ВЪТРЕШНИ ПРАВИЛА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

Чл. 1. (1) Настоящите правила („Правилата“) определят реда, по който „ПАГА 1995” ЕООД, ЕИК: 206399791(„Дружеството“) събира, записва, организира, структурира, съхранява, адаптира или променя, извлича, консултира, използва, разкрива чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подрежда или комбинира, ограничава, изтрива, унищожава или обработва по друг начин лични данни за целите на своята дейност.

(2) В зависимост от конкретната ситуация, Дружеството може да обработва данни в качеството на администратор или обработващ.

(3) Правилата са изготвени в съответствие с изискванията на Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).

Чл. 2. Настоящите Правила уреждат: 

(1) Принципите, процедурите и механизмите за обработка на личните данни;

(2) Процедурите за уведомяване на надзорния орган в случай на нарушения в сигурността;

(3) Процедурите за администриране на искания за достъп до данни, коригиране на обработваните данни, възражения и оттегляне на съгласия, както и администриране на искания за упражняване на други права, които субектите на лични данни имат по закон;

(4) Лицата, които обработват лични данни, и техните задължения;

(5) Правилата за предаване на лични данни на трети лица в България и чужбина;

(6) Необходимите технически и организационни мерки за защита на личните данни от неправомерно обработване и в случай на инциденти, като случайно или незаконно унищожаване, загуба, неправомерен достъп, изменение или разпространение; 

(7) Техническите ресурси, прилагани при обработката на лични данни.

ДЕФИНИЦИИ

Чл. 3. За целите на настоящите Правила, използваните понятия имат следното значение:

ЗЗЛД – Закон за защита на личните данни.

КЗЛД – Комисия за защита на личните данни.

ОРЗД – Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).

Лице, отговорно за личните данни – лице, което е служител в дружеството или изпълнява функции по поръчение, на което са възложени задълженията във връзка със защитата и процесите по обработка на лични данни, уредени в тези Правила. 

Администратор на лични данни – физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни. В настоящите Правила „администратор“ обозначава Дружеството.

Обработващ лични данни – лице или организация, което въз основа на договор обработва лични данни, предоставени от Дружеството, за уговорените цели. 

Известия по защита на данните – отделни известия, съдържащи информация, предоставяна на субектите на данни в момента, в който Дружеството събира информация за тях. Тези известия могат да бъдат както общи (напр. адресирани към работници и служители или известия на уебсайта на организацията), така и отнасящи се до обработване със специфична цел.

Обработване на данни – всяка дейност, която е свързана с използването на лични данни. Това включва: получаване, записване, съхранение, извършване на операция или серия от операции с данните като напр. организиране, редактиране, възстановяване, използване, предоставяне, изтриване или унищожаване. Обработването също включва и трансфер на лични данни до трети лица.

Псевдонимизиране – заместването на информация, която директно или индиректно идентифицира физическо лице, с един или повече идентификатори („псевдоними”), така че лицето да не може да бъде идентифицирано без достъп до допълнителната информация, която следва да се съхранява отделно и да е поверителна.

Съгласие – всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данни, посредством изявление или ясно потвърждаващо действие, което изразява съгласие за обработка на лични данни, свързани с него.

СУБЕКТИ НА ДАННИ И КАТЕГОРИИ ЛИЧНИ ДАННИ

Чл. 4. (1) Дружеството събира и обработва лични данни, необходими за осъществяване на своите права и задължения като работодател, доставчик на услуги и контрагент при съблюдаване изискванията на приложимото законодателство.  Личните данни, обработвани от Дружеството, са групирани в регистри на дейностите по обработване, съдържащи правила за обработване на лични данни, отнасящи се до:

• работници и служители и изпълнители по граждански договори;

• кандидати за работа;

• клиенти;

• доставчици на услуги.

(2) Относно лицата, заети по трудови или граждански правоотношения в дружеството, и на кандидатите за работа, се събират следните лични данни:

a) Идентификация: име; ЕГН (дата на раждане), постоянен и/или настоящ адрес, телефон, данни по лична карта или паспортни данни; 

б) Образование и професионална квалификация; данни, свързани с образование, трудов опит, професионална и лична квалификация и умения;

в) Здравни данни: здравословно състояние, ТЕЛК решения, медицински свидетелства, болнични листове и всяка прилежаща към тях документация;

г) Други данни: свидетелство за съдимост, когато се изисква представянето му съгласно нормативен акт, както и други данни, чието обработване е необходимо за изпълнение на правата и задълженията на Дружеството като работодател.

(3) Относно физически лица, клиенти на дружеството, се събират лични данни, които са необходими за изпълнението на законовите задължения на дружеството като доставчик на услуги, както следва: 

• име; ЕГН (дата на раждане), постоянен и/или настоящ адрес, телефон, данни по лична карта или паспортни данни, данни за имуществено състояние.

(4) Относно физически лица, доставчици на услуги на дружеството, се съхраняват лични данни, необходими за сключването и изпълнението на договори за предоставяне на услуги на дружеството от външни доставчици, както следва:

• име, ЕГН (дата на раждане), постоянен и/или настоящ адрес, телефон, данни по лична карта или паспортни данни; електронна поща.

(5) Дружеството обработва чувствителни данни, само доколкото това е необходимо за изпълнение на специфичните му права и задължения в областта на трудовото и осигурително законодателство.

ЦЕЛИ И ПРИНЦИПИ НА ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ

Чл. 5. Целите на обработването на лични данни са:

(1) управление на човешките ресурси, изплащане на трудовите възнаграждения и изпълнение на свързаните с това задължения на работодателя за удържане и плащане на здравни и социални осигуровки на служителите, на данъци, както и на други права и задължения на Дружеството в качеството му на работодател; 

(2) администриране на отношенията с клиенти на дружеството и предоставяне на услуги;

(3) сключване и изпълнение на договори с доставчици за предоставяне на услуги на Дружеството.

Чл. 6. Личните данни се обработват законосъобразно, добросъвестно и прозрачно при спазване на следните принципи: 

(1) Субектът на данните се информира предварително за обработването на неговите лични данни;

(2) Личните данни се събират за конкретни, точно определени и законни цели и не се обработват допълнително по начин, несъвместим с тези цели;

(3) Личните данни съответстват на целите, за които се събират;

(4) Личните данни трябва да са точни и при необходимост да се актуализират;

(5) Личните данни се заличават или коригират, когато се установи, че са неточни или не съответстват на целите, за които се обработват;

(6) Личните данни се поддържат във вид, който позволява идентифициране на съответните физически лица за период, не по-дълъг от необходимия, за целите, за които тези данни се обработват.

Чл. 7. За да е законосъобразно обработването на данните, трябва да е налице поне едно от следните условия:

(1) Субектът на данните е дал своето съгласие; 

(2) Обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор; 

(3) Обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

(4) Обработването е необходимо, за да се защитят жизненоважни интереси на субекта на данните или на друго физическо лице;

(5) Обработването е необходимо за изпълнение на задача от обществен интерес;

(6) Обработването е необходимо за целите на легитимните интереси на администратора, освен когато пред тези интереси преимущество имат интересите или основните права и свободи на субекта на данни. Целите, за които се обработват лични данни на това основание, трябва да са описани в приложимите известия по защита на данните. 

СЪГЛАСИЕ

Чл. 8. (1) Субектът на данни е съгласен с обработването, ако изрази това ясно и недвусмислено – чрез изявление или друг потвърждаващ акт. Ако съгласието за обработка на лични данни се дава чрез документ, който урежда и други въпроси, то следва да бъде изискано отделно от съгласието по други въпроси. 

(2) Субектите на данни трябва да могат лесно да оттеглят съгласието си за обработване по всяко време, и оттеглянето трябва да бъде уважено своевременно. Ако не съществува друго условие за законосъобразност на обработването, с оттеглянето на съгласието то следва да се прекрати.

(3) Декларациите за съгласие се съхраняват от дружеството, докато се извършват действия по обработване на данни на това основание, с оглед спазването на принципа на отчетност.

ПРОЦЕДУРИ ПО ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ

Процедура за обработване на личните данни, отнасящи се до лицата, заети по трудови или граждански правоотношения в дружеството, както и на кандидатите за работа

Чл. 9. (1) Личните данни, отнасящи се до лицата, заети по трудови или граждански правоотношения в Дружеството, както и на кандидатите за работа, се събират при и по повод набирането на персонал. Данните на всеки работник и служител на Дружеството се съхраняват в лични досиета, като някои данни могат да се съхраняват или обработват и на технически носител. Данните от проведени конкурси и интервюта се съхраняват на технически и/или хартиен носител, в зависимост от нуждата. 

(2) Личните досиета се подреждат в специални картотечни шкафове със заключване, находящи се в кабинета на Лицето, отговорно за личните данни. Данните на кандидатите за работа, които се съхраняват на хартиен носител, се съхраняват в нарочни шкафове в кабинета на Лицето, отговорно за личните данни. Достъпът до кабинета се предоставя само на лицата, оправомощени да обработват личните данни, като за целта се създава специален ред за влизане в помещението чрез ключ, магнитна карта или друго подходящо средство и/или устройство.

(3) Лицата, оправомощени да обработват лични данни, предприемат всички организационно-технически мерки за съхраняването и опазването на личните досиета и класьорите с информация, в това число ограничаване на достъпа до тях на външни лица и неоторизирани служители.

(4) Досиета на работниците и служителите, както и данните на кандидатите за работа, не се изнасят извън сградата на дружеството.

Процедура за обработване на лични данни, отнасящи се до клиенти и доставчици на услуги

Чл. 10. (1) Личните данни, отнасящи се до клиенти, се събират при подаване на заявка за предоставяне на услуга или сключване на договор с клиент на Дружеството. 

(2) Личните данни, отнасящи се до доставчици на услуги, се събират при сключване на договор с доставчик на услуги, като обичайно личните данни се съдържат в текста на самите договори. 

(3) Личните данни се съхраняват на електронен и хартиен носител (подписани копия на сключените договори), които се класират в отделни досиета. При възможност досиетата се съхраняват в шкафове, които се заключват, в кабинета на Лицето, отговорно за личните данни. Електронните данни се съхраняват в бази данни. 

ДОКУМЕНТИРАНЕ НА ОБРАБОТКАТА НА ЛИЧНИ ДАННИ

Чл. 11. (1) Дружеството документира дейностите по обработване на лични данни при спазване на принципа на отчетност. 

(2) Документацията трябва да е достатъчна, за да докаже спазването на принципите за законосъобразно обработване на личните данни.

(3) Обработването на данни, свързано с предаване на данни на обработващи, установени в страната или чужбина; съхранение на данни на сървъри, собственост на трети лица; архивиране или изтриване на данни; въвеждане на псевдонимизация, както и всяка друга обработка, чиито параметри са различни от описаните в тези правила, се документира чрез създаване на протоколи, които съдържат следната информация: 

(а) целите на обработването;

(б) категориите лични данни и категориите субекти на данни; 

(в) категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави;

(г) предаването на лични данни на трета държава; 

(д) когато е възможно, предвидените срокове за изтриване на различните категории данни;

(е) общо описание на техническите и организационни мерки за сигурност.

(4) Протоколите се изготвят от лицата, които извършват съответната обработка на данни по указания от Лицето, отговорно за личните данни.

(5) Съвкупността от всички протоколи, съдържащи гореописаната информация, съставлява регистъра на дейностите по обработването, съгласно чл. 30 от ОРЗД.

Продукти в кошницата
Close Любими
Close Последно разглеждани
Категория