Политика за поверителност

 

 

 

ПОЛИТИКА ЗА ОБРАБОТКА НА ЛИЧНИ ДАННИ

 

С настоящия Правилник се определят редът и начините за защита, обработка и предоставяне на достъп до лични данни от ВМ Ейджънси ООД („Дружеството“), в качеството си на администратор на лични данни по смисъла на чл. 4, т. 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), наричан тук и по-долу за краткост „ОРЗД“ във връзка с предоставяне на услуги чрез уебсайта https://juliadraws.eu/ .

 

Чл.1. (1) С този Правилник се уреждат организацията и механизмът на обработването и защитата на личните данни, съобразно изискванията на ОРЗД и на Закона за защита на личните данни (ЗЗЛД), както и вътрешните принципи на защита, установени в Дружеството.

 

Чл. 2. Настоящата политика следва да бъде сведена до знанието на всички лица, имащи отношения с Дружеството, включително чрез публикуването и на уебсайта https://juliadraws.eu/ .

 

       Чл. 3. (1) Дружеството поддържа регистри на дейностите по обработка по смисъла на чл. 30 от ОРЗД. Регистрите се съхраняват на хартиен носител и в електронен вид и следва да бъдат достъпни за съответните лица, които имат отговорности във връзка с поддържането им, както и за Комисията за защита на личните данни при спазване на законовите процедури.

 

Чл. 4. (1) Дружеството прилага адекватни технически и организационни мерки за защита на личните данни, които се обработват.

 

(2) Организационните мерки следва да бъдат съобразени с вътрешните процеси в Дружеството, при които се обработват лични данни, както и събразно идентифицираните регистри на обработка.

 

Чл. 5. (1) Техническите мерки за защита включват, но без да се ограничават до имплементиране на технически средства, позволяващи адекватно ниво на защита съобразно вида и обема от данни, които Дружеството обработва.

 

Чл. 6. (1) Организационните мерки за защита включват, но без да се ограничават до:

 

  • Подробно уреждане на облигационните отношения с трети страни във връзка с обработката на лични данни – включително чрез подписване на споразумение по реда на чл. 28 от ОРЗД;
  • Сключване на споразумения за конфиденциалност;
  • Въвеждане на процедури при упражняване на права от субекти на данни;
  • Въвеждане на процедура при нарушение в сигурността на данните, обработвани от Дружеството;

 

(2) Дружеството въвежда всички или част от мерките, предвидени в ал. 1 като съобразява вида и обема на личните данни, които се обработват.

 

Чл. 7. (1) Управителят на Дружеството е лицето, отговорно за опазването на сигурността на личните данни, обработвани от Дружеството.

 

Чл. 8. (1) При приемането на настоящата политика Дружеството надлежно е устновило, че не попада в хипотезите за задължително назначаване на длъжностно лице по защита на данните. Въвеждането и спазването на настоящата политика се извършва от управителя на Дружеството.

Чл. 9. (1) Лицата могат да упражняват правата си във връзка с обработката на личните им данни съгласно ОРЗД, за което подават заявление по реда, предвиден в чл. 37б и чл. 37в от ЗЗЛД, както и при спазване на приложимите разпоредби на ОРЗД.  

 

(2) Лицата, чиито лични данни се обработват от Дружеството, могат да упражняват своите права в тази връзка по електронен път, лично или чрез упълномощено лице.

 

(3) Правата на субектите на данни включват:

 

  • право на достъп и право да поискат коригиране на отнасящите се до тях лични данни, обработвани от администратора;
  • право да възразят срещу обработването на личните им данни за цели, различни от тези, за които са били събрани;
  • право на коригиране;
  • право на изтриване;
  • право на ограничаване на обработването;
  • право на преносимост;
  • право на ограничаване на обработването;

 

(4) Упражняването на правата от страна на субектите на данни не е абсолютно право и подлежи на определени ограничения съгласно разпоредбите на ОРЗД, издадените насоки на Европейския комитет по защита на данните, както и съгласно приложимата съдебна и друга практика на Съда на Европейския съюз, българските съдилища и Комисията за защита на личните данни.

 

   Чл. 10. Срокът за разглеждане на заявлението за упражняване на права него е 30-дневен от деня на подаване на искането, съответно може да бъде удължен с 30 дни, когато е необходимо повече време за събиране на личните данни на лицето, с оглед възможни затруднения в дейността на Дружеството. Решението се съобщава писмено на заявителя и/или по друг начин, посочен от него.

 

(3) При упражняването на права от страна на субект на данните, Дружеството взема предвид защитата на правата и интересите на други субекти, които могат да бъдат засегнати при подадено искане за упражняване на права от субект на данни. Правата и интересите на другите субекти включват, но не се ограничават до: търговска тайна, ангажименти за конфиденциалност, ноу-хау, лични данни, поризводствени тайни и т.н.

 

Чл. 11. Дружеството предприема необходимите мерки за предотвратяване на нарушения в сигурността на данните, но с оглед невъзможността да бъдат предвидени и отстранени всички възможни рискове, при констатирано нарушение в сигурността на данните, Дружеството и служителите следва да спазват и стриктно да изпълняват следния протокол:

 

Чл. 12. (1) Управителят следи за всички и всякакви признаци за нарушения в сигурността на данните, обработвани от Дружеството.

 

Чл. 13. (1) В случай на нарушение на сигурността на личните данни Дружеството, при спазване на процедурите в настоящия раздел, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрало за него, уведомява за нарушението на сигурността на личните данни Комисията за защита на личните данни, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Уведомлението до Комисията за защита на личните данни съдържа причините за забавянето, когато не е подадено в срок от 72 часа.

 

(2) В уведомлението по ал. 1 се съдържа:

 

  • описание на естеството на нарушението на сигурността на личните данни, включително, ако е възможно, категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;

 

  • посочване на името и координатите за връзка на Отговорника по защита на данните или на друга точка за контакт, от която може да се получи повече информация (включително обработващ, контрагент, служител и т.н.);

 

  • описание на евентуалните последици от нарушението на сигурността на личните данни;

 

  • описание на предприетите или предложените от Дружеството мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

 

Чл. 14. Дружеството, посредством всички отговорни служители и контрагенти и независимо от процедурите, описани в настоящия раздел, предприема незабавни мерки за спрявяне с нарушението в сигурността на данните и за ограничаване на евентуалните вредоносни последици за субектите на данни.

 

Чл. 15. (1) Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Дружеството, без ненужно забавяне, съобщава на засегнатите субекти за нарушението на сигурността на личните данни.

 

(2) Дружеството може да прецени да не уведоми засегнатите субекти на данни, ако е налице поне една от следните предпоставки:

 

  • Дружеството е предприело подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;

 

  • Дружеството е взело впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни;

 

Чл. 16. (1) Личните данни, обработвани от Дружеството, се съхраняват за сроковете, предвидени в приложимите нормативни актове, а когато не са предвидени такива срокове – до постигане на целите, за които са били събрани.

 

Чл. 17. (1) При изтичане на срока за съхранение на лични данни, обработвани от Дружеството, послендите следва да бъдат унищожавани по реда, предвиден в настоящата разпоредба.

 

(2) Личните данни на хартиен носител се унищожават посредством шредиране на съответните носители.

 

(3) Личните данни на електронен носител се унищожават чрез перманентното им изтриване от съответния носител, както и чрез изтриването им от резервни копия (back ups), които Дружеството поддържа с оглед сигурност на информацията.

 

(4) За унищожаването на носители на лични данни се съставя протокол, който се подписва от присъстващите лица и се съхранява за срок от 5 години, считано от датата на унищожаването им. При унищожаването на протокола за унищожаване, не се изготвя друг протокол.