Общи условия

ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИ ДАННИ

I.ВЪВЕДЕНИЕ

Член 1.(1) Настоящата политика се приема във връзка и на основание Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО – Общ регламент относно защитата на данните (наричан по-долу Регламентът), както и във връзка с привеждане в съответствие с изискванията на Регламента на дейността на „Дунав“ АД (наричан по-долу администратор), който действа в качеството на администратор на лични данни и на обработващ лични данни.

Член 2. (1) Настоящата политика за защита на личните данни се отнася до всички дейности по обработване на лични данни в „Дунав“ АД.

(2) „Дунав“ АД събира и обработва лични данни, спазвайки изискванията на местното и европейското законодателство.

Член 3.(1) Ръководството на „Дунав“ АД поема сериозен ангажимент по отношение на поверителността на личните данни, като прилага всички подходящи технически и организационни средства, за да не допуска неразрешен достъп, неразрешено или злонамерено ползване, загуба или преждевременно заличаване на информация.

(2) Ръководството на „Дунав“ АД се ангажира с разработването и насърчаването на добри практики в областта на обработване на информацията в дружеството.

Член 4. Всички служители, членове на Съвета на директорите, контрагенти, партньори, трети лица, които работят с „Дунав“ АД, са длъжни да се запознаят и съобразяват с настоящата политика. Никоя трета страна не може да има достъп до лични данни, съхранявани от администратора, без предварително да е сключила споразумение за поверителност на данните, което налага на третата страна задължения, не по-малко обременяващи от тези, които „Дунав“ АД е поел, и което дава право на последния да извършва проверки на спазването на наложените със споразумението задължения.

II.ОБХВАТ НА ПОЛИТИКАТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ. ДЕФИНИЦИИ.

Обхват на Политиката

Член 5. Настоящата политика определя:

• принципите, които се спазват при обработката на и за защитата на личните данни;
• ·информацията, която има право да получи субектът на данни от администратора на лични данни; правата на субектите на данни във връзка с обработване на личните им данни;
• приемане, разглеждане и отговаряне на исканията на физическите лица, които упражняват правата си за защита на данните;
• сроковете за съхранение на личните данни;·         мерките за сигурността на личните данни.

Дефиниции

Член 6. За целите на Политиката:

• „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“).
• „Физическо лице, което може да бъде идентифицирано“ е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
• „Специални категории лични данни“ са лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации и обработката на генетични данни, биометричните данни за уникално идентифициране на физическо лице, данни отнасящи се до здравето или данни относно сексуалния живот на физическо лице или сексуална ориентация.
• „Обработването” е всяка операция или съвкупност от операции, извършвани с лични данни, включително с ръчни или автоматични средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, комбиниране, ограничаване, изтриване или унищожаване на личните данни.
• „Субект на данни” е физическо лице, което е идентифицирано или което може да бъде идентифицирано въз основа на определена информация.
• „Администратор” на лични данни е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.
• „Обработващ” лични данни означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.
• „Нарушение на сигурността на лични данни” означава нарушение на сигурността, водещо до унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
• „Надзорен орган“ – за територията на Република България това е Комисия за защита на личните данни

III. ПРИНЦИПИ НА ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ

Член 7. Обработването на личните данни в „Дунав“ АД се извършва изцяло в съответствие с принципите на защита на данните, залегнали в Регламента. Те са:

1.Законосъобразност, добросъвестност и прозрачност:

1.1. Законосъобразност – при обработване на личните данни на субектите се прилага поне едно от условията за законосъобразност в зависимост от конкретните цели и контекста на обработката. Съгласно чл.6 от Регламента условията за законосъобразност на обработването са:

• а) съгласие;
• б) договор;
• в) правно задължение;
• г) жизненоважни интереси;
• д) обществени интереси;
• е) законни (легитимни) интереси.

1.2. Добросъвестност – за да може обработването да бъде добросъвестно, следва да се предостави определена информация на субектите на данни, доколкото това е практически възможно. Това важи независимо дали личните данни са получени директно от субектите на данни или от други източници.

1.3. Прозрачност – предоставянето на информация на субектите на данни става в кратка, ясна, разбираема, достъпна форма, на ясен и прост език.

2. Ограничаване на целите – личните данни се събират само за конкретни, изрично указани и законни цели и не могат да се използват за цели, различни от официално обявените.

3.Свеждане на данните до минимум –личните данни трябва да бъдат адекватни, релевантни, ограничени до това, което е необходимо за постигането на конкретната цел, за която се обработват.

4. Точност –личните данни са точни и актуални, предвид целите, за които се обработват, като се полагат усилия за гарантиране на своевременното им коригиране при необходимост.

5. Ограничение на съхранението – „Дунав“ АД съхранява личните данни не повече от необходимото и за целите, за които са събрани. Личните данни могат да се съхраняват и за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в Регламента с цел да бъдат гарантирани правата и свободите на субекта на данните (чл.89, параграф 1 от Регламента).

6. Цялостност и поверителност – обработването на личните данни се извършва по начин, който гарантира подходящо ниво на сигурност на личните данни, включително срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като прилага подходящи технически и организационни предпазни мерки.

7. Отчетност – „Дунав“ АД гарантира спазването на настоящите принципи чрез поддържане на документация за дейностите по обработване, за които е отговорен.

IV.ИНФОРМАЦИЯ, КОЯТО СУБЕКТЪТ НА ДАННИ ПОЛУЧАВА ОТ АДМИНИСТРАТОРА НА ЛИЧНИ ДАННИ

Член 8. „Дунав“ АД информира субектите на данни ясно, чрез предоставяне на обобщена, кратка и разбираема информация чрез интернет сайта на дружеството или по друг достъпен начин относно:

• името на дружеството, което обработва данните – данни за контакт, включително с длъжностното лице по защита на данните (адрес, електронна поща, телефон и др.);
• какви категории лични данни се събират;
• целите, за които дружеството ще използва данните;
• правното основание за обработката на данните;
• срока за съхранение на данните;
• други дружества/организации, които ще получат данните, ако има такива;
• дали данните ще се предават (трансферират) в трети страни извън ЕС;
• основните права на субектите на данни в областта на защитата на данни и реда за упражняването им.

V.ПРАВА НА СУБЕКТИТЕ ВЪВ ВРЪЗКА С ОБРАБОТВАНЕ НА ЛИЧНИТЕ ИМ ДАННИ

Член 9. Субектите на лични данни имат следните права във връзка с обработването на личните им данни:

1.ПРАВО НА ИНФОРМАЦИЯ И ДОСТЪП

Субектът на лични данни има право на достъп до собствените му лични данни, които се обработват. Субектът им право да получи информация относно целите, за които се обработват личните му данни и категориите лични данни, които се обработват, срока на съхраняване на личните му данни (когато е възможно да се определи), средствата на обработката, получателите, на които могат да бъдат предоставени данните, съществуването на автоматизирано вземане на решения, включително профилиране, както и право на копие от личните му данни, които се обработват.

2.ПРАВО НА КОРИГИРАНЕ

В случай че обработваните лични данни са неправилни, неточни или непълни, субектът на данни има право да поиска те да бъдат коригирани. При удовлетворено искане за коригиране на лични данни „Дунав“ АД уведомява другите получатели, на които са били разкрити данните (например държавни органи), така че те да могат да отразят измененията.

3.ПРАВО НА ИЗТРИВАНЕ

• При поискване от субекта на данните „Дунав“ АД е задължен да изтрие личните данни в разумен срок и при наличие някое от следните основания:
• личните данни повече не са необходими за целите, за които са били събрани;
• субектът на данни оттегли своето съгласие и няма друго правно основание за обработването;
• субектът на данни възразява срещу обработването и няма други законни основания за обработване;
• личните данни са били обработени незаконосъобразно;
• личните данни трябва да бъдат изтрити с цел спазването на правно задължение по европейското или националното право, което се прилага спрямо администратора;
• Не подлежат на изтриване лични данни, които се обработват във връзка с действащ договор, във връзка с признат правен интерес на „Дунав“ АД, във връзка с правни претенции, включително тяхното предявяване или във връзка със законово основание/право. 

4.ПРАВО НА ОГРАНИЧАВАНЕ НА ОБРАБОТВАНЕТО

Субектът на данни има право да изиска ограничаване на обработването, когато

– точността на личните данни се оспорва от субекта на данните за срок, който позволява на администратора да провери точността на личните данни;

• обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
• администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
• субектът на данните е възразил срещу обработването и очаква проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.
• Когато субектът на данните е поискал ограничаване на обработването и е налице някое от посочените по-горе основания, „Дунав“ АД го информира преди отмяната на ограничаването на обработването.
• „Дунав“ АД може да обработва лични данни, чието обработване е ограничено, само за следните цели:
  • за съхранение на данните;
  • със съгласието на субекта на данните;
  • за установяване, упражняване или защита на правни претенции;
  • за защита на правата на друго физическо лице;
  • поради важни основания от обществен интерес.

5.ПРАВО НА ПРЕНОСИМОСТ НА ДАННИТЕ

• Субектът на данни има право да получи личните данни, които го засягат в структуриран, широко използван и пригоден за машинно четене формат.
• Субектът на лични данни може да упражни правото на преносимост в следните случаи:
• обработването е основано на съгласие или на договорно задължение;
• обработването се извършва по автоматизиран начин.
• При поискване и ако е приложимо тези данни могат да бъдат прехвърлени на друг администратор, посочен от субекта на лични данни, когато това е технически осъществимо.                                                                                                                                         

·          6.ПРАВО НА ВЪЗРАЖЕНИЕ

Субектът може да възрази срещу обработването на негови лични данни, когато обработването се извършва при изпълнение на задача от обществен интерес или упражняване на официални правомощия, когато обработването е във връзка с защитим правен интерес на администратора или трета страна, когато се обработват данни за целите на директния маркетинг, включващ и профилиране, когато данните се обработват за целите на научни, исторически изследвания или за статистически цели. „Дунав“ АД прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за неговото продължаване, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяване, упражняване или защита на правни претенции.

7.ПРАВО НА ЗАЩИТА ПО СЪДЕБЕН И АДМИНИСТРАТИВЕН РЕД

Ако субектът на данни счита, че обработването на личните му данни нарушава разпоредбите на Регламента може да подаде жалба до Надзорния орган. Упражняването на това право не възпрепятства упражняването на правата на съдебна защита по общия исков ред.

VI. ЖАЛБИ НА ФИЗИЧЕСКИТЕ ЛИЦА, КОИТО УПРАЖНЯВАТ ПРАВАТА СИ ЗА ЗАЩИТА НА ДАННИТЕ

Член 10. (1) Субектите на данни могат да упражнят правата си съгласно Регламента и настоящата политика. Жалба, свързана с нарушение относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни може да се подава в Комисията за защита на личните данни по един от следните начини:

• Лично, на хартиен носител – в деловодството на КЗЛД на адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2 .
• С писмо на адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, Комисия за защита на личните данни.
• По факс – 02 / 9153525
• По електронен път на имейла на КЗЛД (kzld@cpdp.bg). В този случай жалбата трябва да бъде оформена като електронен документ, подписан с електронен подпис (не сканирана!).
• Чрез сайта на КЗЛД с помощта на приложена електронна бланка.

(2) Данни за връзка с Дунав АД

• Адрес: гр. Русе 7004, комплекс Локомотив, ул. „Алея топола“ №6, вх.1, ет.1
• Ел. поща: dunavrs@mlnk.net
• Тел. 082/845969

Изпълнителен директор на Дунав АД: Борислав Панайотов

VII. СРОКОВЕ ЗА СЪХРАНЕНИЕ НА ЛИЧНИ ДАННИ. ПРЕДАВАНЕ НА ДАННИТЕ НА ТРЕТИ ДЪРЖАВИ ИЛИ МЕЖДУНАРОДНИ ОРГАНИЗАЦИИ

Член 11. „Дунав“ АД унищожава личните данни, които съхранява и/или обработва в срок от:

• 50 години – за персонал /лица по трудово или служебно правоотношение, или граждански договори/;
• 10 години – за счетоводни регистри, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят данните в регистъра;
• 5 години – за други документи, съдържащи лични данни, в т.ч. и документи, свързани с предявяване на претенция пред съд, считано от датата на прекратяване на правоотношението или издаване на последната фактура;
• 1 година – информация, събрана по време на подбор на персонал, в случай че съгласието за съхранението й не е оттеглено по –рано;
• За всички други документи, съдържащи лични данни, неописани по-горе се прилагат срокове за съхранение съгласно законовите разпоредби.

Член 12. „Дунав“ АД не извършва предаване на лични данни на трети държави или международни организации.

VIII. РЕГИСТРИ НА ДЕЙНОСТИТЕ ПО ОБРАБОТВАНЕ

Член 13. „Дунав“ АД води регистри на дейностите по обработване на лични данни в качеството си на администратор на лични данни и на обработващ лични данни съгласно чл. 30 от Регламента.

IX. СИГУРНОСТ НА ЛИЧНИТЕ ДАННИ

Член 14. (1) „Дунав“ АД предприема всички необходими технически и организационни мерки, за да защити личните данни на субектите на данни от случайно или незаконно унищожаване, или от случайна загуба, неправомерен достъп, изменение или разпространение, както и от други форми на нарушения на сигурността на личните данни.

(2) „Дунав“ АД разработва и приема „Вътрешни правила за защита на личните данни“, които регламентират детайлно:

• Създаването на процедури и механизми за гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при обработване на техните лични данни и в процеса на свободното движение на данните;
• Необходимите технически и организационни мерки за защита на личните данни;
• Воденето на регистри на дейностите по обработване на лични данни;
• Осъществяването на оценки на въздействието върху защитата на данните в случай на необходимост;
• Правата и задълженията на служителите, обработващи лични данни и/или имащи достъп до такива;
• Процедури правила за докладване и реакция при нарушения на сигурността на защитата на личните данни.

(3) „Дунав“ АД разработва и приема „Вътрешни правила за мерките за защита на личните данни“, които регламентират техническите изисквания във връзка с сигурността на данните.

X. ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Член 15. Настоящата политика има за цел да установи правила, мерки и механизми за законосъобразна, надеждна и добросъвестна обработка, събиране и съхраняване на лични данни. В случай че правило, установено в настоящата политика, противоречи на Регламента или на друг нормативен акт, отнасящ се до защитата на лични данни, прилага се Регламентът, съответно нормативният акт.

Член 16. „Дунав“ АД ще актуализира своевременно, като изменя и допълва настоящата политика по всяко време в бъдеще, когато обстоятелствата го налагат.

Член 17. За неуредените в настоящата политика въпроси се прилагат съответните разпоредби от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО и българското законодателство в областта на защитата на личните данни.

Настоящата Политика за защита на лични данни е утвърдена от Изпълнителния директор на „Дунав“ АД с Заповед № 9 от 23.05.2018г.