ДЕКЛАРАЦИЯ ЗА СЪОТВЕТСТВИЕ С GDPR

 Въведение

Общият регламент относно защитата на данните (GDPR) на ЕС влиза в сила в Европейския съюз на 25 май 2018 г. и води до най-значителните промени в нормативната уредба за защита на данните след две десетилетия. Въз основа на принципа за защита на личните данни на етапа на проектиране и възприемането на подход, базиран на риска, GDPR е разработен така, че да отговаря на изискванията на цифровата ера. 21-ви век носи със себе си по-широко използване на технологии, нови определения за това какво представляват личните данни и огромно увеличение на трансграничната им обработка. Новият регламент има за цел да стандартизира нормативната уредба за защита на данните и обработката им в ЕС, като предоставя на лицата по-силни, по-последователни права за достъп и контролиране на личната им информация.

Нашият ангажимент

Ние във Формолайн ЕООД, ЕИК 202114570, с адрес: гр. София, ул. Синанишко езеро 7, бл. 11, маг. 2, телефон: 0877590554, ел. поща: sonq.sline@gmail.com, се ангажираме да гарантираме сигурността и защитата на личната информация, която обработваме, и да предоставим съвместим и последователен подход към защитата на данните. Винаги сме имали стабилна и ефективна политика за защита на данните, която е в съответствие със съществуващата нормативна уредба и спазва принципите за защита на данните. Ние обаче приемаме задълженията си за актуализиране и разширяване на тази политика, за да отговорим на изискванията на GDPR и на измененията в Закона за защита на личните данни с оглед приетият и действаш Регламент 2016/679.

Формолайн ЕООД е посветено в процесите по защита на личната информация, която е в кръга на нашата компетентност и в дейностите по разработка на механизми за защита на данните, които са ефективни, подходящи за поставените цели и демонстрират разбиране и синхрон с GDPR.

Нашата подготовка и цели за спазване на GDPR са обобщени в това изложение и включват разработването и изпълнението на нови роли, политики, процедури, контрол и мерки за защита на данните, за да се осигури максимално и постоянно съответствие.

 

Как се подготвяме за GDPR

Формолайн ЕООД вече има еднакво ниво на защита и сигурност на данните в нашата организация, като извършената от нас подготовка включваше:

  • Информационен одит – извършване на цялостен фирмен информационен одит за идентифициране и оценка на личната информация, която се съдържа при нас, откъде идва, как и защо се обработва, и ако се разкрива – на кого.
  • Политики и процедури – въвеждането на нови политики и процедури за защита на данните, за да се изпълнят изискванията и стандартите на GDPR и нормативната уредба за защита на данните, включително:

► Защита на личните данни – нашият основен документ за политиката и процедурите за защита на данните е преработен, за да отговори на стандартите и изискванията на GDPR. Предприеха се мерки за отчетност и управление, за да се гарантира, че разбираме и адекватно разпространяваме и доказваме нашите задължения и отговорности, със специално внимание върху принципа за защита на личните данни на етапа на проектиране и защита правата на физическите лица.

► Запазване и изтриване на данни – актуализирахме нашата политика и график за съхранение на данните, за да гарантираме, че отговаряме на принципите за “минимизиране на данните” и “ограничаване на съхранението” и че личната информация се съхранява, архивира и унищожава съвместимо и етично. Разполагаме със специализирани процедури за изтриване, за да отговорим на новото задължение “Право за изтриване” и сме наясно кога се прилагат тези и други права на  субектите на данните, заедно с всички изключения, времеви интервали за реагиране и отговорности за уведомяване.

► Нарушения на сигурността на данните – нашите процедури при нарушаване сигурността на данните гарантират наличието на предпазни мерки и мерки за идентифициране, оценка, разследване и докладване на нарушения на лични данни възможно най-рано. Процедурите са устойчиви и са разпространени до всички служители, като ги информират за каналите за отчитане и стъпките, които трябва да бъдат следвани.

► Трансфер на данни и оповестяване на трети страни – на местата, където ние съхраняваме или предаваме лична информация, разполагаме с надеждни процедури и защитни мерки за защита, криптиране и поддържане на целостта на данните.

► Заявка за достъп до данни – преработили сме нашите процедури за достъп до данни, за да приложим преразгледаните времеви периоди за предоставяне на искана информация и да осигурим безплатното извършване на тази дейност. Новите ни процедури подробно уточняват как да се проверява субектът на данните, какви стъпки се предприемат при обработването на заявка за достъп, какви изключения се прилагат и набор от шаблони за отговор, за да се гарантира, че комуникациите със субектите на данни са съвместими, последователни и адекватни.

  • Правно основание за обработка на лични данни – преглеждаме всички процеси и дейности по обработка на лични данни, за да идентифицираме правното основание за обработка и да гарантираме, че всяко основание е подходящо за дейността, за която се отнася. Където е приложимо, ние също така поддържаме отчети за нашите дейности по обработка, като гарантираме, че са изпълнени нашите задължения съгласно член 30 от GDPR.
  • Нашата Политика за защита на лични данни цели да се съобразим с GDPR, като гарантираме, че всички лица, чиято лична информация обработваме, са били информирани за това защо се нуждаем от техните данни, какви са техните права във връзка с това, на кого е предоставена тази информация и какви предпазни мерки са въведени за защита на техните данни.
  • Получаване на съгласие – ние преработихме нашите механизми за съгласие при получаване на лични данни, за да гарантираме, че хората разбират какво предоставят, защо и как го използваме и да дадем ясни и дефинирани начини за получаване на съгласие за получаване на определена информация, както и основните права и искания които всеки един потребител може да отправи към нас.
  • Разработихме строги процедури за документиране на съгласието, като се уверяваме и можем да доказваме, че имаме потвърждение на опциите за включване и получаване на определени данни, както и записи за време и дата, лесен за разбиране и достъпен начин за оттегляне на съгласието по всяко време.
  • Също така ние преработихме и формулировката и процесите за директен маркетинг, включително въвеждането на отделно допълнително съгласие за предоставяне на директен маркетинг, както и въвеждането на ясни механизми за включване на маркетингови абонаменти, ясни бележки и начини за изключване и предоставяне на функции за отписване от всички следващи маркетингови материали и активности.
  • Извършваме Оценка на въздействието върху защитата на данните на местата, където обработваме лична информация, която се счита за такава с висока степен на риск, ние разработихме строги процедури и модели извършване на оценки на въздействието, които напълно съответстват на изискванията на чл. 35 GDPR. Внедрихме документални процеси, които отчитат всяка оценка, позволяват ни да оценяваме риска, породен от обработващите дейности и да прилагаме смекчаващи мерки, за да намалим риска, който се поражда за субектите на данните.
  • В случаите когато ни се налага да когато използваме трети лица за обработка на лична информация от наше име (напр. ТРЗ, набиране на информацията, хостинг и т.н.), изготвихме съвместими споразумения за обработващите лични данни и процедури за надлежна проверка, за да се уверим, че те (както и ние) разбираме задълженията по GDPR. Тези мерки включват първоначални и текущи прегледи на предоставяните услуги, необходимостта от дейностите по обработка, въведените технически и организационни мерки и спазването на GDPR.
  • Специални категории лични данни – когато получаваме и обработваме информация от специална категория лични данни, правим това в пълно съответствие с изискванията на чл. 9 GDPR и разполагаме с криптиране на високо ниво и защита на всички такива данни. Специални категории лични данни се обработват само при необходимост и се обработват само при условия, че се идентифицира правно основание по чл. 9, параграф 2 GDPR. Когато разчитаме на съгласие за обработка, това е изрично и се потвърждава от подпис, с правото на субекта да променя или премахва съгласието, което е ясно обозначено.

 

Права на субектите на лични данни

В допълнение към посочените по-горе правила и процедури, които гарантират, че физическите лица могат да приложат своите права за защита на личните им данни, чрез предоставени от нас бланки с различни искания, както на седалището и адреса ни на управление така и на нашия уебсайт.

 

Всички наши клиенти/контрагенти следва да знаят, че по всяко време има възможност да поискате информация за:

  • Какви лични данни имаме за вас;
  • Целите на обработката на личните данни;
  • Категориите на съответните лични данни;
  • Получателите, на които личните данни са/ще бъдат разкрити;
  • Колко дълго възнамеряваме да съхраняваме съответните лични данни;
  • Ако не сме събрали данните директно от вас, информация за източника;
  • Правото на поправяне или попълване на непълни или неточни данни за вас и процесът на искане за това;
  • Правото да се поиска изтриване на лични данни (където е приложимо) или да се ограничи обработката в съответствие с нормативната уредба за защита на данните, както и възможността за противопоставяне на всеки директен маркетинг и получаване на информация за всяко автоматично вземане на решения, което се използва;
  • Правото да се подаде жалба или да се потърси съдебна защита, както и компетентни лица за връзка в такива случаи.

 

Информационна сигурност и технически и организационни мерки

Формолайн ЕООД приема много сериозно защитата на личната информация и предприема всички разумни и предпазни мерки, за да защити и осигури личните данни, които обработваме.

Разполагаме със стабилни правила и процедури за сигурност на информацията, за да защитим личните данни от неразрешен достъп, промяна, разкриване или унищожаване и имаме няколко слоя мерки за сигурност, включително: (Вмъкнете мерки като SSL, контрол на достъпа, политика за пароли, криптиране, псевдонимизация, практики, ограничения, ИТ удостоверяване и т.н.)

 

GDPR Роли и служители

Формолайн ЕООД, определи Соня Перпериева като наше отговорно лице и назначи екип за защита на личните данни, който да разработи и приложи правила за спазване на новия регламент за защита на данните. Екипът отговаря за популяризирането на GDPR в организацията, оценява готовността ни за GDPR, идентифицира всички области на несъответствие и прилага новите политики, процедури и мерки.

Нашите служители са напълно ангажирани в плановете ни за подготовка за съответствие с GDPR, като са внедрени и съответните програми за обучение на всички нива в организацията.

Ако имате въпроси относно нашата подготовка за GDPR, моля, обърнете се към Соня Перпериева – отговорно лице по защита на данните.

Утвърдил:

Соня Перпериева

 ДЕКЛАРАЦИЯ – ИНФОРМИРАНО СЪГЛАСИЕ за предоставяне и обработка на лични данни

 Днес, ___.___._____г. аз долуподписаният/та,

 …………………………………………………………………………..., ЕГН ..………………….

С настоящата декларирам, че съм съгласен/а Формолайн ЕООД, ЕИК 202114570, със седалище и адрес на управление: гр. София, ул. Синанишко езеро 7, бл. 11 маг. 2, в качеството му на администратор и обработващ лични данни, да съхранява и обработва всички и всякакви предоставени от мен мои лични данни във връзка с и за целите на предоставяните от администратора услуги, за отчетност и всякаква друга дейност и/или услуга извършвана от Администратора, както и при необходимост да ги предоставят и на други лица на правно основание, при спазване на изискванията на Регламент ЕС 2016/679 и на Закона за защита на личните данни.

 

…………………

/подпис/

С настоящата декларирам, че съм запознат/а: с целта и средствата на обработка на личните данни; доброволния характер на предоставянето на данните и последиците от отказа за предоставянето им; правото ми на достъп, коригиране и изтриване на събраните данни; наименованието и адреса на администратора, както и с името и длъжността на обработващия данните негов служител. Запознат/а съм с възможността да оттегля съгласието си по всяко време. Също така с настоящата декларирам, че съм уведомен/а, че Формолайн ЕООД може да поиска и респективно да обработва следните лични данни и категории лични данни за нуждите на предоставяните него услуги, а именно: имена, ЕГН, адреси, пълни данни от документ за самоличност, в случаите когато това се окаже необходимо, както и данни за контакт:  телефон и ел. поща.

…………………

/подпис/

С настоящата заявявам желанието си да получавам информация за предложения за продукти и услуги от Формолайн ЕООД или свързани с него лица, както и за извършване на проучвания относно предлагани и/или ползвани продукти и услуги, по следния начин: по телефон, по ел. поща, по препоръчана поща или по друг директен начин.

…………………

/подпис/

 

УВЕДОМЛЕНИЕ/ДЕКЛАРАЦИЯ ЗА ПОВЕРИТЕЛНОСТ

НА ЛИЧНИТЕ ДАННИ

 

 

Данни на администратора – НИЕ:

Формолайн ЕООД, ЕИК 202114570, с адрес: гр. София, ул. Синанишко езеро 7, бл. 11 маг. 2, телефон: 0877590554, ел. поща: sonq.sline@gmail.com, е дружество с ограничена отговорност, чиято основна дейност е козметични услуги.

Данни за контакт с Отговорно лице по защита на данните:

Формолайн ЕООД сътрудничи и е избрало за свой отговорник за защита на личните данни Соня Христова Перпериева, като можете да се свържете с него, чрез електронната форма за връзка с нас на нашата интернет страница.

 

Личните данни, които събираме и обработваме от вас са:

Ние Ви представяме информация за нас и нашата дейност. За да ви предоставим допълнителна информация за наши продукти, партньори и въобще информация извън оповестената на седалището и адреса на управление и на интернет сайта ни, за да отговорим на Ваши запитвания и коментари, за да запишем час и въобще за да бъдем в комуникация с Вас, е необходимо да съберем Ваши лични данни за да можем да Ви идентифицираме (при Ваше желание) и да отговорим на Вашите нужди, ако и доколкото ни е възможно. За постигане на посочените цели ние събираме информация за Вашите имена, ел. поща, телефон, в обем, който Вие ни предоставите. Ние гарантираме, че информацията, която събираме и използваме, е належаща за посочените цели и не е с цел навлизане в личното Ви пространство и засягането на вашите лични интерес и личен живот.

Специални категории данни, които обработваме:

С оглед дейността на Формолайн ние не обработваме чувствителни лични данни на нашите клиенти и партньори.

Източник:

Горните лични данни получаваме от Вас, лично или в отделни случаи наши търговски партньори и/или други трети лица.

 

Декларираме, че личните данни, които събираме, ще бъдат използвани за следните цели:

Вашите лични данни са ни необходими освен за да имаме връзка с вас и за да ви предоставим нашите услуги максимално качествено и навреме, то и за да може да извършваме други законоустановени задължения.

 

Основанието, което ни дава право да обработваме вашите данни е:

– Обработването се основава на вашето съгласие;

– Обработването на вашите данни е необходимо за изпълнение на договор с вас или намерението ни да сключим договор

– Обработването е необходимо за спазване на наше законовото ни задължение – Обработването е необходимо, за да защитим вашите (жизненоважни) интереси (или интереси на друго лице);

 

Съгласие:

Със съгласието Ви да приемете това Уведомление, вие ни давате разрешение да обработваме личните Ви данни само за посочените от нас цели, като ще ви предоставим изрично и писмено информирано съгласие.

Съгласието е необходимо, за да може да обработваме и двата вида (обикновени и специални) лични данни, но е необходимо да е изрично.

Можете да оттеглите съгласието си по всяко време с подадена до нас бланка, като същата може я получите от нас при поискване или да я съставите в свободен текст.

Предаване на личните данни на държава извън ЕС или на международна организация

Формолайн няма намерение да предаде вашите лични данни на трети лица, освен в законоустановените случаи.

В общия случай ние няма да продаваме вашите данни на трети страни, нито ще ги предаваме с цел да придобием някаква облага. Ние може да предоставяме Вашите лични данни на лица, които ни оказват съдействие за постигане на описаните по-горе цели – обработващи лични данни, които действат въз основа на писмен договор, в съответствие с изричните ни инструкции и при прилагането на подходящи технически и организационни мерки за защита на Вашите лични данни. Лични данни няма да се предоставят на трети страни, нито ще се споделят извън Европейския съюз или Европейското икономическо пространство. Получатели на вашите данни могат да бъдат също лица и органи с властнически правомощия, на които ще ги предоставяме в изпълнение на конкретни и ясни законови задължения. Когато имаме намерение да предадем Ваши специални лични данни (ако сте ни предоставили такива) на трета страна, ние ще направим това едва след като сме получили вашето съгласие, като изключение ще има само ако по закон сме задължени да направим друго.

 

ПОВЕРИТЕЛНОСТ на данните на ПОСЕТИТЕЛИ във Формолайн, където се осъществява ВИДЕОНАБЛЮДЕНИЕ

Личните данни, които събираме и обработваме: в случай, че Вие сте посетител на нашето дружество на неговия адрес на обработване, се обработват Ваши данни за образ и поведение, даващи информация за човешкия образ и характерните черти, представа за Вашето поведение, навици, извършени правонарушения и друга видима информация.

Източника на тези данни е: Горните лични данни получаваме от Вас, лично.

Декларираме, че личните данни, които събираме при видеонаблюдението ще бъдат използвани единствено за законни цели, такива като охрана на имуществото, осигуряване на сигурността, безопасността и реда в болничното заведение, охрана на общественото здраве и предотвратяване на кражби и други злоупотреби.

Основанията, които ни дават право да обработваме Вашите данни за образ и поведение са: легитимния ни интерес от осъществяването на охраната и гарантирането на сигурността и на основание обществения интерес. Освен изложеното посредством обработването можем да осъществим и дължимото по закон съдействие на компетентни публични органи в рамките на предоставените им правомощия.

Период на обработване: Данните Ви, обработвани при видеоноаблюдението съхраняваме до до 60 (шестдесет) дни съгласно Закона за частната охранителна дейност. Обикновено това обработване се ограничава до наблюдаване в реално време на охраняваните места и съхранението на съответните записи

Общ период на съхраняване на данните

Личните данни за клиенти да дружеството се съхраняват за срок до 5 години от сключване на съответния договор с клиента. Този срок е съобразен с погасителната давност за предявяване на каквито и да е претенции произтичащи от договора.

Личните данни на кандидати за работа, които не са одобрени за назначаване в Дружеството, се съхраняват за срока, определен съгласно действащата нормативна уредба в областта на защитата на личните данни,  от приключване на процедурата, след което се връщат на лицето или унищожават. Личните данни могат да се съхраняват за по-дълъг период с цел отправяне на предложения за работа само при наличие на съгласие на кандидата в писмена форма.

Записите от видеонаблюдението, осъществявано в дружеството, се съхраняват за срок до 60 (шестдесет) дни съгласно Закона за частната охранителна дейност. Личните данни, които дружеството събира при видеонаблюдението ще бъдат използвани единствено за законни цели, такива като охрана на имуществото, осигуряване на сигурността, безопасността и реда в търговските обекти, охрана на общественото здраве при търговията с храни и предотвратяване на кражби и други злоупотреби.

Личните данни, съдържащи се в счетоводни документи, се съхраняват според предвидените за това срокове,  съгласно Закона за счетоводството.

Начин на съхраняване и опазване на личните Ви данни, които обработваме:

Ние ще обработваме личните Ви данни при предприемане на необходими и достатъчни технически и организационни мерки за тяхната защита. Наред с друго, педприели сме необходимите вътрешни политики и сме взели мерки за защитата на личните Ви данни на етапа на проектирането; отговорните за данните служители са добре запознати с изискванията относно защитата на личните Ви данни; обработването на личните Ви данни е сведено до минимума, необходим за постигане на съответните цели; въвели сме необходимите мерки за сигурност, като охрана, ограничен достъп, системи за сигурност и др.; въвели сме мерки за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване, както и мерки в случай на физически или технически инцидент за своевременно възстановяване на наличността и достъпа до личните данни; създаден е вътрешен процес за редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването; разработена е процедура за съхраняване и унищожаване на данните. Ние ще обработваме (събира, съхранява и използва) предоставената от вас информация по начин, съвместим с изискванията на Общия регламент за защита на данните (ОРЗД). Ще се стремим да поддържаме информацията точна и актуална.

Ние не извършваме автоматизирано вземане на решения (без човешка намеса), при обработването на личните Ви данни, за която и да е от посочените по-горе цели.

 

Вашите права като субект на личните данни са следните:

Във всеки момент, докато съхраняваме или обработваме личните ви данни, Вие (според терминологията на закона – субект на данните) имате следните права:

  • имате право да поискате копие от Вашите лични данни от Формолайн ЕООД и право на достъп по всяко време до личните си данни;
  • имате право да поискате от Формолайн ЕООД личните си данни във вид удобен за прехвърляне на друг администратор на лични данни, или да поискате ние да го направим, без да бъдете възпрепятствани от наша страна;
  • имате право да поискате от Формолайн ЕООД да коригира без ненужно забавяне, неточните Ви лични данни, както и данните, които не са вече актуални;
  • имате право да поискате от Формолайн ЕООД личните Ви данни да бъдат изтрити без ненужно забавяне при наличието на някое от следните основания:
  • личните данни повече не са необходими за целите, за които са били събрани;
  • когато сте оттеглил своето съгласие;
  • когато сте възразил срещу обработването,
  • когато обработването е незаконосъобразно;
  • когато личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на EС или правото на държава членка, което се прилага спрямо нас като администратор на лични данни;
  • когато личните данни са били събрани във връзка с предлагането на услуги на информационното общество.

Можем да откажем да заличим личните Ви данни по следните причини:

  • при упражняване на правото на свобода на изразяването и правото на информация;
  • за спазване на законово задължение от наша страна или за изпълнението на задача от обществен интерес,
  • по причини от обществен интерес в областта на общественото здраве;
  • за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, доколкото съществува вероятност заличаването да направи невъзможно или сериозно да затрудни постигането на целите на това обработване; или за установяването, упражняването или защитата на правни претенции.
  • имате право да поискате от Формолайн ЕООД, да ограничи обработването на личните Ви данни, като в този случай данните ще бъдат само съхранявани, но не и обработвани. Отказът ни за ограничаване ще е изрично само в писмен вид, като сме длъжни да го мотивираме със законосъобразната причина;
  • имате право да оттеглите Вашето съгласие за обработката на личните Ви данни по всяко време с отделно искане, отправено до администратора;
  • имате право да възразите срещу определени видове обработка, като директен маркетинг (непоискани рекламни съобщения);
  • имате право на възражение срещу автоматизирана обработка, включително профилиране;
  • имате право да не бъдете обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране;
  • при нужда да използваме Вашите лични данни за нова цел, която не е обхваната от настоящата декларация за защита на данните, ще Ви предоставим ново уведомление за защита на данните и когато, и където е необходимо, ще изискаме Вашето предварително съгласие за новата обработка.

Всички горепосочени искания ще бъдат препратени, ако има трета страна (получатели, включително извън ЕС и международни организации) при обработката на вашите лични данни.

Имате право на жалба до надзорния орган

Имате право да подадете жалба направо до надзорния орган, като компетентният за това орган е Комисия за защита на личните данни, адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2 (www.cpdp.bg).

В случай, че желаете да подадете жалба относно обработката на личните ви данни чрез Формолайн ЕООД, можете да го направите на посочените данни за контакт на Формолайн ЕООД или директно на Длъжностно лице по защита на данните/ Отговорник по защита на данните (на посочените по-горе данни за контакт.

Утвърдил:

Соня Перпериева