ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ПРАВИЛА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
ПРЕДМЕТ
Чл. 1. (1) С настоящите правила (Правилата) се определя редът, по който „Симплификс Студио“ ООД, с ЕИК 205835255 (Дружеството) събира, записва, организира, структурира, съхранява, адаптира или променя, извлича, консултира, използва, разкрива чрез предаване, разпространяване или по друг начин, по който данните стават достъпни, подрежда или комбинира, ограничава, изтрива, унищожава или обработва по друг начин лични данни за целите на своята дейност.
(2) В зависимост от конкретната ситуация Дружеството може да обработва данни в качеството си на администратор или обработващ лични данни.
(3) Правилата са изготвени в съответствие с изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните).
Чл. 2. Тези ПРАВИЛА уреждат:
(1) Принципите, процедурите и механизмите за обработване на лични данни;
(2) Процедурите за уведомяване на надзорния орган в случай на нарушаване на сигурността;
(3) Процедурите за администриране на искания за достъп до данни, коригиране на обработваните данни, възражения и оттегляне на съгласия, както и за администриране на искания за упражняване на други права, които субектите на лични данни имат по закон;
(4) Лицата, които обработват лични данни, и техните задължения;
(5) Правилата за предаване на лични данни на трети страни в България и в чужбина;
(6) Необходимите технически и организационни мерки за защита на личните данни от незаконно обработване и в случай на инциденти, като случайно или незаконно унищожаване, загуба, незаконен достъп, промяна или разпространение;
(7) Техническите средства, използвани при обработката на лични данни.
ОПРЕДЕЛЕНИЯ
Чл. 3. За целите на настоящия правилник използваните термини имат следното значение:
LPPD – Закон за защита на личните данни.
CPDP – Комисия за защита на личните данни.
ОРД – Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните).
Длъжностно лице по защита на данните – физическо лице или организация, определена съгласно изискванията на чл. 37 и следващите. На ORZD.
[или – ако назначаването на длъжностно лице по защита на данните не е задължително – може да се включи следното:
Лице, отговорно за личните данни – лице, което е служител на дружеството или изпълнява функции, от чието име са възложени задълженията, свързани със защитата и обработката на лични данни, регламентирани в настоящите правила.
Основните дейности на администратора или обработващия лични данни не се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни, или в мащабно обработване на специални категории данни и лични данни. с присъди и нарушения. С оглед на това обстоятелство Дружеството няма задължение да назначава длъжностно лице по защита на данните и не следва да се счита, че Дружеството е назначило такова лице или че лицето, което отговаря за личните данни, има задълженията и следва да отговаря на изискванията за лице по смисъла на чл. 37 и сл. От ORZD.]
Администратор на лични данни – физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработване на лични данни. В настоящите правила „администратор“ означава Дружеството.
Обработващ лични данни – лице или организация, която въз основа на договор обработва лични данни, предоставени от Дружеството, за договорените цели.
Известия за защита на данните – отделни известия, съдържащи информация, предоставяна на субектите на данни в момента, в който Дружеството събира информация за тях. Тези известия могат да бъдат както общи (например адресирани до служителите или известия на уебсайта на организацията), така и свързани с обработването за конкретна цел.
Обработка на данни – всяка дейност, свързана с използването на лични данни. Това включва: получаване, записване, съхраняване, извършване на операция или поредица от операции с данни, като например организиране, редактиране, възстановяване, използване, предоставяне, изтриване или унищожаване. Обработката включва и прехвърляне на лични данни на трети страни.
Псевдоидентифициране – замяна на информация, която пряко или косвено идентифицира дадено лице, с един или повече идентификатори („псевдоними“), така че лицето да не може да бъде идентифицирано без достъп до допълнителна информация, която следва да се пази отделно и поверително.
Съгласие – всяко свободно изразено, конкретно, информирано и недвусмислено волеизявление на субекта на данните чрез изявление или ясно потвърждаващо действие, с което се изразява съгласие за обработването на свързаните с него лични данни.
СУБЕКТИ НА ДАННИ И КАТЕГОРИИ ЛИЧНИ ДАННИ
Чл. 4. (1) Дружеството събира и обработва лични данни, необходими за осъществяване на правата и задълженията му като работодател, доставчик на стоки и услуги и изпълнител при спазване на изискванията на действащото законодателство. Личните данни, обработвани от Дружеството, са групирани в регистри на дейностите по обработка, съдържащи правила за обработка на лични данни, свързани с:
- работници и служители и изпълнители по граждански договори;
- кандидати за работа;
- клиенти;
- доставчици на услуги.
(2) За лицата, наети по трудови или граждански правоотношения в Дружеството, и за кандидатите за работа се събират следните лични данни:
- а) Идентификация: име; ЕГН (дата на раждане), постоянен и/или настоящ адрес, телефон, данни от лична карта или паспорт;
- б) Образование и професионално обучение: данни, свързани с образованието, професионалния опит, професионалната и личната квалификация и умения;
- в) Данни за здравословното състояние: здравословно състояние, решения на ТЕЛК, медицински удостоверения, болнични листове и всички придружаващи документи;
- г) Други данни: свидетелство за съдимост, когато представянето му се изисква съгласно нормативен акт, както и други данни, чието обработване е необходимо за изпълнението на правата и задълженията на Дружеството като работодател.
(3) По отношение на физическите лица, клиенти на дружеството, се събират лични данни, които са необходими за изпълнение на законовите задължения на дружеството като доставчик на стоки и услуги, както следва:
- име; ЕГН (дата на раждане), постоянен и/или настоящ адрес, телефон, данни от лична карта или паспорт и електронна поща.
(4) По отношение на физическите лица, доставчици на услуги на дружеството, се съхраняват лични данни, необходими за сключването и изпълнението на договори за предоставяне на услуги на дружеството от външни доставчици, както следва:
- име, ЕГН (дата на раждане), постоянен и/или настоящ адрес, телефонен номер, данни от лична карта или паспорт; имейл.
(5) Дружеството обработва чувствителни данни само доколкото това е необходимо за изпълнението на неговите специфични права и задължения в областта на трудовото и социалноосигурителното законодателство.
ЦЕЛИ И ПРИНЦИПИ НА ОБРАБОТКАТА НА ЛИЧНИ ДАННИ
Чл. 5. Целите на обработката на личните данни са:
(1) управление на човешките ресурси, изплащане на възнаграждения и изпълнение на свързаните с това задължения на работодателя за удържане и внасяне на здравни и социални осигуровки на работниците и служителите, данъци, както и други права и задължения на Дружеството в качеството му на работодател;
(2) управление на отношенията с клиентите на дружеството и предоставяне на стоки и услуги;
(3) сключване и изпълнение на договори с доставчици за предоставяне на стоки и услуги на Дружеството.
Чл. 6. Личните данни се обработват законосъобразно, добросъвестно и прозрачно в съответствие със следните принципи:
(1) Субектът на данните се информира предварително за обработването на личните му данни;
(2) Личните данни се събират за конкретни, точно определени и законосъобразни цели и не се обработват допълнително по начин, несъвместим с тези цели;
(3) Личните данни трябва да съответстват на целите, за които се събират;
(4) Личните данни трябва да бъдат точни и, ако е необходимо, да бъдат актуализирани;
(5) Личните данни се изтриват или коригират, когато се установи, че са неточни или не съответстват на целите, за които се обработват;
(6) Личните данни се съхраняват във вид, който позволява идентифицирането на съответните физически лица за срок, не по-дълъг от необходимото за целите, за които се обработват тези данни.
Чл. 7. За да е законосъобразно обработването на данни, трябва да е изпълнено поне едно от следните условия:
(1) Субектът на данните е дал съгласието си;
(2) Обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
(3) Обработката е необходима за спазването на правно задължение, което се прилага спрямо администратора;
(4) Обработването е необходимо, за да се защитят жизненоважните интереси на субекта на данните или на друго физическо лице;
(5) Обработването е необходимо за изпълнението на задача от обществен интерес;
(6) Обработването е необходимо за целите на легитимните интереси на администратора, освен когато интересите или основните права и свободи на субекта на данните имат предимство пред тези интереси. Целите, за които се обработват лични данни на това основание, трябва да бъдат описани в приложимите известия за защита на данните.
СПОРАЗУМЕНИЕ
Чл. 8. (1) Субектът на данните се съгласява с обработването, ако изрази това ясно и недвусмислено – чрез изявление или друг потвърждаващ акт. Ако съгласието за обработване на лични данни е дадено чрез документ, който урежда други въпроси, то следва да се изисква отделно от съгласието по други въпроси.
(2) Субектите на данни трябва да могат лесно да оттеглят съгласието си за обработване по всяко време, а оттеглянето трябва да се спазва своевременно. Ако няма друго условие за законосъобразността на обработването, то следва да бъде прекратено с оттеглянето на съгласието.
(3) Декларациите за съгласие се съхраняват от дружеството, докато се извършват действия по обработване на данни на това основание, с оглед спазване на принципа на отчетност.
ПРОЦЕДУРИ ЗА ОБРАБОТКА НА ЛИЧНИ ДАННИ
Процедура за обработване на лични данни, свързани с лица, наети по трудово или гражданско правоотношение в дружеството, както и с кандидати за работа
Чл. 9. (1) Личните данни, отнасящи се до лицата, наети по трудово или гражданско правоотношение в Дружеството, както и до кандидатите за работа, се събират по време и по повод набирането на персонал. Данните на всеки служител на Дружеството се съхраняват в лични досиета, а някои данни могат да се съхраняват или обработват на технически носител. Данните от проведените конкурси и интервюта се съхраняват на технически и/или хартиени носители в зависимост от необходимостта.
(2) Личните досиета се подреждат в специални шкафове със заключване, които се намират в офиса на лицето, отговорно за личните данни. Данните на кандидатите за работа, които се съхраняват на хартиен носител, се съхраняват в специални шкафове в офиса на лицето, отговарящо за личните данни. Достъпът до офиса се осигурява само на лицата, оправомощени да обработват лични данни, като за целта се създава специален ред за влизане в помещението с помощта на ключ, магнитна карта или друго подходящо средство и/или устройство.
(3) Лицата, оправомощени да обработват лични данни, предприемат всички организационни и технически мерки за съхранение и защита на личните досиета и папки с информация, включително ограничаване на достъпа до тях на външни лица и неоправомощени служители.
(4) Досиетата на работниците и служителите, както и данните на кандидатите за работа, не се изнасят извън сградата на дружеството.
Процедура за обработка на лични данни, свързани с клиенти и доставчици на стоки и/или услуги
Чл. 10. (1) Личните данни, отнасящи се до клиенти, се събират при подаване на заявка за предоставяне на стоки или услуги или при сключване на договор с клиент на Дружеството.
(2) Личните данни, отнасящи се до доставчиците на стоки и/или услуги, се събират при сключване на договор със съответния доставчик, като обикновено личните данни се съдържат в текста на самите договори.
(3) Личните данни се съхраняват на електронен и хартиен носител (подписани копия на сключените договори), които се класифицират в отделни досиета. Досиетата се съхраняват в заключващи се шкафове в офиса на лицето, отговарящо за личните данни. Електронните данни се съхраняват в бази данни.
ДОКУМЕНТИРАНЕ НА ОБРАБОТКАТА НА ЛИЧНИ ДАННИ
Чл. 11. (1) Дружеството документира дейностите по обработване на лични данни в съответствие с принципа на докладване.
(2) Документацията трябва да е достатъчна, за да докаже спазването на принципите за законосъобразно обработване на лични данни.
(3) Обработката на данни, свързана с предаването на данни на обработващи лични данни, установени в страната или в чужбина; съхраняването на данни на сървъри, собственост на трети лица; архивирането или изтриването на данни; въвеждането на псевдонимизация, както и всяка друга обработка, чиито параметри са различни от описаните в настоящите правила, се документира чрез създаване на протоколи, които съдържат следната информация:
- (а) целите на обработката;
- (б) категориите лични данни и категориите субекти на данни;
- (в) категориите получатели, на които личните данни са или ще бъдат разкрити, включително получатели в трети държави;
- (г) прехвърлянето на лични данни в трета държава;
- (д) когато е възможно, сроковете, предвидени за заличаване на различните категории данни;
(е) общо описание на техническите и организационните мерки за сигурност.
(4) Протоколите се изготвят от лицата, които извършват съответното обработване на данни, съгласно указанията на лицето, отговорно за личните данни.
(5) Комплектът от всички протоколи, съдържащи гореописаната информация, представлява регистър на дейностите по обработване съгласно чл. 30 от ОРЗД.
МЕРКИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Технически мерки
Чл. 12. (1) Всички помещения, в които се съхраняват и обработват лични данни, трябва да имат контрол на достъпа. Възможните технически средства за контрол на достъпа са:
- сигурност на помещенията;
- устройства за разпознаване на магнитни карти и/или ключове;
- политика за допускане на външни лица в помещенията на компанията само с придружител от персонала на компанията.
(2) Помещенията на дружеството трябва да бъдат надеждно обезопасени чрез противопожарни мерки съгласно българското законодателство.
Мерки за защита на документите
Чл. 13. (1) Дружеството установява процедури за обработване на лични данни, регулиране на достъпа до данните, процедури за унищожаване и срокове за съхранение, подробно описани в настоящите правила. За някои категории данни може да се предвиди псевдонимизация по предложение на лицето, което отговаря за личните данни.
(2) Размножаването и разпространението на документи или файлове, съдържащи лични данни, се извършва само и единствено от упълномощени служители в случай на необходимост.
Мерки за лична защита
Чл. 14. (1) Преди да заемат съответната позиция, лицата, които извършват защита и обработване на личните данни:
- поемат задължение да не разкриват личните данни, до които имат достъп;
- да се запознаете с правната рамка, вътрешните правила и политиките на компанията по отношение на защитата на личните данни;
- преминават обучение за реакция при събития, застрашаващи сигурността на данните;
- са били инструктирани за опасностите, свързани с личните данни, обработвани от дружеството;
- се задължават да не споделят критична информация помежду си и с външни лица, освен в съответствие с процедурата, установена в настоящия правилник.
(2) При постъпване на работа всички служители преминават обучение за реакция при събития, застрашаващи сигурността на данните, както и обучение относно задълженията на дружеството, свързани с обработването на лични данни, и мерките за защита на данните, които трябва да бъдат предприети по време на работа. . Периодично се провеждат последващи обучения и тренировки на персонала, за да се гарантира познаването на разпоредбите, потенциалните рискове за сигурността на данните и мерките за тяхното намаляване.
Мерки за защита на автоматизираните информационни системи и криптографска защита
Чл. 15. (1) Достъп до операционната система, съдържаща файлове с лични данни, имат само лицата, чиито служебни задължения или конкретно възложена задача налагат такъв достъп. Достъпът се осъществява чрез парола.
(2) Електронните бази данни са защитени с логически средства за защита, като антивирусна програма, която се актуализира автоматично, защитни стени и др.
(3) Архивирането на личните данни на технически носител се извършва периодично с цел съхраняване на информацията.
Чл. 16. (1) Защитата на електронните данни от незаконен достъп, повреждане, загуба или унищожаване, извършени умишлено от лице или в случай на технически неизправности, аварии, злополуки, бедствия и др., се осигурява чрез
- въвеждане на пароли за компютри, които осигуряват достъп до лични данни и файлове, които съдържат лични данни;
- антивирусни програми, проверява за нелегално инсталиран софтуер;
- периодични проверки на целостта на базата данни и актуализиране на системната информация, поддръжка на системата за достъп до данни;
- периодично архивиране на данни на технически носители, поддържане на информация на хартиен носител (архивни копия).
(2) Лицето, отговорно за личните данни, периодично докладва на ръководството на дружеството за предприетите мерки за гарантиране на нивото на сигурност при обработването на лични данни.
НАРУШЕНИЯ НА СИГУРНОСТТА
Чл. 17. (1) Лицата, които са установили признаци на нарушаване на сигурността на данните, са длъжни незабавно да докладват на лицето, което отговаря за личните данни, като му предоставят цялата налична информация.
(2) Лицето, отговорно за личните данни, незабавно извършва проверка по подадения сигнал, като се опитва да установи дали е извършено нарушение на сигурността и кои данни са засегнати.
(3) Лицето, отговорно за личните данни, незабавно докладва на партньорите в Дружеството наличната информация за нарушението на сигурността, включително информация за естеството на инцидента, времето на установяването му, вида на щетите, предприетите към момента мерки и мерките трябва да бъдат предварително приети.
(4) След съгласуване с ръководството на дружеството лицето, отговорно за личните данни, предприема мерки за предотвратяване или намаляване на последиците от нарушението и възможностите за възстановяване на данните.
(5) В случай на спешност, когато съгласуването с ръководството би забавило реакцията и би причинило големи вреди, лицето, отговорно за личните данни, може по своя преценка да предприеме мерки за предотвратяване или намаляване на последиците от нарушението на сигурността. В този случай лицето, което отговаря за личните данни, незабавно уведомява ръководството за предприетите мерки и изпълнява получените инструкции.
Чл. 18. (1) В случай че пробивът в сигурността създава вероятност за риск за правата и свободите на физическите лица, чиито данни са засегнати, и след одобрение от ръководството на дружеството, Лицето, отговорно за личните данни, организира уведомяването на КЗЛД.
(2) Уведомяването на КЗЛД се извършва без ненужно забавяне, а когато това е възможно – не по-късно от 72 часа след първоначалното узнаване на нарушението.
(3) Уведомлението до CPDP трябва да съдържа следната информация:
- (а) описание на нарушението на сигурността; категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителният брой на засегнатите записи на лични данни;
- (б) името и данните за контакт на администратора на данни;
- (в) описание на възможните последици от нарушението на сигурността;
- (г) описание на предприетите или предложените мерки за справяне с нарушението на сигурността, включително мерки за намаляване на неблагоприятните последици.
(4) Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, лицето, отговорно за личните данни, уведомява без ненужно забавяне и в съответствие с приложимото законодателство засегнатите физически лица.
Чл. 19. (1) Дружеството води регистър на нарушенията на сигурността, който съдържа следната информация:
- (а) датата, на която е установено нарушението;
- (б) описание на нарушението – източник, вид и обхват на съответните данни, причина за нарушението (ако е приложимо);
- (в) описание на извършените уведомления: уведомяване на КЗЛД и на засегнатите лица, ако има такива;
- (г) предприетите мерки за предотвратяване и ограничаване на отрицателните последици за субектите на данни и за Дружеството;
- (д) мерки, предприети за ограничаване на възможността за последващи нарушения на сигурността.
(2) Регистърът се води в електронен формат от лицето, което отговаря за личните данни.
ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ СТРАНИ
Чл. 20. (1) При необходимост дружеството може да предоставя лични данни на трети лица, действащи като обработващ лични данни, въз основа на изричен договор.
(2) В случаите на предоставяне на данните на служители, клиенти или доставчици на стоки и/или услуги на обработващ лични данни, Дружеството:
- (а) изисква от обработващия лични данни достатъчни гаранции за спазване на правните изисквания и добрите практики за обработване и защита на личните данни;
- (б) сключва писмено споразумение или друг правен акт с идентично действие, който урежда задълженията на обработващия лични данни и отговаря на изискванията на чл. 28 от Регламент (ЕС) 2016/679;
- (в) информира физическите лица, чиито данни ще бъдат предоставени на обработващия лични данни.
(3) Обработването на лични данни от обработващи лични данни извън ЕС/ЕИП е допустимо само когато:
- (а) Европейската комисия е приела решение, с което потвърждава, че държавата, в която се извършва предаването, осигурява адекватно ниво на защита на правата и свободите на субектите на данни;
- (б) налице са подходящи предпазни мерки – като например задължителни корпоративни правила (ЗКП), стандартни договорни клаузи, одобрени от Европейската комисия, одобрен кодекс за поведение или механизъм за сертифициране;
- (в) субектът на данните е дал изричното си съгласие за предаването, след като е бил информиран за възможните рискове, или
- (г) предаването е необходимо за една от целите, изброени в ОРЗД, включително изпълнението на договор със субекта, защитата на обществения интерес, установяването и защитата на правни спорове, защитата на жизненоважните интереси на субекта на данните в случаите, когато той е физически или юридически неспособен да даде съгласие.
ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ЗАЩИТАТА НА ДАННИТЕ
Чл. 21. (1) Оценката на въздействието се извършва, когато това се изисква от действащото законодателство и с оглед на риска за физическите лица и естеството на обработването на лични данни, извършвано от Дружеството. Оценката на въздействието се извършва за високорискови дейности по обработване.
(2) Оценка на въздействието е необходима при всяко въвеждане на ключова система или промяна на бизнес програма, която е свързана с обработването на лични данни, включително:
- първоначалното въвеждане на нови технологии или преминаването към нови технологии;
- автоматизирано обработване, включително профилиране или автоматизирано вземане на решения;
- мащабно обработване на чувствителни лични данни;
- широкомащабно, систематично наблюдение на обществена зона.
(3) За оценката се съставя протокол, който се предоставя при поискване от КЗЛД.
УНИЩОЖАВАНЕ НА ДАННИ
Чл. 22. (1) Унищожаването на лични данни се извършва от Дружеството или от изрично упълномощено лице, без да се засягат правата на лицата, за които се отнасят данните, подлежащи на унищожаване, в съответствие с разпоредбите на съответните нормативни актове.
(2) Информацията в регистрите се унищожава след постигане на целите на обработката и при отпадане на необходимостта от съхранение.
(3) Унищожаването на данни върху хартия се извършва чрез нарязване с шредер или изгаряне. Електронните данни се изтриват от електронната база данни по начин, който не позволява възстановяването на информацията.
ЛИЦА, ОТГОВОРНИ ЗА СЪБИРАНЕТО, ОБРАБОТКАТА И СЪХРАНЕНИЕТО НА ЛИЧНИ ДАННИ И ЗА ДОСТЪПА ДО ЛИЧНИ ДАННИ.
Чл. 23. Лицето, което отговаря за личните данни, и лицата, които обработват лични данни от името на дружеството, са физически лица с необходимата компетентност и са назначени със съответен писмен акт, включително чрез настоящите правила.
Чл. 24. Лицето, което отговаря за личните данни:
- съдейства на Дружеството и на лицата, обработващи лични данни, при изпълнение на задълженията им за защита на личните данни, като осигурява прилагането и поддържането на необходимите технически и организационни мерки и средства за осъществяване на защитата на данните;
- осигурява нормалното функциониране на гореспоменатите системи за защита;
- контролира целия процес на събиране и обработка на данни;
- изпълнява всички задължения за докладване и управление на нарушения на сигурността на данните;
- периодично изисква информация от лицата, обработващи лични данни, във връзка с тяхното събиране, достъп и обработка;
- уведомява своевременно Дружеството за всички нередности, установени във връзка с изпълнението на неговите задължения;
- унищожава данните от хартиените и техническите носители в съответствие със закона и условията, установени в настоящите правила;
- повторно упълномощава физически или юридически лица с писмен акт за защита на личните данни.
Чл. 25. (1) Събирането, обработването, съхраняването и защитата на личните данни се извършва само от лица, на които това е изрично указано и чиито служебни задължения или конкретно възложена задача налагат това.
(2) При възлагане на дейности, изискващи обработване на лични данни от регистрите на дружеството, доставчиците на услуги спазват приложимите нормативни изисквания относно обработването на личните данни и процедурите по чл. 19 от настоящите правила.
(3) Достъп до личните данни могат да имат и съответните държавни органи – съд, следствие, прокуратура, одитни органи и др. Горепосочените лица могат да поискат данните своевременно във връзка с упражняването на своите правомощия.
ПРАВА НА СУБЕКТИТЕ НА ДАННИ
Чл. 26. (1) Всяко лице има право да поиска достъп до личните си данни, включително да поиска потвърждение дали данните, отнасящи се до него, се обработват, да бъде информирано за целите на това обработване, за категориите данни и за получателите на данните, както и за целите на всяко обработване на лични данни, свързани с него.
(2) Правото на достъп се упражнява чрез искане на засегнатото физическо лице, получено на адреса на седалището на Дружеството или на официалната електронна поща.
(3) Всяко физическо лице има право да поиска изтриване, коригиране или блокиране на личните му данни, чието обработване не отговаря на изискванията на закона.
(4) Всяко лице има право да възрази писмено срещу обработването и/или предоставянето на трети страни на неговите лични данни без необходимите правни основания.
(5) Дружеството е длъжно в двуседмичен срок от получаване на искането по предходните алинеи да уведоми заявителя дали са налице правни основания за уважаване на искането. Ако Дружеството установи, че са налице правни основания за удовлетворяване на искането, то уведомява лицето за реда, по който то може да упражни правото си.
(6) Субектите на данни имат също така право на:
- да оттеглят съгласието си за обработка по всяко време;
- да възразяват срещу използването на личните им данни за целите на директния маркетинг;
- да поискат информация за основанието, на което личните им данни са били предоставени за обработване от обработващ лични данни извън ЕС/ЕИП;
- да възразите срещу решение, взето изцяло въз основа на автоматизирана обработка, включително профилиране;
- да бъдат информирани за нарушение на защитата на данните, което може да доведе до висок риск за техните права и свободи;
- да подават жалби до регулаторния орган;
- в някои случаи да получат или да поискат личните им данни да бъдат предадени на трета страна в структуриран, широко използван формат, подходящ за машинно четене (право на преносимост).
ПРОМЕНИ ВЪВ ВЪТРЕШНИТЕ ПРАВИЛА
Чл. 27. Дружеството може да променя тези Правила по всяко време. Всички промени трябва да се съобщават незабавно на заинтересованите лица.
Настоящият правилник се приема и влиза в сила от датата на подписването му.
София, 18 ноември 2021 г.
Симеон Ненов
Управител на Simplifix Studio OOD