Machen Sie eine Online-Anfrage für Ihren Urlaub
ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ
Регламентът предвижда в определени случаи задължение за администраторът/ обработващия данни да назначи Длъжностно лице по защита на данните (ДЛЗД) (data protection officer – DPO).
ДЛЗД е служител на администратор на лични данни или външно за организацията на администратора физическо лице, натоварено с консултативни функции в областта на защитата на личните данни, надзор по спазването на регламента в организацията на администратора и повишаването на осведомеността и обучението на персонала. Основните задачи на ДЛЗД са:
Съгласно чл. 37 от Регламента ДЛЗД следва задължително да назначат следните организации:
Тъй като БУЛФЛЕКС е частна организация, считаме, че е изключена от първа точка по-горе (под „публични“ нашата правна система обикновено разбира организации на частична или пълна бюджетна издръжка) .
Считаме, че БУЛФЛЕКС попада в обхвата на т.2, тъй като текстът на Регламентът предвижда това, когато основната дейност на администратора изисква редовно и систематично мащабно наблюдение на субекти на данни. Нито Регламентът, нито законът дават дефиниция на понятието „мащабно“ или „основна“ дейност. И все пак – разяснителни документи посочват, че дейността по обработване на данни е основна, когато обработването на данни е неотделимо от предмета на дейност на администратора. Така например както обработването на данни за здравословното състояние на лицата е неотделимо от здравните услуги, предоставяни от болница.
Препоръчва се при определяне на мащабността да се вземат предвид следните критерии:
Считаме по тези критерии обработването на данни от БУЛФЛЕКС може да се определи като мащабно и като основна дейност. Съгласно изискванията на Закона за туризма, Администраторът е задължен да подържа регистър, в който да събира и обработва определени категории данни на посетителите на хотела. Касае се за негова основна дейност, като събирането на лични данни е свързано именно с тази дейност. Наред с това, администраторът е длъжен да попълва и предоставя събраните данни в Единната система за туристическа информация.
Що се отнася до точка 3 по –горе, а именно обработване на специални категории данни, то БУЛФЛЕКС със сигурност обработва такива – чувствителните данни на работниците и служителите. Обработването обаче трябва да става като основна дейност на БУЛФЛЕКС и да е отново мащабно. Според нас дружеството не отговаря на тези последни два критерия – основната му дейност – въпросните данни са на служителите на дружеството. Те не са свързани с основната му дейност по предоставяне на туристически услуги. Обработването на този тип данни не може да бъде и мащабно, тъй като е ограничено само до персонала на администратора.
Като заключение, следва да се назначи ДЛЗД, тъй като БУЛФЛЕКС попада в обхвата на чл.37, т. 1, буква „б“ от Регламента. Последното не е задължително (но може) да е служител на дружеството. При всички положения не следва да е лицето, отговарящо за човешките ресурси в БУЛФЛЕКС. Може да външно лице. Следва да е експерт добре запознат със защитата на личните данни, но няма специфични изисквания за образование или опит. Предвид че става въпрос за правна материя, най –подходящо би било лице с юридическо образование. БУЛФЛЕКС може да има общо ДЛЗД с други организации.
Инструкция № ___/ 01.06.2018за обработване на Личните данни В „БУЛФЛЕКС“ ЕООД и за създаване на технически и организационни мерки за защитата им |
РАЗДЕЛ І ОБЩИ ПОЛОЖЕНИЯ
|
Предмет на инструкцията. Нормативна база и вътрешни политики. Дефиниции. |
Чл. 1. Инструкцията се издава от „Булфлекс“ ЕООД, ЕИК 040169182, със седалище и адрес на управление в гр. София п.к. 1407, р-н Лозенец, бул. Черни връх, бл. 66, вх. В, ап. 2, в качеството му на администратор на Лични данни (наричано по-долу „Булфлекс“ ).Чл. 2. Настоящата инструкция се приема в изпълнение на задълженията на БУЛФЛЕКС в качеството му на администратор на Лични данни и е съобразена с изискванията на:
n Регламент 2016/679 На Европейския Парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на Лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО , включително и ръководствата и насоките на Работната група по чл. 29 от Директива 95/46/ЕО. n Закон за защита на Личните данни и съответните специални закони от националната правна рамка, които предвиждат задължения за обработване на Лични данни, срокове за обработване и други въпроси, свързани с обработването на данните.
Чл. 3. БУЛФЛЕКС е търговско дружество, чиято дейност, датира от 1992г.
Чл. 4. Настоящата инструкция съдържа правила, които следва да бъдат спазвани ако и доколкото няма детайлно разработени процедури и норми в местни императивни нормативни актове. Настоящата инструкция не урежда въпросите, свързани с кибер сигурността и мерките за защита на Личните данни чрез информационни технологии.
Чл. 5. Дефиниции: n администратор” означава БУЛФЛЕКС, който сам определя целите и средствата за обработването на Лични данни; n „лични данни” означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („Субект на данни”); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице; n „обработване” означава всяка операция или съвкупност от операции, извършвана с Лични данни или набор от Лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване; n „регистър с Лични данни” означава всеки структуриран набор от Лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип; n „получател” означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват Личните данни, независимо дали е трета страна или не; n „обработващ Лични данни” означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва Лични данни от името на администратора; n „регламент“- Регламент 2016/679 На Европейския Парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на Лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО
|
Видове Лични данни и поддържани регистри |
Чл. 6. „БУЛФЛЕКС България“ ЕООД обработва Лични данни, които могат да бъдат класифицирани в три основни групи. Първата група данни касае служителите на дружеството- чиито правоотношения са прекратени, с действащи трудови договори и бъдещи служители. Втората група е свързана с Личните данни, които БУЛФЛЕКС обработва във връзка с основната си дейност, а именно- данни, отнасящи се до физическите лица, получаващи туристически услуги и настанявани в хотел „Корал“ в комплекс „Св. Св. Константин и Елена“, гр. Варна. Третата група съдържа данни на физически лица на партньори, доставчици и други дружества, чиито услуги и стоки ползва администратора.
Чл. 7. Във връзка с обработването на горните данни БУЛФЛЕКС поддържа следните регистри (наричани общо „Регистрите“):
Регистрите съдържат следната информация: a) името и координатите за връзка на администратора; б) целите на обработването; в) описание на категориите Субекти на данни и на категориите Лични данни; г) категориите получатели, пред които са или ще бъдат разкрити Личните данни; д) предвидените срокове за изтриване на различните категории данни;
|
Чл. 8. Настоящата инструкция урежда:
|
Предназначение на инструкцията |
Чл. 9. (1) Целта на инструкцията е да се създаде такава правна форма и организация в процеса на обработване на Личните данни, която да гарантира в пълна степен тяхното опазване от случайно или незаконно унищожаване, от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.(2) Инструкцията е предназначена да създаде такъв ред за достъп до Личните данни, който да гарантира и облекчава носителите на Лични данни при упражняване на техните права по смисъла на Закона за защита на Личните данни (ЗЗЛД).
|
Чл. 10. (1) Инструкцията се издава от БУЛФЛЕКС на основание изискванията на Регламента и ЗЗЛД в изпълнение на неговите задължения като Администратор на Лични данни.(2) Инструкцията е в съответствие с изискванията на нормативните актове, посочени в чл. 2.
(3) При изменение в разпоредбите на европейското законодателство, и приложимото българско право в областта на защитата на Личните данни, които настоящата инструкция конкретизира, Администраторът се задължава в срок да внесе необходимите промени в нея. (4) В случай че Администраторът не внесе необходимите промени в инструкцията и не съгласува нейното съдържание с измененията в приложимото законодателство, Обработващите Личните данни или Получателите, които са нейни адресати, имат право да откажат да изпълняват задълженията, без да се съобразяват с разпоредбите на инструкцията, които противоречат на действащото право..
|
РАЗДЕЛ II ПРИЛОЖЕНИЕ НА ИНСТРУКЦИЯТА
|
Действие на инструкцията във времето |
Чл. 11 Инструкцията влиза в сила от 25.05.2018 г. и ще бъде валидна до нейното отменяне и заместването й с нова Инструкция за обработване, защита и ред за достъп до Личните данни в „БУЛФЛЕКС“ ЕООД. |
Действие на инструкцията по отношение на лицата |
Чл. 12. (1) Инструкцията се прилага по отношение на Администратора Обработващите и Получателите на Личните данни, включени в Регистрите.(2) Инструкцията се прилага по отношение на всички бивши, настоящи и бъдещи работници и служители на БУЛФЛЕКС и лицата, наети по извънтрудови правоотношения, чиито Лични данни се събират, обработват и съхраняват в Регистър „Персонал”, както и по отношение на всички трети лица, които реализират правото си на достъп до чужди Лични данни в този регистър.
(3) Инструкцията се прилага и по отношение на всички лица, чиито Лични данни се събират, обработват и съхраняват във връзка с търговската дейност на Дружеството в Регистър „Контрагенти“, както и по отношение на всички трети лица, които реализират правото си на достъп до чужди Лични данни в този регистър. (4) Инструкцията се прилага и по отношение на всички физически лица, ползващи туристическите услуги на Администратора и отсядащи в хотел Корал, чиито данни се събират, обработват и съхраняват в Регистър „Туристи“.
(5) Посочените в инструкцията Субекти са длъжни да спазват правилата относно реда и условията за обработка на Лични данни, установени в действащото европейско и българско законодателство, а относно специфичните правила, установени в Инструкцията, от момента, в който се запознаят с тях.
(6) Администраторът е длъжен да доведе инструкцията до знанието на Получателите в срок от 1 месец от нейното приемане. Администраторът е длъжен да реферира към Инструкцията и да предостави достъп до нея на Субектите на данни преди да започне обработването на техните данни и преди да получи тяхното съгласие.
|
РАЗДЕЛ ІІІ ПРЕДНАЗНАЧЕНИЕ НА РЕГИСТРИТЕ. ЦЕЛИ НА ОБРАБОТВАНЕТО.ПРАВНИ ОСНОВАНИЯ ЗА ОБРАБОТВАНЕТО
|
Регистър „Персонал“ |
Чл. 13. В Регистър „Персонал” Дружеството набира и съхранява Лични данни на служителите, работниците и лицата, изпълнители по извънтрудови правоотношения (граждански договори) във БУЛФЛЕКС при или по повод изпълнението на възложените дейности по договорите им с Дружеството, с оглед на:(1) индивидуализиране на трудовите и извънтрудови правоотношения; изпълнение на нормативните изисквания на Кодекса на труда, Кодекса за социално осигуряване, Закона за счетоводството, Закона за доходите на физическите лица, Данъчно осигурителния процесуален кодекс, Закона за държавния архив, подзаконовите актове по прилагането им и др.;
(2) за всички дейности, свързани със съществуване, изменение и прекратяване на трудовите и извънтрудови правоотношения – за изготвяне на всякакви документи на лицата в тази връзка (договори, допълнителни споразумения, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения и др. подобни); (3) за установяване на връзка с лицето по телефон, е-mail, Viber, Skype и други форми на комуникация, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията му по трудови или извънтрудови правоотношения; (4) за водене на счетоводна отчетност, относно възнагражденията на посочените по-горе лица по трудови и извънтрудови правоотношения и за касово или безкасово изплащане на всякакви дължими суми по трудовите и извънтрудовите правоотношения.
Чл. 14. Обработването на Личните данни в Регистър „Персонал“ се извършва поради: (1) необходимостта за изпълнението на трудовия или извънтрудовия договор, по който Субектът на данните е страна, или за получаване на преддоговорна информация преди сключването на договор; (2) необходимостта от спазването на законово задължение, което се прилага спрямо Администратора като задължение за заплащане на трудово възнаграждение; задължение за трудоустрояване, задължение за издаване на документи за реализиране на трудовите права и др. Необходимостта от спазване на законово задължение се преценява конкретно за всеки случай преди обработването на конкретни Лични данни и ако няма друго правно основание за обработването им.
Чл. 15. Обработването на Лични данни в Регистър „Персонал“ се извършва и на база писмено съгласие на Субекта на данни (Приложение № 2), независимо от наличието на друго правно основание за обработването на Личните данни при спазването на следните условия: (1) Съгласието следва да бъде дадено доброволно, свободно и информирано; (2) Преди получаване на съгласие от Субекта на данни, БУЛФЛЕКС му предоставя предварителна информация (Приложение № 3); (3) В съгласието изрично се посочва, че обработването се извършва и на други основания и че оттеглянето на съгласието не води непременно до преустановяването на обработването.
Чл. 16. В Регистър „Персонал“ се обработват и чувствителни данни, свързани със здравословното състояние на служителите, тяхното вероизповедание и членството им в синдикални организации. Обработването на тези данни се осъществява от Администратора поради: (1) необходимостта за изпълнението на задълженията и упражняването на специалните права на Администратора или на Субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила като ползването на отпуски поради временна неработоспособност, трудова злополука и професионална болест, както и поради официални религиозни празници; получаване на обезщетения, поради временна неработоспособност, трудова злополука и професионална болест, трудоустрояване, специална закрила при уволнение; (2) писмено съгласие на Субекта на данни, независимо от наличието на друго правно основание за обработването на Личните данни при спазването на условията по чл. 15.
Регистър „Туристи“ Чл. 16а. В Регистър „Туристи“ Дружеството събира и съхранява лични данни на физическите лица, получаващи туристически услуги и настанявани в хотел „Корал“ в комплекс „Св. Св. Константин и Елена“, гр. Варна с оглед на:
(1) индивидуализиране на туристите; (2) получаване на данни за контакт (3) за водене на отчетност, съгласно изискванията на Закона за туризма
Чл. 16б. Обработването на Лични данни в Регистър „Туристи“ са извършва след предоставяне на туристите на предварителна информация относно обработването на данни (Приложение № 3а) поради:
(1) необходимостта от изпълнение на задълженията на Администратора, произтичащи от разпоредбата на чл. 116 от Закона за туризма и чл. 28, ал. 4 от Закона за чужденците в РБ. (2) необходимостта от обработка за целите на легитимните интереси на Администратора, съгласно направена оценка (Приложение № 4).
|
Регистър „Контрагенти“ |
Чл. 17. В Регистър „Контрагенти” Дружеството събира и съхранява Лични данни на физически лица, които са клиенти или доставчици на БУЛФЛЕКС или са представители на юридическите лица, контрагенти на Дружеството, както и всички други физически лица, чиито данни се разкриват пред Администратора при или по повод търговските му взаимоотношения с контрагентите (пълномощници, шофьори, служители, лица за контакт). Личните данни за тези лица се събират с оглед на:(1) Индивидуализиране на лицата с цел сключване на договори с БУЛФЛЕКС;
(2) За установяване на представителната власт на лицата и правомощията им да сключват договори с БУЛФЛЕКС от името и за сметка на съответните юридически лица, както и да извършват други правни или фактически действия; (3) За установяване на контакт и осъществяване на кореспонденция с контрагентите на БУЛФЛЕКС, както и за изпълнение на договорни задължения. (4) За изпълнение на финансови и счетоводни операции.
Чл. 17а. Обработването на Личните данни в Регистър „Контрагенти“ се извършва поради: (1) необходимостта за изпълнението на договорите, по които Субектът на данните е страна, или за получаване на преддоговорна информация преди сключването на договор (по отношение на контрагентите – физически лица); (2) необходимостта от спазването на законово задължение, което се прилага спрямо Администратора като задължението да идентифицира законните представители и пълномощниците на клиент – юридическо лице, съгласно Закона за мерките срещу изпирането на пари. Необходимостта от спазване на законово задължение се преценява конкретно за всеки случай преди обработването на конкретни Лични данни и ако няма друго правно основание за обработването им; (3) необходимостта от обработка за целите на легитимните интереси на Администратора, съгласно направена оценка (Приложение № 4).
Чл. 18. Обработването на Лични данни в Регистър „Контрагенти“ се извършва и на база писмено съгласие на Субекта на данни (Приложение № 5), независимо от наличието на друго правно основание за обработването на Личните данни при спазването на следните условия: (1) Съгласието следва да бъде дадено доброволно, свободно и информирано; (2) Преди получаване на съгласие от Субекта на данни, БУЛФЛЕКС му предоставя предварителна информация (Приложение № 6); (3) В съгласието изрично се посочва, че обработването се извършва и на други основания и че оттеглянето на съгласието не води непременно до преустановяването на обработването. В случай, че Субекта на данни не даде съгласие за обработване, информацията по алинея 2 му се предоставя ако са налице другите основания за обработване. (4) Съгласието на Субектите на данни, които не са страна по договорите се осигурява, съответно информацията по алинея 2 се предоставя от съответните юридически лица. БУЛФЛЕКС предоставя достъп на тези лица до информацията по алинея 2.
|
РАЗДЕЛ ІV ВИДОВЕ ЛИЧНИ ДАННИ, ОБРАБОТВАНИ В РЕГИСТЪР „ПЕРСОНАЛ“
|
Лични данни относно физическата идентичност (идентификационни) |
Чл. 19 (1) Администраторът обработва Лични данни относно физическата идентичност като: три имена, ЕГН, номер на лична карта или друг документ за самоличност, дата и място на издаване, дата и място на раждане, актуален постоянен адрес, настоящ адрес, телефон, електронна поща и лица за връзка и т.н.
(2) Личните данни са необходими за законосъобразното учредяване, изменение и прекратяване на трудовите правоотношения, за изпълнение на задължението на Администратора да води лични трудови досиета на служителите си, съгласно чл. 128б от КТ, за изпълнение на императивната норма на чл. 66 от КТ относно задължителното съдържание на трудовия договор, за предоставяне на необходимата информация на компетентния държавен орган за реализиране на данъчните, осигурителните и здравноосигурителните права на работниците и служителите и лицата, наети по извънтрудови правоотношения, за предоставяне на необходимата информация на компетентния държавен орган за упражняване на правата на бившите работници или служители, свързани с безработицата, за облекчаване дейността на Администратора като работодател и неговия персонал, за бързина и ефективност при реализиране на трудовите и облигационните права и задължения и т. н.
|
Лични данни относно семейната идентичност |
Чл. 20 (1) При необходимост в случаите, описани в ал. 2, Администраторът обработва Лични данни относно семейната идентичност като: семейно положение, наличие на брак, развод, брой на членовете на семейството, деца, възраст на децата и дата на раждане, адрес, трудова и учебна заетост на членовете на семейството и т. н.
(2) Личните данни са необходими за законосъобразното реализиране на правата на работниците и служителите по КТ, подзаконовите нормативни актове, свързани с получаването на семейни добавки за деца до 18 години, ползване на специфични отпуски, свързани с отглеждане, боледуване, полагане на грижи и т. н. за деца, определяне на евентуални удръжки от трудовото възнаграждение въз основа на присъдена от съда издръжка, прилагане на колективен трудов договор, реализиране на специфични права, свързани със социално-битовото обслужване, специална закрила при уволнение, за изпълнение на задължението на Администратора да води лични трудови досиета на служителите си, съгласно чл. 128б от КТ и т. н.
|
Лични данни относно професионалната квалификация |
Чл. 21 (1) Администраторът обработва Лични данни относно професионалната квалификация като: вид и степен на образованието, място, дата и номер на издадените документи (дипломи), удостоверяващи съответната образователна степен, допълнителна професионална квалификация или правоспособност (специализации, курсове, семинарни форми и т. н.), място, дата и номер на издадените документи, удостоверяващи допълнително придобитите знания и умения, придобити научни звания и научни степени т. н.(2) Личните данни са необходими за законосъобразното учредяване на трудовите и извънтрудовите правоотношения, за заемане на съответната длъжност с оглед изискванията на Администратора по щатно разписание и длъжностна характеристика, при законосъобразно реализиране на правото временно да се променя трудовата функция и правото на подбор и прекратяване на трудовите правоотношения, изпълнение на задълженията, свързани с предоставяне на специфични отпуски, за изпълнение на задължението на Администратора да води лични трудови досиета на служителите си, съгласно чл. 128б от КТ, за изпълнение на императивната норма на чл. 66 от КТ относно задължителното съдържание на трудовия договор, за сключване на договори за повишаване на квалификацията и преквалификация и т. н.
|
Лични данни относно трудовата дейност |
Чл. 22 (1) Администраторът обработва Лични данни относно трудовата дейност като: професионална биография, бивши работодатели/възложители, референции от предишни работодатели, ако е необходимо подобно потвърждаване на усвоените знания и умения, заемани длъжности (позиции), изпълнявани функции, проекти (национални, международни), дейност в държавна администрация, трудов и осигурителен стаж и т. н.(2) Личните данни са необходими за реализиране правата на работниците и служителите, свързани с различните видове допълнителни плащания по трудовите правоотношения, за законосъобразното учредяване на трудовите и извънтрудови правоотношения, за заемане на подходящата длъжност с оглед въведените от Администратора в различни видове вътрешни документи изисквания, за изпълнение на задължението на Администратора да води лични трудови досиета на служителите си, съгласно чл. 128б от КТ и т. н.
|
Лични данни относно здравния статус |
Чл. 23 (1) Администраторът обработва Лични данни относно здравословния статус, психологическото и умственото развитие, работоспособността, временната или трайната неработоспособност и т. н.(2) Личните данни са необходими за реализиране на осигурителните и здравноосигурителните права и задължения на работниците, служителите и лицата, наети по извънтрудови правоотношения, изпълнение на задълженията при трудоустрояване на работниците и служителите; за упражняване на правото на отпуски поради временна неработоспособност, изпълнение на задължението на Администратора да разследва трудови злополуки, за изпълнение на задълженията на Администратора по получаване, регистриране и съхраняване на болнични листове, за извършване на предварителни и периодични медицински прегледи на работниците и служителите, упражняване правата на Администратора за временно отстраняване от работа; изпълнение на задълженията на Администратора за предварителна закрила при уволнение и т. н.
|
Лични данни относно обществения статус |
Чл. 24 (1) Администраторът обработва Лични данни относно синдикална принадлежност на работниците и служителите, вероизповедание и съдимост.(2) Личните данни са необходими за реализиране на правата, свързани с прилагането на Кодекса на труда, колективния трудов договор, решенията на общото събрание на работниците и служителите, свързани със социално-битовото обслужване, реализиране на права, свързани с ползването на част от платения годишен отпуск по време на празници от лица, които не изповядват източното православие, ползването на отпуск от синдикални дейци, законосъобразното изпълнение на задълженията на Администратора при предварителна закрила при уволнение и прекратяване на трудовите правоотношения, за изпълнение на задължението на Администратора да води лични трудови досиета на служителите си, съгласно чл. 128б от КТ и за събиране на определена информация преди сключването на трудовия договор и т. н.
РАЗДЕЛ ІVА ВИДОВЕ ЛИЧНИ ДАННИ, ОБРАБОТВАНИ В РЕГИСТЪР „ТУРИСТИ“
Чл. 24а (1) Администраторът обработва Лични данни относно физическата идентичност(идентификационни данни) като: имена, ЕГН или друг персонален номер според документа за самоличност, номер на лична карта или друг документ за самоличност, дата и място на издаване, както и гражданство на лицата, пребиваващи за определен период като туристи в хотел „Корал“. Наред с идентификационните данни Администраторът извършва действия по обработка и на комуникационни данни като телефон за връзка или други системи за комуникация, e-mail на туристите.
(2) БУЛФЛЕКС обработва Лични данни относно финансовото състояние като данни относно банкови сметки, номера на кредитни или дебитни карти, извършени трансакции, застрахователни обезщетения и др.
(3) Личните данни в регистър „Туристи“ са необходими за идентификация на туристите и попълване и поддържане на задължителните според чл. 116 от Закона за туризма регистри, чието съдържание е императивно определено от Министерство на туризма и публикувано на интернет страницата му. Данните се използват и с цел осъществяване на контакт с туристите по различни въпроси, както и с цел уреждане на финансовите отношения между туриста и хотела с оглед времето на престой и вида на предоставените му туристически услуги.
|
РАЗДЕЛ V ВИДОВЕ ЛИЧНИ ДАННИ, СЪБИРАНИ, ОБРАБОТВАНИ И СЪХРАНЯВАНИ В РЕГИСТЪР „КОНТРАГЕНТИ“
|
Чл. 25 (1) Администраторът обработва Лични данни относно физическата идентичност като: три имена, ЕГН или друг идентификационен номер на физическо лице, номер на лична карта или друг документ за самоличност, дата и място на издаване, телефон за връзка или други системи за комуникация, e-mail.(2) БУЛФЛЕКС обработва Лични данни относно финансовото състояние като данни относно банкови сметки, извършени трансакции.
(3) Личните данни са необходими за идентифициране на контрагенти (клиенти, доставчици и страни по договори) на Дружеството или представляващите ги лица с цел изпълнение на задълженията по Закона за мерките срещу изпирането на пари и Закона за мерките срещу финансирането на тероризма, както и за установяване на контакт с тях. (4) Личните данни са необходими и за идентифициране на други физически лица, извън посочените в предходната алинея с цел изпълнение на конкретни задължения или упражняване на права по договорите (като например изплащане на задължения по предоставена фактура по банкова сметка), за осъществяване на контакт, за извършване на фактически действия (като приемане – предаване на стоки) и др.
|
РАЗДЕЛ VI ДОКУМЕНТИ, ОБРАБОТВАНИ В РЕГИСТЪР „ПЕРСОНАЛ“
|
Предназначение на документите |
Чл. 26 (1) В Регистър „Персонал“ се обработват всички Лични данни, които са необходими на Администратора за целите, посочени по- горе.(2) В Регистър „Персонал“ се обработват Лични данни, които Администраторът е длъжен да получи в изпълнение на задълженията си по реда на действащото българско законодателство, Колективния трудов договор (ако има такъв); данни, за обработването на които има легитимен интерес, както и данни, доброволно предоставени от работниците/служителите или изпълнителите.
(3) В Регистър „Персонал“ се обработват Лични данни, които Администраторът по силата на своите вътрешни актове, правилници, устави и по своя преценка получава, за да може ефективно да защитава интересите си, свързани с възникването, изменението и прекратяването на трудовите и извънтрудовите правоотношения. (4) В Регистър „Персонал“ се обработват всички видове документи, които по силата на законов или подзаконов нормативен акт, акт на Администратора или Колективен трудов договор са необходими за законосъобразен подбор и учредяване на трудовите и извънтрудови правоотношения. (5) В Регистър „Персонал“ се събират всички видове документи, удостоверяващи подлежащите на закрила Лични данни.
|
Основни видове документи |
Чл. 27. С оглед набиране на необходимите Лични данни при регламентацията на трудовите и извънтрудови правоотношения БУЛФЛЕКС, като Администратор по смисъла на чл. 4, параграф 7 от Регламента, има право да обработва следните документи:(1) актове за граждански брак, документи, удостоверяващи име, място и дата на раждане, данни от документите за самоличност, съдебни решения за присъдени издръжки, експертни решения, медицински заключения и диагнози относно релевантни за трудовото правоотношение заболявания на член на семейството.
(2) дипломи за завършено образование и допълнителни квалификационни курсове, академични справки, уверения от съответните учебни заведения за текущ учебен статус и успех на работника/служителя, дипломи за придобити звания, научни титли, документи, удостоверяващи придобита правоспособност, грамоти и удостоверения за участие в квалификационни и тренировъчни курсове, специализации и семинари, други сертификати и дипломи. (3) трудова и осигурителна книжка, професионална биография на работника/служителя или изпълнителя, референции и препоръки, предоставени от предишни работодатели, длъжностни характеристики на заемани преди това длъжности. (4) медицински удостоверения, констатиращи хронични и/или професионални заболявания, болнични листове и експертни решения на органите на медицинската експертиза на работоспособността за намалена работоспособност, болнични листове и експертни решения на органите на медицинската експертиза на работоспособността, съдържащи предписания за трудоустрояване. (5) декларации, удостоверения и други документи, които удостоверяват факти във връзка с обществения статус на работника/служителя или изпълнителя, свидетелства за съдимост. (6) документи за самоличност, придобито разрешение за работа на чужденец в страната. (7) при невъзможност да се предоставят оригинали на документите, със съгласието на Администратора могат да се обработват и техни копия, които по надлежен начин гарантират съответствие с оригиналното съдържание. (8) при необходимост от съхраняване на съответните удостоверителни документи от Администратора могат да бъдат предоставени оригинали или копия от тях. (9) Личните данни в Регистър «Персонал» могат да бъдат получени и чрез електронни съобщения, факс съобщения или по друг начин чрез съответни информационни софтуерни програми.
Изброяването на изискуемите документи по ал. 1-9 по-горе не е изчерпателно и Администраторът на Лични данни може да изисква и други във връзка с подлежащите на обработване данни.
РАЗДЕЛ VI ДОКУМЕНТИ, ОБРАБОТВАНИ В РЕГИСТЪР „ТУРИСТИ“
Предназначение на документите |
Чл. 27а (1) В Регистър „Туристи“ се обработват всички Лични данни, които са необходими на Администратора за постигане на целите, посочени по- горе.(2) Личните данни , които се обработват в Регистър „Туристи“ се предоставят от самите туристи физически лица или от туроператори, с които туристите или Администратора има сключен договор.
(3) В Регистър „Туристи“ се обработват такива документи, съдържащи Лични данни, които Администраторът по силата на действащото българско и европейско законодателство, както и по своя преценка получава, за да може да идентифицира съответните физическите лица, получаващи туристически услуги и настанявани в хотел „Корал“ в комплекс „Св. Св. Константин и Елена“, гр. Варна, както и да получи данни за контакт с тях и за уреждане на финансовите им взаимоотношения.
Основни видове документи Чл. 27б (1) Администраторът има право да обработва данните в следните общи документи, свързани с Регистър „Туристи“ като: n Лична карта или друг документ за самоличност; n Платежни документи и удостоверения от банки, включително извадки от интернет банкиране и други форми на електронно заплащане. n Електронни изявления за резервации, съдържащи Лични данни, електронна кореспонденция, СМС кореспонденция и др.
|
РАЗДЕЛ VII ДОКУМЕНТИ, ОБРАБОТВАНИ В РЕГИСТЪР „КОНТРАГЕНТИ“
|
Предназначение на документите |
Чл. 28 (1) В Регистър „Контрагенти“ се обработват всички Лични данни, които са необходими на Администратора за постигане на целите, посочени по- горе.(2) Личните данни, които се обработват в Регистър „Контрагенти“, са предоставени на Администратора доброволно от неговите контрагенти или техни представители, с които Дружеството осъществява търговски контакти, както и със съгласието на Субектите на данни.
(3) В Регистър „Контрагенти“ се обработват такива документи, съдържащи Лични данни, които Администраторът по силата на действащото българско и европейско законодателство, както и по своя преценка получава, за да може да идентифицира лицата, да установява връзка с тях, да установи и подържа финансови отношения с контрагентите си и по този начин ефективно да защитава легитимните си интересите при сключване, изпълнение, изменение и прекратяване на договорни правоотношения в рамките на търговската си дейност.
|
Основни видове документи |
Чл. 29 (1) Личните данни, включени в Регистър „Контрагенти“ са получени чрез посочването им от страна на контрагентите на Дружеството в договори, пълномощни, приемо- предавателни протоколи, електронни съобщения, факс съобщения или други документи или по друг начин чрез съответни информационни софтуерни програми, характерни за търговската дейност на БУЛФЛЕКС. Когато Личните данни касаят физически лица, които не са страна по договорите, то съответният контрагент, който е предоставил данните, следва да изпълни задължението си по чл. 18, ал. 4.(2) Администраторът не събира и не изисква допълнителни документи, свързани с физическата идентичност на лицата, чиито Лични данни са включени в Регистър „Контрагенти“.
|
РАЗДЕЛ VIII ЛИЦА, СВЪРЗАНИ С РЕГИСТРИТЕ. ГОДИШНИ ИНСТРУКТАЖИ НА ПОЛУЧАТЕЛИТЕ НА ДАННИ, КОИТО СА НА ТРУДОВО ПРАВООТНОШЕНИЕ С БУЛФЛЕКС
|
Достъп до регистрите и Получатели на Личните данни |
Чл. 30 (1) Получатели на Личните данни са служители на БУЛФЛЕКС или на други свързани с него дружества или трети физически или юридически лица или държавни органи, които по заемана длъжност, по силата на нормативен акт, заповед на Администратора, изрично писмено пълномощно или договор получават Личните данни в Регистрите.(2) Обработващ личните данни са външни физически или юридически лица, които обработват Личните данни от името на Администратора. С всеки обработващ се сключва договор относно реда за обработване и защитата на данните.
(3) Съвместни администратори на данни са БУЛФЛЕКС и други администратори, които съвместно и за собствени цели обработват Лични данни, които сключват отделен договор за обработване на Лични данни (4) Достъп до Личните данни в Регистър „Персонал“ имат всички служители, заемащи следните длъжности: Управител на хотел и счетоводител. (5) Достъп до Лични данни в Регистър „Контрагенти“ и Регистър „Туристи“ имат всички служители, заемащи следните длъжности: Управител на хотел, рецепционист и счетоводител, както и лицата, с които БУЛФЛЕКС има договори за обработка на Лични данни. (6) Достъп до някои лични данни от Регистрите имат съответните държавни органи, които съгласно действащата нормативна база на национално и европейско ниво имат правомощия да получават такива данни от частноправните Субекти. В това число, но не изчерпателно, такива органи са Национална агенция за приходите, Национален осигурителен институт, Изпълнителна агенция «Главна инспекция по труда», Министерство на туризма чрез Единната система за туристическа информация.
Отговорник по защита на Личните данни Чл. 31. БУЛФЛЕКС е направил подробен анализ на основанията по чл. 37 от Регламента относно задължителното назначаване на длъжностно лице по защита на данните (Приложение № 7). На база на направения анализ е взето решение да бъде назначено Длъжностно лице по защита на данните със следните допълнителни правомощия, наред със законоустановените: (1) изпълнява функциите на лице за контакт със Субектите на данни, държавните органи и правните консултанти на БУЛФЛЕКС; (2) следи за нередности, рискове, проблеми при обработването на Лични данни; (3) участва в екипа за реакция при нарушение или инцидент, свързан с Личните данни; (4) участва в периодичните инструктажи на служителите на Администратора, както и в процедурата по заличаване или архивиране на данните; (5) уведомява правните консултанти на БУЛФЛЕКС във всеки случай, когато е направено изрично волеизявление от Субекта на данни за упражняване на правата му по Регламента; когато е подадено възражение или всякакво друго оплакване, касаещо защитата на Личните данни; когато е отправено искане за информация или уведомление за проверка от Комисия за защита на личните данни, както и когато прецени, че са налице обстоятелства, които налагат намесата на правните консултанти по въпросите, свързани със защита на данните; (6) изпълнява и други задачи, свързани със защита на данните, които са им изрично възложени от Администратора.
Чл. 32. Длъжностното лице по защита на Личните данните се определя от управителя на БУЛФЛЕКС. |
Задължения на Получателите, Обработващите и всички лица с достъп до Лични данни |
Чл. 33. Получателите, Обработващите и всички лица, които имат достъп до Личните данни имат следните задължения:(1) да обработват Личните данни в Регистрите като стриктно спазват изискванията на националното и европейското законодателство и настоящата инструкция;
(2) да обработват Личните данни в Регистрите по начин, който предотвратява тяхното разпространяване или узнаването им от трети лица, които нямат право на това; (3) да информират по описания в инструкцията начин всяко физическо лице, чиито Лични данни се предоставят в Регистрите; (4) да съберат документи, удостоверяващи, че физическите лица са информирани и са дали своето съгласие за обработка на Личните им данни; (5) да взаимодействат помежду си при обработването на Личните данни по начин, който гарантира прилагането на националното и европейското законодателство и настоящата инструкция; (6) да реализират и съдействат на Субектите на данни при упражняване на правата им относно Личните данни в Регистрите; (7) да подпомагат Администратора в отношенията му с Комисията за защита на личните данни и други контролни органи; (8) да спазват необходимите технически и организационни мерки, включително и специални (ако данните се предават по електронен път) за защитата им от случайно или незаконно нарушаване, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и всички други незаконни форми на обработване на Лични данни; (9) Всички Лични данни, включени в Регистрите, до които имат достъп при или по повод изпълнение на техните задължения, са служебна (фирмена тайна); (10) да не разпространяват под каквато и да е форма и пред когото и да е факти и сведения, които представляват Лични данни и които са узнати от тях при или по повод изпълнението на задълженията им, освен при условията на настоящата инструкция.
|
Отговорност на Получателите, Обработващите и всички лица с достъп до Личните данни |
Чл. 34 Получателите, Обработващите и всички лица, които имат достъп до Личните данни носят отговорност пред Администратора и съответното физическо лице за имуществени и неимуществени вреди, които са пряка и непосредствена последица от действията или бездействията им или на определени и контролирани от тях лица.
Годишни инструктажи на Получателите на данни, които са на трудово правоотношение с БУЛФЛЕКС
Чл. 35. БУЛФЛЕКС организира ежегодно обучение на служителите си, които обработват Лични данни. Обучението включва три основни модула- модул „Правни промени“; модул „Търговски и организационни промени“ и модел „Добри практики“.
Чл. 36. (1) Модул „Правни промени“ включва резюме на измененията в българското и европейско законодателство, които рефлектират върху правата и задълженията на лицата в процеса по обработване на лични данни, както и практиката на Европейския съд и националните съдилища по казуси, които засягат Администратора с оглед осъществяваната от него дейност. (2) Модулът протича на два етапа. Първи етап включва изпращане в електронна форма да кратък анализ на промените в националното и европейското законодателство, както и свързаната с него промяна в настоящата инструкция и задълженията на служителите по обработване на Лични данни. Втори етап включва организирана дискусия между служителите, ДЛЗД и съответните консултанти.
Чл. 37. (1) Модул „Търговски и организационни промени“ включва информиране и инструктаж на служителите във връзка с настъпили промени в структурата и организацията на Администратора или в търговската му дейност, които налагат промяна в определени функции или задължения на служителите при обработването на Лични данни. (2) Модулът протича с участието на управител на БУЛФЛЕКС, ДЛЗД и при необходимост присъстват и правните консултанти на дружеството.
Чл. 38. Чрез модул „Добри практики“ служителите се запознават със становища, препоръки, насоки и указания на държавни и европейски органи и институции, и други лица, които са профилирани в областта на защита на Личните данни. Становищата, препоръките, насоките и указанията се адаптират и конкретизират съобразно извършваната от БУЛФЛЕКС дейност и се представят във формата на реални казуси, които могат да възникват при осъществяване на дейността. Чл. 39. (1) Ежегодното обучение чрез горепосочените модули се организира от ДЛЗД или друго определено от управителя на БУЛФЛЕКС лице. (2) Организаторът изпраща електронни съобщения или събира по друг начин информация като съгласува ден и час, в който всички служители на Администратора, както и другите участващи лица са налични и нямат неотложни задачи за изпълнение. (3) Организаторът изпраща по електронна поща информация за обучението до всички участващи и присъстващи лица като иска тяхното потвърждение. (4) След приключване на обучението на служителите се раздават информационни материали по възможност, които систематизират в разбираем вид разискваните въпроси и изменения.
|
РАЗДЕЛ IX ПРАВА НА СУБЕКТИТЕ НА ДАННИ. ПРОЦЕДУРА ПО ПЕРИОДИЧНИ ПРОВЕРКИ АКТУАЛНОСТТА НА ДАННИТЕ И ПРОЦЕДУРА ПО УВЕДОМЯВАНЕ НА ОБРАБОТВАЩИ ПРИ ИЗМЕНЕНИЕ НА ДАННИТЕ
|
Чл. 40. (1) Субектът на Личните данни може по всяко време да оттегли даденото съгласие за обработване на данните му.(2) Изявлението, с което се оттегля съгласието се подава в писмена форма или чрез електронен документ, подписан с електронен подпис и се регистрира и съхранява в Регистър „Субекти на данни“. Искането се подава лично или чрез упълномощено лице с нотариално заверено пълномощно.
(3) ДЛЗД идентифицира лицето, което е отправило искането и прави преценка дали то е Субектът на данни. (4) ДЛЗД уведомява управителя на БУЛФЛЕКС и правните консултанти за отправеното искане. (5) В двуседмичен срок от регистриране на оттеглянето, ДЛЗД уведомява Субекта на Лични данни за наличие на други основания за обработване на данните му и за намеренията на Администратора да продължи обработването въпреки оттегленото съгласие. (6) При липса на други основания за обработване на данните Администраторът заличава обработваните данни при условията на чл. 41 от настоящата инструкция.
Чл. 41. (1) Субектът на Лични данни има право да поиска от Администратора заличаване на свързаните с него данни или част от тях. (2) Искането се подава в писмена форма или чрез електронен документ, подписан с електронен подпис и се регистрира и съхранява в Регистър „Субекти на данни“. Искането се подава лично или чрез упълномощено лице с нотариално заверено пълномощно. (3) ДЛЗД идентифицира лицето, което е отправило искането и прави преценка дали то е Субектът на данни. (4) ДЛЗД уведомява управителя на БУЛФЛЕКС и правните консултанти за отправеното искане. (5) Личните данни се заличават ако са налице следните условия: n Субектът на данни е оттеглил съгласието си и няма друго основание за обработването на данните; n Личните данни повече не са необходими за целите, за които са били обработвани; n Личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или българското право, което се прилага спрямо Администратора; n Изтекли са сроковете за съхраняване на личните данни, предвидени в настоящата инструкция; n Не са налице други обстоятелства и основания съгласно Регламента и действащото национално законодателство, които дават право на Администратора да обработва Личните данни; n Личните данни са обработвани незаконосъоразно. (6) ДЛЗД уведомява писмено Субекта на данни за решението на Администратора в двуседмичен срок от регистриране на искането или от събирането на допълнителна информация, поискана от Администратора.
Чл. 42. (1) Субектът на Лични данни може да поиска ограничаване на обработването на отнасящи се до него данни. (2) Искането се подава в писмена форма или чрез електронен документ, подписан с електронен подпис и се регистрира и съхранява в Регистър „Субекти на данни“. Искането се подава лично или чрез упълномощено лице с нотариално заверено пълномощно. (3) ДЛЗД идентифицира лицето, което е отправило искането и прави преценка дали то е Субектът на данни. (4) ДЛЗД уведомява управителя на БУЛФЛЕКС и правните консултанти за отправеното искане. (5) Администраторът ограничава обработването на данни ако са налице следните условия: n Точността на личните данни се оспорва от Субекта на данните, за срок, който позволява на Администратора да провери точността на личните данни; n Обработването е неправомерно, но Субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им; n Администраторът не се нуждае повече от Личните данни за целите на обработването, но Субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции; n Субектът на данните е възразил срещу обработването съгласно член 21, параграф 1 от Регламента в очакване на проверка дали законните основания на Администратора имат преимущество пред интересите на Субекта на данните. (6) За периода на ограничаването, Администраторът може да съхранява Личните данни. Той има право да ги обработва само със съгласието на Субекта на данните, както и за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес за Съюза или държава членка. (7) ДЛЗД уведомява писмено Субекта на данни за решението на Администратора в двуседмичен срок от регистриране на искането или от събирането на допълнителна информация, поискана от Администратора.
Чл. 43. (1) Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратора, и да прехвърли тези данни на друг администратор. (2) Искането се подава в писмена форма или чрез електронен документ, подписан с електронен подпис и се регистрира и съхранява в Регистър „Субекти на данни“. Искането се подава лично или чрез упълномощено лице с нотариално заверено пълномощно. (3) ДЛЗД идентифицира лицето, което е отправило искането и прави преценка дали то е Субектът на данни. (4) ДЛЗД уведомява управителя на БУЛФЛЕКС и правните консултанти за отправеното искане. (5) Администраторът директно прехвърля Личните данни на посочения от Субекта на данни в искането му друг администратор, при наличие на техническа възможност или ги предоставя на Субекта на данни в съответния формат при наличието на следните условия: n обработването е основано на съгласие или на договорно задължение; n обработването се извършва по автоматизиран начин; n упражняването на правото не влияе неблагоприятно върху правата и свободите на други лица. (6) ДЛЗД уведомява писмено Субекта на данни за решението на Администратора в двуседмичен срок от регистриране на искането или от събирането на допълнителна информация, поискана от Администратора като при наличие на условията по настоящия член осъществява прехвърлянето или съдейства на Субекта на данни.
Чл. 44. (1) Субектът на данните има право, по всяко време на възражение срещу обработване на Лични данни, отнасящи се до него, когато обработването се основава на легитимния интерес на Администратора или при изпълнение от страна на Администратора на задача от обществен интерес, както и когато обработването се извършва за целите на директния маркетинг. (2) Възражението се подава в писмена форма или чрез електронен документ, подписан с електронен подпис и се регистрира и съхранява в Регистър „Субекти на данни“. Възражението се подава лично или чрез упълномощено лице с нотариално заверено пълномощно. (3) ДЛЗД идентифицира лицето, което е отправило възражението и прави преценка дали то е Субектът на данни. (4) ДЛЗД уведомява управителя на БУЛФЛЕКС и правните консултанти за направеното възражение. (5) Администраторът прекратява обработването на Личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на Субекта на данни, или за установяването, упражняването или защитата на правни претенции.
Чл. 45. (1) Субект на данни, чиито Лични данни се намират в някой от Регистрите, има право на достъп до тях. Достъп до Личните си данни имат: настоящите и бивши работници и служители на БУЛФЛЕКС ЕООД, както и други лица, чиито данни са събрани, без да са учредявани трудови или търговски правоотношения. (2) Искането се подава в писмена форма или чрез електронен документ, подписан с електронен подпис и се регистрира и съхранява в Регистър „Субекти на данни“. Искането се подава лично или чрез упълномощено лице с нотариално заверено пълномощно. Забранява се предоставянето на достъп без регистрирано искане. (3) ДЛЗД идентифицира лицето, което е отправило искането и прави преценка дали то е Субектът на данни. (4) ДЛЗД уведомява управителя на БУЛФЛЕКС и правните консултанти за отправеното искане. (5) Субектът на данни има право да посочи всяка една от следните форми на достъп до Личните си данни- устна справка; писмена справка; да прегледа лично документите, в които се съдържат Личните му данни; да получи копие от документите ,включително и по електронен път. (6) След регистриране на искането Администраторът е длъжен да: n Да провери дали подаденото искане отговаря на формалните законови изисквания и дали към него са приложени пълномощно, писмено разрешение, документи, необходими за доказване на основателността, и т. н.; n Да провери дали подаденото заявление отговаря на материалните законови изисквания (данните, до които се иска достъп, са достоверни; дали са в този регистър, дали съществуват, дали лицето има законово основание на поискания достъп и т. н.); n Да прецени дали да спази поисканата форма на достъп и/или ще предоставя друга по своя преценка. (7) При наличие на всички основания, посочени по- горе, Администраторът е длъжен да предостави на Субекта на данни следната информация: n целите на обработването; n съответните категории лични данни; n получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации; n когато е възможно, предвиденият срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок; n съществуването на право да се изиска от Администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със Субекта на данните, или да се направи възражение срещу такова обработване; n правото на жалба до надзорен орган; n когато личните данни не се събират от Субекта на данните, всякаква налична информация за техния източник; n съществуването на автоматизирано вземане на решения, включително профилирането, както и съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за Субекта на данните. (8) Администраторът е длъжен да предостави Личните данни в посочената в заявлението форма за достъп. Администраторът има право да предостави поисканите данни в друга форма в следните случаи: 1. спазването на поисканата от заявителя форма би довела до неправомерно обработване на информацията; или 2. няма техническа възможност за спазване на поисканата форма. (9) Лицето, на което е разрешен достъп до Личните му данни, няма свободен достъп до документите, съхранявани в съответните помещения. Извлеченията на необходимите данни, копията от тях се правят от ДЛЗД, който реализира достъп до данните след вписване в нарочния Регистър „Субекти на данни“ или след използването на персоналната си парола (в случай че те се съхраняват на електронен носител). Когато е необходимо изнасянето на документи от помещенията за съхранение, това се прави от отговорника, който спазва правилата на настоящата инструкция, свързани със мерките за сигурност на достъпа. (10) Всяко едно уведомление или отказ за предоставяне на информацията се връчват лично на Субекта на Личните данни или неговия пълномощник от ДЛЗД в 14-дневен срок от получаване на заявлението. Заявлението (отказът) се връчва по един от следните начини- срещу подпис на заявителя; по пощата с обратна разписка или чрез вписване на самата бланка на заявлението или чрез електронно съобщение на посочения от заявителя електронен адрес. При връчването, в Регистъра „Субекти на данни“ се вписва номерът на обратната разписка и датата, отбелязана на нея.
Чл. 46. Актуалността на данните се осъществява посредством придобита от Администратора информация от публичен регистър или трети лица и чрез изрично искане от страна на Субекта на данни.
Чл. 47. (1) При получена чрез справка в публичен регистър или придобита по друг публичнодостъпен начин информация или от трето лице, която информация съдържа променени Лични данни, които се обработват от Администратора, съответният Получател, който е служител на Администратора, нанася променените данни в съответния регистър на данни. (2) Когато отразява промените на хартиен носител, Получателят прави разпечатка или друго копие от документа, от който са видни промените и го прилага в съответното досие. (3) Когато нанася промените на електронен носител, Получателят сканира разпечатката или документа, от който са видни промените и го запазва във файла на съответния клиент или контрахент или служител. (4) При нанасяне на промените, Получателят обръща внимание на вида и обема на данните, съдържащи се в съответния документ или публичен регистър. В случай, че в документа или регистъра се съдържат и други данни, Получателят записва само данните, които се обработват от Администратора. (5) При нанасяне на промените, Получателят обръща внимание на посочените Субекти на данни в документа или друг носител, където е налична информацията. Когато установи, че информацията касае и други Субекти, Получателят нанася промените само и единствено на Субекта, чиито данни се обработват от Администратора.
Чл. 48. При отправено конкретно искане от Субекта на данни за коригиране или допълване на негови Лични данни, Администраторът предприема незабавно необходимите действия като коригира или допълва данните или отказва мотивирано и законосъобразно. (1) Субектът на данни отправя искане до Администратора чрез ДЛЗД в писмена или друга достъпна за него форма в това число и чрез електронен документ, подписан с електронен подпис. За подаване на искането, Субектът на данни може да поиска съдействие от ДЛЗД. (2) ДЛЗД регистрира направеното искане в Регистър „Субекти на данни“ по партидата на съответния Субект. (3) ДЛЗД идентифицира лицето, което е отправило искането и прави преценка дали то е Субектът на данни. (4) ДЛЗД уведомява управителя на БУЛФЛЕКС и правните консултанти за отправеното искане. (5) Когато са необходими допълнителни документи или информация във връзка с отправеното искане, ДЛЗД информира Субекта за исканата информация, основанието на което се иска и целите, за които се иска. Уведомяването се извършва по възможност в същата форма, в която е отправено искането, освен ако Субектът на Лични данни не е посочил друга форма. (6) За предприетите действия по коригиране на Личните данни или съответно за отказа да се променят личните данни и мотивите за това, ДЛЗД информира в съответната форма Субекта на данни в срок от две седмици, считано от получаване на искането. Този срок може да се удължи, ако обемът на данните или броят на исканията е голям. (7) Цялата кореспонденция между Субекта на Лични данни и ДЛЗД, както и всички становища на правните консултанти и управителят на Администратора се съхранява в Регистър „Субекти на данни“ по партидата на съответния Субект.
Чл. 49. (1) В случай на коригиране на данни Администраторът е длъжен да уведоми Обработващите Лични данни на съответния Субект. (2) При уведомяването на Обработващия данни, Администраторът спазва процедурните правила, уредени в съответния договор с Обработващ данните. В случай, че такива правила липсват, Администраторът спазва настоящата инструкция. (3) При уважено искане за коригиране на данни, Администраторът уведомява Обработващия Лични данни, като изисква информация за актуалния статус на Личните данни при Обработващия. В случай, че Обработващият е актуализирал вече Личните данни, без да уведоми Администраторът, процедурата приключва с изрично уведомление до Обработващия с искане при коригиране на данни в бъдеще да изпраща навременно информацията при Администратора. В случай, че Личните данни при Обработващия не са коригирани, то Администраторът му изпраща актуалния статус на данните. (4) Контактът между Администратора и Обработващия се осъществява чрез ДЛЗД и съответното лице по защита на данните при Обработващия. При уведомяването на Обработващия задължително се изисква потвърждение за получаване на актуалната информация и потвърждение за получаването на уведомлението. (5) Кореспонденцията и обмяната на актуализираната информация относно данните се осъществява писмено или чрез електронна поща. (6) Кореспонденцията и цялата информация по актуализацията на данните се съхранява в Регистър „Субекти на данни“, а актуалните Лични данни се отразяват в съответните регистри по реда на чл. 47 от настоящата инструкция.
Чл. 50. (1) Администраторът създава и поддържа Регистър „Субекти на данни“. (2) Регистърът се поддържа на електронен и хартиен носител. Хартиеният регистър се съхранява в самостоятелен метален шкаф или част от такъв шкаф, а електронният регистър- на съответния сървър. (3) В регистърът се записва и съхранява цялата информация, свързана с осъществяване правата на Субектите на данни, кореспонденцията с тях и трети страни, входираните и изходирани документи, постъпилите жалби и възражения. (4) Регистърът се поддържа от ДЛЗД, а достъп до него има ДЛЗД и управителя на БУЛФЛЕКС.
РАЗДЕЛ X СЪБИРАНЕ НА ЛИЧНИ ДАННИ
|
Първоначално събиране на Лични данни |
Чл. 51 (1) Личните данни в Регистър „Персонал“ се събират преди да бъде учредено съответното трудовото или извънтрудовото правоотношение и при постъпване на работа (започване на изпълнението), както и при прекратяване на правоотношението, когато съгласно българското и европейското законодателство се изисква предоставяне на допълнителна информация, свързана с Лични данни.(2) В Регистър „Туристи“ Личните данни се събират при регистрация на съответното лице в хотелската система и регистър, съгласно Закона за туризма, както и при извършване на плащане за ползване на хотелски услуги.
(3) В Регистър „Контрагенти“ Личните данни се събират преди или по време на учредяване на търговското правоотношение със съответното лице-контрагент на БУЛФЛЕКС, както и при прекратяване на правоотношението, когато съгласно българското и европейското законодателство се изисква предоставяне на допълнителна информация, свързана с Лични данни. (3) Данните се събират в писмена форма на хартиен носител и/или по друг технически достъпен начин, включително на електронен носител. (4) Личните данни се събират от Получателите, които съгласно настоящата инструкция имат достъп до съответните регистри. (5) Други лица, освен посочените, нямат право да събират Лични данни. (6) По изключение Администраторът и/или Обработващите данните имат право с устна/писмена заповед да възлагат на други служители да събират определени Лични данни. В този случай възлагащият събирането на данните е длъжен да ги обяви за служебна (фирмена) тайна и да забрани тяхното разпространяване под каквато и да е форма и пред когото и да е.
|
Ред за първоначално събиране на Лични данни |
Чл. 52 По отношение на регистър „Персонал“ редът за първоначално събиране на Лични данни е следният:(1) Документите, съдържащи Личните данни, се изготвят в 2 (два) екземпляра, които се разпределят, както следва: единият се предава на Субекта на Личните данни, а другият се запазва в личното му трудово досие в регистър „Персонал“.
(2) Документи на хартиен носител, оставащи при Администратора, се събират и подреждат в личното трудово досие на всеки новопостъпващ работник, служител или изпълнител, до което достъп имат само лицата, изброени в настоящата инструкция. (3) Създаването на личното трудово досие е нормативно задължение на БУЛФЛЕКС като работодател. Досието представлява специално създадена папка, в която се събират документите във връзка с възникването, съществуването, изменението и прекратяването на трудовото правоотношение, и подписано съгласие за предоставяне на Лични данни (Приложение № 2) . (4) Личните данни на електронен носител остават в отделен файл в компютър, до който достъп имат само лицата, изброени в настоящата инструкция.
Чл. 52а По отношение на Регистър „Туристи“ редът за първоначално събиране на данни е следният: (1) При извършване на резервация или онлайн плащане се открива партида на туриста или съответния туроператор, в която се поместват Личните данни, свързани с конкретно или конкретни физически лица. (2) При настаняване на туристите в хотел „Корал“ се изисква документ за самоличност с цел нанасяне на необходимата, съгласно Закона за туризма информация в базата данни на хотелския комплекс. (3) При настаняване на туристи се снемат данните от документа за самоличност без да се прави копие на този документ.
|
Чл. 53 По отношение на Регистър „Контрагенти“ редът за първоначално събиране на Лични данни е следният:(1) Търговските договори и съпътстващите ги документи, сключвани от БУЛФЛЕКС, които съдържат Лични данни на негови контрагенти или доставчици на БУЛФЛЕКС или са представители на юридическите лица, контрагенти на БУЛФЛЕКС, както и всички други физически лица, чиито данни се разкриват пред Администратора при или по повод търговските му взаимоотношения с контрагентите ( представители на контрагентите длъжници, пълномощници, шофьори, служители, лица за контакт се изготвят и подписват в 2 екземпляра – по един за всяка от страните или се събират на електронен носител.
(2) Документите, които остават при Администратора на хартиен носител, се събират и съхраняват в отделни папки по контрагенти. Достъп до тях имат лицата, посочени в настоящата инструкция. (3) Документите на електронен носител, съдържащи Лични данни, остават по досието на съответния контрагент в отделен файл в компютър, до който достъп имат само съответните лица, посочени в настоящата инструкция.
|
Последващо събиране на Лични данни |
Чл. 54 (1) Администраторът има право във всеки един момент да определя нови и различни категории Лични данни, които да събира от работниците, служителите и изпълнителите по извънтрудови правоотношения и да включва в регистър „Персонал“. Това става при пълно спазване изискванията на действащото европейско и национално законодателство и на настоящата инструкция.(2) Личните данни се събират в писмена форма на хартиен носител или чрез достъпни технически средства, включително на електронен носител по описания в чл. 52 от инструкцията начин.
(3) Личните данни се събират от лицата, определени в настоящата инструкция, които имат достъп до съответните регистри. (4) Други служители, освен посочените, нямат право да събират Лични данни. (5) По изключение Администраторът и/или Обработващите данните по Регистър „Персонал“ имат право с устна/писмена заповед да възлагат на други служители да събират за определен период от време Личните данни на работниците и служителите на Дружеството. В този случай възлагащият събирането на данните е длъжен да ги обяви за служебна (фирмена) тайна и да забрани тяхното разпространяване под каквато и да е форма и пред когото и да е.
|
Чл. 55. Администраторът има право да извършва последващо събиране на Лични данни на физическите лица от Регистър „Туристи“ или Регистър „Контрагенти“, когато са налице правните основание за законосъобразност на обработването на допълнителните данни, съгласно регламента, националното законодателство и настоящата инструкция. |
Ред за последващо събиране на Лични данни |
Чл. 56 (1) Документите на хартиен носител, съдържащи Личните данни, се подреждат в личното трудово досие на работника/служителя или изпълнителя или в досието на контрагента, туриста или туроператора, до което достъп имат обработващите Лични данни, във връзка с изпълнение на текущи служебни задължения.(2) Документите на електронен носител остават в отделни файлове в компютъра, до който достъп имат същите лица като в предходната алинея.
|
Събиране на Лични данни от трети лица |
Чл. 57 (1) В случаите, когато по силата на вътрешните правила на Администратора и конкретна писмена или устна заповед Лични данни се събират от работници или служители или от контрагенти извън посочените в настоящата инструкция, то във възможно най-кратък срок те се предават на съответното лице, посочено в настоящата инструкция, за да бъдат събрани по описания в предходните членове ред.(2) Събраните данни се прилагат в съответното досие и се съхраняват по реда, посочен в тази инструкция.
|
РАЗДЕЛ XI ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
|
Обработване на Лични данни |
Чл. 58 (1) Обработването на Лични данни в регистрите е всяко записване, употребяване, възпроизвеждане на други носители, използване във връзка с обработването на други видове данни, актуализиране, поддържане, складиране и т.н. на събраните Лични данни.(2) По смисъла на настоящата инструкция обработването е текущо и инцидентно.
|
Текущо обработване на Лични данни |
Чл. 59 (1) Текущо обработване на Личните данни е периодично- всекидневно, месечно и т.н.(2) Всекидневното и месечното обработване на Личните данни се осъществява от длъжностите, изброени в настоящата инструкция, или други лица, упълномощени да обработват Личните данни.
(3) Администраторът има право да възлага на други категории длъжности да обработват Личните данни. Това става с устна/писмена заповед на Администратора и/или обработващия данните по регистъра. В заповедта се посочват: длъжностите, на които се възлага обработването на Личните данни от регистрите, срокът, за който се възлага обработването, обработваните Лични данни се обявяват за служебна (фирмена) тайна и се забранява тяхното разпространяване под каквато и да е форма и пред когото и да е. (4) Забранява се работници, служители или трети лица, извън лицата изрично оправомощени за това, да обработват Личните данни от регистрите. (5) Лицата са длъжни да обработват лично документите, съдържащи Лични данни. (6) Получателите и обработващите нямат право да предават, предоставят или показват съдържанието на документ, в който се съдържат Лични данни, на лица извън категориите обработващи и Получатели по Регистър „Персонал“, Регистър „Контрагенти” и Регистър „Субекти на данни“. (7) Лицата са длъжни след обработването на документите, папките и другите материали, съдържащи Личните данни, да ги поставят на определените за това места или да ги върнат в съответните досиета или да затворят съответните страници на информационната система като всеки служител следва да има самостоятелна парола за достъп. (8) Лицата нямат право след приключване на работното време да оставят на работните си места и в работните помещения документи и материали, съдържащи Лични данни. (9) Обработващите и Получателите нямат право да изнасят извън територията на работното си място всякакъв вид документи или материали, съдържащи Лични данни, освен след уведомяване (разрешение) на управителя на БУЛФЛЕКС.
|
Инцидентно обработване |
Чл. 60 (1) Администраторът има право да възлага на други категории длъжности инцидентно да обработват Лични данни.(2) Това става с устна/писмена заповед на Администратора и със знанието на обработващия данните по регистъра. В заповедта се посочват: длъжностите, на които се възлага обработването на Личните данни и се предоставя достъп до тях, срокът, в който те имат достъп до обработваните данни, лицето, което им предоставя обработваните данни, специални правила за работата с данните; обработваните Лични данни се обявяват за служебна (фирмена) тайна и се забранява тяхното разпространяване под каквато и да е форма и пред когото и да е.
(Става въпрос за инцидентен достъп и обработване на Лични данни от трети лица. Например членовете в комисията за подбор при уволнение, комисия при трудоустрояване и т н.)
(3) Получателите и обработващите нямат право да предават, предоставят или показват съдържанието на документ, в който се съдържат Лични данни, на други извън посочените в заповедта на Администратора лица. (4) Лицата са длъжни след обработването на документите, папките и другите материали, съдържащи Личните данни, да ги върнат в съответните досиета. В случай, че данните се обработват на електронен носител, лицата са длъжни да върнат всички електронни носители, на които са прехвърляни данните, като Администраторът преустановява достъпът на инцидентно обработващите лица. (5) Обработващите и Получателите нямат право след приключване на работното време да оставят на работните си места и в работните помещения документи и материали, съдържащи Лични данни, като са длъжни да затворят страницата на съответната електронна система и да не разкриват паролите си за достъп. (6) Обработващите и Получателите нямат право да изнасят извън територията на предприятието всякакъв вид документи или материали, съдържащи Лични данни, освен след уведомяване (разрешение) на управителя на БУЛФЛЕКС България.
|
РАЗДЕЛ XII СЪХРАНЯВАНЕ НА ЛИЧНИ ДАННИ. СРОКОВЕ ЗА СЪХРАНЯВАНЕ И ПРОЦЕДУРА ПО ЗАЛИЧАВАНЕ |
Съхраняване на Личните данни на хартиен носител |
Чл. 61 (1) Документите на хартиен носител, съдържащи Лични данни от Регистър „Персонал“ се съхраняват в Личните трудови досиета на работниците и служителите или изпълнителите.(2) Оригиналите на болничните листове, решения на ТЕЛК или друга медицинска документация, които съдържат Лични данни относно медицинския статус на работниците/служителите, се съхраняват в отделни поименни папки към трудовите досиета.
(3) Личните досиета се съхраняват в специален картотечен шкаф в помещение, определено от Администратора.
Чл. 61а (1) Документите на хартиен носител, съдържащи Лични данни от Регистър «Туристи» като хотелски регистрации и други, се съхраняват в специални папки на лицата, ползващи хотелските услуги или на туроператори, сортирани по периоди на престой или по туроператор. (2) Всички документи се съхраняват в места, определени от Администратора, достъпът до които е ограничен.
|
Чл. 62 (1) Документите на хартиен носител, съдържащи Лични данни от Регистър „Контрагенти“, се съхраняват в досието, свързано със съответния контрагент.(2) Всички търговски документи се съхраняват в метални заключващи се шкафове в отделно помещение или в търговския отдел.
|
Съхраняване на Личните данни на технически носител |
Чл. 63 (1) Документите се съхраняват на твърд диск, на компютри в самостоятелно помещение, които са включени в локалната компютърна мрежа.(2) Достъпът до файловете с Личните данни е непосредствен само за длъжностите, изброени в настоящата инструкция, в качеството им на Получатели или обработващи Личните данни, като е защитен с парола.
(3) Паролите за достъп са индивидуални и са известни само за съответните лица. (4) Софтуерните продукти, които се ползват при обработването на Личните данни, са адаптирани към специфичните изисквания на Регламента и националното законодателство и съдържат антивирусна програма. (5) По отношение на регистрираните туристи Администраторът следва да използва и да въвежда данни в Единната система за туристическа информация. Достъп до системата имат лицата, определени в чл. 116, ал. 7 от Закона за туризма, а именно: 1. лицата, извършващи хотелиерство – за данните за настанените от тях лица; 2. съответната община – за данните за броя на настанените лица, тяхното гражданство и броя на реализираните нощувки на територията ѝ; 3. Националната агенция за приходите – за данните за броя на настанените лица, тяхното гражданство и броя на реализираните от тях нощувки на територията на цялата страна; 4. министърът на вътрешните работи – за всички данни; 5. Националният статистически институт – за обобщени статистически данни, въз основа на наличните данни в Единната система за туристическа информация, в обем, определен със закон; 6. (нова) Държавната агенция “Национална сигурност” – за всички данни.
Чл. 64 (1) Сроковете за съхранение на Личните данни, съгласно настоящата инструкция са определени на базата на анализ, представляващ Приложение № 8. (2) Срокът за съхранение на Личните данни е 5 годишен, освен ако националното или европейското законодателство не предвижда по- дълъг срок. (3) Срокът започва да тече, както следва: n считано от получаване на документите, съдържащи Лични данни- относно кандидати за постъпване на работа във БУЛФЛЕКС на трудово или извънтрудово правоотношение, с които не е сключен в последствие договор; n считано от прекратяване на трудовото или гражданското правоотношение със съответния служител; n считано от представяне на документите, съдържащи Лични данни, които документи са необходими за преценката за сключване на договор с контрагенти; n считано от прекратяване или приключване на договор с контрагенти и уреждане на всички съпътстващи въпроси, свързани с прекратяването; n считано от приключване на престоя на съответния турист.
Чл. 65 (1) При изтичане на предвидените срокове за съхранение на Личните данни, както и при направено искане и наличие на обстоятелствата по чл. 41 от настоящата инструкция, ДЛЗД уведомява управителя на БУЛФЛЕКС. (2) Управителят организира комисия, в която присъстват ДЛЗД, правните консултанти на БУЛФЛЕКС и лицата, които осъществяват счетоводното обслужване на Администратора. (3) При липса на конкретно искане от Субекта на данни, комисията се събира един път в годината и разглежда досиетата и данните в регистрите, чиито срокове са изтекли. (4) Комисията преценява и съгласува заличаването на Личните данни за всеки Субект, използвайки критериите и сроковете, предвидени в Приложение № 8 и чл. 41 от настоящата инструкция. (5) При положително становище на комисията за заличаване на данните, документите, които съдържат Лични данни на хартиен носител подлежат на изгаряне в специализирани производствени предприятия или на унищожаване чрез използване на машини за нарязване на хартия (шредери). (6) При положително становище на комисията за заличаване на данните, файловете, които съдържат Лични данни и всички Лични данни на електронен носител се изтриват или се качват на електронен носител, който не се използва от Администратора или от Обработващ данните или от Получатели на данните и достъп до който няма никой, освен управителя на БУЛФЛЕКС. (7) При наличие на отрицателно становище на комисията за заличаване на данните, последните продължават да се обработват според указанията на комисията.
|
РАЗДЕЛ XIII АРХИВИРАНЕ
|
Архивиране на документите на хартиен носител |
Чл. 66. По отношение на Регистър „Персонал“ правилата за архивиране са следните:(1) След прекратяване на трудовото и извънтрудово правоотношение или след окончателното решение на Администратора относно неназначаването на определен кандидат за постъпване на работа по трудово или извънтрудово правоотношение, в срок от 2 месеца всички документи, съдържащи Личните данни на съответното лице, се събират в съответното лично трудово досие или досие, съдържащо предоставените данни, необходими за постъпването на работа.
(2) Досиетата се затварят и се прибират в картотечен шкаф в архивното отделение или се предават на фирма за архивиране, където се съхраняват до наличие на основание за заличаването му. (3) Всички досиета се съхраняват в картотечен шкаф, който се заключва. Администраторът определя броя ключове и длъжностите, които имат достъп до тях. (4) Оправомощените лица, осъществяващи достъп до архивираните документи, се вписват в Регистър „Субекти на данни“, като се отбелязват и датата и причината за допускането в архивното помещение.
Чл. 66а. По отношение на Регистър „Туристи“ правилата за архивиране са следните: (1) След приключване на летния сезон всички Лични данни, свързани с туристите, посетили хотела през този период на хартиен носител се прибират на място, определено от Администратора. (2) Досиетата се затварят и се прибират в картотечен шкаф в архивното отделение или се предават на фирма за архивиране, където се съхраняват до наличие на основание за заличаването му. (3) Информацията, съдържаща се в информационната система на хотела, се архивира в определени папки и на определено място, достъп до което има само управителя на хотела и на БУЛФЛЕКС със своите пароли. (4) Оправомощените лица, осъществяващи достъп до архивираните документи, се вписват в Регистър „Субекти на данни“, като се отбелязват и датата и причината за допускането в архивното помещение или място на сървъра, ако има други лица извън посочените в предната алинея.
|
Чл. 67 По отношение на Регистър „Контрагенти“ правилата за архивиране са следните:(1) В двумесечен срок, след прекратяване на търговското правоотношение всички документи се събират в съответното досие на контрагента.
(2) Досието се затваря и се прибира в метален шкаф в отделно помещение или в търговския отдел или се предава на фирма за архивиране, където се съхранява до наличие на основанията за заличаване на Личните данни. (3) Всички шкафове, в които се съхранява информация, представляваща служебна (фирмена) тайна, се заключват. Администраторът определя броя ключове и длъжностите, които имат достъп до тях. (4) Оправомощените лица, осъществяващи достъп до архивираните документи, се вписват в Регистър „Субекти на данни“, като се отбелязват и датата и причината за допускането в архивното помещение. (5) По отношение на информацията, съдържаща се на електронен носител, данните в нея се архивират в определени папки и на определено място, достъп до което има само управителя на БУЛФЛЕКС със своите пароли.
|
Архивиране на документите на технически носител |
Чл. 68 Архивирането на Личните данни на технически носител става в реално време (синхронизация със сървъра), а в ТРЗ програмата – ежедневно.
|
РАЗДЕЛ XIV МЕРКИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ. ОПРЕДЕЛЯНЕ НА ЕКИП ЗА ДЕЙСТВИЕ ПРИ НАРУШЕНИЕ НА СИГУРНОСТТА НА ДАННИТЕ
Чл. 69. (1) Мерките за защита на обработваните Лични данни, които се прилагат във БУЛФЛЕКС, са технически и организационни. Мерките имат за цел да осигурят адекватно ниво на защита на личните данни в поддържаните регистри с Лични данни от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване. Те включват физическа, персонална, документална защита и защита на автоматизираните информационни системи и мрежи, както и криптографска защита на Личните данни. (2) Конкретните мерки и процедури за защита на данните са посочени в Приложение № 1.
Чл. 70. (1) В Програмата за сигурност и защита на Личните данни (Приложение № 1) се съдържат подробни правила за реакция при инцидент с Личните данни. Първа стъпка от посочения план е създаване на екип на локално ниво, който включва основен отговорник, правен консултанти, специалист по информационни технологии и отговорника по лични данни. (2) Подробен списък с имената и данните за контакт на лицата от екипа за действие при инцидент с Личните данни се изпраща на всички служители на БУЛФЛЕКС, както и на всички лица, които обработват Лични данни, за които БУЛФЛЕКС е отговорен. Списъкът е наличен и на видно място на сървъра, съхраняващ информацията в дружеството. (3) Основните отговорници на екипа за реакция при инцидент трябва винаги да бъдат уведомявани за наличие на инцидент с Лични данни. След като бъдат уведомени, членовете на екипа за реакция при инцидент са длъжни да управляват процеса по реакция при инцидент, освен ако и докато не бъдат инструктирани за друго от управителя на БУЛФЛЕКС.
|
РАЗДЕЛ XV ОЦЕНКА НА НИВОТО НА ВЪЗДЕЙСТВИЕ ВЪРХУ ЛИЧНИТЕ ДАННИ, . |
Лице по защитата на Личните данни |
Чл. 71 (1) ДЛЗД следва да извърши оценката, посочена в този раздел.(2) Администраторът определя ДЛЗД с отделна заповед.
(3) Правомощията и отговорностите на ДЛЗД са подробно изброени от в действащото европейско и национално законодателство, както и в договора или друг писмен акт на Администратора.
|
Оценка на нивото на въздействие върху Личните данни |
Чл. 72 За определяне на адекватното ниво на техническите и организационните мерки и допустимия вид защита се извършва оценка на въздействието върху обработваните Лични данни. |
Чл. 73 Критериите за оценка са: поверителност, цялостност и наличност. |
Оценяване на характера на Личните данни |
Чл. 74 При оценката на въздействието следва да се отчита характерът на обработваните Лични данни, както следва:
|
Нива на въздействие |
Чл. 75 Нивата на въздействие върху обработваните от Администратора Лични данни са следните:
|
Чл. 76 Оценката на нивото на въздействие върху Личните данни във БУЛФЛЕКС следва да бъде изготвена от ДЛЗД след като му бъде предоставен пълен достъп до регистрите, съдържащи Лични данни. |
Периодичност на извършване на оценката |
Чл. 77 (1) Оценката на нивото на въздействие се извършва от ДЛЗД и се одобрява от Администратора на всеки 5 години.(2) В случай, че е налице съществена промяна на характера на обработваните Лични данни или значително се увеличи броят на засегнатите физически лица, е необходимо да се извърши нова оценка на въздействието върху Личните данни.
|
Ниво на защита |
Чл. 78 (1) Нивата на защита на Личните данни съответстват на нивата на въздействие – ниско, средно, високо и изключително високо.(2) Нивата на защита се определят както следва:
|
РАЗДЕЛ XVI
ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ |
Чл. 79 (1) Инструкцията влиза в сила от 01.06.2018г. и след като всички лица, за които тя създава Субективни права и задължения, се запознаят с нейното съдържание.(2) ДЛЗД и управителя на БУЛФЛЕКС имат задължение да доведат до знанието на лицата обработващи Лични данни по различните регистри настоящата инструкция.
|
Чл. 80 Копия от инструкцията са на разположение на работниците и служителите в общата фирмена информационна система и на хартиен носител. |
Инструкцията е приета от „БУЛФЛЕКС“ ЕООД, представлявано от:
Любомир Живанкин, Управител _________________________ |
ОЦЕНКА НА ЛЕГИТИМНИЯ ИНТЕРЕС |
Настоящият анализ е част от Политиката за обработване на личните данни във „БУЛФЛЕКС“ ЕООД и за създаване на технически и организационни мерки за защитата им. Всички понятия, дефинирани в Политиката се използват в същия смисъл и в настоящото приложение.
Легитимните интереси на Администратора са едно от правните основания за законосъобразно обработване на Лични данни. Регламентът определя и основните показатели и критерии, които подлежат на изследване, с оглед извършване на преценката дали и доколко е налице легитимен интерес за Администратора да обработва определени Лични данни. Оценката на легитимните интереси на БУЛФЛЕКС включва: 1. Идентифициране на интересите на БУЛФЛЕКС от гледна точка на правоотношенията му със субектите на данни по договорите за предоставяне на туристически услуги; 2. Преценка на основателните очаквания на субектите на данни; 3. Съпоставка на идентифицираните интереси с правата и свободите на субектите на данни относно обработването на тези данни. |
Идентификация на интересите
БУЛФЛЕКС е дружество, чиято основна дейност е свързана с предоставяне на туристически услуги, свързани със собствения на дружеството хотел Корал. Преимуществено, клиентите на БУЛФЛЕКС и съответно страни по договорите за хотелски услуги са физически лица или туроператори. Това предполага и обработване на голям обем Лични данни. Личните данни, които се обработват в тази връзка са имена, ЕГН или друг идентификационен номер, документи за самоличност, банкови детайли, данни за контакт като електронна поща, мобилен и стационарен телефон, както и социални платформи за комуникация като Viber, Facebook, What’s up.
Първата фаза при определяне на легитимните интереси на БУЛФЛЕКС е свързана с изясняване на целите на обработване на въпросните данни. Като дружество, предоставящо туристически услуги, БУЛФЛЕКС обработва Лични данни на физически лица за следните цели: n Индивидуализиране на лицата с цел сключване на договори; n За установяване на представителната власт на лицата и правомощията им да сключват договори от името и за сметка на съответните физически лица, както и да извършват други правни или фактически действия; n За установяване на контакт и осъществяване на кореспонденция с контрагентите, както и за изпълнение на договорни задължения. n За извършване на трансакции.
Втората фаза на идентификацията предполага изследване на зависимостта и връзките между определените цели и обработваните данни. Това означава, че следва да се отговори на въпроса дали обработваните Лични данни са абсолютно необходими на БУЛФЛЕКС за постигане на изброените цели. n При индивидуализирането на лицата с цел сключване на договори, БУЛФЛЕКС се нуждае от трите имена и ЕГН или друг идентификационен номер, както и от документът му за самоличност. По този начин Администраторът може да определи и да бъде сигурен, че лицето, което се задължава или което подписва договор са именно лицата, за които се представят и за които има данни в договорите, официалните регистри или пълномощните. n За установяване на представителната власт на лицата и правомощията им да сключват договори от името и за сметка на съответните юридически лица- туроператори, както и да извършват други правни или фактически действия, БУЛФЛЕКС се нуждае от ЕГН, имена на лицето и данни от документите му за самоличност. Само по този начин може да установи със сигурност, че дадено физическо лице е представляващия дружеството- контрагент, съобразно данните в Търговския регистър за законните представители на това дружество или съобразно данните в представено пълномощно, на база на което се подписва договора. Също така, посочените Лични данни са необходими за идентифициране на лицето, което извършва конкретни фактически действия-, счетоводител, който получава фактура на името на дружеството. n За установяване на контакт и осъществяване на кореспонденция с контрагентите, както и за изпълнение на договорни задължения, БУЛФЛЕКС се нуждае от телефони, електронни пощи или социални платформи за комуникация. По този начин на първо място може да предоставя информация, необходима за изпълнението на договора за предоставяне на туристически услуги като например уведомление до туриста за промяна на банковата сметка на БУЛФЛЕКС, по която се извършват плащанията на цената; изпращане на фактура на счетоводител на туроператор по електронна поща; изпращане на съобщение по съответната платформа за комуникация с цел уведомяване туриста за промени в резервацията и други. n За извършване на трансакции, БУЛФЛЕКС се нуждае от информация за финансовото състояние и банковите сметки на субектите на данни. На база на трансакциите се прави или отказва одобрение на резервации. Банковите сметки са необходими за извършване на определени плащания от и на контрагентите.
Въз основа на анализираната до момента информация основателно може да се направи извод, че обработваните Лични данни са абсолютно необходими за постигане на изброените цели, поради което са налице легитимни интереси на Администратора. Няма вариант, при който да бъдат използвани други средства или начини за постигане на посочените цели, при които не се използват и обработват изброените Лични данни. |
2. Основателните очаквания на субектите на данни
Според Регламента, законните интереси на даден администратор могат да предоставят правно основание за обработването, при условие че интересите или основните права и свободи на съответния субект на данни нямат преимущество, като се вземат предвид основателните очаквания на субектите на данни въз основа на техните взаимоотношения с администратора. Такъв законен интерес може да е налице, когато например между субекта на данни и администратора на Лични данни съществува съответното определено взаимоотношение, например когато субектът на данни е клиент или подчинен на администратора на Лични данни. При всички случаи, за установяването на законен интерес би била необходима внимателна преценка, включително дали субектът на данни може по времето и в контекста на събирането на данни основателно да очаква, че може да се осъществи обработване на Личните данни за тази цел. Туристите, направили резервации в хотел Корал са напълно наясно със задълженията на хотелския персонал да ги впишат в хотелски регистър. За да бъде оформена определена резервация, зад нея трябва да стои определено име със съответните му индивидуализиращи данни. В противен случай, когато пристигне в хотел Корал, физическото лице няма да може да ползва привилегиите на резервацията, тъй като тя няма да бъде идентифицирана с него. Законните представители, пълномощниците на туроператорите могат да очакват обработване на техни Лични данни при сключване на договорите за туристически услуги с цел идентификацията им. Извършването на резервации и предоставянето на хотелски услуги е динамичен процес. Ежедневно настъпват промени в броя на лицата по резервацията, вида на предлаганите услуги, броя стаи, вида на стаите и други. Това предполага постоянен контакт с представителите на туроператорите. А за тази цел са необходими Личните данни на техните представители и служители. Туристите и представителите и служителите на туроператорите, които предоставят Лични данни за контакт с тях ясно осъзнават, че комуникациите с БУЛФЛЕКС не могат да бъдат осъществени без телефонни номера, електронни пощи и платформи за комуникация. В този смисъл не са налице обстоятелства, при които субектите на данни основателно не очакват обработка на Личните им данни.
|
3. Правата и свободите на субектите на данни относно обработването
Последният етап от анализа на легитимните интереси включва преценката дали те не влизат в противоречие с правата и свободите на субектите на данни. Следва да се подчертае, че Регламентът визира не всички права и свободи, а само тези, които изискват защита на Личните данни. В този смисъл при извършване на анализа следва да се вземат предвид следните обстоятелства:
n Обработването на посочените Лични данни не уврежда правата на субектите на данни. Информацията се използва от БУЛФЛЕКС само и единствено за целите на дейността му, посочени в Политиката и настоящия анализ; n Обработването на данни не създава затруднения за субектите на данни и допълнителни техни задължения. По- голямата част от данните е публично достъпна, а в останалата си част е свързана с ежедневните им дейности. Данните за идентификация и за контакт се използват непрекъснато и от самите субекти. n Част от данните се обработват в интерес на субекта на данни. Така например информацията за банковите сметки е от значение за изплащане на суми, които следва да бъдат преведени на субектите или дружествата, които са ръководени или чиито собственици са. Изпращането на фактури по електронна поща спестява време и материали. n Данните се обработват във връзка с договори за предоставяне на туристически услуги. Налице е формално правоотношение, което гарантира на субектите на данни и създава една увереност в тях, че данните им ще бъдат обработвани за целите на този договор. n Личните данни са предоставени от субектите, в по- голямата си част. Но дори и в случаите, при които са получени от публични регистри или от трети лица, субектите на данни са запознати с политиката по обработване на Лични данни на БУЛФЛЕКС. |