ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
НА „ИНТЕРФУДС-БЪЛГАРИЯ" ЕАД
Настоящите Вътрешни правила се издават на основание Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на данните, Закона за защита на личните данни и Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.
Регламент (ЕС) 2016/679 и настоящата политика се прилагат за обработването на лични данни, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни, независимо дали обработването се извършва изцяло или частично с автоматични или друг вид средства (ръчно и на хартиен носител).
„Специални категории лични данни" – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации и обработката на генетични данни, биометричните данни за уникално идентифициране на физическо лице, данни отнасящи се до здравето или данни относно сексуалния живот на физическо лице или сексуална ориентация.
„Обработване" - означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
„Администратор" - всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
„Субект на данните" – всяко живо физическо лице, което е предмет на личните данни съхранявани от Администратора.
„Съгласие на субекта на данните" - всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
„Дете" – Общият Регламент определя дете като всеки на възраст под 16 години. Ако обаче българското законодателство предвижда по-малка възраст за понятието „дете", то тази възраст има приоритет пред посочената в Регламента . Обработката на лични данни на едно дете е законно само, ако родител или попечител е дал съгласие. Администраторът полага разумни усилия, за да провери в такива случаи, че притежателят на родителската отговорност за детето е дал или упълномощен да даде съгласието си.
„Нарушение на сигурността на лични данни" - нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
„Основно място на установяване " – седалището на администратора в ЕС ще бъде мястото, в което той взема основните решения за целта и средствата на своите дейности по обработване на данни. По отношение на обработващия лични данни основното му място на установяване в ЕС ще бъде неговият административен център.
„Получател" - физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели"; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
„Трета страна" – всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
Администратор на лични данни е „Интерфудс България" ЕАД, ЕИК 175114245, със седалище и адрес на управление: гр. София, бул. „Христофор Колумб" № 57,
Контакти: тел.: 02 / 817 10 10,
и-мейл: gdpr@interfoodsbg.com
Контакти: тел: 02 / 817 10 10 , и-мейл: gdpr@interfoodsbg.com
В съответствие с Общия регламент към тази политика са описани и други релевантни документи, както и свързани процеси и процедури.
Регламент (ЕС) 2016/679 и тази Политика се отнасят до всички функции по обработването на лични данни, включително тези, които се извършват относно лични данни на клиенти, служители, доставчици и партньори.
Отговорното лице по защита на данните отговаря за преразглеждането на „Регистъра на дейностите по обработване" ежегодно в съответствие с всякакви промени в дейностите на Дружеството, както и всички допълнителни изисквания, оценки на въздействието върху защитата на данните. Този регистър е на разположение по искане на надзорния орган.
Тази политика се прилага за всички служители/работници, клиенти, доставчици, партньори, логистични дружества, с които Дружеството работи и чрез които осъществява своята дейност.
Партньори и трети лица, които работят с или за Дружеството, както и тези, които имат или могат да имат достъп до личните данни, са длъжни да се запознаят, разбират и да се съобразяват с тази политика. Никоя трета страна не може да има достъп до лични данни, съхранявани от Дружеството без предварително да е сключила споразумение за поверителност на данните, което налага на третата страна задължения, не по-малко обременяващи от тези, които Дружеството е поело и което дава право на същото да извършва проверки на спазването на наложените със споразумението задължения.
Висшето ръководство и всички членове на управителните органи на Дружеството са отговорни за разработване и насърчаване на добри практики в областта на обработване на информация в Дружеството.
Отговорното лице по защита на данните е служител на Дружеството и се отчита пред Съвета на директорите на Дружеството за управлението на личните данни в рамките на организацията и за гарантирането на възможността за доказване на съответствието със законодателството за защита на данните и добрите практики.
Тази отчетност на отговорното лице включва:
ОЛЗД има специфични отговорности по отношение на процедури за управление на исканията от субектите и са контактна точка за служителите на администратора, които искат разяснения по всеки аспект на спазването на защитата на данните.
Спазването на законодателството за защита на данните е отговорност на всички служители на Дружеството, които обработват лични данни.
Добросъвестно - администраторът на лични данни предостави определена информация на субектите на данни, доколкото това е практически възможно. Това важи независимо дали личните данни са получени директно от субектите на данни или от други източници.
Прозрачно – Дружеството включва правила относно предоставяне на информация, комуникация и условия за упражняването на правата на субекта на данни, осигурява информация и достъп до лични данни на субектите на обработваните лични данни в разбираема форма, като използва ясен и разбираем език.
Личните данни в Дружеството се събират само за конкретни, изрично указани и законни цели. Личните данни не се използват за цел, която се различава от долупосочените цели. Процедура за прозрачност при обработката на лични данни определя съответните правила.
Дружеството обработва лични данни за целите на:
Дружеството обработва лични данни на основание договор в случаите, когато обработва лични данни за целите на сключване на договор със свои клиенти за продажба на стоки, сключване на дистрибуторски договор, трудови договори със свои служители и сключване на граждански договори за изпълнение на определена работа, договори с логистични дружества, договори за правни и консултантски услуги.
Дружеството обработва лични данни по закон в случаите на изготвяне на фактури, обработване на документи към НАП и НОИ във връзка с трудови правоотношения, административни и данъчни задължения на Дружеството и др.
Дружеството обработва лични данни на основание дадено съгласие в случаите на предоставяне на лични данни на трето обработващо данните лице от името на Дружеството, при директен маркетинг на стоки и онлайн игри, организирани от Дружеството във връзка с продуктите, които предлагат и продават.
Отговорникът по защита на личните данни преглежда ежегодно способите за събиране на лични данни, за да се гарантира, че събраните данни и тези, които предстои да се съберат ще бъдат адекватни, релевантни и не са прекомерни – събрани са минимално количество необходими лични данни за изпълнение на целите за обработване на лични данни в Дружеството.
Администраторът следи обработваните лични данни да бъдат точни, актуализирани и полага необходимите усилия, за да е възможно незабавно (в рамките на възможните технически решения) изтриване или коригиране. Личните данни, обработвани и съхранявани от администратора, се преглеждат и актуализират на всеки 6 (шест) месеца. Данни, които не са точни, не се съхраняват.
Субектът на данни декларира, че личните данни, които предава за съхраняване, са точни и актуални към датата на подаване. Служителите, работниците, клиентите и други дружества – контрагенти са задължени да уведомят Дружеството в случай на промени в обстоятелствата относно представляващ, негов адрес, адрес на физическо лице. В този случай Дружеството актуализира регистъра по обработвания незабавно след уведомяването за промени.
На всеки 6 (шест) месеца се преглеждат сроковете за съхранение на всички лични данни, обработвани от Дружеството, като се позовава на инвентаризацията на данните и идентифицира всички данни, които вече не се изискват в контекста на регистрираната цел. Тези данни надлежно се унищожават в съответствие с процедурите и правилата на Дружеството.
Продължителността на съхранение на лични данни зависи от целите на обработване им, за които са събрани.
Дружеството унищожава личните данни след определения срок на съхранение съгласно приета процедура за унищожение.
С това не се засяга правото на Дружеството да обработва други лични данни, когато това задължение произтича по закон или когато общественият интерес налага това.
Процес на подбор за работа
Личните данни на кандидатите за работа се обработват само за административни цели (при извършване на подбора).
За съгласие на кандидата се счита предаването на въпросника, попълнен от кандидата преди подписването на трудовия договор, или попълване на формуляр и предаване на Дружеството. За съгласие на кандидата за работа за обработването на личните му данни се счита и предоставеното от него по законоустановения ред съгласие за обработка на личните му данни на Бюрото по труда при Министерство на труда и социалната политика на Република България, агенциите по заетостта или уеб порталите за търсене на работа, с които дружеството има договор за услуги. Дружеството информира кандидатите за работа за обработката на техните лични данни за целите на вътрешната администрация на служителите и за други цели, определени в този правилник.
Кандидадът за работа има право да не дава своето съгласие за обработката на личните му данни, без да посочва причината за това. В този случай компанията трябва незабавно да прекрати обработката на личните данни на това лице.
Личните данни на кандидатите за работа ще се съхраняват до приключване на процеса на набиране на персонал. След приключване на подбора на персонала данните на кандидата ще бъдат обработвани само с неговото предварително съгласие и само за периода, посочен в съгласието, но във всички случаи не по-дълъг от 3 години.
В този случай по отношение на обработващите лични данни се прилагат разпоредбите на Регламент 2016/679, Закона за защита на личните данни, вътрешните правилници и други задължителни правни разпоредби.
Субектът на данни има следните права:
Субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него и ако това е така субектът на данни има право да получи достъп до данните и следната информация:
Електронните писма и другите средства за комуникация могат да бъдат проверявани, за да се гарантира тяхната сигурност, прехвърляне на функции, уреждане на спорове, защита на материалните и неимуществените интереси на Дружеството, защита на поверителната информация на Дружеството и в други законни случаи.
Дружеството е извършило оценка на риска съгласно Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, като е извършило анализ на операциите по обработване и целите на обработване, основанията за обработване на лични данни, необходимостта и пропорционалността на операциите по обработване по отношение на целите, оценка на рисковете за правата и свободите на субектите на данни, мерките, предвидени за справяне с рисковете, мерките за сигурност и механизми за осигуряване на защита на личните данни, като са взети предвид правата и законните интереси на субекта на данни. В резултат на анализите Дружеството има нисък риск за случайно или неправомерно разкриване или загуба при обработването на лични данни, което би могло да доведе до физически, материални или нематериални вреди, поради което не следва да се извършва оценка на въздействие.
Администраторът прави преценка дали е необходимо да се уведоми надзорния орган за нарушението. Съгласно Регламента не е необходимо да се изпраща уведомление, ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. За целта Администраторът извършва оценка на въздействието на нарушението .
Ако установи, че съществува риск за правата и свободите на субектите на данни, Администраторът уведомява надзорния орган за нарушението на сигурността на личните данни без ненужно забавяне и не по-късно от 72 часа след като е узнал за него. В случай че уведомлението не е направено в рамките на 72 часа, Отговорникът по защита на данните на „ИНТЕРФУДС-БЪЛГАРИЯ" ЕАД уведомява надзорния орган при първа възможност, като към уведомлението в допълнение излага причините за забавянето.
Администраторът „ИНТЕРФУДС-БЪЛГАРИЯ" ЕАД документира в Регистър на нарушенията всички нарушения на сигурността на личните данни, като посочва отнасящите се до тях факти, последиците и предприетите мерки за смекчаване на тяхното въздействие.
Дружеството оценява нивото на риска за лицата, свързани с обработването на личните им данни. Когато вид обработване може да доведе до висок риск за правата и свободите на физическите лица, по-специално с използване на нови технологии и като се вземат предвид естеството, обхвата, контекста и целите на обработването, преди да пристъпи към обработване Дружеството следва да извърши оценка на въздействието на предвидените операции по обработване върху защитата на личните данни.
НА „ИНТЕРФУДС-БЪЛГАРИЯ" ЕАД
Настоящите Вътрешни правила се издават на основание Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на данните, Закона за защита на личните данни и Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.
Регламент (ЕС) 2016/679 и настоящата политика се прилагат за обработването на лични данни, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни, независимо дали обработването се извършва изцяло или частично с автоматични или друг вид средства (ръчно и на хартиен носител).
- Понятия
„Специални категории лични данни" – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации и обработката на генетични данни, биометричните данни за уникално идентифициране на физическо лице, данни отнасящи се до здравето или данни относно сексуалния живот на физическо лице или сексуална ориентация.
„Обработване" - означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
„Администратор" - всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
„Субект на данните" – всяко живо физическо лице, което е предмет на личните данни съхранявани от Администратора.
„Съгласие на субекта на данните" - всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
„Дете" – Общият Регламент определя дете като всеки на възраст под 16 години. Ако обаче българското законодателство предвижда по-малка възраст за понятието „дете", то тази възраст има приоритет пред посочената в Регламента . Обработката на лични данни на едно дете е законно само, ако родител или попечител е дал съгласие. Администраторът полага разумни усилия, за да провери в такива случаи, че притежателят на родителската отговорност за детето е дал или упълномощен да даде съгласието си.
„Нарушение на сигурността на лични данни" - нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
„Основно място на установяване " – седалището на администратора в ЕС ще бъде мястото, в което той взема основните решения за целта и средствата на своите дейности по обработване на данни. По отношение на обработващия лични данни основното му място на установяване в ЕС ще бъде неговият административен център.
„Получател" - физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели"; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
„Трета страна" – всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
- Декларация относно политиката по защита на личните данни
Администратор на лични данни е „Интерфудс България" ЕАД, ЕИК 175114245, със седалище и адрес на управление: гр. София, бул. „Христофор Колумб" № 57,
Контакти: тел.: 02 / 817 10 10,
и-мейл: gdpr@interfoodsbg.com
Контакти: тел: 02 / 817 10 10 , и-мейл: gdpr@interfoodsbg.com
В съответствие с Общия регламент към тази политика са описани и други релевантни документи, както и свързани процеси и процедури.
Регламент (ЕС) 2016/679 и тази Политика се отнасят до всички функции по обработването на лични данни, включително тези, които се извършват относно лични данни на клиенти, служители, доставчици и партньори.
Отговорното лице по защита на данните отговаря за преразглеждането на „Регистъра на дейностите по обработване" ежегодно в съответствие с всякакви промени в дейностите на Дружеството, както и всички допълнителни изисквания, оценки на въздействието върху защитата на данните. Този регистър е на разположение по искане на надзорния орган.
Тази политика се прилага за всички служители/работници, клиенти, доставчици, партньори, логистични дружества, с които Дружеството работи и чрез които осъществява своята дейност.
Партньори и трети лица, които работят с или за Дружеството, както и тези, които имат или могат да имат достъп до личните данни, са длъжни да се запознаят, разбират и да се съобразяват с тази политика. Никоя трета страна не може да има достъп до лични данни, съхранявани от Дружеството без предварително да е сключила споразумение за поверителност на данните, което налага на третата страна задължения, не по-малко обременяващи от тези, които Дружеството е поело и което дава право на същото да извършва проверки на спазването на наложените със споразумението задължения.
- Задължения и роли по Регламент (ЕС) 2016/679
Висшето ръководство и всички членове на управителните органи на Дружеството са отговорни за разработване и насърчаване на добри практики в областта на обработване на информация в Дружеството.
Отговорното лице по защита на данните е служител на Дружеството и се отчита пред Съвета на директорите на Дружеството за управлението на личните данни в рамките на организацията и за гарантирането на възможността за доказване на съответствието със законодателството за защита на данните и добрите практики.
Тази отчетност на отговорното лице включва:
- разработване и внедряване на изискванията на РЕГЛАМЕНТ (ЕС) 2016/679 както се изисква от настоящата политика;
- управление на сигурността и риска по отношение на съответствието с политиката.
ОЛЗД има специфични отговорности по отношение на процедури за управление на исканията от субектите и са контактна точка за служителите на администратора, които искат разяснения по всеки аспект на спазването на защитата на данните.
Спазването на законодателството за защита на данните е отговорност на всички служители на Дружеството, които обработват лични данни.
- Принципи за защита на данните
- Личните данни се обработват законосъобразно, добросъвестно и прозрачно
Добросъвестно - администраторът на лични данни предостави определена информация на субектите на данни, доколкото това е практически възможно. Това важи независимо дали личните данни са получени директно от субектите на данни или от други източници.
Прозрачно – Дружеството включва правила относно предоставяне на информация, комуникация и условия за упражняването на правата на субекта на данни, осигурява информация и достъп до лични данни на субектите на обработваните лични данни в разбираема форма, като използва ясен и разбираем език.
- Цели на обработването
Личните данни в Дружеството се събират само за конкретни, изрично указани и законни цели. Личните данни не се използват за цел, която се различава от долупосочените цели. Процедура за прозрачност при обработката на лични данни определя съответните правила.
Дружеството обработва лични данни за целите на:
- Сключване и изпълнение на договор със свои клиенти за продажба на стоки;
- Сключване на дистрибуторски договор;
- Изготвяне на фактури;
- Сключване на трудови договори със свои служители и сключване на граждански договори за изпълнение на определена работа, по-конкретно за всички дейности, свързани със съществуване, изменение и прекратяване на трудовите отношения - за изготвяне на всякакви документи в тази връзка (договори, допълнителни споразумения, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения и др. подобни); за установяване на връзка с работниците и служителите по телефон, за кореспонденция, отнасяща се до изпълнение на трудовите задължения; счетоводната отчетност (изчисляване и изплащане на трудови възнаграждения, данъци и социални осигуровки), както и за пенсионното и здравно осигуряване;
- Сключване на договори с логистични дружества;
- Директен Маркетинг на стоки;
- Онлайн игри, организирани от Дружеството във връзка с продуктите, които предлагат и продават.
- Правно основание
Дружеството обработва лични данни на основание договор в случаите, когато обработва лични данни за целите на сключване на договор със свои клиенти за продажба на стоки, сключване на дистрибуторски договор, трудови договори със свои служители и сключване на граждански договори за изпълнение на определена работа, договори с логистични дружества, договори за правни и консултантски услуги.
Дружеството обработва лични данни по закон в случаите на изготвяне на фактури, обработване на документи към НАП и НОИ във връзка с трудови правоотношения, административни и данъчни задължения на Дружеството и др.
Дружеството обработва лични данни на основание дадено съгласие в случаите на предоставяне на лични данни на трето обработващо данните лице от името на Дружеството, при директен маркетинг на стоки и онлайн игри, организирани от Дружеството във връзка с продуктите, които предлагат и продават.
- Принцип на минимално необходимото
Отговорникът по защита на личните данни преглежда ежегодно способите за събиране на лични данни, за да се гарантира, че събраните данни и тези, които предстои да се съберат ще бъдат адекватни, релевантни и не са прекомерни – събрани са минимално количество необходими лични данни за изпълнение на целите за обработване на лични данни в Дружеството.
- Актуализиране на лични данни
Администраторът следи обработваните лични данни да бъдат точни, актуализирани и полага необходимите усилия, за да е възможно незабавно (в рамките на възможните технически решения) изтриване или коригиране. Личните данни, обработвани и съхранявани от администратора, се преглеждат и актуализират на всеки 6 (шест) месеца. Данни, които не са точни, не се съхраняват.
Субектът на данни декларира, че личните данни, които предава за съхраняване, са точни и актуални към датата на подаване. Служителите, работниците, клиентите и други дружества – контрагенти са задължени да уведомят Дружеството в случай на промени в обстоятелствата относно представляващ, негов адрес, адрес на физическо лице. В този случай Дружеството актуализира регистъра по обработвания незабавно след уведомяването за промени.
На всеки 6 (шест) месеца се преглеждат сроковете за съхранение на всички лични данни, обработвани от Дружеството, като се позовава на инвентаризацията на данните и идентифицира всички данни, които вече не се изискват в контекста на регистрираната цел. Тези данни надлежно се унищожават в съответствие с процедурите и правилата на Дружеството.
- Срок на съхранение
Продължителността на съхранение на лични данни зависи от целите на обработване им, за които са събрани.
- Личните данни, обработвани с цел сключване и изпълнение на договор с клиенти, партньори, логистични дружества, и др., се съхраняват за срока на действие на договора и до 5 години от прекратяване или изтичане срока на действие на договора с оглед защита на легитимните интереси на Дружеството.
- Личните данни, обработвани с цел сключване на трудови договори със свои служители, се съхраняват до изтичане на 3 (три) годишен срок от прекратяване на договора с оглед защита на легитимните интереси на Дружеството.
- Личните данни, необходими за целите на пенсионното осигуряване, се съхраняват след прекратяване на трудовото отношение за срок от 50 години.
- Лични данни, обработвани с цел издаване на счетоводни/финансови документи за осъществяване на данъчно-осигурителен контрол като фактури, дебитни, кредитни известия, приемо-предавателни протоколи и др., се съхраняват в законоустановените срокове.
- Лични данни, обработвани във връзка с Болнични листа, ТЕЛК решения и други документи, свързани с здравословното състояние на служители на Дружеството се съхраняват за срок от 3 години, считано от 01.01. на годината, следваща година на издаване на съответния болничен документ.
- Личните данни, обработвани с цел сключване на граждански договори за изпълнение на определена работа се съхраняват за срока на действие на договора и до 5 години от прекратяване или изтичане срока на действие на договора с оглед защита на легитимните интереси на Дружеството.
- Личните данни, обработвани с цел директен маркетинг на стоки и услуги, се обработват до оттегляне на даденото съгласие от субекта на данни.
- Личните данни, обработвани с цел участие в онлайн игра, се съхраняват за срока на действие на конкретната игра до избирането на победител, предоставянето на награда и прекратяване на конкретната играта.
Дружеството унищожава личните данни след определения срок на съхранение съгласно приета процедура за унищожение.
- Категории лични данни
С това не се засяга правото на Дружеството да обработва други лични данни, когато това задължение произтича по закон или когато общественият интерес налага това.
Процес на подбор за работа
Личните данни на кандидатите за работа се обработват само за административни цели (при извършване на подбора).
За съгласие на кандидата се счита предаването на въпросника, попълнен от кандидата преди подписването на трудовия договор, или попълване на формуляр и предаване на Дружеството. За съгласие на кандидата за работа за обработването на личните му данни се счита и предоставеното от него по законоустановения ред съгласие за обработка на личните му данни на Бюрото по труда при Министерство на труда и социалната политика на Република България, агенциите по заетостта или уеб порталите за търсене на работа, с които дружеството има договор за услуги. Дружеството информира кандидатите за работа за обработката на техните лични данни за целите на вътрешната администрация на служителите и за други цели, определени в този правилник.
Кандидадът за работа има право да не дава своето съгласие за обработката на личните му данни, без да посочва причината за това. В този случай компанията трябва незабавно да прекрати обработката на личните данни на това лице.
Личните данни на кандидатите за работа ще се съхраняват до приключване на процеса на набиране на персонал. След приключване на подбора на персонала данните на кандидата ще бъдат обработвани само с неговото предварително съгласие и само за периода, посочен в съгласието, но във всички случаи не по-дълъг от 3 години.
- Лица, които получават достъп и обработват лични данни от името на Дружеството
- Счетоводители и ТРЗ;
- Консултанти (включително адвокати) на Дружеството;
- Логистични дружества с оглед изпълнение на договорните задължения за доставка на стоки;
- Охранителни фирми;
- Болнични заведения;
- Организатори/администратори на онлайн игри.
В този случай по отношение на обработващите лични данни се прилагат разпоредбите на Регламент 2016/679, Закона за защита на личните данни, вътрешните правилници и други задължителни правни разпоредби.
- Права на субектите на данни
Субектът на данни има следните права:
- Право на достъп на субекта на данните
Субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него и ако това е така субектът на данни има право да получи достъп до данните и следната информация:
- длъжностното лице по защита на данните;
- целите на обработване, правното основание и законните интереси;
- получателите на лични данни;
- срока на съхранение на данните;
- правото да се оттегли предоставено за събиране и обработване на данните съгласие.
- Право на коригиране
- Право на изтриване
- Личните данни повече не са необходими за целите, за които са били събрани или обработвани;
- Субектът на данни оттегля своето съгласие, върху което се основава обработването на данните;
- Субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;
- Личните данни са били обработвани незаконосъобразно;
- Личните данни трябва да бъдат изтрити с цел запазване на правно задължение;
- Личните данни са били събрани във връзка с предлагането на услуги на информационното общество.
- Право на ограничаване на обработването
- Личните данни са неточни;
- Обработването е неправомерно, но субектът на данните желае ограничаване на обработването вместо изтриване;
- Администраторът не се нуждае повече от личните данни на субекта, но субектът ги изисква за установяване, упражняване или защита на правни претенции;
- Субектът на данни е възразил срещу обработването в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данни.
- Право на преносимост
- Право на възражение
- Право на жалба до надзорен орган
- Трансфер на лични данни
- Сигурност на данните. Лица с право на достъп до личните данни
- Средства за комуникация
Електронните писма и другите средства за комуникация могат да бъдат проверявани, за да се гарантира тяхната сигурност, прехвърляне на функции, уреждане на спорове, защита на материалните и неимуществените интереси на Дружеството, защита на поверителната информация на Дружеството и в други законни случаи.
- Технически и организационни мерки за защита на личните данни
- Оценка на риска
Дружеството е извършило оценка на риска съгласно Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, като е извършило анализ на операциите по обработване и целите на обработване, основанията за обработване на лични данни, необходимостта и пропорционалността на операциите по обработване по отношение на целите, оценка на рисковете за правата и свободите на субектите на данни, мерките, предвидени за справяне с рисковете, мерките за сигурност и механизми за осигуряване на защита на личните данни, като са взети предвид правата и законните интереси на субекта на данни. В резултат на анализите Дружеството има нисък риск за случайно или неправомерно разкриване или загуба при обработването на лични данни, което би могло да доведе до физически, материални или нематериални вреди, поради което не следва да се извършва оценка на въздействие.
- Нарушения на сигурността
Администраторът прави преценка дали е необходимо да се уведоми надзорния орган за нарушението. Съгласно Регламента не е необходимо да се изпраща уведомление, ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. За целта Администраторът извършва оценка на въздействието на нарушението .
Ако установи, че съществува риск за правата и свободите на субектите на данни, Администраторът уведомява надзорния орган за нарушението на сигурността на личните данни без ненужно забавяне и не по-късно от 72 часа след като е узнал за него. В случай че уведомлението не е направено в рамките на 72 часа, Отговорникът по защита на данните на „ИНТЕРФУДС-БЪЛГАРИЯ" ЕАД уведомява надзорния орган при първа възможност, като към уведомлението в допълнение излага причините за забавянето.
Администраторът „ИНТЕРФУДС-БЪЛГАРИЯ" ЕАД документира в Регистър на нарушенията всички нарушения на сигурността на личните данни, като посочва отнасящите се до тях факти, последиците и предприетите мерки за смекчаване на тяхното въздействие.
- Регистър по обработванията
Дружеството оценява нивото на риска за лицата, свързани с обработването на личните им данни. Когато вид обработване може да доведе до висок риск за правата и свободите на физическите лица, по-специално с използване на нови технологии и като се вземат предвид естеството, обхвата, контекста и целите на обработването, преди да пристъпи към обработване Дружеството следва да извърши оценка на въздействието на предвидените операции по обработване върху защитата на личните данни.
© 2020 InterFoods Sales & Marketing.
All rights reserved.
Политика За „Бисквитки"
Политика За ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
ОФИЦИАЛНИ ПРАВИЛА НА ПРОМОЦИОНАЛНА КАМПАНИЯ НА IQ И ЖИТЕН ДАР
MADE WITH ❤ BY DIGIHEROES
All rights reserved.
Политика За „Бисквитки"
Политика За ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
ОФИЦИАЛНИ ПРАВИЛА НА ПРОМОЦИОНАЛНА КАМПАНИЯ НА IQ И ЖИТЕН ДАР
MADE WITH ❤ BY DIGIHEROES