ПРЕАМБЮЛ
ПСИХОМЕДА ЕООД, като администратор на лични данни, събира и обработва определена информация за физически лица.
Тази информация може да се отнася до служителите на Администратора, държавни и общински органи, представители на дружества, в това число, но не само: клиенти, доставчици, контрагенти, както и други физически лица, с които Администраторът има търговски и други взаимоотношение или е в процес на установяване на такива.
Настоящата политика за защита на личните данни урежда начина, по които да бъдат събирани, обработвани и съхранявани личните данни, за да отговарят на стандартите в организацията на Администратора и да са в съответствие с правните изисквания.
I. Правно основание
Настоящата Политика за защита на личните данни (“Политика”) се издава на основание Закона за защита на личните данни и подзаконовите му актове, така както се променят, (“Българското законодателство”), и Общия регламент относно защитата на данните (ЕС) 2016/679 (“ОРЗД”или Регламента)
Българското законодателство и ОРЗД предвиждат правила как организациите, в това число и дружество ПСИХОМЕДА ЕООД , в качеството им на администратори, трябва да събират, обработват и съхраняват лични данни. Тези правила се прилагат от Администратора независимо дали се касае за данни, които се обработват електронно, на
хартия или на други носители.
За да бъде обработването на лични данни в съответствие с правните изискванията, личните данни се събират и използват основателно, съхраняват се сигурно и Администраторът предприема необходимите мерки, за да не бъдат обработваните лични данни обект на незакономерно разкриване.
Дефиниции
За целите на настоящата политика и в съотвествие с Регламента и българското законодателство:
1) „Лични данни“ означава означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
2) „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
3) „ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;
4) „профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;
5) „псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;
6) „регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;
7) „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
8) „обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
9) „получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
10) „трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
11) „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
12) „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
13) „данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;
14) „представител“ означава физическо или юридическо лице, установено в Съюза, което, назначено от администратора или обработващия лични данни в писмена форма съгласно член 27, представлява администратора или обработващия лични данни във връзка със съответните им задължения по настоящия регламент;
15) „дружество“ означава физическо или юридическо лице, което осъществява икономическа дейност, независимо от правната му форма, включително партньорствата или сдруженията, които редовно осъществяват икономическа дейност;
16) „група предприятия“ означава контролиращо предприятие и контролираните от него предприятия;
17) „задължителни фирмени правила“ означава политики за защита на личните данни, които се спазват от администратор или обработващ лични данни, установен на територията на държава членка, при предаване или съвкупност от предавания на лични данни до администратор или обработващ лични данни в една или повече трети държави в рамките на група предприятия или група дружества, участващи в съвместна стопанска дейност;
19) „надзорен орган“ означава независим публичен орган, създаден от държава членка съгласно член 51; 4.5.2016 г. L 119/34 Официален вестник на Европейския съюз BG, който по отношение на Р България е Комисията за защита на личните данни.
Администраторът на лични данни е запознат с и следва принципите, предвидени в Регламента, а именно:
- личните данни се обработват законосъобразно, добросъвестно и прозрачно;
- личните данни се събират за конкретни, изрично указани и легитимни цели и не се
обработват по-нататък по начин, несъвместим с тези цели; - личните данни са подходящи, свързани с и ограничени до необходимото във връзка е целите, за които се обработват;
- личните данни са точни и при необходимост се поддържат в актуален вид;
- личните данни се съхраняват във форма, която да позволява идентифицирането на
засегнатите лица за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; - личните данни са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.
Цели на Политиката
Настоящата Политика цели Администраторът да:
- бъде в съответствие с приложимото законодателство по отношение на личните данни и да следва установените добри практики;
- установи механизмите за водене, поддържане и защита на отчетните регистри;
- установи задълженията на длъжностното лице, и неговата отговорност при неизпълнение на тези задължения;
- защитава правата, клиентите и партньорите;
- бъде открит как съхранява и защитава личните данни на физическите лица;
- установи необходимите технически и организационни мерки за защита личните данни от неправомерно обработване (случайно или незаконно унищожаване, случайна загуба неправомерен достъп, изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни);
- бъде защитен при риск от нарушения.
Обхват
Настоящата Политика се прилага по отношение на обработването на лични данни на, контрагенти, доставчици, клиенти и партньори, така както са описани в електронните отчетни регистри, установени в съответствие е тази Политика, Българското законодателство и чл. 30 от Регламента (“Регистри на дейностите по обработване”).
Събиране на лични данни
Категории данни и субекти
“Лични данни” са всяка информация, свързана е идентифицирано физическо лице или
физическо лице, което може да бъде идентифицирано („Субект на данни“):
Администраторът събира лични данни по отношение на следните категории лица:
- Лица, които се намират в трудови правоотношения с Администратора;
- Лица, които кандидатстват за работа при Администратора;
- Лица, на които е възложено изпълнение на определени задачи въз основа на граждански договор;
- лица, представляващи дружествата, с които Администраторът има търговски взаимоотношения;
- лица за контакт в дружествата, с които Администраторът има търговски взаимоотношения;
- лица, представляващи държавни и/или общински органи; финансови институции, неправителствени организации и/или други лица, на които е възложено изпълнението на публични функции;
- лица за контакт в държавни и/или общински органи; финансови институции, неправителствени организации и/или други лица, на които е възложено изпълнението на публични функции;
Цели на събирането на данните
Администраторът събира личните данни във връзка с изпълнението на следните цели:
За изпълнение на дейности, свързани с терапия на емоционална нестабилност и несигурност;
- за установяване на връзка с лицето за контакт по телефон, факс или по всякакъв друг законосъобразен начин;
- за комуникация във връзка с предоставяне и/или получаване на онлайн курсове за лечение на паническо разстройство и депресия и за предоставяне на свързаното с тях клиентско обслужване;
- За обработка на плащания във връзка със сключените договори от Администратора;
- За изпращане на важна информация до субектите във връзка с промени в правилата, условията и политиките на Администратора и/или друга административна информация;
Събиране на данните
Личните данни за всяко лице се предоставят доброволно от самите лица и се събират от Администратора в изпълнение на нормативно задължение, във връзка със сключването на договор и/или изпълнения на задълженията по сключен договор съгласно разпоредбите на, Търговския закон, Закона за счетоводството, Закон за данък добавен стойност, Данъчно-процесуален кодекс, Закона за задълженията и договорите, и др. и условията посочени в договорите със съответния съконтрагент чрез: хартиен носител – писмени документи /, банкова информация и др./, по електронна поща – предоставени във връзка с изпълнението на сключен договор. Лицата се уведомяват за разпоредбите на тази Политика предварително или в момента на получаване на данните им.
Основания за събиране на данни от администратора
Администраторът може да обработва данни на следните основания:
A. за да се изпълни правно задължение във връзка със сключването, съществуването, изменението и прекратяването на търговски и граждански договори при прилагането и изпълнение на нормативните изисквания на Търговския закон, Данъчно-осигурителен процесуален кодекс, Кодекса на застраховането, Закон за данъците върху доходите на физическите лица. Закона за счетоводството, Закон за задълженията и договорите и др.
B. със съгласието на засегнатите физически лица;
C. когато обработването е необходимо за изпълнение на задача, изпълнявана от обществен интерес (съгласно законодателството на ЕС или националното законодателство);
D. за да се защитят жизненоважни интереси на дадено физическо лице;
E. за законни интереси на администратора, но само след установяване, че основните права и свободи на лицето, чиито данни се обработват, не са сериозно засегнати. Преценката дали законните интереси на администратора за обработване на данните имат преимущество пред тези на засегнатите лица зависи от индивидуалните обстоятелства в дадения случай.
Обработване на личните данни от името на Администратора
Когато обработването се извършва от името на даден администратор, администраторът използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламента.
Обработващият данни не включва друг обработващ данни без предварителното конкретно или общо писмено разрешение на администратора. В случай на общо писмено разрешение, обработващият данни винаги информира администратора за всякакви планирани промени за включване или замяна на други лица, обработващи данни, като по този начин даде възможност на администратора да оспори тези промени.
Обработването от страна на обработващия лични данни се извършва в съответствие с чл.28 от Регламента и се урежда с договор който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора.
Прозрачност. Права на лицата, чиито данни се обработват от Администратора
Прозрачност и условия за упражняване на правата на лицата
Администраторът предоставя информация на лицата в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език.
Администраторът се стреми да гарантира, че лицата са запознати относно обработваните от него лични данни и, че лицата изцяло и напълно разбират и са информирани във връзка с обработването в съответствие с изискванията на Регламента и Българското законодателство.
Администраторът предоставя информацията на лицата писмено, по електронен път или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако лицето е поискало това, информацията може да бъде дадена устно, при положение че идентичността на лицето е доказана с други средства.
Администраторът предоставя на лицата безплатно информация относно действията, предприети във връзка с искане относно правото им на достъп, коригиране, изтриване, ограничаване на обработването, преносимост, възражение и автоматизирано вземане на решения, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането.
При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията. Администраторът информира лицето за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Когато съответно лице подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако лицето не е поискало друго.
Ако Администраторът не предприеме действия по искането, Администраторът уведомява лицето без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред.
Когато исканията на лицето са явно неоснователни или прекомерни, по-специално поради своята повторяемост, Администраторът може или:
- да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия, или
- да откаже да предприеме действия по искането.
Право на достъп на лицата
Всяко лице има право да получи от Администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:
- целите на обработването;
- съответните категории лични данни;
- получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни (вкл. в трети държави или международни организации);
- когато е възможно, предвидения срок, за който ще се съхраняват данните, а ако това е невъзможно, критериите, използвани за определянето на този срок;
- съществуването на право да се изиска от Администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със засегнатите лицата, или да се направи възражение срещу такова обработване;
- правото на жалба до Комисията за защита на личните данни;
- когато личните данни не се събират от самите лица, всякаква налична информация за техния източник;
- съществуването на автоматизирано вземане на решения, вкл. профилирането, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за лицата.
Когато личните данни се предават на трета държава или на международна организация, лицата имат право да бъдат информирани относно подходящите гаранции във връзка с предаването.
Администраторът предоставя на лицето копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от лицата, Администраторът може да наложи разумна такса въз основа на административните разходи. Когато лицето подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма, освен ако лицето не е поискало друго.
Право на коригиране
Всяко лице, чиито данни се обработват от Администратора, има право да поиска от Администратора да коригира без ненужно забавяне неточните лични данни, свързани с него. Като се имат предвид целите на обработването лицето има право непълните лични данни да бъдат допълнени.
Право на изтриване (право „да бъдеш забравен“)
Всяко лице, чиито данни се обработват от Администратора, има правото да поиска от Администратора изтриване на свързаните с него лични данни без ненужно забавяне, а Администраторът има задължението да изтрие без ненужно забавяне личните данни, когато:
- личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
- лицето оттегли своето съгласие, върху което се основава обработването на данните, и няма друго правно основание за обработването;
- лицето възрази срещу обработването и няма законни основания за обработването, които да имат преимущество;
- личните данни са били обработвани незаконосъобразно;
- личните данни трябва да бъдат изтрити с цел спазването на правно задължение, което се прилага спрямо администратора;
- личните данни са били събрани във връзка с предлагането на услуги на информационното общество.
Право на ограничаване на обработването
Всяко лице, чиито данни се обработват от Администратора, има право да изиска от Администратора ограничаване на обработването, когато се прилага едно от следното:
- точността на личните данни се оспорва от лицето, за срок, който позволява на Администратора да провери точността на личните данни;
- обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
- Администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
- субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на Администратора имат преимущество пред интересите на субекта на данните.
Когато обработването е ограничено съгласно горния параграф, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес.
Когато субект на данните е изискал ограничаване на обработването, Администраторът го информира преди отмяната на ограничаването на обработването.
Задължение за уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването
Администраторът съобщава за всяко извършено коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. Администраторът информира субекта на данните относно тези получатели, ако субектът на данните поиска това.
Право на преносимост на данните
Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратора, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от Администратора, когато:
(1) обработването е основано на съгласие във връзка с определени цели или на договорно задължение на субекта или предприемане на стъпки преди сключване на договор и
(2) обработването се извършва по автоматизиран начин.
Когато упражнява правото си на преносимост, субектът на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.
Право на възражение
Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него (когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия на Администратора, или обработването е за целите на легитимните интереси на Администратора или на трета страна), включително профилиране. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
Най-късно в момента на първото осъществяване на контакт със субекта на данните, той изрично се уведомява за съществуването на правото по предходния параграф, което му се представя по ясен начин и отделно от всяка друга информация.
Технически и организационни мерки за защита на данните
Защитата на данните на хартиено копие, както и на електронен носител от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поредица от вътрешно регулирани технически и организационни мерки.
Предаване на лични данни
Ако Администраторът осъществява предаване на лични данни в страни, извън Европейския съюз,по отношение на защитата на тези данни, контрагентите, извън Европейския съюз, гарантират и осъществяват защита, не по-малка от тази, която гарантира и осъществява Админитратора.
както и при наличие на едно от следните условия: a) субектът на данните изрично е дал съгласието си за предлаганото предаване на данни, след като е бил информиран за свързаните с предаването възможни рискове за субекта на данните поради липсата на решение относно адекватното ниво на защита и на подходящи гаранции; б) предаването е необходимо за изпълнението на договор между субекта на данните и администратора или за изпълнението на преддоговорни мерки, взети по искане на субекта на данните;
За целта , контрагентите сключват с Администратора споразумения в тази насока.
Нарушения. Уведомяване за нарушения
Нарушение на сигурността на данни възниква, когато личните данни, за които Администраторът отговаря, са засегнати от инцидент със сигурността, в резултат на който се нарушава поверителността, наличието или целостта на личните данни. В този смисъл, нарушение на данните възниква, когато има нарушение на сигурността, водещо до инцидентно или незаконно унищожаване, загуба, изменение, нерегламентирано разкриване на данни, които се предават, съхраняват или по друг начин се обработват.
В случай на нарушение на сигурността на личните данни незабавно следва да се уведоми лицето Енчо Савов, служител на Администратора.
Оценка на нарушенията
След като съответният служител на Администратора получи информация за извършено нарушение, той трябва да определи дали конкретното събитие представлява нарушение на лични даннии да уведоми ръководството на Администратора за събитието (в случай, че то не знае).
В случай на нарушение на сигурността на личните данните, което съществува вероятност да породи риск за правата и свободите на физическите лица, Администраторът (или чрез съответния служител), без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението Комисията за защита на личните данни.
Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.
Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Администраторът без ненужно забавяне, съобщава на субекта за нарушението.
Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него.
Унищожаване
Счетоводната и търговската информация, както и всички други сведения и документи от значение за данъчното облагане и задължителните осигурителни вноски се съхраняват от Администратора в следните срокове:
- счетоводни регистри и финансови отчети – 10 години;
- документи по събедни дела, водени от и /или срещу администратора – 10 години от влизане в сила на съдебното решение, освен ако по закон се предвижда изрично по-дълъг срок
- документи за данъчно-осигурителен контрол – 5 години след изтичане на давностния срок за погасяване на публичното задължение, с което са свързани;
- всички останали носители – 2 години.
- След изтичането на срока за съхранението им носителите на информация (хартиени или технически), които не подлежат на предаване в Националния архивен фонд, могат да се унищожават.
След приключване на срока за съхранение данните се унищожават възможно най-бързо посредством унищожаването на хартиените носители чрез шредиране, а на техническия носител-чрез заличаване и изтриване на съответните файлове от компютрите на Дружеството.
Допълнителни разпоредби
По смисъла на настоящите вътрешни правила:
- “Администратор на лични данни” е ” ПСИХОМЕДА“ ЕООД с ЕИК 130368870, като действия от името на администратора осъществява Енчо Савов.
- „Обработващ лични данни” е определеният със заповед на управителя за това лице Енчо Савов.
- Настоящата Политика подлежи на утвърждаване и довеждане до знанието на лицата, които касаят, със заповед на управителя на Администратора.
Политиката е одобрена на: 20.04.2018
Политиката е ефективна от: 25.05.2018г.