ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
НА „ЕС ЕФ ЕЙ АУТОМОТИВ” ЕООД
Информация за нас
„Ес Еф Ей Аутомотив“ ЕООД (SFA Automotive и/или Администратора), е дружество, регистрирано в Търговския регистър на Агенцията по вписванията с ЕИК 207450735, със седалище и адрес на управление:
гр. София, бул. „Ботевградско шосе“ № 459;
e-mail: dpo@sfa.bg
телефон за връзка: 02/8921100
Информация за контакти в SFA Automotive, относно опазване на личните данни на нашите клиенти
„Ес Еф Ей Аутомотив“ ЕООД
бул. „Ботевградско шосе“ № 459, гр. София
ел. поща: dpo@sfa.bg
Нашият основен стремеж при работа с лични данни
м„Ес Еф Ей Аутомотив“ ЕООД е отговорен администратор на лични данни и сигурността на данните, които сте ни поверили е много важна за нас. Ето защо, ние полагаме всички усилия да защитим Вашите данни като прилагаме всички подходящи технически и организационни средства, с които разполагаме, за да не допускаме неразрешено или незаконосъобразно обработване, случайна загуба, унищожаване или повреждане или преждевременно заличаване на информация.
„Ес Еф Ей Аутомотив“ ЕООД събира и обработва лични данни само при спазване на изискванията на Закона за защита на личните данни, Регламент /ЕС/ 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни, Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни. Винаги обработването на Вашите данни е свързано с определена причина и не може да се извършва без ограничение. Настоящата „Политика за защита на личните данни“ има за цел да Ви разясни как и защо обработваме личните Ви данни.
Как и защо използваме личните Ви данни
За изпълнение на договор или в контекста на преддоговорни отношения „Ес Еф Ей Аутомотив“ ЕООД обработва идентификационните Ви данни и други лични данни, за да предоставяме продуктите и услугите, които сте заявили и които ползвате във връзка със сключени помежду ни договори. Също така, обработваме личните Ви данни, за да изпълняваме договорните и преддоговорни задължения и да се ползваме от правата по договорите, сключени с Вас.
Обработката се извършва с цел:
• установяване на самоличността Ви като клиент;
• управление и изпълнение на сключените договори за продукти и услуги;
• изготвяна на предложение за сключване на договор;
• изготвяне и предоставяне на преддоговорна информация;
• изготвяне и изпращане на фактура за продуктите и/или услугите, които използвате при нас;
• за да осигурим необходимото Ви цялостно обслужване, както и да събираме дължимите суми за ползваните продукти и услуги;
• изпращане на куриерски услуги с уведомителни писма, обслужване на отказ от сделка, жалби и др. ;
• уведомление за всичко, свързано с продуктите и услугите, които ползвате при нас, изпращане на различни известия, уведомление за проблеми, грешки или за да отговорим на подадени от Вас молби, жалби, предложения;
• установяване и/или предотвратяване на незаконосъобразни действия или действия в противоречия с нашите условия за съответните услуги;
• извършване на обработка от обработващ данните при сключване на договор,
• осъществяване на гаранционно и сервизно обслужване;
За изпълнение на нормативни задължения
Ние обработваме личните Ви данни, за да спазим задължения,
които са предвидени в нормативен акт, така например:
• предоставяне на информация на Комисията за защита на личните данни във връзка със задължения, предвидени в нормативната уредба за защита на личните данни – Закон за защита на личните данни, Регламент (ЕС) 2016/679 от 27 април 2016 година и др.;
• предоставяне на информация на Комисията за защита на потребителите или трети лица, предвидени в Закона за защита на потребителите;
• задължения, предвидени в Закона за счетоводството и Данъчно-осигурителния процесуален кодекс и други свързани нормативни актове, във връзка с воденето на правилно и законосъобразно счетоводство;
• предоставяне на информация на държавните органи, предвидени в Закона за мерките срещу изпирането на пари;
• предоставяне на информация пред органите на МВР, касаеща задължението ни, предвидено в Закона за движение по пътищата;
След Ваше съгласие
В някои случаи ние обработваме личните Ви данни, само след предварителното Ви писмено съгласие. Съгласието е отделно основание за обработване на личните Ви данни и целта на обработката е посочена в него и не се покрива с целите, изброени в тази политика. Ако ни дадете съответното съгласие и до неговото оттегляне или прекратяване на всякакви договорни отношения с Вас:
• изготвяме подходящи за вас предложения за продукти/услуги на SFA Automotive;
• уведомяваме Ви за актуални рекламни кампании, новини и оферти, информация за сервизни услуги, както и Ви изпращаме маркетингови съобщения за директен маркетинг.
Уведомление за оттегляне на съгласие може да намерите тук.
Какви данни обработваме
данни за идентификация :
• трите имена, единен граждански номер или личен номер на чужденец, постоянен адрес;
данни за свързване с Вас:
• ел. поща, телефон
други данни:
• информация за вида и съдържанието на договорното отношение, както и всяка друга информация, свързана с договорното правоотношение, включително:
• електронна поща, писма, информация за заявките Ви за отстраняване на проблеми, жалби, молби, оплаквания;
• видео записи, които се правят с цел осигуряване и подобряване на сигурността в офисите на дружество, осигуряване сигурността на служителите, Вашата сигурност и осигуряване сигурността на имуществото на „Ес Еф Ей Аутомотив“ ЕООД
• информация за номер на банкова сметка или друга банкова и
платежна информация във връзка с плащанията направени към „Ес Еф Ей Аутомотив“ ЕООД
• друга информация като:
• данни, предоставяни през интернет страницата на дружеството;
• информация за използваното крайно електронно съобщително устройство, вида на устройството, използваната операционна система, IP адрес при посещение на интернет страницата ни;
Когато обработваме основните Ви лични данни и описаните други данни за целите на предоставяне на продукти и услуги, за тяхното заплащане, за изпълнение на Ваши заявки за услуги, както и с цел да изпълним наши нормативни задължения, тази обработка е задължителна за изпълнение на тези цели. Без тези данни не бихме могли да предоставяме съответните услуги. Ако не ни предоставите данни за идентификация, не бихме могли да сключим с Вас договор за продукт или услуга.
Как защитаваме Вашите лични данни
За осигуряване на адекватна защита на данните на компанията и своите клиенти, ние прилагаме необходимите организационни и технически мерки, предвидени в Закона за защита на личните данни и Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни. Компанията е установила структури по предотвратяване на злоупотреби и пробиви в сигурността, определила е Длъжностно лице за защита на данните, което подпомага процесите по опазване и обезпечаване сигурността на Вашите данни.
С цел максимална сигурност при обработка, пренос и съхранение на Вашите данни, може да използваме допълнителни механизми за защита като криптиране, псевдонимизация и др.
Кога изтриваме Вашите лични данни
По правило, прекратяваме използването на Вашите лични данни за целите, свързани с договорното правоотношение, след прекратяване на договора, но не ги изтриваме преди изтичане на една година от прекратяване на договора или до окончателно уреждане на всички финансови задължения и изтичане на нормативно определените задължения за съхраняване на данните, като задължения по Закона за счетоводството за съхранение и обработка на счетоводни данни (11 години), изтичане на определените в Закона за задълженията и договорите давностни срокове за предявяване на претенции (10 години), задължения за предоставяне на информация на съда, компетентни държавни органи и др. основания, предвидени в действащото законодателство (10 години). Моля да имате предвид, че няма да изтрием или анонимизираме Ваши лични данни, ако те са необходими за висящо съдебно, административно производство или производство по разглеждане на Ваша жалба пред нас.
Вашите данни могат да бъдат и анонимизирани. Анонимизирането представлява алтернатива на изтриването на данните. При анонимизация, всички лични разпознаваеми елементи /елементи, позволяващи идентифицирането Ви, се заличават необратимо. За анонимизирани данни няма нормативно задължени за изтриване, тъй като не представляват лични данни.
Кога и защо споделяме лични данни с трети лица
Ние предоставяме Ваши лични данни на трети лица, като основната ни цел е да Ви предложим качествено, бързо и комплексно обслужване, като се грижим продуктите и услугите, които Ви предлагаме, да покриват Вашите очаквания. Не предоставяме Ваши лични данни на трети лица преди да сме се уверили, че са взети всички технически и организационни мерки за защита на тези данни, като се стремим да осъществяваме строг контрол за изпълнение на тази цел. В този случай ние оставаме отговорни за конфиденциалността и сигурността на Вашите данни.
Лични данни предоставяме на следните категории получатели:
• лица, които по възлагане поддържат оборудване, софтуер и хардуер, използвани за обработка на лични данни и необходим за изграждане на мрежата на дружеството и за извършване на различни услуги по отчитане, разплащане на услуги и продукти, техническа поддръжка и др.;
• пощенски оператори и куриерски дружества, с оглед изпращане на пратки, съдържащи договори, допълнителни споразумения и други документи и необходимостта от удостоверяване на самоличността при връчването им;
• служители на дружеството за обработване на договорните отношения;
• банки и банкови институции, във връзка с обработването на плащанията;
• лица, предоставящи сервизна поддръжка на закупените от Вас МПС-та;
• частни съдебни изпълнители за обслужване и събиране на вземания;
• нотариуси за връчване на писма и/или покани или други съобщения;
• вносителите и производителите на марката на продукта, във връзка с който сте сключили договор с „Ес Еф Ей Аутомотив“ ЕООД.
„Ес Еф Ей Аутомотив“ ЕООД не предоставя данните Ви на трети лица, намиращи се в страни извън ЕС
Вашите права, във връзка с обработване на личните Ви данни
Право на информация:
Вие имате право да поискате:
• информация за това дали отнасящи се до Вас данни се обработват, информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват;
• съобщение в разбираема форма, съдържащо личните Ви данни, които се обработват, както и всяка налична информация за техния източник.
Право на корекция:
В случай, че обработваме непълни или грешни данни, Вие имате право, по всяко време, да поискате:
• да заличим, коригираме или блокираме Ваши лични данни, обработването на които не отговаря на изискванията на закона;
• да уведомим третите лица, на които са били разкрити личните му данни, за всяко заличаване, коригиране или блокиране, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия.
Право на изтриване /право „да бъда забравен“/
• Имате право да поискате да изтрием Вашите лични данни, а ние имаме задължението да изтрием данните Ви, без ненужно забавяне, когато са налице някое от посочените по – долу основания:
- личните Ви данни вече не са необходими за целите, за които са били събрани или обработвани по друг начин;
- оттеглили сте съгласието си, въз основа на което се основава обработването на данните Ви;
- възразили сте срещу обработването на данните Ви и нямаме законови основания за обработването им, които да имат преимущество или сте възразили срещу обработването на данните Ви за директен маркетинг;
- личните Ви данни са били обработвани незаконосъобразно; Право на ограничаване на обработването:
Можете да поискате ограничаване на обработващите се лични данни ако:
• повече нямаме нужда от тези данни за целите на обработване, но Вие имате нужда от тях за установяването, упражняването или защитата на правни претенции; или
• сте подали възражение за обработването на данните, в очакване на проверка дали основанията на администратора са законни.
Право на преносимост на данни:
Можете да поискате от нас да предоставим личните данни, които сте поверили на нашата грижа в организиран, подреден, структуриран, общоприет електронен формат ако:
• обработваме данните съгласно договора и базирано на декларацията за съгласие, която може да бъде оттеглена или на договорно задължение и
• обработването се извършва автоматично.
Право на възражение:
По всяко време имате право да:
• възразите срещу обработването на личните Ви данни при наличие на законово основание за това; когато възражението е основателно, личните данни на съответното физическо лице не могат повече да бъдат обработвани;
• възразите срещу обработването на личните Ви данни за целите на директния маркетинг.
Право на жалба:
В случай че смятате, че нарушаваме приложимата нормативна уредба, Ви молим да се свържете с нас за изясняване на въпроса. Разбира се, имате право да подадете жалба пред Комисията за защита на личните данни. След 25 май 2018 г. ще можете да подадете жалба и пред регулаторен орган, в рамките на ЕС. Искане за достъп до информация или за корекция се подават лично или от изрично упълномощено от Вас лице, чрез нотариално заверено пълномощно. Искането може да бъде отправено и по електронен път, по реда на Закона за електронния документ и електронния подпис.
За Ваше улеснение образец на искането можете да намерите тук.
Ние ще се произнесем по Вашето искане в 30-дневен срок от неговото подаване. С решението си ние даваме или отказваме достъп до исканата от заявителя информация, но винаги мотивираме отговора си.
Актуалност и промени на политиката
С цел да прилагаме най-актуалните мерки за защита и с цел спазване на действащото законодателство, ние ще актуализираме редовно настоящата Политика за защита на личните данни. Ако промените, които направим, са съществени, можем да публикуваме съобщение за направените промени в нашия интернет сайт. Приканваме Ви редовно да преглеждате текущия вариант на тази Политика за защита на личните данни, да бъдете постоянно информирани за това, как ние се грижим за защитата на личните данни, които събираме.
Тази Политика за защита на личните данни е актуализирана за последен път на 04.04.2024г. НАМЕРЕТЕ ЦЕНТЪР ЦЕНОВИ ЛИСТИ ПИШЕТЕ НИ АБОНИРАЙТЕ СЕ ЗА НОВИНИ
5. За постигане на по-горе изброените цели, Дружеството обработва не по-малко от следните категории и конкретни видове данни, при описаните по-долу условия:
5.1.1. ОБИЧАЙНИ ДАННИ:
i) имена;
ii) адрес – постоянен, настоящ, за кореспонденция за нуждите на конкретните отношения и/или за нуждите на конкретен договор; електронна поща;
iii) телефонни номера – личен, служебен, на който субектът се е съгласил да получава обаждания;
iv) ЕГН/ЕНЧ;
v) номер на лична карта;
vi) информация за нуждите на застраховката, съобразно изискванията на застрахователя
vii) информация за нуждите на лизинговия договор, съобразно изискванията на съответната финансираща институция;
viii) информация за номера на банкови сметки;
ix) видеонаблюдение с цел защита на собствеността на Дружеството и сигурността на служителите, клиентите, машините, изложените и автомобилите;
х) ръкописен почерк – подпис и лично попълване на данните, които се предоставят от субекта.
5.1.2. Тези данни, изцяло или отделни видове, се обработват на основанията, предвидени в регламента, като най-често се обработват на следните основания:
(i) изрично и недвусмислено съгласие от страна на субекта на данни;
(ii) изпълнение и/или подготовка на договор, по който субектът е страна или е заявил, може и устно, че иска да бъде;
(iii) в изпълнение на законово задължение на администратора (напр. идентификация по Закона за мерките срещу изпиране на пари);
(iv) за целите на легитимен интерес на администратора, когато такъв интерес не уврежда интереса на субекта на данните.
5.2. СПЕЦИАЛНИ (ЧУВСТВИТЕЛНИ) ДАННИ:
5.2.1. Данните, които Регламентът определя като специални в член 9 параграф 1, се обработват от Дружеството единствено, когато е налице поне едно от следните условия:
i) налице е изрично съгласие на субекта, в което се посочва целта/целите на обработката и това съгласие е достатъчно, за да отмени изрична законова забрана за обработката на такива данни (независимо дали е в правото на ЕС или по силата на национална правна норма);
ii) субектът не е в психическо и/или физическо състояние да даде съгласие, а обработката е необходима, за да бъдат защитени негови или на друго физическо лице жизненоважни интереси;
iii) обработването, включително и на данни, свързани с присъди и нарушения или със свързаните с тях мерки за сигурност, е необходимо за изпълнение на възложените от субекта на дружеството задачи, като например установяване, упражняване и защита на правни претенции, и други подобни;
5.2.2. В случай че обработваните специални данни са направени обществено достояние от самия субект на данните, Дружеството е свободно да ги обработва свободно в изпълнение на възложените му от клиент и/или държавен орган конкретни задачи и/или функции.
5.2.3. Когато е необходимо обработването на чувствителни данни за целите на социалната закрила, респективно трудово-правни отношения с конкретния субект, както и за целите на превантивната или трудовата медицина, оценка на трудоспособността на служителя, осигуряване на лечение или други здравни и социални грижи, Дружеството осигурява обработката да се извършва от служител, обвързан със задължението за опазване на професионалната тайна (нарочен HR служител).
5.3.1. Копия от документи, включително и преписи, които съдържат нотариална заверка, се обработват от Дружеството единствено с цел изпълнение на възложената му от клиента конкретна работа.
5.3.2. Дружеството не задържа копия от документи, освен в изрично посочените от закона случаи или след недвусмислено съгласие на субекта, или в изпълнение на възложената му чрез документирано нареждане му от друг администратор, на отговорност на последния, обработка.
5.4. Обработката на данни, които се отнасят за субекти, които не са ги предоставили лично, се извършва при спазване на изискванията за уведомяване на член 14 от Регламента, респективно на резервата, която се допуска с параграф 5 от същия член.
5.5.1. Обработваните от Дружеството в качеството му на администратор лични данни се съхраняват в продължение на по-дългия измежду срока, определен в приложим нормативен акт, когато има такъв, и необходимия за осъществяване на конкретната цел, за която се обработват данните. След изтичане на срока за съхранение, определен по реда на предходното изречение, личните данни се унищожават по предвидения за това ред.
5.5.2. Обработваните от Дружеството в качеството му на обработващ лични данни се съхраняват за периода на действие на взаимоотношенията, във връзка с които се обработват данните, но не по-дълго от законно установения срок за съхранение на съответния вид данна.
VI. ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА
ОСИГУРЯВАНЕ СИГУРНОСТТА И ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ НА ФИЗИЧЕСКИТЕ ЛИЦА
6.1. Обработката на всички видове данни, независимо от тяхната категория, се извършва при възможно най-висока степен на защита (техническа и/или организационна) на права и свободи и законови интереси на физическите лица във връзка с обработката на личните им данни.
6.2. Данните се съхраняват на хартиен носител, който при необходимост за изпълнение на възложената на Дружеството работа и/или в изпълнение на законова разпоредба могат да бъдат предадени на трети лица, както чрез копие на съответния хартиен носител и/или по електронен път при спазване на условията за този вид обработка, включително и при съблюдаване на приложимите технически мерки за сигурност.
6.3. Защитата на данните на хартиено копие, както и на електронен носител от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поредица от вътрешно-регулирани технически и организационни мерки, които включват не по-малко от класифициране и архивиране в административно помещение с контролиран достъп.
6.4. Дружеството гарантира, че достъпните му при и по повод пряката му дейност и/или взаимоотношенията му с трети лица лични данни, се обработват единствено за постигане на конкретна измежду заявените по-горе цели, както и че тези данни не са общодостъпни, като само в случай на злонамерена намеса на физическо лице, в защита от каквато са налице адекватни мерки, тяхната сигурност може да бъде засегната. В случай на посегателство срещу сигурността и защитата на личните данни, Дружеството се задължава своевременно да уведоми КЗЛД и засегнатия субект на данни, когато са налице основания за това.
6.5.1. Дружеството се ангажира да осигурява възможно най-висока степен на защита на кореспонденцията със субекта на данни и/или с трети лица по повод конкретния субект, когато тази кореспонденция съдържа такъв вид и род информация и данни, които са свързани с индивидуализирания субект или създават условия да може да бъде индивидуализиран.
6.5.2. В случаите, в които са налице предпоставки за уведомяване на трето лице, с което Дружеството няма непосредствени, формални или не, отношения, за използване на личните му данни, кореспонденцията се извършва чрез куриер на известния на администратора адрес.
ПРОТОКОЛ НА ВЗАИМООТНОШЕНИЯ, ОТЧЕТНОСТ И КОНТРОЛ:
7. При обработването на личните данни, Дружеството се придържа към следния Протокол на взаимоотношения, отчетност и контрол:
7.1. Определя се Служител по защита на данните (СЗД), който е в трудово-правни отношения с „Витоша Ауто“ ЕООД, съвместява други функции и разполага със следните задължения и компетенции:
7.1.1. Води следните регистри в електронен вариант, по одобрени от управителя образци:
а) Регистър за личните данни на служителите, които обработва Дружеството, в който се отразява информацията, която е известна на работодателя, особено, когато представлява информация за чувствителни данни (заболявания, физически особености и пр.);
б) Регистър на личните данни на физически лица, с които е в договорни отношения, различни от клиентите, в които се посочват данните и основанията за тяхната обработка;
в) Регистър на клиентите, в който се отразяват имената на физическите лица, чийто данни Дружеството обработва (независимо дали са непосредствен клиент или представител на клиент) и номера на досието, в което могат да бъдат намерени лични данни;
г) Регистър на нарушенията на сигурността на данните, в който се нанася не по-малко от следната информация:
(i) в какво се състои нарушението и кратко описание на обстоятелствата около откриването му;
(ii) дата на откриване на нарушението;
(iii) дата на уведомяване на надзорния орган;
(iv) ФЛ, което е обработило данните и от името на кого (администратор/обработващ);
(v) описание на предприетите мерки за ограничаване на последствията от това нарушение;
д) Регистър на запитванията и исканията на субектите на лични данни, респективно на предприетите от Дружеството мерки и предоставени отговори;
7.1.2. СЗД извършва периодични проверки по досиетата на клиентите и следи за спазване на принципите, в частност целево и без излишна информация, обработване на данните; за проверката се съставя протокол с направените констатации и/или препоръки и указания, копие, от който се предоставя на Управителя и засегнатите служители, които работят със съответното досие и друго копие се класира в нарочен регистър на хартиен носител;
7.1.3. СЗД изисква от IТ специалиста да извършва на всеки шест месеца проверки на техническото състояние на мерките за сигурността на данните, включително, но не само: начините на съхранение и обработване, нива на достъп и други релевантни ; за проверката се съставя протокол, подписан от IT и от служителя по защита на данните, копие, от който се класира на хартиен носител;
7.1.4. СЗД отчита на тримесечие в писмена форма своята дейност по контрол върху обработването на личните данни пред Управителя.
7.2.1. В Дружеството е създадена е и се поддържа организация, при която всяко едно лице, което има досег до лични данни от името на Дружеството, включително, но не само: служители, съдружници, юристи, счетоводители, IT специалисти и пр., обработва единствено и само такива лични данни, които са пряко свързани с възложената му задача и по изключение, след изрично възлагане и/или по заместване, обработва и данни, свързани със задачата на друг колега.
7.2.2. Със заповед на Управителя се определят служителите, които имат право да обработват лични данни, включително и в какъв обем (конкретните видове данни), посочват се изрично целите, за които отделният служител може да извършва обработка.
7.2.3. Дружеството поддържа на хартиен носител досиета на всеки свой клиент, в което досие не се съдържа повече информация, съответно лични данни, отколкото са необходими за изпълнение на основната и съпътстващите я дейности на Дружеството. В досиетата се съхраняват и данни, за чието обработване клиентът е дал своето недвусмислено съгласие.
7.3.1. Трансфер на данни между отделните служители в Дружеството се извършва съобразно разпределението на функциите и задачите между тях, като техническото средство е чрез дефинирани процеси, подробно описани във Вътрешните правила.
7.3.2. Трансфер на данни към други администратори и/или обработващи данни се осъществява от отговорния за съответния вид данни и взаимоотношения служител съобразно уговорения в нарочен договор с другия администратор организационен и технически механизъм.
7.4. Дружеството, по отношение на всеки един етап от обработката на данни, поддържа такива технически решения и организационни мерки, посредством, които не се позволява обработваните лични данни да са достъпни до неограничен брой лица, както и се обработват само тези лични данни, които са необходими за конкретната цел при всяко конкретно обработване, което е подробно описано във Вътрешните правила
7.5. По преценка на Дружеството, с оглед защита интересите на субекта и/или интерес от обществено значение, личните данни могат да продължат да се съхраняват и след изтичане на сроковете по т. 5.6., за което се уведомява субекта, който е свободен да се възползва от правото му на възражение и/или ограничаване на обработката, и/или коригиране, и/или изтриване, ако са налице предпоставките за това.
7.6. За всяко действие по обработване на данни, включително и по отношение на видеонаблюдението и в случаите на унищожаване, се води в подходяща форма отчет, в частност, се съставя протокол, на хартиен носител и/или в електронна форма, включително се вписва и в съответния регистър, ако е приложимо.
ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО
8.1. Дружеството се ангажира периодично да извършва Оценка на въздействието на предвидените операции по обработването на данните по отношение на тяхната сигурност.
8.2. В случай на нововъведения, технически или организационни, Оценката ще предшества тяхното прилагане.
8.3. В случай на повишаване на риска за сигурността на данните, респективно за правата и свободите на субектите, Дружеството се ангажира да поиска незабавна консултация с КЗЛД относно необходимите мерки за ограничаване на този риск.
8.4. Независимо от горното, Дружеството се ангажира да извършва Оценка на въздействието на всяка една операция по обработването, която бъде определена като задължително подлежаща на оценка от ЗЗЛД и/или от КЗЛД
9. МЕХАНИЗМИ, ПО КОИТО ДРУЖЕСТВОТО ОСИГУРЯВА ПРАВАТА НА СУБЕКТИТЕ НА ДАННИ, КОИТО GDPR ПРЕДОСТАВЯ:
9.1. Относно Правото на субекта да получи информация към момента на предоставяне на личните си данни:
9.1.1. Дружеството предоставя, срещу подпис от субекта, информационен формуляр по образец (приложение 1), одобрен от Управителя, който съдържа не по-малко от следната информация:
(i)наименованието, ЕИК, координати за връзка с Дружеството;
(ii) какви данни ще бъдат поискани от субекта и с каква цел, респективно на какво основание, както и дали ще подлежат на предаване на трети лица и с каква цел;
(iii) за какъв срок ще бъдат обработвани данните;
(iv) местата, на които има видеонаблюдение в обекта;
(v) кратко описание на правата на субектите, включително и правото на жалба до надзорния орган;
(vi) Към уведомлението се прилагат и бланки за съгласие и оттегляне на съгласие, по образец, одобрен от Управителя (приложение 1 и 2).
9.1.2. В случай че за изпълнение на легитимните цели на Дружеството и/или за защита на негови искови претенции, е необходимо използването на данните на субекта и след изпълнение на целите, за които са събрани и/или след изтичане на срока, за който са предвидени за съхранение данните, преди да продължи тяхното обработване, Дружеството предоставя на субекта отново посочената по-горе информация. В случай че Дружеството не може да докаже, че това уведомление е достигнало до субекта, то преустановява ползването на данните.
9.2. Относно Правото на субекта да бъде уведомен, че личните му данни се използватВ случаите, когато Дружеството обработва лични данни, които не е получило от субекта на същите данни, то то дължи на този субект уведомление, в което са записани не по-малко от информацията по т.
9.1.1. от настоящия документ. Уведомление не се дължи, в случаите, когато субектът вече разполага с тази информация и/или дал е съгласието си и/или когато уведомяването изисква, най-общо казано, несъразмерно големи усилия, или пък обработката се изисква от закона.
9.3. Относно Правото на субекта да получи потвърждение дали се обработват данни, свързани с него:
9.3.1. Дружеството приема писмени запитвания, в свободен текст, с изрично посочен адрес за получаване на отговора, подадени лично от субекта или чрез негов представител по пълномощие или по закон (ако субектът е дете или друг недееспособен);
9.3.2. Запитванията се вписват в съответния регистър;
9.3.3. Дружеството предоставя отговор на субекта в срок не по-дълъг от един месец, считано от датата на регистриране на запитването; отговорът се изпраща на посочения от субекта адрес.
9.4. Относно Правото на субекта да получи данните, свързани с него, както и същите да бъдат трансферирани към друг администратор (преносимост на данните):
9.4.1. Дружеството приема писмени искания за предаване на данни на субекта, които той е предоставил и/или трансферирането им към друг администратор, в свободен текст, подадени лично от субекта или чрез негов представител по пълномощие или по закон (ако субектът е дете или недееспособен на друго основание); Искането следва да съдържа изрично посочване на адреса, на който да бъдат трансферирани данните и/или адреса, на който субектът да получи уведомление, че данните му са готови за предаване; В искането се посочва и обема от данни, който да бъде трансфериран, като в случай че не се съдържа уточнение, администраторът прехвърля всички данни, с които разполага и които отговарят на изискванията за преносимост, посочени по-долу в съответствие с разпоредбата на чл. 20 параграф 1 от Регламента.
9.4.2. Искането се вписва в съответния регистър;
9.4.3. Дружеството се ангажира да предаде на субекта съхраняваните за него данни в структуриран, широко използван и пригоден за машинно четене формат, във възможно най-кратък технологичен срок, когато данните се обработват на основание съгласие, включително и когато се отнася за чувствителни данни, или в изпълнение на задължение по договор, по който конкретният субект е страна;
9.4.4. Дружеството се ангажира, без излишно забавяне, да прехвърли съхраняваните и подлежащите на трансфер данни за конкретния субект, в поискания от него обем, на посочения в искането администратор. Дружеството има право да поиска потвърждение за получаването, както от третото лице, така и от самия субект.
9.5. Относно Правото на субекта да поиска коригиране на данните, свързани с него:
9.5.1. Дружеството отразява искането в Регистъра на запитванията, като след извършване на корекцията, Дружеството уведомява субекта на посочения в искането електронен адрес.
9.5.2. Дружеството се ангажира да извърши корекцията във възможно най-кратък технологичен срок, съобразно записаната в искането за корекция информация. Когато искането за корекция се основава на информация в официален документ, Дружеството има право да поиска за сверка този документ.
9.6. Относно Правото на субекта да поиска ограничаване на обработването
9.6.1. Искането се отразява в съответния Регистър, като Дружеството уведомява субекта за своето решение и/или действия на посочения в искането електронен адрес.
9.6.2. В случай че са налице предпоставките за ограничаване на обработката[1], Дружеството се ангажира да ограничи, ако са единствено да продължи да съхранява данните и да не ги използва без изричното съгласие на субекта, освен за установяване и защита на правни претенции или защита правата на друго ФЛ, или поради важни основания от обществен интерес; Уведомява клиента за своето решение и/или действие.
9.7. Относно Правото да бъдеш забравен:
9.7.1. Дружеството се ангажира да заличи от собствената си база данни, независимо дали е на хартиен носител и/или в електронен вид, без ненужно забавяне, личните данни, които е посочил субекта, при наличие на поне едно от следните условия:
а) постигнат е резултата, за който първоначално са събрани данните;
б) субектът оттегля своето съгласие за обработване и няма причина обработването да продължи на друго легитимно основание;
в) субектът възразява срещу обработването, което не може да бъде оправдано със съществуването на законови основания за продължаване на обработването, които да имат предимство пред интереса на субекта или да са необходими във връзка с установяване, упражняване и защита на правни претенции.
г) обработването е незаконосъобразно;
9.7.2. Дружеството се ангажира да предприеме разумни действия да уведоми обработващите от негово име и/или трети лица, самостоятелни администратори, на които Дружеството е трансферирало изцяло или част от известните му лични данни на субекта, че последният е пожелал да бъде забравен. Дружеството ще положи възможната грижа, за да се увери и потвърди на субекта, че заличаването е факт.
9.7.3. Дружеството не се ангажира да осигури удовлетворяване на Правото да бъдеш забравен, в случаи че обработването е необходимо за упражняване правото на свобода на изразяване от името на Дружеството и правото на информация, както и за спазване на законово задължение, вменено на Дружеството от приложимото право и/или когато обработването е необходимо за установяване, упражняване и защита на правни претенции.
9.7.4. За изтриването или за отказа да бъде извършено, се прави отбелязване в съответния регистър. Отказът за изтриване е аргументиран и се връчва на посочения в искането адрес. Субектът има право да подаде сигнал до КЗЛД.
9.8. Относно Правото на възражение срещу обработването на лични данни:
9.8.1. Дружеството отразява всяко възражение в съответния регистър и го разглежда по отношение на посочените във възражението основания, свързани с конкретното положение на конкретния субект.
9.8.2. В случай че са налице предпоставките за това, Дружеството преустановява по-нататъшното обработване във възможно най-кратък срок. В случай че съществуват убедителни законови основания за продължаване на обработването, за които се твърди от страна на Дружеството, че имат предимство над правата на субекта и/или обработването е необходимо за защита на правна претенция, Дружеството временно ограничава обработването за периода до постигане на разбирателство със субекта или до произнасяне на КЗЛД.
9.9. Относно Правото на субекта да възрази срещу обработването за целите на маркетинг и/или вземане на индивидуални автоматични решения
9.9.1. Дружеството се ангажира, в случай че субектът се противопостави, да не обработва данните му за нуждите на маркетинг и/или свързаното с него профилиране.
9.9.2. Дружеството, най-късно в момента на първия контакт с конкретен субект, го уведомява изрично, ясно и точно, отделно от останалата дължима информация, че субектът има право да откаже неговите лични данни да бъдат използвани за целите на маркетинг и/или профилиране с тази цел.
9.9.3. Дружеството не осъществява действия, които пряко засягат неговите служители, клиенти и партньори и които са в резултат на автоматизирано обработване и/или профилиране, освен ако не е налице изрично съгласие за това от конкретния субект.
МЕХАНИЗМИ НА ЗАЩИТА В СЛУЧАЙ НА НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ И/ИЛИ ДРУГ ВИД НАРУШЕНИЯ
10. В случай на нарушение сигурността на личните данни, служителят по защита на данните, незабавно след узнаване за пробива, предприема следните действия:
10.1. предприема мерки, технически и/или организационни, за ограничаване на последствията и за недопускане в бъдеще на същото; едновременно с това
10.2 прави отбелязване в Регистъра на нарушенията;
10.3. в срок до 72 часа уведомява КЗЛД, освен ако нарушението не създава опасност за правата и свободите на физическите лица, чийто данни са засегнати;
10.4. ако са налице предпоставки за това[2] съобщава на субекта, чийто данни са засегнати от нарушението.
11.1. В случай че субект на данни се почувства засегнат от дейността на Дружеството по обработката да личните му данни, то Дружеството е в готовност да изслуша оплакванията и при възможност и/или основателност на оплакването, да постигне споразумение със субекта и да предприеме адекватни мерки по преустановяване на действията, от които се оплаква субекта на данни, освен в случаите когато тези мерки биха довели до нарушение на права и свободи на трети лица, до нарушение на законово задължение на Дружеството и/или до невъзможност да изпълнява свои легитимни цели.
11.2. Записаното в параграф 1 не отменя правото на всеки субект на данни да подаде жалба до КЗЛД, в случай че намира, че обработването на лични данни, които се отнасят до него, се извършва в нарушение на приложимите нормативни документи. Жалба може да бъде подадена и до надзорен орган в друга държава членка.
11.3. Всеки субект на данни има право на ефективна съдебна защита, респективно и на правото да получи справедливо обезщетение, както срещу решенията на КЗЛД, които го засягат и обвързват, така и срещу действията на Дружеството по обработване на данни, които действия са засегнали субекта и съставляват нарушение на приложимите правни норми.
ВЗАИМООТНОШЕНИЯ С ДРУГИ АДМИНИСТРАТОРИ И/ИЛИ С ОБРАБОТВАЩИ ДАННИ
12.1. В случаите, в които при и по повод изпълнение на своята дейност, на Дружеството се налага сътрудничество с други администратори и/или обработващи на лични данни, Дружеството взаимодейства с тези трети лица по силата на нарочен договор и/или на основание изпълнение на законово задължение и/или правен интерес на Дружеството.
12.2. Взаимоотношенията на Дружеството с обработващите лични данни се уреждат чрез нарочен договор, освен в случаите, когато взаимоотношенията с конкретния обработващ личните данни се основават на конкретна законова разпоредба.
ПРЕХОДНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
13.1. В срок до влизане в сила на Регламента, Дружеството прави ревизия на обработваните и съхранявани лични данни, като предприема действия за заличаване и/или унищожаване на тези от данните, респективно документите, в които се съдържат, за които не е налице изрично съгласие и/или законово основание и/или правен интерес от страна на Дружеството и/или друго основание, предвидено в Регламента.
13.2. За тези от данните, които са необходими за успешно провеждане на рекламната, маркетинговата и търговската дейност на дружеството, и не е налице изрично основание за продължаващото им обработване, Дружеството изпраща изрично уведомление на съответните субекти като им указва, че могат да възразят срещу използването изцяло и/или да поискат ограничаване на обработването, респективно коригиране или изтриване. Уведомленията се изпращат до известните на дружеството електронни или пощенски адреси с изрично искане за потвърждение на получаването на същото. По отношение на субектите, за които няма данни да са получили уведомлението, се прилага процедурата по заличаване и унищожаване на хартиените носители.
14. Всеки заинтересован субект на данни, както и трети лица администратори и/или обработващи лични данни, могат да се обръщат към Служителя по защита на личните данни по въпроси, свързани с оперативната дейност по защита на сигурността на данните, на следния адрес:
Кристина Великова, office@Vauto.bg, 02/879 00 88
15.1. За всички неуредени в настоящия документ въпроси, Дружеството се ангажира да прилага относимите разпоредби на Регламента, Закона за личните данни, Насоки на работната група по чл. 29, Становища на КЗЛД, както и други нормативни актове, които са приложими.
15.2. Дружеството изразява воля за добронамерено и взаимноудовлетворяващо намиране на разрешение на всеки спорен въпрос, от чието разрешаване се нуждае някое физическо лице, независимо от основанието за отношенията му с Дружеството (клиент, служител, партньор, пр.)
16. Политиката на Дружеството за защита на физическите лица във връзка с обработването на личните им данни подлежи на периодична актуализация с оглед всяко относимо изменение на приложимите нормативни актове, без значение на неговия ранг и/или автор.Настоящата Политика е одобрена от Едноличния собственик на капитала и е сведена до знанието на тези служители на Дружеството, които обработват лични данни от името на Дружеството в изпълнение на неговата дейност.
[1] Предпоставки за основателност * ако се оспорва точността – срокът на ограничението е за времето, което е необходимо на проверка и корекция; ** обработването е неправомерно, но субектът не изисква изтриването, а само не използването; *** данните подлежат на заличаване поради изтичане на обявения за обработване период, субектът желае да бъдат съхранени във връзка с установяване и защита на правна претенция; **** субектът е възразил срещу обработката, но към момента на искането е в ход проверка от КЗЛД дали законовото основание на Дружеството надделява над интересите на субекта.
[2] Не се изпраща съобщение до субекта, ако е изпълнено едно от следните условия: засегнатите данни са криптирани; или когато предприетите от Дружеството мерки гарантират, че няма вероятност от реални последствия за субекта; или когато личното уведомяване на всеки засегнат субект би довело до несъответстващи на проблема усилия и затова Дружеството ще направи публично оповестяване, за да се гарантира в еднаква степен ефективното уведомяване на всички засегнати субекти.