ПОЛИТИКА  ПО ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

Home ПОЛИТИКА  ПО ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

ПОЛИТИКА  ПО ЗАЩИТА НА ЛИЧНИТЕ ДАННИ НА ПРАГМАТИК ООД

 

1       Въведение

В ежедневните си бизнес операции ПРАГМАТИК ООД използва различни данни за идентифициране на лица, включително данни за:

  • Настоящи, бивши и бъдещи служители
  • Клиенти
  • Потребители на уебсайтове
  • Абонати
  • Други заинтересовани страни

 

При събирането и използването на тези данни организацията е подчинена на различни законодателни актове, които контролират начина, по който тези дейности могат да се извършват и предпазните мерки, които трябва да бъдат въведени, за да се защитят.

 

Целта на тази политика е да изложи съответното законодателство и да опише стъпките, които ПРАГМАТИК ООД е предприело, за да гарантира, че е в съответствие с него.

 

Този контрол се прилага за всички системи, хора и процеси, които съставляват информационните системи на организацията, включително собственици, управител, служители, доставчици и други трети страни, които имат достъп до системите на ПРАГМАТИК ООД.

2       Политика за защита на данните

2.1      Общ регламент за защита на данните

Общият регламент за защита на данните 2016 г. (GDPR) е един от най-важните законодателни актове, засягащи начина, по който ПРАГМАТИК ООД извършва своите дейности по обработка на информация. Значителни глоби се прилагат, ако се приеме, че е възникнало нарушение съгласно GDPR, което е предназначено да защитава личните данни на гражданите на Европейския съюз. Политиката на ПРАГМАТИК ООД е да гарантира, че спазване на GDPR и други съответни законодателни актове е ясно и демонстрирано по всяко време.

2.2      Дефиниции

В рамките на GDPR са изброени общо 26 дефиниции и не е уместно те да бъдат възпроизведени тук. Най-фундаменталните определения по отношение на тази политика обаче са следните:

 

Личните данни се дефинират като:

„всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице“;

Обработване означава:

„всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване“;

Администратор означава:

„физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии  за неговото определяне могат да бъдат установени в правото на Съюза или в правото  на държава членка“.

 

2.3      Принципи, свързани с обработването на лични данни

 

Съществуват редица фундаментални принципи, на които се основава GDPR.

 

Те са, както следва:

  1. Личните данни:
  2. a) обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

б) събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък  по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно член 89, параграф 1, за несъвместимо с първоначалните цели („ограничение на целите“);

в) подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

г) точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);

д) съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в настоящия регламент с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);

е) обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);

 

  1. Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“).

 

ПРАГМАТИК ООД ще гарантира, че спазва всички тези принципи, както в обработването, което извършва понастоящем, така и като част от въвеждането на нови методи за обработване, като например новите информационни системи.

 

2.4      Правата на лицата

 

Субектът на данните също има права съгласно GDPR. Те се състоят от:

  1. Право на информация
  2. Право на достъп
  3. Право на коригиране
  4. Право на изтриване
  5. Право да се ограничи обработването
  6. Право на преносимост на данни
  7. Право на възражение
  8. Права във връзка с автоматизираното вземане на решения и профилиране.

 

Всяко от тези права се подкрепя от подходящи процедури в рамките на ПРАГМАТИК ООД, които позволяват да се предприемат необходимите действия в сроковете, посочени в GDPR.

 

Тези срокове са показани в таблица 1.

Предмет на искане Времева рамка
Право да бъдеш информиран Когато се събират данни (ако са предоставени от субекта на данни) или в рамките на един месец (ако не са предоставени от субекта на данните)
Право на достъп Един месец
Право на коригиране Един месец
Право на заличаване Без неоснователно забавяне
Право да се ограничи обработка Без неоснователно забавяне
Право на преносимост на данните Един месец
Право на възражение При получаване на възражение
Права във връзка с автоматизираното вземане на решения и профилиране Неопределено

 

Таблица 1

 

2.5      Законосъобразност на обработването

Съществуват шест алтернативни начина, по които законосъобразността на конкретен случай на обработване на лични данни може да бъде установена в рамките на GDPR. Политиката на ПРАГМАТИК ООД е да идентифицира подходящата база за обработване и да я документира в съответствие с регламента. Опциите са описани накратко в следващите раздели.

2.5.1    Съгласие

Освен ако не е необходимо поради допустима причина в GDPR, ПРАГМАТИК ООД винаги ще получи изрично съгласие от субекта на данни да събира и обработва данните. В случай на деца под 16-годишна възраст (по-ниска възраст може да бъде допустима в конкретни държави-членки на ЕС), ще бъде получено съгласието на родителите. Прозрачна информация за използването на личните данни ще бъде предоставена на субектите на данни в момента, в който се получи съгласието им и обяснени техните права по отношение на техните данни, като например правото да се оттегли съгласието. Тази информация ще бъде предоставена в достъпна форма, написана на ясен език и без заплащане.

Ако личните данни не се получават директно от субекта на данните, то тази информация ще бъде предоставена на субекта на данни в разумен срок след получаване на данните и определено в рамките на един месец.

2.5.2    Изпълнението на договор

Когато събраните и обработени лични данни са изисквани за изпълнение на договор с лицето, за което се отнасят данните, не се изисква изрично съгласие. Това често се случва, когато договорът не може да бъде изпълнен без въпросните лични данни, напр. доставката не може да бъде извършена без адрес, на който да бъде доставена.

2.5.3    Законово задължение

Ако се изисква да се събират и обработват личните данни, за да се спази законът, не се изисква изрично съгласие. Това може да е случаят с някои данни, свързани например с трудовата заетост и данъчното облагане, и за много области, засегнати от публичния сектор.

2.5.4    Жизненоважни интереси на субекта на данните

В случаите, когато личните данни са необходими за защита на жизненоважните интереси на субекта на данните или на друго физическо лице, това може да се използва като законна основа за обработване. ПРАГМАТИК ООД ще запази разумни, документирани доказателства, че това е така, когато тази причина се използва като основателна основа за обработване на лични данни. Като пример, това може да се използва в аспектите на социалните грижи, особено в обществения сектор.

2.5.5    Задача, изпълнявана в обществен интерес

Когато ПРАГМАТИК ООД трябва да изпълни задача, за която счита, че е в обществен интерес или като част от служебно задължение, съгласието на субекта на данните няма да бъде поискано. Оценката на обществения интерес или на служебното задължение ще бъде документирана и предоставена като доказателство при необходимост.

2.5.6    Законни интереси

Ако обработването на конкретни лични данни е в законните интереси на ПРАГМАТИК ООД и се прецени, че това не засяга съществено правата и свободите на субекта на данните, това може да се определи като законна причина за обработването. Отново, аргументите зад този възглед ще бъдат документирани.

2.6    Планирана защита на личните данни

ПРАГМАТИК ООД е приела принципа на неприкосновеност и гарантира, че определянето и планирането на всички нови или значително променени системи, които събират или обработват лични данни, ще бъдат обект на надлежно отчитане на въпросите, свързани с поверителността, включително завършването на една или повече оценки на въздействието върху защитата на данните.
Оценката на въздействието за защита на данните ще включва:
• Разглеждане как ще се обработват личните данни и за какви цели;
• Оценка дали предложеното обработване на лични данни е необходимо и пропорционално на целта (целите);
• Оценка на рисковете за физическите лица при обработването на личните данни;
• Какви контролни механизми са необходими за преодоляване на установените рискове и за доказване на спазването на законодателството.
Използването на техники като минимизиране на данните и псевдонимизиране ще се обсъжда, когато е приложимо и подходящо.

2.7      Договори, включващи обработване на лични данни

ПРАГМАТИК ООД гарантира, че всички свързани с нея взаимоотношения, които включват обработване на лични данни, подлежат на документиран договор, който включва конкретната информация и условия, изисквани от GDPR. За повече информация вижте Политиката за споразумение между администратора и обработващ лични данни по GDPR.

2.8      Международно предаване на лични данни

Предаването на лични данни извън Европейския съюз ще бъде внимателно прегледано преди извършването му, за да се гарантира, че спада към границите, наложени от GDPR. Това зависи отчасти от преценката на Европейската комисия относно адекватността на предпазните мерки за личните данни, приложими в приемащата страна, и това може да се промени с течение на времето.

Международните предавания на данни ще бъдат обект на правно обвързващи споразумения, наричани „Задължителни фирмени правила“ (ЗФП), които предоставят приложими права за субектите на данни.

2.9      Длъжностно лице по защита на данните

Определена роля на длъжностното лице по защита на данните се изисква съгласно GDPR, ако дадена организация е публичен орган, ако извършва мащабен мониторинг или обработва особено чувствителни типове данни в голям мащаб. От ДЛЗД се изисква да разполага с подходящо ниво на знания и може да бъде или вътрешен служител, или да бъде възложено на подходящ доставчик на услуги.

Въз основа на тези критерии в ПРАГМАТИК ООД не се изисква назначаването на служител по защита на данните.

2.10   Уведомяването за нарушения

Политиката на ПРАГМАТИК ООД е справедлива и пропорционална, когато разглежда действията, които трябва да се предприемат, за да се информират засегнатите страни относно нарушения на лични данни. В съответствие с GDPR, когато е известно, че е налице нарушение, което може да доведе до риск за правата и свободите на физическите лица, съответният надзорен орган ще бъде информиран в рамките на 72 часа. Това ще бъде управлявано в съответствие с нашата процедура за реагиране при инциденти по сигурността на информацията, която определя цялостния процес на работа с инциденти, свързани със сигурността на информацията.

Съгласно GDPR съответният надзорен орган има правомощията да налага глоби от до четири процента от годишния оборот или от двадесет милиона евро, което е по-високо, за нарушения на регламентите.

 

2.11   Адресиране на съответствието с GDPR

Предприемат се следните действия, за да се гарантира, че ПРАГМАТИК ООД отговаря по всяко време на принципа за отчетност на GDPR:

  • Правната основа за обработването на лични данни е ясна и недвусмислена;
  • Длъжностно лице по защита на данните е назначено със специална отговорност за защитата на данните в организацията (ако е необходимо);
  • Всички служители, участващи в обработването на лични данни, разбират своите отговорности за спазване на добрите практики за защита на данните;
  • Обучение по защита на данните е предоставено на целия персонал;
  • Следват се правилата за съгласие;
  • На разположение са способи за субектите на данни, които желаят да упражнят своите права по отношение на лични данни и тези запитвания се обработват ефективно;
  • Провеждат се редовни прегледи на процедурите, включващи лични данни;
  • Планирана поверителност се приема за всички нови или променени системи и процеси;
  • Записва се следната документация за дейностите по обработването:

o Име на организацията и съответните данни;

o Цел на обработването на лични данни;

o Категории лица и обработени лични данни;

o Категории получатели на лични данни;

o Споразумения и механизми за прехвърляне на лични данни към страни извън ЕС, включително подробности за въведените мерки за контрол;

o График за запазване на лични данни;

o Подходящи технически и организационни мерки за контрол.

 

Тези действия се преглеждат редовно като част от процеса на управление, свързан със защитата на данните.

Администратор на лични данни: ПРАГМАТИК ООД, ЕИК BG202483336, адрес на управление: гр. София, ж.к. Бъкстон, ул. Майор Горталов 13, вхА, ет.4, ап.19
Субектите на данни могат да упражнят своите права и да получат допълнителна информация във връзка с обработването на лични данни от страна на администратора, като се свържат по електронна поща на адрес office@pragmatic.bg или по телефон 0878 699 663.