Правила за защита на данните | Delamode Bulgaria
Каталог » Services » Правила за защита на данните

Правила за защита на данните


Версия 0.3, Юни 2018  

Xpediator plc(“Дружеството”)е холдинг,стоящ зад следните бизнеси:Delamode InternationalLogistics, Affinity Transport Solutions, Regional Express, Benfleet Forwarding, Pall-Ex Romania, EshopWedrop, EMT Logistics 

 

Обхват на правилата

 

Тези правила са приложими за настоящи служители, клиенти, доставчици и делови контакти.

 

Дъщерните дружества на Xpediator plc могат да приемат свои собствени правила, за да отговорят на нуждите на бизнеса, клиентите и местното законодателство. Политиката на всяко дъщерно дружество обаче се разглежда като допълнение към тази на групата. Подробностите, описани в този документ, са минималните изисквания за цялата група. 

Информация относно администратора на данни и лицето, обработващо данни

 

Дружеството е администратор на данни, което означава, че определя процесите, които да се използват при използването на вашите лични данни. Дружеството, също така, е и лице, обработващо данните за своите клиенти, което означава, че изпълнява обработката на данни. Нашите координати са, както следва: Xpediator plc, 700 Avenue West, Skyline 120, Braintree, Essex, CM77 7AA, UK

Длъжностно лице по защита на данните

 

Длъжностното лице по защита на данните на Дружеството е Michael Grange. Можете да се свържете с него на corporate.compliance@xpediator.com

 

 

1.               Въведение

 

Тези правила определят задълженията на Xpediator plc и дъщерните му дружества, дружество, регистрирано в Обединеното кралство под номер

 

10397171, със седалище, находящо се на адрес: 700 Avenue West, Skyline 120, Great Notley, Braintree, Essex, UK, CM77 7AA (наричано накратко

 

"Дружеството"), за защитата на данните и правата на служителите, клиентите, доставчиците и бизнес контактите (наричани накратко "Субектите на данни") по отношение на техните лични данни съгласно Регламент 2016/679 на ЕС - Общ регламент за защита на данните (ОРЗД (GDPR)).

 

Съгласно определението на ОРЗД, „лични данни“ са всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

 

Тези правила определят задълженията на Дружеството по отношение на събирането, обработката, трансфера, съхранението и разпореждането с лични данни. Процедурите и принципите, посочени тук, трябва да бъдат спазвани по всяко време от Дружеството, неговите служители, агенти, контрагенти или други страни, които работят от името на Дружеството.

 

Дружеството се ангажира не само с буквата на закона, но и с духа на закона и отдава голямо значение за правилното, законосъобразно и справедливо третиране на всички лични данни, като се зачитат законните права, неприкосновеността на личния живот и доверието на всички лицата, с които се занимава.

 

 

2.               Принципи на защита на данните

 

Тези правила имат за цел да гарантират спазването на ОРЗД (GDPR). ОРЗД (GDPR) определя следните принципи, които трябва да се спазват от всяка страна, която обработва лични данни. Всички лични данни трябва да бъдат:

 

2.1Обработени законосъобразно, справедливо и по прозрачен начин по отношение на субекта на данните.

 

2.2Събрани за конкретни, изрични и законни цели и не се обработват по начин, който е несъвместим с тези цели. По-нататъшната обработка за целите на архивирането в интерес на обществото, научните или историческите научни цели или статистическите цели не се счита за несъвместима с първоначалните цели.

 

2.3Адекватни, съотносими и ограничени до това, което е необходимо във връзка с целите, за които се обработват.

 

2.4Точни и, ако е необходимо, актуализирани. Трябва да се предприемат всички разумни стъпки, за да се гарантира, че личните данни, които са неточни с оглед на целите, за които се обработват, се изтриват или коригират незабавно.

 

            2.5Поддържани във форма, която позволява идентифициране на Субектите за данни не по-дълго от необходимото, за целите, за които се обработват личните данни. Личните данни могат да се съхраняват за по-дълги периоди, дотолкова доколкото ще бъдат обработвани единственос    цел архивиране за обществени интереси, научни или исторически изследователски цели или за статистически цели, при условие че са изпълнени съответните технически и организационни мерки, изисквани от ОРЗД (GDPR), за да се защитят правата и свободите на Субекта на данните.

 

2.6        Обработени по начин, който гарантира подходяща сигурност на личните данни, включително защита срещу неразрешена или незаконна обработка и срещу случайна загуба, унищожаване или увреждане, като се използват подходящи технически или организационни мерки.

 

 

3.               Правата на Субектите на данни

 

ОРЗД (GDPR) определя следните права, приложими за субектите на данни (за допълнителна информация моля, направете справка в указаните разделите на тези правила):

 

3.1Правото да бъде информиран (раздел 12).

 

3.2Правото на достъп (раздел 13);

 

3.3Правото на поправка (раздел 14);

 

3.4Правото на изтриване (също известно като „правото да бъдеш забравен”) (раздел 15);

 

3.5Правото на ограничена обработка (раздел 16);

 

3.6Правото на преносимост на данните (раздел 20);

 

3.7Правото на възражение (раздел 17); и

 

3.8Автоматизирано вземане на индивидуални решения, включително профилиране (раздел 18).

 

 

4.               Законна, справедлива и прозрачна обработка на данни

 

4.1ОРЗД (GDPR) е предназначен да гарантира, че личните данни се обработват законно, честно и прозрачно, без това да накърнява правата на субекта на данните. ОРЗД (GDPR) гласи, че обработването на лични данни е законосъобразно, ако се прилага поне едно от следните условия:

 

4.1.1    Субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

 

4.1.2    Обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

 

4.1.3    Обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

 

 4.1.4    Обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;

 

4.1.5    Обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора; или

 

4.1.6    Обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

 

4.2        Ако въпросните лични данни са "специална категория данни" (известни също като "чувствителни лични данни") (например данни за расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация), трябва да бъде изпълнено поне едно от следните условия

 

4.2.1    Субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели (освен когато в правото на ЕС или в правото на държава-членка на ЕС се предвижда забрана за това);

 

4.2.2    Обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на Администратора или на Субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила (дотолкова, доколкото това е разрешено от правото на ЕС или от правото на държава-членка на ЕС, или съгласно колективна договореност в съответствие с правото на държава-членка на ЕС, в което се предвиждат подходящи гаранции за основните права и интересите на Субекта на данните);

 

4.2.3    Обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;

 

4.2.4    Обработването се извършва при подходящи гаранции в хода на законните дейности на фондация, сдружение или друга структура

 

с   нестопанска цел, с политическа, философска, религиозна или синдикална цел, при условие че обработването е свързано единствено с членовете или бившите членове на тази структура или с лица, които поддържат редовни контакти с нея във връзка с нейните цели, и че личните данни не се разкриват без съгласието на Субектите на данните;

 

4.2.5    Обработването е свързано с лични данни, които ясно са направени обществено достояние от Субекта на данните;

 

4.2.6    Обработването е необходимо с цел установяване, упражняване или защита на правни претенции или винаги, когато съдилищата действат в качеството си на правораздаващи органи;

 

4.2.7    Обработването е необходимо по причини от важен обществен интерес на основание правото на ЕС или правото на държава-членка на ЕС, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните;

 

4.2.8    Обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи въз основа на правото на ЕС или правото на държава-членка на ЕС или съгласно договор с медицинско лице и при условията и гаранциите, посочени в член 9, алинея 3 от ОРЗД (GDPR);

 

4.2.9    Обработването е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия, въз основа на правото на ЕС или правото на държава-членка на ЕС, в което са предвидени подходящи и конкретни мерки за гарантиране на правата и свободите на субекта на данните (по-специално опазването на професионална тайна); или

 

4.2.10 Обработванетое необходимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, алинея 1 от ОРЗД (GDPR), на основание правото на ЕС или правото на държава-членка на ЕС, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на Субекта на данните

 

 5.               Конкретни, изрични и законови цели

 

5.1Дружеството събира и обработва личните данни, посочени в раздел 19 от настоящите Правила. Това включва:

 

5.1.1  Лични данни, събирани директно от Субектите на данни.

 

5.2Дружеството събира, обработва и съхранява лични данни само за конкретните цели, посочени в раздел 19 от тези Правила (или за други цели, изрично разрешени от ОРЗД(GDPR)).

 

5.3Субектите на данни се информират по всяко време за целта или целите, за   които   Дружеството   използва   личните   им   данни.   За   повече информация относно информирането на субектите, моля, вижте раздел

 

6.               Адекватна, подходяща и ограничена обработка на данни

 

Дружеството ще събира и обработва само лични данни за и до степен, необходима за конкретната цел или цели, на които са били информирани (или ще бъдат информирани), както е посочено в раздел 5 по-горе, и както е посочено в раздел 19 по-долу.

 

 

7.               Точност на данните и поддържане на актуални данни

 

7.1Дружеството трябва да гарантира, че всички лични данни, събрани, обработени и съхранявани от него, се поддържат точни и актуални. Това включва, но не се ограничава до поправката на лични данни по искане на субект на данни, както е посочено в раздел 14 по-долу

 

7.2Точността на личните данни се проверява по време на събирането и на редовни интервали от време след това. Ако се установи, че лични данни са неточни или не са актуални, незабавно ще бъдат предприети всички разумни стъпки, за да се изменят или изтрият, според случая.

 

 

8.               Запазване на данни

 

8.1Дружеството няма да съхранява лични данни за по-дълго от необходимото в светлината на целта или целите, за които тези лични данни са били първоначално събрани, държани и обработени.

 

8.2Когато личните данни вече не се изискват, всички разумни стъпки ще бъдат предприети, за да бъдат изтрити или да бъдат унищожени незабавно по друг начин.

 

8.3За подробни сведения относно подхода на Дружеството по отношение на задържането на данни, включително периодите на запазване за конкретни типове лични данни, съхранявани от Дружеството, моля, направете справка с Правилата ни за съхранение на данни.

 

 

9.               Сигурност на обработването

 

Дружеството трябва да гарантира, че всички събрани, съхранявани и обработени лични данни са в безопасност и защитени от неразрешена или незаконна обработка и от случайна загуба, унищожаване или увреждане. Допълнителни подробности за техническите и организационните мерки, които трябва да бъдат предприети, са дадени в раздели 20-25 от настоящите Правила.

 

 

10.           Отчетност и водене на записи

 

10.1   Длъжностното лице по защита на данните е Michael Grange.

 

10.2   Длъжностното лице по защита на данните е отговорно за надзора върху прилагането на  настоящите и  за мониторинга  на  спазването  на  тези Правила,  на  другите  политики  на  Дружеството  по  отношение  на защитата на данни и на ОРЗД (GDPR) и други приложими закони за

 защита на данните.

 

10.3      Дружеството трябва да води писмени вътрешни регистри за събирането, съхраняването и обработката на лични данни, които включват следната информация:

 

10.3.1 Името и данните на Дружеството, неговото Длъжностно лице по защита на данните и всички приложими процесори за обработка на данни от трети страни;

 

10.3.2 Целите, за които Дружеството събира, съхранява и обработва лични данни;

 

10.3.3 Информация за категориите лични данни, събрани, съхранявани и обработени от Дружеството, и категориите данни, които се отнасят до тези лични данни;

 

10.3.4 Информация за всички прехвърляния на лични данни към страни извън ЕИП, включително всички механизми и предпазни мерки за сигурност;

 

10.3.5 Информация за продължителността на съхраняването на лични данни от Дружеството (моля, направете справка с Правилата за запазване на данни на Дружеството); и

 

10.3.6 Подробниописания на всички технически и организационни мерки, предприети от Дружеството, за да се гарантира сигурността на личните данни.

 

 

11.           Оценка на въздействието на защитата на данни

 

11.1 Дружеството ще извършва оценки на въздействието на защитата на данните за всички нови проекти и/или нова употреба на лични данни, която включва използването на нови технологии и е възможно съответната обработка да доведе до висок риск за правата и свободите на Субектите на данни по ОРЗД (GDPR).

 

11.2      Оценките на въздействието на защитата на данните се контролират от Длъжностното лице по защита на данните и се отнасят до следното:

 

11.2.1 Типа/типовете лични данни, които ще се събират, съхраняват и обработват;

 

11.2.2 Цел(и), за които трябва да се използват личните данни;

 

11.2.3 Целите на Дружеството;

 

11.2.4 Как трябва да се използват личните данни;

 

11.2.5 Страни(вътрешни и/или външни), с които да се провеждат консултации;

 

11.2.6 Необходимостта и пропорционалността на обработката на данни по отношение на целта/целите, за която (които) се обработва;

 

11.2.7 Рискове за субектите на данни;

 

11.2.8 Рискове за Дружеството, както и рискове, породени от него; и

 

11.2.9 Предложенимерки за свеждане до минимум на идентифицираните рискове.

 

 12.           Поддържане на информираността на субектите на данни

 

12.1      Дружеството предоставя информацията, посочена в раздел 12.2, на всеки субект на данни:

 

12.1.1 Когато личните данни се събират директно от субектите на данни, те ще бъдат информирани за целта им по време на събирането; и

 

12.1.2 Когато лични данни се получават от трета страна, съответните субекти на данни ще бъдат информирани за целта им:

 

a)               ако личните данни се използват за комуникация със субекта на данни, когато е осъществена първата комуникация; или

 

b)               ако личните данни трябва да бъдат прехвърлени на друга страна, преди да се извърши това прехвърляне; или

 

c)               възможно най-бързо и във всеки случай не повече от един месец след получаването на личните данни.

 

12.2      Ще бъде предоставена следната информация:

 

12.2.1 Данниза Дружеството, включително, но не само за самоличността на неговото длъжностно лице по защита на данните;

 

12.2.2 Цел(и), за които се събират и ще се обработват личните данни (както е описано подробно в раздел 19 от настоящите Правила) и правното основание, обосноваващо това събиране и обработка;

 

12.2.3 Където е приложимо, законовите интереси, въз основа на които Дружеството оправдава събирането и обработката на личните данни;

 

12.2.4 Категориитена събраните и обработени лични данни, когато личните данни не се получават директно от субекта на данните;

 

12.2.5 Когато личните данни трябва да бъдат прехвърлени на една или повече трети страни, подробности за тези страни;

 

12.2.6 Когато личните данни трябва да бъдат прехвърлени на трета страна, която се намира извън Европейското икономическо пространство ("ЕИП"), подробности за това прехвърляне, включително, но не само, за съществуващите гаранции (вижте раздел 26 от тези правила за допълнителна информация);

 

12.2.7 Информация за запазването на данни;

 

12.2.8 Информация за правата на субекта на данните съгласно ОРЗД (GDPR);

 

12.2.9 Информация за правото на субекта на данните да оттегля по всяко време съгласието си за обработката на личните му данни от страна на Дружеството;

 

12.2.10 Информация за правото на субекта на данните да подаде жалба до Службата на комисаря по информационните въпроси ("Надзорният орган" по ОРЗД (GDPR));

 

12.2.11 Където е приложимо, информация относно всяко правно или договорно изискване или задължение, изискващи събирането и

обработката на личните данни и информация за последствията от непредоставянето им; и

 

12.2.12 Информация за всяко автоматично вземане на решения или профилиране, което ще се извърши, като се използват личните данни, включително информация за начина на вземане на решения, значението на тези решения и последствията от тях

 

 

13.           Достъп на субекта на данни

 

13.1 Субектите на данни могат по всяко време да направят заявки за достъп до субекта ("SAR"), за да разберат повече за личните данни, с които Дружеството разполага за тях, какво прави с тези лични данни и защо.

 

13.2   Служителите,  които  желаят  да  направят  SAR,  трябва  да  използват формуляра за заявка за достъп и да го изпратят на Длъжностното лице

 

по защита на данните на Дружеството на адрес corporate.compliance@xpediator.com.

 

13.3 Отговорите на SAR обикновено се изготвят в рамките на един месец от получаването им, но това може да бъде удължено с до два месеца, ако SAR са сложни и/или са направени многобройни заявки. Ако се изисква такова допълнително време, субектът на данните трябва да бъде информиран.

 

13.4 Всички получени SAR се обработват от Длъжностното лице по защита на данните на Дружеството.

 

13.5 Дружеството не начислява такса за обработка на нормални SAR. Дружеството си запазва правото да начислява разумни такси за допълнителни копия на вече предоставена информация на субект на данни и за заявки, които са очевидно неоснователни или прекалени, особено когато тези заявки са повтарящи се.

 

 

14.           Поправяне на лични данни

 

14.1 Субектите на данни имат правото да изискват от Дружеството да коригира всякакви лични данни, които са неточни или непълни.

 

14.2 Дружеството следва да поправи въпросните лични данни и да информира Субекта на данните за тази поправка в срок от един месец след като е било уведомено за проблема. Периодът може да бъде удължен с до два месеца при сложни заявки. Ако се изисква такова допълнително време, субектът на данните трябва да бъде информиран.

 

14.3 В случай, че всички засегнати лични данни са разкрити на трети лица, тези страни трябва да бъдат информирани за всяка поправка, която трябва да бъде направена на тези лични данни.

 

 

15.           Изтриване на лични данни

 

15.1 Субектите на данни имат право да поискат от Дружеството да изтрие личните данни, които съхранява за тях, при следните обстоятелства:

 

 15.1.1 Вече не е необходимо Дружеството да държи тези лични данни по отношение на целта/целите, за която (които) първоначално е била събрана или обработена;

 

15.1.2 Субектътна данните желае да оттегли своето съгласие за притежаване и обработване на личните им данни от Дружеството;

 

15.1.3 Субектътна данните възразява срещу това, че Дружеството притежава и обработва личните му данни (и не е налице преимуществен законов интерес, за да се позволи на Дружеството да продължи с това) (за повече подробности относно правото на възражение, вижте раздел 17 от настоящите Правила);

 

15.1.4 Личните данни са били обработени незаконно;

 

15.1.5 Личните данни трябва да бъдат изтрити, за да може Дружеството да спази конкретно правно задължение.

 

15.2      Освен ако Дружеството има основателни причини да откаже да изтрие лични данни, всички искания за изтриване трябва да бъдат спазени, като Субектът за данните се уведомява за изтриването в срок от един месец от получаването на искането му. Периодът може да бъде удължен с до два месеца при сложни заяки. Ако се изисква такова допълнително време, субектът на данните трябва да бъде информиран.

 

15.3      В случай, че лични данни, които трябва да бъдат изтрити в отговор на искане на субект на данни, са били разкрити на трети страни, тези страни ще бъдат информирани за изтриването (освен ако това не е невъзможно или би изисквало несъразмерно усилие за това).

 

 

16.           Ограничение на обработката на лични данни

 

16.1 Субектите на данни могат да поискат Дружеството да прекрати обработването на личните данни, които притежава за тях. Ако даден субект на данни направи такова искане, Дружеството ще запази само количеството лични данни, отнасящи се до въпросния субект (ако има такива), което е необходимо, за да се гарантира, че въпросните лични данни не се обработват допълнително.

 

16.2 В случай, че всички засегнати лични данни са разкрити на трети лица, тези страни трябва да бъдат информирани за приложимите ограничения при обработването им (освен ако това не е невъзможно или би изисквало несъразмерно усилие за да се направи).

 

 

17.           Възражения срещу обработката на лични данни

 

17.1 Субектите на данни имат право да възразят срещу обработката на личните данни от Дружеството въз основа на законни интереси, директен маркетинг (включително профилиране).

 

17.2   Когато даден субект на данни възразява въз основа на законните си интереси  срещу  това,  Дружеството  да  обработва  личните  му  данни, Дружеството незабавно преустановява такава обработка, освен ако не може  да  се  докаже,  че  законните  основания  за  такава  обработка надвишават интересите, правата и свободите на субекта на данните ,

 или че обработването е необходимо за извършването на съдебни искове.

 

Тип на данните

Предназначение на данните

 

 

 

 

органи

 

 

 

 

 

Схеми за обезщетения при пенсиониране -

За спазване на законовите и юридическите задължения на

 

регистриране на събития, подлежащи на

 

Дружеството по отношение на схемите за обезщетение за бивши

 

обявяване, например свързани с

 

служители.

 

неработоспособността

 

 

 

 

 

 

Задължителни отчети за плащанията по

За спазване на законовите и юридическите задължения на

 

майчинство, изчисления, сертификати (Mat

Дружеството

 

B1s) или други медицински доказателства

 

 

 

 

 

Документи за заплати (също така за

За спазване на законовите и юридическите задължения на

 

извънреден труд, бонуси, разходи)

Дружеството

 

 

 

 

Национални регистри за минималната

За спазване на законовите и юридическите задължения на

 

работна заплата

Дружеството

 

 

 

 

 

За спазване на законовите и юридическите задължения на

 

Регистри, отнасящи се до работното време

Дружеството и поддържане от страна на служителите на подходяща и

 

 

здравословна работна среда.

 

 

 

 

Формуляри за кандидатстване и бележки от

Като средства за предоставяне на данни относновъпроса с подхода

 

интервюта (за неодобрените кандидати)

на Дружеството по отношение на равенството.

 

 

 

 

Оценки съгласно регламентите за здравето

За спазване на законовите и юридическите задължения на

 

и безопасността и записи на консултации с

Дружеството

 

представители и комитети по

 

 

безопасността

 

 

 

 

 

Вътрешни приходи/HMRC одобрения

За спазване на законовите и юридическите задължения на

 

Дружеството

 

 

 

 

 

 

Отпуск за гледане на дете

За спазване на законовите и юридическите задължения на

 

Дружеството

 

 

 

 

 

 

Полици за инвестиционни пенсионни схеми

За спазване на законовите и юридическите задължения на

 

Дружеството

 

 

 

 

 

 

Досиета на пенсионерите

За спазване на законовите и юридическите задължения на

 

Дружеството

 

 

 

 

 

 

Досиета на персонала и документи от

За спазване на законовите и юридическите задължения на

 

обучения (включително дисциплинарни

 

Дружеството и подкрепа на личното развитие.

 

регистри и регистри за работно време)

 

 

 

 

 

 

Данни за съкращенията, изчисления на

За спазване на законовите и юридическите задължения на

 

плащанията, възстановявания,

Дружеството

 

уведомяване на министъра

 

 

 

 

 

Досиетата на висшите ръководни кадри

За спазване на законовите и юридическите задължения на

 

(т.е. членовете на висшия управленски екип

Дружеството

 

или техни еквиваленти)

 

 

 

 

 

Задължителни регистри за обезщетения за

 

 

болнични, изчисления, удостоверения,

 

 

удостоверения от  служители, съдържащи

За спазване на законовите и юридическите задължения на

 

информация относно причините за

 

Дружеството.

 

отсъствието им (болест, нараняване),

 

 

 

причини за болестта, нараняването и

 

 

начална и крайна дата на заболяването

 

 

 

 

 

Карти за отчитане на време

За спазване на законовите и юридическите задължения на

 

Дружеството и поддържане на здравословна работна среда.

 

 

 

 

 

 

Синдикални споразумения

За спазване на законовите и юридическите задължения на

 

Дружеството.

 

 

 

 

 

 

Координати на клиент и доставчик,

Да се даде възможност на дружеството да изпълни договорните си

 

 

 


Тип на данните

Предназначение на данните

 

 

 

 

информация за банкови сметки и други

задължения с клиенти и доставчици.

 

данни, използвани във връзка с

 

 

изпълнението на договорни задължения.

 

 

 

 

 

Координати

Със съгласието на физическото лице, Дружеството съхранява

 

координати с цел маркетинг и продажби.

 

 

 

 

 

 

 

 

20.  Сигурност на данните - пренос на лични данни и съобщения

 

Дружеството гарантира, че са предприети следните мерки по отношение на всички съобщения и други преноси, включващи лични данни (допълнителни подробности могат да бъдат намерени в Правилата на Дружеството за прехвърляне и съхранение на данни):

 

20.1 Всички имейли, съдържащи лични данни, трябва да бъдат изпращани само до тези, които имат законно право или нужда;

 

20.2 Всички имейли, съдържащи лични данни, трябва да бъдат обозначени като "поверителни";

 

20.3 Личните данни могат да се предават само чрез защитени мрежи; предаването на данни по незащитени мрежи не е разрешено при никакви обстоятелства;

 

20.4. Лични данни не могат да се предават чрез безжична мрежа, ако има кабелна алтернатива, която е разумно приложима;

 

20.5 Личните данни, съдържащи се в текста на имейл, независимо дали са изпратени или получени, трябва да се копират от съдържанието на този имейл

 

и   да се съхраняват на сигурно място. Самият имейл трябва да бъде изтрит. Всички временни файлове, свързани с него също трябва да бъдат изтрити;

 

20.6 Когато личните данни трябва да бъдат изпратени по факс, получателят трябва предварително да бъде информиран за изпращането и да чака до факс машината, за да получи данните;

 

20.7 Когато личните данни трябва да се предават на хартиен носител, те трябва да се предават директно на получателя или да се изпращат чрез регистриран начин на доставка, изискващ подпис; и

 

20.8 Всички лични данни, които трябва да бъдат прехвърлени физически, независимо дали са на хартиен носител или на външни електронни носители, се прехвърлят в подходящо място за съхранение, обозначено с надпис "поверително".

 

 

21.  Сигурност на данните - съхранение

 

Дружеството гарантира, че са предприети следните мерки по отношение на съхраняването на лични данни (допълнителни подробности могат да бъдат намерени в Правилата на Дружеството за прехвърляне и съхранение на данни на Дружеството):

 

21.1      Всички електронни копия на лични данни трябва да се съхраняват сигурно, като се използват пароли и криптиране на данни;

 

21.2      Всички хартиени копия на лични данни, както и всички електронни копия,

 

съхранявани на физически, външни носители, трябва да се съхраняват на сигурно място в заключена кутия, чекмедже, шкаф или подобно;

 

21.3      Всички архиви на лични данни, съхранявани по електронен път, трябва да се съхраняват сигурно чрез използване на пароли и криптиране на данни, независимо дали са в сайта или на друго място;

 

21.4      Личните данни не трябва да се съхраняват на нито едно мобилно устройство (включително, но не само, лаптопи, таблети и смартфони), без значение, дали такова устройство принадлежи на Дружеството, без официално писмено одобрение от Службата за защита на личните данни и, в случай на такова одобрение, личните данни следва да се съхраняват стриктно в съответствие с всички указания и ограничения, описани в момента на издаване на одобрението, и не по-дълго отколкото е наистина необходимото; и

 

21.5      Никакви лични данни не трябва да бъдат прехвърляни на каквото и да е устройство, лично принадлежащо на служител, лични данни могат да се прехвърлят само на устройства, принадлежащи на агенти, контрагенти или други страни, работещи от името на Дружеството, когато въпросната страна се е съгласила напълно да спазва духа и буквата на тези правила

 

и      на ОРЗД (GDPR) (което може да включва и доказване пред Дружеството, че са предприети всички подходящи технически и организационни мерки).

 

 

22.  Сигурност на данните - премахване

 

Когато всички лични данни трябва да бъдат изтрити или премахнати по друг начин по каквато и да е причина (включително когато са направени копия, които вече не са необходими), те трябва да бъдат напълно заличени и унищожени. За допълнителна информация относно заличаването и премахването на лични данни, моля, направете справка с Правилата на Дружеството за запазване на данни.

 

 

23.  Сигурност на данните – използване на лични данни

 

Дружеството гарантира, че са предприети следните мерки по отношение на използването на лични данни:

 

23.1      Никакви лични данни не могат да бъдат споделяни неофициално и ако служител, агент, подизпълнител или друга страна, работеща от името на Дружеството, изисква достъп до всички лични данни, до които той/тя вече няма достъп, този достъп трябва да бъде официално поискан от Длъжностното лице по защита на данните;

 

23.2      Лични данни не могат да бъдат прехвърляни на служители, агенти, контрагенти или други страни, независимо дали тези лица работят от името на Дружеството или не, без разрешението на Длъжностното лице по защита на данните;

 

23.3      С личните данни винаги трябва да се борави отговорно и не трябва да бъдат оставени без надзор или пред погледа на неоторизирани служители, агенти, подизпълнители или други страни по всяко време;

 

23.4      Ако личните данни се разглеждат на екрана на компютъра и въпросният компютър трябва да бъде оставен без надзор за определен период от

 


време, потребителят трябва да заключи компютъра и екрана, преди да напусне мястото си; и

 

23.5      Когато личните данни, съхранявани от Дружеството, се използват за маркетингови цели, отговорността на Маркетинг мениджъра е да гарантира получаването на съответното съгласие и че субекти на данни не са използвали възможността за неучастие, пряко или чрез услуга на трета страна, като TPS.

 

 

24.  Сигурност на данните – информационна сигурност

 

Дружеството гарантира, че са предприети следните мерки по отношение на ИТ и информационната сигурност:

 

24.1      Всички пароли, използвани за защита на личните данни, трябва да се променят редовно, като не трябва да използват думи или фрази, които лесно могат да бъдат разпознати или компрометирани по друг начин. Всички пароли трябва да съдържат комбинация от главни и малки букви, цифри и символи. Целият софтуер, използван от Дружеството, е конфигуриран да изисква такива пароли;

 

24.2      При никакви обстоятелства не трябва да се записват или споделят пароли между служители, агенти, контрагенти или други страни, които работят от името на Дружеството, независимо от йерархията или отдела. Ако паролата е забравена, тя трябва да бъде нулирана чрез приложимия метод. Екипът на Group Technology няма достъп до пароли за пароли за отделни потребители;

 

24.3      Всеки софтуер (включително, но не само, приложения и операционни системи) се актуализира. Екипът Group Technology на Дружеството отговаря за инсталирането на всички актуализации, свързани със сигурността, възможно най-бързо и веднага след като е практически възможно, освен ако няма основателни технически причини да не се направи това; и

 

24.4      Никой софтуер не може да бъде инсталиран на нито един компютър или устройство, собственост на Дружеството, без предварително одобрение от Директора по информационните въпроси.

 

 

25.           Организационни мерки

 

Дружеството гарантира, че са предприети следните мерки по отношение на събирането, притежаването и обработката на лични данни:

 

25.1 Всички служители, агенти, контрагенти или други страни, които работят от името на Дружеството, трябва да бъдат напълно запознати както със собствените си отговорности, така и с отговорностите на Дружеството съгласно ОРЗД (GDPR) и съгласно тези Правила, като ще им бъде предоставено копие от Правилата;

 

25.2 Само служители, агенти, подизпълнители или други страни, работещи от името на Дружеството, които имат нужда от достъп до и ползване на лични данни, за да изпълняват правилно своите задачи, ще имат достъп до лични данни, съхранявани от Дружеството;

 

25.3   Всички служители, агенти, контрагенти или други страни, работещи от

 


името на Дружеството, обработващи лични данни, ще бъдат обучени по подходящ начин;

 

25.4      Всички служители, агенти, контрагенти или други страни, работещи от името на Дружеството, боравещи с лични данни, ще бъдат надлежно контролирани;

 

25.5      От всички служители, агенти, контрагенти или други страни, работещи от името на Дружеството се изисква и се насърчава грижливо, предпазливо

 

и      дискретно отношение при обсъждането на служебни въпроси, свързани с лични данни, независимо дали на работното място или на друго място;

 

25.6      Методите за събиране, съхраняване и обработване на лични данни ще бъдат оценявани и преглеждани редовно;

 

25.7      Всички лични данни, съхранявани от Дружеството, ще бъдат преглеждани периодично, както е посочено в Правилата на Дружеството за запазване на данни;

 

25.8      Работата на тези служители, агенти, контрагенти или други страни, работещи от името на Дружеството, боравещи с лични данни, ще бъде редовно оценявана и преглеждана;

 

25.9      Всички агенти, контрагенти или други страни, работещи от името на Дружеството, боравещи с лични данни, са длъжни да го правят в съответствие с принципите на ОРЗД (GDPR) и тези Правила;

 

25.10   Всички агенти, контрагенти или други страни, работещи от името на Дружеството, боравещи с лични данни, трябва да гарантират, че всички техни служители, които участват в обработката на лични данни, се придържат към същите условия като тези, на съответните служители на Дружеството, произтичащи от тези Правила и ОРЗД (GDPR); и

 

25.11   Когато някой представител, контрагент или друга страна, работеща от името на Дружеството, боравещ/а с лични данни, не изпълни задълженията си по настоящите Правила, тази страна ще обезщети и ще предпази Дружеството от всички разходи, отговорност, вреди, загуби, искове или производства, които могат да възникнат в резултат на това неизпълнение.

 

 

26.           Прехвърляне на лични данни в страна извън ЕИП

 

26.1   Дружеството  може  от  време  на  време  да  прехвърля  ("прехвърляне" включва дистанционно предоставяне) лични данни на страни извън ЕИП.

 

26.2      Прехвърлянето на лични данни в страна извън ЕИП се извършва само ако се прилагат едно или повече от следните условия:

 

26.2.1 Прехвърлянето е към страна, територия или един или повече специфични сектори в тази страна (или международна организация), за които Европейската комисия е определила, че осигурява адекватно ниво на защита на личните данни;

 

26.2.2 Прехвърлянето е към страна (или международна организация), която осигурява подходящи предпазни мерки под формата на правно обвързващо споразумение между държавните власти или органи; обвързващи корпоративни правила; стандартните клаузи

 

 

за защита на данните, приети от Европейската комисия; спазването на одобрен от надзорния орган кодекс за поведение (например Службата на комисаря по информационните въптоси); сертифициране по одобрен механизъм за сертифициране (както е предвидено в ОРЗД (GDPR)); договорни клаузи, съгласувани и разрешени от компетентния надзорен орган; или разпоредби, включени в административни договорености между публични органи или органи, упълномощени от компетентния надзорен орган;

 

26.2.3 Прехвърлянетосе извършва с информирано съгласие на съответния(ите) субект(и) на данни;

 

26.2.4 Прехвърлянето е необходимо за изпълнението на договор между субекта на данните и Дружеството (или за преддоговорни мерки, предприети по искане на субекта на данните);

 

26.2.5 Прехвърлянето е необходимо по важни причини от обществен интерес;

 

26.2.6 Прехвърлянетое необходимо за предявяването на съдебни искове;

 

26.2.7 Прехвърлянетое необходимо за защита на жизненоважните интереси на субекта на данни или на други лица, когато субекта на данни физически или юридически; или

 

26.2.8 Прехвърлянетосе извършва от регистър, който съгласно законодателството на Обединеното кралство или ЕС има за цел да предоставя информация на обществеността и който е отворен за достъп от страна на обществеността като цяло или от страна на тези, които са в състояние да докажат законен интерес от достъп до регистъра.

 

 

27.           Уведомяване на надзорния орган за нарушение на сигурността на личните данни

 

27.1 Всички нарушения на сигурността на личните данни трябва да бъдат докладвани незабавно на длъжностното лице за защита на данните на Дружеството.

 

27.2 Ако възникне нарушение в сигурността на личните данни и това нарушение има вероятност да доведе до риск за правата и свободите на субектите на данни (например финансова загуба, нарушаване на поверителността, дискриминация, вреди от репутацията или други значителни социални или икономически щети), длъжностното лице по защита на личните данни трябва да гарантира, че Службата на комисаря по информационните въпроси е уведомена незабавно за нарушението и при всички случаи, в рамките на 72 часа след като е узнало за него.

 

27.3 Когато има вероятност нарушението на сигурността на личните данни да породи висок риск (т.е по-висок риск от този, описано в т. 27.2) за правата и свободите на субектите на данни, длъжностното лице по защита на данните трябва да гарантира, че всички засегнати субекти на данни са информирани за нарушението директно и без неоснователно забавяне..

 

 

 

27.4      Уведомлението за нарушение на сигурността на личните данни трябва да включва следната информация:

 

 

 

27.4.1 Категориите и приблизителния брой засегнати субекти на данни;

 

 

 

27.4.2 Категориите и приблизителния брой засегнати записи на лични данни;

 

 

 

27.4.3 Иметои координатите на длъжностното лице за защита на данните на Дружеството (или друго звено за контакт, от където може да се получи повече информация);

 

 

 

27.4.4 Евентуалните последици от нарушението;

 

 

 

27.4.5 Описание на предприетите или предложените от Дружеството мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни ефекти.

 

 

 

 

 

28.           Изпълнение на правилата

 

 

 

Тези Правила влизат в сила от 15 юни 2018 г. Никоя част от натоящите Правила няма да има ретроспективно действие и следователно ще се прилага само за въпроси, настъпили на или след тази дата.

 

 

 

 

 

Тези правила бяха одобрени и разрешени от:

 

 

 

Име:

Michael Grange

Длъжност:

Длъжностно лице за защита на данни

Дата:

15

ти

юни 2018

 

За преглед до:

14

ти

юни 2019

 

 

 

 

Подпис:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Service Image: 
нагоре