ПОЛИТИКА ЗА ЗАЩИТА И ПОВЕРИТЕЛОСТ ПРИ ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ НА Созопол Резортс ЕООД, Банско Резортс ЕООД, Пампорово Резортс ЕООД – общо наричани „ДРУЖЕСТВА ОТ ГРУПАТА „ГРИЙН ЛАЙФ““ или „ГРИЙН ЛАЙФ“
Настоящият документ описва отговорностите и политиката за поверителност и защита на личните данни.
Общият регламент за защита на данните (GDPR) е приложим за всички лица, обработващи данни на граждани на ЕС.
Целта на тази политика е да бъде определено релевантното законодателство и да опише действията, които дружествата от Групата „Грийн лайф“ трябва да предприемат, за да постигнат съответствие с изискванията.
Цел: защита на физическите лица във връзка с обработването на лични данни на клиенти, персонал и друг род контрагенти на дружествата от Групата „Грийн лайф“.
Приложимо законодателство: Задълженията на „Грийн лайф“ като администратор произтичат на основание следните нормативни документи:
Общ регламент за защита на личните данни (Регламент (ЕС) 2016/679) и Конституция на Република България; Закон за защита на личните данни; Закон за електронните съобщения; Правилник за дейността на Комисията за защита на личните данни и нейната администрация; Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни; Инструкция № 1 от 21 декември 2016 г. за обстоятелствата, при които предприятията, предоставящи обществени електронни съобщителни услуги, уведомяват потребителите за нарушения на сигурността на личните данни, формата и начина на уведомяването на национално ниво.
Дефиниции /съгласно Общия регламент/:
Лични данни означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“). Това най-често са име, идентификационен номер, ЕГН, адрес, телефонен номер, e-mail и др. Обработване на лични данни означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване. Администратор означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.
Обработващ лични данни означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.
- Законосъобразност на обработването
Обработването е законосъобразно, в случай че е спазено поне едно от следните условия:
– субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;
– обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
– обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;
– обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
– обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
– обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
- Добросъвестност и прозрачност
Принципите на добросъвестно и прозрачно обработване изискват субектът на данни да бъде информиран за съществуването на операция по обработване и за нейните цели. Принципите на добросъвестно и прозрачно обработване са свързани със задължението на „Грийн лайф“ като администратор за предоставяне на информация.
III. Ограничение на целите
„Грийн лайф“ се задължава да събира личните данни за конкретни, изрично указани и легитимни цели и личните данни не трябва да се обработват по-нататък по начин, несъвместим с тези цели.
- Свеждане на данните до минимум
Личните данни трябва да са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват.
- Точност
Следи се за точността на личните данни и за поддържането им в актуален вид. Предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, предвид целите, за които се обработват.
- VI.Ограничение на съхранението
„Грийн лайф“ съхранява личните данни във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни. Личните данни могат да се съхраняват и за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането, за статистически цели, при приагане на подходящи технически и организационни мерки, предвидени в Регламента, с цел да бъдат гарантирани правата и свободите на субекта на данните.
VII. Отчетност
„Грийн лайф“ гарантира спазването на основните принципи на Регламента и обработва лични данни се извършва в съответстие с Регламента.
VIII. Цялостност и поверителност
„Грийн лайф“ обработва личните данни по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.
- Предоставяне на информация в писмена форма при събиране на лични данни от субекта на данните
„Грийн лайф“ предоставя на субекта на данните информация включваща идентификация на администратора, цели на обработването, получатели на лични данни, срок на съхранение и др., в кратка, разбираема и лесно достъпна форма, на ясен и прост език. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства. Информацията се предоставя безплатно.
Вслучай, че възнамерява по-нататък да обработва личните данни за цел, различна от тази, за която са събрани, „Грийн лайф“ предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел.
- Предоставяне на информация в писмена форма когато личните данни идват от субекта на данните.
Когато лични данни, свързани с даден субект на данни, не са получени от субекта на данните, „Грийн лайф“ предоставя на субекта на данните информация включваща идентификация на администратора, цели на обработването, получатели на лични данни, срок на съхранение и др., в кратка, разбираема и лесно достъпна форма, на ясен и прост език. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства. „Грийн лайф“ предоставя информацията:
– в разумен срок след получаването на личните данни, но най-късно в срок до един месец, като се отчитат конкретните обстоятелства, при които личните данни се обработват;
– ако данните се използват за връзка със субекта на данните, най-късно при осъществяване на първия контакт с този субект на данните; или
– ако е предвидено разкриване пред друг получател, най-късно при разкриването на личните данни за първи път. Информацията се предоставя безплатно.
Когато „Грийн лайф“ възнамерява по-нататък да обработва личните данни за цел, различна от тази, за която са събрани, той предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел.
- „Грийн лайф“, в качеството на администратор, предоставя достъп на физическите лица до отнасящите се за тях данни
„Грийн лайф“ предоставя в срок от един месец от получаване на искане от субекта на данните потвърждение дали се обработват лични данни, свързани със субекта на данните.
Когато личните данни се предават на трета държава или на международна организация, субектът на данните има право да бъде информиран относно подходящите гаранции по член 46 от Регламента във връзка с предаването.
„Грийн лайф“ предоставя копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от субекта на данните, администраторът може да наложи разумна такса въз основа на административните разходи. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма, освен ако субектът на данни не е поискал друго.
Срокът за предоставяне на горната информация е един месец от получаването на искането от субекта на данните, но може да бъде удължен с два месеца. „Грийн лайф“ информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако администраторът не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Информацията се предоставя безплатно.
XII. Коригиране
„Грийн лайф“ коригира без ненужно забавяне (в срок от един месец) неточните лични данни, свързани с него по искане на субекта на данните. Като се имат предвид целите на обработването субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация. Срокът може да бъде удължен с два месеца. „Грийн лайф“ информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако „Грийн лайф“ не предприеме действия по искането на субекта на данни, уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Коригирането се извършва безплатно.
XIII. Изтриване
„Грийн лайф“ изтирва свързани със субекта на данните лични данни без ненужно забавяне (в срок от един месец) по искане на субекта на данните. Срокът може да бъде удължен с два месеца. „Грийн лайф“ информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако „Грийн лайф“ не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Изтриването се извършва безплатно.
„Грийн лайф“ изтрива данните само ако е приложимо някое от посочените по-долу основания:
– личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
– субектът на данните оттегля своето съгласие, върху което се основава обработването на данните;
– субектът на данните възразява срещу обработването съгласно член 21, параграф 1 от Регкамента и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработването на лични данни за целите на директния маркетинг;
– личните данни са били обработвани незаконосъобразно;
– личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо администратора; – личните данни са били събрани във връзка с предлагането на услуги на информационното общество на дете.
XIV. Ограничаване на обработването
Ограничаване на обработването означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще. „Грийн лайф“ се задължава да ограничи обработването на данните в срок от един месец по искане на субекта на данните. Срокът може да бъде удължен с два месеца. „Грийн лайф“ информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако „Грийн лайф“ не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Ограничаването се извършва безплатно.
Ограничаването следва да бъде извършено когато се прилага едно от следните условия, а именно:
– точността на личните данни се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на личните данни;
– обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им; – администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
– субектът на данните е възразил срещу обработването съгласно член 21, параграф 1 от Регламента в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.
Когато се извърши ограничение на обработването, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес за Съюза или държава членка. Когато субект на данните е изискал ограничаване на обработването, администраторът го информира преди отмяната на ограничаването на обработването.
- Уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването
„Грийн лайф“ се задължава да съобщава за всяко извършено коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. „Грийн лайф“ информира субекта на данните относно тези получатели, ако субектът на данните поиска това.
XVI. Осигуряване на преносимост на данните
„Грийн лайф“ се задължава да предостави личните данни на субекта на данните, които го засягат и които са му били предоставени от субекта на данните, в структуриран, широко използван и пригоден за машинно четене формат, когато обработването е основано на съгласие в съответствие или на договорно задължение и обработването се извършва по автоматизиран начин.
„Грийн лайф“ се задължава да прехвърли данните в срок от един месец по искане на субекта на данните. Срокът може да бъде удължен с два месеца. „Грийн лайф“ информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако„Грийн лайф“ не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Прехвърлянето се извършва безплатно.
XVII. Прекратяване обработването на данните
„Грийн лайф“ се задължава да прекрати обработването на личните данни, в следните случаи изброени по-долу, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
– обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
или
– обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
„Грийн лайф“ се задължава да прекрати обработването на личните данни за целите на директния маркетинг, когато субектът на данни възрази срещу обработване за целите на директния маркетинг.
XVIII. Предоставяне на информация относно право на възражение срещу обработване на лични данни
„Грийн лайф“ предоставя информация на субекта на данните за правото на субекта на възражение срещу обработване на лични данни най-късно в момента на първото осъществяване на контакт със субекта на данните, която информация се предоставя чрез уведомление по ясен начин и отделно от всяка друга информация.
XIX. Предоставяне на информация относно право на възражение срещу обработване на лични данни за целите на директния маркетинг
„Грийн лайф“ уведомява субекта на данни за съществуването на право на възражение за обработване на лични данни за целите на директния маркетинг. „Грийн лайф“ се задължава да предостави информация за правото на субекта на възражение срещу обработване на лични данни за целите на директния маркетинг най-късно в момента на първото осъществяване на контакт със субекта на данните, която информация се предоставя чрез уведомление по ясен начин и отделно от всяка друга информация. „Грийн лайф“ се задължава да прекрати обработването на личните данни за целите на директния маркетинг, когато субектът на данни възрази срещу обработване за целите на директния маркетинг.
- Осигуряване на сигурност при обработването чрез въвеждане на технически и организационни мерки
„Грийн лайф“ въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването на лични данни се извършва в съответствие с Регламента. Тези мерки се преразглеждат и при необходимост се актуализират.
Такива мерки са:
– псевдонимизация и криптиране на личните данни;
– способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
– способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
– процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването;
– свеждане на данните до минимум: обработват се само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. По-специално, подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица;
– сътрудничество с надзорния орган за защита на личните данни при изпълнение на задълженията, произтичащи то Регламента;
– ограничаване на броя на лицата, които имат достъп до данните.
XXI. Обработване на данните от името на „Грийн лайф“
Когато обработването се извършва от името на „Грийн лайф“, „Грийн лайф“ се задължава да използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламента и да осигурява защита на правата на субектите на данни. Обработващият данни няма право да включва друг обработващ данни без предварителното конкретно или общо писмено разрешение на администратора. В случай на общо писмено разрешение, обработващият данни винаги информира администратора за всякакви планирани промени за включване или замяна на други лица, обработващи данни, като по този начин даде възможност на администратора да оспори тези промени.
Обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт, който е задължителен за обработващия лични данни спрямо администратора, и който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора.
XXII. Сътрудничество с надзорния орган
„Грийн лайф“ и обработващият лични данни се задължават да си сътрудничат с надзорния орган при изпълнението на неговите задължения.
XXIII. Уведомяване на надзорния орган за нарушение на сигурността на личните данни
В случай на нарушение на сигурността на личните данни, „Грийн лайф“, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа, след като е разбрал за него, се задължава да уведоми за нарушението на сигурността на личните данни надзорния орган, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Уведомлението до надзорния орган съдържа причините за забавянето, когато не е подадено в срок от 72 часа. Обработващият лични данни уведомява администратора без ненужно забавяне, след като узнае за нарушаване на сигурността на лични данни.
„Грийн лайф“ се задължава да документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него.
XXIV. Cъобщаване на субекта на данните за нарушение на сигурността на личните данни
Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, „Грийн лайф“, без ненужно забавяне се задължава да съобщи на субекта на данните за нарушението на сигурността на личните данни.
XXV. Обезщетение за претърпени вреди
„Грийн лайф“ или обработващият лични данни се задължават да обезщетят всички вреди, които дадено лице може да претърпи в резултат на обработване на данни, което нарушава Регламента.
XXVI. Извършване на оценка на въздействието
Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, „Грийн лайф“ извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни. В една оценка може да бъде разгледан набор от сходни операции по обработване, които представляват сходни високи рискове. При извършването на оценка на въздействието върху защитата на данните администраторът иска становището на определеното длъжностно лице по защита на данните.
XXVII. Предварителна консултация
„Грийн лайф“ се консултира с надзорния орган преди обработването, когато оценката на въздействието върху защитата на данните покаже, че обработването ще породи висок риск, ако администраторът не предприеме мерки за ограничаване на риска.
XXVIII. Длъжностно лице по защита на данните
С оглед на основните дейности на „Грийн лайф“, състоящи в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни, „Грийн лайф“ определя длъжностно лице по защита на данните.
„Грийн лайф“, в качеството на администратор или обработващият лични данни гарантират, че длъжностното лице по защита на данните участва по подходящ начин и своевременно във всички въпроси, свързани със защитата на личните данни. Администраторът и обработващият лични данни подпомагат длъжностното лице по защита на данните при изпълнението на задачите му изчерпателно изброени в чл.39 от Регламента, като осигуряват ресурсите, необходими за изпълнението на тези задачи, и достъп до личните данни и операциите по обработване, а така също поддържат неговите експертни знания. Администраторът и обработващият лични данни правят необходимото длъжностното лице по защита на данните да не получава никакви указания във връзка с изпълнението на тези задачи. Длъжностното лице по защита на данните не може да бъде освобождавано от длъжност, нито санкционирано от администратора или обработващия лични данни за изпълнението на своите задачи. Длъжностното лице по защита на данните се отчита пряко пред най-висшето ръководно ниво на администратора или обработващия лични данни.
XXIX. Провеждане на тренировка на персонала за реакция при събития, застрашаващи сигурността на личните данни
„Грийн лайф“ се задължава да проведе тренировка на персонала за реакция при събития, застрашаващи сигурността на личните данни.
XXX. Провеждане на обучение на персонала за механизма на обработване на лични данни и защитата им в поддържаните регистри, съдържащи лични данни
„Грийн лайф“ се задължава да проведе обучение на персонала за механизма на обработване на лични данни и защитата им в поддържаните регистри, съдържащи лични данни.