- Предмет, цел и обхват
При упражняване дейността си, „Ол ченълс комюникейшън“ ЕООД (по-нататък наричано за краткост „Ол ченълс“/“Администратор“) отчита, че за физическите лица е важно да разбират процеса на събиране, съхраняване, споделяне и използване на всяка информация, която представлява лични данни.
„Ол ченълс комюникейшън“ ЕООД, в качеството си на Администратор на лични данни, по смисъла на Закона за защита на личните данни и Общия регламент за защита на данните – Регламент (ЕС) 2016/679 (по-нататък наричан за краткост „Регламентът“ или „ОРЗД“) има за цел да осигури съответствие с националното законодателство и със законодателството на ЕС по отношение на обработването на личните данни и защитата на правата на субектите, чиито лични данни събира и обработва.
В зависимост от случая Ол ченълс комюникейшън ЕООД може да обработва данни в качеството си на Обработващ по смисъла на Регламента.
С настоящата политика се предоставя информация относно принципите и правилата, свързани с обработването на лични данни, правата на субектите на тези данни, начините за обработване на лични данни и средствата за защита на данните, от страна на Ол ченълс, както и неговите задължения и отговорности в качеството му на Администратор и/или Обработващ лични данни.
Настоящата политика за защита на личните данни (по-нататък „Политиката“) е част от мерките – технически и организационни, които се прилагат от страна на Ол ченълс, за да се гарантира спазване на изискванията на приложимото законодателство.
- Принципи, свързани с обработването и защитата на данните
Обработването на лични данни се извършва в съответствие с принципите за защита на данните, както следва:
- Личните данни се обработват законосъобразно, добросъвестно и прозрачно.
1.1. Законосъобразност
Идентифициране на законовото основание, преди да се пристъпи към обработване на личните данни. Законосъобразността при обработването на личните данни означава пълно съответствие на поведението на Администратора не само със специалните разпоредби на актовете за защита на личните данни, но и с цялото действащо законодателство. Всяка обработка на лични данни се основава на валидно правно основание, което може да бъде:
Спазване на законово задължение, което се прилага спрямо дейността на Администратора;
Изпълнение на договор, по който физическо лице е страна или предприемане на стъпки, по искане на физическо лице, преди сключване на договор (регулиране на пред-договорни отношения);
Съгласие от субекта на данни за една или повече цели;
Защита на жизненоважни интереси на субекта на данни или на друго физическо лице;
Изпълнение на задача от обществен интерес;
Легитимен интерес на Администратора, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните.
1.2 Добросъвестност
Добросъвестно е онова обработване на данните на лицата, което не засяга неоправдано и по негативен начин субектите на данни, като се изпълнява в пълно съответствие със законовите правила и добрите нрави. Всяка информация и комуникация във връзка с обработването на личните данни трябва да бъде лесно достъпна и разбираема като се използват ясни и недвусмислени формулировки.
1.3 Прозрачност
Изпълнението на принципа на прозрачност означава Администраторът на данни да предоставя определена информация на субектите на данни, необходима във всеки конкретен случай и за всяка конкретна цел, по разбираем, кратък и достъпен за субекта на данни начин, независимо дали личните данни са получени директно от субектите на данни или от други източници.
Специфичната информация, която се предоставя на субекта на данните във връзка с обработване на лични данни, включва:
Данни, които идентифицират Администратора и данните за контакт с Администратора;
Целите на обработване, за които личните данни са предназначени, както и правното основание за това;
Срокът, за който личните данни ще бъдат съхранявани;
Упражняване на следните права от субекта на данни: право на достъп, на коригиране, на изтриване, право на ограничаване на обработването на личните данни, както и право на възражение срещу условията или липсата на условия за тяхното упражняване съгласно правилата на ОРЗД;
Категориите лични данни;
Получателите или категориите получатели на лични данни;
- Лични данни се събират само за конкретни, изрично указани и законни цели.
Данните, получени за конкретни, изрично указани в съответните нормативни актове и/или договори, и/или други документи, легитимни цели, се събират и обработват само за тези цели, за които са били събрани, и които съответстват на дейностите по обработване.
- Личните данни, които Администраторът събира, са подходящи и ограничени до необходимите за съответната цел на обработване.
- Личните данни трябва да бъдат точни и актуални във всеки един момент и да са положени необходимите усилия за осигуряване на възможност за тяхното изтриване или коригиране.
Данните, които се съхраняват от Администратора се преглеждат и актуализират при необходимост. Не се съхраняват данни, в случаите, когато има голяма вероятност същите да не са точни;
Субектът на данните декларира, че данните, които предава за обработване от Ол ченълс са точни и актуални;
Данните подлежат на преглед и при необходимост се актуализират/коригират;
- Личните данни се съхраняват във форма, която позволява субектът на данните да бъде идентифициран за периода, необходим за обработването.
Лични данни ще бъдат пазени в съответствие със законово регламентирани срокове за съхранение, изтичане на валидност или оперативното значение на информацията.
- Личните данни се обработват по начин, който да гарантира тяхната поверителност, цялостност и наличност.
Администраторът обработва личните данни, прилагайки подходящо ниво на сигурност (технически и организационни мерки) и гарантирайки тяхната поверителност, цялостност и наличност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу загуба, унищожаване или повреждане.
Личните данни се обработват по начин, който гарантира подходящо ниво на сигурност. Сигурността на личните данни се гарантира от технически и организационни мерки, които включват:
Защита на електронните технически средства с индивидуална парола;
Автоматично заключване на бездействащи работни станции в мрежата;
Антивирусен софтуер и защитни стени;
Ограничаване на достъпа до помещения/оборудване, в които се съхраняват документи;
Включването на защитата на данните в длъжностната характеристика на служителите;
Съхраняване на документи с лични данни в заключващи се шкафове;
При преценката за подходящи мерки се вземат предвид идентифицираните рискове за личните данни, както и възможността за нанасяне на вреди на лицата, чиито данни се обработват.
III. Категории лични данни, които се обработват.
Личните данни, които се събират и обработват, могат да включват:
- Данни относно физическа идентичност – включващи три имена, ЕГН/ЛНЧ/ЕИК на едноличен търговец, постоянен адрес;
- Информация за контакт – вкл. постоянен адрес или адрес за кореспонденция, имейл адрес, включително служебен такъв, телефонен номер (мобилен, домашен);
- Данни относно професионална дейност – позиция или длъжност в организацията, за която лицето работи;
- Данни относно икономическа идентичност – данни за банкова сметка при плащане на възнаграждения по договор за предоставяне на услуги.
Обработката на лични данни за целите на основната дейност на Администратора, както и при изпълнение на нормативните му задължения е задължителна, за изпълнението на тези цели.
Не се обработват от Администратора следните видове специални лични данни: лични данни, разкриващи расов или етнически произход; политически възгледи, религиозни и философски убеждения; генетични и биометрични данни; данни, които се отнасят до сексуалния живот и сексуалната ориентация.
- Категории субекти на данни
Настоящата Политика се отнася до дейностите по обработването на всички лични данни, включително тези, които се извършват относно лични данни, предоставени от субекта на данните, по негова собствена инициатива, с цел изпълнение от страна на Администратора на дейност, свързана със субекта на данни или във връзка с упражняване на негови права. Обработват се лични данни на:
Работници и служители по смисъла на Кодекса на труда – физически лица, които се намират в трудови правоотношения с Ол ченълс;
Кандидати за работа или физически лица, сключили граждански договори с Ол ченълс, в качеството им на външни изпълнители;
Служители на контрагенти, чрез които се осигурява комуникация по повод търговските отношения на Ол ченълс;
Субекти, които не са предоставили лично своите данни, но същите се обработват от Администратора, в изпълнение на сключени договори с търговски контрагенти (данните са получени чрез контрагентите);
Физически лица, участващи в инициативи и мероприятия, организирани от или с участието на Ол ченълс;
Други данни за субекти, които са постъпили при Администратора от други източници, непосочени по-горе.
- Цели на обработване на лични данни
Лични данни се обработват за реализацията на основните и спомагателни дейности на Администратора, свързани с изпълнение на договори; трудови правоотношения със служители; подбор на персонал; осъществяване на основния предмет на дейност, в това число и за предоставяне на услуги на клиенти, от чието име и по чието възлагане се осъществява контакт със субекти на лични данни;
- Основания за обработване на лични данни
Обработването на лични данни от Ол ченълс се извършва на основание:
- Спазване на законови задължения на Администратора съгласно счетоводното, данъчното, здравно-осигурителното, социално-осигурителното и друг вид законодателство, включително за предоставяне на информация пред компетентните държавни органи;
- Изпълнение на трудови, граждански и търговски договори;
- Легитимен интерес – упражняване и защита на законните права и интереси на Администратора;
- Съгласие от субекта на данни.
Администраторът обработва личните данни самостоятелно или чрез договореност с Обработващ под ръководството на Администратора и/или по силата на сключен договор за съвместни администратори. В определени случаи, Ол ченълс обработва лични данни и в качеството си на Обработващ.
VII. Права на субектите на данни
Администраторът се ангажира с предоставяне на информация и комуникация съгласно ОРЗД, която се отнася до обработването, на субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма. Информацията се предоставя писмено или по друг начин.
- Право на достъп
Субектът на данни има право да получи информация за личните данни, свързани с него, които се обработват от Администратора, и за целта, за която се обработват, включително да получи достъп до данните, както и информация кои са получателите на тези данни и третите страни, на които данните се предават, когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок; съществуването на право да изисква от Администратора коригиране или изтриване на лични данни или ограничаване на обработването им, или да направи възражение срещу такова обработване, освен ако обработването не е в изпълнение на законово или договорно задължение; правото на жалба до надзорен орган; източника на личните данни, когато те не са събрани от субекта на данните.
- Право на коригиране
Субектът на данни има право да поиска от Администратора коригиране на лични данни, когато те са неточни, както и когато не са актуални.
- Право на изтриване
Субектът на данни има право да изиска от Администратора изтриване на личните му данни. Субектът на данни има правото да поиска от Администратора изтриване на свързаните с него лични данни без ненужно забавяне, а Администраторът има задължението да изтрие същите, когато е приложимо някое от посочените по-долу основания:
Личните данни вече не са необходими за целите, за които са били събрани или обработвани;
Субектът на данни оттегля своето съгласие, въз основа на което се основава обработването на неговите данни и няма друго правно основание за обработването им;
- Право на ограничаване на обработването
Субектът на данни има право да поиска от Администратора ограничаване на обработването на лични данни, като в този случай данните ще бъдат само съхранявани, но не и обработвани. Субектът на данни може да упражни правото си на ограничаване на обработването в случаите, когато Администраторът не се нуждае повече от данните за целите, за които същите са били обработвани, но субектът ги изисква за установяване, упражняване и защитата на правни претенции;
- Право на възражение
Субектът на данни има право на възражение срещу обработване на негови лични данни. Когато Администраторът обработва лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработването им.
- Право на подаване на жалба до надзорен орган
Субектът на данни има право да подаде жалба до надзорния орган (Комисия за защита на личните данни), ако смята, че някоя от разпоредбите на ОРЗД е нарушена.
- Право на преносимост на данните
Субектът на данни може да поиска да му бъдат предоставени личните данни в структуриран, широко използван и пригоден за машинно четене формат.
- Право на оттегляне на съгласие
Субектът на данни има право да оттегли съгласието си за обработката на личните данни по всяко време с отделно искане, отправено до Администратора.
VIII. Съгласие за обработване на лични данни
Съгласие на субекта на лични данни се изисква винаги, когато не съществува алтернативно правно основание за обработването. Съгласието трябва да бъде свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработвани. Субектът на данните може да оттегли съгласието си по всяко време.
Съгласието за обработване на лични или специални категории данни се дава въз основа на съответния документ за съгласие, предоставен от субекта на данни на Администратора за всяка конкретна цел на обработване. Когато субектът е страна по договор, съгласие не се изисква, защото данните му се събират на друго законово основание.
- Сигурност на личните данни
Администраторът използва адекватни физически, технически и административни мерки за сигурност, предназначени да защитят личните данни от загуба, злоупотреба, промяна, унищожаване или повреда. Служителите на Администратора, които съгласно длъжностните си характеристики са задължени да обработват определени лични данни от името на Администратора, са длъжни да осигурят сигурността при обработването и съхраняването на данните от тяхна страна, включително да гарантират, че няма да разкриват данните на трети страни, освен на оправомощени по силата на закон или договор трети лица.
- Разкриване на данни
Всички искания от трети страни, които работят с или за Ол ченълс в т.ч. външни организации (получатели), които обработват лични данни във връзка с изпълняваните работни процеси: доставчици на стоки и услуги, дистрибутори, партньори, клиенти, държавни институции, агенции, инспекции, контролни органи, банки, застрахователи, брокери, нотариуси, пристанищна администрация, НОИ, ТЕЛК и други, както и трети страни, които имат или могат да имат достъп до личните данни, събирани и обработвани от Администратора, трябва да бъдат подкрепени с подходящите основания и/или документация.
Личните данни се предоставят на компетентните публични органи при и по повод упражняване на техните правомощия и в изпълнение на задълженията на Администратора към тях.
- Съхраняване и унищожаване на данните
Личните данни се запазват само за времето, необходимо, за да се удовлетвори целта, за която са били събрани от Администратора или предоставени от субекта на данни и за всяка друга допустима и свързана цел, включително предвидените рамки на приложимия законов срок (например за съхранение и обработка на счетоводни данни и за данъчен контрол – 10 (десет) години).
Периодът на съхранение за всяка категория лични данни, както и критериите, използвани за определяне на този период, са съобразени със законовите задължения, за данните.
Личните данни се съхраняват съгласно принципа за гарантиране подходящо ниво на сигурност – включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“).
XII. Сътрудничество с надзорния орган и връзка със субектите на данни
Администраторът сътрудничи на надзорния орган в лицето на Комисията за защита на личните данни с адрес гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, интернет адрес www.cpdp.bg, email kzld@cpdp.bg
Субектът на данни може да отправи всички свои искания и запитвания, свързани с упражняване на правата по защита на личните му данни, както и да получи разяснения относно основанията за възникване и начина на упражняване, и всякаква допълнителна информация за правата си при обработване на лични данни в съответствие с тази Политика на адрес Ол ченълс комюникейшън ЕООД, гр. София, бул. Сливница № 245, ет.2 или по електронна поща на адрес office@all-channels.com
Настоящата Политика е изготвена на основание Регламент (ЕС) 2016/679.
Всяка актуализация на настоящата Политика се публикува на интернет страницата на „Ол ченълс комюникейшън“ ЕООД – https://www.all-channels.com/