Политика за поверителност

Защита и обработка на лични данни

При използване на уебсайт www…………… твоите лични данни се обработват от „КАТИНЧАРОВ И СИЕ, СИМЕКС-АБВ“ СД, ЕИК 020752302, със седалище и адрес на управление гр. София, ж.к. „Дианабад“ бл.31Б, вх.4, ап.18, телефон: 0885573951, email: lkatincharov@gmail.com
Ние обработваме твоите лични данни на следните основания:

  • Въз основа на договор – когато поръчаш определени продукти/услуги от нас;
  • Въз основа на закон – когато нормативните актове ни възлагат това задължение;
  • Въз основа на твоето изрично съгласие – във всички останали случаи

В следващите параграфи ще намериш детайлна информация относно обработването на личните ти данни в зависимост от основанието, на което ги обработваме.

Когато поръчваш някоя от нашите продукти/услуги

Ние обработваме личните ти данни, за да изпълняваме своите задължения към теб, както и за да можем да се възползваме от нашите права по договора.

Цели на обработката:

  • установяване на самоличността ти;
  • управление и изпълнение на твоите заявки за продукти или услуги;
  • изготвяна на предложение за сключване на договор, включително по електронен път;
  • изготвяне и изпращане на сметка/фактура за продуктите и/или услугите, които използваш при нас;
  • цялостно обслужване по нашите продукти;
  • уведомление за всичко, свързано с продуктите и услугите, които ползваш при нас;
  • изготвяне на потребителски профил и поддържане на клиентската история;
  • запазване на кореспонденция във връзка с направени поръчка, обработка на заявки, докладване на проблеми и др.

На това основание обработваме следните данни:

  • лични данни за контакт – адрес за контакт, телефонен номер и имейл;
  • данни за идентификация – трите имена, единен граждански номер или личен номер на чужденец, постоянен адрес, номер на лична карта;
  • данни за направените поръчки чрез потребителския профил;
  • електронна поща, писма, информация за заявките ви за отстраняване на проблеми, жалби, молби, оплаквания; друга обратна връзка, която получаваме от теб;
  • всяка друга информация, която е необходима за предоставяне на конкретната услуга и без която услугата не би могла да бъде предоставена;
  • клиентски номер, код или друг идентификатор, създаден за идентификация на потребители;
  • други лични данни, предоставени от теб или от трето лице при сключване или по време на действие на договор с нас и по-конкретно: трите имена, единен граждански номер или личен номер на чужденец, постоянен адрес на пълномощник, посочени в документ за упълномощаване; данни за профил в социални мрежи, данни за контакт, лице за контакт; потребителско име, парола (при регистрация в интернет страница ни или друга подобна услуга);

Обработката на посочените лични данни за нас се явява задължителна, за да можем да сключим договора с теб и да го изпълняваме.

Предоставяне на твоите данни на трети лица:

Ние предоставяме твои лични данни на трети лица, за да предложим качествено и комплексно обслужване. Не предоставяме твои лични данни на трети лица, преди да се уверим, че са взети всички технически и организационни мерки за защита на тези данни като се стремим да осъществяваме строг контрол за изпълнение на тази цел. В този случай ние оставаме отговорни за конфиденциалността и сигурността на данните.

Лични данни предоставяме на следните категории получатели (администратори на лични данни):

  • пощенски оператори, с оглед изпращане на пратки, съдържащи договори, допълнителни споразумения и други документи;
  • лица, наети на трудов или граждански договор, подпомагащи процесите по продажба, логистика, доставка и др.;
  • адвокати, вписани съгласно Закона за адвокатурата;
  • банки за обслужване на плащанията;
  • лица, които по възлагане поддържат оборудване, софтуер и хардуер, използвани за обработка на лични данни и необходими за дейността на дружеството
  • лица, извършващи консултантски услуги в различни сфери ( вкл. счетоводители, застрахователи и др.).

Данните, събрани на това основание изтриваме 5 години след прекратяване на договорното отношение с теб. Срокът е определен от 5-годишния давностен срок за възможните претенции от договора.

Когато изпълняваме наши законови задължения

Възможно е в закона да е предвидено задължение за нас да обработваме личните ти данни. В тези случаи ние сме длъжни да извършим обработката, като например:

  • задължения по Закона за мерките срещу изпиране на пари;
  • изпълнение на задължения във връзка с продажбата от разстояние, продажбата извън търговския обект, предвидени в Закона за защита на потребителите;
  • предоставяне на информация на Комисията за защита на потребителите или трети лица, предвидени в Закона за защита на потребителите;
  • задължения, предвидени в Закона за счетоводството и Данъчно-осигурителния процесуален кодекс и други свързани нормативни актове, във връзка с воденето на законосъобразно счетоводство;
  • предоставяне на информация на съда и трети лица, в рамките на производство пред съд, съобразно изискванията на приложимите към производството нормативни актове;
  • удостоверяване на възраст при пазаруване онлайн.

Данните, събрани съгласно предвидено задължение в закона, изтриваме след като задължението за събиране и съхранение бъде изпълнено или отпадне.

Предоставяне на твоите данни на трети лица:

Когато по закон за нас е предвидено задължение, е възможно да предоставим лични данни на компетентния държавен орган, физическо или юридическо лице.

Когато имаме твоето изрично съгласие

Ние обработваме твоите лични данни на това основание само след изрично, недвусмислено и доброволно съгласие от твоя страна. Няма да предвиждаме каквито и да е неблагоприятни последици за теб, ако откажеш обработването на личните данни.

Ако ни дадеш съответното съгласие и до неговото оттегляне или прекратяване на всякакви договорни отношения с теб:

  • изготвяме подходящи за теб предложения за продукти/услуги;
  • изготвяне за теб предложения за продукти/услуги от партньори на компанията , като обработваме твои основни лични данни.

Оттегляне на съгласието

Предоставените съгласия могат да бъдат оттеглени по всяко време. Ако оттеглиш съгласието си за обработване на лични данни, ние няма да използваме личните ти данни и информация за определените по-горе цели.

За да оттеглиш даденото съгласие е необходимо само да използваш нашата секция за защита на лични данни или просто да се свържеш с нас на посочените контакти.

На основание даденото от теб съгласие обработваме твоя имейл и друга информация, за която изрично се съгласяваш.

Данните, събрани на това основание, изтриваме при искане от твоя страна или 2 години след първоначалното им събиране.

Анонимизация и псевдонимизация

Ние обработваме данни за статически цели. Това означава за анализи, в които резултатите са само обобщаващи и следователно данните са анонимни. Идентифицирането на конкретно лице от тази информация е невъзможно.
Твоите данни могат да бъдат и анонимизирани. Анонимизирането представлява алтернатива на изтриването на данните. При анонимизация, всички лични разпознаваеми елементи /елементи, позволяващи идентифициране, се заличават необратимо. За анонимизирани данни няма нормативно задължени за изтриване, тъй като не представляват лични данни.

Защита на твоите лични данни

За осигуряване на адекватна защита на данните на компанията и своите клиенти, ние прилагаме всички необходими организационни и технически мерки, предвидени в Закона за защита на личните данни и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета, както и най-добрите практики от международни стандарти.
Компанията е приела правила за предотвратяване на злоупотреби и пробиви в сигурността.

С цел максимална сигурност при обработка, пренос и съхранение на твоите данни, може да използваме допълнителни механизми за защита като криптиране, псевдонимизация и други.

Работим с единствено с обработващи лични данни, които осигуряват еквивалентни стандарти за сигурност.

Лични данни, които сме получили от 3-ти лица

В някои случаи се налага да обработваме твои лични данни, които не са ни предоставени от теб или пък събрани от нас, ами сме получили от трети лица. Това са следните данни:

  • Данни от социални мрежи като Фейсбук – данни за потребителския профил
  • Данни от наши Партньори – в изпълнение на договорни задължения или сред изрично съгласие
  • Данни от наши Потребители – предоставяне на данни за страни по договор, препоръки и др.

Права на Потребителите

Като потребител можеш да упражняваш своите права на телефон 0885573951 или на имейл: lkatincharov@gmail.com
Ти имаш всички права за защита на личните данни съгласно българското законодателство и правото на Европейския съюз. Всеки Потребител има право на:

  • Информираност (във връзка с обработването на личните му данни от администратора);
  • Достъп до собствените си лични данни;
  • Коригиране (ако данните са неточни);
  • Изтриване на личните данни (право „да бъдеш забравен“);
  • Ограничаване на обработването от страна на администратора или обработващия лични данни;
  • Преносимост на личните данни между отделните администратори;
  • Възражение спрямо обработването на негови лични данни;
  • Да не бъдеш обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия теб или по подобен начин те засяга в значителна степен;
  • Право на защита по съдебен или административен ред, в случай, че правата ти са били нарушени.

Можеш да поискаш изтриване на своите данни, ако:

  • Личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
  • Оттеглиш своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
  • Възразиш срещу обработването и няма законни основания за обработването, които да имат преимущество;
  • Личните данни са били обработвани незаконосъобразно;
  • Личните данни трябва да бъдат изтрити с цел спазването на правно задължение, установено от закона;
  • Личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца и съгласието е дадено от носещия родителска отговорност за детето.

Можеш да ограничиш обработването на лични данни от наша страна, когато:

  • Оспориш точността на личните данни;
  • Обработването е неправомерно, но не желаеш личните данни да бъдат изтрити, а изискваш вместо това ограничаване на използването им;
  • Ние не се нуждаем повече от личните данни за целите на обработването, но ти ги изискваш за установяването, упражняването или защитата на правни претенции;
  • възразяваш срещу обработването в очакване на проверка дали нашите законни основание за обработка имат преимущество пред интересите ти.

Право на преносимост.

Имаш право да получиш личните данни, които те засягат и които си ни предоставил, в електронен формат и да прехвърлиш тези данни на друг администратор без възпрепятстване от наша страна, когато обработването е основано на съгласие или на договорно задължение и обработването се извършва по автоматизиран начин.

Право на възражение.

Имаш право да възразиш пред нас срещу обработването на личните ти данни. Ние ще прекратим обработването, освен ако не докажем, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на теб като субекта на данни, или за установяването, упражняването или защитата на правни претенции. При възразяване срещу обработването на лични данни за целите на директния маркетинг обработването ще се прекрати незабавно.

Право на жалба до надзорния орган

Можеш да подадеш жалба срещу незаконосъобразно обработване на личните ти данни до Комисия за защита на личните данни или до компетентния съд.

Поддържане на регистър

Ние поддържаме регистър на дейностите по обработване, за които отговоряме. Този регистър съдържа цялата по-долу посочена информация:

  • името и координатите за връзка с нас;
  • описание на категориите субекти на данни и на категориите лични данни, които обработваме;
  • категориите получатели, пред които са или ще бъдат разкрити лични данни, включително получателите в трети държави или международни организации;
  • когато е възможно, предвидените срокове за изтриване на различните категории данни;
  • когато е възможно, общо описание на техническите и организационни мерки за сигурност.

ПРАВИЛА ОТНОСНО МЕХАНИЗМА НА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ И ЗАЩИТАТА ИМ СРЕЩУ НЕЗАКОННИ ФОРМИ НА ОБРАБОТВАНЕ В „КАТИНЧАРОВ И СИЕ, СИМЕКС-АБВ” СД

Глава първа
ОБЩИ ПОЛОЖЕНИЯ

Чл. 1. Настоящите вътрешни правила за технически и организационни мерки и допустимия вид на защита на личните данни, наричани за краткост „Правилата“, уреждат организацията на обработване на лични данни на служителите, лицата, наети на граждански договори, доставчиците и клиентите на „КАТИНЧАРОВ И СИЕ, СИМЕКС-АБВ“ СД, ЕИК 020752302, както и тяхната защита.

Чл. 2. (1) Обработването на лични данни означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
(2) Обработването на лични данни се състои и в осигуряване на достъп до определена информация само за лица, чиито служебни задължения или конкретно възложени задачи налагат такъв достъп.

Чл. 3. Дружеството е администратор на лични данни и като такова води следните регистри:
1. Регистър „Служители по трудови договори и лица по граждански договори“
2. Регистър „Търговски контрагенти“
Чл. 4. (1) Лични данни са всяка информация, отнасяща се до физическо лице, което може да бъде идентифицирано, пряко или непряко чрез нея (например име, ЕГН, номер на лична карта, телефон и адрес, електронна поща, IP адрес, банкова сметка, снимки, онлайн идентификатор) или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице (пол, раса, етнически произход, политически убеждения, членство в синдикални организации, сексуална ориентация и др.).
(2) Личните данни се обработват на следните принципи:
(а) законосъобразност, добросъвестност и прозрачност;
(б) ограничение на целите – личните данни се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита за несъвместимо с първоначалните цели;
(в) свеждане на данните до минимум – събират се само лични данни ограничени до необходимото във връзка с целите, за които се обработват;
(г) ограничение на съхранението – личните данни са съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при условие че бъдат приложени подходящи технически и организационни мерки с цел да бъдат гарантирани правата и свободите на физическите лица, чиито данни се обработват;
(д) цялостност и поверителност – личните данни са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически и/или организационни мерки.

Чл. 5. Личните данни се събират за конкретни, точно определени цели, обработват се законосъобразно и добросъвестно и не могат да се обработват допълнително по начин, несъвместим с тези цели.

Глава втора
ВИДОВЕ РЕГИСТРИ.

Чл. 6. Видове регистри, водени от Дружеството. Цели, за които се използват съхраняваните в отделните регистри лични данни:
(1) В регистър „Служители по трудови договори и лица по граждански договори“ се събират и съхраняват личните данни на служителите и изпълнителите по граждански договори в Дружеството с цел:
1. Индивидуализиране на трудовите и граждански правоотношения.
2. Изпълнение на нормативните изисквания на Кодекса на труда, Кодекса за социално осигуряване, Закона за счетоводството, Закона за държавния архив и др.
3. Използване на събраните данни за съответните лица за служебни цели.
4. За всички дейности, свързани със съществуване, изменение и прекратяване на трудовите и граждански правоотношения – за изготвяне на всякакви документи на лицата в тази връзка (договори, допълнителни споразумения, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения и др. подобни).
5. За установяване на връзка с лицето по телефон, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията му по трудови или граждански договори.
6. За водене на счетоводна отчетност, относно възнагражденията на посочените по-горе лица по трудови и граждански договори.

(2) В регистър „Търговски контрагенти“ се събират и съхраняват личните данни на контрагентите на Дружеството с оглед:
1. Индивидуализиране на съответните контрагенти.
2. Изпълнение на нормативните изисквания на Закона за счетоводството и други относими нормативни актове.
(3) Използването на събраните данни за съответните лица за служебни цели е само и единствено след получаването на надлежно съгласие от лицата за обработване на техните лични данни за следните цели:
(а) за всички дейности, свързани със съществуването, изменението и прекратяването на договорните правоотношения, както и със събиране на вземания, произтичащи от последните – за изготвяне на всякакви документи в тази връзка (договори, допълнителни споразумения, всякакви търговски, счетоводни и други документи);
(б) за установяване на връзка с лицата по телефон, адрес и/или електронна поща, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията им по сключените с Дружеството договори;
(в) за водене на счетоводна отчетност;

Чл. 7. Групи данни в регистрите:
(1) В регистър „Служители по трудови договори и лица по граждански договори” се съхраняват следните видове лични данни:
1.1. Относно категория „Физическа идентичност“ на лицата: (три имена, ЕГН, пол, постоянен адрес, номер на лична карта, дата и място на издаване, валидност, орган, който я е издал), телефони за връзка, електронна поща и др. Предоставят се на основание нормативно задължение за сключването и изпълнението на договор;
1.2. Относно категория „Семейна идентичност“ на лицата ( женен/омъжена, три имена и ЕГН на съпруга/съпругата, три имена и ЕГН на детето/децата). Предоставят се на основание нормативно задължение.
1.3. Относно категория „Социална идентичност“ на лицата, предоставяни на основание нормативно задължение и/или легитимен интерес:
(а) вид и степен на образованието, място, номер и дата на издаване на дипломата и учебно заведение – данните са необходими с оглед спазване нормативни или установени с щатното разписание на длъжностите изисквания за заемане, респ. за освобождаване на длъжности от лицата, както и при преценка и удостоверяване на компетентността на лицата, на които Дружеството възнамерява да възложи изпълнението на дейности по граждански или трудови договори. Предоставят се от служителите/изпълнителите при сключване на трудови или граждански договори с тях;
(б) допълнителна квалификация – данните са необходими с оглед спазване нормативни или установени с щатното разписание на длъжностите изисквания за заемане, респ. за освобождаване на длъжности от лицата. Предоставят се от лицата на основание нормативно задължение във всички случаи, когато е необходимо. При необходимост, данни за допълнителна квалификация се изискват и от лицата, на които Дружеството възнамерява да възложи изпълнението на дейности по граждански договори;
(в) лични данни относно гражданско-правния статус на лицата, необходими за всички служители, назначавани по трудово правоотношение, включително за длъжностите, свързани с материална отговорност. Предоставят се на основание нормативно задължение.
1.4 Данни от здравословното състояние на служителите, когато се налага обработване на болнични листове, документи, във връзка с трудова злополука, трудоустрояване на работници и др.
(2) В регистър „Търговски контрагенти” се съхраняват следните видове лични данни относно категория „Физическа идентичност“ на лицата: имена и данни по лична карта (ЕГН, пол, номер на лична карта, дата и място на издаване, валидност, орган, който я е издал, постоянен адрес), телефони за връзка, електронна поща и др. Предоставят се на основание сключване и изпълнение на договор.

Чл. 8. Форми на водене на регистрите.
(1) Регистри, водени на хартиен носител:
1.1. Форма на организация и съхраняване на личните данни – писмена (документална), съхраняват се в папки (кадрови досиета, досиета на изпълнители и контрагенти) за всеки служител или наето по граждански договор лице, както и за всеки контрагент, с когото е сключен договор. Достъпът до тези досиета е ограничен, съхраняването им се осъществява в шкафове със заключващ се механизъм
1.2. Местонахождение на картотечния/те шкаф/ове е в архивно помещение.
(2) Регистри, водени на технически носител:
2.1. Форма на организация и съхраняване на личните данни – ограничен достъп, пароли за достъп до компютрите и сървърите.
2.2. Местонахождение на компютрите: офис на Дружеството
2.3. Достъп: ограничен, чрез пароли
2.4. Програмно-апаратни мерки за гарантиране нивото на сигурност:
2.4.1. Мрежата, изградена в офисите на Дружеството се базира изключително на комуникационни устройства, които предоставят богат набор от възможности, свързани със сигурността на достъпа до информация;
2.4.2. Работните станции, свързани в тази вътрешна мрежа са преминали през допълнително обработване – заличаване на данните, които не са необходими на съответните обработващи лични данни, и ограничаване на възможността за поставяне на USB флаш, сваляне на информация на друг вид носители на данни, инсталиране на софтуер и т.н., посредством което е минимизиран рискът от изтичане на информация.

Глава трета
ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

Чл. 9. Събиране на лични данни:
(1) Личните данни в регистър „Служители по трудови договори и лица по граждански договори” се събират при постъпване/ възлагане на работа по трудово или гражданско правоотношение на дадено лице чрез устно интервю и на хартиен или електронен носител, предоставен от съответното лице.
(2) Личните данни в регистър „Търговски контрагенти” се събират при воденето на преговори и съответно възлагане на поръчки от съответния контрагент и подписване на договор.
(3) Администраторът/обработващият лични данни задължително информира лицето, чиито данни се събират за необходимостта от събиране на лични данни и целите, за които ще бъдат използвани, на кого ще се предоставят и срока за обработването им.
(4) След одобрение на молбата за постъпване/възлагане на работа на лицето или съответно сключване на договор като основен хартиен носител на лични данни, тези документи заедно с приложените към тях други документи, се предават на обработващия лични данни за оформяне възникването на валидно трудово или гражданско правоотношение чрез изготвяне на трудов или граждански договор на технически и хартиен носител. Изготвеният договор на технически носител остава в отделен файл на компютъра, като достъп до него има само обработващият лични данни.
(5) На основание принципа за точност на обработваните лични данни, при необходимост от поправка на личните данни, лицата предоставят на Администратора и/или обработващия лични данни коригираните си лични данни по негово искане. Коригирането на личните данни на субекта на данните може да се извършва и по негово искане с подаването на декларация в свободен текст до Администратора/обработващия.

Чл. 10. (1) Дружеството възлага обработването на личните данни на обработващи. Обработването може да се възложи и на повече от един обработващ съобразно спецификата на техните функции и с цел разграничаване на конкретните им задължения.
(2) Обработващите лични данни се определят с настоящата инструкция, вътрешните правила, щатното разписание на Дружеството и длъжностните характеристики на служителите на Дружеството, а в случай на превъзлагане обработката на лични данни на трето лице – обработващ – в съответния договор сключен между него и Администратора.
(3) Обработващите лични данни действат само по указание на Администратора, освен ако в закон не е предвидено друго.

Чл. 11. Лицата, обработващи личните данни във водените от Администратора регистри, са:
(1) За регистър „Служители по трудови договори и лица по граждански договори”:
1.1. Лицата, пряко ангажирани с оформяне и законосъобразността на документите във връзка с трудовите и граждански правоотношения между Дружеството и съответните лица;
1.2. Лицата, ангажирани с изплащането на дължимите възнаграждения на лицата, намиращи се в трудови и граждански правоотношения с Дружеството.
(2) За регистър „Търговски контрагенти”:
2.1. Лицата – служители на Дружеството, на които са възложени действия по обслужване на клиентите, изготвяне на договори, проверка на договори, писмена кореспонденция с клиентите;
2.2. Лицата, на които Дружеството е възложило обработването на личните данни по други организационни причини, извън посочените в 2.1;
(3) Когато дейностите по ал.1 и ал.2 от настоящия член са възложени на физическо или юридическо лице, външно за Дружеството, то същото представлява обработващ лични данни и задълженията му в тази връзка се уреждат съгласно подписания между последния и Дружеството договор.

Глава четвърта
ЗАЩИТА НА ЛИЧНИТЕ ДАННИ. ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА.

Чл. 12. Осигуряване на достъп на лицата до личните им данни:
(1) Всяко физическо лице има право на достъп до отнасящи се за него лични данни. В случаите, когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, Администраторът е длъжен да предостави на съответното физическо лице достъп до частта от тях, отнасяща се само за него.
(2) Заетите по трудови и граждански правоотношения, както и контрагентите, имат право на достъп до личните си данни, които се съхраняват в Дружеството. За целта лицата подават писмено заявление до Дружеството, в това число и по електронен път по реда на Закона за електронния документ и електронния подпис.
(3) Заявлението съдържа име на лицето, адрес и други данни, които го идентифицират – три имена, ЕГН, длъжност и месторабота (когато е относимо), описание на искането, предпочитана форма за предоставяне достъпа до лични данни, подпис, дата и адрес за кореспонденция, а когато заявлението се подава от упълномощено лице и нотариално заверено пълномощно. Заявлението се завежда в общия входящ регистър на Дружеството.
(4) При получаване на заявление за достъп до собствени на заявителя лични данни, представляващият Дружеството или упълномощено от него лице разглежда заявлението за достъп. Срокът за разглеждане на заявлението и произнасяне по него е от 1 до 3 месеца от деня на подаване на искането. Администраторът предприема необходимите мерки за предоставяне на информация, която се отнася до обработването на лични данни на заявителя в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства.
(5) Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение, което отново се съобщава на заявителя по реда на предходното изречение.
(6) Администраторът предоставя на заявителя следната информация:
6.1. данните, които идентифицират Администратора и координатите за връзка с него, и когато е приложимо, тези на представителя на Администратора
6.2. координатите за връзка с длъжностното лице по защита на личните данни, когато е приложимо;
6.3. целите на обработването, за което личните данни са предназначени, както и правното основание за тяхното обработване;
6.4. съответните категории лични данни на заличителя, които се обработват от Администратора;
6.5. получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави по смисъла на Регламента или международни организации, както и техните гаранции за защита;
6.6. когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
6.7. съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със заявителя, както и правото да се направи възражение срещу такова обработване;
6.8. Правото на жалба до Комисията за защита на личните данни.
6.9. Съществуването на автоматизирано вземане на решения относно субекта на личните данни, включително профилиране, и съществената информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните;
6.10. Когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник.
(7) Администраторът се задължава да съобщава за всяко коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. Администраторът информира субекта на данните относно тези получатели, ако субектът на данните поиска това.

Чл. 13. Достъп на трети лица до лични данни на служители, лица по граждански правоотношения с Дружеството и/или контрагенти на Дружеството.
(1) Носителите на лични данни не се изнасят извън сградата на Администратора и не се предоставят на трети лица освен в предвидените от закона и в настоящите Правила случаи.
(2) Под трети лица в предвидените от закона случаи се разбират всички компетентни държавни и общински органи, вкл. органи на съдебната власт и ревизиращи органи, имащи право на достъп до личните данни на служителите, лицата по граждански правоотношения с Дружеството и/или контрагентите на Дружеството. На компетентните органи се осигурява достъп до личните данни съгласно законовите изисквания в зависимост от конкретния случай.
(3) Освен лицата по ал.2, право на достъп до личните данни на служителите, лицата по граждански правоотношения с Дружеството и/или контрагентите на Дружеството имат и всички дружества, предоставящи услуги на Администратора на лични данни – счетоводни, юридически, застрахователни, банкови институции, здравно-осигурителни фондове, частни съдебни изпълнители и други.
(4) Решението си за предоставяне или отказване достъп до лични данни за съответното лице Администраторът съобщава на третите лица в подходящ срок от подаване искането, без ненужно забавяне.

Чл. 14. (1) Предоставянето на лични данни в държава – членка на Европейския съюз, както и в друга държава – членка на Европейското икономическо пространство, се извършва при спазване на изискванията на действащото европейско и национално законодателство.
(2) Предоставяне на лични данни в трета държава извън тези по ал.1 се допуска само ако тя осигурява адекватно ниво на защита на личните данни на своя територия.

Чл. 15. Срок за съхраняване на личните данни:
(1) Регистър „Служители по трудови договори и лица по граждански договори”:
1.1. Различните носители на счетоводна информация, съдържащи лични данни от този регистър, се съхраняват в предвидените в Закона за счетоводството (ЗСч.) срокове, както следва:
(а) ведомости за заплати и трудови досиета (документите във връзка с възникването, съществуването, изменението и прекратяването на трудовото правоотношение) – 50 г., считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят (чл. 12, ал. 1, т. 1 от ЗСч.);
(б) счетоводни регистри и финансови отчети, включително документи за данъчен контрол, одит и последващи финансови инспекции – 10 г., считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят (чл. 12, ал. 1, т. 2 от ЗСч.);
(в) всички останали носители на счетоводна информация – 3 г., считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят (чл. 12, ал. 1, т. 3 от ЗСч.);
Под отчетен период следва да се има предвид определението му, дадено в пар. 1, т. 14 от Допълнителните разпоредби на Закона за счетоводството, а именно: календарната година (1 януари – 31 декември).
1.2. Видоветe лични данни на служителите и на лицата по граждански договори, които не се съдържат в носителите на информация по предходната точка, се съхраняват за срок от 1 месец, считано от датата на отпадане на основанието за тяхното обработване, в т.ч. след изтичане на всички задължения по договора като евентуални съдебни претенции, гаранционна отговорност и др. В срок до 30 дни след изтичане на установените по-горе срокове, личните данни се унищожават.
(2) Регистър „Търговски контрагенти”:
2.1. Различните носители на счетоводна и данъчна информация, съдържащи лични данни от този регистър – на контрагентите на Дружеството, с които е сключен договор, се съхраняват в предвидените в Закона за счетоводството (ЗСч.) и в Данъчно – осигурителния процесуален кодекс (ДОПК) срокове, както следва:
(а) счетоводни регистри и финансови отчети, включително документи за данъчен контрол, одит и последващи финансови инспекции – 10 г., считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят (чл. 12, ал. 1, т. 2 от ЗСч.);
(б) всички останали носители на счетоводна информация, с изключение на ведомости за заплати и трудови досиета – 3 г., считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят (чл. 12, ал. 1, т. 3 от ЗСч.);
(в) документи за данъчно-осигурителен контрол – съхраняват се за срок до 5 г. след изтичане на давностния срок за погасяване на евентуални данъчни задължения на Дружеството за годината, през която договорът е прекратен/развален, считано от годината, през която съответния договор е прекратен/развален, и в случай че при прекратяването/развалянето на договора няма спорове относно неговото изпълнение.
2.2. Личните данни на контрагентите, с които е сключен договор, и които не се съдържат в носителите на информация по предходната точка, се съхраняват за срок от 30 дни, считано от датата на отпадане на основанието за тяхното обработване (от прекратяването на договора – предсрочно или на друго основание, предвидено в същия, в т.ч. след изтичане на всички задължения по договора като евентуални съдебни претенции, гаранционна отговорност и др. )
Ако съответният контрагент, в рамките на посочения срок, изрично поиска личните му данни да бъдат изтрити (забравени) или обработването им да бъде ограничено, то съхраняването на съответните данни ще бъде преустановено и същите ще бъдат унищожени при първа възможност след получаване на искане от контрагента, освен ако не е налице изрично законово основание за продължаване обработването им.

Чл. 16. Периодично архивиране – архивирането на личните данни на технически носител се извършва периодично всеки един месец от обработващия лични данни с оглед запазване на информацията за съответните лица в актуален вид. Същото се извършва на надеждни оптични носители (CD-носители, USB-флашки и др.), достъп до които има само обработващият съответните лични данни.

Чл. 17. (1) Дружеството се задължава, в случай на постъпила молба от физическо лице, чийто лични данни се обработват от Администратора, да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:
1. личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
2. лицето оттегля своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
3. лицето възразява срещу автоматичното вземане на решения, прилагано от Администратора с неговите лични данни и няма други законни основания за обработването, които да имат преимущество, или лицето изрично възразява срещу обработването;
4. личните данни са били обработвани незаконосъобразно;
5. личните данни трябва да бъдат изтрити с цел спазване на задължение по европейското или национално право;
6. личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца.

(2) Администраторът има право да откаже извършването на действията по ал.1, ако обработването е необходимо:
1. За упражняването на правото на свобода на изразяването и свобода на информацията;
2. За спазване на правно задължение, което изисква обработване, предвидено в европейското или национално законодателство, което се прилага спрямо Администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на Администратора.
3. По причини от обществен интерес в областта на общественото здраве
4. За целите на архивирането в обществен интерес, за научни и исторически изследвания или за статистически цели, доколкото съществува вероятност правото, установено в националното законодателство да направи невъзможно или сериозно да затрудни постигането на целите на това обработване;
5. За установяването, упражняването или защитата на правни претенции.

Чл. 18. (1) Преносимост на данните: Субектът на данните има право да получи личните данни, които той е представил на Администратора, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от Администратора, на когото е предоставил личните данни, когато:
(a) Обработването е основано на съгласието на субекта на данни или на договорно задължение;
(б) Обработването се извършва по автоматизиран начин.
(2) Когато субектът упражнява правото си на преносимост на данните по ал.1, то той има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.

Чл. 19. (1) В случай на нарушение на сигурността на личните данни, Администраторът, без ненужно забавяне, но не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни Комисията за защита на личните данни („КЗЛД“), освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Ако уведомлението до КЗЛД не е подадено в срок от 72 часа от нарушението, Администраторът трябва да съобщи и причините за забавянето.

(2) Уведомлението съдържа най-малко следната информация:
1. описание на естеството на нарушението на сигурността на личните данни, включително, ако е възможно, категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;
2. посочване на името и координатите за връзка с длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;
3. описание на евентуалните последици от нарушението на сигурността на личните данни;
4. описание на предприетите или предложените от Администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

(3) В случаите, когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни. Съобщението следва да бъде дадено на ясен и прост език, да дава информация за естеството на нарушението на сигурността на личните данни и да съдържа най-малко информация относно:
1. името и координатите за връзка на длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;
2. евентуалните последици от нарушението на сигурността на личните данни;
3. предприетите или предложените от Администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

(4) Задължението на Администратора за уведомяване на субекта на личните данни по ал.3 не се прилага, в случай че е налице едно от следните условия:
1. Администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;
2. Администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни;
3. То би довело до непропорционални усилия на Администратора. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.

Чл. 20. Администраторът има задължение да извърши оценка на въздействието съгласно изискванията на Регламент 679/2016 ЕС, в случай че обработваните от него лични данни биха могли да породят висок риск за правата и свободите на физическите лица. Оценка на въздействие е процес за определяне нивата на въздействие върху конкретно физическо лице или група физически лица, в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица при нарушаване на поверителността, целостта или наличността на личните данни. Оценката на въздействието се извършва периодично на всеки две години, а при промяна на характера на обработваните лични данни или броя на засегнатите физически лица, оценката на въздействието може да бъде извършвана и по-рано.

Чл. 21. (1) Администраторът въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването, като това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. Подобни мерки гарантират, че по подразбиране без намеса от страна на субекта неговите лични данни не са достъпни за неограничен брой физически лица.
(2) При внедряване на нов програмен продукт за обработване на лични данни ръководният орган на Дружеството назначава нарочна комисия по тестване и проверка възможностите на продукта с оглед спазване изискванията на европейското и национално законодателство в тази връзка и осигуряване максималната им защита от неправомерен достъп, загубване, повреждане или унищожаване на личните данни.

Чл. 22. Настоящата инструкция се свежда до знанието на всички служители на Дружеството, както и до назначените по граждански договор лица. За неизпълнение на задълженията по тази инструкция и действащото към съответния момент национално и европейско законодателство за защита на личните данни, съответните лица носят дисциплинарна и имуществена отговорност.