Разширено търсене
Меню
Профил
Език

Категории

GDPR политика за защита на личните данни

GDPR НАРЪЧНИК

Актуален към 26.01.2024 г.
 

ВЪВЕДЕНИЕ

Информацията, клаузите и документите по-долу са съобразени с наличната информация на cottonlux.bg

 

Наръчникът покрива GDPR правилата по направления:

  1. обработка на данни
  2. видове данни
  3. уеб, маркетинг, е-търговия
  4. основния
  5. персонал и контрагенти
  6. свързани лица
  7. процедури и други

Този Наръчник позволява въвеждане на правилата на GDPR без външни консултанти. Следвайте внимателно препоръките и в рамките на няколко дни можете да подготвите организацията си за GDPR.

 

 

 

ОБРАБОТКА НА ДАННИ

Предвид факта, че дейността, която "Дациони" ЕООД извършва, включва директен маркетинг, е важно да имате предвид следното:

  1. Когато дружеството обработва лични данни за своите цели, то е администратор на лични данни. Това са най-често данни на служители и клиенти.
  2. Когато дружеството обработва данни за целите на трето лице (клиент), то е обработващ лични данни. Това са най-често данни на клиенти и контрагенти на клиент на дружеството – имейли, имена, телефони и други.

Важно е да сте наясно с информацията и дефинициите по-долу.

Администратор на лични данни: всяко лице (физическо / юридическо / публичен орган / агенция / друга структура), което само определя целите (т.е. за какво) и средствата (т.е. по какъв начин) се обработват събираните от него лични данни на физическите лица. Администраторът също така определя срока на съхранение, къде ще се обработват и съхраняват, мерките за защита на личните данни, както и кой ще ги обработва.

С влизането в сила на Регламента за защита на личните данни отпада задължението за регистрация като администратор на лични данни към Комисията за защита на личните данни („КЗЛД“). Всеки, който обработва лични данни дори и на едно физическо лице ще бъде разглеждан като администратор, без значение дали е регистриран в КЗЛД или не.

Обработващ лични данни: всяко лице (физическо / юридическо / публичен орган / агенция / друга структура), което обработва лични данни от името на Администратора. 

Вие обработвате лични данни в качеството си на администратор.

Възможно е дадено лице, което обработва лични данни, да бъде едновременно и администратор и обработващ лични данни.

Лични данни: Регламентът (GDPR) разширява значително понятието „лични данни“. Освен три имена, ЕГН, номер на лична карта, телефон и адрес, понятието вече обхваща и електронна поща, IP адрес, данни за местонахождение, банкова сметка, снимки и всякакви данни, които биха позволили идентифициране на конкретно физическо лице.

Обработване на лични данни: всяко действие, свързано със събиране, записване, организиране, съхранение, промяна, извличане, употреба, разпространение, актуализиране, комбиниране, блокиране, изтриване, както и унищожаване и всякаква друга сходна дейност, чийто предмет са лични данни на едно или повече физически лица.

Винаги, когато се обработват лични данни на дадено лице, е необходимо на лицето да бъде предоставяна определелена информация. Тази информация касае субектът, обработващ личните данни, целите, за които личните данни се събират, срокът за тяхното съхранение и правата на лицето по отношение на неговите лични данни.

Тази информация трябва да се представи на лицето, за което личните данни се отнасят към момента на събирането. Това може да се случи автоматично онлайн или посредством документ, предназначен за лицето. Такъв документ сме включили -  Приложение № 1 - Документи.

ЧУВСТВИТЕЛНИ ДАННИ

"Дациони" ЕООД не обработва мащабно количество чувствителни лични данни.

Имайте предвид, че ако все пак обработвате значителен обем лични данни (към момента няма правна дефиниция на „значителен обем“), е силно препоръчително да имате т.нар. „лице по защита на личните данни“. Към момента няма специални изисквания кой може да бъде лице по зашита на личните данни – това може да бъде както Ваш служител (настоящ или специално назначен за целта), така и външно лице (физическо или юридическо), с което да сключите договор за услуги. 

КАТЕГОРИИ ЛИЧНИ ДАННИ

Съгласно Регламента нямате право да обработвате по-голям обем от лични данни на дадено физическо лице,отколкото са Ви необходими за изпълнение на целите, за които ги обработвате. Важно е да анализирате дали събираните от Вас лични данни са Ви необходими за целите, за които ги обработвате. В случай, че събирате данни, които не са Ви необходими с оглед целите на обработката или конкретни законови изисквания, следва да преустановите събирането им, респективно да заличите събраните досега такива лични данни. Например много работодатели събират свидетелства за съдимост от своите служители, които се съхраняват в трудовите им досиета. Този документ не е необходим на работодателя,  с изключение назначаване на служителя на длъжност, която по закон изисква предоставянето му. Същото важи и за копията от личните карти. Ако вече имате събрани такива документи, следва да ги премахнете от трудовите досиета. Обръщаме внимание, че предстои да бъде приета и нова наредба за вида и изискванията за създаването и съхраняването на електронни документи в трудовото досие на работника и служителя.

Имайте предвид, че приемането на общите условия на Вашия сайт вече не може да играе ролята на съгласие за предоставяне на личните данни от потребител на сайта Ви. Съгласно Регламента, общите условия само дават информация за какво, как и колко дълго ще бъдат използвани личните данни, а съгласието за това трябва да бъде дадено отделно и изрично. Ако Вашите общи условия не са структурирани така, ще трябва да ги промените по начин, който да предоставя изчерпателна, написана на ясен и разбираем език информация относно начина, средствата, целите и срока, за който ще обработвате личните данни на посетителите на сайта, както и какви права имат те (право да оттеглят съгласието си, да подават жалби при нарушения и правото да бъдат „забравени“, т.е. да поискат от Вас да изтриете всички свързани с тях лични данни, в случай че няма законова пречка за това). Следва да обърнете специално внимание на използваните от Вас „бисквитки“ (в случай че използвате такива), като предоставите изчерпателна информация на потребителите за техния вид, срок на валидност, каква информация съдържат и предоставят ли я на трети страни, защо генерирате „бисквитки“, кога се генерират те, кога и как може да бъде преустановено генерирането им. Желателно е да предоставите и общи съвети за изключване на бисквитките генерално от браузъра на посетителите, както и включването на защитата против проследяване.

Към комплекта от документи има изготвена политика а защита на личните данни и стандартна такава за бисквитки.

***

ОСНОВАНИЯ

Вие можете да обработвате законосъобразно лични данни на всяко едно от тези основания:

1.            Съгласие: изрично, свободно изразено, конкретно дадено съгласие от дадено физическо лице, че се съгласява личните му данни да бъдат обработвани за посочените в съгласието цели.

2.            Договор: например физическо лице сключва договор (трудов) с работодател (администратор на лични данни) и предоставя личните си данни с цел сключването му.

3.            Законово задължение: например предвидените в Кодекса на застраховането задължения за предоставянето на необходимите лични данни  за сключването на различни видове застраховки.

4.            Жизненоважни интереси: например когато трябва да бъде извършена неотложна медицинска интервенция и вземането на съгласие от лицето е невъзможно.

5.            Обществен интерес/официални правомощия: например правомощията на органите на реда да извършват проверка на личните документи на физически лица.

6.            Легитимен интерес: например когато работодател оборудва служебните автомобили с GPS устройства. В този случай Регламентът дава преимущество на интересите на работодателя пред тези на физическите лица.

***

Във Вашия случай обработвате лични данни на две основания:

  • За изпълнение на договор с клиентите: това са договорите за доставка на стоки и услуги.
  • След изрично съгласие – това е формата за абониране, която имате са homeyoga.bg.

Добре е във формата да сложите отметка, че потребителите приемат обработването на личните им данни съобразно полотиката, публикувана на уебсайта. Когато потребител попълни формата, ще се счита, че личните му данни се обработват на база изричното му съгласие.

Когато лични данни се обработват на база на изрично съгласие, е важно да съобразите следното: 

  • Да се даде възможност на лицето да посочи, че е съгласно с обработването на личните му данни посредством отбелязване (т.нар. активна стъпка; съгласието не трябва да бъде предварително отбелязано);
  • Да използвате ясен и прост език, на който да обясните как ще обработвате личните данни на лицето;
  • Да посочите защо искате личните му данни и какво ще направите с тях;
  • Да му дадете възможност да се съгласи поотделно за всеки различен вид обработка;
  • Да посочите всички трети страни, на които ще предоставите неговите лични данни с предвидена възможност да не се съгласи за това;
  • Да не изисквате съгласието като условие за предоставяне на услугата от Ваша страна;
  • Да го информирате, че има право да оттегли съгласието си по всяко време и как може да направи това;
  • Да дадете информация за срока, в който ще обработвате личните му данни.

Свалете декларация за съгласие и декалрация за съгласие от служител Приложение № 1 - Документи и ги сравненте с Вашите. Ако има разлики, препоръчваме да използвате нашите документи.

***

ОБРАБОТКА НА ЛИЧНИ ДАННИ С ЦЕЛ ДИРЕКТЕН МАРКЕТИНГ

Когато обработвате лични данни за целите на директния маркетинг, е необходимо винаги да имате изричното и предварително съгласие на съответното лице. То трябва да бъде дадено информирано. Най-често това създава казуси, когато се работи със списъци с клиенти. Клиентите трябва да са наясно, че са включени в списък за директен маркетинг и да имат възможност по всяко време да се отпишат от такъв списък (unsubscribe при имейл кампаниите).

Старайте се да не обработвате с цел директен маркетинг данни на лица, които не са дали изрично съгласие за това и се опитвайте да пазите данни за даденото съгласие (лог файлове са достатъчни), както и да изисквате потвърждение за това от Ваши търговски клиенти, данни за чиито контрагенти обработвате.

***

ЛИЦА И ОБРАБОТКА НА ЛИЧНИ ДАННИ

Работа с данни за целите на директен маркетинг

Предвид характера на дейността, особено внимание трябва да обърнете на данните, които обработвате за нуждите на директния маркетинг. Винаги давайте възможност на клиентите да се отписват от листи с мейли и ги уведомявайте, че това, което пращате, са търговски съобщения. Изпращайте такива само след изрично съгласие на клиента.

Кандидати за работа

Долното е приложимо едиснтвено за обработване на данни за кандидати за работа и персонал.

Важно е да имате предвид, че всички лични данни на кандидата за работа следва да бъдат заличени/унищожени след приключване на подбора, освен ако той не е дал изрично писмено съгласие за тяхното запазване за определен период след това. Това съгласие следва да се даде чрез документ, който може да бъде свален от Приложение № 1 - Документи.

Персонал

В такъв случай е задължително да направите анекс към договора, с който да добавите клаузите по-долу.

За трудови договори:

  1. СЛУЖИТЕЛЯТ се задължава да не разкрива на трети лица каквито и да е било лични данни на физически лица, станали му известни при изпълнение на задълженията му по настоящия договор или по какъвто и да било друг начин, освен ако такова разкриване се изисква от закона или предварително съгласие за това е дадено от РАБОТОДАТЕЛЯ и/или лицето/лицата, за която се отнася. СЛУЖИТЕЛЯТ се задължава да обработва личните данни в съответствие с правилата и процедурите, изготвени и приети от Работодателя и всички нормативни изисквания, предвидени в Регламент (ЕС) 2016/679 и действащото българско законодателство.
  2. По смисъла на предходната аления под „лични данни“ са всяка информация, отнасяща се до физическо лице, което може да бъде идентифицирано, пряко или непряко чрез нея (например име, ЕГН, данни за местонахождение, онлайн идентификатор) или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице (пол, раса, етнически произход, политически убеждения, членство в синдикални организации, сексуална ориентация и др.).

За граждански договори:

  1. ИЗПЪЛНИТЕЛЯТ се задължава да не разкрива на трети лица каквито и да е било лични данни на физически лица, станали му известни при изпълнение на задълженията му по настоящия договор или по какъвто и да било друг начин, освен ако такова разкриване се изисква от закона или предварително съгласие за това е дадено от ВЪЗЛОЖИТЕЛЯ и/или лицето/лицата, за която се отнася. ИЗПЪЛНИТЕЛЯТ се задължава да обработва личните данни в съответствие с правилата и процедурите, изготвени и приети от ВЪЗЛОЖИТЕЛЯ и всички нормативни изисквания, предвидени в Регламент (ЕС) 2016/679 и действащото българско законодателство.
  2. По смисъла на предходната аления под „лични данни“ са всяка информация, отнасяща се до физическо лице, което може да бъде идентифицирано, пряко или непряко чрез нея (например име, ЕГН, данни за местонахождение, онлайн идентификатор) или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице (пол, раса, етнически произход, политически убеждения, членство в синдикални организации, сексуална ориентация и др.).

***

Служители и контрактори, които работят с лични данни, които се обработват от Вас следва да подпишат споразумения за поверителност. Можете и просто да слагате в договорите с тези лица посочените по-долу клаузи:

За трудови договори:

1)            ИЗПЪЛНИТЕЛЯТ се задължава да не разкрива на трети лица каквито и да е било лични данни на физически лица, станали му известни при изпълнение на задълженията му по настоящия договор или по какъвто и да било друг начин, освен ако такова разкриване се изисква от закона или предварително съгласие за това е дадено от ВЪЗЛОЖИТЕЛЯ и/или лицето/лицата, за която се отнася. ИЗПЪЛНИТЕЛЯТ се задължава да обработва личните данни в съответствие с правилата и процедурите, изготвени и приети от ВЪЗЛОЖИТЕЛЯ и всички нормативни изисквания, предвидени в Регламент (ЕС) 2016/679 и действащото българско законодателство.

                -              финансовото състояние на РАБОТОДАТЕЛЯ;

                -              лични данни за клиентите и контрагентите на РАБОТОДАТЕЛЯ;

                -              търговски условия по сключени от РАБОТОДАТЕЛЯ договори;

                -              лични данни за служителите на РАБОТОДАТЕЛЯ;

                -              финансовата политика на РАБОТОДАТЕЛЯ;

                -              трудово-социалната политика на РАБОТОДАТЕЛЯ;

                -              търговската политика на РАБОТОДАТЕЛЯ;

                -              рекламната политика на РАБОТОДАТЕЛЯ;

                -              организацията на работа в РАБОТОДАТЕЛЯ и в отделните негови структури;

                -              предстоящи за реализация финансови, търговски и други проекти на РАБОТОДАТЕЛЯ.

2)            „Конфиденциална информация” са и всички останали обстоятелства, факти и данни, извън неизчерпателно изброените в предходната алинея, станали известни на СЛУЖИТЕЛЯ, при и по повод на изпълняваните от него задължения, чието разгласяване на трети лица може да нанесе вреди (независимо от техния характер) на РАБОТОДАТЕЛЯ и/или трети лица. 

За граждански договори:

1)            ИЗПЪЛНИТЕЛЯТ се задължава да не разкрива на трети лица, каквато и да била конфиденциална информация, която му е станала известна при изпълнение на задълженията му по настоящия договор или по какъвто и да било друг начин, освен ако такова разкриване се изисква от закон или предварително съгласие за това е дадено от ВЪЗЛОЖИТЕЛЯ. По смисъла на този договор „конфиденциална информация” са всички онези сведения, факти и данни, в това число и лични данни по смисъла на Регламент (ЕС) 2016/679 и действащото законодателство на Република България, станали му известни при или по повод осъществяване на задълженията му по договора.

2)            „Конфиденциална информация” са и всички обстоятелства, факти и данни, станали известни на ИЗПЪЛНИТЕЛЯ, при и/или по повод на изпълняваните от него задължения по договора с ВЪЗЛОЖИТЕЛЯ, чието разгласяване на трети лица може да нанесе вреди (независимо от техния характер) на ВЪЗЛОЖИТЕЛЯ или на трети лица. 

 

ПРОЦЕДУРИ

Подготвили сме стандартни правила/процедури за работа с лични данни, които можете да съхранявате в своето деловодство.

***

Една от процедурите е такава, която се прилага, в случай че физическо лице Ви изиска  информация за негови лични данни обработвани от Вас.

Процедурата е включена като част от вътрешните правила. Отговорът на  искането за предоставяне на лични данни следва да има съдържание в съответствие с Вътрешните правила за обработка на лични данни и необходиамта Информация за обработване на лични данни. Тези документи можете да свалите от Приложение № 1 - Документи. 

***

Друга процедура е такава за актуализация и точност на събраните лични данни.

Имайте предвид чл. 9, ал. 5 от тези Правила, които можете да свалите от Приложение № 1 - Документи. 

***

Трета процедура е тази за прилагане на технически мерки за защита на личните данни.

Важно е да въведете приложимите за Вашия бизнес мерки съобразно препоръките по-долу.

Съгласно Регламента, подходящи технически и организационни мерки за защита на обработваните от Вас лични данни са:

  1. псевдонимизация на личните данни („псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се налага използването на допълнителна информация, при условие, че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано);
  2. криптиране на личните данни;
  3. гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
  4. водене на записи (log files) на дейностите по обработване на данни в системите за автоматизирано обработване;
  5. обучение на служители
  6. на етап на проектиране: въвеждане както към момента на определянето на средствата за обработване, така и към момента на самото обработване, на подходящи технически и организационни мерки, които са разработени с оглед на ефективното прилагане на принципите за защита на данните например свеждане на данните до минимум, и интегриране на необходимите гаранции в процеса на обработване;
  7. по подразбиране: въвеждане на подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. По-специално, подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.

ПРИЛОЖЕНИЕ 1. ДОКУМЕНТИ

Към пакета от документи слагаме допълнителни ресурси, които можете да ползва в дейността си:

  1. Договор между администратор на лични данни и обработващ лични данни
  2. Декларация за съгласие
  3. Декларация за съгласие от служител
  4. Вътрешни правила за обработване на лични данни
  5. Регистър на администратор на лични данни
  6. Информация за обработване на лични данни - отговор на запитване
  7. Информация за обработване на лични данни в момента на събиране на данни

 

Нови продукти

Абонирай се

Най-продавани

Новини

Марки

Върни До Горе