Политика за защита на личните данни

1. ОСНОВНИ ОПРЕДЕЛЕНИЯ

1.1. „Отговорно лице“ означава служителят на Администратора на данни, който по естеството на работата си има право да изпълнява специфичните функции, свързани с обработката.

1.2. „ОРЗД“ означава Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент за защита на данните)

1.3. „Служител“ означава лице, което е сключило трудов договор или подобен договор с Администратора на лични данни.

1.4. „Данни/ лични данни“ означава всяка информация, свързана с идентифицирано или идентифицируемо физическо лице (субект на данни); идентифицируемо физическо лице е лице, което може да бъде идентифицирано пряко или косвено, по-специално чрез позоваване на идентификатор като име, идентификационен номер, данни за местоположението, онлайн идентификатор или един или повече фактори, специфични за физическата, физиологичната, генетична, умствена, икономическа, културна или социална идентичност на това физическо лице.

1.5. „ДОД“ означава договор за обработка на данни, който ще бъде подписан с всеки Обработващ лични данни в съответствие с условията, посочени в раздел 3 по-долу;

1.6. „Получател“ означава физическо или юридическо лице, държавен орган, агенция или друг орган, на който се разкриват личните данни, независимо дали е трета страна, или не.

1.7. „Субект на личните данни“ означава клиент или служител на Администратора на данни или всяко друго лице, чиито лични данни се обработват от Администратора на лични данни.

1.8. „Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

1.9. „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на Администратора;

1.10. „Администратор“ означава Ю-ТИЙМ ЕООД, регистрационен номер на юридическото лице 205068345, регистриран на адрес: София, п.к. 1124, ул. Цар Иван Асен II No 64, ет. 1.

1.11. „Клиент“ означава лице, което използва или е използвало услугите, предоставяни от Администратора.

1.12. „Наблюдение на мобилността“ означава събиране и обработка на данни за служителите и клиентите, използващи интернет страницата на Администратора, независимо дали данните са записани във файл или не.

1.13. „Политика“ означава настоящата Политика за обработка на личните данни.

1.14. „Титуляр на сайта“ означава Ю-ТИЙМ ЕООД, регистрационен номер на юридическото лице 205068345

1.15. За целите на настоящата Политика останалите термини съответстват на термините, използвани в ОРЗД, българския Закон за защита на личните данни (наричан по-долу „ЗЗЛД“) и българския Закон за електронния документ и електронния подпис (наричан по-долу „ЗЕДЕП“).

2. ОБЩИ РАЗПОРЕДБИ

2.1. Администраторът събира определени Лични данни за целите на администрирането, провеждане на собствена дейност и упражнявано на законовите задължения.

2.2. Настоящата политика съдържа основните принципи и процедури за събиране, обработване и съхранение на лични данни на потребителите на уебсайта http://www.uteam-bg.com/, администриран от Администратора (наричан по-долу „уебсайт“). Преди да започнете да използвате Уебсайта, трябва внимателно да прочетете и да се запознаете с настоящата политика. Чрез използването на услугите, предоставяни от Администратора, потвърждавате, че приемате да спазвате настоящата Политика.

2.3. Субектът на данните няма право да използва Уебсайта, ако не се е запознал с Политиката и/или не я приема. В случаите, когато Субектът на данни не е съгласен с Политиката или съответната част от нея, той не трябва да използва Уебсайта. В противен случай се счита, че Клиентът се е запознал и е приел безусловно Политиката.

2.4. Администраторът трябва да се съобразява с неприкосновеността на личните данни. Настоящата политика обяснява приемливата практика относно поверителността в нашата компания. Тя обяснява начините за събиране и използване на Вашите Лични данни и правата, упражнявани от Вас.

2.5. Използването на услугите на трети страни може да се подчинява на общите условия на трети страни. Например, всички потребители и посетители на Facebook се подчиняват на Политиката за поверителност на данните. Следователно, за целите на използването на услугите на трети страни, се препоръчва да се запознаете с техните приложимите условия.

2.6. Субектът на данните следва да гарантира, че отговаря на следните основни принципи за защита на данните:

2.6.1. Личните данни се обработват законосъобразно, справедливо и по прозрачен начин по отношение на Субекта на данните (законосъобразност, справедливост и прозрачност);

2.6.2. Личните данни се събират за конкретни, изрични и законни цели и не се обработват по начин, който е несъвместим с тези цели; последващото обработване на лични данни за целите на архивирането в интерес на обществото, научни или исторически изследвания или статистически цели не се счита за несъвместимо с първоначалните цели (ограничаване на целта);

2.6.3. Личните данни трябва да бъдат адекватни, уместни и ограничени до онези, които са необходими по отношение на целите, за които се обработват (минимизиране на данните);

2.6.4. Личните данни трябва да бъдат точни и, при необходимост, актуализирани; трябва да се предприемат всички разумни мерки, за да се гарантира, че личните данни, които са неточни, като се имат предвид целите, за които се обработват, се изтриват или коригират незабавно (точност);

2.6.5. Лични данни, съхранявани във форма, която позволява идентифициране на субектите на данни, се съхраняват не по-дълго от необходимото за целите, за които се обработват личните данни; Личните данни могат да се съхраняват за по-дълги периоди, доколкото те ще бъдат обработвани единствено с цел архивиране за обществени интереси, научни или исторически изследвания или статистически цели в съответствие с член 89, параграф 1 от ОРЗД при условие, че са въведени подходящи технически и организационни мерки, изисквани от настоящия регламент, за да се защитят правата и свободите на Субекта на данните (ограничаване на съхранението);

2.6.6. Личните данни се обработват по начин, който осигурява подходяща защита на личните данни, включително защита срещу неразрешено или незаконно обработване и срещу случайна загуба, унищожаване или повреждане, като се използват подходящи технически или организационни мерки (цялост и поверителност).

2.6.7. Администраторът носи отговорност и следва да е в състояние да докаже спазването на принципите, изложени по-горе (отчетност).

2.7. Данните се обработват, като се изпраща надлежно уведомление до Субектите на данните.

2.8. Данните се съхраняват за периодите, посочени за всеки вид лични данни, предвиден в настоящото. Съхраняването се извършва в съответствие с процедурите, предвидени в раздел А от настоящото.

2.9. Правата на Администратора на достъп до данните се отменя в случай на прекратяване на договора за обработка на лични данни, сключен с Администратора или при изтичане на срока на споразумението.

2.10. Данните се предават на Администраторите и получателите, когато нормативните актове предвиждат правото и/или задължението да се извърши това на съответните основания.

2.11. Администраторът ще има право да предоставя лични данни на органите на следствието, прокуратурата или съда за целите на административното, гражданското, наказателното производство като доказателства или в други случаи, установени в закона.

3. ОБРАБОТКА НА ЛИЧНИ ДАННИ С ЦЕЛ ПРЕДОСТАВЯНЕ НА УСЛУГИ

3.1. Администраторът предоставя на своите Клиенти описаните услуги на сайта на компанията, за чието предоставяне се обработват следните групи от Данни на Клиентите:

3.1.1. Име;

3.1.2. Фамилия;

3.1.3. Личен идентификационен номер;

3.1.4. Дата на раждане;

3.1.5. Място на пребиваване (адрес);

3.1.6. Имейл адрес;

3.1.7. Телефонен номер;

3.1.8. Определени данни за използваните от Клиента разплащателни карти, получени от компанията, предоставяща услугата за обработка на карти (вид карта, част от номера на картата)

3.2. Данните, посочени в параграфи 3.1.1 – 3.1.8, се получават директно от Клиента, но част от данните, записани в системата, могат да бъдат получени и от работодателя на Клиента, ако последният използва услугите на Администратора като клиент или служител на съответното дружество.

3.3. За целите на регистрацията и записването на Клиентите, сключването, администрирането и изпълнението на договор, защита и контрол върху притежаваните от дружеството активи, Администраторът допълнително осигурява следните Данни:

3.3.1. Номер, дата и място на издаване и дата на валидност на личната карта (когато другите мерки за идентификация не са достатъчни, не са надеждни и т.н.);

3.3.2. Категории на интернет страницата, които Субектът на данни има право да управлява, датата на предоставянето на това право и датата на изтичането му;

3.3.3. Данни за задължението;

3.3.4. Данни за задълженията (ниво на задълженост, размер на задължението, дата на възникване на задължението, краен срок, дата на плащане).

3.4. Администраторът не трябва да предава на получателите посочените по-горе данни на Клиентите. Данните на бившите Клиенти се предоставят единствено на правоприлагащите органи съгласно установената в закона процедура.

3.5. Правните основания за обработката на лични данни са член 6, параграф 1, буква б) и член 6, параграф 1, буква в) от ОРЗД.

3.6. За да провери валидността на данните, Администраторът трябва да предостави определени Лични данни (като например номер на документ за самоличност и персоналния идентификационен номер) на Обработващите, отговорни за извършване на проверка на регистрираните лични данни и за техническо и административно съдействие на Клиентите.

3.7. Администраторът потвърждава, че за да се осигури защита на данните, са внедрени всички технически и организационни мерки за защита на данните.

3.8. Администраторът сключва споразумения за обработка на данни със собственика на сайта във връзка с обработката на личните данни от името на Администратора. Обработващите обработват лични данни само от името на Администратора за целите, определени в тези споразумения за защита на данните. В частност, всеки Обработващ следва да:

– обработва Лични данни само съгласно документираните указания на Администратора, включително по отношение на преноса на лични данни към трета държава или международна организация, освен ако не се изисква да се отклони от тези инструкции, за да

изпълни изискванията на приложимия Регламент за защита на данните в ЕС, на който се подчинява Обработващият. В такъв случай, Обработващият трябва без неоснователно забавяне да информира Администратора за съответното изискване преди обработката на лични данни;

– гарантира, че лицата, упълномощени да обработват личните данни, са поели задължение за поверителност и спазване на приложимия регламент за защита на данните в рамките на ЕС или са обвързани с надлежно законово задължение за поверителност;

– съдейства на Администратора по негово изрично писмено искане, с оглед осигуряване на изпълнение на неговите законови задължения, като например свързаните със сигурността на данните при Администратора, оценката за въздействието върху защита на данните и предварително консултиране, заложени в Регламента за защита на личните данни, и, в частност, да внедри подходящи технически и организационни мерки за защита на Личните данни, попадащи в обхвата на Споразуменията за обработка на данни, от случайно или незаконно унищожаване, изгубване, изменение, неразрешено оповестяване или достъп до личните данни. Администраторът следва да обезщети Обработващия за разходите, възникващи от това съдействие. За да се избегнат всякакви съмнения, с настоящото страните изрично приемат, че Обработващият ще е длъжен да изпълнява всички свои задължения като Обработващ лични данни, при пълно спазване на Регламента за защита на личните данни, за своя собствена сметка;

– подпомага Администратора чрез прилагане на подходящи технически и организационни мерки за изпълнение на задължението на Администратора като Администратор на лични данни, а именно: да отговаря на исканията за упражняване на правата на Субектите на данни съгласно Регламента за защита на данните. Обработващият трябва незабавно да уведоми Администратора за всяко искане, отправено от който и да е Субект на данните, и да не отговаря на съответното искане, преди да получи указанията на Администратора. Администраторът следва да възстановява на Обработващия всички разходи, свързани с това съдействие;

– предоставя на Администратора цялата информация, необходима за доказване на спазването на задълженията на Обработващия личните данни, посочени в тези споразумения за обработка на данни и в регламента за защита на данните, и да разрешава и да съдейства при одити, включително проверки, извършвани от Администратор или друг одитор, упълномощен от Администратора;

– поддържа точни записи за всички дейности по обработка съгласно настоящия договор за обработване на данни в съответствие с изискванията, посочени в Регламента за защита на данните, и да предоставя на Администратора съответните записи в рамките на десет (10) работни дни от получаване на искането от Администратора;

– гарантира, че никакви лични данни не се прехвърлят, пускат, възлагат, оповестяват или по друг начин предоставят на трета страна без предварителното изрично писмено съгласие на Администратора.

– гарантира, че задължения за защита на данните, подобни на тези посочени в настоящия документ, са наложени на другите Обработващи лични данни, които са ангажирани от Обработващия посредством договор. Обработващият носи отговорност пред Администратора за изпълнението на тези задължения от другите Обработващи;

– информира незабавно Администратора, ако дадено указание на Администратора нарушава Регламента за защита на данните или ако личните данни се обработват или ще бъдат обработвани при нарушаване на Регламента за защита на данните или Споразумението (включително настоящия ДОД) и информира незабавно Администратора на данните относно жалбите или одитите от органите за защита на данните, които са свързани с обработката на Лични данни;

– информира Администратора без неоправдано забавяне (но не по-късно от 48 часа), след като е узнал за нарушение в сигурността на личните данни, което означава нарушение на сигурността, водещо до случайно или незаконно унищожаване, загуба, промяна, неразрешено разкриване или достъп до Лични данни, които са предавани, съхранявани или обработвани по друг начин. Уведомлението трябва да описва естеството на нарушението, броя на засегнатите Субекти, вероятните последици от нарушението, предприетата или предложена мярка, както и други данни, свързани с нарушението, изброени в член 33, параграф 3 от ОРЗД; и

– при прекратяване на ДОД или по писмено искане на Администратора, или да унищожи, или да върне всички Лични данни, освен ако не е предвидено друго в Регламента за защита на личните данни в рамките на ЕС, на който се подчинява Обработващият.

4. ПЕРИОДИ НА СЪХРАНЕНИЕ НА ДАННИТЕ

4.1. Администраторът прилага различни периоди на съхранение на личните данни в зависимост от категориите обработени лични данни.

4.2. Администраторът прилага следните периоди на съхранение на лични данни:

  Категории Лични данни Период на съхранение
1. Лични данни на клиентите, обработвани за целите на предоставяне на услугите на компанията 3 години от датата на прекратяване на договора или датата на изплащане на задължението.

4.3. Изключения от горепосочените периоди на съхранение могат да бъдат установени дотолкова, доколкото съответните отклонения не нарушават правата на Субектите на данните, отговарят на законовите изисквания и са надлежно документирани.

4.4. Документите, по отношение на които Администраторът е издал заповед за спиране поради съдебен спор, се съхраняват и унищожават съгласно инструкциите на правния отдел.

5. ПРАВА НА СУБЕКТИТЕ НА ДАННИТЕ

5.1. Субектът на данни има право да упражнява следните права съгласно процедурата, установена в ОРЗД и ЗЗЛД:

5.1.1. Право на информираност;

5.1.2. Право на достъп;

5.1.3. Право за изтриване;

5.1.4. Право на актуализиране;

5.1.5. Право на ограничаване на обработката на данни;

5.1.6. Право на преносимост на данните;

5.1.7. Право на възражение;

5.1.8. Права, свързани с автоматичното вземане на решения и профилиране.

5.2. Правата, посочени в т. 7.1.2 – 7.1.8 от настоящото, се упражняват в сроковете, определени в ОРЗД.

5.3. Горепосочените срокове, посочени в ОРЗД, са както следва:

Искане от субекта на данните

Период

Право на информиране

Когато са събрани данните (ако данните са предоставени от Субекта на данните) или в рамките на един месец (ако данните не се предоставят от Субекта на данните)

Право на достъп

Един месец

Право на актуализация

Един месец

Право на изтриване

Без неоснователно забавяне

Право на ограничаване на обработката

Без неоснователно забавяне

Право на преносимост на данните

Един месец

Право на възражение

След получаване на възражение

Права, свързани с автоматизираното вземане на решения и профилиране.

Не е конкретизирано

5.4. Администраторът има право да откаже основателно на Субекта на данни упражняването на правата му или да наложи разумна такса при условията, предвидени в член 12, параграф 5, буква б) от ОРЗД.

6. ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ

6.1. Съгласно ОРЗД, в случаите когато основните дейности на Администратора се състоят от операции по обработка, които изискват редовен и систематичен мониторинг на Субектите на данни в голям мащаб или когато основните дейности на Администратора или Обработващия се състоят от обработване в големи мащаби на специални категории лични данни, наличието на Длъжностно лице по защита на данните е задължително.

6.2. Правата и задълженията на Длъжностното лице по защита на данните са описани подробно в ОРЗД, приложенията към Политиката, длъжностните характеристики, ако длъжността е заета от служител на Администратора, или в договора за услуги, ако длъжността Длъжностно лице по защита на данните се заема от външен доставчик на услуги.

6.3. С оглед горепосочените критерии и дейностите, извършвани от Администратора, последният не е длъжен да назначава Длъжностно лице по защита на данните.

7. ПРОЦЕДУРА ЗА УПРАВЛЕНИЕ НА НАРУШЕНИЯТА НА СИГУРНОСТТА НА ЛИЧНИ ДАННИ И СПРАВЯНЕ С ТАКИВА НАРУШЕНИЯ

7.1. Ако служителите на Администратора, имащи право на достъп до данните, забележат нарушения на сигурността на данните (бездействие или действия от страна на лицата, които могат да доведат или са довели до риск за сигурността на данните), те следва да уведомяват отговорното лице и / или своя пряк ръководител.

7.2. Като се вземат предвид рисковите фактори за нарушаване на сигурността на данните, степента на въздействие на нарушението, вредите и последствията, спазвайки съответните вътрешни процедури, Администраторът взема решения относно необходимите мерки за отстраняване на нарушението на сигурността на данните и последствията от него и за уведомяване за съответните лица.

8. ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА СИГУРНОСТ НА ЛИЧНИТЕ ДАННИ

8.1. Организационните и технически мерки за сигурност на данните, въведени от Администратора, осигуряват такова ниво на сигурност, което съответства на естеството на данните, обработвани от Администратора, и на риска от обработката на данните, включително, но не само, мерките, посочени в настоящия раздел.

8.2. Мерките за сигурност на личните данни включват следното:

8.2.1. Административни (установяване на процедура за сигурност на документи и компютърни данни и техните архиви и организация на работата в различни сфери на дейност, обучение на персонала, който е нает към момента, и при напускане на работа / уволнение и т.н.);

8.2.2. Техническа и софтуерна защита (администриране на сървъри, информационни системи и бази данни, поддръжка на работните места, защита на операционни системи, наблюдение (контрол) на достъпа на потребителите, защита от компютърни вируси и др.);

8.2.3. Администриране на информационни системи и бази данни, поддръжка на работни места, защита на операционни системи, защита от компютърни вируси и др .;

8.2.4. Защити за комуникационните и компютърни мрежи (технически и софтуерни мерки за кодиране и предаване на данни за общо ползване, приложения, Лични данни, филтриране на нежелани пакети данни и др.).

8.3. Горепосочените мерки за защита на личните данни осигуряват: 1) оборудване на хранилището за копия на операционни системи и бази данни, контрол на съхранението на копирната техника; 2) технология за непрекъсната работа с данни (обработка); 3) стратегия за възстановяване на функционирането на системите в спешни случаи (управление на несигурностите); 4) система за уникална идентификация на потребителя и парола; 5) физическо (логическо) разделяне на средата за тестване на приложения от процесите в оперативен режим; 6) регистрирано използване на данни и неприкосновеност на данните.

8.4. Администраторът следва да въведе процедура за възстановяване на Лични данни в случай на инцидентна загуба на Данните. Администраторът прави резервни копия на данните, налични в системата. Данните се извличат съгласно вътрешната процедура, използвайки софтуер библиотеките за резервно копирно оборудване. При всички случаи архивите на данните се съхраняват, без да се засяга периодът за съхранение на данни, посочен в Политиката.

8.5. Администраторът прилага и други мерки, гарантиращи сигурността на личните данни:

8.5.1. Технологията VPN се използва за отдалечено свързване към вътрешната мрежа на Администратора, а за идентифициране на потребителя се използва цифров сертификат;

8.5.2. Достъпът до лични данни чрез организационни и технически мерки за сигурност на данните, които регистрират и контролират усилията за регистриране и придобиване на права, подлежат на надлежен контрол;

8.5.3. Водят се следните записи при влизане в базата данни от лицата, на които е предоставено правото да обработват лични данни: идентификатор при влизане, дата, час, продължителност, резултат от влизането (успешен, неуспешен). Горепосочените записи се съхраняват в продължение на най-малко 1 (една) година;

8.5.4. Необходимо е да се гарантира сигурността на помещенията, в които се съхраняват Лични данни (достъп до съответните помещения единствено от оторизирани лица и др.);

8.5.5. Исканията за търсене на предоставените лични данни трябва да имат за цел идентифициране на лицето и проверка на валидността на шофьорската му книжка;

8.5.6. Необходимо е да бъдат полагани усилия за гарантиране на използването на защитни протоколи и / или пароли при предоставяне на лични данни чрез външни мрежи за пренос на данни;

8.5.7. Необходимо е се осигури контрол върху сигурността на личните данни на външни носители на данни и електронната поща и изтриването им след използване на Личните данни чрез прехвърлянето им в базите данни;

8.5.8. Спешните действия за възстановяване на лични данни (кога и кой е извършил действията за възстановяване на лични данни с автоматични и неавтоматични средства) се записват;

8.5.9. Необходимо е да се гарантира, че тестването на информационни системи не се извършва с реални лични данни, освен в случаите, когато се използват организационни и технически мерки за защита на личните данни, гарантиращи реална сигурност на личните данни;

8.5.10. Личните данни в преносими компютри, ако последните не се използват в мрежата за пренос на данни на Администратора, следва да бъдат защитени посредством съответните мерки, отговарящи на риска при обработване.

8.6. Администраторът прилага подходящи технически и организационни мерки, осигуряващи стандартизирана обработка на лични данни, която е необходима за конкретната цел на обработката на данни. Горепосоченото задължение се прилага за съответното количество събрани Лични данни, обхвата на тяхната обработка, периода на съхранение на Лични данни и достъпността на личните данни.

9. ДАННИ ЗА КОНТАКТ

9.1. Можете да се свържете с нас с въпроси, свързани с настоящата политика и / или защитата на данните като цяло, използвайки следните данни за контакт:
Електронна поща: ………………………..
Тел. + 359………………………….

Надзорен орган:
Комисия за защита на лични данни
Адрес: София , 1592, бул. “Цветан Лазаров” 2
Тел. +359 2 915 3580 Fax +359 2 915 3525
Email: kzld@cpdp.bg
Уебсайт: http://www.cpdp.bg/

10. ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

10.1. Политиката се преразглежда ежегодно по инициатива на администратора и/или в случай на промени в нормативните актове, регламентиращи обработката на лични данни.

10.2. Политиката и измененията към нея влизат в сила от датата на тяхното одобрение.