ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ НА „ИНТЕРФУДС-БЪЛГАРИЯ" ЕАД Настоящите Вътрешни правила се издават на основание Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на данните, Закона за защита на личните данни и Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.
Регламент (ЕС) 2016/679 и настоящата политика се прилагат за обработването на лични данни, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни, независимо дали обработването се извършва изцяло или частично с автоматични или друг вид средства (ръчно и на хартиен носител). - Понятия
„
Лични данни" - всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни"); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
„
Специални категории лични данни" – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации и обработката на генетични данни, биометричните данни за уникално идентифициране на физическо лице, данни отнасящи се до здравето или данни относно сексуалния живот на физическо лице или сексуална ориентация.
„
Обработване" - означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
„
Администратор" - всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
„
Субект на данните" – всяко живо физическо лице, което е предмет на личните данни съхранявани от Администратора.
„
Съгласие на субекта на данните" - всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
„
Дете" – Общият Регламент определя дете като всеки на възраст под 16 години. Ако обаче българското законодателство предвижда по-малка възраст за понятието „дете", то тази възраст има приоритет пред посочената в Регламента . Обработката на лични данни на едно дете е законно само, ако родител или попечител е дал съгласие. Администраторът полага разумни усилия, за да провери в такива случаи, че притежателят на родителската отговорност за детето е дал или упълномощен да даде съгласието си.
„
Нарушение на сигурността на лични данни" - нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
„
Основно място на установяване " – седалището на администратора в ЕС ще бъде мястото, в което той взема основните решения за целта и средствата на своите дейности по обработване на данни. По отношение на обработващия лични данни основното му място на установяване в ЕС ще бъде неговият административен център.
„
Получател" - физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели"; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
„
Трета страна" – всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
- Декларация относно политиката по защита на личните данни
Ръководството на
„Интерфудс България" ЕАД, ЕИК: 175114245, със седалище и адрес на управление: гр. София, бул. „Христофор Колумб" № 57, наричано по-долу за краткост
„Дружеството" или „администратор", осигурява съответствие със законодателството по отношение на обработването на личните данни и защитата на "правата и свободите" на лицата, чиито лични данни Дружеството събира и обработва съгласно Общия регламент за защита на данните (Регламент (ЕС) 2016/679).
Администратор на лични данни е
„Интерфудс България" ЕАД, ЕИК 175114245, със седалище и адрес на управление: гр. София, бул. „Христофор Колумб" № 57,
Контакти: тел.: 02 / 817 10 10,
и-мейл:
gdpr@interfoodsbg.com Контакти: тел: 02 / 817 10 10 , и-мейл:
gdpr@interfoodsbg.com В съответствие с Общия регламент към тази политика са описани и други релевантни документи, както и свързани процеси и процедури.
Регламент (ЕС) 2016/679 и тази Политика се отнасят до всички функции по обработването на лични данни, включително тези, които се извършват относно лични данни на клиенти, служители, доставчици и партньори.
Отговорното лице по защита на данните отговаря за преразглеждането на
„Регистъра на дейностите по обработване
" ежегодно в съответствие с всякакви промени в дейностите на Дружеството, както и всички допълнителни изисквания, оценки на въздействието върху защитата на данните. Този регистър е на разположение по искане на надзорния орган.
Тази политика се прилага за всички служители/работници, клиенти, доставчици, партньори, логистични дружества, с които Дружеството работи и чрез които осъществява своята дейност.
Партньори и трети лица, които работят с или за Дружеството, както и тези, които имат или могат да имат достъп до личните данни, са длъжни да се запознаят, разбират и да се съобразяват с тази политика. Никоя трета страна не може да има достъп до лични данни, съхранявани от Дружеството без предварително да е сключила споразумение за поверителност на данните, което налага на третата страна задължения, не по-малко обременяващи от тези, които Дружеството е поело и което дава право на същото да извършва проверки на спазването на наложените със споразумението задължения.
- Задължения и роли по Регламент (ЕС) 2016/679
Дружеството е администратор на лични данни и/или обработващ данни съгласно Регламент (ЕС) 2016/679.
Висшето ръководство и всички членове на управителните органи на Дружеството са отговорни за разработване и насърчаване на добри практики в областта на обработване на информация в Дружеството.
Отговорното лице по защита на данните е служител на Дружеството и се отчита пред Съвета на директорите на Дружеството за управлението на личните данни в рамките на организацията и за гарантирането на възможността за доказване на съответствието със законодателството за защита на данните и добрите практики.
Тази отчетност на отговорното лице включва:
- разработване и внедряване на изискванията на РЕГЛАМЕНТ (ЕС) 2016/679 както се изисква от настоящата политика;
- управление на сигурността и риска по отношение на съответствието с политиката.
Отговорното лице по защита на данните (ОЛЗД), което Съветът на директорите счита за подходящо, квалифицирано и опитно, е назначено, за да поеме отговорността за съответствието на Дружеството с тази политика на ежедневна основа. ОЛЗД е пряко отговорно да гарантира, че както като цяло организацията на Дружеството така и дейността на всеки член на ръководния състав, която се извършва в рамките на неговата област на отговорност, съответстват на изискванията на Регламент (ЕС) 2016/679.
ОЛЗД има специфични отговорности по отношение на процедури за управление на исканията от субектите и са контактна точка за служителите на администратора, които искат разяснения по всеки аспект на спазването на защитата на данните.
Спазването на законодателството за защита на данните е отговорност на всички служители на Дружеството, които обработват лични данни.
- Принципи за защита на данните
Цялата обработка на лични данни се извършва в съответствие с принципите за защита на данните съгласно Регламент (ЕС) 2016/679. Политиката и процедурите на Дружеството имат за цел да гарантират спазването на тези принципи.
- Личните данни се обработват законосъобразно, добросъвестно и прозрачно
Законосъобразно – Дружеството идентифицира законна основа, преди да може да обработва лични данни. Те често са посочени като "основания за обработване". Дружеството обработва лични данни въз основа на договорни отношения със субекта на данни (договор), съгласно законови разпоредби, когато е получило съгласие за обработка на лични данни или за целите на своите легитимни интереси.
Добросъвестно - администраторът на лични данни предостави определена информация на субектите на данни, доколкото това е практически възможно. Това важи независимо дали личните данни са получени директно от субектите на данни или от други източници.
Прозрачно – Дружеството включва правила относно предоставяне на информация, комуникация и условия за упражняването на правата на субекта на данни, осигурява информация и достъп до лични данни на субектите на обработваните лични данни в разбираема форма, като използва ясен и разбираем език.
- Цели на обработването
Личните данни в Дружеството се събират само за конкретни, изрично указани и законни цели. Личните данни не се използват за цел, която се различава от долупосочените цели. Процедура за прозрачност при обработката на лични данни определя съответните правила.
Дружеството обработва лични данни за целите на:
- Сключване и изпълнение на договор със свои клиенти за продажба на стоки;
- Сключване на дистрибуторски договор;
- Изготвяне на фактури;
- Сключване на трудови договори със свои служители и сключване на граждански договори за изпълнение на определена работа, по-конкретно за всички дейности, свързани със съществуване, изменение и прекратяване на трудовите отношения - за изготвяне на всякакви документи в тази връзка (договори, допълнителни споразумения, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения и др. подобни); за установяване на връзка с работниците и служителите по телефон, за кореспонденция, отнасяща се до изпълнение на трудовите задължения; счетоводната отчетност (изчисляване и изплащане на трудови възнаграждения, данъци и социални осигуровки), както и за пенсионното и здравно осигуряване;
- Сключване на договори с логистични дружества;
- Директен Маркетинг на стоки;
- Онлайн игри, организирани от Дружеството във връзка с продуктите, които предлагат и продават.
- Правно основание
Дружеството обработва лични данни
на основание договор в случаите, когато обработва лични данни за целите на сключване на договор със свои клиенти за продажба на стоки, сключване на дистрибуторски договор, трудови договори със свои служители и сключване на граждански договори за изпълнение на определена работа, договори с логистични дружества, договори за правни и консултантски услуги.
Дружеството обработва лични данни
по закон в случаите на изготвяне на фактури, обработване на документи към НАП и НОИ във връзка с трудови правоотношения, административни и данъчни задължения на Дружеството и др.
Дружеството обработва лични данни на основание
дадено съгласие в случаите на предоставяне на лични данни на трето обработващо данните лице от името на Дружеството, при директен маркетинг на стоки и онлайн игри, организирани от Дружеството във връзка с продуктите, които предлагат и продават.
- Принцип на минимално необходимото
Личните данни, обработвани от Дружеството, са адекватни, релевантни и ограничени единствено до тези, които са необходимо за съответната цел. Отговорникът по защита на личните данни е отговорен да осигури Дружеството да не събира информация, която не е необходима за целта, за която тя е получена.
Отговорникът по защита на личните данни преглежда ежегодно способите за събиране на лични данни, за да се гарантира, че събраните данни и тези, които предстои да се съберат ще бъдат адекватни, релевантни и не са прекомерни – събрани са минимално количество необходими лични данни за изпълнение на целите за обработване на лични данни в Дружеството.
- Актуализиране на лични данни
Администраторът следи обработваните лични данни да бъдат точни, актуализирани и полага необходимите усилия, за да е възможно незабавно (в рамките на възможните технически решения) изтриване или коригиране. Личните данни, обработвани и съхранявани от администратора, се преглеждат и актуализират на всеки 6 (шест) месеца. Данни, които не са точни, не се съхраняват.
Субектът на данни декларира, че личните данни, които предава за съхраняване, са точни и актуални към датата на подаване. Служителите, работниците, клиентите и други дружества – контрагенти са задължени да уведомят Дружеството в случай на промени в обстоятелствата относно представляващ, негов адрес, адрес на физическо лице. В този случай Дружеството актуализира регистъра по обработвания незабавно след уведомяването за промени.
На всеки 6 (шест) месеца се преглеждат сроковете за съхранение на всички лични данни, обработвани от Дружеството, като се позовава на инвентаризацията на данните и идентифицира всички данни, които вече не се изискват в контекста на регистрираната цел. Тези данни надлежно се унищожават в съответствие с процедурите и правилата на Дружеството.
- Срок на съхранение
Продължителността на съхранение на лични данни зависи от целите на обработване им, за които са събрани.
- Личните данни, обработвани с цел сключване и изпълнение на договор с клиенти, партньори, логистични дружества, и др., се съхраняват за срока на действие на договора и до 5 години от прекратяване или изтичане срока на действие на договора с оглед защита на легитимните интереси на Дружеството.
- Личните данни, обработвани с цел сключване на трудови договори със свои служители, се съхраняват до изтичане на 3 (три) годишен срок от прекратяване на договора с оглед защита на легитимните интереси на Дружеството.
- Личните данни, необходими за целите на пенсионното осигуряване, се съхраняват след прекратяване на трудовото отношение за срок от 50 години.
- Лични данни, обработвани с цел издаване на счетоводни/финансови документи за осъществяване на данъчно-осигурителен контрол като фактури, дебитни, кредитни известия, приемо-предавателни протоколи и др., се съхраняват в законоустановените срокове.
- Лични данни, обработвани във връзка с Болнични листа, ТЕЛК решения и други документи, свързани с здравословното състояние на служители на Дружеството се съхраняват за срок от 3 години, считано от 01.01. на годината, следваща година на издаване на съответния болничен документ.
- Личните данни, обработвани с цел сключване на граждански договори за изпълнение на определена работа се съхраняват за срока на действие на договора и до 5 години от прекратяване или изтичане срока на действие на договора с оглед защита на легитимните интереси на Дружеството.
- Личните данни, обработвани с цел директен маркетинг на стоки и услуги, се обработват до оттегляне на даденото съгласие от субекта на данни.
- Личните данни, обработвани с цел участие в онлайн игра, се съхраняват за срока на действие на конкретната игра до избирането на победител, предоставянето на награда и прекратяване на конкретната играта.
Дружеството унищожава личните данни след определения срок на съхранение съгласно приета процедура за унищожение.
- Категории лични данни
Обработват се следните лични данни на работниците и служителите: трите имена, ЕГН, дата на раждане, възраст, данни от лична карта или друг документ за самоличност, адрес, имейл-адрес, телефон, образование (учебно заведение), професионална квалификация, банкова сметка, позиция, работно време, начало и край на трудовото отношение, трудов стаж, трудово възнаграждение, организационно звено, ръководител, чужди езици, информация за и оценка на работата, User Name, Password, IP-адрес, личен служебен номер, данни от апарат за отчитане на работното време, видеозаписи.
С това не се засяга правото на Дружеството да обработва други лични данни, когато това задължение произтича по закон или когато общественият интерес налага това.
Процес на подбор за работа
Личните данни на кандидатите за работа се обработват само за административни цели (при извършване на подбора).
За съгласие на кандидата се счита предаването на въпросника, попълнен от кандидата преди подписването на трудовия договор, или попълване на формуляр и предаване на Дружеството. За съгласие на кандидата за работа за обработването на личните му данни се счита и предоставеното от него по законоустановения ред съгласие за обработка на личните му данни на Бюрото по труда при Министерство на труда и социалната политика на Република България, агенциите по заетостта или уеб порталите за търсене на работа, с които дружеството има договор за услуги. Дружеството информира кандидатите за работа за обработката на техните лични данни за целите на вътрешната администрация на служителите и за други цели, определени в този правилник.
Кандидадът за работа има право да не дава своето съгласие за обработката на личните му данни, без да посочва причината за това. В този случай компанията трябва незабавно да прекрати обработката на личните данни на това лице.
Личните данни на кандидатите за работа ще се съхраняват до приключване на процеса на набиране на персонал. След приключване на подбора на персонала данните на кандидата ще бъдат обработвани само с неговото предварително съгласие и само за периода, посочен в съгласието, но във всички случаи не по-дълъг от 3 години.
- Лица, които получават достъп и обработват лични данни от името на Дружеството
Дружеството има право да разкрива личните данни на служителите на трети лица, доколкото това е свързано с изпълнението на договорните задължения и изпълнението на обичайната стопанска дейност на Дружеството. Такива лица с право да обработват лични данни от името на Дружеството са:
- Счетоводители и ТРЗ;
- Консултанти (включително адвокати) на Дружеството;
- Логистични дружества с оглед изпълнение на договорните задължения за доставка на стоки;
- Охранителни фирми;
- Болнични заведения;
- Организатори/администратори на онлайн игри.
В този случай по отношение на обработващите лични данни се прилагат разпоредбите на Регламент 2016/679, Закона за защита на личните данни, вътрешните правилници и други задължителни правни разпоредби.
- Права на субектите на данни
Администраторът на лични данни предоставя информация на субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма, на прост език. Предоставя информацията в писмен вид, включително когато е целесъобразно - с електронни средства.
Субектът на данни има следните права:
- Право на достъп на субекта на данните
Субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него и ако това е така субектът на данни има право да получи достъп до данните и следната информация:
- длъжностното лице по защита на данните;
- целите на обработване, правното основание и законните интереси;
- получателите на лични данни;
- срока на съхранение на данните;
- правото да се оттегли предоставено за събиране и обработване на данните съгласие.
- Право на коригиране
Субектът на данни има право да поиска от администратора да копира без ненужно забавяне неточните лични данни, свързани с него. Като се имат предвид целите на обработването субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация.
- Право на изтриване
Субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни, когато:
- Личните данни повече не са необходими за целите, за които са били събрани или обработвани;
- Субектът на данни оттегля своето съгласие, върху което се основава обработването на данните;
- Субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;
- Личните данни са били обработвани незаконосъобразно;
- Личните данни трябва да бъдат изтрити с цел запазване на правно задължение;
- Личните данни са били събрани във връзка с предлагането на услуги на информационното общество.
- Право на ограничаване на обработването
Субектът на данни има право да изисква от администратора ограничаване на обработването, когато се прилага едно от следното:
- Личните данни са неточни;
- Обработването е неправомерно, но субектът на данните желае ограничаване на обработването вместо изтриване;
- Администраторът не се нуждае повече от личните данни на субекта, но субектът ги изисква за установяване, упражняване или защита на правни претенции;
- Субектът на данни е възразил срещу обработването в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данни.
- Право на преносимост
Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратора в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор, когато обработването е основано на съгласие или на договорно задължение и обработването се извършва по автоматизиран начин.
- Право на възражение
Субектът на данни има право по всяко време и на основания, свързани с конкретна ситуация на възражение срещу обработване на лични данни, отнасящи се до него включително профилиране. Администраторът прекратява обработването на лични данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данните.
- Право на жалба до надзорен орган
За България надзорен орган е Комисията по защита на личните данни.
- Трансфер на лични данни
Личните данни няма да бъдат пренасяни извън Европейския съюз.
- Сигурност на данните. Лица с право на достъп до личните данни
Лицата, имащи право на достъп до личните данни, са: отговорно лице по защита на данните, Мениджър Администрация, служителите от отдел „Маркетинг", счетоводители на Дружеството, обслужващите дружеството адвокати, охранители, държавни, съдебни и административни органи.
- Средства за комуникация
Не се разрешава на служители, на които е предоставен служебен интернет и служебна електронна поща, да ползват същите за лични цели.
Електронните писма и другите средства за комуникация могат да бъдат проверявани, за да се гарантира тяхната сигурност, прехвърляне на функции, уреждане на спорове, защита на материалните и неимуществените интереси на Дружеството, защита на поверителната информация на Дружеството и в други законни случаи.
- Технически и организационни мерки за защита на личните данни
Съобразно дейността си и вида лични данни, които обработва, Дружеството е предприело организационни и технически мерки за защита на сигурността на личните данни по начин, който гарантира подходящо ниво на сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане.
- Оценка на риска
Дружеството е извършило оценка на риска съгласно Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, като е извършило анализ на операциите по обработване и целите на обработване, основанията за обработване на лични данни, необходимостта и пропорционалността на операциите по обработване по отношение на целите, оценка на рисковете за правата и свободите на субектите на данни, мерките, предвидени за справяне с рисковете, мерките за сигурност и механизми за осигуряване на защита на личните данни, като са взети предвид правата и законните интереси на субекта на данни. В резултат на анализите Дружеството има нисък риск за случайно или неправомерно разкриване или загуба при обработването на лични данни, което би могло да доведе до физически, материални или нематериални вреди, поради което не следва да се извършва оценка на въздействие.
- Нарушения на сигурността
Лицата, имащи достъп до лични данни уведомяват Администратора без ненужно забавяне за всяко нарушение на сигурността на личните данни или за какъвто и да било друг инцидент, свързан със сигурността на данните въобще. Данните за контакт, необходими за уведомлението, се записват във вътрешния Регистър на нарушенията. В съобщението до администратора се посочват всички необходими подробности за осъщественото нарушение. Съобщението следва да бъде в писмена форма.
Администраторът прави преценка дали е необходимо да се уведоми надзорния орган за нарушението. Съгласно Регламента не е необходимо да се изпраща уведомление, ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. За целта Администраторът извършва оценка на въздействието на нарушението .
Ако установи, че съществува риск за правата и свободите на субектите на данни, Администраторът уведомява надзорния орган за нарушението на сигурността на личните данни без ненужно забавяне и не по-късно от 72 часа след като е узнал за него. В случай че уведомлението не е направено в рамките на 72 часа, Отговорникът по защита на данните на „ИНТЕРФУДС-БЪЛГАРИЯ" ЕАД уведомява надзорния орган при първа възможност, като към уведомлението в допълнение излага причините за забавянето.
Администраторът „ИНТЕРФУДС-БЪЛГАРИЯ" ЕАД документира в Регистър на нарушенията всички нарушения на сигурността на личните данни, като посочва отнасящите се до тях факти, последиците и предприетите мерки за смекчаване на тяхното въздействие.
- Регистър по обработванията
Дружеството е създало регистър по обработванията на данните като част от своя подход за справяне с рисковете и възможностите в процеса на спазване на настоящата Политика и Регламент 2016/679 на ЕС. Регистърът отразява бизнес процесите, които използват лични данни, източници на лични данни, броя на субектите на данни, описание на категории лични данни и елементите на всяка категория, дейности по обработване, цели на обработването, правно основание за обработване, получатели или категории получатели на лични данни, основни системи и места за съхранение, лични данни, които подлежат на трансфери извън ЕС, срокове за съхранение и унищожаване.
Дружеството оценява нивото на риска за лицата, свързани с обработването на личните им данни. Когато вид обработване може да доведе до висок риск за правата и свободите на физическите лица, по-специално с използване на нови технологии и като се вземат предвид естеството, обхвата, контекста и целите на обработването, преди да пристъпи към обработване Дружеството следва да извърши оценка на въздействието на предвидените операции по обработване върху защитата на личните данни.