Политика за поверителност

ПОЛИТИКА ЗА МЕРКИТЕ И СРЕДСТВАТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ,

СЪБИРАНИ, ОБРАБОТВАНИ И СЪХРАНЯВАНИ

ОТ БОНИТА СТИЛ ЕООД

 

БОНИТА СТИЛ ЕООД, ЕИК 175373765, седалище и адрес на управление гр.София, ул.”Зайчар” №163, прилага настоящата политика за защита на личните данни при обработването на такива на своите служители, консултанти, партньори, търговски контрагенти, клиенти и всяко друго трето лице. За целите на настоящия документ БОНИТА СТИЛ ЕООД ще бъде наричано по-долу Администратора/ът.

 

1. ВЪВЕДЕНИЕ

Настоящата политика за защита на данните е разработена и приета от Администратора с оглед спазването на разпоредбите на Регламент (ЕС) 2016/679 (Общ регламент за защита на данните) и приложимото национално законодателство.

 

Целта на настоящия документ е:

 

  • да очертае приетите от Администратора правила за защита на личните данни на физическите лица, както и да гарантира, че личните данни не се обработват без знанието на лицата, за които се отнасят, респективно когато е необходимо, че те се обработват само след получаване на писмено съгласие от тези лица;

  • да утвърди техническите и организационни мерки, въведени в рамките на предприятието с оглед защита на тези данни.

 

БОНИТА СТИЛ ЕООД, като администратор на лични данни, събира и обработва определена информация относно физически лица в кръга на търговската си дейност. Тази информация може да се отнася до служители, клиенти, доставчици, контрагенти, управители и други управителни органи, бизнес контакти и други физически лица, с които Администраторът осъществява контакт в кръга на извършваната от него търговска дейност.

Тази политика урежда начина, по който личните данни се администрират (събират, обработват и съхраняват) в рамките на предприятието, така че да са в съответствие с приложимото законодателство.

2. ПРАВНО ОСНОВАНИЕ.

Настоящата политика се въвежда и съблюдава на основание Регламент (ЕС) 2016/679 (Общ регламент за защита на данните), Закон за защита на личните данни и подзаконовите нормативни актове.

 

3. ПОНЯТИЯ

Лични данни" - всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни"); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице; 

Специални категории лични данни– лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации и обработката на генетични данни, биометричните данни за уникално идентифициране на физическо лице, данни отнасящи се до здравето или данни относно сексуалния живот на физическо лице или сексуална ориентация.

Обработване" - означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

Администратор" - всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка. За целите на настоящия документ Администратор е БОНИТА СТИЛ ЕООД, както и всяко трето лице , на което се предоставят лични данни при спазване на нормативните изисквания и тези политики;

Субект на данните – всяко живо физическо лице, което е предмет на личните данни съхранявани от Администратора.

Съгласие на субекта на данните" - всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

Дете – Общият Регламент определя дете като всеки на възраст под 16 години въпреки, че това може да бъде намалена на 13 от правото на държавата-членка. Обработката на лични данни на едно дете е законно само, ако родител или попечител е дал съгласие. Администраторът полага разумни усилия, за да провери в такива случаи, че притежателят на родителската отговорност за детето е дал или упълномощен да даде съгласието си.

Профилиране" - всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

Нарушение на сигурността на лични данни" - нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

Основно място на установяване – седалището на администратора в ЕС ще бъде мястото, в което той взема основните решения за целта и средствата на своите дейности по обработване на данни. По отношение на обработващия лични данни основното му място на установяване в ЕС ще бъде неговият административен център.

Получател" - физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели"; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

Трета страна – всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

 

4. ПРИНЦИПИ ЗА ЗАЩИТА НА ДАННИТЕ

Всяка обработка на лични данни следва да се извършва в съответствие с принципите за защита на данните, посочени в чл.5 от Регламент (ЕС) 2016/679. Политиката на Администратора има за цел да гарантират спазването на тези принципи.

  • Законосъобразност, добросъвестност и прозрачност - обработване при наличие на законово основание, при полагане на дължимата грижа и при информиране на субекта на данни;

  • Ограничение на целите – събиране на данни за конкретни, изрично указани и легитимни цели и забрана за по-нататъшно обработване по начин, несъвместим с тези цели;

  • Свеждане на данните до минимум – данните да са подходящи, свързани с и ограничени до необходимото във връзка с целите на обработването;

  • Точност – поддържане в актуален вид и предприемане на всички разумни мерки за гарантиране на своевременно изтриване или коригиране на неточни данни, при отчитане на целите на обработването;

  • Ограничение на съхранението – данните да се обработват за период с минимална продължителност съгласно целите. Съхраняване за по-дълги срокове е допустимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или статистически цели, но при условие, че са приложени подходящи технически и организационни мерки;

  • Цялостност и поверителност – обработване по начин, който гарантира подходящо ниво на сигурност на личните данни, като се прилагат подходящи технически или организационни мерки;

  • Отчетност – администраторът носи отговорност и трябва да е в състояние да докаже спазването на всички принципи, свързани с обработването на лични данни (поддържане на регистър на дейностите по обработване на лични данни, приемане на вътрешна инструкция/правила/процедури/политика за защита на личните данни, актуализиране на формите за документиране на съгласие, актуализиране на договореностите с обработващите лични данни и др.).

 

5. Категории лица, на които личните данни се обработват от Администратора.

Администраторът обработва лични данни на следните категории лица:

  • Служители на Администратора;

  • Кандидати при подбор на персонал

  • Лица - законни представители на юридически лица - контрагенти на Администратора;

  • Лица, посочени за контакт с дружества, с които Администраторът има бизнес отношения;

  • Лица, които имат договорни правоотношения с предприятието.

 

6. ЦЕЛИ НА ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ

Администраторът събира, обработва и съхранява лични данни във връзка с:

  • Подбор на персонал;

  • Сключване, изпълнение, изменение и прекратяване на трудови договори;

  • Сключване, изпълнение, изменение и прекратяване на граждански договори, включително договори за гражданско дружество по смисъла на ЗЗД;

  • Сключване, изпълнение, изменение и прекратяване на търговски договори в кръга на търговската дейност;

  • Изготвяне на всякакви съпътстващи документи във връзка с изпълнението на всякакви видове договори;

  • Счетоводна отчетност при изпълнение на договорите, по които Администраторът е страна;

  • Обработка на плащанията при изпълнение на сключените договори.

 

Личните данни се предоставят от субекта на данните и освен за целите, посочени по-горе могат за бъдат събирани и обработвани от Администратора и във връзка с изпълнение на негови нормативни задължения съгласно разпоредбите на Търговския закон, Закон за задълженията и договорите, Закон за счетоводството, Закон за Данък върху добавената стойност, Закон за корпоративното подоходно облагане, Закон за облагане доходите на физическите лица, Данъчно-осигурителния процесуален кодекс, Кодекса за социално осигуряване, Закон за здравното осигуряване и др. релевантни нормативни и поднормативни актове.

 

7. ПРЕДОСТАВЯНЕ НА ДАННИТЕ НА ТРЕТИ ЛИЦА

При осъществяване на търговската си дейност Администраторът може да предоставя информация, включително такава, съдържаща лични данни на трети лица с оглед изпълнение на договорни правоотношения между тях /счетоводители, адвокати, консултантни по подбор на персонал, служби по трудова медицина, застрахователни дружества и т.н./. Администраторът следва да предприеме необходимите действия, като сключи съответни споразумения с тези лица, за да гарантира максимално защитата на личните данни на физическите лица.

Като част от мерките за гарантиране и осигуряване на защита на личните данни Администраторът задължително сключва с третите лица споразумение за поверителност и споразумение за защита на личните данни.

 

8. СЪГЛАСИЕ

Администраторът предприема необходимите действия за получаване на съгласие от субекта на данните при тяхната обработка. Съгласието на субекта на данни следва да е:

  • свободно изразено – не дадено под натиск или заплаха от неблагоприятни последици;

  • конкретно – отделно съгласие за всяка конкретно определена цел;

  • информирано – дадено на основата на пълна, точна и лесно разбираема информация;

  • недвусмислено – да не се извлича или предполага на основата на други изявления или действия на лицето;

  • изрично изявление или ясно потвърждаващо действие – мълчанието на лицето не може да се приеме за съгласие.

Съгласието се дава във формата на документ /декларация/, предварително изготвена от Администратора, в момента на събиране на данните - при подписване търговски договор и/или съпътстващите го документи, при сключване на трудови договори и т.н.

В случай, че Администраторът обработва лични данни на деца, трябва да бъде получено разрешение от упражняващите родителските права (родители, настойници и т. н.). Това изискване се прилага за деца на възраст под 16 години.

 

9. ПРОЗРАЧНОСТ

Специфичната информация, която трябва да бъде предоставена на субекта на данните при получаването й от Администратора, трябва да включва като минимум:

    • данни, които идентифицират администратора и данните за контакт на администратора;

    • целите на обработването, за което личните данни са предназначени както и правното основание за обработването;

    • периода, за който ще се съхраняват личните данни;

    • съществуването на следните права - да поиска достъп до данните, коригиране, изтриване (право „да бъдеш забравен“), ограничаване на обработването, както право на възражение срещу условията (или липсата на такива) във връзка с упражняването на тези права;

    • категориите лични данни, които се събират от Администратора;

    • получателите или категориите получатели на лични данни, ако това е приложимо;

    • дали администраторът възнамерява да прехвърли личните данни към получател в трета страна;

    • всякаква допълнителна информация, необходима да се гарантира добросъвестно обработване.

 

Администраторът предоставя горната информация в кратка, ясна и конкретна форма, на ясен и достъпен език. С оглед отчетност на изпълнението на задълженията на Администратора по Регламент (ЕС) 2016/679 информацията следва да се предоставя в писмена форма на лицата – поставена на видно място в помещенията на Администратора или чрез електронни средства.

 

 

 

10. ПРАВА НА СУБЕКТИТЕ НА ДАННИ

Субектите на данни имат следните права по отношение на обработването на данни, както и на данните, които се записват за тях:

  • Да отправя искания за потвърждаване дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните, както и информация кои са получателите на тези данни.

  • Да поиска копие от своите лични данни от администратора;

  • Да иска от администратора коригиране на лични данни когато те са неточни, както и когато не са вече актуални;

  • Да изиска от администратора изтриване на лични данни (право „да бъдеш забравен"), което е приложимо само доколкото закон не задължава Администратора на лични данни да ги съхранява с цел защита на обществен интерес, отчетност пред фиска или др.;

  • Да иска от администратора ограничаване на обработването на лични данни като в този случай данните ще бъдат само съхранявани, но не и обработвани.;

  • Да направи възражение срещу обработване на негови лични данни;

  • Да направи възражение срещу обработване на лични данни, отнасящо се до него за целите на директния маркетинг.

  • Да се обърне с жалба до надзорен орган ако смята, че някоя от разпоредбите на Регламент (ЕС) 2016/679 е нарушена;

  • Да поиска и да му бъдат предоставени личните данни в структуриран, широко използван и пригоден за машинно четене формат;

  • Да оттегли съгласието си за обработката на личните данни по всяко време с отделно искане, отправено до администратора;

  • Да не е обект на автоматизирано взети решения, които да го засягат в значителна степен, без възможност за човешка намеса;

  • Да се противопостави на автоматизирано профилиране, което се случва без негово съгласие;

 

Администраторът осигурява условия, които да гарантират упражняването на тези права от субекта на данни: Всяка информация, комуникация и действие на Администратора във връзка с упражняване правата на субектите на данни се предоставя безплатно, дотолкова, доколкото исканията на субекта не са прекомерни или явно неоснователни.

 

Субектът на данни може във всеки един момент да направи искане за достъп до данни. В такъв случай Администраторът му предоставя безплатно едно копие от данните, които се обработват от него.

 

11. КВАЛИФИЦИРАН ПЕРСОНАЛ

Администраторът се задължава да поддържа квалифициран персонал, който да обработва лични данни, като за целта предприеме необходимите мерки по обучение и подробно запознаване на обработващите лични данни със законовите разпоредби и приетите в предприятието правила за защитата, обработването и начина на разкриване на лични данни.

 

12. СИГУРНОСТ НА ДАННИТЕ

Предоставените от субектите лични данни се обработват само от изрично определени от Администратора лица, като тяхното достъпване, съхраняване и предоставяне следва да бъде осъществявано само в съответствие с утвърдените в предприятието вътрешни правила.

Всички лични данни, достъпени от Администратора следва да бъдат съхранявани по един от следните начин:

а/ в случай, че са на хартиен или електронен/магнитен носител в отделна стая с контролиран достъп или в шкаф, който се заключва;

б/ в електронен вид се съхранява на определени за това архивиращ сървър или персонални компютри, които се защитени с парола и отделно информацията, съдържаща лични данни се съхранява в криптирани папки и файлове.

Администраторът разработва вътрешни правила, в които определя детайлно организационните и техническите мерки, които се прилагат за контролиране на достъпа до информация, съдържаща лични данни.

В посочените вътрешни правила се:

а/ приемат критерии, на които следва да отговарят оторизираните за работа с лични данни лица;

б/ разработват процедури, гарантиращи достъп до информация, съдържаща лични данни само на тези лица, оторизирани за работа с лични данни;

в/ начин на съхранение и на достъпване до информацията, съдържаща лични данни;

г/ начина на изтриване и/или унищожаване на лични данни и процедура по изпълняване на искането на субект на лични данни „да бъде забравен”;

д/ начин на предоставяне на лични данни на трети лица;

г/ процедура, определяща мерките, които следва да бъдат предприети при нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.

 

 

13. НАРУШЕНИЕ НА СИГУРНОСТТА

В случай че бъде установено, че данни са предоставени без съгласието и/или знанието на техния титуляр или по друг незаконосъобразен начин, Администраторът ще заличи личните данни, като положи необходимите усилия незабавно да уведоми за това субекта на тези данни, доколкото това е възможно.

 

В случаи че е налице нарушение на действащото законодателство и на приетите фирмени правила Администраторът ще предприеме действия по предотвратяване на незаконосъобразното обработване на лични данни, както и своевременно ще сигнализира компетентните органи за извършените нарушения на установените правила и правни разпоредби.

 

14. СРОКОВЕ ЗА СЪХРАНЯВАНЕ И УНИЩОЖАВАНЕ НА ДАННИТЕ

Счетоводната и търговската информация, както и всички други сведения и документи от значение за данъчното облагане и задължителните осигурителни вноски се съхраняват от Администратора в следните срокове: 

1. ведомости за заплати - 50 години; 

2. счетоводни регистри и финансови отчети - 10 години; 

3. документи за данъчно-осигурителен контрол - 5 години след изтичане на давностния срок за погасяване на публичното задължение, с което са свързани; 

4. всички останали носители - 5 години.

 

След изтичане на горепосочените срокове всички носители на тази информация – физически или на техническо средство, се унищожават от администратора съгласно изрично определена от него процедура.

 

15. ТРАНСФЕР НА ДАННИ КЪМ ДРУГИ СТРАНИ-ЧЛЕНКИ ИЛИ КЪМ ТРЕТИ ДЪРЖАВИ

Администраторът не извършва трансфер на данни към други страни – членки на ЕС или към трети държави.

 

16. РЕГИСТРИ НА ОБРАБОТВАНИТЕ ДАННИ (ИНВЕНТАРИЗАЦИЯ НА ДАННИТЕ)

Администраторът възлага обработването на личните данни на негови служители и/или на наети на граждански договори адвокати/счетоводители (обработващи). Обработването се възлага на повече от един обработващ данните, съобразно спецификата на изпълняваните от тях служебни функции и с цел разграничаване на конкретните им задължения.

Администраторът създава и поддържа съответни регистри във връзка с обработването на лични данни, както следва:

а/ Регистър ТРУДОВИ И ГРАЖДАНСКОПРАВНИ ОТНОШЕНИЯ”, в който се събират и съхраняват лични данни на служителите, наети на трудов договор или ангажирани по граждански договори в Дружеството, по време на дейността им по изпълнение на работата им за Дружеството с оглед:

1. индивидуализиране на трудовите/гражданските правоотношения;

2. изпълнение на нормативните изисквания на Кодекса на труда, Кодекса за социално осигуряване, Закона за здравното осигуряване, Закона за счетоводството, Закона за данъците върху доходите на физическите лица и др.:

3. използване на събраните данни за лицата за служебни цели:

- За всички дейности, свързани със съществуване, изменение и прекратяване на трудовите и гражданските правоотношения - за изготвяне на документи на лицата в тази връзка (договори, допълнителни споразумения, заповеди за назначаване или прекратяване на съответното правоотношение, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения, сметки-фактури и др. подобни);

- За установяване на контакт с лицето по телефон или GSM, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията му;

- За водене на счетоводна отчетност относно възнагражденията на посочените по-горе лица по трудови и граждански правоотношения.

 

б/ Регистър КОНТРАГЕНТИ, в който се събират и съхраняват лични данни на контрагентите (клиентите, доставчиците и др.) на Дружеството, във връзка с изпълнение на поетите от Дружеството задължения с оглед:

  1. индивидуализиране на съответните контрагенти и др.;

  2. изпълнение на договорни задължения на Дружеството към контрагентите;

3. изпълнение на нормативните изисквания на Закона за счетоводството, Търговския закон, Закона за задълженията и договорите и др.:

4. използване на събраните данни за лицата за служебни цели основно за съхранение и архивиране на данни за клиентите по техни договори и правни отношения с контрагентите;:

- За всички дейности, свързани с изготвяне на документи (договори, допълнителни споразумения, всякакви търговски и счетоводни книжа и документи и др.);

- За установяване на контакт с лицата по телефон или GSM, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията им по сключените с Дружеството договори;

- За водене на счетоводна отчетност относно договорените възнагражденията и цени.

г/ Регистри ВИДЕОНАБЛЮДЕНИЕ” и „ДОСТЪП”, в които се събират и съхраняват лични данни на служителите и наетите на граждански договори в Дружеството лица /евентуално на допуснати при съгласно настоящите правила посетители/. По-конкретно съхраняват се видеозаписи на посочените лица в срок до 30 дни от датата на записването и данните за вход-изход с персонални карти за достъп с оглед:

1. индивидуализиране на съответните лица и др.;

2. изпълнение на законови изисквания и договорни задължения на Дружеството;

3. използване на събраните данни за лицата за служебни цели - охрана на обектите на Дружеството;

 

Регистрите се водят на основание на българското законодателство, по-специално - ЗКПО, ДОПК, ЗДДС, ЗДДФЛ, КТ, КСО, ЗЗО и др. Регистрите се поддържат на хартиен и електронен носител, като личните данни се групират в досиета, съхранявани в отделни папки, като съвкупността от всички папки представлява съответния регистър

 

Съгласно вътрешните правила Администраторът определя нивото на защита, което ще съблюдава за всеки от регистрите, както и периодично чрез оторизираните лица ще извършва оценка на въздействието за всеки от водените регистри.

 

На етажа, където се съхраняват досиетата от регистрите се предприемат съответните мерки за пожаробезопасност, като на достъпно и означено място се поставя най-малко един пожарогасител, който се поддържа в техническа изправност.

 

17. ОБЩИ РАЗПОРЕДБИ

Неразделна част от настоящата политика са следните документи:

  1. Вътрешни правила;

  2. Уведомление за поверителност;

  3. Декларация – съгласие;

  4. Споразумение за поверителност;

  5. Споразумение за защита на личните данни.

 

Настоящата политика е приета на 21.05.2018 г. и може да бъде променяна и допълвана по реда на нейното приемане.

 

БОНИТА СТИЛ ЕООД

 

Дизайн и поддръжка: Максофт