ВЪТРЕШЕН РЕГИСТЪР НА ДЕЙНОСТИТЕ ПО ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
АДМИНИСТРАТОР
Контакт с администратора на лични данни:
Име: Пламен Арнаудов
Длъжност: Управител на Евинат ООД
Телефон: +359 889 262 662
Служител по защита на личните данни за фирма: Евинат ООД
ЦЕЛИ
Като част от своята социална отговорност Евинат ООД се ангажира с международното спазване на законите за защита на данните. Този регистър се прилага в световен мащаб за Евинат ООД и се основава на общоприети основни принципи за защита на личните данни. Осигуряването на защита на личните данни е в основата на надеждните бизнес отношения и репутацията на Евинат ООД като привлекателен работодател.
Регистърът гарантира адекватното ниво на защита на данните, предписано от директивата на Европейския съюз за защита на личните данни и националните закони, включително в държави, в които все още няма адекватни закони за защита на личните данни.
ОБХВАТ
Този регистър на дейностите по обработване на личните данни се прилага за всички офиси на фирма Евинат ООД, всички нейни служители и трети страни, които обработват, съхраняват и унищожават лични данни по задание на Евинат ООД. Анонимни данни, напр. за статистически оценки или проучвания, не подлежи на тази политика за защита на данните.
При промени в този регистър ще бъдат извършени съответните процеси, които ще гарантират известяването на всички лица във фирма Евинат ООД и лицата субекти, за които фирмата събира и обработва лични данни.
Най-новата версия на регистъра на дейностите по обработване на личните е достъпна на уебсайта на Евинат ООД: www.evinat.com.
КАТЕГОРИИ СУБЕКТИ И ЛИЧНИ ДАННИ
КЛИЕНТИ И ПАРТНЬОРИ
Обработка на данни за договорни отношения
Личните данни на съответните клиенти и партньори могат да бъдат обработени, за да се установи, изпълни и прекрати договора. Това включва и консултантски услуги за партньора по договора, ако това е свързано с договорната цел. Преди сключването на договора – по време на фазата на започване на договора – личните данни могат да бъдат обработвани, за да се подготвят поръчки или поръчки за покупка или да се изпълнят други искания на субекта, свързани със сключването на договора.
Обработка на данни с рекламна цел
Ако субектът на данни се свърже с фирма Евинат ООД, за да поиска информация (например искане за получаване на информационен материал за продукт или услуга), обработката на данни, за да отговори на тази молба, е разрешена.
Личните данни могат да бъдат обработвани за рекламни цели или за проучване на пазара и общественото мнение, при условие че това е в съответствие с целта, за която първоначално са събрани данните.
Ако субектът на данните откаже използването на данните си за рекламни цели, неговите данни вече не може да се използват за тези цели и трябва да бъдат изтрити.
Съгласие за обработка на данни
Регистърът на дейностите по обработване на лични данни се публикува на сайта на фирма Евинат ООД – www.evinat.com, където всички субекти на лични данни могат да го прочетат. При инициализиране на контакт, по който и да е от каналите за комуникация с фирмата, от страна на субект, който предоставя личните си данни, той се съгласява, че прочел и е информиран относно дейностите по обработване на личните данни на фирма Евинат ООД.
Обработка на данни съгласно законово разрешение
Обработката на лични данни е разрешена и ако националното законодателство изисква, изисква или позволява това. Видът и обхватът на обработката на данни трябва да са необходими за законно разрешената дейност по обработка на данни и трябва да са в съответствие със съответните законови разпоредби.
Обработка на данни при законен интерес
Личните данни също могат да бъдат обработени, ако това е необходимо за легитимен интерес на Евинат ООД. Законните интереси са по принцип правни (например събиране на дължими вземания) или търговски характер (например, избягване на нарушения на договора). Личните данни не могат да бъдат обработвани за целите на законния интерес, ако в отделни случаи има доказателства, че интересите на субекта на данните заслужават защита и че това има предимство. Преди данните да бъдат обработени, е необходимо да се определи дали има интереси, които заслужават защита.
Обработка на високочувствителни данни
Високо чувствителните лични данни могат да бъдат обработвани само ако законът изисква това или субектът на данните е дал изрично съгласие. Тези данни могат също да бъдат обработени, ако са задължителни за установяване, упражняване или защита на съдебни искове по отношение на субекта на данните.
Потребителски данни и интернет
Уеб сайтът на фирма Евинат ООД събира анонимни бисквитки, анонимна системна информация за коректната работа на уеб сайта и анонимна статистическа информация чрез популярна услуга за уеб анализ.
СЛУЖИТЕЛИ
Обработка на данни за трудово правоотношение
В трудовите правоотношения личните данни могат да бъдат обработвани, ако е необходимо, за да се инициира, изпълни и прекрати трудовото споразумение. При започване на трудово правоотношение личните данни на жалбоподателите могат да бъдат обработвани. Ако кандидатът бъде отхвърлен, данните му трябва да бъдат заличени при спазване на изискуемия период на задържане, освен ако кандидатът не се е съгласил да остане на място за бъдещ процес на подбор. Също така е необходимо съгласието да се използват данните за по-нататъшни процеси на кандидатстване или преди да се споделят заявленията с други компании от групата.
В съществуващото трудово правоотношение обработването на данни винаги трябва да се отнася до целта на трудовото споразумение, ако не се прилага нито едно от следните обстоятелства за разрешената обработка на данни.
Ако в процеса на кандидатстване е необходимо да се събере информация за кандидат от трета страна, трябва да се спазват изискванията на съответните национални закони. В случай на съмнение, съгласието трябва да бъде получено от субекта на данните.
Трябва да има законово разрешение за обработка на лични данни, което е свързано с трудовото правоотношение, но първоначално не е част от изпълнението на трудовото споразумение. Това може да включва законови изисквания, колективни разпоредби с представители на служителите, съгласие на служителя или законния интерес на компанията.
Обработка на данни съгласно законно разрешение
Обработването на лични данни за служителите също е разрешено, ако националното законодателство изисква или разрешава това. Видът и обхватът на обработката на данните трябва да са необходими за законно разрешената дейност по обработка на данни и трябва да са в съответствие със съответните законови разпоредби. Ако има някаква законосъобразност, интересите на служителя, които заслужават защита, трябва да бъдат взети под внимание.
Колективни споразумения за обработка на данни
Ако дадена дейност по обработка на данни превишава целите на изпълнение на договора, тя може да бъде допустима, ако е разрешена чрез колективен трудов договор. Колективните споразумения са споразумения за заплащане или споразумения между работодатели и представители на работниците и служителите, в рамките на позволеното съгласно съответното трудово право. Споразуменията трябва да покриват специфичната цел на планираната дейност по обработка на данни и трябва да бъдат изготвени в съответствие с националните законодателства за защита на данните.
Съгласие за обработка на данни
Данните за служителите могат да бъдат обработвани със съгласието на съответното лице. Декларациите за съгласие трябва да бъдат подадени доброволно. Неволното съгласие е невалидно. Декларацията за съгласие трябва да бъде получена в писмена форма или по електронен път за целите на документацията. При определени обстоятелства съгласието може да бъде дадено устно, в който случай трябва да бъде надлежно документирано. В случай на информирано и доброволно предоставяне на данни от съответната страна може да се приеме съгласие, ако националното законодателство не изисква изрично съгласие.
Обработка на данни при законен интерес
Личните данни също могат да бъдат обработени, при необходимост да се наложи законният интерес на Евинат ООД. Личните данни не могат да бъдат обработвани въз основа на законни интереси, ако в отделни случаи има доказателства, че интересите на служителя заслужават защита. Преди да се обработват данните, трябва да се определи дали има интереси, които заслужават защита.
Обработка на чувствителни лични данни
Чувствителните лични данни могат да бъдат обработвани само при определени условия. Силно чувствителни данни са данни за расов и етнически произход, политически убеждения, религиозни или философски убеждения, членство в синдикати и здравословен и сексуален живот на субекта на данните. Съгласно националното законодателство, други категории данни могат да се считат за много чувствителни или съдържанието на категориите данни може да бъде изключено отделно. Освен това данните, свързани с престъпление, могат да бъдат обработвани само при специални изисквания съгласно националното законодателство.
Обработката трябва да бъде изрично разрешена или предписана от националното законодателство. Освен това обработването може да бъде разрешено, ако е необходимо отговорният орган да изпълни своите права и задължения в областта на трудовото право. Служителят може също изрично да одобри обработката.
Автоматизирани решения
Ако личните данни се обработват автоматично като част от трудовото правоотношение и се оценяват конкретни лични данни (например като част от подбора на персонал или оценката на уменията), тази автоматична обработка не може да бъде единствената основа за вземане на решения, последици или съществени проблеми за избрания служител. За да се избегнат грешни решения, автоматизираният процес трябва да гарантира, че физическо лице оценява съдържанието на ситуацията и че тази оценка е в основата на решението. Субектът на данните също трябва да бъде информиран за фактите и резултатите от автоматизираните индивидуални решения и за възможността да отговори.
Телекомуникации и интернет
Телефонното оборудване, електронните адреси, интранет и интернет, заедно с вътрешни социални мрежи, се предоставят от компанията основно за задачи, свързани с работата. Те са инструмент и ресурс на компанията. Те могат да се използват в рамките на приложимите правни разпоредби и вътрешната политика на компанията.
РАЗКРИВАНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ЛИЦА
Обработката на лични данни по задание
Обработката на лични данни по задание означава, че даден доставчик е нает да обработва лични данни от името на Евинат ООД. В тези случаи трябва да се сключи споразумение/клауза за обработка на лични данни по задание между Евинат ООД и съответните външни изпълнители. Евинат ООД запазва пълната отговорност за правилното изпълнение на обработката на лични данни. Изпълнителят може да обработва лични данни само съгласно инструкциите на клиента. При издаването на поръчката трябва да се спазват следните изисквания: отделът, който подава поръчката, трябва да гарантира, че те са изпълнени.
- Изпълнителят трябва да бъде избран въз основа на неговата способност да покрива необходимите технически и организационни защитни мерки.
- Инструкциите за обработка на данни и отговорностите на Евинат ООД и изпълнителя трябва да бъдат документирани.
- Преди да започне обработката на личните данни, представителите на Евинат ООД трябва да бъдат уверени, че изпълнителят ще изпълни задълженията си. Изпълнителят може да документира спазването на изискванията за сигурност на данните, по-специално чрез представяне на подходящо сертифициране. В зависимост от риска от обработката на данните проверките трябва да се повтарят редовно по време на срока на договора.
- В случай на трансгранична обработка на данни по договор трябва да бъдат спазени съответните национални изисквания за разкриване на лични данни в чужбина. По-специално личните данни от Европейското икономическо пространство могат да бъдат обработвани в трета държава само ако доставчикът може да докаже, че е налице стандарт за защита на данните, еквивалентен на тази политика за защита на данните.
Предоставяне на данни съгласно законно разрешение
Предоставянето на лични данни на държавни институции също е разрешено, ако националното законодателство изисква или разрешава това. Видът и обхватът на обработката на данните трябва да са необходими за законно разрешената дейност по обработка на данни и трябва да са в съответствие със съответните законови разпоредби. Ако има някаква законосъобразност, интересите на служителя, които заслужават защита, трябва да бъдат взети под внимание.
ПРЕДВИДЕНИ СРОКОВЕ ЗА ИЗТРИВАНЕ
КЛИЕНТИ И ПАРТНЬОРИ
Срок за изтриване: До 10 работни дни след изтичане на договорните отношения и гаранционния период, освен, ако клиентът/партньорът не пожелае Евинат ООД да запази личните му данни за контакт и след този срок или не се появи на лице нов договор между Евинат ООД и същия клиент/партньор. При предоставяне на лични данни посредством записване на фирмения бюлетин – до отказ за получаване на рекламни съобщения. При наличие на законен интерес на фирмата или законово решение – до 10 работни дни след приключване на интереса и/или решението.
СЛУЖИТЕЛИ
Срок за изтриване: До 10 работни дни след приключване на трудовите правоотношения, освен, ако служителят не пожелае Евинат ООД да запази личните му данни за контакт и след този срок или не се появи на лице нов договор между Евинат ООД и същия служител. При наличие на законен интерес на фирмата или законово решение – до 10 работни дни след приключване на интереса и/или решението.
ОБЩО ОПИСАНИЕ НА МЕРКИТЕ ЗА СИГУРНОСТ
Личните данни са обект на тайна. Всяко неразрешено събиране, обработка или използване на такива данни от служители е забранено. Всяко обработване на данни, предприето от служител, за което не е било разрешено да извършва част от неговите законни задължения, е неоторизирано. Служителите могат да имат достъп до лична информация само, както е подходящо за вида и обхвата на въпросната задача. Това изисква внимателно разпределяне и изпълнение, на ролите и отговорностите.
На служителите се забранява да използват лични данни за лични или търговски цели, да ги разкриват на неупълномощени лица или да ги предоставят по друг начин. Надзорните органи трябва да информират своите служители в началото на трудовото правоотношение относно задължението за защита на личните данни данните. Това задължение остава в сила, дори ако заетостта е приключила.
Личните данни трябва да бъдат защитени от неразрешен достъп и незаконна обработка или разкриване, както и случайна загуба, промяна или унищожаване. Това важи независимо от това, дали данните се обработват по електронен път или на хартиен носител. Преди въвеждането на нови методи за обработка на данни, особено нови информационни системи, трябва да бъдат определени и приложени технически и организационни мерки за защита на личните данни. Тези мерки трябва да се основават на състоянието на техниката, рисковете от обработката и необходимостта от защита на данните (определени от процеса на класифициране на информацията).
Техническите и организационни мерки за защита на личните данни са част от управлението на корпоративната информационна сигурност и трябва непрекъснато да се адаптират към техническото развитие и организационните промени.
Всички служители трябва незабавно да информират своя надзорник, който да информира администратора, или да информират директно администратора на лични данни за случаи на нарушения на тази политика за защита на личните данни.
В случаите на
- Неправилно предаване на лични данни на трети страни,
- Неправомерен достъп на трети лица до лични данни или
- Загуба на лични данни
необходимите фирмени доклади трябва да бъдат направени незабавно, за да могат да бъдат спазени задълженията за докладване съгласно националното законодателство.
ПРАВА НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ
Всеки субект на лични данни има следните права. Обработката на личните му данни не трябва да поставя субекта в неблагоприятно положение.
- Субектът на данните може да поиска информация за това кои лични данни, свързани с него се съхраняват, как са събрани данните и за каква цел. Ако има допълнителни права за преглеждане на документите на работодателя за трудовото правоотношение (напр. персонал) съгласно съответните трудови закони, те ще останат незасегнати.
- Ако личните данни се предават на трети страни, трябва да се предостави информация за получателя или категориите получатели.
- Ако личните данни са неточни или непълни, субектът на данните може да поиска коригиране или допълване.
- Субектът на данните може да възрази срещу обработката на неговите данни за целите на реклама или проучване на пазара/общественото мнение. Данните трябва да бъдат изтрити от тези видове използване.
- Субектът на данните може да поиска да бъдат заличени неговите данни, ако обработването на такива данни няма правно основание или ако правното основание е престанало да се прилага. Същото важи и ако целта зад обработката на данни е изтекла или е престанала да бъде приложима по други причини.
Субектът на данните има право да възрази срещу обработването на данните му и това трябва да се има предвид, ако защитата на интересите му има предимство пред интереса на администратора на данни поради конкретно лично положение. Това не важи, ако правна разпоредба изисква данните да бъдат обработени.