СЪДЪРЖАНИЕ

Въведение

Настоящата политика за защита на личните данни е прозрачна, разбираема, лесно достъпна и изготвена на основание Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (наричан по-долу Регламента), Закона за защита на личните данни (ЗЗЛД) и всички приложими нормативни актове, които имат отношение към обработването и защитата на данните, както и стандарт ISO/IEC 27701:2019 Методи за сигурност. Допълнение към ISO/IEC 27001 и ISO/IEC 27002 за управление на неприкосновеността на личната информация. Изисквания и указания.

ОСКАР-ЕЛ ЕООД, ЕИК 130343194, със седалище и адрес на управление в гр. Божурище, п.к. 2227, бул. Европейски път № 88, тел. +359 (2) 962 4693, адрес на електронната поща: office@oskar-el.com, представлявано от г-жа Елена Минчева, в качеството й на Управител и от г-н Борислав Милев, в качеството му на Управител, представляващи поотделно (наричано по-долу Дружеството, ОСКАР-ЕЛ, ние, нас, наш), е администратор на лични данни и обработва информация, между които и такава, представляваща лични данни.

Политиката за защита на личните данни е приложима за Вашите лични данни, ако сте физическо лице или представител на юридическо лице, което е клиент или търговски партньор на ОСКАР-ЕЛ ЕООД, кандидат за работа, служител на дружеството или посетител в производствените и административни посещения на дружеството. Същото е администратор на лични данни по смисъла на Закона за защита на личните данни и този документ ще Ви разясни каква лична информация обработваме при предоставяне на услугите ни и другите дейности, които съпътстват основната ни дейност, за какви цели я използваме и какви са правата Ви като субект на лични данни. Информираме всички служители, клиенти, партньори, доставчици по договори, потребители и други трети страни, действащи като Обработващи лични данни, за отговорността и задълженията им, чрез ефективна и навременна комуникация.

Когато споделяте лични данни с нас, ние ги обработваме съгласно тази политика. Моля, прочетете внимателно информацията, и ако имате някакви въпроси, свържете се с нас на посочените по-горе координати, включително и на следния електронен адрес за връзка с отговорника по защита на личните данни в дружеството: data.privacy@oskar-el.com.

Спазването на правилата, посочени в настоящата политика е задължително за всички служители на дружеството, клиенти, търговски партньори, както и за всички доставчици и изпълнители по договори.

 1. Отговорности и дефиниции

Висшето ръководство на ОСКАР-ЕЛ ЕООД се ангажира със:
•    стремеж за постигане на целите по осигуряване на поверителност, цялостност и наличност на личните данни;
•    изпълнение на приложимите изисквания, свързани със сигурността и неприкосновеността на личната информация;
•    непрекъснато подобряване на системата за управление на сигурността на информацията и неприкосновеността на личната информация.
Администратор на лични данни e ОСКАР-ЕЛ ЕООД. Администраторът на лични данни сам определя целите и средствата за обработването на лични данни и осигурява спазването на изискванията на местното и европейското законодателство за защита на личните данни. Администраторът на лични данни възлага със заповед или друг правен акт на служителите, чиито служебни задължения или конкретно възложена задача налагат достъпа до лични данни, функцията обработващ лични данни.
Административни и производствени помещения – административната база, производствените и складовите помещения на ОСКАР-ЕЛ ЕООД, находящи се в гр. Божурище, п.к. 2227, бул. Европейски път № 88.
Кандидат за работа – физическо лице, взело участие в процес по подбор на персонал в дружеството на доброволен принцип.
Лични данни – всяка лична информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано (субект на данни). Физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице. За целите на настоящия документ, както и на останалите документи, които са част от интегрираната системата за управление в ОСКАР-ЕЛ ЕООД, термините лични данни и лична информация за идентификация са синоними и могат да бъдат употребени като взаимнозаменяеми.
Обработка на лични данни – всички дейности, свързани с използването и управлението на лични данни, включително съхранение, събиране, актуализиране, споделяне, изтриване и други.
Обработващ лични данни – физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора. Отговорен за спазването на описаните правила, прилагането на приложимите нормативни актове и стандарти. Следи за правилната обработка на данните, поддържа актуална необходимата документация за съхранението на всички видове лични данни и носи отговорност за правилното им съхранение и защита. Задължава се да информира администратора и физическите лица при обработка на личните им данни. Задължава се да търси съгласие при необходимост от обработка на допълнителни лични данни.
Достъпващ лични данни - физическо лице, което обработва лични данни от името на администратора, действащо под негово ръководството и имащо достъп до личните данни, обработва тези данни само по указание на администратора. Достъпващият лични данни обработва тези данни само по указание на администратора и в рамките на неговите преки трудови задължения. За достъпващи лични данни се считат всички лица, които в ежедневните си трудови задължения в организацията на администратора имат достъп и извършват дейности по обработване на лични данни.
Анонимизация – необратимо заличаване на всички лични данни, позволяващи идентифицирането на конкретно лице.
Псевдонимизация – обработване на лични данни по начин, които не позволява личните данни да бъдат свързани с конкретно физическо лице без използване на допълнителна информация, при условие, че тази допълнителна информация се води отделно и подлежи на технически и организационни мерки, за да се гарантира, че псевдонимизираните данни не могат да послужат за идентифициране на физическо лице.
Съгласие на субекта на данните – всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.
Физическо лице служител / субект на данни – човешки индивид, подлежащ на идентификация, за който се отнасят личните данни. Носи отговорност за истинността на предоставените лични данни и се ползва от всички права, касаещи субектите на лични данни. Служител е всяко физическо лице, което е страна по трудово правоотношение с ОСКАР-ЕЛ ЕООД по смисъла на трудовото законодателство на Република България. Всеки служител се явява субект на лични данни по смисъла на законодателството, касаещо защитата на личните данни. За да се избегне всякакво съмнение, единствено за целите на настоящата политика към служители се приравняват, лицата, обвързани от следните договори с ОСКАР-ЕЛ ЕООД, които се уреждат от гражданското и търговско законодателство, а именно довереникът по договор за поръчка, изпълнителят по договор за изработка, изпълнителят по договор за услуга, управителят по договора за управление и контрол.
Чувствителни лични данни – лични данни, касаещи политически и религиозни възгледи, расов или етнически произход, генетични или биометрични данни, данни касаещи физическо, емоционално и психическо здраве, медицински изследвания и данни, касаещи здравословното състояние, сексуална ориентация и други.
Юридическо лице – корпоративно организирано лице по смисъла на приложимото законодателство, осъществяващо стопанска или нестопанска дейност. Юридическото лице може да бъде идентифицирано чрез неговите индивидуализиращи белези: наименование, ЕИК, седалище и адрес на управление, данни за представляващите го лица и съставът на неговите органи. Юридическото лице като такова не може да бъде субект на лични данни по смисъла на европейското и местно законодателство за защита на личните данни.

2. Категории лични данни, които подлежат на обработка. Правни основания и цели

2.1    Категории данни, които подлежат на обработка:
2.1.1    Данни, събирани по отношение на клиенти, доставчици, други търговски партньори или посетители в административните и производствени помещения на дружеството. Те могат да бъдат предоставени от Вас, представител на Вашата организация или от лице за контакт и са данни, необходими за участие в преддоговорни отношения, посещение на административните и/или производствени помещения на дружеството или изпълнение на договорни задължения и други ангажименти. Включват:
•     три имена;
•     единен граждански номер или личен номер на чужденец;
•     адрес за кореспонденция и/или постоянен адрес по лична карта;
•     телефонен номер;
•     адрес на електронна поща;
•      видеозапис от охранителни камери.
2.1.2    Данни, събирани от кандидати за работа:
•      три имена;
•      личен телефонен номер;
•      адрес за кореспонденция;
•      данни за образование и други професионални квалификации;
•      данни за професионален опит;
•      адрес на лична електронна поща;
•     видеозапис от охранителни камери (в случай на провеждане на интервю на място в административните или производствени помещения на дружеството).
2.1.3    Данни, събирани от служители:
•     три имена;
•     единен граждански номер или личен номер на чужденец;
•     пълните данни от лична карта, карта за пребиваване или официален документ за предоставена закрила;
•     пълните данни от диплома за завършено образование и удостоверения/дипломи за повишаване на квалификацията;
•     пълни данни от шофьорска книжка, в случаите, в които длъжността за която е наето лице го предполага;
•     личен телефонен номер;
•     адрес на лична електронна поща;
•     данни за социално осигурителен доход и осигуровки;
•     номер на банкова сметка (IBAN);
•     данни за наличие/липса на присъда от свидетелство за съдимост, в случаите, в които длъжността на която е наето лицето предполага чисто съдебно минало;
•     данни за наличие или липса на обвинения по неприключени наказателни производства, когато е необходимо (при работа на стратегически обекти);
•     данни от медицински прегледи от психодиспансер за работа на стратегически обекти;
•     данни относно здравния статус (от медицинско свидетелство за постъпване на работа, за повишаване на квалификацията, данни от болнични листа, данни от НЕЛК/ТЕЛК решения);
•     данни за проучване в Държавна Комисия по Сигурността на Информацията и/или Държавна Агенция Национална Сигурност (при работа на стратегически обекти);
•     данни за наличие/липса на публични задължения, подлежащи на принудително изпълнение и задължения за местни данъци и такси, които подлежат на принудително изпълнение и събиране от Национална агенция по приходите (НАП), в случаите при използване на данъчни облекчения;
•     данни за членове на семействата при използване на социални придобивки (със съгласие на служителите);
•     видеозапис от охранителни камери.
2.1.4    Изброените категории лични данни представляват максимум категории лични данни, които могат да подлежат на обработване в съответната хипотеза. Не за всеки конкретен случай е необходима обработка на пълния набор от изброените лични данни за съответния субект на лични данни.
2.2     Цели за обработване на лични данни
Целите, поради които се обработват Вашите лични данни са идентифициране и индивидуализиране на упълномощен представител на клиент, служител или друго лице, в хипотезите на сключване на договор, включително и при актуализирането на същите, изпращане на куриерска пратка до клиент, проучване на техническата възможност за предоставяне на услуга, издаване на фактура, както и всички други хипотези на интеракция между дружеството и физическо лице, което извършва или е упълномощено да извършва някаква работа на територията на дружеството и други.
2.3    Правни основания за обработка на лични данни
Дружеството събира и обработва лични данни на следните законови основания и в следните случаи:
•     след предоставяне на съгласие от страна на физическите лица, субекти на лични данни;
•     когато е налице договорно отношение с клиент/служител;
•     за да се изпълни правно задължение или за да се реализира право (съгласно законодателството на Европейският Съюз или националното законодателство);
•     когато обработването е необходимо за изпълнение на задача, изпълнявана от обществен интерес (съгласно законодателството на Европейският Съюз или националното законодателство);
•     за да се предостави информация на Комисията за защита на личните данни (КЗЛД), във връзка със задължения, предвидени в нормативната уредба за защита на личните данни – Закон за защита на личните данни, Регламент (ЕС) 2016/679 от 27 април 2016 година и други;
•     за да се изпълнят задължения, предвидени в Закона за счетоводството и Данъчно-осигурителния процесуален кодекс и други свързани нормативни актове, във връзка с воденето на правилно и законосъобразно счетоводство, когато обработката на данните се изисква по закон (например при издаването на фактури), при изпълнение на задължения за издаване на документи, удостоверяващи предоставянето на услугите когато обработката на данните се изисква по закон (например при издаването на фактури) при изпълнение на задължения за издаване на документи, удостоверяващи предоставянето на услугите;
•     за да се изпълнят задължения, предвидени в Кодекса за социално осигуряване;
•     за да се предостави информация на съда и трети лица, в рамките на производство пред съд, съобразно изискванията на приложимите към производството процесуални и материалноправни нормативни актове;
•     за да се защитят жизненоважни интереси на дадено физическо лице.

3. Отказ от предоставяне на лични данни. Оттегляне на съгласие за обработка на лични данни.

3.1    Вие можете да откажете да предоставите личните си данни, но в този случай поради невъзможност да бъдете еднозначно идентифицирани, това може да доведе до невъзможност за започване на правоотношения между Вас и дружеството, пълноценното изпълняване на ангажименти по вече започнати правоотношения или осъществяването на други цели и изпълняването на други работи, които предполагат необходимостта от обработване на личните Ви данни. 
3.2    Също така имате възможност по всяко време да оттеглите съгласието си за обработване на личните Ви данни. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на изрично дадено съгласие или съгласие, което е предоставено чрез конклудентни действия преди неговото оттегляне. Можете да оттеглите съгласието си в устна или в писмена форма на посочените данни за контакт с дружеството в настоящата политика. След като сте оттеглили съгласието си за обработване на личните Ви данни, ние ще преустановим обработката на данните за целта/целите, за които Вие първоначално сте се съгласили и ще ги изтрием от нашите бази данни, без да е възможно те да бъдат възстановени, освен в случаите, в които сме задължени по закон да съхраняваме личните Ви данни за определен срок или да продължим дейностите по обработване. В последните два случая ще бъдете уведомени своевременно.

4.Трети страни с достъп до Вашите лични данни

5. Трансгранично предаване на лични данни

6. Срок на съхранение на личните данни

7. Права на субектите на лични данни във връзка с обработване на личните им данни

Като субект на лични данни по отношение на Вашите лични данни имате следните права:
•    да получите достъп до личните Ви данни и информация, свързана с тях. Може да поискате информация за това дали отнасящи се до Вас данни се обработват, информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват;
•    да изискате да се коригират/обновят личните Ви данни без ненужно забавяне, когато са неточни или е необходимо да се допълнят или актуализират;
•    да поискате да се заличат или „забравят“ личните Ви данни, когато обработването им не отговаря на изискванията на законодателството;
•    да поискате да се ограничи обработването на личните Ви данни при определени обстоятелства, като например неправомерно обработване или когато администраторът на лични данни вече не се нуждае от личните Ви данни за целите на обработването;
•    да поискате личните Ви данни в електронен формат, за да ги прехвърлите на друг администратор;
•    да оттеглите своето съгласие за обработка на личните Ви данни;
•    да получите съобщение в разбираема форма, съдържащо личните Ви данни, които се обработват, както и всяка налична информация за техния източник;
•    право на възражение - да възразите срещу обработването на личните Ви данни. В случай, че смятате, че нарушаваме приложимата нормативна уредба, Ви молим да се свържете с нас за изясняване на въпроса. Разбира се, имате право да подадете жалба пред Комисията за защита на личните данни. След 25 май 2018 г. можете да подадете жалба и пред регулаторен орган, в рамките на ЕС по Вашето местопребиваване, място на работа или място на предполагаемото нарушение на Вашите лични данни, когато това място е различно от Република България;
•    да поискате личните Ви данни да бъдат изтрити, в случай че личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин, възразили сте срещу обработването им, или считате че личните Ви данни са били обработвани незаконосъобразно.

8. Уеб сайт на Дружеството и връзки към други сайтове

8.1    Нашият фирмен уеб сайт (www.oskar-el.com) използва бисквитки, което ни позволява да подобряваме услугите и продуктите, които Ви предлагаме. Бисквитките могат да бъдат от рекламни партньори и кампании. Те представляват малък текстов файл, който се записва на твърдият диск на Вашето устройство, посредством уеб браузъра Ви, след като посетите нашия уебсайт.
8.2    Бисквитките служат за проследяване на посетителите на уебсайта и дават възможност да предложим продукти или услуги, от които бихте имали нужда. В случай че не искате да получавате бисквитки или искате да получавате уведомления за бисквитки можете да промените тази настройка на браузъра. За повече информация можете да посетите меню Помощ от лентата с инструменти на браузъра, който използвате. Бисквитките, които използваме, не съхраняват никакви данни, от Вашите устройства.
8.3    Категории лични данни, събирани чрез дигитални решения:
•     име, адрес на електронната поща, телефонен номер;
•     информация относно използването на нашия уебсайт - IP адрес;
•     съобщенията, които ни изпращате или адресирате до нас чрез писма, имейли и други социални медии.

9. Заявления за достъп до информация, корекция на лични данни и възражения

Заявленията за достъп до информация или за актуализация, както и възраженията във връзка с обработването на личните Ви данни се подават лично или от изрично упълномощено от Вас лице, чрез пълномощно. Заявление може да бъде отправено и по електронен път, по реда на Закона за електронния документ и електронния подпис на следния електронен адрес: data.privacy@oskar-el.com. Ние ще се произнесем по Вашето искане в срок от 30 /тридесет/ дни от неговото подаване. При обективно необходим по-голям срок – с оглед събиране на всички искани данни и в случай, че това сериозно затруднява дейността ни, този срок може да бъде удължен с до 30 /тридесет/ дни. С решението си ние даваме или отказваме достъп до исканата от заявителя информация, но винаги мотивираме отговора си. В случай на отправено възражение винаги ще изпратим писмен отговор по същество в посочените срокове.

10. Надзорен орган

Надзорен орган относно защитата на личните данни в Република България е Комисията за защита на личните данни.
Ако смятате, че Вашите права са засегнати, освен гореизброените Ви права като субект на лични данни, Вие имате право да подадете жалба директно до компетентния надзорен орган по реда и при условията, предвидени в Закона за защита на личните данни, когато считате, че има извършено нарушение на нормативните изисквания за защита на личните данни. Контактната информация на Комисията за защита на личните данни са: адрес в гр. София, п.к. 1592, бул. Проф. Цветан Лазаров № 2, телефон за връзка: 02/91-53-519; 02/91-53-555, факс: 029153525; имейл адрес: kzld@cpdp.bg; интернет страница: www.cpdp.bg.
 

11. Длъжностно лице по защита на личните данни

Нашите основни дейности не се състоят в операции по обработване на лични данни, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни или в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения. С оглед това обстоятелство нямаме законово задължение за назначаване на длъжностно лице по защита на данните. Въпреки това в Дружеството има определено отговорно лице по защита на личните данни, което е компетентно да отговаря по всички искания и запитвания по отношение на личните данни и въпроси, свързани с тях на следните данни за контакт: на електронен адрес за кореспонденция data.privacy@oskar-el.com или на телефон +359 (2) 962 4693.

12. Сигурност и мерки за защита на личните данни

За нас поверителността и сигурността на личните данни на нашите клиенти, служители и партньори винаги е била от първостепенна важност. Вашите лични данни се защитават съвестно от загуба, унищожение, изопачаване, фалшификация, манипулация и неправомерен достъп, като се обработват при спазване на всички нормативни изисквания, процедурите за работа, интегрираната система за управление на дружеството и добрите практики. По отношение на личните данни са взети специални мерки за дигитална защита, включително съхраняване на сървъри с ограничен достъп, криптиране и други.