Политика за защита на личните данни в „Грийнютришън“ ООД
„Грийнютришън“ ООД, с ЕИК 204028419 и адрес: ул. Съединение 311, ПК1151, с. Лозен, гр. София, България, ДДС номер BG204028419, тел: +359 2 923 18 00 и e-mail адрес: office@greenutrition.eu прилага настоящите Общи условия, като Администратор на лични данни – /АЛД /
АЛД събира, съхранява и обработва определена информация за физически лица.
Тази информация може да се отнася до служители, управители, клиенти, доставчици, контрагенти, бизнес контакти и други физически лица, които АЛД има връзка или, иска да постанови бизнес контакт.
Настоящата политика за защита на личните данни, урежда как да бъдат събирани, обработвани и съхранявани личните данни, за да отговарят на стандартите в организацията и да са в съответствие с правните изисквания.
I. Правно основание
Настоящата Политика за защита на личните данни /“Политика“/ се издава на основание Закона за защита на личните данни и подзаконовите му актове, така както се променят, /“Българското законодателство“/, и общия Регламент относно защита на данните /ЕС/ 2016/679 /„GDPR“/
Българското законодателство и GDPR предвиждат правила как организациите, вкл. „Грийнютришън“ ООД, трябва да събират, обработват и съхраняват лични данни. Тези правила се прилагат от АЛД независимо дали се касае за данни, които се обработват електронно, на хартия или на други носители.
За да бъде обработването на лични данни съответствие с правните изисквания, личните данни се събират и използват основателно, съхраняват се сигурно и АЛД предприема необходимите мерки, за да не бъдат обработваните лични данни обект на неправомерно разкриване.
АЛД е запознат с и следва принципите, предвидени в GDPR:
–личните данни се обработват законосъобразно, добросъвестно и прозрачно;
–личните данни се събират за конкретни изрично указани и легитимни цели и не се обработват по – нататък по начин, несъвместим с тези цели;
–личните данни са подходящи, свързани с и ограничени до необходимото във връзка с целите, за които се обработват;
–личните данни са точни и при необходимост се поддържат в актуален вид;
–личните данни се съхраняват във форма, която да позволява идентифицирането на засегнатите лица за период, не по – дълъг от необходимото за целите, за които се обработват личните данни;
–личните данни са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещи неразрешено или незаконосъобразно обработване или случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.
–личните данни се обработват законосъобразно, добросъвестно и прозрачно;
–личните данни се събират за конкретни изрично указани и легитимни цели и не се обработват по – нататък по начин, несъвместим с тези цели;
–личните данни са подходящи, свързани с и ограничени до необходимото във връзка с целите, за които се обработват;
–личните данни са точни и при необходимост се поддържат в актуален вид;
–личните данни се съхраняват във форма, която да позволява идентифицирането на засегнатите лица за период, не по – дълъг от необходимото за целите, за които се обработват личните данни;
–личните данни са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещи неразрешено или незаконосъобразно обработване или случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.
II. Цели на Политиката
Настоящата Политика цели АЛД да:
–бъде в съответствие с приложимото законодателство по отношение на личните данни и да следва установените добри практики;
–установи механизмите за водене, поддържане и защита на отчетните регистри;
–установи задълженията на длъжностните лица, обработващи лични данни и/или лицата, които имат достъп до лични данни и работят под ръководството на обработващите лични данни, тяхната отговорност при неизпълнение на техните задължения;
–защитава правата на персонала, клиентите и партньорите;
–бъде открит как съхранява и защитава личните данни на физическите лица;
–установи необходимите технически и организационни мерки за защита на ЛД, данни от неправомерно обработване / случайно или незаконно унищожаване, случайна загуба, неправомерен достъп, изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни/
–бъде защитен при риск от нарушения
–бъде в съответствие с приложимото законодателство по отношение на личните данни и да следва установените добри практики;
–установи механизмите за водене, поддържане и защита на отчетните регистри;
–установи задълженията на длъжностните лица, обработващи лични данни и/или лицата, които имат достъп до лични данни и работят под ръководството на обработващите лични данни, тяхната отговорност при неизпълнение на техните задължения;
–защитава правата на персонала, клиентите и партньорите;
–бъде открит как съхранява и защитава личните данни на физическите лица;
–установи необходимите технически и организационни мерки за защита на ЛД, данни от неправомерно обработване / случайно или незаконно унищожаване, случайна загуба, неправомерен достъп, изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни/
–бъде защитен при риск от нарушения
III. Обхват
Настоящата Политика се прилага по отношение на обработването на лични данни на служители, контрагенти, доставчици, клиенти и партньори така както са описани в електронните отчетни регистри установени в съответствие с тази политика, Българското законодателство и чл. 30 от GDPR /“Регистри на дейностите по обработване“/.
IV. Събиране на лични данни
Категории данни и субекти
„Лични данни“ / ЛД / – са всяка информация свързана с идентифицирано физическо лице /ФЛ/ или ФЛ, което може да бъде идентифицирано /“Субект на данни“/, а именно:
АЛД събира лични данни по отношение на следните категории лица:
–Настоящи и бивши служители на Компанията;
–Потенциални кандидати за работа;
–Лица, представляващи дружествата, с които АЛД има бизнес взаимоотношения;
–Лица за контакт в дружествата, с които АЛД има бизнес взаимоотношения;
–Лица, които са заинтересовани от информационни услуги;
–Лица, които се регистрират с цел използване на онлайн магазин.
Цели на събирането на данни
АЛД събира личните данни във връзка с изпълнението на следните цели:
АЛД събира личните данни във връзка с изпълнението на следните цели:
Цел 1: За изпълнение на дейности, свързани със сключване, съществуване, изменение и прекратяване на договорни правоотношения, включително за :
–водене на счетоводна отчетност във връзка с изпълненията по договори, по които АЛД е страна;
–установяване на връзка с лицето за контакт по телефон, факс или по всякакъв друг законосъобразен начин;
–обработка на плащания във връзка със сключените договори от АЛД;
–изготвяне на всякакви документи;
–доставка и/или приемане на стоки/услуги, за комуникация във връзка с предоставяне и/или получаване на стоки/услуги и за предоставяне на свързаното с тях клиентско обслужване;
–изпращане на важна информация до субектите във връзка с промени в правилата, условията и политиките на Компанията и/или друга административна информация;
–установяване на връзка с лицето за контакт по телефон, факс или по всякакъв друг законосъобразен начин;
–обработка на плащания във връзка със сключените договори от АЛД;
–изготвяне на всякакви документи;
–доставка и/или приемане на стоки/услуги, за комуникация във връзка с предоставяне и/или получаване на стоки/услуги и за предоставяне на свързаното с тях клиентско обслужване;
–изпращане на важна информация до субектите във връзка с промени в правилата, условията и политиките на Компанията и/или друга административна информация;
Цел 2: Маркетингови цели – след получаване на изрично съгласие от субектите на лични данни;
Цел 3: За изпълнение на дейности, свързани с опазване имуществото на фирмата.
Събиране на данните
Личните данни за всеки субект се предоставят доброволно от самите лица и се събират от АЛД в изпълнение на нормативно задължение, във връзка със сключването на договор и/или изпълнения на задълженията по сключен договор съгласно разпоредбите на Търговския закон, Закона за счетоводството, Закона за задълженията и договорите, Закона за данъка добавена стойност и др. и условията посочени в договорът чрез: хартиен носител – писмени документи (вкл. пълномощни, договори, запорни съобщения, банкова информация и др.), по електронна поща – предоставени във връзка с изпълнението на търговски договор и/или чрез попълване на регистрационна форма. Субектът носи отговорност, че предоставените лични данни са верни и точни. Лицата се уведомяват за разпоредбите на тази Политика предварително или в момента на получаване на данните.
Обработка на личните данни
Личните данни ще бъдат обработвани в рамките на организацията на фирма Грийнютришън ООД от оторизирани лица, които ще имат достъп до тях въз основа на своите задължения и във връзка с целите на обработката, както и предоставяни на институции и служебни лица във връзка с изискванията на българското законодателство.
V. Законни интереси, преследвани от АЛД
Обработването на данните се извършва на основание законен интерес и във връзка със сключването, съществуването, изменението и прекратяването на търговски, трудови и граждански договори при прилагането и изпълнение на нормативните изисквания на Търговския закон, Кодекса за социално осигуряване, Данъчно-осигурителен процесуален кодекс, Кодекса на застраховането, Кодекса на труда, Закон за данъците върху доходите на физическите лица, Закона за счетоводството, Закон за задълженията и договорите и др.
VI. Прозрачност и условия за упражняване на правата на лицата
АЛД предоставя информация на лицата в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език. АЛД се стреми да гарантира, че лицата са запознати относно обработваните от него ЛД, че лицата изцяло и напълно разбират и са информирани във връзка с обработването в съответствие с изискванията на GDPR и Българското законодателство.
АЛД предоставя на лицата безплатно информация относно действията, предприети във връзка с искане относно правото им на достъп, коригиране, изтриване, ограничаване на обработването, преносимост, възражение и автоматизирано вземане на решения, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането.
При необходимост този срок може да бъде удължен с още два месеца, като се вземе предвид сложността и броя на исканията. АЛД информира лицето за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Когато съответното лице подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако лицето не е поискало друго.
Ако АЛД не предприеме действия по искането, той следва да уведоми лицето без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред.
Когато исканията на лицето са явно неоснователни или прекомерни, по-специално поради своята повторяемост, АЛД може или:
– да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия, или
– да откаже да предприеме действия по искането.
– да откаже да предприеме действия по искането.
Право на достъп на субектите
Всеки субект, чиято информация се обработва от АЛД, има право да получи от потвърждение дали се обработват ЛД, свързани с него, и ако това е така, да получи достъп до данните и следната информация:
–целите на обработването;
–съответните категории ЛД;
–получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни (вкл. в трети държави или международни организации);
–когато е възможно, предвидения срок, за който ще се съхраняват данните, а ако това е невъзможно, критериите, използвани за определянето на този срок;
–съществуването на право да се изиска от АЛД коригиране или изтриване на ЛД или ограничаване на обработването на ЛД, свързани със засегнатите лица, или да се направи възражение срещу такова обработване;
–правото на жалба до КЗЛД;
–съществуването на автоматизирано вземане на решения, вкл. профилирането, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за лицата
–съответните категории ЛД;
–получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни (вкл. в трети държави или международни организации);
–когато е възможно, предвидения срок, за който ще се съхраняват данните, а ако това е невъзможно, критериите, използвани за определянето на този срок;
–съществуването на право да се изиска от АЛД коригиране или изтриване на ЛД или ограничаване на обработването на ЛД, свързани със засегнатите лица, или да се направи възражение срещу такова обработване;
–правото на жалба до КЗЛД;
–съществуването на автоматизирано вземане на решения, вкл. профилирането, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за лицата
Когато ЛД се предават на трета държава или на международна организация, лицата имат право да бъдат информирани относно подходящите гаранции във връзка с предаването.
АЛД предоставя на лицето копие от ЛД, които са в процес на обработване. За допълнителни копия, поискани от лицата, АЛД може да наложи разумна такса въз основа на административните разходи. Когато лицето подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма, освен ако лицето не е поискало друго.
Право на коригиране
Всеки субект, чиито данни се обработват от АЛД, има право да поиска от АЛД да коригира без ненужно забавяне неточните ЛД, свързани с него. Като се имат предвид целите на обработването лицето има право непълните ЛД да бъдат допълнени.
Право на изтриване (право „да бъдеш забравен“)
Всеки субект, чиито данни се обработват от АЛД, има правото да поиска изтриване на свързаните с него ЛД без ненужно забавяне, а АЛД има задължението да изтрие без ненужно забавяне ЛД, когато:
–ЛД повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
–субектът оттегли своето съгласие, върху което се основава обработването на данните, и няма друго правно основание за обработването;
–субектът възрази срещу обработването и няма законни основания за обработването, които да имат преимущество;
–ЛД са били обработвани незаконосъобразно;
–ЛД трябва да бъдат изтрити с цел спазването на правно задължение, което се прилага спрямо администратора;
–ЛД са били събрани във връзка с предлагането на услуги на информационното общество.
–ЛД повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
–субектът оттегли своето съгласие, върху което се основава обработването на данните, и няма друго правно основание за обработването;
–субектът възрази срещу обработването и няма законни основания за обработването, които да имат преимущество;
–ЛД са били обработвани незаконосъобразно;
–ЛД трябва да бъдат изтрити с цел спазването на правно задължение, което се прилага спрямо администратора;
–ЛД са били събрани във връзка с предлагането на услуги на информационното общество.
Когато АЛД е направил ЛД обществено достояние и е задължен съгласно предходния параграф да изтрие ЛД, той, като отчита наличната технология и разходите по изпълнението, предприема разумни стъпки, включително технически мерки, за да уведоми администраторите, обработващи личните данни, че засегнатото лице е поискало изтриване от тези администратори на всички връзки, копия или реплики на неговите ЛД.
Право на ограничаване на обработването
Всеки субект, чиито данни се обработват от Администратора, има право да изиска от АЛД ограничаване на обработването, когато се прилага едно от следното:
–точността на личните данни се оспорва от лицето, за срок, който позволява на АЛД да провери точността на личните данни;
–обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
–АЛД не се нуждае повече от ЛД за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
–субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на АЛД имат преимущество пред интересите на субекта на данните.
–обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
–АЛД не се нуждае повече от ЛД за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
–субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на АЛД имат преимущество пред интересите на субекта на данните.
Когато обработването е ограничено съгласно горния параграф, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго ФЛ или поради важни основания от обществен интерес.
Когато субект на данните е изискал ограничаване на обработването, АЛД го информира преди отмяната на ограничаването на обработването.
Задължение за уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването
АЛД съобщава за всяко извършено коригиране, изтриване или ограничаване на обработване на всеки получател, на когото ЛД са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. АЛД информира субекта на данните относно тези получатели, ако субектът на данните поиска това.
Право на преносимост на данните
Субектът на данните има право да получи ЛД, които го засягат и които той е предоставил на АЛД, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от АЛД, когато:
–обработването е основано на съгласие във връзка с определени цели или на договорно задължение на субекта или предприемане на стъпки преди сключване на договор и
–обработването се извършва по автоматизиран начин.
Когато упражнява правото си на преносимост, субектът на данните има право да получи пряко прехвърляне на ЛД от един администратор към друг, когато това е технически осъществимо.
–обработването се извършва по автоматизиран начин.
Когато упражнява правото си на преносимост, субектът на данните има право да получи пряко прехвърляне на ЛД от един администратор към друг, когато това е технически осъществимо.
Когато упражнява правото си на преносимост, субектът на данните има право да получи пряко прехвърляне на ЛД от един администратор към друг, когато това е технически осъществимо.
Право на възражение
Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на ЛД, отнасящи се до него (когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия на АЛД, или обработването е за целите на легитимните интереси на АЛД или на трета страна), включително профилиране.
АЛД прекратява обработването на ЛД, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
Когато се обработват ЛД за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на ЛД, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг. Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.
Най-късно в момента на първото осъществяване на контакт със субекта на данните, той изрично се уведомява за съществуването на правото по предходните параграфи, което му се представя по ясен начин и отделно от всяка друга информация.
VII. Технически и организационни мерки за защита на данните
Защитата на данните на хартиено копие, както и на електронен носител от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поредица от вътрешно регулирани технически и организационни мерки, които могат да бъдат доказани при поискване.
VIII. Трансфер на лични данни
АЛД не осъществява и няма да осъществява трансфер на лични данни в страни, извън Европейския съюз.
IX. Нарушения и уведомяване за нарушения
Нарушение на сигурността на данни възниква, когато личните данни, за които Грийнютришън ООД отговаря, са засегнати от инцидент със сигурността, в резултат на който се нарушава поверителността, наличието или целостта на личните данни.
В този смисъл, нарушение на данните възниква, когато има нарушение на сигурността, водещо до инцидентно или незаконно унищожаване, загуба, изменение, нерегламентирано разкриване на данни, които се предават, съхраняват или по друг начин се обработват.
В случай на установени нарушение на сигурността на ЛД незабавно следва да се уведоми отговорното лице по GDPR.
След като съответният служител на Грийнютришън ООД получи информация за извършено нарушение, то трябва да определи дали конкретното събитие представлява нарушение на ЛД и да уведоми управителите на АЛД за събитието (в случай, че те не знаят).
В случай на нарушение на сигурността на ЛД, което съществува вероятност да породи риск за правата и свободите на ФЛ, АЛД (чрез съответния служител), без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението КЗЛД.
Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.
Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на ФЛ, АЛД без ненужно забавяне, съобщава на субекта за нарушението.
АЛД документира всяко нарушение на сигурността на ЛД, включително фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него.
X. Унищожаване на лични данни
Счетоводната и търговската информация, както и всички други сведения и документи от значение за данъчното облагане и задължителните осигурителни вноски се съхраняват от АЛД в следните срокове:
–ведомости за заплати – 50 години;
–счетоводни регистри и финансови отчети – 10 години;
–документи за данъчно-осигурителен контрол – 5 години след изтичане на давностния срок за погасяване на публичното задължение, с което са свързани;
–всички останали носители – 5 години.
–счетоводни регистри и финансови отчети – 10 години;
–документи за данъчно-осигурителен контрол – 5 години след изтичане на давностния срок за погасяване на публичното задължение, с което са свързани;
–всички останали носители – 5 години.
След изтичането на срока за съхранението им носителите на информация (хартиени или технически), които не подлежат на предаване в Националния архивен фонд, могат да се унищожават.
След приключване на срока за съхранение данните се унищожават възможно най-бързо посредством унищожаването на хартиените носители чрез шредиране, а на техническия носител-чрез заличаване и изтриване на съответните файлове от компютрите на Компанията.
Допълнителни разпоредби
По смисъла на настоящата Политика за защита на ЛД:
§1. „Администратор на лични данни“ – / АЛД / – е „Грийнютришън“ ООД с ЕИК 204028419, като действия на администратора осъществява отговорник по GDPR.
§2. „Обработване на лични данни“ е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхранение, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване или предаване, разпространяване, актуализиране или комбиниране, блокиране, заличаване или унищожаване на данните.
§3. Настоящата Политика подлежи на утвърждаване и довеждане до знанието на лицата, които касае, със заповед на Управителя на АЛД.
Политиката е одобрена от Управителя на 02.05.2018г.
Политиката е ефективна от 25.05.2018г.