ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
I. Въведение и представяне
1) По смисъла на чл. 4, пар. 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. „УЧЕБЕН ЦЕНТЪР ПАВЕЛ ПИСКАРЬОВ” ЕООД е администратор на лични данни. По смисъла на чл.4, параграф 8 от Регламента „УЧЕБЕН ЦЕНТЪР ПАВЕЛ ПИСКАРЬОВ” ЕООД е обработващ лични данни
II. Основна информация за ДРУЖЕСТВОТО
2) Наименование на дружеството: „УЧЕБЕН ЦЕНТЪР ПАВЕЛ ПИСКАРЬОВ” ЕООД
3) Седалище и адрес на управление: град София, п.к. 1000, район “Възраждане ”, ул. ”Лавеле” , блок 31Б, вх. Б, ет. 4, ап. 24
4) ЕИК: 206663125
5) Телефон: 0887625818
6) E-mail: neurograffbg@gmail.com
7) Web: https://neurograff-bg.com
III. Цел на политиката за защита на лични данни
Настоящата политика има за цел да заяви позицията на ръководството на „УЧЕБЕН ЦЕНТЪР ПАВЕЛ ПИСКАРЬОВ” ЕООД, от тук нататък наричано за краткост Администратор/ът/а, по отношение на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. (от тук нататък наричан за краткост Регламент/ът/а). Чрез настоящата политика ръководството гарантира, че дейностите на Администратора са насочени към спазване на изискванията на Регламента и на Закона за защита на личните данни.
Политиката за защита на данните поставя рамката, в която дружеството ще работи според изискванията и добрите практики.
IV. Обхват на политиката за лични данни
Настоящата политика за защита на личните данни засяга дейността на Администратора и зависими от него дружества и техните служители. „Зависим“ в настоящата политика означава, че Администраторът може да наложи пряко приемането на тази политика за защита на данните или непряко въз основа на договор или споразумение. Политиката за защита на данните обхваща цялостната обработка на лични данни.
V. Определения
По смисъла на Регламента (чл. 4) настоящата Политика използва следните определения:
1) „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано;
2) „субект на данни“ е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
3) „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
4) „регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;
5) „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни;
6) „обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
7) „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
8) „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.“
VI. Принципи за обработка на личните данни (съгласно чл. 5 от Регламента)
1. Ограничаване до определена цел
1.1 Личните данни могат да се обработват само за целта, която е била определена преди събирането им. Последващите промени в целта са възможни само в ограничени случаи и изискват обосновка.
1.2 По-нататъшно обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита за несъвместимо с първоначалните цели, съгласно член 89, параграф 1.
2. Законосъобразност, добросъвестност и прозрачност
2.1 Личните данни се обработват законосъобразно, добросъвестно и прозрачно
2.1.1 Законосъобразно – с идентифицирана законна основа/правно основание.
2.1.2 Добросъвестно – Администраторът предоставя необходимата информация на субектите на данни, доколкото това е практически възможно. Това важи независимо дали личните данни са получени директно от субектите на данни или от други източници.
2.1.3 Прозрачно – във всеки един момент Администраторът може да предостави обобщена, кратка и разбираема информация по достъпен начин.
3. Свеждане на данните до минимум;
3.1 Личните данни, които организацията обработва са адекватни, относими, ограничени до това, което е необходимо за обработването им спрямо съответната цел с оглед спазване на принципа на минимално необходимото.
3.2 Ръководството ще гарантира, че на годишна основа всички способи за събиране на данни се преглеждат, за да се гарантира, че събраните данни продължават да бъдат адекватни, относими и не са прекомерни.
4. Точност
Личните данни трябва да бъдат точни и актуализирани във всеки един момент и да са положени необходимите усилия, за да е възможно незабавно (в рамките на възможните технически решения) изтриване или коригиране.
5. Ограничение на съхранението
Администраторът не допуска събиране на лични данни предварително и съхраняването им за потенциални бъдещи цели. Администраторът съхранява обработвани лични данни в срокове, предвидени в законодателството на страната.
6. Цялостност и поверителност на данните
6.1 Личните данни се обработват по начин, който гарантира подходящо ниво на сигурността им, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически и/или организационни мерки;
6.2 Личните данни се третират като поверителна информация и за опазването им са осигурени подходящи организационни и технически мерки с цел предотвратяване на неоторизиран достъп, нелегална обработка или разпространение, както и случайна загуба, промяна или унищожаване.
7. Отчетност
Администраторът ще доказва спазването на принципите за защита на данните чрез прилагане на политики по защита на данните, и когато се налага - чрез присъединяване към кодекси за поведение, внедряване на подходящи технически и организационни мерки, приемане на техники по защита на данните на етапа на проектирането и защита на данните по подразбиране, оценка на въздействието върху защитата на личните данни, процедура за уведомяване за нарушаване на лични данни и др.
VII. Категории субекти на данни
В бизнес дейността си Администраторът има взаимодействие със следните категории субекти на данни:
1. Представители на юридически лица, информацията за които е публично достъпна в регистрите на Агенцията по вписванията.
2. Физически лица – потребители на услугите на Администратора или потенциални такива.
3. Физически лица, наети по трудови/граждански договори за Администратора или в други договорни отношения.
VIII. Категории лични данни
1. Лични данни, вкл. чувствителни такива, които се обработват от Администратора, са
1.1 Имена, дата и място на раждане, ЕГН, друг личен идентификационен номер, възраст, пол.
1.2 Адрес, телефонен номер, данни от документ за самоличност.
1.3 Снимка, обучение и квалификация, информация за трудовата заетост.
1.4 Семейно положение, деца.
1.5 Здравословно състояние.
1.6 Финансова информация (банкови данни, номера на банкова карта, име на картодържател).
1.7 Онлайн идентификатор (IP идентификатор, cookies, MAC адрес и др.).
2. Лични данни, вкл. чувствителни такива, които НЕ се обработват от администратора, са:
2.1 Електронни данни за локализиране (GSM location, GPS, др.);
2.2 Расова и етническа информация;
2.3 Психическо здраве;
2.4 Политически убеждения;
2.5 Религиозни или сходни вярвания;
2.6 Членства в търговски или други сдружения, общества и др.;
2.7 Сексуален живот;
IX. Правни основания
1. Съгласие (от клиент, партньор, доставчик, служител и др.):
1.1 Администраторът поддържа информация за данните, събрани въз основа на съгласие на субекта.
1.2 Администраторът поддържа документация (на хартия или в електронен вид) за изразеното съгласие с цел доказване пред компетентните органи.
1.3 Администраторът е подсигурил възможност за оттегляне на даденото съгласие по всяко време толкова лесно, колкото е дадено.
2. Сключване или изпълнение на договор, вкл. трудови и граждански договори
3. Законово задължение или легитимен интерес.
Видът и обхватът на обработката на данни при наличие на законово основание трябва да са обективно необходими.
Личните данни могат да бъдат обработвани при наличие на легитимен интерес на дружеството.
X. Цели на обработване на данни
1. По трудови/граждански взаимоотношения – за сключване на трудови и граждански договори;
2. За целите на счетоводното отчитане;
3. За търговска и маркетингова дейност;
4. Съгласно договорни отношения с контрагенти.
XI. Права на субектите на данни
1. Администраторът осигуряват практическа възможност за упражняване на правата, които Регламент 2016/679 предоставя на субектите на данни:
1.1 право на достъп до личните данни, които се обработват от Администратора;
1.2 право на коригиране или допълване на неточни или непълни лични данни;
1.3 право на изтриване („да бъдеш забравен“) на лични данни, които се обработват незаконосъобразно или с отпаднало правно основание (изтекъл срок на съхранение, оттеглено съгласие, изпълнена първоначална цел, за която са били събрани и др.);
1.4 право на ограничаване на обработването – при наличие на правен спор между Администратора и субекта на данни до неговото решаване и/или за установяването, упражняването или защитата на правни претенции;
1.5 право на преносимост на данните – ако се обработват по автоматизиран начин на основание съгласие или договор. За целта данните се предават в структуриран, широко използван и пригоден за машинно четене формат.
1.6 право на възражение – по всяко време и на основания, свързани с конкретната ситуация на субекта, при условие, че не съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или съдебен процес;
1.7 право да не бъде обект на изцяло автоматизирано решение, включващо профилиране, което поражда правни последствия за субекта на данните или го засяга в значителна степен;
1.8 право на жалба до надзорен орган.
XII. Предоставяне на лични данни
Администраторът осигурява условия, при които личните данни не се разкриват на неупълномощени трети страни, което включва членове на семейството, приятели, държавни органи, дори разследващи такива, ако има основателно съмнение, че не се изискват по установения ред.
Всички искания от трети страни за предоставяне на данни трябва да бъдат подкрепени с подходяща документация и всички такива разкривания на данни трябва да бъдат специално разрешени от отговорното за защита на данните лице.
Извън организацията Администраторът предоставя данни на следните контрагенти:
1. Публични органи – НАП, НОИ, НСИ.
2. На други обработващи лични данни съобразно нуждите на бизнес дейността:
2.1 Счетоводна кантора
XIII. Трансфер на данни
1. Администраторът третира всеки износ на данни от рамките на ЕС към страни извън ЕС (посочени в Регламента като „трети страни“) като незаконен, освен ако няма подходящо ниво на защита на основните права на субектите на данни.
2. Изключения: прехвърляне на лични данни в трета страна или международна организация се извършва само при едно от следните условия:
2.1 предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта на данните между Администратора и друго физическо или юридическо лице;
2.2 предаването е необходимо поради важни причини от обществен интерес;
2.3 предаването е необходимо за установяването, упражняването или защитата на правни претенции;
2.4 предаването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на други лица, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;
2.5 предаването се извършва от регистър, който съгласно правото на ЕС или правото на държавите членки е предназначен да предоставя информация на обществеността и е достъпен за справка от обществеността по принцип или от всяко лице, което може да докаже, че има законен интерес за това, но само доколкото условията за справка, установени в правото на Съюза или правото на държавите членки, са изпълнени в конкретния случай.
XIV. Съхранение и унищожаване на данни
1. Администраторът не съхранява лични данни във вид, който позволява идентифицирането на субектите за по-дълъг период отколкото е необходимо, по отношение на целите, за които са били събрани данните.
2. Администраторът може да съхранява данни за по-дълги периоди единствено ако личните данни ще бъдат обработвани за целите на архивиране, за цели в обществен интерес и за статистически цели, и само при изпълнението на подходящи технически и организационни мерки за гарантиране на правата и свободите на субекта на данните.
3. Процедура за унищожаване на данните, приета от Администратора, се прилага във всички случаи.
4. Личните данни ще бъдат унищожени сигурно, съгласно принципа за гарантиране на подходящо ниво на сигурност (чл. 5, пар. 1 б. е) от Общия регламент) – включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.
XV. Мерки за сигурност
1. Администраторът е осигурил съответните технически и организационни мерки за сигурност на обработваните данни, подробно описани в Регистъра на дейностите по обработването на данни.
2. Всички служители/работници на Администратора са отговорни за гарантирането на сигурността при съхраняването на данните, за които те отговарят и които Администраторът събира, както и, че данните се съхраняват сигурно и не се разкриват при каквито и да било обстоятелства на трети страни, освен ако Администраторът не е дал такива права на тази трета страна, като са сключили договор/клауза за поверителност.
3. Всички лични данни трябва да бъдат достъпни само за тези, които се нуждаят от тях, а достъпът може да бъде предоставен само в съответствие с изградените правила за контрол на достъпа.
XVI. Уведомяване при нарушение на сигурността на данните
1. В случай на нарушение на сигурността на личните данни Администраторът без ненужно забавяне и когато това е осъществимо, но не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни КЗЛД като надзорен орган за Република България в съответствие с член 55. Уведомлението до надзорния орган съдържа причините за забавянето, когато не е подадено в срок от 72 часа.
2. Обработващият лични данни уведомява администратора без ненужно забавяне, след като узнае за нарушаване на сигурността на лични данни.
3. Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.
4. Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него. Тази документация дава възможност на надзорния орган да провери дали е спазен член 33 от Регламента. Всички промени в настоящата политика, ще бъдат своевременно отразявани в сайта на „УЧЕБЕН ЦЕНТЪР ПАВЕЛ ПИСКАРЬОВ” ЕООД.
28.03.2022 г.
гр. София