Политика за поверителност

ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ

  1. ОБЩА ИНФОРМАЦИЯ ЗА АДМИНИСТРАТОРА И ОБРАБОТВАНЕТО

Настоящата политика за поверителност регламентира обработването на лични данни на физически лица от страна на ЧСИ Галин Костов, рег. № 924, район на действие СГС, ЕИК 130145173, с кантора 1142 гр. София, бул. Евлоги и Христо Георгиеви № 97, ет.5, ап.10, включително във връзка с дейността, осъществявана чрез уебсайта https://galinkostov.bg , собственост на ЧСИ Галин Костов.

ЧСИ Галин Костов (наричан за краткост Администратора/ът) обработва личните данни на физическите лица съобразно изискванията на Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95 46 ЕО (Общ регламент относно защитата на данните), наричан “Регламента/ът” или “ОРЗД”, както и всички останали нормативни актове, свързани с обработката и защитита на лични данни на физически лица.

ЧСИ Галин Костов е администратор на лични данни по смисъла на чл.4 § 7 от Регламента, тъй като определя целите и средствата за обработването на личните данни на физическите лица. Ние обработваме свързаните с Вас лични данни законосъобразно, добросъвество и по прозрачен начин, като се стремим да гарантираме подходящо ниво на сигурност на тези данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане на данните Ви. За тази цел ние прилагаме подходящи технически и организационни мерки.

Въведение

В ежедневните си дейности ЧСИ Галин Костов рег. № 924, район на действие СГС, ЕИК 130145173, с кантора 1142 гр. София, бул. Евлоги и Христо Георгиеви № 97, ет.5, ап.10, включително във връзка с дейността, осъществявана чрез уебсайта https://galinkostov.bg , собственост на ЧСИ Галин Костов, обработва личните данни на физическите лица съобразно изискванията на Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95 46 ЕО (Общ регламент относно защитата на данните), наричан “Регламента/ът” или “GDPR”, както и всички останали нормативни актове, свързани с обработката и защитита на лични данни на физически лица. ЧСИ Галин Костов е администратор на лични данни по смисъла на чл.4 § 7 от Регламента, тъй като определя целите и средствата за обработването на личните данни на физическите лица

ЧСИ Галин Костов използва различни данни за идентифицируеми лица, включително данни за:

  • Клиенти

  • Настоящи, минали и бъдещи служители

  • Потребители на интернет – страница

  • Партньори

  • Други заинтересовани страни

При събиране и използване на тези данни организацията е обект на различни законодателни актове, които контролират начина, по който тези дейности могат да се извършват и предпазните мерки, които трябва да бъдат въведени за тяхната защита.

Целта на тази политика е да определи съответното законодателство и да опише стъпките, които ЧСИ предприема, за да гарантира, че кантората е в съответствие с него.

Този контрол се прилага за всички хора и процеси, които работят с информационните системи на кантората, включително ръководство, служители, доставчици и други страни, които имат достъп до информационните системи на ЧСИ и до регистрите на КЧСИ.

Следните правила и процедури са свързани с този документ:

  • Процес на оценка на въздействието върху защитата на данни

  • Процедура за анализ на лични данни

  • Процедура за оценка на законен интерес

  • Процедура за реагиране при инциденти със сигурността на информацията

  • GDPR Роли и отговорности

  • Политика за запазване и защита на записите

Политика за защита на личните данни

Общ регламент относно защитата на данните

Общият регламент относно защитата на данни 2016 (GDPR) е един от най-значимите законодателни актове, засягащи начина, по който ЧСИ изпълнява дейностите по обработка на информацията. Значителни глоби се прилагат, ако се приеме, че е налице нарушение съгласно GDPR, предназначено да защитава личните данни на гражданите на Европейския съюз. Политиката на ЧСИ е да гарантира нашето съответствие с GDPR и с другите приложими законодателни актове и че това съответствие е ясно и доказуемо по всяко време.

Определения

В рамките на GDPR са изброени общо 26 определения и не е уместно те да бъдат възпроизведени тук. Въпреки това, най-фундаменталните определения по отношение на тази политика са следните:

Лични данни“ са дефинирани като:

всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

Обработване“ означава:

всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

Администратор“ означава:

физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

Принципи, свързани с обработването на лични данни

Съществуват редица фундаментални принципи, на които се основава GDPR.

Те са както следва:

  1. Личните данни са:

(а) обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

(б) събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно член 89, параграф 1, за несъвместимо с първоначалните цели („ограничение на целите“);

(в) подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

(г) точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);

(д) съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в настоящия регламент с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);

(е) обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);

  1. Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“).

ЧСИ ще гарантира, че отговаря на всички тези принципи както при обработката, която извършва в момента, така и като част от въвеждането на нови методи за обработка, като например нови информационни системи.

Права на лицето

Субектът на данните също има права съгласно GDPR. Те се състоят от:

  1. Правото да бъде информиран

  2. Правото на достъп

  3. Правото на коригиране

  4. Правото за изтриване

  5. Правото да се ограничи обработката

  6. Правото на преносимост на данни

  7. Право на възражение

  8. Права във връзка с автоматизираното вземане на решения и профилиране.

Всяко от тези права се подкрепя от подходящи процедури, прилагани от ЧСИ, които позволяват предприемането на необходимите действия в сроковете, посочени в GDPR.

Тези срокове са посочени в Таблица 1.

Искане на субекта на данни

Срок

Правото да бъде информиран

Когато данните са събрани (ако са предоставени от субекта на данни) или в рамките на един месец (ако не са предоставени от субекта на данни)

Правото на достъп

Един месец

Правото на коригиране

Един месец

Правото за изтриване

Без неоправдано забавяне

Правото да се ограничи обработката

Без неоправдано забавяне

Правото на преносимост на данни

Един месец

Право на възражение

При получаване на възражение

Права във връзка с автоматизираното вземане на решения и профилиране – неприложимо.

Неприложимо

Таблица 1 – Срокове за искане на субекта на данни

Законосъобразност на обработване

Съществуват шест алтернативни начина, по които законосъобразността на конкретен случай на обработка на лични данни може да бъде установена в рамките на GDPR. Политиката на ЧСИ е да идентифицира подходящата база за обработка и да я документира в съответствие с регламента. Опциите са описани накратко в следващите раздели.

Съгласие

Освен ако не е необходимо поради причина, допустима в GDPR, ЧСИ винаги ще поиска изрично съгласие от субекта на данни да събира и обработва данните му. В случай на деца под 18-годишна възраст или поставени под запрещение лица, ще бъде поискано съгласието на родител/настойник/попечител. Субектите могат да упражнят правата си съгласно GDPR (искане за достъп до личните си данни, коригиране, ограничаване на обработването, отказ от автоматично профилиране, заличаване) по ред установен и комуникиран с тях, в рамките на закона, безплатно и в срок до 30 дни, след подаване на искането.

Изпълнение на договор

Когато личните данни, събрани и обработени са необходими за изпълнение на договор със субекта на данните, не се изисква изрично съгласие. Това често се случва, когато договорът не може да бъде завършен и изпълнен без въпросните лични данни.

Правно задължение

Ако се изисква да се събират и обработват личните данни, за да се спази законът, не се изисква изрично съгласие. Това може да е случаят с някои данни, свързани с трудовата заетост, социално осигуряване, данъчното облагане, изпълнение на съдебни решения.

Жизненоважни интереси на субекта на данни

В случаите, когато личните данни са необходими за защита на жизненоважните интереси на субекта на данните или на друго физическо лице, това може да се използва като законова основа на обработката. ЧСИ ще запази разумни и документирани доказателства, че случаят е такъв, когато тази причина се използва като законова основа за обработката на лични данни. Това се прилага например при случаи от обществена значимост.

Изпълнение на задача от обществен интерес

Когато ЧСИ трябва да изпълни задача, която смята, че е в обществен интерес или като част от служебно задължение, тогава съгласието на субекта на данните няма да бъде поискано. Оценката на обществения интерес или на служебното задължение ще бъде документирана и предоставена като доказателство при необходимост.

Законови интереси

Ако обработването на конкретни лични данни е в законовите интереси на ЧСИ и се счита, че това не засяга съществено правата и свободите на субекта на данните, това може да се определи като законово основание за обработката. Отново, аргументите зад този възглед ще бъдат документирани.

Защита на правото на поверителност

ЧСИ е приел/а принципа на поверителност при проектиране (нововъведения) и ще гарантира, че определянето и планирането на всички нови или значителни промени в процесите, при които се събират или обработват лични данни, ще бъдат обект на надлежно отчитане на въпросите, свързани с поверителността, включително завършването на една или повече оценки на въздействието върху защитата на данните.

Оценката на въздействието върху защита на данните ще включва:

  • Да се вземе предвид как ще се обработват личните данни и за какви цели

  • Оценка дали предложената обработка на лични данни е необходима и пропорционална на целта (целите)

  • Оценка на рисковете за физическите лица при обработката на личните данни

  • Какви контролни механизми са необходими за справяне с установените рискове и за доказване на спазването на законодателството

Използването на техники като минимизиране на данните и псевдонимизиране ще се обсъжда, когато е приложимо и подходящо.

Договори, засягащи обработка на лични данни

ЧСИ ще гарантира, че всички свързани взаимоотношения, обхващащи обработката на лични данни, подлежат на документиран договор, който включва конкретната информация и условия, изисквани от GDPR. За повече информация вижте Политиката за договаряне между Администратор и Обработващ лични данни (РЗЛД-ДОК-06-1).

Международен трансфер на лични данни

ЧСИ не извършва трансфер на лични данни към други държави, включително такива извън Европейския съюз.

Длъжностно лице по защита на данни

Съгласно GDPR, ако дадена организация е публичен орган, ако извършва мащабен мониторинг или обработва особено чувствителни типове данни в голям мащаб, се изисква определена роля на Длъжностно лице по защита на данните (ДЛЗД). ДЛЗД се изисква да притежава подходящо ниво на знания и може да бъде или вътрешен ресурс, или да се възложи на външен подходящ доставчик на услуги.

На базата на тези критерии, ЧСИ Галин Костов няма назначено Длъжностно лице по защита на данните.

Уведомление за нарушение

Политиката на ЧСИ прилага принципите за справедливост и пропорционалност, когато разглежда действията, които трябва да се предприемат, за да се информират засегнатите страни относно нарушения на лични данни. В съответствие с GDPR, когато е известно, че е налице нарушение, което може да доведе до риск за правата и свободите на физическите лица, съответният надзорен орган ще бъде информиран в рамките на 72 часа. Това ще бъде управлявано в съответствие с нашата Процедура за реагиране при инциденти със сигурността на информацията (РЗЛД-ДОК-09-1), която определя общия процес на работа с инциденти, свързани със сигурността на информацията.

Съгласно GDPR съответният орган по защита на данните има правомощието а налага глоби от до 4% от годишния глобален оборот на кантората или от двадесет милиона евро, което от двете е по-високо, за нарушения на регламента.

Адресиране на съответствието с GDPR

Следните действия са предприети, за да се осигури, че ЧСИ отговаря по всяко време на принципа за отчетност на GDPR:

  • Правната основа за обработването на лични данни е ясна и недвусмислена

  • Целият персонал, ангажиран с обработването на лични данни, разбира своите отговорности за спазването на добрите практики за защита на данните

  • Обучението по защита на данните е предоставено на целия персонал

  • Правилата за съгласие се спазват

  • Субектите на данни могат да упражнят своите права по отношение на личните данни и запитванията им се обработват ефективно

  • Провеждат се редовни прегледи на процедурите, регламентиращи обработката на лични данни

  • Поверителността се прилага за всички нововъведения в процесите и дейностите

  • Записва се следната информация за обработващите дейности:

    • Име на организацията и съответните детайли

    • Цел на обработката на лични данни

    • Категории лица и обработени лични данни

    • Категории получатели на лични данни

    • Срокове за запазване на личните данни

    • Съществуващ технически и организационен контрол

Тези действия се преглеждат редовно като част от процеса на управление, свързан със защитата на данните.

  1. УЕБСАЙТ ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ

  1. Тази политика за поверителност се отнася за интернет страницата на ЧСИ Галин Костов („уеб сайта“). Политиката покрива обработката на лични данни съобразно изискванията на РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Регламента).

  2. За целите на Регламента за защита на личните данни, ние сме АДМИНИСТРАТОР на лични данни и всякакви запитвания относно обработката на Вашите данни трябва да се адресират към ЧСИ Галин Костов, рег. № 924, адрес: 1142 гр. София, бул. Евлоги и Христо Георгиеви № 97, ет.5, ап.10, тел. 02 417 0001, 0896 60 30 11, e-mail: kantora924@galinkostov.bg

  3. Като използвате „уеб сайта“, Вие се съгласявате с тази Политика.

Информация, която събираме

  1. Ние събираме лични данни, единствено ако са предоставени директно от Вас – Вашия имейл адрес, име, домашен или служебен адрес и телефонен номер, които подавате с изрично съгласие, за да можете да ползвате услугите на „уеб сайта“.

  2. Ние използваме аналитични и статистически инструменти, с които наблюдаваме детайли на вашите посещения на „уеб сайта“ и ресурсите, които достъпвате, което включва, но не е ограничено от: трафик данни, локация, уеб логове, и други данни от комуникацията (които не ви идентифицират персонално)

Използване на вашата информация

  1. Ние обработваме и съхраняваме личните ви данни, които сте ни предоставили, в съответствие с изискванията на Регламента.

  2. Информацията, която събираме и съхраняваме, се използва единствено за предоставяне на услуги към вас и/или за изпълнение на договорните ни задължения с вас.

Предоставяне на вашата информация

  1. Ако не желаете вашите данни да се използват от нас, вие ще имате възможност да оттеглите съгласието си като се свържете с нас директно на посочения адрес, телефон, имейл.

  2. Ние ви информиране, че ние не предоставяме идентифициращи лични данни на трети страни.

Контрол на използването на вашите данни

  1. Ако сте дали съгласие за използване на личните ви данни за конкретни цели, може да оттеглите съгласието си или да го коригирате по всяко време. Ако не желаете да използваме вашите данни или искате да коригирате съгласието, което сте ни предоставили, може да се свържете с нас на посочените контакти.

Къде съхраняваме и трансферираме данните ви

  1. Информацията, която предоставяте се съхранява единствено на нашите сървъри.

  2. Ние не трансферираме вашите данни към трети страни и не използваме облачни услуги.

  3. Във всички други случаи ние ще обработваме, разкриваме или споделяме вашите лични данни, единствено ако е изискуемо по закон или когато се изисква с цел да се съобразим и да спазим законови и правни изисквания.

  4. Вие имате право да се откажете от съхранението на личните ви данни по всяко време, като се свържете с нас на посочените контакти.

Сигурност

  1. Предаването на информация по интернет или имейл не е сигурно. Въпреки, че предприемаме най-доброто, за да защитим вашите лични данни, ние не може да гарантираме сигурността на данните, докато се предават от вас към „уеб сайта“; всякаква такава трансмисия е ваш риск. След като получим вашата информация, ние ще прилагаме стриктни процедури и протоколи за нейната защита.

  2. Когато сме ви дали (или вие сте създали) парола за използване на услуги от „уеб сайта“, вие носите отговорност за запазване на конфиденциалността на паролата си. Вие трябва да изберете нивото на сложност на паролата.

Линкове към трети страни

  1. Вие може да намерите линкове към интернет страниците на трети страни. Тези уеб сайтове имат своите собствени политики за поверителност, с които трябва да се запознаете. Ние не носим отговорност за техните политики, тъй като нямаме контрол върху тях.

Използване на „бисквитки“

  1. „Уеб сайта“ на ЧСИ Галин Костов използва „бисквитки“. Ние използваме бисквитките да събираме информация за използването на нашите услуги и да предоставим статистическа информация за посещенията в нашия сайт. Тази информация не ви идентифицира персонално – тя е статистическа информация относно посетителите и тяхното ползване на „уеб сайта“. Където се ползват, тези бисквитки се свалят автоматично на вашия компютър. Съхраняват се на твърдия диск на компютъра ви. Всички компютри могат да откажат бисквитки. Това може да стане чрез активиране на настройките, което ви дава възможност да откажете бисквитките.

Вашите права

  1. Регламента за защита на личните данни ви дава право на достъп до личните ви данни, които има при нас. Вие като потребител с регистрация можете променяте/актуализирате вашите лични данни.

  2. Вие имате право на корекция на съгласията, лимитиране на обхвата на съгласията, прекратяване на обработването, заличаване на личните данни (в рамките на законоустановеното). За упражняване на правата си, моля да се свържете с нас.

Промени в Политиката

  1. Ние може периодично да актуализираме политиката, поради което ви окуражаваме периодично да я преглеждате, за да установявате как защитаваме вашите лични данни.

При всякакви въпроси, коментари или искания относно Политиката за поверителност, може да се свържете с нас на адрес: 1142 гр.,София, бул. Евлоги и Христо Георгиеви № 97, ет.5, ап.10, тел: 02 417 0001 и 0896 60 30 11, e-mail: kantora924@galinkostov.bg