Политика за поверителност и защита
на личните данни
В ежедневните си бизнес операции Тирбул ЕАД използва разнообразни данни за идентифицируеми лица, включително данни за:
При събирането и използването на тези данни организацията е субект на закони, контролиращи начина на извършване на подобни дейности и предпазните мерки, които трябва да бъдат въведени, за да се защитят.
Целта на тази политика е да се определи съответното законодателство и да се опишат стъпките, които Тирбул ЕАД предприема, за да се гарантира, че го спазва.
Този контрол се прилага за всички системи, хора и процеси, които съставляват информационните системи на организацията, включително членове на борда, директори, служители, доставчици, студенти, преподаватели и други трети страни, които имат достъп до системите на Тирбул ЕАД.
Следните политики и процедури са от значение за този документ:
Общият регламент за защита на данните 679/2016 (GDPR) е един от най-важните законодателни актове, засягащи начина, по който Тирбул ЕАД извършва дейностите си по обработка на информация. Прилагат се значителни глоби, ако се счита, че е извършено нарушение по GDPR, което има за цел да защити личните данни на хората в Европейския съюз. Политиката на Тирбул ЕАД е да гарантираме, че нашето спазване на GDPR и друго приложимо законодателство е ясно и доказуемо по всяко време.
Има общо 26 дефиниции, изброени в GDPR и не е нужно да се възпроизвеждат всички тук. Най-фундаменталните определения по отношение на тази политика обаче са следните:
Лични данни означава:
всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
Обработване означава
всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
Администратор означава
физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
Съществуват редица основни принципи, на които се основава GDPR.
Те са следните:
1. Личните данни са:
(а) обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);
(б) събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно член 89, параграф 1, за несъвместимо с първоначалните цели („ограничение на целите“);
(в) подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);
(г) точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);
(д) съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в настоящия регламент с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);
(е) обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);
2. Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“).
Тирбул ЕАД трябва да гарантира, че спазва всички тези принципи както в обработваните в момента дейности, така и като част от въвеждането на нови методи за обработка, като например нови информационни системи. Функционирането на система за управление на информационната сигурност (ISMS), която отговаря на международния стандарт ISO / IEC 27001, е ключова част от този ангажимент.
Субектът на данни също има права по GDPR. Те се състоят от:
1. Право на информация
2. Право на достъп
3. Право на коригиране
4. Право на изтриване
5. Право на ограничаване на обработката
6. Право на пренасяне на данните
7. Право на възражение
8. Права във връзка с автоматизирано вземане на решения и профилиране.
Всяко от тези права се подкрепя от подходящи процедури в Тирбул ЕАД, които позволяват да се предприемат необходимите действия в рамките на сроковете, посочени в GDPR.
Тези срокове са приведени в Таблица 1.
|
Заявка от субект на данни |
Срок |
|
Право на информация |
Когато данните се събират (ако са предоставени от субекта на данните) или в рамките на един месец (ако не са предоставени от субекта на данните) |
|
Право на достъп |
Един месец |
|
Право на коригиране |
Един месец |
|
Право на изтриване |
Без ненужно забавяне |
|
Право на ограничаване на обработката |
Без ненужно забавяне |
|
Право на пренасяне на данните |
Един месец |
|
Право на възражение |
При получаване на възражение |
|
Права във връзка с автоматизирано вземане на решения и профилиране. |
Не се уточнява |
Таблица 1 - Срокове при заявки от субекти на данни
Освен ако това е необходимо по причина, допустима в GDPR, изрично съгласие трябва да бъде получено от субекта на данните за събиране и обработка на техните данни. В случай на деца под 16-годишна възраст трябва да се получи съгласие на родителите. Ясна информация за използването на техните лични данни трябва да бъде предоставяна на субектите на данни в момента, в който е получено съгласието, и трябва да бъдат обяснени правата им по отношение на техните данни, като правото на оттегляне на съгласието. Тази информация трябва да бъде предоставена в достъпна форма, написана на ясен език и безплатна.
Ако личните данни не са получени директно от субекта на данните, тогава тази информация трябва да бъде предоставена в разумен срок след получаването на данните и определено в рамките на един месец.
Тирбул ЕАД е приел принципа за поверителност по проект и ще гарантира, че дефинирането и планирането на всички нови или значително променени системи, които събират или обработват лични данни, ще бъдат обект на надлежно разглеждане на проблемите с поверителността, включително завършването на една или повече оценки на въздействието върху защитата на данните.
Оценката на въздействието върху защитата на данните ще включва:
· Разглеждане на това как личните данни ще бъдат обработвани и за какви цели
· Оценка дали предложената обработка на лични данни е необходима и пропорционална на целта (ите)
· Оценка на рисковете за физическите лица при обработката на личните данни
· Какви проверки са необходими за справяне с идентифицираните рискове и демонстриране на съответствие със законодателството
Използването на техники като минимизиране на данни и псевдонимизация трябва да бъде обмислено, когато е приложимо и подходящо.
Прехвърлянията на лични данни извън Европейския съюз трябва да бъдат внимателно прегледани преди прехвърлянето, за да се гарантира, че те попадат в рамките, наложени от GDPR. Това отчасти зависи от решението на Европейската комисия по отношение на адекватността на защитните мерки за личните данни, приложими в приемащата държава и това може да се промени с течение на времето.
Международните трансфери на данни в рамките на група трябва да бъдат предмет на правно обвързващи споразумения, наречени Обвързващи корпоративни правила (BCR), които осигуряват приложими права за субектите на данни.
Определена роля на длъжностното лице по защита на данните (DPO) се изисква съгласно GDPR, ако дадена организация е публичен орган, ако извършва мониторинг в големи мащаби или ако обработва особено чувствителни видове данни в голям мащаб. DPO е длъжен да притежава подходящо ниво на познания и може да бъде вътрешен ресурс или да бъде възложен на подходящ доставчик на услуги.
Въз основа на тези критерии, Тирбул ЕАД не изисква назначаване на длъжностното лице по защита на данните.
Политиката на Тирбул ЕАД
е справедливост и пропорционалност при разглеждането на действията, които трябва да се предприемат за информиране на засегнатите страни относно нарушения на личните данни. В съответствие с GDPR, когато е известно нарушение, което може да доведе до риск за правата и свободите на лицата, съответният орган за защита на данните (DPA) ще бъде уведомен в рамките на 72 часа. Това ще се управлява в съответствие с нашата Процедура за реакция при инцидент в информационната сигурност, която определя цялостния процес на справяне с инциденти в информационната сигурност.
Съгласно GDPR, съответният DPA има право да налага диапазон от глоби в размер до четири процента от годишния световен оборот или двадесет милиона евро, което от двете е по-голямо, за нарушения на регламентите.
Следните действия се предприемат, за да се гарантира, че Тирбул ЕАД спазва по всяко време принципа на отчетност на GDPR:
· Правното основание за обработка на лични данни е ясно и недвусмислено
· Всички служители, участващи в обработката на лични данни, разбират своите отговорности за спазване на добрите практики за защита на данните
· Осигурено е обучение за защита на данните за целия персонал
· Спазват се правилата относно съгласието
· Процедури са на разположение на субектите на данни, които желаят да упражнят правата си по отношение на личните данни и такива справки се обработват ефективно
· Правят се редовни прегледи на процедурите, свързани с лични данни
· Поверителност по проект се приема за всички нови или променени системи и процеси
· Записва се следната документация за дейности по обработка:
o Име на организацията и съответните подробности
o Цели на обработката на лични данни
o Категории физически лица и обработвани лични данни
o Категории получатели на лични данни
o Споразумения и механизми за трансфер на лични данни до държави извън ЕС, включително подробности за съществуващия контрол
o Срокове за съхраняване на лични данни
o Наличие на съответните технически и организационен контрол
Тези действия ще бъдат преразглеждани редовно като част от процеса на преглед на управлението на Програмата за защита на личните данни.
Пиши ни и обещаваме да се свържем с теб възможно най-бързо.
телефон/факс: 02/9995280
