автогара "Сердика" ет.2, след идентифицирането на лицето от служител на Администратора; 
  • по електронна поща до ДЛЗД чрез квалифициран електронен подпис, съгласно Закона за електронния документ и електронните удостоверителни услуги; 
  • по пощата с изпращането на нотариално заверен сигнал.
 
13.4. Проучване на нарушението на сигурността и мерки
Без необосновано забавяне ДЛЗД сформира комисия за проучване на случая, състояща се от служители на Администратора с подходяща квалификация, в зависимост от конкретния случай. Комисията следва да проучи фактическата обстановка, да извърши анализ и оценка на тежестта на нарушението, с оглед риска за правата и свободите на физическите лица, броя засегнати субекти на данни и др., и да предложи по целесъобразност подходящи мерки за отстраняване, а където това е невъзможно – за минимизиране на идентифицираните рискове и евентуалните неблагоприятни последици.  
 
13.5. Уведомяване на КЗЛД
При наличие на случай на нарушение на сигурността Администраторът, чрез ДЛЗД, информира за това КЗЛД в срок до 72 часа от установяването, освен ако в конкретния случай не е налице каквато и да било вероятност нарушението на сигурността да породи риск за правата и свободите на физическите лица.
 
13.6. Уведомяване на субектите на данни
Когато нарушението на сигурността може да доведе до висок риск за правата и свободите на физическите лица, Администраторът съобщава за нарушението на сигурността на личните данни на засегнатите субекти на данни без необосновано забавяне. В съобщението до субекта на данните на ясен и прост език се описва естеството на нарушението на сигурността на личните данни и се посочват най-малко: името и координатите за връзка на ДЛЗД; описание на евентуалните последици от нарушението на сигурността на личните данни; описание на предприетите или предложените от Администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.
 
Администраторът има право да не съобщава на засегнатите субекти на данни за нарушението, ако:
(i). е предприел предварително подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни (например криптиране); и/или
(ii). е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни; и/или
(iii). такова съобщаване би довело до непропорционални усилия. В този случай Администраторът прави публично съобщение на своя уебсайт и/или чрез разгласяване по подходящ начин чрез средствата за масова информация за наличието на нарушение на сигурността, което може да доведе до висок риск за правата и свободите на физическите лица.
 
13.7. Съхранение
Всички сигнали за нарушения по сигурността на личните данни се регистрират и съхраняват от Администратора.
 
13.8. Обучения
Служителите, ангажирани в обработката на лични данни, преминават периодично обучения за реакция при нарушения на сигурността на личните данни.
 
14. Технически и организационни мерки за защита на личните данни
 
14.1. Технически и организационни мерки на Дружеството като администратор
 
В дейността на Дружеството са предвидени необходимите технически и организационни мерки за защита на личните данни от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.
 
Видовете защита биват физическа, персонална, документална, защита на автоматизирани информационни системи и/или мрежи, криптографска защита.
Мерките са съобразени със съвременните технологични постижения и осигуряват ниво на защита, което съответства на рисковете, свързани с дейностите по обработка и категорията на защитените данни.
Конкретните технически и организационни мерки, които Дружеството прилага, са изброени подробно в Приложение 1 към настоящата Политика, както същото може да бъде предмет на периодични актуализации.
 
14.2. Технически и организационни мерки на Дружеството като обработващ
В случай че Дружеството обработва лични данни като обработващ за други администратори, конкретните технически и организационни мерки, прилагани от Дружеството в качеството му на обработващ, се определят в индивидуални споразумения със съответния администратор, а ако липсва такова определяне, Дружеството ще се придържа към техническите и организационни мерки, които прилага като Администратор.
 
15. Предаване на лични данни извън Европейското икономическо пространство (ЕИП)
 
Администраторът може да осъществява международно предаване на данни, произхождащи от Европейското икономическо пространство (ЕИП), когато Европейската комисия е признала дадена държава извън ЕИП като осигуряваща адекватно ниво на защита на данните.
За предавания към страни извън ЕИП, чието ниво на защита не е признато от Европейската комисия, Администраторът ще се позовава или на определена дерогация, приложима към конкретната ситуация, съгласно Регламента (напр. ако предаването е необходимо за изпълнение на договора на Дружеството със субекта на данни), или ще прилага някоя от гаранциите, предвидени от приложимото законодателство.
В останалите случаи, за предаване на лични данни извън ЕИП, това се осъществява въз основа на изрично съгласие на субекта на данни за предлаганото предаване на данни. В тези случаи, необходимостта от такова предаване, държавата, към която ще се извършва предаването, както и липсата на решение на Европейската комисия за адекватно ниво на защита за тази държава, и на подходящи гаранции при предлаганото предаване, ще бъдат свеждани до знанието на субекта на данни и ще бъде поискано неговото съгласие.
Екскурзии и почивки